Meldplicht Datalekken
Auteur(s):
Project Moore in opdracht van SURF
Versie:
3.0
Datum:
Januari 2016
Moreelsepark 48 3511 EP Utrecht
Postbus 19035 3501 DA Utrecht
088 - 787 30 00
[email protected] www.surfnet.nl
ING Bank NL54INGB0005936709 KvK Utrecht 30090777 BTW NL 0089.60.173.B01
Meldplicht Datalekken
Inhoudsopgave 1. Inleiding ...................................................................................................................... 4 2. Het melden van een datalek ...................................................................................... 5 3. Stappenplan voorbereiding meldplicht datalekken ................................................ 7 4. Veel gestelde vragen ................................................................................................. 9
Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op http://creativecommons.org/licenses/by/3.0/deed.nl
Meldplicht datalekken
Dit document ‘Meldplicht Datalekken’ is een handreiking voor de instellingen die behoren tot de doelgroep van SURF. Het document bevat een stappenplan dat de instellingen kunnen gebruiken om compliant te worden met de wetgeving rond het melden van datalekken. Het stappenplan benadert het vraagstuk vanuit de optiek van integrale veiligheid en benadrukt daarom de taken en verantwoordelijkheden voor verschillende functionarissen binnen de organisaties van de doelgroep. Ter informatie is een korte vraagbaak opgenomen waarin SURF uitlegt wat de meldplicht inhoudt en waarin de antwoorden op de belangrijkste vragen over datalekken en de meldplicht zijn te vinden. De Autoriteit Persoonsgegevens (voorheen College bescherming persoonsgegevens) heeft beleidsregels gepubliceerd over de meldplicht datalekken. De beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek en of er gemeld moet worden een de Autoriteit en/of aan betrokken. De beleidsregels zijn te vinden op de website van de Autoriteit 1 Persoonsgegevens.
1
https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken
3/11
Meldplicht datalekken
1. Inleiding Geregeld lezen we in de media dat gegevens van werknemers, studenten of patiënten letterlijk op straat liggen; dossiers die worden aangeboden als oud papier, een gestolen smartphone of een verloren USBstick. Als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben spreken we van een datalek. Het risico op datalekken wordt steeds groter omdat onze persoonsgegevens in steeds meer databanken en/of op dragers zijn opgeslagen. Er zijn verschillende categorieën datalekken denkbaar; bepalend voor de reikwijdte van wetswijziging is dat sprake moet zijn van een inbreuk op een beveiligingsmaatregel en dat er ernstige nadelige gevolgen zijn voor de privacy van betrokkenen. Een datalek kan nadelige gevolgen hebben voor persoonlijke levenssfeer van betrokkenen doordat de weggelekte gegevens oneigenlijk gebruikt kunnen worden. Identiteitsfraude is hiervan een voorbeeld maar ook kan gedacht worden aan ongewenste profilering of doorbreking van bewust gekozen anonimiteit. Om ernstige nadelige consequenties voor de bescherming van persoonsgegeven te beperken is het wetsvoorstel ‘Wijziging van de Wet bescherming persoonsgegevens” en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken)’ ingediend, en op 26 mei 2015 aangenomen. Deze meldplicht draagt bij aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Na overleg met diverse partijen heeft het Ministerie van Veiligheid en Justitie in april 2014 de wetswijziging aangepast waardoor de meldplicht is versoepeld. Door deze aanpassingen beoogt de wetgever de bepalingen over de meldplicht te verduidelijken en te vereenvoudigen. Daarnaast moeten de aanpassingen zorgen voor een beter evenwicht tussen de belangen die zijn gediend met een goede bescherming van persoonsgegevens en de administratieve en nalevingskosten die met een meldingsverplichting gepaard gaan. De wetswijziging is per 1 januari 2016 in werking getreden. De wetswijziging introduceert een verplichting voor de verantwoordelijke om datalekken te melden. Hierdoor moeten onderwijs- en onderzoeksinstellingen die persoonsgegevens verwerken bepaalde inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens rapporteren aan zowel de Autoriteit Persoonsgegevens (AP) als aan de betrokkenen. Als een instelling hieraan niet voldoet riskeert zij een hoge boete die kan oplopen tot maximaal 820.000 euro (geldboete van de zesde categorie van art. 23 lid 4 Wetboek van Strafrecht). Verder heeft de AP bepaald dat het voor het niet melden van een datalek een boete kan opleggen van in beginsel maximaal 500.000 euro. Meer over de hoogte van de boetes is te vinden in de boetebeleidsregels die de AP op haar website heeft gepubliceerd. De meldplicht heeft alleen betrekking op doorbrekingen van de maatregelen voor de beveiliging van persoonsgegevens. De meldplicht staat dus in nauw verband met de beveiligingsverplichting van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) op basis waarvan een verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Door de AP zijn richtsnoeren gepubliceerd die uitleggen hoe het College bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. Er is sprake van een geclausuleerde meldplicht: alleen die inbreuken die ernstige nadelige gevolgen hebben voor de bescherming van de verwerkte persoonsgegevens moeten bij de AP worden gemeld. Door deze clausulering worden inbreuken met geringe nadelige gevolgen voor de bescherming van persoonsgegevens uitgezonderd van de meldplicht. De toekomstige Europese Privacy Verordening kent ook een meldplicht voor datalekken; de invoering meldplicht datalekken in Nederland loopt vooruit op de regelgeving die op dit moment in Brussel wordt voorbereid.
