gbSwitch to English

Datalekprocedure
Private Holding B.V.

1. Inleiding

Private Holding B.V. verwerkt persoonsgegevens en heeft de verantwoordelijkheid om deze gegevens te beschermen. In het geval van een inbreuk op de beveiliging van persoonsgegevens (een datalek) is het noodzakelijk om adequaat te handelen en te voldoen aan de meldplicht zoals vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Deze procedure beschrijft hoe Private Holding B.V. omgaat met een datalek.

2. Identificatie van een Datalek

2.1 Definitie

Een datalek is een beveiligingsincident waarbij persoonsgegevens per ongeluk of op onrechtmatige wijze zijn vernietigd, verloren, gewijzigd, ongeoorloofd verstrekt of toegankelijk gemaakt.

2.2 Voorbeelden van datalekken

  • Verlies of diefstal van een laptop, USB-stick of smartphone met persoonsgegevens.
  • Een e-mail met persoonsgegevens die naar de verkeerde ontvanger is verzonden.
  • Hack van een database met klantgegevens.
  • Onbevoegde toegang tot systemen met persoonsgegevens.
  • Het per ongeluk openbaar maken van gevoelige klantgegevens.

3. Meldingsprocedure

3.1 Interne melding

Wanneer een (mogelijk) datalek wordt ontdekt, dient dit direct gemeld te worden aan de Functionaris Gegevensbescherming (FG):
Dhr. G.B. van de Kraats
E-mail: contact@privateholding.company

3.2 Documentatie

De volgende gegevens worden geregistreerd:

  • Datum en tijd van ontdekking van het datalek.
  • Aard en omvang van het lek (welke gegevens zijn betrokken?).
  • Oorzaak en mogelijke gevolgen.
  • Acties die zijn ondernomen om de schade te beperken.

4. Beoordeling van het Datalek

4.1 Risicoanalyse

De impact van het datalek wordt beoordeeld aan de hand van de volgende vragen:

  • Welke persoonsgegevens zijn gelekt?
  • Hoe gevoelig zijn deze gegevens?
  • Hoeveel personen zijn getroffen?
  • Kunnen de gegevens misbruikt worden?

4.2 Besluit tot melding

Op basis van de risicoanalyse wordt bepaald of melding bij de Autoriteit Persoonsgegevens (AP) en/of de betrokkenen nodig is.

5. Melding aan de Autoriteit Persoonsgegevens

5.1 Meldingsplicht

Indien het datalek een risico inhoudt voor de rechten en vrijheden van betrokkenen, moet het binnen 72 uur na ontdekking worden gemeld bij de AP.

5.2 Inhoud van de melding

De melding aan de AP bevat:

  • De aard van het datalek en de betrokken persoonsgegevens.
  • De waarschijnlijke gevolgen van het datalek.
  • De genomen of voorgestelde maatregelen om de gevolgen te beperken.
  • Contactgegevens van de FG.

6. Informeren van de Betrokkenen

6.1 Communicatieplicht

Indien het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, moeten zij direct geïnformeerd worden.

6.2 Inhoud van de melding

De betrokkenen worden geïnformeerd over:

  • De aard van het datalek.
  • De mogelijke gevolgen.
  • De maatregelen die zij kunnen nemen om de gevolgen te beperken.

7. Preventieve Maatregelen

7.1 Evaluatie

Na afhandeling van het datalek wordt geëvalueerd wat de oorzaak was en welke maatregelen genomen kunnen worden om herhaling te voorkomen.

7.2 Beveiligingsmaatregelen

  • Gebruik van sterke wachtwoorden en tweestapsverificatie.
  • Regelmatige software-updates en beveiligingscontroles.
  • Encryptie van gevoelige gegevens.
  • Regelmatige back-ups.

8. Documentatie en Bewaring

Alle datalekken worden gedocumenteerd, ongeacht of ze meldingsplichtig zijn. Dit register bevat:

  • Omschrijving van het incident.
  • Beoordeling van de risico’s.
  • Besluitvorming rondom melding.
  • Ondersteunende maatregelen.

Laatst bijgewerkt: 08-02-2025