Meldplicht datalekken

De meldplicht datalekken in de EU Algemene Verordening Gegevensbescherming eist dat u eventuele datalekken meldt aan de Autoriteit Persoonsgegevens. De “Beleidsregels meldplicht datalekken” van de Nederlandse Autoriteit Persoonsgegevens geven hierover nadere informatie. Wij informeren klanten tijdig, juist en volledig over relevante incidenten, zodat u aan de wettelijke vereisten kunt voldoen. Vragen en antwoorden die hierbij relevant zijn:

1. Wat is een datalek?

Voor het bepalen of iets een datalek is, hanteert Visma | Raet de wet en de ‘beleidsregels meldplicht datalekken’ als leidend. Onder een datalek worden alle beveiligingsincidenten verstaan waardoor de bescherming van persoonsgegevens op enig moment is doorbroken waardoor de persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens. Het kan gaan om het verlies van USB-stick of computer, inbraak door een hacker, verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden, een malwarebesmetting of een calamiteit zoals brand in een datacentrum.

2. Op welk moment meldt Visma | Raet een datalek?

Visma | Raet stelt u hiervan zo spoedig mogelijk in kennis, uiterlijk binnen 36 uur na het constateren ervan. Om dit te realiseren, zorgen wij ervoor dat al onze personeelsleden in staat zijn, en blijven, om een datalek te constateren en verwachten wij van onze opdrachtnemers dat zij ons in staat stellen om aan deze termijn te voldoen. Voor de duidelijkheid: als er een datalek is bij een opdrachtnemer van Visma | Raet, dan melden wij dit uiteraard ook. Visma | Raet is daarvoor dan het contactpunt voor uw organisatie en u hoeft niet te schakelen met meerdere organisaties.

3. Gaat Visma | Raet zelf de meldingen doen aan de Autoriteit Persoonsgegevens?

De primaire verantwoordelijkheid voor het melden ligt bij uw organisatie. In eerste instantie informeren wij daarom uw contactpersoon (zie vraag 4). Uiteraard zorgt Visma | Raet ervoor dat uw organisatie alle benodigde informatie tijdig, juist en volledig ontvangt.

4. Hoe gaat Visma | Raet datalekken aan u melden?

Indien er een contactpersoon/meldpunt datalekken bij ons bekend is, wordt deze geïnformeerd. Als deze niet bekend is, wordt uw Functionaris Gegevensbescherming geïnformeerd. Mocht ook die niet bekend zijn, dan informeren we uw operationele aanspreekpunt of zo nodig uw directie.

5. Welke informatie wordt aan u verstrekt?

We trachten zoveel mogelijk informatie die u van ons nodig heeft voor de eventuele melding aan de Autoriteit Persoonsgegevens met u te delen. Hierbij volgen we de informatielijst uit de eerder genoemde beleidsregels. Dit omvat in ieder geval (i) de aard van de inbreuk, (ii) de getroffen maatregelen om de negatieve gevolgen van het datalek te beperken en (iii) een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die Visma | Raet heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

Indien niet alle gegevens bekend zijn op het moment van melding, informeren wij u zo spoedig mogelijk zodra deze informatie wel bij ons bekend wordt (zie vraag 7).

6. Op welke termijn wordt u geïnformeerd?

De AVG geeft aan dat er ‘zonder onredelijke vertraging’ gemeld moet worden. De wetgeving gaat ervan uit dat de verwerkingsverantwoordelijke binnen 72 uur de toezichthouder informeert. Visma | Raet informeert u daarom zo snel mogelijk – binnen enkele uren maar in elk geval binnen 36 uur – na het ontdekken van een datalek, zodat u tijdig de melding kunt doen bij de Autoriteit Persoonsgegevens. De 72 uur gaat lopen vanaf het moment dat de verantwoordelijke kennisneemt van het datalek. Wij verwachten tevens van onze opdrachtnemers dat zij ons in staat stellen om aan deze termijn te voldoen.

7. Hoe wordt u op de hoogte gehouden over voortgang en maatregelen?

Wij maken hierover afspraken met uw primaire contactpersoon bij de initiële melding. In ieder geval houden wij u op de hoogte in geval van een wijziging van de situatie of het bekend worden van nadere informatie.

8. Hoe krijgt u voldoende zekerheid dat de informatie van Visma | Raet juist, tijdig en volledig is?

Visma | Raet registreert alle security incidenten. De registratie en afhandeling van security incidenten wordt getoetst met een audit in het kader van de ISO27001 certificering.

9. Hoe kunt u uw bestaande bewerkersovereenkomst wijzigen of alsnog een bewerkersovereenkomst afsluiten?

Visma | Raet biedt de mogelijkheid om een standaard verwerkersovereenkomst aan te gaan. U kunt daarvoor onderstaande document downloaden, invullen, ondertekenen en aan uw Visma | Raet Customer Success Manager zenden. U kunt de standaard verwerkersovereenkomst hier downloaden.

Incident Response plan

In het geval van een beveiligingsincident moeten we snel en effectief reageren. In het incident response plan is op basis van de wetgeving en best practices beschreven welke handelingen we moeten ondernemen om de schade te beperken, het incident op te lossen en de vervolgstappen te bepalen. Het incident response plan beschrijft wat we onder een beveiligingsincident verstaan, wie betrokken zijn of zouden kunnen worden bij de afhandeling van een beveiligingsincident, hoe de prioriteiten worden bepaald en een uitgebreide checklist op basis waarvan de afhandeling van het beveiligingsincident wordt uitgevoerd. Uiteraard gaat het plan ook in op de communicatie met betrokkenen.

Blijf op de hoogte!

Meld je aan voor onze nieuwsbrief en ontvang nieuwe artikelen en updates van Visma | Raet.

Aanmelden nieuwsbrief