Meldcode Datalekken en Privacy Schendingen

Meldcode Datalekken en Privacy Schendingen

ZvA-maatwerk B.V.
Vastgesteld door directie
Laatst geactualiseerd: 11 februari 2026

  1. Doel en reikwijdte

Deze meldcode beschrijft de interne procedure van ZvA-maatwerk B.V. bij:

  • het signaleren van (mogelijke) datalekken
  • het beoordelen van risico’s
  • het melden bij de bevoegde toezichthouder
  • het informeren van betrokkenen
  • het registreren en evalueren van incidenten

Deze meldcode is van toepassing op alle medewerkers, zzp’ers, stagiaires, vrijwilligers en ingehuurde derden die werkzaamheden verrichten voor of namens ZvA-maatwerk B.V.

  1. Wettelijk kader

ZvA-maatwerk B.V. verwerkt persoonsgegevens conform:

  • De Algemene Verordening Gegevensbescherming (AVG)
  • De Uitvoeringswet AVG (UAVG)
  • Richtlijnen van de Autoriteit Persoonsgegevens
  • Contractuele afspraken met opdrachtgevers (Wmo, Jeugdwet, WLZ)

Op grond van artikel 33 en 34 AVG geldt een meldplicht bij datalekken die risico’s opleveren voor betrokkenen.

  1. Organisatiegegevens

Naam organisatie:
ZvA-maatwerk B.V.

Bezoekadres dagbesteding:
De Groene Ster 14 (Veld A)
8926 XE Leeuwarden

Rechtsgeldig vertegenwoordiger:
Aafke Feenstra – Directeur / Bestuurder

E-mailadres privacyzaken:
[invullen]

  1. Definitie datalek (2026)

Een datalek is:

Een inbreuk op de beveiliging die per ongeluk of onrechtmatig leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Een datalek kan zowel digitaal als fysiek plaatsvinden.

Voorbeelden:

  • E-mail met persoonsgegevens verzonden naar verkeerd adres
  • Verlies of diefstal van laptop/telefoon
  • Onbevoegde inzage in cliëntdossier
  • Hack of ransomware
  • Onvoldoende afgeschermde cloudomgeving
  • Dossier achtergelaten in openbare ruimte
  1. Interne meldplicht

Iedere medewerker of samenwerkingspartner die een (mogelijk) datalek constateert, meldt dit onmiddellijk bij de directie.

Melding bevat minimaal:

  • Datum en tijdstip constatering
  • Omschrijving incident
  • Soort persoonsgegevens
  • Aantal betrokken personen (indien bekend)
  • Reeds genomen maatregelen

Er geldt een interne meldplicht van direct melden, uiterlijk binnen 24 uur na constatering.

  1. Stappenplan bij (vermoeden van) datalek

Stap 1 – Beoordeling: is er sprake van een datalek?

De directie beoordeelt:

  • Is er sprake van een beveiligingsincident?
  • Zijn persoonsgegevens daadwerkelijk verloren gegaan of onrechtmatig verwerkt?
  • Is er een risico voor rechten en vrijheden van betrokkenen?

Indien geen persoonsgegevens zijn geraakt, wordt het incident geregistreerd als beveiligingsincident (geen meldplicht).

Stap 2 – Directe beheersmaatregelen

Zo spoedig mogelijk worden maatregelen genomen om:

  • Verdere verspreiding te stoppen
  • Toegang te blokkeren
  • Apparatuur te beveiligen
  • Onbevoegde ontvangers te verzoeken gegevens te verwijderen

Stap 3 – Risicoanalyse (binnen 72 uur)

ZvA-maatwerk beoordeelt:

  • Gaat het om bijzondere persoonsgegevens (gezondheid, begeleiding, strafrecht)?
  • Hoe gevoelig zijn de gegevens?
  • Wat is de mogelijke impact voor betrokkenen?
  • Is identiteitsfraude of reputatieschade mogelijk?

Uitkomst:

  • Geen risico → geen melding bij AP, wel registratie
  • Wel risico → melding bij AP
  • Hoog risico → melding bij AP + informeren betrokkenen

Stap 4 – Melding bij Autoriteit Persoonsgegevens

Indien sprake is van een meldplichtig datalek, wordt dit binnen 72 uur na ontdekking gemeld via het meldloket van de Autoriteit Persoonsgegevens.

Indien melding later plaatsvindt, wordt dit gemotiveerd.

Stap 5 – Informeren betrokkenen

Indien sprake is van een hoog risico voor de rechten en vrijheden van betrokkenen, worden zij onverwijld geïnformeerd.

De melding bevat:

  • Aard van het datalek
  • Mogelijke gevolgen
  • Reeds genomen maatregelen
  • Adviezen ter beperking van schade
  • Contactgegevens voor nadere informatie
  1. Registratieplicht (verantwoordingsplicht AVG)

Alle datalekken — ook niet-meldplichtige incidenten — worden geregistreerd in het interne:

Register Datalekken en Beveiligingsincidenten

Dit register bevat:

  • Datum
  • Omschrijving
  • Risicobeoordeling
  • Besluit melding ja/nee
  • Eventuele melding betrokkenen
  • Corrigerende maatregelen

Dit register wordt jaarlijks geëvalueerd.

  1. Externe verwerkers

Met externe partijen (ICT, administratie, softwareleveranciers) zijn verwerkersovereenkomsten gesloten conform artikel 28 AVG.

