Menu
Algemeen
Deze website wordt beheerd door Truckpolis. Tijdens uw bezoek aan deze internetsite kan Truckpolis persoonsgegevens over u verzamelen, zowel direct (via een verzoek om gegevens aan u) als indirect. Truckpolis zal deze persoonsgegevens uitsluitend aanwenden voor de in dit Privacystatement omschreven doeleinden en alles in het werk stellen om de verzamelde persoonsgegevens te beschermen. Dit Privacystatement bevat informatie over de doeleinden die Truckpolis bij de verwerking van gegevens in verband met deze internetsite nastreeft en over de wijze waarop u uw rechten ten aanzien van uw persoonsgegevens kunt uitoefenen.
Dit is de Privacy Statement van Truckpolis. Truckpolis is financieel dienstverlener en heeft als kernactiviteit het adviseren over en het bemiddelen in financiële diensten en producten. Onze contactgegevens zijn:
Bij de uitvoering van onze dienstverlening verwerken wij persoonsgegevens. In deze verklaring leggen wij uit welke gegevens wij verwerken, de doelen voor de verwerking, met wie wij gegevens delen en welke rechten u heeft ten aanzien van uw gegevens. Heeft u na het lezen van dit document nog vragen? Neem dan contact met ons op.
1.1 Wij verwerken de volgende persoonsgegevens van u:
1.2 Wanneer wij gezondheidsgegevens of strafrechtelijke gegevens verwerken, doen wij dat uiterst zorgvuldig en doorgaans alleen met uw toestemming.
2.1 Wij verwerken uw persoonsgegevens voor de volgende activiteiten binnen onze dienstverlening:
3.1 Wij gebruiken tenminste een van de volgende gronden voor de verwerking van uw persoonsgegevens:
4.1 Wij bewaren uw persoonsgegevens alleen zolang en voor zover wij deze nodig hebben om de doelen te realiseren waarvoor uw gegevens verzameld worden. Gegevens die wij noodzakelijkerwijs nodig hebben bewaren wij in ieder geval gedurende de looptijd van onze relatie of overeenkomst.
4.2 Als onze relatie of overeenkomst eindigt dan bewaren wij de gegevens gedurende de wettelijke bewaartermijnen die voor ons gelden.
5.1 U heeft specifieke rechten ten aanzien van de verwerking van uw persoonsgegevens. U kunt altijd contact met ons opnemen als u vragen heeft over de volgende onderwerpen:
5.2 Let op: het kan zijn dat wij niet in alle gevallen tegemoet kunnen komen aan een verzoek. Dit laten wij u dan gemotiveerd weten.
6.1 Wij hebben adequate technische en organisatorische maatregelen getroffen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging van uw persoonsgegevens tegen te gaan.
7.1 Wij verstrekken uw persoonsgegevens niet zomaar aan anderen. Dat mogen wij wel doen als u ons daarvoor toestemming heeft gegeven, als wij daartoe verplicht zijn op grond van de wet of een rechterlijke uitspraak, of als de verstrekking ten dienste staat van onze doeleinden van de verwerking van persoonsgegevens.
7.2 Voor de uitvoering van onze bedrijfsvoering en afhankelijk van de verleende diensten aan u verstrekken wij uw persoonsgegevens mogelijk wel aan de volgende personen of partijen:
7.3 Externen partijen die de persoonsgegevens onder onze verantwoordelijkheid verwerken, doen dit uitsluitend voor doelen en onder voorwaarden die wij met hen hebben afgesproken. Dit leggen wij vast in schriftelijke overeenkomsten.
8.1 Bent u het niet eens met de wijze waarop wij uw persoonsgegevens verwerken of omgaan met uw rechten als klant? Neem dan contact met ons op.
8.2 U kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens. Kijk daarvoor op www.autoriteitpersoonsgegevens.nl.
9.1 Het kan voorkomen dat wij dit Privacy Statement in de toekomst wijzigen. Op onze website vindt u steeds het meest actuele statement.
