Zzp en klein mkb Midden en groot mkb RA-/AA-accountant of fiscalist?
Doe mee aan onze franchiseformule!
Bel me terug

Wat staat er in het draaiboek datalekken voor de AVG van OAMKB?

Waarom een draaiboek datalekken?

Voor de AVG is OAMKB verplicht maatregelen te treffen om persoonsgegevens van klanten en werknemers goed te beveiligen. Die beveiligingsverplichtingen gelden ook voor de partijen die OAMKB inhuurt, dat zijn softwareleveranciers en externe deskundigen.

Toch kunnen, ondanks goede beveiliging, bij excessen datalekken voordoen. Als dat voorkomt, zijn we verplicht dit te melden aan de  Autoriteit Persoonsgegevens.

Een draaiboek datalekken ondersteunt ons bij de vraag wanneer is er een datalek, wanneer moet deze worden gemeld en hoe moet dat gebeuren?

Wat als een datalek niet (op tijd) wordt gemeld? 

De hoogte van de boetes is maximaal tien miljoen euro of maximaal 2% van de omzet.

Wie zit er in het datalekken “team”?

Deze personen binnen de organisatie van OAMKB zijn verantwoordelijk voor het in ontvangst nemen en beoordelen van de datalek meldingen.  

  1. de Supportdesk van OAMKB , en als die er niet zijn, dan
  2. Honoré Schreurs en als die er niet is, dan
  3. Pascale Petiet

Wie zijn de verwerkers?

Wij zijn verwerkers en werken in opdracht van onze klanten, de betrokkenen en wij maken gebruik van sub-verwerkers. Sub-verwerkers zijn o.a. Yuki, Exact, Google, Unit4/Fiscaal Gemak, Twinfield, Reeleezee, Visionplanner, Storecove, Blue10 en eventuele andere verwerkers/deskundigen die OAMKB-partners zelf nog buiten OAMKB om, inzet.  Daarbij is iedere OAMKB-partner die met andere OAMKB-partners samenwerkt aan klanten, een (sub)-verwerker. OAMKB is op grond van de AVG verplicht met die externe partij(en) een (sub)-verwerkersovereenkomst te sluiten. Als zich een datalek voordoet bij een (sub)-verwerker, dan is het OAMKB en/of de klant zelf verantwoordelijk voor het melden van het datalek bij de Autoriteit Persoonsgegevens , het formulier vind je hier.

Een verwerker is op basis van de AVG verplicht om zonder vertraging een datalek te melden aan de verantwoordelijken. De verantwoordelijke is de klant, maar de verwerker kan zelf ook de verantwoordelijke zijn wanneer er (sub)-verwerkers zijn.

Wat is een datalek?

Als persoonsgegevens:

  1. gewist zijn zonder back-up, of
  2. verloren zijn - waarbij OAMKB tijdelijk of permanent geen toegang heeft, of
  3. gewijzigd zijn, of
  4. verstrekt zijn of toegang gegeven is aan een onbevoegde persoon

Voorbeelden van datalekken zijn:

