Vraag en antwoord Meldplicht Datalek

1. Wat is een datalek?

Wanneer gegevens van onze klanten terecht komen bij personen die niet geautoriseerd zijn om deze gegevens in te zien, spreken we van een datalek.
Het kan gaan om het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle andere geadresseerden, een malwarebesmetting, of een calamiteit, zoals een brand in een datacentrum.

2. Op welk moment meldt Korento een datalek?

Korento brengt  u zo spoedig mogelijk op de hoogte, uiterlijk binnen 48 uur na het constateren ervan. Om dit te waarborgen, hebben wij onze personeelsleden geïnstrueerd hoe een datalek te herkennen en welke maatregelen zij moeten treffen. Daarnaast verwachten wij van onze opdrachtnemers dat zij ons in de gelegenheid stellen om aan deze termijn van 48 uur te voldoen. Voor de duidelijkheid: als er een datalek is bij een opdrachtnemer van Korento, dan melden wij dit uiteraard ook.

3. Wie doet de melding aan de Autoriteit Persoonsgegevens?

De primaire verantwoordelijkheid ligt bij uw organisatie. In eerste instantie informeren wij daarom uw contactpersoon/ meldpunt datalekken (zie ook vraag 4).

4. Hoe meldt Korento een datalek aan u?

Indien u in uw organisatie een contactpersoon-/ meldpunt datalekken heeft, wordt deze binnen de eerder genoemde termijn geïnformeerd. Let op: Hiervoor hebben wij de gegevens van deze contactpersoon/ dit meldpunt nodig.

5. Welke informatie wordt aan u verstrekt?

Wij doen ons uiterste best om zoveel mogelijk informatie over het datalek aan u te verstrekken, zodat ook u een eventuele melding aan de Autoriteit Persoonsgegevens kunt doen. Dit omvat in ieder geval:

  • De aard van de inbreuk
  • De getroffen maatregelen om de gevolgen van het datalek te beperken
  • Een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk
  • De maatregelen die Korento heeft getroffen of voorstelt om de gevolgen te verhelpen
  • Zodra nadere informatie tot onze beschikking staat, melden wij dit bij u

6. Op welke termijn wordt u geïnformeerd?

De Wbp (Wet bescherming persoonsgegevens) geeft aan dat er ‘onverwijld’ gemeld moet worden. De Autoriteit Persoonsgegevens gaat uit van 72 uur. Korento doet dit zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken van een datalek. Hierdoor kunt u ook tijdig de melding bij de Autoriteit Persoonsgegevens doen.

7. Hoe wordt u op de hoogte gehouden over de voortgang en de genomen maatregelen?

Bij de initiële melding maken wij concrete afspraken hierover  met uw contactpersoon/ meldpunt datalekken. Uiteraard houden wij u op de hoogte van ontwikkelingen en eventuele wijzigingen in de situatie.

Meer informatie over dit onderwerp kunt u vinden op deze websites:

Autoriteit Persoonsgegevens

Meldloket datalekken

Overzicht organisaties

Blog Wazda

Deel deze pagina: