2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands

Procedure meldplicht datalekken

<Bedrijfsnaam>

Concept <Bedrijfsnaam> Versie x.x

Procedure meldplicht datalekken datum 2 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

Versiebeheer

Versie Datum Status Naam Toelichting

Procedure meldplicht datalekken datum 3 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

Inhoud

1 Algemeen 4 1.1 Achtergrond 4 1.2 Doelstelling 4 1.3 Scope 4 1.4 Informatiebeveiligingsbeleid 4 1.5 Leeswijzer 4

2 Algemene verordening 5 2.1 Algemeen 5 2.2 Definities 5 2.3 Privacy Impact Assessment (PIA) en voorafgaande raadpleging AP 6 2.4 Meldplicht datalekken 6

3 Procedure 7 3.1 Doelstelling 7 3.2 Omschrijving 7 3.3 Stuurgroep Privacy- en informatiebeveiliging 7 3.4 Input/ trigger 7 3.5 Activiteiten 7 3.6 Output/ resultaat 8

4 Opvolging 9 4.1 Logboek 9 4.2 Periodiek 9 4.3 Verbeteracties 9 4.4 Rapportage 10

5 Bijlage 1: Contactgegevens 11

6 Bijlage 2: Communicatie melding datalekken - Checklist en procedures 12 6.1 Kernvragen om beeld te krijgen van het incident 12 6.2 Melding aan betrokkenen 12 6.3 Doelgroepen: Wie te benaderen, intern en extern 13 6.4 Regels ten aanzien van media 13 6.5 Boodschappen vaststellen 13 6.6 Do’s & Dont’s 14

7 Bijlage 3: Te stellen vragen/algemene vragen 15

Procedure meldplicht datalekken datum 4 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

1 Algemeen

1.1 Achtergrond Het recht op bescherming van de privacy/ de persoonlijke levenssfeer is een van de basisbeginselen van onze rechtsorde, en is neergelegd in onder meer de Grondwet en uitgewerkt in de Algemene verordening gegevensbescherming (AVG). Daarmee is de bescherming van de privacy ook een belangrijke wettelijke verplichting waarop wordt toegezien door Autoriteit Persoonsgegevens (AP). Onderdeel van de bescherming van de privacy is de bescherming van persoonsgegevens.

1.2 Doelstelling De doelstelling van dit document is om te komen tot noodzakelijke onderdelen om te voldoen aan AVG.

1.3 Scope De scope van dit document is gericht op <Bedrijfsnaam>.

1.4 Informatiebeveiligingsbeleid De wijze waarop <Bedrijfsnaam> de vastgelegde persoonsgegevens beschermd is vastgelegd in het informatiebeveiligingsbeleid van <Bedrijfsnaam>. Dit beleid is nader uitgewerkt in het privacy- en informatiebeveiligingsplan. De Directie van <Bedrijfsnaam> is verantwoordelijk voor de naleving van het beleid.

1.5 Leeswijzer Dit document beschrijft hoe <Bedrijfsnaam> voldoet aan de meldplicht datalekken in de AVG (artikel 33 en 34). Dit document is mede gebaseerd op de Beleidsregels meldplicht datalekken van de AP en dit document wordt om die reden geïnterpreteerd en gehanteerd conform de Beleidsregels meldplicht datalekken van de AP: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken_0.pdf . Hoofdstuk 1 is deze inleiding. Hoofdstuk 2Fout! Verwijzingsbron niet gevonden. geeft een algemene inleiding in AVG en legt daarmee de basis voor hoofdstuk 3: de procedure voor melden van datalekken. In hoofdstuk 4 wordt de opvolging van een datalek verder uitgewerkt. Bijlage 1: Contactgegevens bevat contactgegevens van personen met relevante functies en in Bijlage 2: staan checklists voor praktische uitvoering van de procedure en opvolging daarvan.

Procedure meldplicht datalekken datum 5 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

2 Algemene verordening

2.1 Algemeen Iedereen moet erop kunnen vertrouwen dat zijn of haar persoonsgegevens voldoende worden beveiligd. Als dit niet zo is, kan dat leiden tot schade voor de betrokkenen (degenen op wie de persoonsgegevens betrekking hebben). Datalekken kunnen bijvoorbeeld tot gevolg hebben dat betrokkenen het slachtoffer worden van identiteitsfraude, oplichting of andere vormen van misbruik van hun persoonsgegevens. Ook als persoonsgegevens incorrect, verouderd of onvolledig zijn, kan dit de betreffende personen ernstig belemmeren in hun deelname aan het maatschappelijk leven. Een consequentie van het gebruik van foutieve of achterhaalde persoonsgegevens kan bijvoorbeeld zijn dat mensen geen toegang krijgen tot voorzieningen waar ze recht op hebben. Een van de belangrijkste doelstellingen van de beveiliging van persoonsgegevens is het voorkomen van dergelijke schade en waar deze zich toch voordoet, de gevolgen voor de betrokkenen zo veel mogelijk te beperken.

2.2 Definities In deze procedure worden termen gebruikt in overeenstemming met de betekenis die AVG daaraan geeft:

• Persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

• Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

• Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;

• Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

• Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

• Verwerkersovereenkomst: de verwerkersovereenkomst is de overeenkomst tussen verantwoordelijke en verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan.

• Betrokkene: degene op wie een persoonsgegeven betrekking heeft;

• Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

• Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt;

• Toestemming van de betrokkene: van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een

Procedure meldplicht datalekken datum 6 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

• Privacy Impact Assessment (PIA): een gegevensbeschermingseffectbeoordeling zoals bedoeld in artikel 35 AVG;

• Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;

• Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.

• Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

2.3 Privacy Impact Assessment (PIA) en voorafgaande raadpleging AP Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Indien uit de PIA blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de Autoriteit Persoonsgegevens (AP).

2.4 Meldplicht datalekken Artikel 33 en 34 van de AVG regelen de meldplicht voor datalekken. Deze meldplicht houdt in dat <Bedrijfsnaam> datalekken moet melden aan de Autoriteit Persoonsgegevens (AP) en in bepaalde gevallen ook aan de betrokkene.

Het is de verplichting van <Bedrijfsnaam> om te zorgen dat de beveiliging steeds adequaat is. Omdat <Bedrijfsnaam> bijzondere persoonsgegevens verwerkt voor projecten rond ontwikkelingssamenwerking verwerkt is het hoogste beveiligingsniveau vereist. <Bedrijfsnaam> dient passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Verlies houdt in dat <Bedrijfsnaam> de gegevens niet meer heeft, omdat deze zijn vernietigd of op een andere manier verloren zijn gegaan. Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan.

De AP noemt als voorbeelden van datalekken:

• een kwijtgeraakte USB-stick;

• een gestolen laptop;

• een inbraak door een hacker;

• verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor

alle andere geadresseerden;

• een malware-besmetting;

• een calamiteit zoals een brand in een datacentrum.

Overtreding van de meldplicht datalekken kan de AP bestraffen met het opleggen van een boete van maximaal € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

Procedure meldplicht datalekken datum 7 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

3 Procedure

3.1 Doelstelling Deze procedure heeft als doel om snel, juist en effectief te reageren in geval van een datalek.

3.2 Omschrijving Deze procedure beschrijft hoe te reageren op de melding van een mogelijk datalek, hoe de impact te bepalen en welke verdere stappen gezet moeten worden door de leden van de Stuurgroep Privacy- en informatiebeveiliging. <Bedrijfsnaam> (in het bijzonder de genoemde personen in Bijlage 1: Contactgegevens) moet zelf een beredeneerde afweging maken of een concrete inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen en derhalve onder het bereik van de wettelijke meldplicht valt.

3.3 Stuurgroep Privacy- en informatiebeveiliging De leden van de Stuurgroep Privacy- en informatiebeveiliging geven invulling aan onderstaande rollen:

Rol Functie Verantwoordelijkheid

Legal ?? Juridische aspecten datalek

IT Manager ICT Technische aspecten

Communicatie Directeur <Bedrijfsnaam>

Communicatie naar buiten toe

Compliance officer

Controller <Bedrijfsnaam>

Coördinatie, correct doorlopen procedure, maken eventuele melding

3.4 Input/ trigger De trigger van deze procedure is:

• Melding van mogelijk datalek op privacy@<Bedrijfsnaam>.nl Invoer van deze procedure is minimaal:

• Wat, waar, wanneer gelekt

• Door wie geconstateerd

3.5 Activiteiten Nr. Activiteit Betrokkenen

1 Melding beveiligingsincident bij privacy@<Bedrijfsnaam>.nl Melder

2 Stuurgroep Privacy- en informatiebeveiliging maakt met de melder een samenvatting van het incident. De samenvatting bevat in ieder geval de volgende gegevens:

a. Van hoeveel personen zijn persoonsgegevens betrokken bij het

incident?

b. Een omschrijving van de groep mensen van wie persoonsgegevens

zijn betrokken.

c. Wanneer het incident plaatsvond.

d. De aard van de inbreuk (lezen, kopiëren, veranderen, verwijderen

of vernietigen, diefstal).

e. De type persoonsgegevens.

f. Welke gevolgen het incident kan hebben voor de persoonlijke

levenssfeer van de betrokkenen.

