Datalek protocol

1. Doel en reikwijdte

Dit protocol beschrijft de procedures binnen Rijbewijskeuring Dementie & MCI voor de omgang met persoonsgegevens en het handelen bij (vermoedelijke) inbreuken in verband met persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG).

Dit protocol heeft tot doel:
• het waarborgen van rechtmatige, zorgvuldige en transparante verwerking van persoonsgegevens;
• het voorkomen, beperken en adequaat afhandelen van inbreuken in verband met persoonsgegevens;
• het voldoen aan de meldplicht datalekken zoals bedoeld in artikel 33 en 34 AVG;
• het minimaliseren van risico’s voor betrokkenen.

---

2. Verwerkingsverantwoordelijke en context

Rijbewijskeuring Dementie & MCI is verwerkingsverantwoordelijke in de zin van artikel 4 AVG voor de verwerking van persoonsgegevens in het kader van rijbewijskeuringen in opdracht van het CBR.

De dienstverlening betreft een onafhankelijke medische beoordeling ten behoeve van rijgeschiktheid. Er is geen sprake van een behandelrelatie in de zin van de WGBO of verzekerde zorg.

---

3. Begripsbepaling: inbreuk in verband met persoonsgegevens

Onder een “inbreuk in verband met persoonsgegevens” wordt verstaan:
een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of ongeoorloofde toegang tot verzonden, opgeslagen of anderszins verwerkte persoonsgegevens, al dan niet per ongeluk of onrechtmatig (artikel 4 lid 12 AVG).

Hieronder vallen onder meer:
• onbevoegde toegang tot systemen of e-mail;
• verlies of diefstal van apparatuur of gegevensdragers;
• onbedoelde verzending van persoonsgegevens aan verkeerde ontvangers;
• ongeautoriseerde wijziging of verwijdering van gegevens;
• beveiligingsincidenten in IT-systemen of cloudomgevingen.

---

4. Dataminimalisatie en gegevensverwerking

De organisatie hanteert het beginsel van dataminimalisatie (artikel 5 AVG). Slechts persoonsgegevens die noodzakelijk zijn voor het doel van de rijbewijskeuring worden verwerkt.

4.1 Niet-verwerkte gegevens

De volgende gegevens worden niet verwerkt:
• kopieën of scans van identiteitsdocumenten;
• bankgegevens of financiële gegevens;
• structurele opslag van adresgegevens;
• overige niet-noodzakelijke identificatie- of verificatiedocumenten.

4.2 Wel verwerkte gegevens

Beperkt tot:
• contactgegevens (e-mail en telefoonnummer);
• geboortedatum;
• afspraakadministratie (datum, tijd, locatie);
• relevante medische gegevens strikt noodzakelijk voor de beoordeling van rijgeschiktheid;
• beperkte administratieve gegevens in het kader van de CBR-procedure (ZorgDomein-code).

4.3 Gegevens die door de gebruiker kunnen worden aangeleverd bij het maken van een afspraak

Tijdens het maken van een afspraak kunnen door de gebruiker aanvullende medische gegevens worden geüpload, uitsluitend voor het correct verwerken van de afspraak en de medische beoordeling in het kader van de rijbewijskeuring.

Dit betreft:
• medische documenten van een arts;
• medicatielijsten van de apotheek.

Deze gegevens worden uitsluitend gebruikt voor de verwerking van de afspraak en de voorbereiding van de medische beoordeling en worden niet voor andere doeleinden verwerkt.

---

5. Organisatorische verantwoordelijkheden

5.1 Verwerkingsverantwoordelijke (directie)

De directie is eindverantwoordelijk voor:
• de naleving van dit protocol;
• de beoordeling van (mogelijke) inbreuken;
• het nemen van mitigerende en corrigerende maatregelen;
• de besluitvorming over meldingen aan de Autoriteit Persoonsgegevens (AP);
• de besluitvorming over communicatie aan betrokkenen.

5.2 Medewerkers en verwerkers

Medewerkers en eventuele verwerkers zijn verplicht:
• (vermoedelijke) inbreuken onverwijld te melden;
• persoonsgegevens zorgvuldig en conform instructies te verwerken;
• beveiligingsincidenten direct te escaleren.

