Misschien heeft u het al in het nieuws voorbij zien komen, of is uw organisatie inmiddels op de hoogte gesteld. Eind oktober heeft een enorm datalek plaatsgevonden bij het sollicitatieplatform Homerun. Een hacker heeft toegang verkregen tot sollicitatiegegevens van klanten van Homerun. Wij ontvangen steeds meer vragen over dit datalek en daarom leggen wij in deze blog uit welke stappen nu genomen moeten worden. U vindt de stappen ook in onze factsheet Melden van datalekken.
Meld datalek Homerun bij Autoriteit Persoonsgegevens
Allereerst is het van belang dat dit datalek zo snel mogelijk wordt gemeld bij de Autoriteit Persoonsgegevens, voor zover dat nog niet is gebeurd. Op het moment dat Homerun uw organisatie heeft geïnformeerd over dit datalek, is de wettelijke termijn van 72 uur gaan lopen. Heeft u het datalek tijdig gemeld bij de Autoriteit Persoonsgegevens, dan is er goed gehandeld. Bent u te laat met het melden, dan is het zaak om alsnog zo snel mogelijk de melding te doen via de website van de Autoriteit Persoonsgegevens. Geef in het meldformulier aan waarom de melding te laat is ingediend.
Meld betrokkenen
Alle betrokkenen wiens persoonsgegevens zijn gelekt, dienen geïnformeerd te worden. Waarom? Omdat er sprake is van een hoog risico voor de betrokkenen, gelet op het soort datalek, de omvang van het datalek en de persoonsgegevens die gelekt zijn. Het betreft hier niet alleen een naam en contactgegevens, maar in sommige gevallen zelfs informatie over het salaris.
Meld het lek bij het datalekregister
Dit datalek dient ook intern geregistreerd te worden. Het is gebruikelijk om alle datalekken op te nemen in een datalekregister. De volgende informatie moet in het datalekregister staan:
- Een korte omschrijving van het datalek
- Datum waarop het datalek plaatsvond en de datum waarop uw organisatie is geïnformeerd door Homerun
- Categorie betrokkenen en persoonsgegevens
- Datum waarop het datalek is gemeld aan de Autoriteit Persoonsgegevens en betrokkenen, en de daadwerkelijke meldingen daarvan
- Maatregelen die zijn genomen naar aanleiding van dit datalek
Gebruikers Homerun leven bewaartermijnen niet na
De omvang van dit datalek is enorm. Dat komt onder andere doordat bewaartermijnen niet zijn nageleefd. Een wijze les voor de volgende keer, want het datalek had dus beperkt kunnen worden als gegevens wel na het verstrijken van de bewaartermijn verwijderd waren. De Autoriteit Persoonsgegevens is vrij duidelijk over de bewaartermijn van sollicitatiegegevens: vier weken na het einde van de sollicitatieprocedure en maximaal één jaar als daar toestemming voor is gegeven.
Aan alle organisaties nu de taak om schoon schip te maken, en bewaartermijnen na te leven.
Heeft uw organisatie dringend hulp nodig in verband met een datalek? De privacy experts van ICTRecht schieten u direct te hulp. Bel ons op telefoonnummer: 020 663 1941. Een bericht achterlaten via het ons contactformulier kan ook.
