Aan de slag met privacy

Een datalek zette in april 2016 de gemeente Amersfoort op scherp. Sindsdien investeert de gemeente flink in het op orde krijgen van haar privacybeleid. Systemen worden aangepast, organisatorische maatregelen genomen en er wordt gewerkt aan het privacy- en informatieveiligheidsbewustzijn van medewerkers. Lees hier meer.

FAQ
Wanneer doe ik een PIA?

Om te bepalen of een PIA noodzakelijk is kunt u gebruik maken van de Baselinetoets BIG van de IBD.

De Baselinetoets BIG is bijgewerkt naar versie 1.3. Deze versie is in lijn gebracht met de AVG. Het tabblad “privacy” van de baselinetoets helpt u te bepalen of een Data protection impact assessment(DPIA) noodzakelijk is. U moet vanaf 25 mei 2018 een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.

Mijn leverancier heeft een datalek veroorzaakt, wie doet de melding?

De algemene regel is dat de verantwoordelijke voor de gegevensverwerking een datalek moet melden. Werkt u samen in een samenwerkingsverband of met leveranciers? Dan kan er sprake zijn van gezamenlijke verantwoordelijkheid. U spreekt dan onderling af wie het datalek meldt aan de Autoriteit Persoonsgegevens en aan de betrokkenen.

Zie ook:
Factsheet Verwerkersovereenkomsten

Is mijn informatiebeveiligingsincident een datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
Een voorbeeld hiervan is het kapot gaan van een harde schijf in een server. Dit kan er voor zorgen dat bepaalde gegevens tijdelijk niet beschikbaar zijn. Als er geen persoonsgegevens op de harde schijf stonden heeft u alleen een incident. Het kapot gaan van een harde schijf is dus niet direct een datalek. Als dit niet het geval is en u de data niet terug kunt zetten, heeft u, in het geval dat er persoonsgegevens bij betrokken waren, een datalek.

Bekijk meer gerelateerde FAQ