---

6. Preventieve maatregelen

De organisatie heeft passende technische en organisatorische maatregelen getroffen conform artikel 32 AVG, waaronder:
• dataminimalisatie als standaardverwerkingsprincipe;
• toegangsbeperking op basis van noodzaak (need-to-know);
• beveiligde communicatiekanalen;
• afwezigheid van opslag van ID- en bankgegevens;
• periodieke opschoning van persoonsgegevens;
• logging en toegangsbeveiliging van systemen.

6.1 Structurele gegevensverwijdering

Afspraak- en administratieve gegevens worden periodiek van de website verwijderd, uiterlijk iedere twaalf (12) maanden.

6.2 Bewaartermijnen in ZorgDomein

• afgerond keuringsverslag: 1 week;
• keuringsverslag met blokkeringsrecht: 3 maanden;
• niet-afgeronde dossiers: tot afronding of annulering door CBR.

---

7. Melding van (vermoedelijke) inbreuken

Iedere (vermoedelijke) inbreuk wordt onverwijld gemeld aan de directie.

De melding bevat, voor zover bekend:
• aard en tijdstip van het incident;
• categorieën van betrokken persoonsgegevens;
• omvang van de inbreuk;
• mogelijke oorzaak;
• getroffen of voorgestelde maatregelen.

---

8. Procedure afhandeling inbreuk

Stap 1 – Registratie en initiële beoordeling

De directie registreert de melding en beoordeelt:
• of sprake is van een inbreuk in de zin van artikel 4 lid 12 AVG;
• de ernst en waarschijnlijkheid van risico’s voor betrokkenen;
• of de inbreuk voortduurt;
• noodzakelijke directe mitigerende maatregelen.

Stap 2 – Risicoanalyse

Er wordt beoordeeld:
• risico op fysieke, materiële of immateriële schade voor betrokkenen;
• impact op vertrouwelijkheid, integriteit en beschikbaarheid;
• noodzaak tot aanvullende beveiligingsmaatregelen;
• eventuele betrokkenheid van derden/verwerkers.

Stap 3 – Maatregelen en besluitvorming

De directie besluit over:
• onmiddellijke herstelmaatregelen;
• structurele beveiligingsverbeteringen;
• interne en externe communicatie;
• meldplicht aan toezichthouder en betrokkenen.

Stap 4 – Meldplicht Autoriteit Persoonsgegevens (artikel 33 AVG)

Indien vereist wordt de inbreuk onverwijld en, waar mogelijk, binnen 72 uur na ontdekking gemeld aan de Autoriteit Persoonsgegevens.

De melding bevat ten minste:
• aard van de inbreuk;
• categorieën en aantal betrokkenen;
• waarschijnlijke gevolgen;
• genomen en voorgestelde maatregelen;
• contactgegevens.

Stap 5 – Informatieplicht betrokkenen (artikel 34 AVG)

Indien de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, worden zij onverwijld geïnformeerd.

Deze informatie omvat:
• aard van de inbreuk;
• betrokken gegevenscategorieën;
• mogelijke gevolgen;
• genomen maatregelen;
• aanbevelingen ter beperking van schade.

Stap 6 – Follow-up en toezicht

Na melding kan de Autoriteit Persoonsgegevens:
• een ontvangstbevestiging verstrekken;
• aanvullende informatie opvragen;
• vervolgmaatregelen eisen.

---

9. Registratieplicht

Alle (vermoedelijke) inbreuken worden geregistreerd in een intern register conform artikel 33 lid 5 AVG, inclusief:
• feiten en gevolgen;
• genomen corrigerende maatregelen;
• onderbouwing van al dan niet melden aan AP en betrokkenen.

---

10. Evaluatie en continue verbetering

Na iedere inbreuk wordt een evaluatie uitgevoerd gericht op:
• oorzaak-analyse;
• effectiviteit van maatregelen;
• structurele verbeteracties;
• actualisatie van beleid en beveiliging.

---

11. Slotbepaling

Dit protocol wordt periodiek geëvalueerd en geactualiseerd om te blijven voldoen aan toepasselijke wet- en regelgeving, waaronder de AVG en relevante uitvoeringsrichtsnoeren van de Autoriteit Persoonsgegevens.