Providers ondersteunen bij meldplicht datalekken

 In ISAE 3402, Kwaliteit, Veiligheid

In de media is de afgelopen week de nodige aandacht geweest voor datalekken. Reden hiervoor is dat werkgevers per 1 januari verplicht zijn melding te doen van datalekken bij toezichthouder CBP (College Bescherming Persoonsgegevens). Iedere verantwoordelijke die persoonsgegevens laat lekken of verwerkt zonder zich aan de wet te houden, kan voortaan worden beboet. Niet onbelangrijk voor de providers van Loket.nl, die in hun werk dagelijks te maken hebben met het verwerken van persoonsgegevens.

Je spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatige verwerking niet kan worden uitgesloten. Denk hierbij aan het verliezen van een USB-stick of laptop of het sturen van een mailing met adressen in het CC-veld in plaats van in het BCC-veld.

Ongunstige gevolgen
In hoeverre een datalek als ernstig kan worden beschouwd, wordt bepaald door de hoeveelheid van gegevens of door de gevoeligheid van de gegevens. Een datalek dient aan de getroffen personen te worden gemeld als het lek waarschijnlijk ongunstige gevolgen heeft voor het privéleven van de personen van wie gegevens zijn gelekt. Een datalek moet doorgegeven worden door de verantwoordelijke voor de dataverzameling, binnen 72 uur.

In de gegevensverzameling bij het gebruik van Loket.nl bestaan er drie rollen:

1. Werkgever
De verantwoordelijke voor de gegevensverzameling rondom de persoonsgegevens is de werkgever. De verantwoordelijkheid voor het melden van datalekken ligt dus ook bij de werkgever. Op de website van het CBP is vanaf januari 2016 een formulier opgenomen voor het melden van datalekken.
2. Provider
De bewerker van de gegevensverzameling rondom de persoonsgegevens is de provider van Loket.nl. Die dient er voor te zorgen dat de werkgever tijdig een melding bij de toezichthouder kan doen.
3. Loket.nl
De sub-bewerker van de gegevensverzameling rondom de persoonsgegevens is Loket.nl (Van Spaendonck Services B.V.). Wij zorgen er voor dat de provider een geconstateerd datalek tijdig aan de werkgever door kan geven.

Bewerkersovereenkomsten
Voor de providers van Loket.nl willen we het zo makkelijk mogelijk maken om aan de door de overheid opgelegde meldplicht te voldoen. Daarom hebben we een sub-bewerkersovereenkomst opgesteld en verspreid via onze nieuwsbrief. Hierin staat welke verantwoordelijkheden van Loket.nl ten opzichte van de provider zijn bepaald. De overeenkomst maakt per 1 januari deel uit van onze algemene voorwaarden. Tevens hebben we een bewerkersovereenkomst voor providers laten maken. Onze klanten raden we dringend aan om deze bewerkersovereenkomst of een eigen bewerkersovereenkomst toe te voegen aan de afspraken met werkgevers.

Beveiliging
Loket.nl heeft een jaarlijkse ISAE34.02 verklaring die toe ziet op de ontwikkeling van Loket.nl. Daarnaast zijn uitgebreide maatregelen genomen om de persoonsgegevens te beveiligen. De beschrijving van deze maatregelen kun je hier vinden.

In onze algemene voorwaarden is in artikel 18 opgenomen dat Van Spaendonck Services BV is aan te merken als bewerker en opdrachtgever als verantwoordelijke in de zin van de WBP.

Ik zie een datalek, wat nu?
De procedure rondom datalekken is vastgelegd in de bewerkersovereenkomst bij onze algemene voorwaarden. Samengevat komt deze erop neer dat bij constatering van een datalek we direct een melding maken naar de contactpersoon die is vastgelegd in Loket.nl. Indien naast een telefoonnummer ook een mailadres is opgenomen, zullen we via beide communicatiemiddelen melding maken. Het is belangrijk opvolging op deze melding te regelen omdat er mogelijk rekening moet worden gehouden met een termijn van 72 uur tussen het ontdekken van een datalek en het melden hiervan.

Leave a Comment