Datalekprocedure Hét Vertrouwensbureau (VTB)

versie 2026

1. Doel en reikwijdte

Deze procedure beschrijft hoe Hét Vertrouwensbureau mogelijke datalekken signaleert, beoordeelt, registreert en meldt. De procedure geldt voor alle medewerkers en voor alle systemen die worden gebruikt voor de verwerking van persoonsgegevens, inclusief Nnote als subverwerker.

2. Begripsbepaling datalek

Een datalek is iedere inbreuk op de beveiliging die leidt tot:

  • verlies van persoonsgegevens

  • onrechtmatige verwerking

  • onbevoegde toegang

  • wijziging of openbaarmaking Voorbeelden: verkeerd geadresseerde e-mail, kwijtgeraakte notities, gehackte mailbox, verkeerde toegang in Nnote

3. Interne meldplicht (direct melden)

Elke medewerker die een mogelijk datalek constateert meldt dit onverwijld (binnen 1 uur) aan:

Directie / privacycontactpersoon
E-mail: algemeen@hetvtb.nl
Telefoon: 085-105 5055

Bij gebruik van Nnote meldt Nnote incidenten direct aan VTB (conform subverwerkersovereenkomst).

4. Eerste beoordeling door VTB

Binnen 24 uur voert VTB een initiële beoordeling uit:

  1. Wat is er gebeurd?

  2. Welke persoonsgegevens zijn getroffen?

  3. Hoeveel betrokkenen?

  4. Zijn gegevens versleuteld of anderszins beschermd?

  5. Wat zijn mogelijke risico’s voor betrokkenen?

Er wordt vastgesteld of het om een datalek gaat en of melding verplicht is.

5. Besluitvorming: melden of niet melden

Melding aan de Autoriteit Persoonsgegevens (AP) is verplicht wanneer:

Er waarschijnlijk een risico bestaat voor rechten en vrijheden van betrokkenen.

Melding aan betrokkenen is verplicht wanneer:

Er een hoog risico bestaat, bijvoorbeeld bij:

  • gevoelige gegevens

  • identiteitsfraude-risico

  • openbaarmaking buiten VTB

  • langdurige onbevoegde toegang

VTB beoordeelt dit zelfstandig of in samenspraak met de klant (verwerkingsverantwoordelijke), afhankelijk van de rolverdeling.

6. Melding aan de Autoriteit Persoonsgegevens

Indien meldplichtig:

  • binnen 72 uur melden via meldloket AP

  • inhoud melding:

    • aard van het lek

    • categorieën persoonsgegevens

    • aantal getroffen personen

    • gevolgen

    • genomen maatregelen

    • contactinformatie

Bij te late melding wordt dit gemotiveerd.

7. Melding aan betrokkenen

Wanneer dit verplicht is, worden betrokkenen direct geïnformeerd met:

  • omschrijving van het incident

  • mogelijke gevolgen

  • maatregelen die VTB heeft genomen

  • aanbevelingen voor de betrokkene

  • contactpunt voor vragen

Informatie wordt begrijpelijk en zonder beveiligingsrisico’s geformuleerd.

8. Tijdelijke maatregelen en herstel

Afhankelijk van het type incident:

  • blokkeren accounts

  • resetten wachtwoorden

  • intrekken toegangsrechten

  • herstellen of veiligstellen van gegevens

  • opschorten van betrokken systemen (indien nodig)

Bij incidenten in Nnote schakelt VTB direct de contactpersoon van Nnote in.

9. Registratie van datalekken

VTB houdt een intern datalekregister bij met:

  • datum constatering

  • omschrijving incident

  • oorzaak

  • categorie gegevens

  • getroffen personen

  • risico-inschatting

  • acties en maatregelen

  • eventuele meldingen AP en betrokkenen

  • leereffecten Registratie is verplicht, ook als er niet wordt gemeld.

10. Evaluatie en structurele verbetering

Na afronding wordt elk incident geëvalueerd:

  • oorzaak

  • verbeterpunten

  • mogelijke aanpassing van werkwijzen

  • eventuele aanvullende training medewerkers

Periodiek (minimaal jaarlijks) worden datalekken geanalyseerd voor trendbewaking en verbetering.

11. Rollen en verantwoordelijkheden

  • VTB-directie / privacycontactpersoon

    • coördineert beoordeling

    • voert meldingen uit

    • registreert incidenten

    • bewaakt termijnen

  • Medewerkers

    • melden incidenten direct

    • volgen instructies

  • Nnote (subverwerker)

    • meldt incidenten aan VTB

    • ondersteunt onderzoek en herstel

12. Bewaartermijn van datalekregistraties

Registraties worden minimaal 2 jaar bewaard, of langer indien wettelijk vereist.

13. Inwerkingtreding

Deze procedure geldt vanaf 1 januari 2026 en maakt onderdeel uit van het privacybeheer van Hét Vertrouwensbureau.