Aanpak van een gegevenslek
Als er zich binnen je sportorganisatie een verlies van persoonsgegevens voordoet, spreekt men van een datalek. Dit kan onder meer gebeuren wanneer er een laptop wordt gestolen, wanneer je computer wordt gehackt, wanneer je een usb-stick met alle adressen van de leden verliest, enz.
Je moet als organisatie een intern bestand bijhouden met alle incidenten van mogelijke lekken van gegevens.
Bij een datalek moet je de Gegevensbeschermingsautoriteit, de vroegere Privacycommissie, (Drukpersstraat 35, 1000 Brussel, www.gegevensbeschermingsautoriteit.be) inlichten binnen de 72 uur na vaststellen van het datalek, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Niet naleven van de meldplicht bij een datalek kan stevige boetes met zich meebrengen.
Bij een hoog risico voor de rechten en vrijheden van de betrokkene, moet dit ook aan de betrokkene zelf meegedeeld worden, zodat de nodige voorzorgsmaatregelen genomen kunnen worden.
De tool “interne melding datalek” kan helpen bij het verzamelen van de nodige informatie om het datalek te behandelen als sportorganisatie, en kan helpen om de eventuele aangifte van een datalek te doen.
Naast de meldingsplicht, is het belangrijk om zo goed mogelijk voorbereid te zijn indien een datalek zich zou voordoen. Schrijf dus best een korte procedure of een stappenplan uit. Hou daarbij zeker rekening met de verplichtingen die hierboven beschreven staan, maar neem daarin ook op welke maatregelen je zal nemen om de inbreuken aan te pakken of om eventuele nadelige gevolgen van het datalek te beperken.
Nuttige informatie:
- Cases als voorbeeld voor de ernst van een datalek: Europese richtsnoeren rond datalekken | Gegevensbeschermingsautoriteit
- Belgisch meldingsformulier indien deze melding dient te gebeuren: Melding van gegevenslekken | Gegevensbeschermingsautoriteit
- Methodologie voor het inschalen van de ernst van een gegevenslek: Recommendations for a methodology of the assessment of severity of personal data breaches | ENISA
Dit is stap 8 van het GDPR stappenplan.
Doorloop alle stappen in volgorde:
Tool
Gebruik de bijlage voor het uitvoeren van deze stap.
Document niet zichtbaar
Dit document is enkel te downloaden door personen die ingelogd zijn als ambtenaar, student, sportclubbestuurder of medewerker van een federatie die lid is van de Vlaamse Sportfederatie. Of koop een jaarlicentie aan en krijg toegang tot alle documenten en online brochures.