Wet bescherming persoonsgegevens

Transcriptie

1 Geregistreerde bijlage SSO/ICT- ZYro la+8?'ot Wet bescherming persoonsgegevens MELDINGSFORMULIER VERWERKINGEN PERSOONSGEGEVENS BIJ V&W Logging en monitoring Met dit formulier kan een verwerking van persoonsgegevens elektronisch worden gemeld aan de privacyfunctionaris van het ministerie van Verkeer en Waterstaat, de heer drs. W.B.M. Vrouwenvelder ( Voor elke melding dient een afzonderlijk formulier te worden ingevuld. Eerder gedane meldingen kunt u via dit formulier wijzigen, uitbreiden of afmelden. De melding vindt plaats op grond van de Wet bescherming persoonsgegevens en betreft persoonsregistraties die niet op grond van het Vrijstellingsbesluit Wbp zijn vrijgesteld van de aanmeldingsplicht. Welke meldingen zijn vrijgesteld, kunt u navragen bij uw privacycoórdinator. Een lijst van privacycoórdinatoren is op te vragen via de privacyfunctionaris van V&W, de heer Vrouwenvelder (070-35t6374) of door het sturen van een naar wbp@minvenw.nl. LET OP In het algemeen is bij V&W de Minister de verantwoordelijke voor persoonsregistraties en alle vormen van verwerkingen van persoonsgegevens in de zin van de Wet bescherming persoonsgegevens. Er staat derhalve geen vraag op dit formulier wie de verantwoordelijke is. Mocht het zo zijn dat niet onze Minister, maar een andere persoon of instantie de verantwoordelijke is, kopieer dat de eerste tabel, verander "beheerder" in "verantwoordelijke" en vul vervolgens de tabel verder in. In geval van dient u contact oo te nemen met de van uw dienstonderdeel.

2 Vraag 1 Welke verwerking van persoonsgegevens meldt u aan? Toelichting: hier dient omschreven te worden om welke verwerking van persoonsgegevens het gaat. Dat kan bijvoorbeeld door het invullen van de naam of het systeem waaronder dit bekend is bij de organisatíe, zoals bijvoorbeeld "de De rso n ee I sa d m i n i stra ti e " of " d e kl a ch te n reg i stra ti e ". Let op: Middels één systeem kunnen meerdere verwerkingen plaatsvinden. Andercom geldt het zelfde: Een vetwerking kan middels meerdere systemen geschieden. Voorts kan één verwerking middels zowel geautomatiseerde systemen plaatsvinden als handmatig. Indien hieruan sprake is, moet hier bii de aanduidinc en verdere uitwerking rekening mee worden gehouden. Naam van de reqistratie: Loqqinq en monitorinq technische infrastructuur Dienstonderdeel: SSO-ICT Locatie(s) waar de verwerkinqen van de persoonsgegevens registratie plaatsvinden: Decentraal op de ICT componenten. ToelÍchting: indien een registratie op meerdere locaties wordt gebruikt, dient u alle locaties te vermelden. Dat hoeft in principe niet het volledige adres te zijn, maar kan bijvoorbeeld ook de plaatsnaam zijn of de organisatieaanduiding, zoals "dienstkring" of "vestioino Heerlen". Yraag 2 Wie is de beheerder van de door u gemelde Dersoonsreqistratie? Toelichting: bij deze vraag dient te worden ingevuld wie bevoegd is tot het nemen van maatregelen voor het beheer van de persoonsregistratie. In het algemeen is dat het hoofd van dienst, dus de DG, de HID of de directeur. Binnen een dienstonderdeel kunnen deze taken en bevoegdheden zijn doorgemandateerd. In dat geval dient de naam van die persoon als beheerder te worden vermeld. Is niet bekend of het beheer van een registratie is doorgemandateerd, vermeld dan veiligheidshalve de naam, functie en andere eeeevens van het hoofd van dienst. Naam beheerder: Perry van der Weyden Orqanisatie en afdelinq: SSO-ICT Functie: Directeur Adres: Koninqskade 4 Postcode en plaats: 2596 AA Den Haag Telefoon en faxnummer: t 7323 E-mai lad res : Perry.vander, minvenw, nl