Stuurgroep Privacy- en informatiebeveiliging, melder

Procedure meldplicht datalekken datum 8 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

Nr. Activiteit Betrokkenen

g. De technische beschermingsmaatregelen op de betrokken

persoonsgegevens (versleuteld, gehasht of op een andere manier

onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden). 3 De <Bedrijfsnaam> Stuurgroep Privacy- en informatiebeveiliging stelt

vast:

a. of <Bedrijfsnaam> het beveiligingsincident moet beschouwen als

een datalek en zo ja,

b. of <Bedrijfsnaam> het datalek moet melden bij de AP en

c. of <Bedrijfsnaam> het datalek moet melden aan de betrokkene(n).

Ad (b) <Bedrijfsnaam> moet een datalek altijd melden bij de AP, tenzij

het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Ad (c) <Bedrijfsnaam> moet een datalek melden aan de betrokkene(n) als (i) <Bedrijfsnaam> geen passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn, (ii) het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen en (iii) er geen maatregelen na het ontstaan van het datalek zijn genomen die zorgen dat dit hoge risico zich niet meer voordoet.

De <Bedrijfsnaam> Stuurgroep Privacy- en informatiebeveiliging informeert de melder over de beoordeling van de melding.

Stuurgroep Privacy- en informatiebeveiliging

4 Als er sprake is van een datalek, meldt de <Bedrijfsnaam> Stuurgroep

Privacy- en informatiebeveiliging dit aan de Directie; Indien

<Bedrijfsnaam> het datalek moet melden bij de AP en/of de

betrokkene(n) meldt de stuurgroep dit onverwijld aan de directie.

Stuurgroep Privacy- en informatiebeveiliging, Directie

5 De <Bedrijfsnaam> Stuurgroep Privacy- en informatiebeveiliging

verzorgt een melding bij de AP, uiterlijk 72 uur na de melding.

Stuurgroep Privacy- en informatiebeveiliging, Directie

6 De Directie verzorgt een melding bij de betrokkene(n), zo spoedig

mogelijk na de melding. Zie details in Bijlage 2: .

Stuurgroep Privacy- en informatiebeveiliging, Directie

3.6 Output/ resultaat Uitvoer van deze procedure is:

• Mogelijk een melding bij AP gedaan

• Mogelijke melding aan degenen van wie persoonsgegevens zijn gelekt

Procedure meldplicht datalekken datum 9 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

4 Opvolging

4.1 Logboek Elke melding van een potentieel datalek wordt geregistreerd door de <Bedrijfsnaam> Stuurgroep Privacy- en informatiebeveiliging zodat uiteindelijk een dossier per melding ontstaat. Men kan daarmee snel een compleet beeld te krijgen van de situatie. Ook kan de verantwoordelijkheid van leden van de privacy commissie overgenomen worden in geval van ziekte, vakantie, e.d.

Per datalek bevat het overzicht in ieder geval feiten en gegevens omtrent de aard van de inbreuk. Als het datalek is gemeld aan de betrokkene, dan is ook de tekst van de kennisgeving aan de betrokkene onderdeel van het overzicht.

De <Bedrijfsnaam> Stuurgroep Privacy- en informatiebeveiliging houdt het overzicht bij om 1. uitvoering te geven aan de wettelijke plicht hiertoe;

2. lering te trekken uit het datalek en uit de wijze waarop <Bedrijfsnaam> dit heeft afgehandeld;

3. antwoord te kunnen geven op vragen van betrokkenen en anderen;

4. alsnog het datalek aan de betrokkene(n) te kunnen melden, indien <Bedrijfsnaam> dit in

eerste instantie achterwege heeft gelaten maar de omstandigheden of de AP vereisen dat

<Bedrijfsnaam> dit alsnog doet.

Gegevens die worden bijgehouden:

• originele melding per email en alle daaropvolgende communicatie;

• alle conform deze procedure verzamelde informatie;

• verslagen van vergaderingen van Stuurgroep Privacy- en informatiebeveiliging;

• gedane meldingen bij AP, wijzigingen en intrekking (bijv. PDF-print van het formulier);

• (verslagen van) andere communicatie met AP;

• (bewijs van) gedane aanpassingen om het lek te dichten;

• overige informatie gerelateerd aan bovenstaande;

• bewijs van uitvoering van het retentiebeleid.