  • Het hacken van een server waarop e-mailadressen en wachtwoorden staan (OAMKB gebruikt geen servers)
  • Het verliezen van een USB-stick, telefoon of computer waar persoonsgegevens van klanten op staan (OAMKB slaat niets lokaal op)
  • Een database met persoonsgegevens is per ongeluk verwijderd door een medewerker of een onbevoegde persoon (OAMKB backupt alles)
  • Bij oud papier weggooien van een personeelsdossier (OAMKB gebruikt geen papier)
  • Door een elektriciteitsstoring of DDoS-(Distributed Denial of Service) aanval ligt de bedrijfsvoering tijdelijk stil en is er geen toegang tot de persoonsgegevens (dit zou kunnen voorkomen bij sub-verwerkers, hiervoor worden subverwerkersovereenkomsten afgesloten)
  • Een brief met vertrouwelijke informatie die kwijtraakt in de post (OAMKB doet zo weinig mogelijk per post)
  • Het weggooien van een oude computer waar gegevens van personeel op staan (OAMKB slaat niets lokaal op en download geen gegevens)
  • Een onbevoegde persoon binnen de organisatie die zichzelf toegang verschaft tot personeelsdossiers van HR (OAMKB instrueert iedereen goed te werken met wachtwoorden en geen gebruik te maken van openbare WIFI)
  • Het doorsturen van een vertrouwelijk e-mailbericht naar een persoon die het bericht niet had moeten ontvangen (menselijke fouten zijn de belangrijkste oorzaak van datalekken en zijn alleen te voorkomen door bewustwording en opleiding)
  • Een malware- of ransomware besmetting  (dit zou kunnen voorkomen bij (sub)-verwerkers)
  • De backup kan niet worden teruggezet (dit zou kunnen voorkomen bij (sub)-verwerkers)
  • Een calamiteit zoals een brand in een datacentrum waardoor de persoonsgegevens geheel verloren gaan (dit zou kunnen voorkomen bij (sub)-verwerkers)

Wanneer is er geen sprake van een datalek?

Als er geen persoonsgegevens in gevaar zijn gekomen, is er geen sprake van een datalek, maar van een beveiligingsincident.

Zijn de afspraken over datalekken met verwerkers goed vastgelegd?

  1. Wij zijn verwerkers en maken afspraken met de klant via een verwerkingsovereenkomst.
  2. De softwareleveranciers zijn onze (sub)verwerkers en zij geven ons een (sub)verwerkersovereenkomst, die wij moeten tekenen.
  3. Onderling, binnen OAMKB, sluiten partners met hun (sub)verwerkers ook een subverwerkersovereenkomst af.
  4. Met het personeel sluiten we een geheimhoudingsclausule af.

Welke datalekken moeten in het register datalekken worden opgenomen?

Alle datalekken worden bijgehouden in dit register .

In het register wordt ook bijgehouden:

  • als het datalek niet is gemeld omdat er geen risico is voor de betrokken personen of omdat er sprake is van uitzonderingen voor melding aan de betrokken personen, met uitleg
  • als het datalek later wordt gemeld dan 72 uur na ontdekking en de redenen van de latere melding
  • de mededeling die aan de betrokken personen is gestuurd

Ook het datalek-register bewaren we niet langer dan nodig

Bij voorkeur wordt dit 2 jaar bewaard, tenzij er redenen zijn om de meldingen langer te bewaren.

Medewerkers van OAMKB worden ook ingelicht

Ook de medewerkers binnen OAMKB worden op de hoogte gebracht over wat datalekken zijn en dat ze datalekken bij hun OAMKB-partner moeten melden. Ook tekenen medewerkers van OAMKB een geheimhoudingsclausule voor de persoonsgegevens.

Welke stappen moet je nemen bij een datalek?

1. Analyseer het datalek en beperk onmiddellijk de gevolgen van het datalek

  • schakel de ICT support van OAMKB in

2. Probeer zo veel mogelijk informatie over het datalek te verzamelen:

  • wat is er gebeurd?
  • wanneer is het gebeurd?
  • hoe lang heeft het datalek geduurd?
  • wat is er met de persoonsgegevens gebeurd? 
  • hoe heeft de onbevoegde persoon toegang gekregen?
  • alle bekende informatie over eventuele onbevoegde personen die toegang hebben gehad tot de persoonsgegevens
  • om welke persoonsgegevens gaat het?
  • zijn het bijzondere persoonsgegevens?
  • om hoeveel persoonsgegevens gaat het?
  • om welke personen of soort groep personen gaat het?
  • om hoeveel personen gaat het?
  • welke gevolgen heeft het datalek voor de betrokken personen?
  • waren de persoonsgegevens beveiligd, bijvoorbeeld versleuteld, gehasht of gepseudonimiseerd? 
  • hoe wordt het datalek in de toekomst voorkomen?
  1. Sla de informatie op in het datalek-register Moet elke OAMKB partner nu zelf een datalek register bijhouden of gaat alles centraal via OAMKB ICT? (Dit is een internte vraag)
  2. Overleg intern: interne communicatie voorkomt datalekken bij andere OAMKB-partners
  3. Ga samen na of het datalek bij de Autoriteit Persoonsgegevens moet worden gemeld
  4. Ga samen na of het datalek aan betrokkenen moet worden gemeld
  5. Breng iedereen binnen OAMKB op de hoogte zodat iedereen hiervan leert en in de toekomst fouten worden voorkomen.
  6. Breng de betrokkenen op de hoogte, tenzij zij geen risico lopen.