Deze verklaring is een standaard verklaring en is het laatst gewijzigd op 20 mei 2018.
Om jouw bezoek aan onze website nóg makkelijker en persoonlijker te maken zetten we cookies (en daarmee vergelijkbare technieken) in. Met deze cookies kunnen wij en derde partijen informatie over jou verzamelen en jouw internetgedrag binnen (en mogelijk ook buiten) onze website volgen. Met deze informatie passen wij en derde partijen content aan jouw interesses en profiel aan. Daarnaast is het dankzij cookies mogelijk informatie te delen via social media.
Wij maken op deze website gebruik van cookies. Een cookie is een eenvoudig klein bestandje dat met pagina’s van deze website wordt meegestuurd en door jouw browser op jouw harde schrijf van je computer wordt opgeslagen. De daarin opgeslagen informatie kan bij een volgend bezoek weer naar onze servers teruggestuurd worden.
Met behulp van een permanente cookie kunnen wij jou herkennen bij een nieuw bezoek op onze website. De website kan daardoor speciaal op jouw voorkeuren worden ingesteld. Ook wanneer je toestemming hebt gegeven voor het plaatsen van cookies kunnen wij dit door middel van een cookie onthouden. Hierdoor hoef je niet steeds jouw voorkeuren te herhalen waardoor je dus tijd bespaart en een prettiger gebruik van onze website kunt maken. Permanente cookies kan je verwijderen via de instellingen van jouw browser.
Sessie cookies
Met behulp van een sessie cookie kunnen wij zien welke onderdelen van de website je met dit bezoek hebt bekeken. Wij kunnen onze dienst daardoor zoveel mogelijk aanpassen op het surfgedrag van onze bezoekers. Deze cookies worden automatisch verwijderd zodra je jouw webbrowser afsluit.
Tracking cookies
Hoe werkt dit? Een website (A) kan bijvoorbeeld een adverteerder toestemming geven om een cookie te plaatsen. Die adverteerder weet dan ook dat je de website of pagina hebt bezocht. Het echte voordeel voor die derde partij (de adverteerder) ontstaat als de gebruiker ook op een andere site (B) komt die ook toestemming heeft gegeven aan de adverteerder om cookies te plaatsen. De adverteerder kan het cookie van site A dan uitlezen, en op die manier weet de adverteerder dat deze gebruiker zowel sites A en B bezocht heeft. En hij heeft meer informatie dan website A of B los van elkaar over de gebruiker hebben. Cookies die het ‘volgen’ van mensen mogelijk maken, noemen we tracking cookies.
Op onze website worden géén tracking cookies geplaatst.
Google Analytics
Via onze website kan een cookie zijn geplaatst van het Amerikaanse bedrijf Google, als deel van de “Analytics”-dienst. Wij gebruiken dan deze dienst om bij te houden en rapportages te krijgen over hoe bezoekers de website gebruiken. Google kan deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover derden de informatie namens Google verwerken. Wij hebben hier geen invloed op. Wij hebben Google niet toegestaan de verkregen analytics informatie te gebruiken voor andere Google diensten.
De informatie die Google verzamelt wordt zo veel mogelijk geanonimiseerd. Je IP-adres wordt nadrukkelijk niet meegegeven. De informatie wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Google stelt zich te houden aan de Privacy Shield principles en is aangesloten bij het Privacy Shield-programma van het Amerikaanse Ministerie van Handel. Dit houdt in dat er sprake is van een passend beschermingsniveau voor de verwerking van eventuele persoonsgegevens.”
Gebruik van Facebook, Twitter en andere social media buttons
Op onze website kunnen buttons opgenomen zijn om webpagina’s te kunnen promoten (“liken”) of delen (“tweeten”) op sociale netwerken als Facebook en Twitter. Deze buttons werken door middel van stukjes code die van Facebook respectievelijk Twitter zelf afkomstig zijn. Door middel van deze code worden cookies geplaatst. Wij hebben daar geen invloed op. Leest u de privacyverklaring van Facebook respectievelijk van Twitter (welke regelmatig kunnen wijzigen) om te lezen wat zij met uw (persoons)gegevens doen die zij via deze cookies verwerken.
