Meld een datalek

engelse_vlag-(1).png English version

Op 1 januari 2016 is de Meldplicht Datalekken ingegaan. Deze meldplicht houdt in dat organisaties zodra zij een ernstig datalek constateren binnen 72 uur een melding moeten doen bij de Autoriteit Persoonsgegevens.

Via deze webpagina kunnen zowel werknemers, payroll-medewerkers, enquêteurs en freelancers ('medewerkers') van TNS NIPO als leveranciers die voor TNS NIPO persoonsgegevens verwerken op een eenvoudige wijze een datalek melden.
 
Medewerkers en leveranciers dienen een datalek zo snel mogelijk, maar uiterlijk binnen zes uur na constatering te melden bij de Coördinatoren Datalekken van TNS NIPO. Let op: het gaat hier om klokuren en niet om werkuren!

Download voor een melding hier de 'Vragenlijst Melding Datalekken', beantwoord de vragen (zie invulinstructie in vragenlijst) en mail de ingevulde vragenlijst naar:
 
Coördinatoren Datalekken
Bern Kreleger Bern.Kreleger@tns-nipo.com +31 (0) 6 2392 5157
Remco van ‘t Hoff Remco.van.t.Hoff@tns-nipo.com +31 (0) 6 2049 0923
 

Veel gestelde vragen

Wat is een datalek?

Er is sprake van een datalek als:
  • er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan, of
  • als je onrechtmatige verwerking van persoonsgegevens redelijkerwijs niet kunt uitsluiten.
Sommige onderdelen van deze definitie hebben wellicht uitleg nodig:
 
Beveiligingsincident
Er is een inbreuk op de beveiliging, waarbij de vertrouwelijkheid van informatie in gevaar is of kan komen. Denk bijvoorbeeld aan:
  • Het kwijtraken of de diefstal van een USB-stick, dvd of cd-rom.
  • Het kwijtraken of de diefstal van een laptop, smartphone of tablet.
  • Verzending van e-mail waarin e-mailadressen van geadresseerden zichtbaar zijn voor aandere geadresseerden (anders dan reply to all).
  • Een directory die een heel weekend per ongeluk open heeft gestaan.
  • Een malware-besmetting.
  • Een calamiteit zoals een brand of inbraak in het datacentrum.
  • Een inbraak van een hacker.
Persoonsgegevens
Een persoonsgegeven is elk gegeven waarmee een persoon kan worden geïdentificeerd. Daarbij kun je denken aan:
  • Naam-, adres-en woonplaatsgegevens.
  • Telefoonnummers.
  • E-mailadressen of andere adressen voor elektronische communicatie.
  • Toegangs- of identificatiegegevens (bijvoorbeeld inlognaam / wachtwoord of klantnummer of panel ID/respondentnummer van TNS NIPObase leden).
  • Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer).
  • Burgerservicenummer (BSN) of sofinummer.
  • Paspoortkopieën of kopieën van andere legitimatiebewijzen.
  • Geslacht, geboortedatum en/of leeftijd.
  • Bijzondere persoonsgegevens (bijvoorbeeld ras, etniciteit, criminele gegevens, politieke overtuiging, vakbondslidmaatschap, religie, seksuele leven, medische gegevens).
  • Een combinatie van achtergrondgegevens van respondenten.
Onrechtmatige verwerking
Hieronder vallen de aantasting van de persoonsgegevens en zonder toestemming kennis nemen, wijzigen of verstrekken van persoonsgegevens.

Wat als ik twijfel of er sprake is van een datalek?

Handel in geval van twijfel (bijvoorbeeld omdat onduidelijk is of er persoonsgegevens verloren zijn gegaan) alsof er sprake is van een datalek. Liever een keer te veel gemeld dan één keer te weinig! 

Waarom moet ik al binnen zes uur een datalek melden?

Medewerkers en leveranciers moeten een datalek bij TNS NIPO inderdaad binnen een korter tijdsbestek dan de door de Autoriteit Persoonsgegevens gestelde 72 uur melden. De reden daarvoor is dat TNS NIPO de tijd nodig heeft om te bepalen of:
  • er sprake is van een datalek dat bij de Autoriteit Persoonsgegevens gemeld moet worden;
  • het datalek persoonsgegevens van haar klant(en) betreft, die zij daarover binnen 24 uur moet inlichten aangezien onze klanten ook weer de tijd nodig hebben om een melding te doen bij de Autoriteit Persoonsgegevens.

Wat gebeurt er na mijn melding?

De Coördinatoren Datalekken bekijken de melding. Vervolgens bepalen zij of zij de Autoriteit Persoonsgegevens, een klant of degene van wie persoonsgegevens zijn gelekt moeten inlichten. Ook kan de Coördinator Datalekken de verwerking van persoonsgegevens stil laten leggen (zowel intern als bij de leverancier) en om aanvullende informatie vragen.
 
Van medewerkers en leveranciers wordt verwacht dat zij alle informatie verstrekken om de juiste instanties en personen te informeren, maar zelf geen melding doen bij de Autoriteit Persoonsgegevens en geen klanten of andere betrokkenen inlichten.