top of page

Protocol informatiebeveiliging, incidenten en datalekken

CultuurPerron 2025

​​

1. Inleiding
 

Het Protocol informatiebeveiligingsincidenten en datalekken is een aanvulling op het Privacy & Cookie beleid van CultuurPerron.

Dit protocol omvat afspraken omtrent dataverwerking en een handleiding voor de professionele melding, beoordeling en afhandeling in geval van beveiligingsincidenten en datalekken, ter voorkoming van beveiligingsincidenten en datalekken.

 

Gebruikte termen:

 

  • Beveiligingsincident: een beveiligingsincident is een gebeurtenis die ervoor zorgt of zou kunnen zorgen dat de beschikbaarheid, integriteit en/of vertrouwelijkheid van de informatievoorziening wordt aangetast.

  • Informatievoorziening: het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van de organisatie.

  • Datalek: een beveiligingsincident waarbij persoonsgegevens verloren raken of onrechtmatig worden bewerkt (opgeslagen, aangepast, verzonden, etc.). Alle datalekken zijn beveiligingsincidenten, maar niet alle beveiligingsincidenten zijn datalekken.

  • Betrokken verwerker: de persoon van wie de persoonsgegevens zijn gelekt.

 

 

2. Wet- en regelgeving datalekken

 

Op 1 januari 2016 is de Wet meldplicht datalekken ingevoerd. Door deze meldplicht zijn bedrijven, scholen en stichtingen verplicht melding te maken van ernstige datalekken bij de Autoriteit Persoonsgegevens. Het nalaten van deze melding kan leiden tot een fikse boete.

 

De meldplicht is alleen van toepassing wanneer persoonsgegevens worden verwerkt. Bijvoorbeeld in de cursistenadministratie, docentenplansysteem of digitale applicaties. Als de organisatie gebruik maakt van leveranciers, of derde partijen die persoonsgegevens ontvangen van de CultuurPerron, dan moet de CultuurPerron met deze verwerkers aanvullende afspraken maken over het melden van datalekken.

 

Er is sprake van een datalek als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan, óf waarbij het niet valt uit te sluiten dat persoonsgegevens zijn verstrekt aan onbevoegden. Dan zijn persoonlijke informatie, e-mailadressen of namenlijsten ‘gelekt’.
Een klassiek voorbeeld van een datalek is een hack waarbij een database met persoonsgegevens is gestolen. Maar het verliezen van een usb-stick met daarop de namen, adresgegevens of cursusresultaten, is ook een datalek.

 

De meldplicht geldt voor de eindverantwoordelijke voor de persoonsgegevens, dat is het Bestuur van CultuurPerron. Een leverancier is een verwerker namens CultuurPerron. Er kan worden afgesproken dat een verwerker of staflid namens de verantwoordelijke de melding doet, maar dat gebeurt dan onder verantwoordelijkheid van het bestuur. Dat moet wel worden afgesproken, anders zal de verantwoordelijke zelf de melding moeten doen.

Als er data gelekt is, moet daar binnen 72 uur na ontdekking van het lek melding van worden gemaakt bij de Autoriteit Persoonsgegevens.

 

Dan kan via de website: deze link >

 

 

3. Afspraken met medewerkers, leveranciers en externe uitvoerende partijen

 

Het bestuur van CultuurPerron moet als verantwoordelijke voor de persoonsgegevens afspraken maken met medewerkers en leveranciers als die persoonsgegevens ontvangen hoe men discreet omgaat met persoonsgegevens in het algemeen. In dit protocol, in het privacybeleid en in (verwerkers)contracten zijn afspraken vastgelegd over wenselijk omgang met privacy en persoonsgegevens. Deze informatie is verstrekt en bekend bij alle medewerkers, leveranciers en verwerkers.

 

Algemene afspraken:

  • Archieven en gegevens worden niet openbaar gemaakt of verstrekt aan onbevoegden.

  • Iedereen die werkt met persoonsgegevens verklaart hier discreet mee om te gaan.

  • Gegevens worden niet onbeheerd zichtbaar achter gelaten.

  • Data op papier wordt buiten zicht opgeborgen, bij voorkeur in afgesloten kasten.

  • Computerschermen worden zo opgesteld dat data niet zichtbaar is voor onbevoegden. Als de werkplek verlaten wordt, dient informatie en e-mail afgeschermd te worden of applicaties afgesloten zodat ze niet ingezien kunnen worden.

  • Computers en telefoons waar data/e-mail op beschikbaar is zijn beschermd met een wachtwoord en worden niet gedeeld met derden of onbevoegden.

  • Alle medewerkers, leveranciers en verwerkers hanteren het privacy beleid van CultuurPerron en dit Protocol informatiebeveiliging, incidenten en datalekken.

  • CultuurPerron zal alle benodigde maatregelen treffen om documenten, archieven, databases, website formulieren en e-mail te beschermen, te versleutelen of te beveiligen en zal dit jaarlijks monitoren.

  • Indien nodig worden protocollen en contracten geupdate en betrokkenen daarvan op de hoogte gesteld.

