Checklist melding inbreuken persoonsgegevens voor founders en compliance leads

Melding van inbreuken op persoonsgegevens werkt het best wanneer het team snel van onzekerheid naar een gedocumenteerde beslissing gaat. De checklist is praktisch: bevestig of persoonsgegevens betrokken zijn, open een beoordelingsrecord, wijs beslissers toe, beoordeel risico voor personen, beslis of de autoriteit of betrokkenen moeten worden geinformeerd, bewaar bewijs en volg remediation tot sluiting.

Volgens artikel 33 AVG moet de verwerkingsverantwoordelijke de bevoegde toezichthouder zonder onredelijke vertraging en waar mogelijk binnen 72 uur na kennisname melden, tenzij de inbreuk waarschijnlijk geen risico oplevert voor rechten en vrijheden van personen. Artikel 34 voegt communicatie aan betrokkenen toe wanneer waarschijnlijk een hoog risico bestaat. Een verwerker moet de verantwoordelijke zonder onredelijke vertraging informeren.

Wat deze checklist voorkomt

Veel fouten ontstaan voor de meldingsbeslissing. Het team ziet een security event maar weet niet of persoonsgegevens betrokken zijn. Security beperkt de schade, maar privacy en legal krijgen onvoldoende feiten. Customer success hoort over het incident voordat contractuele meldplichten zijn bekeken. Leadership vraagt naar de 72 uur, maar niemand kent het moment van kennisname.

Deze checklist verbindt incident response, privacybeoordeling, klantverplichtingen, vendor management en auditbewijs.

De checklist

Gebruik deze punten voor ieder security- of dataincident dat persoonsgegevens kan raken in productie, support, logs, analytics, CRM, backups, AI-functionaliteit, leveranciersplatforms, HR-systemen of klantdatasets.

1. Open direct het beoordelingsrecord

Wacht niet tot vaststaat dat melding nodig is. Het record is waar de beslissing ontstaat. Leg titel, referentie, detectietijd, kanaal, eerste reviewer, mogelijk kennisnamemoment, betrokken systemen, eerste containment, incident owner, privacy owner, legal reviewer, security owner, communicatie-owner, status, open feiten en volgende review vast.

2. Bevestig of persoonsgegevens betrokken zijn

De AVG-definitie omvat vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang tot persoonsgegevens. Het gaat om vertrouwelijkheid, integriteit en beschikbaarheid. Vraag of geidentificeerde of identificeerbare personen betrokken zijn, of gebruikers, werknemers, leads, admins, logs, bijlagen, exports, backups, analytics of AI-prompts geraakt zijn, en of data is blootgesteld, gewijzigd, verloren of onbeschikbaar geworden.

3. Bepaal de rol van het bedrijf

Een SaaS-bedrijf kan verantwoordelijke zijn voor werknemers-, prospect-, facturatie-, analytics- of accountdata en verwerker voor klantcontent. Documenteer per dataset de rol, het proces of de klant, het contract of DPA, de meldtermijn en wie beslist.

4. Verzamel de minimale feiten voor artikel 33

Leg categorieen en aantallen betrokken personen, categorieen en aantallen records, datatypes, tijdvenster, toegang, download, verstrekking, wijziging, verlies of onbeschikbaarheid, containment, waarschijnlijke gevolgen en genomen of voorgestelde maatregelen vast.

5. Beoordeel risico en hoog risico apart

Artikel 33 en artikel 34 hebben verschillende drempels. Beoordeel gevoeligheid, identificeerbaarheid, ernst, kans op misbruik, credentials, betaalgegevens, gezondheidsgegevens, bijzondere categorieen, kinderen, encryptie, duur, schaal en bewijs van daadwerkelijke toegang.

6. Beslis wie geinformeerd wordt

Scheid toezichthouder, betrokkenen, klanten, leveranciers, verzekeraar, intern leadership en board. Registreer per doelgroep verplichting, basis, deadline, owner, approver, inhoud en follow-up. Controleer voor klanten DPA en contract.

7. Bereid het bewijspakket voor

Bewaar tijdlijn, logs, tickets, screenshots, technische notities, scope-analyse, rolbeoordeling, risicobeoordeling, beslissingen, approvals, meldingen, remediation, root cause en control improvements.

8. Sluit de lus

Melding sluit het incident niet. Controleer dat configuraties, rechten, code of leveranciersproblemen zijn opgelost, klanten updates kregen, communicatie aan betrokkenen opnieuw is beoordeeld, bewijs wordt bewaard en product-, security-, support- en vendorprocessen zijn aangepast.

FAQ

Wat moeten teams begrijpen?

Dat melding van inbreuken een tijdgevoelig workflow is met securityfeiten, privacybeoordeling, juridische drempels, klantplichten, bewijs, remediation en ownership.

Wanneer geldt dit voor SaaS-teams?

Wanneer een beveiligingsinbreuk persoonsgegevens raakt door vernietiging, verlies, wijziging, ongeoorloofde verstrekking, ongeoorloofde toegang of onbeschikbaarheid.

Wat documenteer je eerst?

Detectietijd, mogelijk kennisnamemoment, betrokken systemen en data, bedrijfsrol, containment, owners, open feiten en volgende review.

Bronnen

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 9/2022 on personal data breach notification under GDPR.
• Information Commissioner's Office, Personal data breaches - a guide.