4/11
Meldplicht datalekken
2. Het melden van een datalek Door een wijziging van de Wbp (invoering artikel 34a) is een algemene meldplicht datalekken voor alle organisaties in de publieke en private sector ingevoerd. Een onderwijs- of onderzoekinstelling is verplicht een datalek te melden die ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. De meldplicht geldt voor de ‘verantwoordelijke’ zoals deze in de Wbp is gedefinieerd. ‘Betrokkenen’ zijn de personen van wie de persoonsgegevens zijn gelekt. Omdat er sprake is van een hoge sanctie bij niet naleving van de meldplicht heeft dit een directe relatie met de governance van de instelling. Zodra het datalek bekend is, moet de instelling beoordelen of het datalek gemeld moet worden bij de AP. De instelling moet hierbij een inschatting maken van de ernst van de nadelige gevolgen voor de bescherming van de persoonsgegevens. De instelling moet het datalek ook melden aan de betrokkenen (zoals studenten, (tijdelijke) werknemers van de instellingen, stagiaires, en/of patiënten) als de inbreuk op de verwerkte persoonsgegevens waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. De instelling zal bij een melding aan de AP moeten aangeven of zij van plan is om ook de betrokkenen van de inbreuk in kennis te stellen. De AP kan deze melding aan betrokkenen zo nodig afdwingen. Melding aan de betrokkenen kan achterwege blijven als de betreffende persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. Volgens de AP geeft een passende versleuteling van persoonsgegevens bij een beveiligingslek geen gevaar voor ernstige nadelige gevolgen voor de privacy van betrokkene. De instelling is verantwoordelijk voor de beoordeling of voldaan is dit het criterium van onbegrijpelijkheid of ontoegankelijkheid voor derden. Indien hier twijfels over zijn is melding aan de AP aan te raden. Ook is de verantwoordelijke verplicht alle lekken die ernstig genoeg waren om aan de AP te moeten melden te documenteren. Dit overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk en de tekst van kennisgeving aan de betrokkene(n). Verder rust op de onderwijsinstelling de verplichting om in de contracten met (IT-)leveranciers een vergelijkbare meldplicht op te nemen, die erop neerkomt dat deze leveranciers de instelling informeren indien sprake is van een datalek. Het Juridische Normenkader Cloudservices voor het hoger onderwijs in Nederland en de bijbehorende model bewerkersovereenkomst geven voorbeelden van bepalingen 2 die hiervoor gebruikt kunnen worden . Bij het niet voldoen aan bovengenoemde verplichtingen kan de AP een boete opleggen van maximaal EUR 820.000. Dit is een aanzienlijke uitbreiding van de huidige boetebevoegdheid van de toezichthouder. In alle gevallen zal de AP, behoudens opzettelijk handelen of ernstige verwijtbare nalatigheid, eerst een bindende aanwijzing geven alvorens een boete op te leggen. Daarin zal de AP een concrete aanwijzing geven aan de verantwoordelijke om binnen een bepaald termijn de overtreding (verzuim van melding van een datalek) gedeeltelijk of geheel te herstellen. Pas als die termijn verstreken is en de bindende aanwijzing niet is opgevolgd kan de AP overgaan tot het opleggen van bestuurlijke boete. Let op! Ingevolge art. 5:1 lid 2 en 3 van de Algemene Wet Bestuursrecht kan de bestuurlijke
2
Juridische Normenkader Cloudservices Hoger Onderwijs https://www.surf.nl/kennisbank/2013/juridischnormenkader-cloud-services-hoger-onderwijs.html
5/11
Meldplicht datalekken
boete zowel aan de overtreder (doorgaans de verantwoordelijke) als aan een medepleger (bijvoorbeeld een bewerker, feitelijke opdrachtgever of feitelijke leidinggevende) worden opgelegd. Om te beoordelen of een instelling een datalek moet melden, moet de instelling alle van de volgende drie vragen bevestigend beantwoorden: 1) Is er sprake van een inbreuk op de beveiligingsmaatregelen (een datalek)? 2) Zijn de verwerkte persoonsgegevens daardoor blootgesteld aan verlies of onrechtmatige verwerking? 