 

Afspraken in geval van een datalek of incident:

  • Je informeert de directeur of je contactpersoon van CultuurPerron zo snel mogelijk over het incident.
    Buiten kantooruren of tijdens vakanties is de eerste persoon waar gemeld kan worden:
    Fer Koolen (directeur) via: e-mail >  of telefoon >

  • Stel een rapport op over het incident (zie stappenplan verderop voor de inhoud)

  • Informeer elkaar transparantoverdemelding. (CC de verantwoordelijke bestuurder, de directeur en de melder in alle e-mail communicatie).

  • Spreek af binnen welke tijd de verwerkers de gegevens moeten aanleveren.

  • Maak afspraken wie communicatie met de gebruikers voor rekening neemt als dat nodig is.

 

4. Werkwijze bij een datalek

 

Er zijn tenminste vier rollen die onderscheiden moeten worden om een beveiligingsincident en/of datalek succesvol af te handelen:

  1. Ontdekker (betrokken verwerker); degene die het beveiligingsincident of datalek op het spoor komt en het proces in werking stelt.

  2. Centraal meldpunt een centrale locatie waar alle beveiligingsincidenten worden geregistreerd en verder worden verwerkt. De Melder en de Technicus hebben toegang tot deze mailbox. (Fer Koolen en Fran Dekkers);

  3. Melder (Privacy Officer); degene die verantwoordelijk is voor het melden van een datalek bij de Autoriteit Persoonsgegevens. (Fer Koolen)

  4. Technicus (security officer/ICT coördinator); degene die de oorzaak van het datalek kan vinden en kan (laten) repareren. (Fran Dekkers en/of Cursad Helpdesk).

 

Stappenplan:
 

A. Ontdekken: De Ontdekker merkt een beveiligingsincident op. Via eigen waarneming of via waarneming van een derde. De Ontdekker verzamelt zoveel mogelijk informatie over het beveiligingsincident en meldt het bij het meldpunt: Fer Koolen (directeur) via e-mail > of telefoon >
 

B. Inventariseren en rapport opstellen: Het Meldpunt bepaalt dan of er voldoende informatie over het incident bekend is. Zo niet, dan worden aanvullende vragen gesteld aan de Ontdekker en/of de Technicus.De volgende informatie moet worden vastgelegd in een intern rapport:

  • Naam van de Ontdekker, de Melder en/of verantwoordelijke coördinator van CultuurPerron

  • ​Samenvatting van het beveiligingsincident: wat is er met de gegevens gebeurd, wat voor gegevens zijn het (bijzondere gegevens of van gevoelige aard).

  • ​Datum/periode van het beveiligingsincident.

  • ​Aard van het beveiligingsincident.

  • Mogelijke verdachte van de hack, opzettelijke verspreider indien bekend.

  • In geval van een datalek:
    - Omschrijving van de groep betrokkenen
    - Informatie over het kanaal, portaal en/of software betrokken bij het lek
    - Aantal betrokkenen
    - Type persoonsgegevens in kwestie
    - Worden de gegevens binnen een keten gedeeld.

 

C. Beoordelen

De Melder beoordeelt de feiten om te bepalen of een melding aan de Autoriteit persoonsgegevens en/of betrokkenen vereist is, eventueel in overleg met de bestuurder en/of de Functionaris Gegevensbescherming. De volgende informatie wordt vastgelegd door de Melder:

  • Mogelijke gevolgen voor de persoonlijke levenssfeer van de betrokkenen.

  • Wordt het datalek gemeld aan de Autoriteit Persoonsgegevens? Waarom wel/niet?

  • Wordt het datalek aan betrokkenen gemeld? Waarom wel/niet?

  • Hoe worden meldingen gedaan? Wat is de inhoud van de melding?

 

Bij de beoordeling of er sprake is van een ‘meldingsplichtig datalek’, houd je rekening met het type gegevens, en met de hoeveelheid gegevens. Indien het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, moet er gemeld worden.

 

Van die ernstige nadelige gevolgen of de kans op ernstige nadelige gevolgen is bijvoorbeeld sprake wanneer er heel veel gegevens van een betrokkene of gegevens van heel veel betrokkenen gelekt zijn maar ook wanneer de gelekte gegevens “gevoelig” zijn zoals bijvoorbeeld bijzondere persoonsgegevens over gezondheid, over de financiële of economische situatie van de betrokkene, of als de gegevens kunnen leiden tot stigmatisering van de betrokkene (denk aan het lekken via een cursist of een notoire pester).

 

D. Repareren

De Technicus (intern of extern) wordt gevraagd in samenwerking met de Melder te achterhalen wat de oorzaak van het beveiligingsincident is en moet bij een technische oorzaak de oorzaak (laten) verhelpen. Wanneer het gaat om procedurele aanpassingen worden deze in een AVG projectgroep besproken. De Technicus legt onderstaande vast:

  • Technische en organisatorische maatregelen die genomen zijn om de inbreuk te verhelpen en verdere inbreuk te voorkomen. Voorgaande voor zover de oorzaak bekend is.

