Instructie personeel bij beveiligingsincident AVG

Instructie personeel Stichting Robijn voor het intern melden van een beveiligingsincident.

Waarover gaat dit?

Binnen Stichting Robijn werken we veel met persoonlijke en dus vertrouwelijke gegevens. Denk hierbij bijvoorbeeld aan medische gegevens van leerlingen, e-mail adressen, BSN, inloggegevens en wachtwoorden. Al deze informatie is terug te leiden tot een persoon. Hier moeten wij als organisatie natuurlijk zorgvuldig mee omgaan, dat spreekt voor zich.

Maar soms gaan dingen anders dan je wilt. We noemen een aantal voorbeelden die je kunnen overkomen:

  • Je verliest een mediadrager (bijvoorbeeld: smartphone/laptop/USB stick) met informatie over, of dat toegang verschaft tot, gegevens van leerlingen die niet encryptie is.
  • Je hebt een leerlingdossier in de trein laten liggen.
  • Je stuurt per ongeluk een e-mail van Stichting Robijn met leerlinggegevens naar de verkeerde persoon.
  • Je computer is gehackt.

Dit zijn allemaal voorbeelden van beveiligingsincidenten en mogelijke datalekken. Persoonsgegevens zijn verloren gegaan, liggen ‘op straat’ of zijn niet meer toegankelijk. Stichting Robijn is verplicht deze beveiligingsincidenten te registreren en soms ook te melden melden bij de Autoriteit Persoonsgegevens en/of de betrokkene(n). Daarbij wordt dan tevens bepaald welke vervolgstappen nodig zijn en welke maatregelen genomen moeten worden om te voorkomen dat dit nogmaals gebeurt.

Als een medewerker van Stichting Robijn een mogelijk beveiligingsincident/datalek signaleert, is hij of zij verplicht dit direct te melden.

Hoe moet je intern melden?

Elke medewerker is verplicht een (mogelijk) beveiligingsincident dat hij/zij ontdekt direct per e-mail of telefonisch te melden aan de Privacy Officer (Kees van Dam) en de FG (Sander van de Molen) ongeacht het tijdstip van de dag.

De melding wordt gedaan aan het volgende mailadres: privacy@stichtingrobijn.nl

Telefoonnummer Kees: 030 – 600 91 68. Telefoonnummer Sander: 06 – 51 61 61 00.

Wat zijn de stappen die je moet nemen?

  1. Geef in de email een omschrijving van de volgende gegevens:
  • Wat is er precies gebeurd: zo duidelijk mogelijke omschrijving van het incident.
  • Is het incident zelf ontdekt (intern) of via een externe bron (verwerker, of andere derde).
  • Welk tijdstip (datum en tijd).
  • Welke persoonsgegevens zijn hierbij betrokken (bijvoorbeeld: NAW, telefoonnummers, e-mailadressen, medische / bijzondere gegevens, BSN).
  • Van hoeveel personen?
  1. Verzamel zo veel mogelijk bewijs en bewaar dit zorgvuldig.
  1. Kees en Sander zullen snel contact opnemen voor het vervolg.

Geef een antwoord