Indien een datalek plaatsvindt bij een verwerker:

  • Meldt deze het incident direct aan ZvA-maatwerk
  • Blijft ZvA-maatwerk verwerkingsverantwoordelijke
  • Voert ZvA-maatwerk de meldprocedure richting AP uit
  1. Preventieve maatregelen

ZvA-maatwerk borgt privacy door:

  • Beperkte autorisaties per medewerker
  • Sterke wachtwoordvereisten en tweestap verificatie
  • Versleutelde opslag
  • Afsluitbare dossierkasten
  • Clean desk beleid
  • Periodieke bewustwording medewerkers
  • Verwerkersovereenkomsten
  • Interne audits op AVG
  1. Evaluatie en herziening

Deze meldcode wordt:

  • Jaarlijks geëvalueerd
  • Aangepast bij wetswijzigingen
  • Geactualiseerd bij organisatorische wijzigingen

De directie is eindverantwoordelijk voor naleving.

Vaststelling

Aldus vastgesteld door de directie van ZvA-maatwerk B.V.

Plaats: Leeuwarden
Datum: 11 februari 2026

Handtekening:

Naam: Aafke Feenstra
Functie: Directeur / Bestuurder

 

Privacyverklaring

Privacyverklaring ZvA-maatwerk

Laatst bijgewerkt: 10 februari 2026
ZvA-maatwerk (hierna: ZvA) hecht groot belang aan de bescherming van persoonsgegevens. Om ondersteuning en begeleiding op een zorgvuldige, veilige en professionele wijze te kunnen organiseren, verwerken wij persoonsgegevens van deelnemers, wettelijke vertegenwoordigers en samenwerkingspartners.
ZvA verwerkt persoonsgegevens conform de Algemene Verordening Gegevensbescherming (AVG), die van kracht is binnen de Europese Unie.
Doel en grondslag van gegevensverwerking
ZvA verwerkt uitsluitend persoonsgegevens die noodzakelijk zijn voor:
• het bieden van passende begeleiding en ondersteuning;
• administratieve en financiële afhandeling;
• het voldoen aan wettelijke verplichtingen;
• kwaliteitsbewaking en verantwoording.
Persoonsgegevens worden niet verwerkt voor andere doeleinden dan hierboven beschreven.
________________________________________
Toegang tot het deelnemersdossier
1. Binnen ZvA hebben uitsluitend geautoriseerde personen toegang tot het deelnemersdossier. Dit betreft, afhankelijk van functie en betrokkenheid:
o Directie
o Leidinggevenden
o Begeleiders
o Assistent-begeleiders
o Administratief medewerkers
o Boekhouder / accountant
o Stagiaires (uitsluitend onder begeleiding)
Alle betrokkenen hebben een wettelijke en contractuele geheimhoudingsplicht.
2. Per deelnemer wordt vastgesteld welke functionarissen toegang hebben tot het dossier, op basis van noodzakelijkheid en betrokkenheid.
3. In het deelnemersdossier worden uitsluitend gegevens vastgelegd die relevant zijn voor de ondersteuning en begeleiding.
4. Persoonsgegevens worden niet verstrekt aan derden, inclusief familieleden, tenzij:
o de deelnemer of wettelijk vertegenwoordiger hiervoor schriftelijk toestemming heeft gegeven;
o of wanneer dit wettelijk verplicht is.
Ook na overlijden blijven persoonsgegevens vertrouwelijk.
________________________________________
Bewaartermijnen
ZvA hanteert de volgende bewaartermijnen:
• Volwassen deelnemers: 15 jaar na beëindiging van de ondersteuning.
• Minderjarige deelnemers: tot het 34e levensjaar (bewaartermijn start bij het bereiken van 18 jaar).
• Overleden deelnemers: 15 jaar na overlijden of laatste dossierwijziging.
• Financiële en fiscale gegevens: 7 jaar, conform fiscale wetgeving.
Na afloop van de bewaartermijnen worden persoonsgegevens zorgvuldig en veilig vernietigd.
________________________________________
Rechten van deelnemers
De deelnemer of diens wettelijk vertegenwoordiger heeft recht op:
• inzage in het dossier;
• rectificatie en aanvulling van persoonsgegevens;
• dataportabiliteit (artikel 20 AVG);
• beperking van de verwerking (artikel 18 AVG);
• verwijdering van persoonsgegevens (recht op vergetelheid, artikel 17 AVG);
• bezwaar tegen verwerking van persoonsgegevens.
ZvA verstrekt duidelijke en transparante informatie over de wijze waarop persoonsgegevens worden verwerkt.
Wanneer u gebruik wilt maken van één of meerdere van deze rechten, kunt u contact opnemen met ZvA. De aanvraag en opvolging worden vastgelegd in het formulier uitvoering AVG.
________________________________________
Verwerking en uitwisseling van gegevens
ZvA werkt samen met ketenpartners en instanties voor de uitvoering van ondersteuning. Met alle partijen die namens ZvA persoonsgegevens verwerken, is een verwerkersovereenkomst afgesloten.
Een actueel overzicht van deze partijen is op verzoek beschikbaar.
________________________________________
Klachten en toezicht
Indien u van mening bent dat ZvA niet zorgvuldig omgaat met uw persoonsgegevens, kunt u dit kenbaar maken via de geldende klachtenprocedure.
ZvA-maatwerk is aangesloten bij Quasir – klachten, calamiteiten en geschillen Zorg en Welzijn.