Procedure melden datalek

Procedure melden datalek

Deze procedure is bedoeld voor iedereen die een datalek bij de gemeente wil melden.

Doel van deze procedure

Het doel van deze procedure is op een gecontroleerde wijze om te gaan met de gevolgen van een datalek. Hiermee wil de gemeente mogelijke schade voor de betrokkenen (de personen van wie de persoonsgegevens zijn gelekt) als gevolg van het datalek beperken. Aan de hand van een aantal vragen wordt bepaald wat het datalek inhoudt en of er gemeld moet worden aan de betrokkenen en de privacy toezichthouder, de Autoriteit Persoonsgegevens.

Wat is een datalek?

Een datalek is een incident in verband met persoonsgegevens. Ofwel: een incident waarbij persoonsgegevens verloren zijn gegaan, vernietigd zijn, zijn gewijzigd, ongeoorloofd zijn verstrekt, óf waarbij toegang tot de gegevens is verkregen door een persoon die daartoe niet is bevoegd.

Een paar voorbeelden van datalekken zijn:

  • een kwijtgeraakte USB-stick waar zich persoonsgegevens op bevinden;
  • een gestolen (werk)laptop;
  • een vastgestelde inbraak door een hacker;
  • verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden;
  • een besmetting met ransomware als er geen bruikbare back-up teruggezet kan worden;
  • het verstrekken van een wachtwoord aan een derde;
  • papieren met persoonsgegevens belanden op straat;
  • een kwetsbaarheid in een applicatie waardoor persoonsgegevens zichtbaar zijn voor onbevoegden.

Wanneer een datalek melden?

Er moet in ieder geval gemeld worden als één van onderstaande vragen positief wordt beantwoord.

  • Zijn gegevens (definitief) verloren gegaan?
  • Zijn gegevens bijzonder of zeer omvangrijk?
  • Zijn gegevens in onbevoegde handen geraakt?
  • Is er een aanzienlijk risico op schade aan de persoonlijke levenssfeer?

Bij een 'Nee'  op alle vragen hoeft u niet te melden.

Vermoedt of herkent u een datalek?

U kunt dit melden bij de gemeente of de Autoriteit Persoonsgegevens.

  • melden bij de gemeente tijdens kantooruren kan telefonisch op nummer 14 078 (5-cijferig) of 078 – 770 8301.
  • melden bij de gemeente buiten kantoortijden kan per e-mail via privacy@zwijndrecht.nl. Vermeld u hierbij in de onderwerpregel 'melding datalek' en laat uw telefoonnummer achter. Er wordt zo spoedig mogelijk contact met u opgenomen.
  • melden bij de Autoriteit Persoonsgegevens kan online of telefonisch via 088 - 1805 255.

Bij telefonische melding bij de gemeente wordt u doorverbonden met de privacycoördinator van de gemeente. Er wordt met u een aantal vragen doorgenomen die nodig zijn voor het behandelen van het datalek.

Wanneer u een datalek meldt, registreert de gemeente de melding en bepaalt vervolgens:

  • of uw melding bij de Autoriteit Persoonsgegevens gemeld moet worden;
  • of betrokkenen en andere partijen geïnformeerd moeten worden.

De gemeente houdt een register bij van de meldingen van datalekken.

Veelgestelde vragen over datalekken

Waarom moet ik een datalek of beveiligingsincident melden?

De gemeente hecht grote waarde aan de beveiliging van persoonsgegevens. De gemeente heeft ook de wettelijke verplichting zorg te dragen voor goede privacy-waarborgen ten aanzien van de persoonsgegevens die door de gemeente worden verwerkt. Daarnaast is er een wettelijke plicht tot het melden van datalekken bij de privacy toezichthouder wanneer de inbreuk een risico inhoudt voor de rechten en vrijheden van de betrokkenen (de personen van wie de persoonsgegevens zijn gelekt). Alleen als een datalek gemeld wordt, kan de gemeente onderzoeken wat er is gebeurd, mogelijke schade voor betrokkenen beperken en voldoen aan de wettelijke verplichtingen.

Wat gebeurt er na het melden van een datalek?

Wanneer u een datalek meldt start de gemeente een onderzoek naar de oorzaak van het incident. Zo nodig worden er maatregelen genomen om herhaling te voorkomen, bijvoorbeeld door wijziging van de  beveiliging van onze systemen of door aanpassing van werkwijzen. Ook beoordeelt de gemeente of het incident moet worden gemeld bij de privacy toezichthouder en /of de betrokkenen.

Bij meldingen van inwoners die niet van toepassing zijn op de gemeente worden betrokken partijen zo spoedig mogelijk geïnformeerd.

Is een datalek altijd een digitaal probleem?

Nee, dat is het niet. Ook een brief die geopend retour komt of verkeerd is bezorgd kan een datalek zijn.

Wanneer wordt een datalek gemeld bij de Autoriteit Persoonsgegevens?

De Functionaris Gegevensbescherming van de gemeente maakt melding bij de Autoriteit Persoonsgegevens. Dat doet hij/zij als er bijvoorbeeld gegevens over iemands financiële situatie, geloof of etnische afkomst gelekt is. Er wordt gekeken naar het soort persoonsgegeven, maar ook naar de hoeveelheid gegevens, het aantal personen en het mogelijke risico op schade voor betrokkenen.

Wanneer worden betrokkenen geïnformeerd bij een datalek?

De Functionaris Gegevensbescherming adviseert of de betrokkenen geïnformeerd moeten worden over het datalek. Hij/zij kijkt hierbij naar het soort persoonsgegeven, de hoeveelheid gegevens en de mogelijke nadelige gevolgen voor betrokkenen.