Het privacyserviceprogramma

Meldplicht datalekken

Rechten van de betrokkene

Transparantie

Als je als organisatie persoonsgegevens verwerkt moet je een aantal serviceprocessen hebben ingericht. De wetgever eist namelijk in bepaalde gevallen dat je snel en adequaat reageert.

Meldplicht datalekken

Zorg dat je er klaar voor bent!

 
Wat is een datalek en wat moet je geregeld hebben?

Er is sprake van een datalek als onbevoegden mogelijk toegang hebben of hebben gehad tot persoonsgegevens die jouw organisatie verwerkt. Voorbeelden van datalekken zijn: Een verloren of gestolen laptop, telefoon of een andere gegevensdrager, een verkeerd geadresseerde email, een pakket met gevoelige inhoud dat op een verkeerd adres wordt bezorgd, een fout in je netwerkbeveiliging waardoor gegevens makkelijk toegankelijk worden, een hack (iemand heeft data bewust gestolen), etc.

Indien het datalek persoonsgegevens bevat geldt er een meldplicht aan de betrokkenen (de persoon of personen op wie de gegevens betrekking hebben) en aan de autoriteit persoonsgegevens (AP). Aan de AP moet vrijwel altijd worden gemeld. Of aan de betrokkene moet worden gemeld is afhankelijk van eventuele mogelijke nadelige gevolgen die voor de betrokkene door het datalek zouden kunnen ontstaan. 

De melding dient onmiddellijk te gebeuren (uiterlijk 72 uur nadat het datalek is geconstateerd). Naast de melding ben je ook verplicht een datalekken register bij te houden.

Bij een datalek moet je als organisatie een aantal stappen doorlopen en gezien de tijdsdruk is het verstandig om vooraf al de benodigde processen in te richten zodat je je kunt focussen op de melding zelf en het mogelijk dichten van het datalek. Privacy8 heeft een complete set aan maatregelen ontwikkeld die je als organisatie kunt inzetten in geval van een datalek.

"De Privacy8 datalekken aanpak zorgt ervoor dat je bij een datalek je aandacht volledig kunt richten op het beperken van mogelijke schade die het lek zou kunnen veroorzaken."

Privacy8 datalekken oplossing

Register datalekken - Uitvoeren en bijhouden van verplichte elementen die onderdeel zijn van de datalek melding.

Datalekken opsporen - Het proces waarbij datalekken pro-actief worden opgespoord en reactief worden opgevangen.

Datalek procedure - De juiste stappen bij een datalek zodat je onder tijdsdruk niets over het hoofd ziet. Moet je melden en wat moet je doen.

Kernteam datalekken - Het samenstellen en trainen van het kernteam datalekken.

Veilige cloudomgeving - Tooling, templates en procedures in de beveiligde Privacy8 cloud omgeving waardoor samenwerken altijd veilig en efficiënt verloopt.

Rechten van de betrokkene

De verplichte service

 
Rechten van de betrokkene

Personen waar je als organisatie gegevens van verwerkt kunnen zicht beroepen op een aantal rechten. Deze rechten zijn vastgelegd in de privacywetgeving. Het gaat hierbij om:

Recht op inzage - Personen kunnen kopieën opvragen van de gegevens die je van hen verwerkt. De wetgever stelt eisen aan de informatie die je in dit kader dient te verstrekken.

Recht op wijziging en vernietiging​ - Naast het doorvoeren van wijzigingen is het belangrijk dat je als organisatie ook persoonsgegevens kunt verwijderen uit je systemen als de betrokkene hier naar vraagt.

Recht op dataportabiliteit - Dit betekent dat de betrokkene de gegevens die je over hem verwerkt mee moet kunnen nemen naar een andere organisatie of instelling. 

Toestemming intrekken​ - Een betrokkene heeft het recht zijn toestemming intrekken. Dit betekent dat je de verwerking waarvoor toestemming is gegeven ook moet kunnen stoppen.

Het is zaak dat je als organisatie klaar bent om gehoor te geven aan mogelijke verzoeken van de betrokkenen in dit kader.

Privacy8 ondersteuning:

Privacy8 ondersteunt organisaties bij het inrichten van de volgende processen:

  • Service proces rechten van de betrokkenen

  • Template response recht op inzage

  • Training eerstelijns privacy professionals

  • Validatie en inrichten toestemmingsprocedure

Transparantie

Zeg wat je doet!

 
Het transparantiebeginsel

Als je als organisatie gegevens van personen verwerkt ben je verplicht aan deze personen duidelijk uit te leggen wat je met hun gegevens gaat doen. Zolang je de gegevens gebruikt voor doeleinden die passen bij de diensten of producten die je levert kan worden volstaan met een privacyverklaring.

Een privacyverklaring is een kennisgeving (eenzijdig) waarin je als organisatie uitlegt voor welke doeleinden je persoonsgegevens verwerkt. Eenvoudig gesteld: "Zeg wat je doet!"

De privacywetgeving stelt specifieke eisen aan de privacyverklaring. Zo moet je bijvoorbeeld, naast doeleinden waarvoor je de persoonsgegevens gaat verwerker, de betrokkene wijzen op zijn rechten en vermelden waar men met eventuele vragen terecht kan.

Indien je persoonsgegevens gaat gebruiken voor doeleinden die geen logische aansluiting vinden bij wat je als organisatie aanbiedt ben je verplicht hiervoor eerst toestemming te vragen aan de betrokkene. De wetgever spreekt in dit kader van ondubbelzinnige toestemming wat inhoudt dat je bewijs van toestemming moet kunnen overleggen.

In alle gevallen geldt dat er op heldere wijze in begrijpelijke taal dient te worden gecommuniceerd. Ofwel in "Jip & Janneke" taal.

Privacy8 informatieprogramma

Inventarisatie verplichte elementen - Verwerkingsdoeleinden, maatregelen, ketenverantwoordelijkheid en overige zaken.

Privacyverklaring​ - Opstellen van de privacyverklaring op basis van de wettelijke eisen die hieraan worden gesteld.​

Toestemmingsprocedure - Afstemmen toestemmings-plicht en validatie van de toestemmingsprocedures.

Communicatie flowchart - Overzicht van de communicatie met de betrokkene. Waar liggen de contact momenten en wat dient op de verschillende punten te worden gecommuniceerd.