Meldplicht datalekken

  1. Bij ieder beveiligingsincident, bij salarisspecialisten.nl of bij een door salarisspecialisten.nl als subbewerker ingeschakelde derde, wordt door salarisspecialisten.nl nagegaan of hierbij persoonsgegevens van medewerkers van werkgever betrokken zijn.
  2. Indien de bij het beveiligingsincident betrokken documenten, hardware of software persoonsgegevens van werkgever bevatten, doet salarisspecialisten.nl direct melding aan betreffende werkgever, werkgever dient aan salarisspecialisten.nl kenbaar te maken welke personen (Naam, email en telefoon (voorkeur gsm)) salarisspecialisten.nl hiertoe dient te benaderen, bij geen specifieke opgave zal salarisspecialisten.nl de vaste contactpersoon informeren. Daarbij wordt i.v.m. de aanvang van de 72-uurstermijn, tevens melding gedaan van het tijdstip dat het beveiligingsincident door salarisspecialisten.nl is opgemerkt.
  3. Salarisspecialisten.nl onderzoekt vervolgens of het beveiligingsincident als datalek kwalificeert. Salarisspecialisten.nl onderzoekt:

Ter vaststelling van het datalek:

  • Welke gegevens zijn er gelekt, bevinden zich daaronder persoonsgegevens (of kan zulks niet redelijkerwijs worden uitgesloten) en kwalificeren deze persoonsgegevens als ‘bijzondere persoonsgegevens’.
  • Per welke datum zijn de persoonsgegevens gelekt.
  • Hoeveel deelnemers/betrokkenen betreft het.

Ter vaststelling of het datalek aan de Autoriteit Persoonsgegevens moet worden gemeld:

  • Of sprake is van ‘(een aanzienlijke kans op) ernstige nadelige gevolgen’ voor de bescherming van persoonsgegevens.
  • Of er technische maatregelen getroffen zijn om de persoonsgegevens te beveiligen (bv encryptie).
  • Wat de oorzaak is van het datalek.
  • Welke acties nodig zijn om het datalek te dichten en in de toekomst te voorkomen?
  1. Salarisspecialisten.nl stuurt de in sub 3 genoemde gegevens z.s.m. aan de in sub 2 genoemde personen.
  2. Werkgever dient de melding bij de Autoriteit Persoonsgegevens in en stuurt salarisspecialisten.nl z.s.m. na indiening een afschrift van de gedane melding.
  3. Indien bij het datalek ‘bijzondere persoonsgegevens’ zijn betrokken, stelt werkgever in overleg met salarisspecialisten.nl z.s.m. een melding aan de betrokkene op. De melding aan de betrokkene bevat ten minste:
  4. De aard van de inbreuk: wat is er gebeurd c.q. waardoor kon het gebeuren dat er persoonsgegevens zijn gelekt.
  5. De instanties waar de betrokkene meer informatie over de inbreuk kan krijgen: de klantenservice van salarisspecialisten.nl, incl. de contactgegevens daarvan.
  6. De maatregelen die salarisspecialisten.nl en/of werkgever de betrokkene aanbeveelt om te nemen om de negatieve gevolgen van de inbreuk te beperken. Hierbij dient iets te worden opgemerkt over negatieve gevolgen die mogelijk zijn en op welke signaleren de betrokkene alert dient te zijn.
  7. De maatregelen die salarisspecialisten.nl heeft genomen om herhaling te voorkomen.
  8. De mededeling dat het betreffende incident overeenkomstig de wettelijke verplichting daartoe, is gemeld aan de Autoriteit Persoonsgegevens.
  9. Werkgever stuurt de brief naar betrokkene en een kopie naar salarisspecialisten.nl.
  10. De afhandeling van beveiligingsincidenten waarbij persoonsgegevens betrokken zijn, als hier bedoeld, wordt geëvalueerd in het kader van een periodiek overleg tussen salarisspecialisten.nl en werkgever.