De informatie die ze verzamelen wordt zo veel mogelijk geanonimiseerd. De informatie wordt overgebracht naar en door Twitter, Facebook, Google + en LinkedIn opgeslagen op servers in de Verenigde Staten. LinkedIn, Twitter, Facebook en Google + stellen zich te houden aan de Privacy Shield principes en zijn aangesloten bij het Privacy Shield-programma van het Amerikaanse Ministerie van Handel. Dit houdt in dat er sprake is van een passend beschermingsniveau voor de verwerking van eventuele persoonsgegevens.
Recht op inzage, correctie en verwijdering van jouw persoonsgegevens
Je hebt het recht om te vragen om inzage in en correctie of verwijdering van jouw gegevens. Gebruik hiervoor onze contactpagina. Om misbruik te voorkomen kunnen wij je daarbij vragen om je adequaat te identificeren. Wanneer het gaat om inzage in persoonsgegevens gekoppeld aan een cookie, dien je een kopie van het cookie in kwestie mee te sturen. Je kunt deze terug vinden in de instellingen van je browser.
In- en uitschakelen van cookies en verwijdering daarvan
Meer informatie omtrent het in- en uitschakelen en het verwijderen van cookies kan je vinden in de instructies en/of met behulp van de Help-functie van jouw browser.
Verwijdering van tracking cookies geplaatst door derden
Tracking cookies kan je centraal verwijderen via Your Online Choices zodat ze niet bij een website van een derde teruggeplaatst worden.
Meer informatie over cookies
Op de volgende websites kan je meer informatie over cookies vinden:
Consumentenbond: “Wat zijn cookies?”
Consumentenbond: “Waarvoor dienen cookies?”
Consumentenbond: “Cookies verwijderen”
Consumentenbond: “Cookies uitschakelen”
Your Online Choices: “A guide to online behavioural advertising””
In de AVG is een meldplicht datalekken opgenomen. Deze meldplicht verplicht organisaties om datalekken te melden bij de toezichthouder (de Autoriteit Persoonsgegevens) en, in sommige gevallen, ook bij de betrokkenen (de personen op wie de gegevens die zijn gelekt betrekking hebben, bijvoorbeeld leden, abonnees en/of medewerkers).
In dit calamiteitenplan wordt omschreven op welke manier Truckpolis omgaat met eventuele datalekken. In het plan is vastgelegd hoe en naar wie de meldingen intern doorgezet dienen te worden, wie verantwoordelijk is voor welke melding en hoe en in welke vorm de melding aan de toezichthouder en eventueel ook aan de betrokkenen wordt gedaan.
In dit beleidsplan worden de beleidsregels van de Autoriteit Persoonsgegevens vertaald naar praktisch en werkbaar beleid voor Truckpolis. Mochten toekomstige (wettelijke) wijzigingen/veranderingen aanpassing van dit document noodzakelijk maken, dan zal de verantwoordelijke binnen Truckpolis deze aanpassing doorvoeren en het versienummer updaten.
Niet alle datalekken moeten gemeld worden aan de toezichthouder. Een datalek dat wel gemeld dient te worden aan de toezichthouder wordt als volgt omschreven:
Een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Onder de Algemene Verordening Gegevensbescherming (AVG) wordt gesproken van een ‘inbreuk in verband met persoonsgegevens’. Dit is “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Een inbreuk hoeft niet te worden gemeld wanneer het onwaarschijnlijk is dat deze redelijkerwijs een risico voor betrokkenen met zich meebrengt.
Om te inventariseren of iets een datalek is, zullen de volgende vragen in deze volgorde moeten worden beantwoord:
Iedere vraag is een stap in de beslissing of er sprake is van een datalek. Deze stappen zullen hieronder worden toegelicht.
Van een inbreuk op beveiliging is sprake wanneer zich daadwerkelijk een incident heeft voorgedaan. Alleen een dreiging van een inbreuk op de beveiliging is daarom nog geen incident.
