Datalekprocedure Hét Vertrouwensbureau (VTB)
versie 2026
1. Doel en reikwijdte
Deze procedure beschrijft hoe Hét Vertrouwensbureau mogelijke datalekken signaleert, beoordeelt, registreert en meldt. De procedure geldt voor alle medewerkers en voor alle systemen die worden gebruikt voor de verwerking van persoonsgegevens, inclusief Nnote als subverwerker.
2. Begripsbepaling datalek
Een datalek is iedere inbreuk op de beveiliging die leidt tot:
verlies van persoonsgegevens
onrechtmatige verwerking
onbevoegde toegang
wijziging of openbaarmaking Voorbeelden: verkeerd geadresseerde e-mail, kwijtgeraakte notities, gehackte mailbox, verkeerde toegang in Nnote
3. Interne meldplicht (direct melden)
Elke medewerker die een mogelijk datalek constateert meldt dit onverwijld (binnen 1 uur) aan:
Directie / privacycontactpersoon
E-mail: algemeen@hetvtb.nl
Telefoon: 085-105 5055
Bij gebruik van Nnote meldt Nnote incidenten direct aan VTB (conform subverwerkersovereenkomst).
4. Eerste beoordeling door VTB
Binnen 24 uur voert VTB een initiële beoordeling uit:
Wat is er gebeurd?
Welke persoonsgegevens zijn getroffen?
Hoeveel betrokkenen?
Zijn gegevens versleuteld of anderszins beschermd?
Wat zijn mogelijke risico’s voor betrokkenen?
Er wordt vastgesteld of het om een datalek gaat en of melding verplicht is.
5. Besluitvorming: melden of niet melden
Melding aan de Autoriteit Persoonsgegevens (AP) is verplicht wanneer:
Er waarschijnlijk een risico bestaat voor rechten en vrijheden van betrokkenen.
Melding aan betrokkenen is verplicht wanneer:
Er een hoog risico bestaat, bijvoorbeeld bij:
gevoelige gegevens
identiteitsfraude-risico
openbaarmaking buiten VTB
langdurige onbevoegde toegang
VTB beoordeelt dit zelfstandig of in samenspraak met de klant (verwerkingsverantwoordelijke), afhankelijk van de rolverdeling.
6. Melding aan de Autoriteit Persoonsgegevens
Indien meldplichtig:
binnen 72 uur melden via meldloket AP
inhoud melding:
aard van het lek
categorieën persoonsgegevens
aantal getroffen personen
gevolgen
genomen maatregelen
contactinformatie
Bij te late melding wordt dit gemotiveerd.
7. Melding aan betrokkenen
Wanneer dit verplicht is, worden betrokkenen direct geïnformeerd met:
omschrijving van het incident
mogelijke gevolgen
maatregelen die VTB heeft genomen
aanbevelingen voor de betrokkene
contactpunt voor vragen
Informatie wordt begrijpelijk en zonder beveiligingsrisico’s geformuleerd.
8. Tijdelijke maatregelen en herstel
Afhankelijk van het type incident:
blokkeren accounts
resetten wachtwoorden
intrekken toegangsrechten
herstellen of veiligstellen van gegevens
opschorten van betrokken systemen (indien nodig)
Bij incidenten in Nnote schakelt VTB direct de contactpersoon van Nnote in.
9. Registratie van datalekken
VTB houdt een intern datalekregister bij met:
datum constatering
omschrijving incident
oorzaak
categorie gegevens
getroffen personen
risico-inschatting
acties en maatregelen
eventuele meldingen AP en betrokkenen
leereffecten Registratie is verplicht, ook als er niet wordt gemeld.
10. Evaluatie en structurele verbetering
Na afronding wordt elk incident geëvalueerd:
oorzaak
verbeterpunten
mogelijke aanpassing van werkwijzen
eventuele aanvullende training medewerkers
Periodiek (minimaal jaarlijks) worden datalekken geanalyseerd voor trendbewaking en verbetering.
11. Rollen en verantwoordelijkheden
VTB-directie / privacycontactpersoon
coördineert beoordeling
voert meldingen uit
registreert incidenten
bewaakt termijnen
Medewerkers
melden incidenten direct
volgen instructies
Nnote (subverwerker)
meldt incidenten aan VTB
ondersteunt onderzoek en herstel
12. Bewaartermijn van datalekregistraties
Registraties worden minimaal 2 jaar bewaard, of langer indien wettelijk vereist.
13. Inwerkingtreding
Deze procedure geldt vanaf 1 januari 2026 en maakt onderdeel uit van het privacybeheer van Hét Vertrouwensbureau.