3 Vraag 3 Wie is de contactpersoon? (Vermeld de gegevens van de contactpersoon) Naam contactpersoon/contactpersonen: Rens de Wild Orqanisatie en afdelinq: SSO-ICT Systeembeheer Functie(s) : Teamleider Adres(sen) : Koninqskade 4 Postcode en plaats: 2596 AA Den Haag Tefefoon- en faxummer(s): L77 adres(sen) : rens.de.wild@minvenw. nl Vraag 4 Heeft u deze verwerking of registratie al eerder gemeld bij de privacyfunctionaris? X Nee - qa verder met vraag 5 0 Ja - qeef hieronder aan wat van toepassing is 0 Het betreft een melding van de opheffing van een venrerking of een registratie met inoanq van d.d. Toelichting: indien een verwerking of registratie wordt opgeheven hoeft u het formulier níet verder in te vullen. U kunt het formulier afsluiten met datering en ondertekenins en venrolqens verzenden aan de privacyfunctionaris, 0 De melding betreft de volgende wijziging van de naam en het adres van de verantwoordelijke: Toelichting: een wijziging van de verantwoordelijke dient binnen één week na de wiizioino te worden oemeld. 0 De melding betreft de volgende wijziging in het doel of de doeleinden van de verwerking: 0 De melding betreft de volgende wijziging in een voorgenomen doorgifte aan een niet-eu land: Toelichting: de vier bovenstaande wijzigingen worden binnen één jaar na de laatste meldino dooraeqeven, en alleen indien deze structureel van aard ziin.

4 Vraag 5-a Wat is het doel van deze verwerking van persoonsgegevens? Toelichting: hier dient u zo duidelijk mogelijk aan te geven wat het doel (of de samenhangende doeleinden) van de verwerking is, omdat aan de hand van het doel van de verwerkíng de hoeveelheid, de soort, de kwaliteit en de bewaartermijn van de eeeevens worden qetoetst. Let op: Conform de "Regeling bescherming pensoonsgegevens V&W", artikel 6 dient de beheerder (zie vraag 2) de doelomschrijving vast te stellen. Stem het antwoord op deze vraag (bij voorkeur voorafgaand aan de oeoevensverzamelinq) met de beheerder af. Controleer de doelomschrijving: Is het op basis van de doelomschrijving mogelijk om de hoeveelheid, soort, lanaliteit en de bewaartermiinen te toetsten? Dit komt er op neer dat de antwoorden bij vraag 5-a en vraag 6 met elkaar in verband moeten kunnen worden gebracht: Is voor de gegevens zoals opgenomen bij vraag 6 helder waar deze gegevens voor worden gebruil<t (vraag 5-a)? Is de genoemde bewaattermijn aannemelijlg uitgaande van dit oebruik? Antwoord: Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeuftenissen behoren op grond van de Operationele Baseline Beveiliging DWR te worden vastgelegd in logbestanden. Deze logbestanden behoren te worden bewaard om monitoring, alarmering, controle, rappoftering, (forensisch)onderzoek en (trend)analyse mogelijk te maken. In de logbestanden wordt informatie vastgelegd waarmee reproduceerbaar is wie waar wanneer welke cruciale handelingen heeft verricht. Deze verwerkinq is qerechtvaardiqd op qrond van aftikel I lid f van de Wbp. Vraaq 5-b Wat is de bewaaftermiin van de Dersoonsgegevens? Toelichting: hler dient u aan te geven wat de bewaaftermijn van de persoonsgegevens is. Indien de Archiefwet van toepassing is, kan hier worden volstaan met'conform archiefwet'. Let op: Neem de werkelijke bewaaftermijn op. Verwijs hierbij eventueel naar een weltelijke bewaartermijn, dan wel (indien niet aan de orde) de ge h a ntee rd e bewa a rte rm ii n. Antwoord: De beschikbare logbestanden en hun huidige bewaartermijnen zijn opgenomen in de bijlage. Vanuit het project implementatie normenkader DWR worden bewaartermijnen die voldoen aan dit normenkader en aan de Wbp geïmplementeerd: - Op grond van het normenkader DWR moet de logging-informatie minimaal 3 maanden bewaard blijven en gedurende die tijd kunnen worden ingezien. Logginginformatie over een vermoed beveiligingsincident moet tot 5 jaar na afhandeling van dit incident bewaard blijven. - Vanuit de Wbp wordt de maximale bewaadermijn van de logging gesteld op 6 maanden, conform het vrijstellingsbesluit, met uitzondering van de logging van vermoede beveiligingsincidenten. - Indien de technische infrastructuur de mogelijkheid niet biedt tot het instellen van een bewaartermijn van 6 maanden wordt gestreefd naar een instelling die deze termiin zo ooed moqeliik benadert.

5 Vraag 6 Welke persoonsgegevens zijn in deze registratie opgenomen? Toelichting: bij deze vraag dient u aan te geven welke categorieën of sooften gegevens worden verwerkt, zoals bijvoorbeeld de naw-gegevens (=tlêtdtn, adres, woonplaats), telefoonnummers, gebooftedata, functies, maar ook bijvoorbeeld geg even s a I s zi e kteve rzu i m, ve rl of, sa I a ri s, re i s kostenv e rg oed i n g e n, g e b ru i ks- of verbruikscijfers etc. Mocht het onduideliik zijn of een bepaald gegeven een persoonsgegevens is, neem dan contact op met de privacycoisrdinator van uw dienstonderdeel. Antwoord: De beschikbare logbestanden en hun eigenschappen zijn opgenomen in de bijlage. Een logregel bevat in het algemeen de volgende informatie: a. Datum en tijdstip van de gebeurtenis b. Gebru i kersnaam/identificatie c. Werkstation/locatie i nformatie d. Activiteit e. Het object waarop de activiteit werd uitgevoerd f. Indien relevant, het resultaat van de activiteit In een logregel worden in geen geval gegevens opgenomen waardoor de beveiliging doorbroken kan worden (zoals wachtwoorden en inbelnummers). Voor de logging van het internet- en gebruik is een afzonderlijk privacyreglement va n kracht. Deze verwerking is ingedeeld in Risicoklasse 1. Logging-informatie over een vermoed beveiligingsincident valt in Risicoklasse 3.,,ii.i.,.,i

6 Vraag 6a Worden er ook bijzondere of gevoelige gegevens verwerkt, zoals gegevens over: (aankruisen wat van toepassing is) Let op: Een pasfoto, maar ook digitale camerabeelden van Pensonen, kwalificeren als bijzondere persoonsgegeven, omdat zij informatie kunnen vercchaffen of iemands ras of etniciteit. 0 Godsdienst of levensovertuiginq 0 Ras of etniciteit 0 Politieke qezindheid 0 Gezondheid 0 Seksuele qeaardheid 0 LidmaatschaD van een vakvereniqinq 0 Strafrechterliike qeqevens 0 Hinderlijk gedrag, onrechtmatig of onwettig gedrag, of gegevens over een opgelegd verbod dat met dit qedraq verband houdt X Nee - qa verder met vraag 7 Toelichting: bovenstaande gegevens vallen onder de categorie "bijzondere", ook wel "gevoelige" gegevens genoemd. In aftíkel 16 Wbp staat een verbodsbepaling. Deze gegevens mogen niet worden verwerkt. Uiteraard bestaan daarop weer een aantal uitzonderingen. Als u bij één van deze vragen een kruisje zet, neem dan altijd contact op met de juridische dienst of met de privacycoórdinator van uw dienstonderdeel. Samen met u kan dan worden ondezocht of deze verwerking van gegevens rechtmatis is. YraagT Op welke personen (betrokkenen) heeft de registratie betrekkins? Toelichting: hier dient u aan te geven van welke categorieën personen er gegevens in de registratíe zijn verwerkt, Voorbeelden daaruan zijn: de V&W medewerkers, zieken, uitzendkrachten, declaranten, gebruikers van dienstauto's, vergunninghouders, etc. Antwoord: Op alle personen die inloggen of pogen in te loggen op een werkplek binnen het verzorqinqsqebied van de SSO-ICT. Vraag 8 Worden de persoonsgegevens aan anderen of andere instanties verstrekt? Toelichting: met anderen of derden worden zowel personen of instanties binnen en buiten V&W bedoeld. Voorbeelden daarvan zijn de bedrijfsarts, het ABP, de de politie, andere departementen, gemeenten, etc. Let op vercchil met vraag 77: Gegevens kunnen worden verstrel<t aan derden, maar ook aan bewerkers.