  • ​Zijn de gelekte gegevens onbegrijpelijk voor degenen die er kennis van heeft kunnen nemen? Hoe zijn de gegevens onbegrijpelijk gemaakt (versleuteld)?

 

 

E.  Melden

Indien de conclusie bij stap 3 is dat er melding gedaan moet worden bij de Autoriteit Persoonsgegevens (en eventueel betrokkenen), dan dient de Melder dit binnen twee werkdagen te doen. De melding bevat alle verzamelde informatie en de getroffen incidentele en structurele technische en organisatorische maatregelen. Het lek wordt gemeld bij het meldloket datalekken via deze link >

 

Gegevens die gemeld moeten worden bij Autoriteit Persoonsgegevens:

  1. Contactgegevens: van CultuurPerron en van de verantwoordelijke voor privacy;

  2. Tijdlijn: wanneer was het datalek, wanneer ontdekt, duurt het nog voort;

  3. Gegevens datalek: aard van de inbreuk en aard van het incident;

  4. Persoonsgegevens: specificatie algemeen en/of bijzonder en de hoeveelheid gegevensrecords;

  5. Betrokkenen: benoem de betrokken groep, en hoeveel personen/adressen is de groep bevat;

  6. Maatregelen: waren de gegevens versleuteld en zo ja hoe;

  7. Gevolgen: gevolgen op de vertrouwelijkheid, integriteit en/of beschikbaarheid van gegevens en de lichamelijke, materiële en of immateriële schade voor betrokkenen;

  8. Vervolgacties: melding aan betrokkenen, maatregelen om inbreuk aan te pakken, eventuele internationale aspecten;

  9. Overig: bevestiging van compleetheid melding.

 

 

F. Vastleggen

Alle informatie, die in de voorafgaande stappen is ingewonnen of ontstaan, wordt gearchiveerd door het Meldpunt waarmee het incident is afgesloten. Het Meldpunt verstuurt een samenvatting van de genomen maatregelen aan de Ontdekker.

 

G. Informeren betrokkene

Heeft het datalek waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene? Dan moet het datalek ook aan de betrokkenen zelf worden gemeld. Dat kunnen zijn: medewerkers, verenigingen, docenten, cursisten of hun verantwoordelijke, leveranciers, partners, gemeenten etc. In principe kan ervan worden uitgaan dat lekken van gevoelige aard gemeld moeten worden bij de betrokkenen.

Let op: als er beveiligde of versleutelde gegevens zijn gelekt, en de gelekte data zijn onbegrijpelijk of ontoegankelijk voor anderen, dan hoeft het niet aan betrokkenen te worden gemeld.
(Denk aan het lekken van een beveiligde én versleutelde database met gebruikersnamen en wachtwoorden).

 

 

5. Monitoring beveiligingsincidenten en datalekken

 

Het Meldpunt van CultuurPerron maakt jaarlijks een rapportage van meldingen, beveiligingsincidenten en datalekken in samenwerking met de Functionaris Gegevensbescherming.

In de rapportage wordt ingegaan op eventuele structurele ontwikkelingen en/of de noodzaak om maatregelen te nemen om herhaling te voorkomen. Ook kan er een risico analyse / onderzoek opgenomen worden. De rapportage wordt gedeeld met het bestuur van CultuurPerron.

 

 

6. Slotbepaling

 

Dit protocol is van toepassing op de gehele organisatie van CultuurPerron, en is gecommuniceerd met alle bestuursleden, medewerkers en uitvoerende partijen.

 

Bijgewerkt d.d.: 1 september 2025

Limburg
Wat kunnen we voor je doen?

* Verplicht veld.

Bedankt voor het bericht.
We nemen zo snel mogelijk contact op.

Stichting CultuurPerron
Wijngaard 8
6017 AG  Thorn
Bezoek uitsluitend op afspraak.

Bereikbaar via:
info@ CultuurPerron.nl

Telefonisch:
maandag t/m donderdag: 09.00-16.00u
vrijdag: 09.00-12.00u
0475 - 561946

Gesloten tijdens schoolvakanties
en op feestdagen.
 

ORGANISATIE
Agenda
Nieuwsbrief
Organisatie en bestuur
ANBI-status
Medewerkers
Werkgebied
Erkende cultuur instelling
Schenken aan...
Over de naam

Algemene voorwaarden
AVG: Privacy & Cookie beleid
Protocol datalek
Klachten of meldingen

Informatie over:

MUZIEKLES
Muziekles
Cursusinfo
Tarieven 
Inschrijfformulier
Theorieles
Muziekexamens

MUZIEK VOOR KINDEREN
BerendBotje (peuters)
Kortjakje (kleuters)
MusicBase (groep 4/5)
Muziekles (vanaf + 7 jaar)

CULTUUREDUCATIE
Schoolprojecten
Project Kerkrazzia 1944
Voor verenigingen
Voor welzijnsorganisaties
Gemeenten
CultuurCoaches
 

AVG-OK-Keurmerk
cbct-gecertificeerd
Schenken aan ANBI.png
Muziekles en Cultuureducatie

© CultuurPerron

bottom of page