Voorbeelden van beveiligingsincidenten zijn:
Een inbreuk op de beveiliging wordt vervolgens een datalek wanneer de inbreuk gevolgen heeft voor de persoonsgegevens die Truckpolis verwerkt.
Indien er door de inbreuk op de beveiliging persoonsgegevens verloren zijn gegaan waar geen complete en actuele reservekopie meer van is, is dit altijd te kwalificeren als een datalek.
Voorbeeld: Wanneer een database met klantgegevens door een fout vaneen programmeur of een medewerker van Truckpolis wordt vernietigd, en er geen back-up van deze gegevens is, is er sprake van datalek.
Het is echter ook mogelijk dat gegevens onrechtmatig zijn verwerkt. Dit houdt bijvoorbeeld in dat onbevoegde personen toegang hebben verkregen tot gegevens waar zij geen toegang toe mochten hebben. Andere vormen van onrechtmatige verwerking zijn het onrechtmatig wijzigen/aantasten van persoonsgegevens en het verstrekken van persoonsgegevens aan onbevoegden. Het is in dat geval aan Truckpolis om aan te tonen dat iemand de gegevens niet heeft in kunnen zien, of er niets mee gedaan heeft.
Wanneer Truckpolis niet uit kan sluiten dat er persoonsgegevens verloren zijn gegaan, of onrechtmatig zijn verwerkt, is er sprake van een datalek.
Voorbeeld: Als een medewerker van Truckpolis zijn wachtwoord van zijn e-mailbox op een briefje heeft geschreven en dit briefje kwijt is geraakt, kan dit een datalek zijn als Truckpolis niet uit kan sluiten dat onbevoegden toegang hebben verkregen tot de e-mailbox van de medewerker. Kan Truckpolis dit echter wel uitsluiten, bijvoorbeeld door het wachtwoord direct te resetten en in de logfiles te zien dat er in de tussentijd niemand heeft ingelogd, dan is dit geen datalek.
Op het moment dat er sprake is van een datalek zoals omschreven in hoofdstuk 2, dan is het aan Truckpolis om per vastgesteld datalek te beoordelen of het datalek aan de toezichthouder gemeld moet worden. De toezichthouder stelt dat een datalek aan haar gemeld moet worden indien “er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens”. Hieronder wordt dit criterium nader uitgewerkt.
Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig). Zo zal een lek in één van de databases van Truckpolis, waardoor gegevens van bijvoorbeeld 1.000 relaties van Truckpolis op straat komen te liggen, kwantitatief ernstig zijn en dus gemeld moeten worden aan de toezichthouder.
Daarnaast kan een lek ook ernstig zijn indien er geen grote hoeveelheden persoonsgegevens gelekt zijn, maar het wel om gevoelige persoonsgegevens gaat (kwalitatief ernstig). Een paar voorbeelden van wat gevoelige persoonsgegevens zijn:
De aard en omvang van het datalek dienen telkens in overweging genomen te worden bij de afweging of een lek aan de toezichthouder gemeld dient te worden. Vast staat in ieder geval dat zodra er inloggegevens zijn gelekt, dit te allen tijde gemeld zal moeten worden aan de toezichthouder vanwege de kwalitatieve ernst hiervan.
Voorbeeld: door een lek in de database van Truckpolis hebben onbevoegden korte tijd inzage in de gegevens van klanten, inclusief hun achterstallige betalingen. Een dergelijk lek van gevoelige gegevens dient aan de toezichthouder gemeld te worden.
Het datalek dient zo snel mogelijk, maar uiterlijk binnen 72 uur, aan de Autoriteit Persoonsgegevens gemeld te worden. Deze termijn start op het moment dat Truckpolis, of één van haar bewerkers, op de hoogte raakt van het datalek. Een bewerker is een partij die ten behoeve van Truckpolis persoonsgegevens verwerkt. Dit kan bijvoorbeeld de host van de website of een softwareleverancier zijn.
Een datalek dient via de website van de toezichthouder te worden doorgegeven. Dit kan via het meldloket op de website van de Autoriteit Persoonsgegevens. Bij dit invulformulier dienen diverse gegevens ingevuld te worden. Deze worden in hoofdstuk 4 nader uiteengezet.
De Autoriteit Persoonsgegevens wil specifieke informatie ontvangen indien er sprake is van een datalek dat gemeld dient te worden. Onderstaand is deze vereiste informatie uiteengezet.
13. Om welk type persoonsgegevens gaat het? (meerdere antwoorden mogelijk)
Vraag 17 tot en met 20 dienen uitsluitend beantwoord te worden indien er een melding aan de betrokkenen gedaan dient te worden:
Na het doen van een melding bij de toezichthouder, wordt er een bevestiging van deze melding toegestuurd naar het e-mailadres van de opgegeven contactpersoon. In deze bevestiging staat tevens het nummer van de melding vermeld, dat noodzakelijk is om een melding te wijzigen en/of in te trekken.
Het kan mogelijk zijn dat een datalek niet alleen aan de toezichthouder, maar ook aan de personen van wie de gegevens zijn gelekt (de betrokkenen) gemeld moet worden. Dit is het geval wanneer het datalek waarschijnlijk ongunstige gevolgen heeft voor het privéleven van deze personen. Hetzelfde geldt uiteraard indien er gegevens van medewerkers van Truckpolis zijn gelekt.
Een datalek heeft ongunstige gevolgen wanneer het privéleven van de betrokkenen door het lek wordt geschaad. Voorbeelden van dergelijke gevolgen zijn:
Als het gaat om persoonsgegevens van gevoelige aard, dan dient er altijd een melding aan betrokkenen gedaan te worden (tenzij er sprake is van adequate beveiliging, zoals omschreven in de volgende para-graaf). Dit betekent bijvoorbeeld, dat zodra er financiële gegevens worden gelekt die niet adequaat zijn beveiligd, hiervan te allen tijde melding aan de betreffende personen zal moeten worden gedaan.
Voorbeeld: een medewerker van Truckpolis laat sollicitatiebrieven en CV’s in een auto liggen en deze auto wordt gestolen. Identiteitsfraude met behulp van deze CV’s is niet uit te sluiten en dus is een melding aan de betrokkenen verplicht.
Een datalek hoeft niet aan de betrokkenen gemeld te worden indien de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Hiervan is bijvoorbeeld sprake als de persoons-gegevens voorzien zijn van een beveiliging die volgens de laatste stand van de techniek als ‘veilig’ kan worden aangemerkt. Denk hierbij bijvoorbeeld aan algemeen gebruikte vormen van encryptie of hashing.
Wanneer het datalek niet hoeft te worden gemeld aan de betrokkenen omdat de gegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan zal wel van tijd tot tijd moeten worden beoordeeld of de gegevens nog steeds onbegrijpelijk of ontoegankelijk zijn (zie ook hoofdstuk 7). Wanneer bijvoorbeeld niet hoeft te worden gemeld (omdat de gegevens encrypted zijn), maar de gebruikte encryptie na anderhalf jaar gecompromitteerd zou raken, moeten de betrokkenen dus alsnog worden ingelicht over het datalek. Er kan ook voor worden gekozen om de betrokkenen direct na het datalek tóch proactief te informeren. Zo wordt voorkomen dat ruime tijd na het datalek betrokkenen alsnog op de hoogte moeten worden gesteld.
Let op: encryptie of hashing biedt echter geen bescherming tegen vernietiging van persoonsgegevens. In dergelijke gevallen dient er dus altijd een melding gedaan te worden aan de betrokkenen als de vernietig-ing ongunstige gevolgen voor hen heeft.
Het datalek dient ‘onverwijld’ na ontdekking aan de betrokkenen gemeld te worden. ‘Onverwijld’ wil zeg-gen: zo spoedig als mogelijk, waarbij enige tijd mag worden genomen om de juiste informatie te verzam-elen om een zorgvuldige melding te kunnen doen. Met andere woorden: de melding aan de betrokkene moet zorgvuldig gebeuren, maar mag niet onnodig worden vertraagd. De wetgeving koppelt hier geen ‘harde’ termijn aan, zoals bij de melding aan de toezichthouder wel het geval is.
Het is de verantwoordelijke die de melding aan betrokkenen doet, tenzij anders afgesproken.
De melding aan betrokkenen, dient in ieder geval behoorlijk en zorgvuldig uitgevoerd te worden, en de volgende informatie te bevatten:
• Aard van de inbreuk, waarbij volstaan kan worden met een algemene omschrijving van wat er is gebeurd;
• Waar men terecht kan met vragen, denk hierbij aan het telefoonnummer van de klantenservice of een speciaal telefoonnummer/e-mailadres voor vragen;
• Aanbevolen maatregelen om negatieve gevolgen te beperken, zoals het veranderen van wachtwoorden.
Het volgende algemene formulier kan als template worden gebruikt. Uiteraard is het daarbij verstandig om in een begeleidend schrijven de betrokkene excuses aan te bieden en duidelijk te maken dat Truckpolis het datalek inmiddels heeft gedicht en er alles aan zal doen om dergelijke gevallen in de toekomst te voorkomen.
Omschrijving:
Op [DATUM] heeft er bij ons een datalek plaatsgevonden waarbij mogelijk uw gegevens betrokken zijn.
Vragen?
Voor vragen kunt u contact opnemen met [NAAM] via, [EMAIL] of [TELEFOON].
Wat kunt u doen?
Om de gevolgen van dit datalek te beperken raden wij u aan om [MAATREGELEN].
Uitgangspunt bij het doen van een dergelijke melding is dat dit op individuele basis dient te gebeuren. Als er bijvoorbeeld gegevens van klanten zijn gelekt, dan dient iedere klant hierover apart geïnformeerd te worden. Heeft een datalek een dusdanige omvang dat er een grotere groep wordt getroffen, dan kan er een e-mail rondgestuurd worden naar deze personen met het feit dat er een lek heeft plaatsgevonden. Vervolgens kan er in de e-mail een link opgenomen worden naar een pagina op de website waar meer informatie wordt verstrekt.
Een enkel bericht in de media is niet voldoende om betrokkenen te informeren.
Als uitgangspunt geldt dat wanneer de betrokkenen individueel op de hoogte kunnen worden gesteld, de melding op individuele basis moet plaatsvinden. Pas als dat écht niet haalbaar is, vanwege de omvang van de groep of vanwege het feit dat niet meer te achterhalen is welke personen wel of niet zijn geraakt door het datalek, kan naar andere manieren van informeren worden gekeken.
Wanneer een datalek aan de toezichthouder is gemeld, dient een overzicht hiervan, zoals hierboven omschreven in hoofdstuk 4, in de administratie bewaard te worden. Onder de AGV moeten alle datalekken geregistreerd worden, ook de datalekken die niet gemeld hoeven te worden.De minimale bewaartermijnen zijn door de Autoriteit Persoonsgegevens als volgt vastgesteld:
Deze administratie dient voor de volgende doeleinden bewaard te worden:
Voorbeeld: Een database met persoonsgegevens is voor korte tijd, door een hack, openbaar geweest. De persoonsgegevens in de database waren volgens de meest recente encryptiestandaard versleuteld en derhalve niet leesbaar voor mensen zonder de juiste autorisaties. Na een half jaar blijkt echter dat de gebruikte encryptievorm door voortschrijdend inzicht achterhaald is. In dat geval zal er alsnog een melding aan de betrokkenen gedaan moeten worden van het datalek dat een half jaar geleden heeft plaatsgevonden.
NB: De administratie hoeft overigens niet openbaar gemaakt te worden.
Een datalek kan bij Truckpolis binnen de eigen organisatie ontstaan, maar ook bij een door Truckpolis ingeschakelde derde (denk hierbij aan de leverancier van een CRM-systeem, de hoster, een ingeschakeld marketingbureau etc.). Wanneer een datalek zich voordoet, zal vastgesteld moeten worden waar het datalek zich heeft voorgedaan en hoe dit datalek uiteindelijk bij de toezichthouder en betrokkenen gemeld zal worden.
Dit zal bij Truckpolis in eerste instantie de taak zijn van de directie. Wanneer de directie niet aanwezig is, zal dit gedurende deze afwezigheid de taak zijn van zijn aangewezen vervanger. De contactgegevens van de directie zijn opgenomen in paragraaf 8.5.
Uiteraard is het daarbij van belang dat alle betrokken personen, dus zowel het personeel van Truckpolis als het personeel bij de ingeschakelde derden, een datalek kunnen identificeren. Het creëren van bewustzijn binnen het personeel van Truckpolis is dan ook van groot belang. De ontdekker zal een incident te allen tijde moeten melden bij de hierboven genoemde persoon.
Wanneer er binnen de eigen organisatie van Truckpolis een datalek plaatsvindt, zal iedereen moeten weten hoe er gehandeld dient te worden zodat de melding van het datalek tijdig de juiste personen, en uiteindelijk de toezichthouder en betrokkenen bereikt.
Voor deze situatie dient het volgende pad te worden doorlopen. De ontdekker is degene die een (ver-moedelijk) lek detecteert; dat kan iedere willekeurige medewerker van Truckpolis zijn. De ontdekker meldt het lek aan de directie. De directie zal vervolgens besluiten of het datalek al dan niet wordt gemeld.
De directie registreert de melding van de ontdekker. De volgende gegevens worden geregistreerd:
Vervolgens zal besloten worden door de directie of het lek wordt gemeld aan de toezichthouder en de betrokkenen. Wanneer het datalek is gemeld aan de toezichthouder en/of de betrokkenen, dan zal de directie zorgen voor de juiste interne administratie van het datalek (zie hoofdstuk 7). Wanneer Truckpolis bewerker is en haar klant verantwoordelijke, is het van belang na te gaan welke afspraken over het melden van datalekken aan de klant er zijn gemaakt in een bewerkersovereenkomst.
Een datalek kan ook buiten de organisatie van Truckpolis plaatsvinden. Persoonsgegevens worden ten-slotte met derde partijen gedeeld. Denk hierbij aan softwareleveranciers, partijen die ten behoeve van Truckpolis websites leveren of ondersteunen bij de opslag van persoonsgegevens. Wanneer er bij deze derden een datalek plaatsvindt dient dit zo spoedig mogelijk aan Truckpolis gemeld te worden. Deze derden hebben een zorgplicht om een lek waarvan zij op de hoogte zijn, bij Truckpolis te melden. Onder de AVG wordt deze plicht ook expliciet benoemd.
In (sub)bewerkersovereenkomsten met deze derden dienen hier afspraken over vastgelegd te worden. Per externe partij dient Truckpolis een vast contactpersoon te hebben om deze meldingen zo snel en gestroomlijnd mogelijk te laten verlopen. Onderstaande algemene schematische weergave geeft aan hoe een dergelijke melding dient te gebeuren. Dit kan dezelfde persoon zijn die binnen Truckpolis wordt aangewezen als ‘meldpunt’ bij beveiligingsincidenten en/of datalekken, namelijk de directie of bij diens afwezigheid zijn vervanger, of de contactpersoon van de betreffende derde partij die dit vervolgens intern zal doorgeven.
Als een datalek bij Truckpolis bekend is, zal bepaald moeten worden op welke manier de melding, indien vereist, aan de betrokkenen (bijvoorbeeld relaties) wordt gedaan. Dit calamiteitenplan kan daarbij als handleiding gebruikt worden. Wanneer de klant verantwoordelijke is en Truckpolis bewerker, zal de klant zelf de melding aan betrokkenen moeten doen, tenzij anders afgesproken.
De volgende contactgegevens zijn van belang indien een datalek zich heeft voorgedaan. Neem altijd direct contact op met Truckpolis.