1. Van het lekken van welke (gevoelige) persoonsgegevens moet je melding doen?
Meld het als er een datalek is met deze soorten persoonsgegevens:
- de medische en tandheelkundige gegevens van patiënten,
- het BSN-nummer (burgerservicenummer) van patiënten,
- kopieën van identiteitsbewijzen,
- financiële gegevens van medewerkers, zoals de salarisstroken
- persoonlijke informatie uit het personeelsdossier (bijv. rondom ziekte).
2. Wanneer is er precies sprake van een ‘datalek’?
Er is sprake van een datalek als er een incident heeft plaatsgevonden waarbij persoonsgegevens mogelijk in handen zijn gekomen van anderen, of als deze verloren zijn gegaan, of niet redelijkerwijs kan worden uitgesloten dat dit is gebeurd.
Als er bijvoorbeeld alleen sprake was van een zwakke plek in de beveiliging, maar kan worden vastgesteld dat daarbij geen gegevens verloren zijn gegaan of in handen van derden terecht gekomen zijn, is er geen sprake van een datalek maar van een beveiligingsincident.
Bekijk de voorbeelden: datalek of niet? (pdf)
Datalek of niet? Doorloop het stappenplan (pdf)
3. Datalek melden
Wanneer melden?
Je dient een datalek zonder onnodige vertraging en niet later dan 72 uur na de ontdekking van het datalek te melden bij de Autoriteit Persoonsgegevens. Doe je dat niet dan kan je dat op een forse boete komen te staan.
Wel of geen melding doen?
Twijfel je of je een melding moet doen? Kies dan voor het doen van een voorlopige melding. Blijkt het toch loos alarm, dan kun je je melding altijd nog intrekken. In geval van een werkelijk datalek, kun je je melding later eventueel aanvullen met nadere informatie.
Hoe melden?
Je kunt je melding doen via het meldloket bij de Autoriteit Persoonsgegevens
Wij raden je aan van de melding een uitdraai te maken of deze als pdf op te slaan en deze in je administratie te bewaren.
Welke informatie melden?
De Autoriteit Persoonsgegevens vraagt onder andere naar de volgende informatie in haar online vragenformulier:
- gaat het om een nieuwe of een bestaande melding;
- het wettelijk kader van de melding;
- algemene informatie en wie contactpersoon binnen de praktijk is;
- gegevens over het datalek;
- welke vervolgacties naar aanleiding van het datalek zijn genomen;
- welke technische beschermingsmaatregelen zijn getroffen;
- internationale aspecten: heeft de inbreuk betrekking op personen in andere EU-landen;
- of er nog een vervolgmelding zal komen of dat de melding compleet is.
Let op! - voor het volledig en juist kunnen invullen van het vragenformulier van de Autoriteit Persoonsgegevens kan informatie van je verwerker(s) noodzakelijk zijn.
4. Een datalek melden aan patiënten of medewerkers (‘de betrokkene’)
Wanneer melden?
Niet elk datalek dat je meldt bij de Autoriteit Persoonsgegevens moet ook gemeld worden aan je patiënt(-en) of medewerker(s). Hiervoor moet je een aparte afweging maken. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kun je er vanuit gaan dat je het datalek niet alleen moet melden aan de Autoriteit Persoonsgegevens, maar ook aan de betrokkene.
Het melden aan je patiënten of medewerkers mag achterwege worden gelaten als:
- de gegevens bijvoorbeeld zijn versleuteld, waardoor ze onbegrijpelijk zijn voor onbevoegden;
- je maatregelen heeft genomen waardoor het hoge risico voor de rechten en vrijheden van de betrokkenen zich waarschijnlijk niet meer zal voordoen;
- de mededeling een onevenredige inspanning van je zou vergen.
Binnen welke termijn melden?
Je dient, na de vaststelling dat melden aan de betrokken patiënt(-en) of medewerker(s) nodig is, dit ‘onverwijld’ te melden. Je mag na het ontdekken van het datalek enige tijd nemen voor nader onderzoek zodat de betrokken patiënt(-en) of medewerkers zorgvuldig en op behoorlijke wijze geïnformeerd kunnen worden. De 72-uurs termijn geldt in dit geval dus niet, maar de betrokken patiënt of medewerker dient mogelijk maatregelen te nemen om zich te beschermen tegen de gevolgen van het datalek. Dus hoe eerder er gemeld wordt, hoe eerder gerichte actie kan worden ondernomen door de patiënt of medewerker.
Hoe melden?
Je dient de betrokken patiënten of medewerkers individueel aan te schrijven. Daarnaast kun je dit combineren met algemene voorlichting, bijvoorbeeld via een mailing of je website.
Welke informatie melden?
In je bericht aan je patiënt(-en) of medewerker(s) dien je in ieder geval te melden:
- een omschrijving van het datalek dat zich heeft voorgedaan;
- waar de patiënt of medewerker terecht kan voor informatie en vragen;
- welke maatregelen je al hebt genomen om de negatieve gevolgen zoveel mogelijk te beperken;
- welke maatregelen de patiënt of medewerker zelf kan nemen om de negatieve gevolgen van het datalek zoveel mogelijk te beperken
Voorbeeldbrief informeren patiënten en/of medewerkers bij een datalek (docx)
5. Bewaren van gegevens rond de melding van het datalek
Je bent verplicht om een overzicht bij te houden van alle datalekken. Per datalek dient dit overzicht in ieder geval feiten en gegevens omtrent de aard en de inbreuk van het datalek te bevatten. Denk hierbij bijvoorbeeld aan de oorzaak van het datalek, het moment waarop het datalek ontdekt is, de soort gegevens die gelekt zijn en hoe het datalek gedicht is. Als het datalek is gemeld aan de patiënten en/of medewerkers, dan neem je ook de tekst van de brief/e-mail aan de betrokkene in het overzicht op.
Je kunt hiervoor desgewenst gebruikmaken van een eenvoudig model-register datalekken van de KNMT (xlsx). Lees ook de toelichting (pdf).
6. Vervolg na de melding bij de Autoriteit Persoonsgegevens
Je melding bij de Autoriteit Persoonsgegevens zal terecht komen in een register. Vervolgens zal de Autoriteit Persoonsgegevens bezien welke melding(-en) zij nader zal onderzoeken. Zij kan contact met je opnemen om aanvullende informatie op te vragen.