Datalekprotocol Kinderopvang Academie

U bent hier

Inleiding
In dit protocol is beschreven hoe de Kinderopvang Academie handelt in geval van een ‘inbreuk in verband met persoonsgegevens’ (datalek). De Kinderopvang Academie is immers verplicht:

  • iedere inbreuk in verband met persoonsgegevens zonder onredelijke vertraging aan de opdrachtgever te melden
  • de opdrachtgever te helpen zover hij dat kan bij het voldoen aan de op de opdrachtgever rustende verplichtingen (bijvoorbeeld door het aanleveren van informatie)
  • en hierover schriftelijke afspraken te maken met de opdrachtgever (bijvoorbeeld in de verwerkersovereenkomst)

Stap 1: vaststelling of er sprake is van een datalek
Er is sprake van een ‘inbreuk in verband met persoonsgegevens’ (hierna: datalek) als er een inbreuk is op de beveiliging die als gevolg heeft:

  • vernietiging van persoonsgegevens (bijvoorbeeld door brand of wissen); of
  • verlies van persoonsgegevens (bijvoorbeeld USB of laptop die kwijtraakt); of
  • wijziging van persoonsgegevens (zonder dat dit de bedoeling was); of
  • ongeoorloofde verstrekking van persoonsgegevens (bijvoorbeeld e-mail/bestanden verzonden aan verkeerde geadresseerde); of
  • ongeoorloofde toegang tot doorgezonden/opgeslagen/anderszins verwerkte persoonsgegevens (bijvoorbeeld door een hacker of een niet-bevoegd personeelslid).

Persoonsgegevens zijn altijd herleidbaar tot een persoon. Denk aan NAW, online leeractiviteiten, geboortedatum, inloggegevens, etc.

Indien er sprake is van een datalek, doorloopt het team van de Kinderopvang Academie alle volgende stappen.

Stap 2: samenkomt crisisteam
Roep het crisisteam op zodra je een datalek constateert of vermoedt, bijvoorbeeld naar aanleiding van een melding van een medewerker of doordat je monitoringsoftware een datalek detecteert. Het team is samengesteld uit ten minste de directie (of door directie aangewezen manager die de leiding heeft over het proces) en een functionaris voor de gegevensbescherming (indien aanwezig) eventueel met een ICT-specialist.

Stap 3: maatregelen om het (actieve) lek te stoppen of de gevolgen te beperken
Het crisisteam neemt adequate beslissingen toegespitst op de diensten van de Kinderopvang Academie. Prioriteit is het stopen van het lek, bijvoorbeeld door technische maatregelen (het tijdelijk uitschakelen of loskoppelen van online programma's, faciliteiten en/of databases, het blokkeren van bepaalde gebruikersaccounts, verplaatsen van data, het aanpassen van configuraties en het wijzigen van beheer- en onderhoudswachtwoorden).Andere, niet-technische maatregelen zijn o.a. het verzamelen van bewijzen en het anderszins veiligstellen van data. Indien het crisisteam onvoldoende in staat is om het lek onder controle te krijgen, wordt externe professionele hulp ingeschakeld.

Stap 4: informatieverzameling
Het datalek wordt onderzocht, de oorzaak, de gevolgen alsmede het effect van de genomen maatregelen. Het crisisteam gaat na welke opdrachtgevers getroffen zijn en welke gegevens.

  • datum, locatie en tijdstip van het incident
  • de aard van het incident (gegevensdrager met persoonsgegevens kwijtgeraakt of gestolen, persoonsgegevens per ongeluk of zonder toestemming gepubliceerd)
  • de aard van de inbreuk: vertrouwelijkheid, integriteit, beschikbaarheid van gegevens
  • samenvatting van het incident
  • indien het incident plaatsvond bij een sub-verwerker: naam subverwerker
  • aantal betrokken personen (minimaal, maximaal)
  • omschrijving van de groep mensen van wie persoonsgegevens zijn betrokken bij de inbreuk
  • type persoonsgegevens (bijvoorbeeld naam, e-mailadres, toegangs- of identificatiegegevens, geslacht, geboortedatum en/of leeftijd)
  • de eventuele gevolgen resp. de waarschijnlijke gevolgen van de inbreuk voor de persoonlijke levenssfeer van de betrokkenen (blootstelling aan fraude, identiteitsfraude, spam of phishing, andere gevolgen)
  • ondernomen en te ondernemen vervolgacties en technische beschermingsmaatregelen, (nieuwe) versleuteling van de gegevens respectievelijk andere manieren waarmee de gegevens onbegrijpelijk of ontoegankelijk worden gemaakt voor onbevoegden

Stap 5: informeren van de betrokken opdrachtgever(s)
Met betrokken opdrachtgevers zijn afspraken gemaakt over wie wordt geïnformeerd, en op welke wijze. Als verwerker heeft de Kinderopvang Academie de plicht een datalek zonder onredelijke vertraging aan opdrachtgevers te melden. Hiervoor wordt gebruik gemaakt van de informatie uit stap 3. De informatie wordt bij voorkeur in één keer zo volledig mogelijk verstrekt, zodat de opdrachtgever op basis van deze informatie in korte tijd kan beoordelen of hij het lek bij de Autoriteit Persoonsgegevens moet melden. Opdrachtgevers krijgen actuele contactgegevens van personen bij wie zij terecht kunnen voor nadere informatie en worden op de hoogte gehouden indien er nieuwe ontwikkelingen zijn met betrekking tot het datalek.

Stap 6: voorkomen van herhaling in de toekomst
De Kinderopvang Academie neemt al de noodzakelijke maatregelen om eenzelfde soort datalek in de toekomst te voorkomen. Dit kan betekenen dat wordt geïnvesteerd in betere technische beveiliging of dat aanvullende organisatorische maatregelen worden getroffen, bijvoorbeeld door updates van beleid en/of aanvullende trainingen voor medewerkers.  

Versie, mei 2018