Vraag en antwoord Meldplicht Datalek

  1. Wat is een datalek?

Wanneer gegevens van onze klanten terecht komen bij personen die niet geautoriseerd zijn om deze gegevens in te zien, spreken we van een datalek.
Het kan gaan om het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle andere geadresseerden, een malwarebesmetting, of een calamiteit, zoals een brand in een datacentrum.

  1. Op welk moment meldt Korento een datalek?

Korento brengt jou zo spoedig mogelijk op de hoogte, uiterlijk binnen 48 uur na het constateren ervan. Om dit te waarborgen, hebben wij onze personeelsleden geïnstrueerd hoe een datalek te herkennen en welke maatregelen zij moeten treffen. Daarnaast verwachten wij van onze opdrachtnemers dat zij ons in de gelegenheid stellen om aan deze termijn van 48 uur te voldoen. Voor de duidelijkheid: als er een datalek is bij een opdrachtnemer van Korento, dan melden wij dit uiteraard ook.

  1. Hoe meldt u een vermoeden van datalek bij Korento?

Je brengt Korento zo spoedig mogelijk op de hoogte via AVG@korento.nl onder vermelding van “vermoeden datalek”.  Vermeld in de mail wie jouw contactpersoon datalekken is.

  1. Wat doet Korento met een melding vermoeden datalek?

Onze AVG-specialist neemt meteen telefonisch contact op om alle informatie in kaart te brengen. Met die gegevens doet Korento intern onderzoek conform de wet- en regelgeving van de Wet bescherming persoonsgegevens (de Wbp). Wij koppelen de uitkomst van het interne onderzoek aan u terug of er sprake is van een datalek, welke stappen wij ondernemen om dit op te lossen en of er melding gedaan moet worden bij de Autoriteit Persoonsgegevens (AP). Zie ook vraag 7.

  1. Wie doet de melding aan de Autoriteit Persoonsgegevens?

De primaire verantwoordelijkheid ligt bij jouw organisatie. In eerste instantie informeren wij daarom jouw contactpersoon/ meldpunt datalekken (zie ook vraag 4). In sommige situaties zal Korento ook melding bij de Autoriteit Persoonsgegevens moeten doen.

  1. Hoe meldt Korento een datalek aan jou?

Indien u in jouw organisatie een contactpersoon-/ meldpunt datalekken heeft, wordt deze binnen de eerder genoemde termijn geïnformeerd. Let op: Hiervoor hebben wij de gegevens van deze contactpersoon/ dit meldpunt nodig.

  1. Welke informatie wordt aan jou verstrekt?

Wij doen ons uiterste best om zoveel mogelijk informatie over het datalek aan je te verstrekken, zodat je ook een eventuele melding aan de Autoriteit Persoonsgegevens kunt doen. Dit omvat in ieder geval:

  • De aard van de inbreuk;
  • De getroffen maatregelen om de gevolgen van het datalek te beperken;
  • Een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk;
  • De maatregelen die Korento heeft getroffen of voorstelt om de gevolgen te verhelpen;
  • Zodra nadere informatie tot onze beschikking staat, melden wij dit bij je.
  1. Op welke termijn wordt u geïnformeerd?

De Wbp geeft aan dat er ‘onverwijld’ gemeld moet worden. De Autoriteit Persoonsgegevens gaat uit van 72 uur. Korento doet dit zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken van een datalek. Hierdoor kunt u ook tijdig de melding bij de Autoriteit Persoonsgegevens doen.

  1. Hoe wordt u op de hoogte gehouden over de voortgang en de genomen maatregelen?

Bij de initiële melding maken wij concrete afspraken hierover met jouw contactpersoon/ meldpunt datalekken. Uiteraard houden wij jouw op de hoogte van ontwikkelingen en eventuele wijzigingen in de situatie.

10. Meer informatie over dit onderwerp kun je vinden op deze websites:

Deel deze pagina: