Datalekkenprotocol
Laatst bijgewerkt: 19 februari 2026
Dit protocol beschrijft hoe Fleetfusion, h.o.d.n. JustRunBiz omgaat met datalekken (inbreuken in verband met persoonsgegevens), conform artikelen 33 en 34 van de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). Dit protocol maakt onderdeel uit van ons informatiebeveiligingsbeleid.
1. Wat is een datalek?
Een datalek (inbreuk in verband met persoonsgegevens) is elke inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot:
- De vernietiging van persoonsgegevens
- Het verlies van persoonsgegevens
- De wijziging van persoonsgegevens
- De ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens
Voorbeelden: onbevoegde toegang tot de database, per ongeluk verzonden e-mail met persoonsgegevens naar verkeerd adres, ransomware-aanval, verloren onversleuteld apparaat met klantgegevens.
2. Meldplicht
2.1 Melding aan de Autoriteit Persoonsgegevens (AP)
Conform Art. 33 AVG meldt JustRunBiz een datalek binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens (AP), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van betrokkenen.
De melding aan de AP bevat ten minste:
- De aard van het datalek, waaronder de categorieën en het geschatte aantal betrokkenen en gegevensrecords
- De naam en contactgegevens van de functionaris gegevensbescherming (DPO) of ander contactpunt
- De waarschijnlijke gevolgen van het datalek
- De maatregelen die zijn genomen of worden voorgesteld om het datalek aan te pakken en de nadelige gevolgen te beperken
2.2 Melding aan betrokkenen
Conform Art. 34 AVG informeert JustRunBiz de betrokken personen onverwijld wanneer het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden. Dit geldt tenzij:
- De gegevens versleuteld waren en de sleutel niet is gecompromitteerd
- Aanvullende maatregelen het hoge risico hebben weggenomen
- Individuele kennisgeving onevenredige inspanning zou vergen (in dat geval: openbare communicatie)
2.3 Melding aan verwerkingsverantwoordelijken (klanten)
Als JustRunBiz als verwerker optreedt, melden wij het datalek binnen 24 uur aan de betreffende verwerkingsverantwoordelijke (klant), conform onze Verwerkersovereenkomst.
3. Interne procedure
Detectie & Melding
Ieder teamlid dat een (vermoedelijk) datalek ontdekt, meldt dit onmiddellijk aan de DPO via stijn@justrunbiz.com of het interne incidentkanaal. Tijdstip van ontdekking wordt geregistreerd.
Triage & Classificatie
De DPO beoordeelt binnen 4 uur: (a) Is het een datalek? (b) Wat is de ernst? (c) Welke gegevens en hoeveel betrokkenen zijn getroffen? (d) Is melding aan de AP verplicht?
Beheersing
Direct maatregelen nemen om het lek te stoppen en verdere schade te voorkomen: toegang intrekken, systemen isoleren, wachtwoorden resetten, kwetsbaarheid patchen.
Melding (binnen 72 uur)
Indien vereist: melding aan de AP via het meldloket datalekken. Melding aan betrokkenen indien hoog risico. Melding aan verwerkingsverantwoordelijken (klanten) binnen 24 uur.
Herstel & Evaluatie
Volledig herstel doorvoeren. Root cause analysis uitvoeren. Beveiligingsmaatregelen aanscherpen. Documentatie bijwerken. Eventueel externe audit.
Registratie & Rapportage
Elk datalek wordt geregistreerd in het interne datalekkenregister (Art. 33(5) AVG), inclusief feiten, gevolgen en genomen maatregelen. Dit register is beschikbaar voor de AP op verzoek.
4. Risicobeoordelingsmatrix
| Risiconiveau | Beschrijving | Melding AP | Melding Betrokkenen | Melding Klanten |
|---|---|---|---|---|
| Laag | Versleutelde data, geen gevoelige gegevens, beperkte omvang | Nee (registratie volstaat) | Nee | Ja (24 uur) |
| Midden | Onversleutelde persoonsgegevens, meerdere betrokkenen | Ja (72 uur) | Nee | Ja (24 uur) |
| Hoog | Financiële data, BSN, grote aantallen, kwetsbare groepen | Ja (72 uur) | Ja (onverwijld) | Ja (24 uur) |
5. Datalekkenregister
Conform Art. 33(5) AVG houdt JustRunBiz een register bij van alle datalekken, ongeacht of deze bij de AP zijn gemeld. Het register bevat per incident:
- Datum en tijdstip van ontdekking
- Aard van het datalek
- Categorieën persoonsgegevens en betrokkenen
- Geschat aantal betrokkenen en gegevensrecords
- Waarschijnlijke gevolgen
- Genomen herstelmaatregelen
- Wel/niet gemeld aan AP (met motivatie)
- Wel/niet gemeld aan betrokkenen (met motivatie)
6. Preventieve maatregelen
JustRunBiz neemt de volgende preventieve maatregelen om datalekken te voorkomen:
- Versleuteling: Data in transit (TLS 1.2+) en at rest (AES-256)
- Toegangscontrole: Row Level Security (RLS) op database-niveau, role-based access
- Monitoring: Geautomatiseerde detectie van ongebruikelijke activiteit
- Updates: Regelmatige beveiligingsupdates en patches
- Training: Bewustwordingstraining voor alle teamleden
- Pentesting: Periodieke beveiligingstests
- Backups: Geautomatiseerde, versleutelde backups met point-in-time recovery
7. Verantwoordelijkheden
- DPO (stijn@justrunbiz.com): Coördineert het datalekkenprotocol, beoordeelt meldplicht, communiceert met AP
- Technisch team: Beheersing, herstel, root cause analysis
- Management: Escalatie, strategische beslissingen, communicatie met betrokkenen
- Alle medewerkers: Melden van (vermoedelijke) datalekken
8. Contact bij een datalek
Vermoedt u een datalek of beveiligingsincident bij JustRunBiz? Neem direct contact met ons op:
- DPO: stijn@justrunbiz.com
- Security: stijn@justrunbiz.com
Zie ook ons Responsible Disclosure beleid voor het melden van beveiligingskwetsbaarheden.