Welke datalekken hoeven niet worden gemeld aan de Autoriteit Persoonsgegevens?

Als er geen risico is voor de betrokkenen, bijvoorbeeld als het gaat om openbare persoonsgegevens. Als het datalek daadwerkelijk schadelijke gevolgen heeft of kan hebben voor de betrokken personen, dan moet het wel worden gemeld. Bij bijzondere of gevoelige gegevens is er waarschijnlijk wel een risico. Voorbeelden van bijzondere gegevens zijn:

  • financiële gegevens, bijvoorbeeld credit card informatie,  betalingsachterstanden, salarisinformatie, salaris- en betalingsgegevens
  • de inhoud van een personeelsdossier
  • Burger Service Nummer (BSN)
  • kopie paspoort, rijbewijs of ander identiteitsbewijs
  • gebruikersnamen, wachtwoorden en andere inloggegevens
  • informatie die onder een wettelijke geheimhoudingsplicht of beroepsgeheim, bijvoorbeeld van een arts of een advocaat, valt
  • informatie over problemen zoals gokverslavingen, prestaties op werk, relatieproblemen
  • profielgegevens
  • informatie over gedrag van de personen
  • locatiegegevens

Voorbeelden gewone/niet gevoelige persoonsgegevens zijn:

  • NAW-gegevens
  • telefoonnummer
  • e-mailadres

Wat als het datalek zich voordeed bij een (sub)-verwerker?

Dan kan je er ook voor kiezen de (sub)-verwerker de eerste melding bij de Autoriteit Persoonsgegevens te laten doen. De (sub)-verwerker zal ons op de hoogte moeten houden van de melding.

BEGRIPPENLIJST

persoonsgegevens zijn data over een persoon die kan worden herleid aan de hand van deze gegevens. Bijvoorbeeld: naam, adres, telefoonnummer, email-adres, IP-adres, inhoud van personeelsdossiers, inhoud van e-mails, foto´s, camerabeelden.

verantwoordelijke is de klant die het doel van de verwerking van de persoonsgegevens bepaalt, en die verantwoordelijk is voor de persoonsgegevens en dus ook het naleven van de AVG.

verwerken van persoonsgegevens is het gebruik dat van de persoonsgegevens zoals verzamelen, opslaan, opvragen, doorsturen, inzien, wissen en analyseren.

de betrokken persoon is de persoon wiens persoonsgegevens worden verwerkt. Bij OAMKB kan dat zijn: de eigenaar van de verantwoordelijke, of de medewerkers van de verantwoordelijke het geval van salarisadministratie.

een bewerker of verwerker is een ingehuurde externe persoon of partij die de persoonsgegevens verwerkt in opdracht van de verantwoordelijke; een verwerker mag persoonsgegevens niet voor eigen doelen verwerken.

een (sub)-verwerker is  is een ingehuurde externe persoon of partij die de persoonsgegevens verwerkt in opdracht van de verwerker; een (sub)- verwerker mag persoonsgegevens niet voor eigen doelen verwerken.

In de  oude Wet bescherming persoonsgegevens worden dit soort partijen bewerkers genoemd, in de AVG verwerkers.

Meer weten

Kijk hieronder voor meer informatie: