1
Doel
Dit protocol beschrijft de werkwijze bij beveiligingsincidenten die betrekking hebben op persoonsgegevens die worden verwerkt via de DossierTijd software.
- Home
- Datalekprotocol & Retentiebeleid
Juridisch document — AVG / GDPR
Datalekprotocol & Retentiebeleid
Dit document beschrijft de werkwijze bij beveiligingsincidenten en de bewaartermijnen van persoonsgegevens die worden verwerkt via DossierTijd.
Deel I — DatalekprotocolDeel II — RetentiebeleidVersie 1.0
Deel I – Datalekprotocol
2
Definitie datalek
Een inbreuk in verband met persoonsgegevens is elke inbreuk op de beveiliging die leidt tot:
- Vernietiging van persoonsgegevens (al dan niet per ongeluk)
- Verlies van persoonsgegevens
- Wijziging van persoonsgegevens
- Ongeoorloofde verstrekking van of toegang tot persoonsgegevens
- Onbevoegde toegang tot systemen die persoonsgegevens bevatten
3
Procedure
1
Interne registratie
Het incident wordt intern geregistreerd met datum, tijdstip, aard van het incident en betrokken systemen.
2
Analyse
Er vindt een analyse plaats van de aard en de impact van het incident, inclusief de categorie persoonsgegevens die mogelijk betrokken zijn.
3
Melding aan Klant
Binnen 24 uur na constatering van het incident wordt de Klant (Verwerkingsverantwoordelijke) schriftelijk geïnformeerd.
4
Beoordeling meldplicht
In gezamenlijk overleg met de Klant wordt beoordeeld of het incident gemeld dient te worden bij de Autoriteit Persoonsgegevens (AP) en/of betrokkenen.
5
Corrigerende maatregelen
Er worden corrigerende en preventieve maatregelen geïmplementeerd om herhaling te voorkomen.
6
Evaluatie en documentatie
Het incident en de genomen maatregelen worden gedocumenteerd in het interne incidentenregister.
Deel II – Retentiebeleid
1
Minimale opslag
DossierTijd hanteert het principe van minimale gegevensopslag. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
2
Standaard bewaartermijn
De volgende bewaartermijnen zijn van toepassing:
| Categorie | Bewaartermijn |
|---|---|
| Actieve contractperiode | Gedurende looptijd overeenkomst |
| Na be\u00ebindiging contract | Maximaal 30 dagen (tenzij anders overeengekomen) |
3
Back-ups
Back-ups worden aangemaakt conform een intern rotatieschema. Back-ups worden binnen redelijke termijn na de toepasselijke bewaartermijn overschreven of verwijderd, conform het geldende rotatieschema.
4
Verwijderverzoeken
Op verzoek van de Klant (Verwerkingsverantwoordelijke) worden persoonsgegevens verwijderd conform de bepalingen van de AVG (artikel 17). Verwijdering wordt schriftelijk bevestigd binnen een redelijke termijn na ontvangst van het verzoek.