3) Heeft deze blootstelling geleid (of is er een aanzienkelijke kans) tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens of ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkenen? Bij de beantwoording van de eerste vraag moet niet alleen gedacht worden aan actieve handelingen om de beveiliging te doorbreken zoals hacken van bestanden maar moet ook diefstal of verlies van dragers waarop persoonsgegevens zijn opgeslagen worden meegenomen. Wanneer gegevens zodanig zijn beveiligd dat het redelijkerwijs is uitgesloten dat een datalek kan leiden tot kennisname van persoonsgegevens door onbevoegden kan kennisgeving aan de AP en betrokkene achterwege blijven. Blootstelling aan ernstige nadelige gevolgen in de vorm van onrechtmatige verwerking moet objectief en naar feitelijke omstandigheden van het geval worden vastgesteld. Een richtlijn bij de beantwoording van de laatste vraag zijn vooral aard en omvang van de inbreuk van belang, de aard van de gelekte persoonsgegevens en de mate waarin technische beschermingsmaatregelen zijn getroffen ten aanzien van de desbetreffende persoonsgegevens. Het gaat hierbij om een inschatting van de ernst van de gevolgen. De beleidsregels van de AP bevatten 3 uitgebreide handvatten om deze inschatting te kunnen maken.
3
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf
6/11
Meldplicht datalekken
3. Stappenplan meldplicht datalekken De onderwijsinstelling kan zich als volgt voorbereiden op de meldplicht datalekken: •
•
•
•
•
Inventariseer waar in de onderwijs- en onderzoeksorganisatie welke gegevens worden verwerkt. Oftewel, breng de datastromen van de organisatie in kaart. Let daarbij op gevoelige gegevens die worden verwerkt zoals bijvoorbeeld medische en etnische gegevens van studenten en medewerkers. Denk ook aan de gegevens die in het kader van wetenschappelijk onderzoek worden verwerkt. Neem de huidige beveiligingsmaatregelen onder de loep. Inventariseer de mogelijke risico’s van verlies van gegevens en pas waar nodig het beveiligingsbeleid aan. Basis voor deze 4 risicoanalyse kan het SURFnet model Privacy Impact Assessment of de Hoger Onderwijs Referentie Architectuur (HORA) zijn waar al in staat aangegeven welke gegevensentiteiten vertrouwelijke gegevens bevatten. Opstellen duidelijke interne procedure (actieplan); Zorg voor een procedure waaruit duidelijk blijkt wie de verantwoordelijke is en welke afdeling/functionaris betrokken moet worden indien een datalek wordt geconstateerd. Denk hierbij aan het bestuur of hun gemandateerde eigenaar van de gegevens, de functionaris gegevensbescherming, de veiligheidsfunctionaris, de juridische afdeling en niet te vergeten de afdeling communicatie. Beschrijf hierbij de rollen en taken van deze afdelingen/functionarissen en sluit hierbij aan op bestaande processen binnen de instelling. Zo zou bijvoorbeeld de melding van een datalek overeen kunnen komen met de afhandeling van meldingen in het kader van Computer Security Incident Response Teams (CSIRT). In de procedure moet in ieder geval worden geregeld aan wie een datalek intern wordt gemeld, welke maatregelen door wie binnen welke termijnen moeten worden genomen en hoe het datalek naar buiten toe wordt gecommuniceerd. Indien er een functionaris gegevensbescherming aanwezig is moet deze in ieder geval in kennis gesteld worden. Een communicatieplan voor het naar buiten brengen van de melding zal hier ook deel van uitmaken. Denk er verder over na of het datalek gemeld moet worden bij de verzekering en of er een advocaat ingeschakeld moet worden. Zorg ook voor voldoende interne training met betrekking tot deze procedure. Zorg voor een strikt beleid met betrekking tot het verwerken van persoonsgegevens. Hiervoor 5 kunt u gebruik maken van het SURFnet model privacy beleid . Stel richtlijnen op voor het opslaan van persoonsgegevens door werknemers/studenten op draagbare apparatuur. Het opstellen van een protocol inclusief een procedure voor melding aan de AP en betrokkenen kan hier eveneens deel van uitmaken; Inventariseer de contracten met de bewerkers en zorg dat die waar nodig worden aangepast. Neem de verplichting op dat de bewerker onverwijld een melding aan de organisatie moet doen als er bij hem een datalek heeft plaatsgevonden. Vraag aan de bewerker een beschrijving van de gevolgen van de inbreuk en de maatregelen om de gevolgen te verhelpen. Spreek duidelijk met de bewerker af wie bepaalt of een datalek wel of niet meldingsplichtig is (bij voorkeur de instelling). Maak ook duidelijk welke datalekken gemeld moeten worden (dit zijn bij voorkeur alle incidenten en niet alleen de meldingsplichtige beveiligingsincidenten). Regel daarnaast hoe
