Meldingen van gegevenslekken onder de AVG

Ontdek hoe Microsoft een lek van persoonlijke gegevens detecteert, erop reageert en jou daarvan op de hoogte stelt onder de AVG.

In het geval van een lek van persoonlijke gegevens zijn gegevensbeheerders en -verwerkers verplicht daar melding van te doen onder de AVG. De onderstaande informatie gaat over die bepalingen, hoe Microsoft gegevenslekken in eerste instantie probeert te voorkomen, hoe Microsoft een gegevenslek detecteert en hoe Microsoft in het geval van een gegevenslek reageert en jou als gegevensbeheerder op de hoogte stelt.


Documentatie over gegevenslekken voor Online Services

Dynamics 365

Microsoft Professional Services

Hulpmiddelen voor beheer

Stel de privacycontactpersoon van je organisatie in. Tenantbeheerders kunnen de Azure Active Directory-beheerportal gebruiken om de privacycontactpersoon van je organisatie te definiëren, voor het geval Microsoft met hem moet communiceren.

Veelgestelde vragen over meldingen van gegevenslekken

Hieronder staan belangrijke vragen en antwoorden over meldingen van gegevenslekken:
|

Persoonlijke gegevens betekent elk soort informatie gerelateerd aan een individu die kan worden gebruikt om hem direct of indirect te identificeren. Een lek van persoonlijke gegevens is “een beveiligingsinbreuk die leidt tot onopzettelijke of onwettige vernietiging, verwijdering, wijziging of onbevoegde openbaarmaking van, of toegang tot, persoonlijke gegevens die worden verzonden, worden opgeslagen of anderszins worden verwerkt”.

In het geval van een lek van persoonlijke gegevens die waarschijnlijk zal resulteren in een hoog risico voor de rechten en vrijheden van individuen (zoals discriminatie, identiteitsdiefstal, fraude, financieel verlies of schade aan hun reputatie), vereist de AVG dat je:
  • De toepasselijke gegevensbeschermingsautoriteit op de hoogte stelt binnen 72 uur nadat je je ervan bewust bent geworden, bijvoorbeeld nadat Microsoft jou op de hoogte heeft gesteld. Als je de gegevensbeschermingsautoriteit niet binnen die tijdsperiode op de hoogte stelt, moet je de autoriteit uitleggen waarom niet. Deze melding aan de gegevensbeschermingsautoriteit is zelfs vereist wanneer de lek waarschijnlijk niet zal resulteren in een hoog risico voor individuen.
  • De getroffen personen zonder onnodige vertraging op de hoogte stelt van de lek.
  • Documenteer de lek met onder meer een beschrijving van de aard van de lek, zoals hoeveel mensen er zijn getroffen, het aantal getroffen gegevensrecords, de gevolgen van de lek, en acties die je organisatie voorstelt of heeft ondernomen om het op te lossen.

Nadat we ons bewust worden van een lek van persoonlijke gegevens, vereist de AVG dat wij jou zonder onnodige vertraging op de hoogte stellen. Waar Microsoft een gegevensverwerker is, weerspiegelen onze verplichtingen zowel AVG-vereisten als onze standaard, wereldwijde contractuele bepalingen. Alle bevestigde lekken van persoonlijke gegevens vallen binnen de scope; er is geen sprake van een schadedrempel. We laten onze klanten weten of de gegevenslek direct door Microsoft of door een van onze subverwerkers werd ondervonden. We hebben processen om snel contact op te nemen met beveiligingsincidentmedewerkers die jij hebt geïdentificeerd in je organisatie. Bovendien zijn alle subverwerkers contractueel verplicht om hun eigen gegevenslekken aan Microsoft te melden, en geven daartoe garanties.

Al onze services en medewerkers volgen interne incidentbeheerprocedures om te verzekeren dat we goede voorzorgsmaatregelen nemen om gegevenslekken in eerste instantie te vermijden. Voor het zeldzame geval dat ze echter wél plaatsvinden, heeft Online Services op al onze platforms specifieke beveiligingsmaatregelen getroffen om gegevenslekken te detecteren.

Om je te ondersteunen in het geval van een lek van persoonlijke gegevens, heeft Microsoft:
  • Beveiligingsmedewerkers die zijn getraind in de specifieke procedures die ze moeten volgen.
  • Beleidsregels, procedures en voorzorgsmaatregelen om te verzekeren dat Microsoft gedetailleerde gegevens bijhoudt. Dit omvat het vastleggen van de feiten omtrent het incident, de gevolgen ervan en acties om het op te lossen in documentatie, evenals het bijhouden en opslaan van informatie in onze incidentbeheersystemen.

Microsoft heeft beleidsregels en procedures om je onmiddellijk op de hoogte te stellen. Om je te helpen de gegevenslek aan de gegevensbeschermingsautoriteit te melden, geven we een beschrijving van hoe we hebben bepaald of er een lek van persoonlijke gegevens heeft plaatsgevonden, een beschrijving van de aard van de lek en een beschrijving van de maatregelen die we hebben genomen om de lek te mitigeren.