Deze registratie is de verantwoordelijkheid van de compliance officer. Hij en teamleden zijn de enige die deze registratie mogen inzien en muteren. Registraties worden maximaal 2 jaar bewaard en daarna vernietigd.

4.2 Periodiek Voor deze procedure is een jaarlijkse evaluatie nodig. Een regelmatige proefmelding is een goede manier om aanpassingen in de procedure voor het maken van een melding bij AP op te merken en de eigen procedure te evalueren. Ook komen dan tekortkomingen in de eigen procedure sneller naar boven en kunnen al voorbereidde delen van een melding bijgewerkt worden. Evaluaties en bijgewerkte versies van deze procedure worden ook opgeslagen in het logboek met de eigen registratie van datalekken.

4.3 Verbeteracties De directie is verantwoordelijk voor het waarborgen van het recht op privacy van de klanten, donateurs en andere betrokkenen bij <Bedrijfsnaam>. De <Bedrijfsnaam> Stuurgroep Privacy- en informatiebeveiliging meldt elk datalek conform de procedure beschreven in Hoofdstuk 3 aan de Directie en onderzoekt de oorzaak van het datalek. Op basis van haar bevindingen stelt zij passende technische en organisatorische maatregelen voor om de beveiliging van de persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking te verbeteren.

Procedure meldplicht datalekken datum 10 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

De Directie neemt het besluit om de voorgestelde verbeteracties door te voeren. Ook worden verbeteracties vastgelegd in het logboek en doorgevoerd in het privacy- en informatiebeveiligingsplan.

4.4 Rapportage De <Bedrijfsnaam> Stuurgroep Privacy- en informatiebeveiliging rapporteert de datalekken, de meldingen en de verbeteracties in de jaarlijkse rapportage aan de directie van <Bedrijfsnaam>.

Procedure meldplicht datalekken datum 11 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

5 Bijlage 1: Contactgegevens

Leden <Bedrijfsnaam> Stuurgroep Privacy- en informatiebeveiliging

Naam Functie Telefoon Mobiel e-mail

Procedure meldplicht datalekken datum 12 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

6 Bijlage 2: Communicatie melding datalekken - Checklist en procedures

Deze checklists bieden praktische ondersteuning bij het omgaan met een mogelijk datalek.

6.1 Kernvragen om beeld te krijgen van het incident Stel altijd een aantal kernvragen:

1. Wat is er gebeurd? 2. Waar, wanneer en hoe? 3. Wie zijn de betrokkenen? 4. Wat is de huidige status?

Basisprincipes:

• Erken het probleem

• Focus op de boodschap: “De maatregelen die we hebben genomen zijn xxx.”

• Open en eerlijke communicatie, gebaseerd op feiten die op dat moment beschikbaar zijn - Aangeven wanneer meer informatie en communicatie is te verwachten

6.2 Melding aan betrokkenen Directe melding aan betrokkenen:

1. Analyseren van mogelijke publiciteit en van daaruit intensiteit van communicatie bepalen; proberen issue zo klein mogelijk te houden – ‘hekje er om heen’

2. Plannen en voorbereidingen treffen interne en externe communicatie 3. Uitvoeren van interne en externe communicatie

Ad 1. Analyseren van mogelijke publiciteit

• Assessment van de situatie en mogelijk media-aandacht

• Social media, twitter/facebook en andere, volgen

• Bepalen welke media/journalisten mogelijk het issue gaan volgen

• Welke onderdelen van de situatie krijgen media-aandacht; focus media-aandacht Ad 2. Voorbereiden en adviseren

• Zorgen wegnemen bij medewerkers, klanten, patiënten, patiëntenorganisaties en leveranciers

• Media aanpak, waaronder ook: wie doet woordvoering

• Eenduidigheid in boodschappen Ad 3. Eerst opstellen Altijd Storyline en Q&As opzetten. Zorg dat alle interne medewerkers op de hoogte zijn, zodat niemand verrast wordt door vragen van klanten, pers e.d. Afhankelijk van de ernst, omvang en aard van het datalek:

• Persoonlijk individueel contact met gedupeerde(n) – telefonisch of e- mail

• Brief/e-mail voor gedupeerden maar ook voor aanpalende stakeholders (klanten, donateurs, leveranciers en andere stakeholders)

• Brief/e-mail op internet vermelden Issue is van dusdanige aard dat media-aandacht verwacht wordt:

• Statement voor de pers, ook op internet zetten

• Persbericht

• Q&A opzetten en FAQ op internet

• Facts & Figures (feiten van incident: wie, wat, hoe, wanneer)

Procedure meldplicht datalekken datum 13 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

• Open brief in de media

• Interne boodschappen: via newsflash, intranet en/of email Opmerking: indien haalbaar zoveel mogelijk speciale en persoonlijke aandacht voor de gedupeerden.