4
Model privacy impact assessment en PIA risico formulier, versies december 2014, https://www.surf.nl/themas/digitale-rechten/privacy/implementatie-algemene-verordeninggegevensbescherming-avg/privacy-impact-assessment-pia/index.html
5
Model Beleid Verwerking Persoonsgegevens, versie januari 2015, https://www.surf.nl/themas/digitalerechten/privacy/implementatie-algemene-verordening-gegevensbescherming-avg/privacymodelbeleid/index.html
7/11
Meldplicht datalekken
•
wordt omgegaan met eventuele boetes die als gevolg van een datalek bij de bewerker aan de organisatie worden opgelegd. Stel van te voren vast hoe omgegaan wordt met een keten van bewerkers/sub-bewerkers en sub-subbewerkers. Wees duidelijk over de geschillenprocedure hiervoor. Overweeg encryptie waardoor melding aan betrokkenen achterwege gelaten kan worden.
8/11
Meldplicht datalekken
4. Veel gestelde vragen Moet de onderwijsorganisatie straks elk datalek gaan registreren? Nee, de verplichting om binnen de instelling een overzicht bij te houden van alle inbreuken is in een eerder stadium geschrapt gezien de lasten die dit met zich meebrengt. Uit de algemene beveiligingsverplichting van artikel 13 Wbp vloeit al voort dat de instelling procedures heeft voor het tijdig en doeltreffend behandelen van beveiligingsincidenten. Moet de onderwijsorganisatie straks elk datalek gaan melden? Ook als een medewerker bijvoorbeeld een telefoon of usb-stick verliest? Nee, een datalek hoeft alleen gemeld te worden als de datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt. De Autoriteit Persoonsgegevens heeft beleidsregels gepubliceerd die kunnen helpen om te bepalen of sprake is van ernstige nadelige gevolgen. Hoe dient de melding eruit te zien? Een melding moet worden gedaan bij de toezichthouder, de Autoriteit Persoonsgegevens. Dit kan door middel van het invullen van een formulier op de website. Of in sommige gevallen telefonisch of er fax. Er moeten verschillende gegevens worden ingevuld, waaronder (i) de aard van de inbreuk, (ii) de persoon of instantie waar meer informatie kan worden verkregen, (iii) de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken,(iv) de gevolgen van de inbreuk voor de verwerking van persoonsgegevens en (v) de maatregelen om deze gevolgen te verhelpen. Moet de instelling een datalek ook melden aan de betrokkenen? Als een datalek ernstige nadelige gevolgen heeft voor de privacy van de betrokkenen en indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer, dan moet dit ook aan de betrokkenen worden gemeld. Het informeren aan de betrokkenen kan achterwege worden gelaten als de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens, tenzij de AP alsnog beveelt om een melding aan de betrokkenen te doen. De melding aan de betrokkene moet op een zodanige wijze gebeuren dat deze op een behoorlijke en zorgvuldige wijze wordt geïnformeerd. Wanneer moet de organisatie een boete betalen? En hoe hoog zal deze boete zijn? De AP kan handhavend optreden als niet aan de verplichtingen met betrekking tot de meldplicht datalekken wordt voldaan. Er gelden geen vaste boetebedragen; de AP is vrij te bepalen óf en welk boetebedrag zij in een gegeven geval wenselijk acht. Onder de wetswijziging van de Wbp (meldplicht datalekken) kan het Cbp een boete opleggen van maximaal EUR 820.000. De AP heeft boetebeleidregels gepubliceerd waarin meer informatie is te vinden over de hoogte van de boetes. Welke afspraken moet ik maken met mijn leveranciers? Met betrekking tot de contracten met de leveranciers legt de wetgever de verplichting dat de leverancier een melding aan de onderwijsorganisatie doet als er bij hem een datalek heeft plaatsgevonden.
