De AVG (en daarvoor de Wet bescherming persoonsgegevens) verplicht organisaties die persoonsgegevens verwerken om datalekken te melden aan juiste autoriteit (afhankelijk van de Nationaliteit van de betrokken(en)). Bij een datalek moet de ‘verantwoordelijke’ van de gegevens de melding maken. Infoland is niet de ‘verantwoordelijke’ van de gegevens maar de ‘verwerker’. Bij een eventueel datalek zal Infoland de contactpersoon binnen jouw organisatie tijdig en compleet informeren. Zo kunnen jullie als organisatie voldoen aan de verplichtingen die jullie hebben als ‘verantwoordelijke’.
Wanneer is er sprake van een datalek?
Indien er een inbreuk op de beveiliging heeft plaatsgevonden (beveiligingsincident), zullen wij aan de hand van de beleidsregels meldplicht datalekken van de Europese toezichthouders bepalen of er ook een datalek heeft plaatsgevonden. Er is enkel sprake van een datalek als er onrechtmatige verwerking heeft plaatsgevonden.
Gaat Infoland zelf meldingen doen richting de juiste autoriteit of betrokkenen?
Nee. Jouw organisatie is (als verantwoordelijke van de persoonsgegevens) zelf primair verantwoordelijk voor het melden richting de juiste autoriteit of betrokkenen. Infoland zal jouw organisatie tijdig voorzien van alle benodigde gegevens om de melding zelf te kunnen doen.
Binnen welke termijn neemt Infoland contact op en met wie?
In de beleidsregels meldplicht datalekken geldt een termijn van 72 uur voordat de melding bij de juiste autoriteit moet plaatsvinden. Zodra wij of één van onze hulpleveranciers(s) een datalek hebben geconstateerd, zullen wij jou daar zo snel mogelijk – maar uiterlijk binnen 48 uur – over informeren. In onderstaand schema zie je met wie wij vervolgens contact opnemen:
- een specifiek door jou opgegeven contactpersoon voor het melden van datalekken
- primaire contactpersoon hosting dienst
- commercieel contactpersoon
Welke informatie gaat Infoland verstrekken?
Wij verstrekken een beschrijving van de aard en de omvang van het datalek, een inschatting van het aantal getroffen betrokkenen én een indicatie van de aard van de getroffen persoonsgegevens. Verder ontvang je een beschrijving van de getroffenen en (een voorstel tot) te treffen preventieve en correctieve maatregelen.
Let op!
In het geval dat er met jouw organisatie afwijkende afspraken zijn gemaakt (in een verwerkersovereenkomst), zullen deze prevaleren.