Procedure Meldplicht Datalekken

Home » Procedure Meldplicht Datalekken
Procedure Meldplicht Datalekken 2017-04-05T12:09:12+00:00

PDF download: Procedure Meldplicht Datalekken.

  1. Bij ieder beveiligingsincident, bij WePayroll of bij een door WePayroll als Sub-Bewerker ingeschakelde derde, wordt door WePayroll nagegaan of hierbij persoonsgegevens van medewerkers van werkgever betrokken zijn.
  1. Indien de bij het beveiligingsincident betrokken documenten, hardware of software persoonsgegevens van werkgever bevatten, doet WePayroll direct melding aan betreffende werkgever, werkgever dient aan WePayroll kenbaar te maken welke personen (Naam, email en telefoon (voorkeur gsm)) WePayroll hiertoe dient te benaderen, bij geen specifieke opgave zal WePayroll de vaste contactpersoon informeren. Daarbij wordt i.v.m. de aanvang van de 72-uurstermijn, tevens melding gedaan van het tijdstip dat het beveiligingsincident     door WePayroll is opgemerkt.
  1. WePayroll onderzoekt vervolgens of het beveiligingsincident als datalek kwalificeert. WePayroll onderzoekt:

Ter vaststelling van het datalek:

  • Welke gegevens zijn er gelekt, bevinden zich daaronder persoonsgegevens (of kan zulks niet redelijkerwijs worden uitgesloten) en kwalificeren deze persoonsgegevens als ‘bijzondere persoonsgegevens’.
  • Per welke datum zijn de persoonsgegevens gelekt.
  • Hoeveel deelnemers/betrokkenen betreft het.

Ter vaststelling of het datalek aan de Autoriteit Persoonsgegevens moet worden gemeld:

  • Of sprake is van ‘(een aanzienlijke kans op) ernstige nadelige gevolgen’ voor de bescherming van persoonsgegevens.
  • Of er technische maatregelen getroffen zijn om de persoonsgegevens te beveiligen (bv encryptie).
  • Wat de oorzaak is van het datalek.
  • Welke acties nodig zijn om het datalek te dichten en in de toekomst te voorkomen?
  1. WePayroll stuurt de in sub 3 genoemde gegevens z.s.m. aan de in sub 2 genoemde personen.
  1. Werkgever dient de melding bij de Autoriteit Persoonsgegevens in en stuurt WePayroll z.s.m. na indiening een afschrift van de gedane melding.
  1. Indien bij het datalek ‘bijzondere persoonsgegevens’ zijn betrokken, stelt werkgever in overleg met WePayroll z.s.m. een melding aan de betrokkene op. De melding aan de betrokkene bevat ten minste:
    • De aard van de inbreuk: wat is er gebeurd c.q. waardoor kon het gebeuren dat er persoonsgegevens zijn gelekt.
    • De instanties waar de betrokkene meer informatie over de inbreuk kan krijgen: de klantenservice van WePayroll, incl. de contactgegevens daarvan.
    • De maatregelen die WePayroll en/of werkgever de betrokkene aanbeveelt om te nemen om de negatieve gevolgen van de inbreuk te beperken. Hierbij dient iets te worden opgemerkt over negatieve gevolgen die mogelijk zijn en op welke signaleren de betrokkene alert dient te zijn.
    • De maatregelen die WePayroll heeft genomen om herhaling te voorkomen.
    • De mededeling dat het betreffende incident overeenkomstig de wettelijke verplichting daartoe, is gemeld aan de Autoriteit Persoonsgegevens.
  1. Werkgever stuurt de brief naar betrokkene en een kopie naar WePayroll.
  1. De afhandeling van beveiligingsincidenten waarbij persoonsgegevens betrokken zijn, als hier bedoeld, wordt geëvalueerd in het kader van een periodiek overleg tussen WePayroll en werkgever.

Wil jij ook een “dienst-beleving” in plaats van een “dienst-verlening”?

ja, graag!