9/11
Meldplicht datalekken
Daarnaast is het raadzaam afspraken te maken over hoe partijen omgegaan met eventuele boetes die als gevolg van een datalek bij de leverancier aan de onderwijsorganisatie worden opgelegd. De Europese Privacyverordening (EPV) is op komst. Heeft dit invloed op de meldplicht datalekken? De Europese Privacyverordening zal de Wbp op den duur vervangen. In de ontwerpverordening is een vergelijkbare meldplicht datalekken opgenomen. De EPV kent overigens een nog hoger boetemaximum voor het niet voldoen aan de meldingsplicht. Naar verwachting treedt de verordening begin 2016 in werking. Wat betekent de meldplicht datalekken voor de beveiliging? De meldplicht staat in nauw verband met de beveiligingsverplichting van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) op basis waarvan een verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Door de AP zijn richtsnoeren gepubliceerd die uitleggen hoe het College bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in 6 individuele gevallen de beveiligingsnormen uit de Wbp toepast. Wat doet de Autoriteit Persoonsgegevens met de melding? De AP slaat de melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar. Daarnaast kan de AP contact opnemen over de melding, om te controleren of de melding daadwerkelijk van de instelling afkomstig is eventueel inhoudelijke vragen over de melding. Ook zo de AP kunnen vragen om alsnong betrokkenen te informeren over het datalek. Ten slotte kan de melding, eventueel in combinatie met ander meldingen, aanleiding zijn voor de AP om een onderzoek te starten naar de naleving van de privacywetgeving. Valt het verlies van een papieren dossier onder de reikwijdte van de meldplicht? Ja het verlies van een papieren dossier valt ook onder de meldplicht indien er sprake is van inbreuk op de beveiliging waarvan redelijkerwijs kan worden aangenomen dat die ernstige nadelige gevolgen heeft voor de bescherming van de verwerkte persoonsgegevens. Valt bewust lekken van een medewerker onder de meldplicht? Ja, als er redelijkerwijs kan worden aangenomen dat dit leidt tot ernstige nadelige gevolgen voor de privacy van de betrokkenen. Daarnaast is het dus zo dat als er opzet in het spel is, de AP niet verplicht is eerst een bindende aanwijzing te doen, en direct een boete kan opleggen. Kan de betrokkene zelf ook melden? Nee, de meldingsplicht rust op de verantwoordelijke; het is de instelling die de Autoriteit onverwijld in kennis moet stellen van een datalek. Zijn er formulieren voor de melding?
6
Cbp richtsnoeren beveiliging van persoonsgegevens (2013), via https://cbpweb.nl/sites/default/files/downloads/rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf
10/11
Meldplicht datalekken
Ja er is een webformulier beschikbaar op de website van de Autoriteit Persoonsgegevens. Krijg je altijd de maximum boete als je niet meldt? Nee, dat kan afhangen van verschillende factoren. Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, zal de AP eerst een bindende aanwijzing opleggen voorafgaand aan eventuele oplegging van een bestuurlijke boete. Bij het opleggen van een bestuurlijke boete houdt de AP rekening met alle omstandigheden van het geval. Een omstandigheid van het geval kan bestaan uit het feit dat de gegevens waarover het gaat niet door derden zijn ingezien. Meer informatie is te vinden in de boetebeleidsregels die de AP op haar website heeft gepubliceerd. Hoe zit het met versleutelde gegevens? Als de instelling passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn hoeft de instelling de inbreuk niet te melden aan de betrokkenen. De formulering ‘onbegrijpelijk en ontoegankelijk’ dekt niet alleen versleuteling maar ook technieken die persoonsgegevens ontoegankelijk kunnen maken als een datalek zich voordoet. Wat moet een instelling doen als deze de betrokkenen wil informeren maar deze niet weet wie precies betrokkenen zijn of hoe deze te bereiken zijn? Dit is afhankelijk van de situatie maar een instelling zou bijvoorbeeld via berichten in de media aan betrokkenen kunnen laten weten dat er sprake is geweest van een datalek. Het is aan te raden dit in overleg met de afdeling communicatie te doen. Moet een instelling de betrokkenen ook laten weten wat ze het beste kunnen doen om de schade te beperken? De instelling moet betrokkenen verschillende zaken laten weten: de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Wat zijn passende maatregelen in het geval van een datalek? In geval van een datalek moet de instelling haar interne procedures volgen, het actieplan uitvoeren en het datalek dichten. Hiertoe moet de instelling de omvang van het datalek en de benodigde maatregelen inventariseren. Alle acties en beslissingen moeten gedocumenteerd worden.
11/11