6.3 Doelgroepen: Wie te benaderen, intern en extern Denk bij doelgroepen aan:

• Media: o Dagbladen, radio, TV o Vakbladen o Social media – doorlopend volgen en reacties afstemmen!

• Brancheverenigingen

• Leveranciers en afnemers

• Medewerkers

• Andere zakelijke relaties

6.4 Regels ten aanzien van media Bepaal de regels ten aanzien van de media:

• Vaststellen wie de woordvoerder is o Alle woordvoering zal gevoerd worden door Communicatie o Bij escalatie betreffende lijn verantwoordelijke inzetten

• Medewerkers moeten eraan herinnerd worden dat ze niet met de media praten. o En mochten ze benaderd worden door de media moeten zij dit direct doorgeven aan

Communicatie

• Media monitoring, inclusief social media

6.5 Boodschappen vaststellen Eerste reactie

• We begrijpen en erkennen de serieusheid van de situatie

• We hebben meteen actie ondernomen om te zien wat er gebeurd is Op orde hebben van de feiten, feitelijke woordvoering

• We zullen de juiste prioriteiten stellen: eerst gedupeerden helpen (en daarna pas financiële schade)

• Aangeven indien mogelijk wanneer het issue is opgelost (nooit te optimistisch!) Daarna verwerken en analyseren van reacties van de belangrijkste stakeholders en betrokkenen:

• Betrokkenen/gedupeerden

• Interne reacties medewerkers

• Reacties van belangenverenigingen, donateur, klanten – callcenters, e-mails, brieven

• Reacties van de media/blogs/forums etc. Wacht niet alleen reacties af, maar neem ook, indien mogelijk, proactief contact op met betrokkenen om informatie over de status van het issue op te halen:

• Op basis van feedback o Vaststellen kernboodschappen en lijn van woordvoering o Monitoring en vervolgens kijken of de boodschappen overkomen o Onjuistheden altijd direct verbeteren! o Communicatie/boodschappen indien nodig aanpassen.

• Na het incident, aftercare! Opmerking 1: Het is uiterst belangrijk om van het begin af aan legal blijvend te betrekken in communicatie, gezien het feit dat er mogelijk een schuldvraag kan ontstaan.

Procedure meldplicht datalekken datum 14 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

Opmerking 2: Vastleggen van documentatie, paper trail

6.6 Do’s & Dont’s Een aantal do’s en dont’s zijn:

• Probeer de regie te houden door snel, adequaat en pro-actief te handelen. Maar blijf zorgvuldig, feiten moeten kloppen.

• Soms kan je fouten beter toegeven – echter altijd afstemmen met legal.

• Vergeet nooit de medewerkers. Zij moeten op een goede manier geïnformeerd worden.

• Wees open en constructief naar de media. Hou de dialoog gaande, maar beschouw ze nooit als een vriend.

• Tijdens een incident/crisis is het minder belangrijk wie gelijk heeft; het belangrijkste is om de crisis op te lossen.

• Blijf communiceren; ‘de ramen sluiten’ is het slechtste advies.

• Nooit liegen!

• Snelle communicatie is belangrijk, maar blijf zorgvuldig!

Procedure meldplicht datalekken datum 15 van 15 <Bedrijfsnaam> CONCEPT Versie x.x

7 Bijlage 3: Te stellen vragen/algemene vragen

Het incident 1. Wat is het datalek? 2. Wie zijn hierdoor getroffen? 3. Hoe zijn jullie er achter gekomen dat een onbevoegde partij toegang heeft gehad? 4. Wanneer hebben jullie het ontdekt? 5. Hebben jullie de betrokkenen meteen ingelicht? 6. Hoeveel mensen zijn getroffen door dit incident? 7. Hoe is het mogelijk dat dit datalek is ontstaan?

Wat betekent dit voor mij?

8. Welke data betreft het? 9. Wat betekent dit voor mij als gedupeerde(n)? 10. Wat doet u eraan om dit te ‘ongedaan te maken’/repareren?

Welke acties heeft u ondernomen?

11. Welke maatregelen heeft u ten aanzien van dit incident genomen? 12. Heeft u de betrokken autoriteiten geïnformeerd? 13. Volgt er nog een onderzoek? 14. Welke maatregelen heeft u getroffen of u gaat u treffen om dit in de toekomst te voorkomen?