Officieel document · WSP-DL-2026.1
Procedure datalekken
Versie 2026.1 · vastgesteld 12 juli 2026
Conceptversie — ter juridische toetsing.
Artikel 1 — Wat is een datalek
Een inbreuk in verband met persoonsgegevens: elke gebeurtenis waarbij persoonsgegevens verloren gaan of onrechtmatig worden ingezien, gewijzigd of verstrekt. Voorbeelden binnen dit platform: een gecompromitteerd portaalaccount, een fout waardoor gegevens van de ene school zichtbaar zijn voor een andere, of een e-mail met cursistgegevens aan de verkeerde ontvanger. Een verloren fysieke pas is géén datalek van het platform (er staat alleen een voornaam in handschrift en een pasnummer op), maar de pas wordt op verzoek gedeactiveerd.
Artikel 2 — Intern melden en registreren
Wie een (mogelijk) datalek ontdekt — medewerker, school of derde — meldt dit direct aan info@watersportpas.nl. De platformbeheerder registreert elk incident in het interne incidentenregister: wat, wanneer ontdekt, welke gegevens en betrokkenen, oorzaak, genomen maatregelen en de gemaakte afwegingen. Ook incidenten die uiteindelijk géén meldplichtig lek blijken, blijven geregistreerd.
Artikel 3 — Beoordeling
De platformbeheerder beoordeelt zo snel mogelijk, uiterlijk binnen 24 uur na ontdekking:
- welke gegevens en hoeveel betrokkenen zijn geraakt — weeg mee dat cursisten veelal minderjarig zijn;
- of het lek is gedicht en of gegevens verder verspreid kunnen zijn;
- het risico voor betrokkenen: geen, gewoon of hoog.
Artikel 4 — Melding aan de Autoriteit Persoonsgegevens
Voor verwerkingen waarvoor Watersportpas zelf verantwoordelijke is (het publieke verificatie- en pasregister, de eigen website) meldt Watersportpas een lek met risico voor betrokkenen binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens, ook als het onderzoek nog loopt (aanvullen kan later). Bij geen risico wordt gemotiveerd vastgelegd waarom niet is gemeld.
Artikel 5 — Melding aan aangesloten scholen
Voor cursistgegevens is de school verwerkingsverantwoordelijke en Watersportpas verwerker. Watersportpas informeert de getroffen scholen zonder onredelijke vertraging, uiterlijk binnen 48 uur na ontdekking (verwerkersovereenkomst artikel 7), met alle informatie die de school nodig heeft voor haar eigen 72-uursmelding: aard van het lek, geraakte gegevens en cursisten, gevolgen en genomen maatregelen. De school beslist over haar melding; Watersportpas ondersteunt.
Artikel 6 — Informeren van betrokkenen
Bij een hoog risico voor betrokkenen worden zij zonder onredelijke vertraging geïnformeerd — voor cursisten loopt dat via de school en de ouders/verzorgers, in begrijpelijke taal: wat er is gebeurd, wat de gevolgen kunnen zijn en wat er is gedaan. Waar nodig worden passen gedeactiveerd of wachtwoorden geforceerd vernieuwd.
Artikel 7 — Evaluatie en maatregelen
Elk incident eindigt met een korte evaluatie: oorzaak, wat het had beperkt en welke structurele maatregel volgt (code, configuratie of procedure). De uitkomst wordt toegevoegd aan het incidentenregister en waar relevant aan de beveiligingsparagraaf van de verwerkersovereenkomst.
Colofon
Procedure datalekken · documentnummer WSP-DL-2026.1 · versie 2026.1, concept van 12 juli 2026. Deze versie vervangt alle eerdere versies.
Vastgesteld door het bestuur van Stichting Watersportpas (in oprichting). Vragen over dit document: info@watersportpas.nl.