Naar aanleiding van vragen die wij hebben ontvangen (onder andere na een groot datalek in Nederland) hebben we dit korte protocol opgesteld. Het helpt jullie bij het omgaan met een (mogelijk) datalek binnen Lasso.
Bij een datalek is het belangrijk om snel en zorgvuldig te handelen. Elke situatie is anders. Daarom is het belangrijk om het incident goed vast te leggen en rustig te kijken wat de risico’s zijn.
Als er mogelijk sprake is van een datalek, meld dit dan direct binnen jullie bestuur. Probeer ook meteen de schade te beperken, bijvoorbeeld door toegang te blokkeren of een fout te herstellen. Daarna kijk je om welke gegevens het gaat, hoeveel personen betrokken zijn en wat de gevolgen kunnen zijn.
Het vastleggen is een belangrijk onderdeel. In Lasso kun je dit doen in het datalekregister. Daar leg je vast wat er is gebeurd, wanneer het is gebeurd, welke gegevens betrokken zijn en wat je hebt gedaan. Ook noteer je waarom je bepaalde keuzes hebt gemaakt.
Daarna maak je een risicoafweging. Kijk naar het soort gegevens (bijvoorbeeld gewone persoonsgegevens of gevoelige gegevens), het aantal mensen en de mogelijke gevolgen. Als er geen of weinig risico is, hoef je het datalek niet te melden bij de Autoriteit Persoonsgegevens. Je moet het wel altijd vastleggen. Is er wel risico voor de betrokkenen, dan moet je het datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Is het risico hoog, dan informeer je ook de betrokken personen.
Twijfel je? Leg het altijd vast en bespreek het. Niet elk datalek hoeft gemeld te worden, maar elk datalek moet wel worden geregistreerd in Lasso.
In Lasso is er ook een verwerkingsregister. Daarin leg je vast welke persoonsgegevens je gebruikt, waarom je die gebruikt en wie er toegang heeft. Dit helpt om snel te zien welke gegevens geraakt kunnen zijn bij een datalek.
We hebben ook het opruimen van gearchiveerde deelnemers verbeterd. Deelnemers die twee jaar in het archief staan (de wettelijke termijn) worden automatisch verwijderd. Je krijgt vooraf in Lasso een notitie met wie er per de eerste van de volgende maand wordt verwijderd. Zo kun je nog actie nemen als dat nodig is.
Voorbeelden van datalekken zijn: een A4 met persoonsgegevens kwijtraken, een mailing naar de verkeerde mensen sturen of e-mailadressen zichtbaar maken door CC te gebruiken in plaats van BCC. Ook dit soort situaties moet je vastleggen en beoordelen.
Een e-mailadres of woonadres is meestal geen gevoelige informatie, maar wel een persoonsgegeven. Het wordt gevoeliger als het wordt gecombineerd met andere gegevens of als het om veel mensen gaat. Niet alleen de gegevens zelf zijn belangrijk, maar vooral wat de gevolgen kunnen zijn. Deze afweging leg je vast in het datalekregister in Lasso.
Het is belangrijk om te weten dat je in Lasso ook datalekken kunt registreren die niet in of door Lasso zelf zijn ontstaan. Het uitgangspunt is namelijk de organisatie: elk datalek binnen jullie organisatie moet worden vastgelegd, ongeacht waar het is gebeurd.