Protocol datalekken

Bij een datalek komen per ongeluk persoonsgegevens in handen van personen of organisaties die daar geen recht op hadden. Dat is bij een vereniging bijvoorbeeld het geval als je per ongeluk een mailing doet waarbij mensen elkaars mailadres kunnen zien.
De organisatie die verantwoordelijk is voor het beheer van die persoonsgegevens heeft nu een datalek. Dat moet je op grond van de AVG melden. Afhankelijk van de ernst van het lek moet dat aan de betrokkenen en soms ook aan de Autoriteit Persoonsgegevens.
Met deze regeling leg je vast dat de medewerkers of vrijwilligers ieder datalek moeten melden. Ook staat hiermee vast hoe er dan verder gehandeld moet worden.

Wat je zelf moet opnemen in dit protocol

De namen van de personen of functies waar de melding gedaan moet worden. De functie van de interne personen die onderzoek doen.

Samenvatting

Bevat de volgende bepalingen:

• de verplichting voor medewerkers en vrijwilligers om te melden;
• de beschrijving van de hierna te nemen stappen;
• wijze van evaluatie per jaar.

Context

De AVG schenkt speciale aandacht aan de mogelijkheid dat gegevens in verkeerde handen komen. Dat noemen we een datalek. De persoonsgegevens worden openbaar of iemand heeft er toegang toe. Bij een datalek moet dit onmiddellijk gemeld. De AVG gaat er vooral vanuit dat je alles regelt. Dus het uitgangspunt is natuurlijk het voorkomen van het datalek. Maar belangrijker is dat je vastlegt wat je doet als het toch gebeurt. Dat doe je met dit protocol.
Een datalek bij een vereniging kan heel snel ontstaan. Zo kan dat het gevolg zijn van het publiceren van alle deelnemers aan een toernooi. Op zich zijn dat al gegevens die je niet zou mogen delen. Een serieus datalek heb je bijvoorbeeld als een oud bestuurslid de ledenlijst blijkt te hebben gekopieerd. Het hele idee van de AVG is dat je dergelijke zaken direct moet melden aan de betrokkenen. Het protocol regelt vooral die manier van omgaan met een datalek.