7 Antwoord: Rapportage over logging-informatie met betrekking tot beveiliging wordt maandelijks opgeleverd aan de beveiliginsfunctionaris/security officer. Trendanalyses over beveiligingsgebeuftenissen worden maandelijks opgeleve rd aan de bevei I i g i ngs fu nctiona ris/secu rity office r. Beveiligingsincidenten worden z,s,m. aan de beveiligingsfunctionaris/security officer gemeld. Bewijsmateriaal wordt hierbij aan de beveiligingsfunctionaris/security officer overhandigd. Gegevens kunnen worden verstrekt aan derden ten behoeve van forensisch onderzoek indien hiervoor toestemming is van het bevoegd gezag, dat daartoe in elk geval is viseerd door de orivacvcoórdinator. Vraag 9 Geeft u persoonsgegevens door naar één of meer landen buiten de EU? X Nee - ga door naar vraag 1O Ja, naar Toelichting: in principe is het niet toegestaan persoonsgegevens te exporteren buiten de Eu. ljiteraard zijn ook hier weer uitzonderingen op. Om te kunnen toetsen of deze vorm van verwerken rechtmatig is: neem contact op met de juridische dienst of met de privacvcoërdinator van uw dienstonderdeel, Vraag 1O Verwerkt u persoonsgegevens op een van de onderstaande manieren: 0 Met een Dersoonliik identificatienummer? Nee 0 Is dit identificatienummer bij wet voorgeschreven? Zo ja, welke wet? Nee 0 Gebruikt u dit nummer ook voor een ander doel dan waarvoor het specifiek bestemd is? Nee 0 Verwerkt u persoonsgegevens via eigen waarneming zonder betrokkenen daalan op de hooqte te stellen? Nee, opgenomen in de huisregels informatiebeveiliging 0 verwerkt u strafrechterlijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag voor een derde (instantie, organisatie, zoals bijvoorbeeld de politie, het Openbaar Ministerie, de Belastingdienst etc), zonder dat u een vergunning heeft op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus? Nee O Nee - qa verder met vraag 11 Toelichting: indien u één van de bovenstaande vragen heeft aangekruist,neem dan contact op met uw privacyfunctionaris. Deze verwerking moet namelijk éérst bii het College Bescherming Persoonsgegevens worden aangemeld, voordat met de verwerking mag worden begonnen. Het College kan naar aanleiding daarvan een zogenaamd "Voorafgaand onderzoek" instellen, en op basis van dit ondezoek bepalen of de qesevensverwerkinq rechtmatig is of niet.

8 Vraao 11 Worden de qeqevens door anderen buiten V&W verwerkt? Toelichting: hierbij dient u te denken aan ICT bedrijven, die bepaalde diensten verlenen aan V&W, maar ook aan anderen die voor V&W werkzaamheden verrichten, zoals administratiekantoren, accountants etc. Neem bij twijfel contact op met de privacycoórdinator van uw dienstonderdeel, Mochten er meerdere externe bewerkers zijn, kopieer dan deze tabel en vul voor elke bewerker een afzonderfijke tabel in. Het gaat hier om derde, onafhankelijke partijen die beschikken over persoonsgegevens waer V&W verantwoordelijk voor is. Zij verwerken deze pensoonsgegevens ten behoeve van V&W, maar staan niet in een hiërarchische verhouding tot V&W / vallen niet onder het gezeg van V&W. Ingehuurde krachten zijn dus geen bewerker! Let op vercchil met vraag 8. X Nee 0 Ja, in sommige gevallen - vul hieronder de gevraagde gegevens in. Naam bewerker: Orqanisatie en afdelinq : Functie: Adres: Postcode en plaats: Telefoon en faxnummer: adres: Vraag l2 Welke maatregelen zijn er genomen om de persoonsgegevens te beveilising? Gelieve aankruisen wat van toepassing is. 0 Vastgesteld beveiligingsbeleid conform beveiligingseisen V&W dat ook is qetmplementeerd 0 Fysieke maatregelen voor toegangsbeveiliging (afgesloten ruimte, toegangscontrole etc.) 0 Kluis voor opslag gegevensbestanden (backups) : beveiligde backup ruimte op de PLW 0Inbraakalarm X Autorisatie via wachtwoord 0 Automatische loqqinq van toeqanq tot qeqevens - inclusief controleorotocol

9 0 Toezicht oo nalevinq toeqekende bevoeqdheden/autorisaties 0 Overiqe beveiliqinqsmaatreqelen : Toelíchting: deze vraag Ís bedoeld om een indruk te geven van de beveiligingsmaatregelen c.q, van het niveau daanran. Deze vraag en de antwoorden daarop worden niet in het openbaar register opgenomen. Vraag l2a Wie heeft toegang tot de persoonsgegevens? 0 Medewerkers in vaste dienst binnen het verzorgingsgebied van de SSO/ICT 0 Uitzendkrachten, invalkrachten, stagiairs etc 0 Een of meerdere externe bewerkers X Anderen, namelijk (graag specificeren) - Het raadplegen van logbestanden is voorbehouden aan enkele geautoriseerde medewerkers van SSO-ICT, hierbij is de toegang beperkt tot leesrechten. Toelichting: in het kader van een toets op het niveau van de beveiliging is relevant wie toeoano heeft tot de Dersoonsqeqevens. Vraao 12b Verzendt u qeqevens lanqs elektronische weg? 0 Nee - qa verder naar de datering en ondertekening X Ja, via eigen netwerk 0 Ja, via een publiek netwerk Indien u een van beide bovenstaande vragen hebt aangekruist, versleutelt u dan de qeqevensooslaq of verzendt u de qeqevens versleuteld? Nee Toelichting: ook deze vragen worden gesteld in het kader van een toets op het niveau van de beveilisins.

10 OndeÊekening Let op: Ondertekening dient te geschieden door de beheerder. Zie ook vraag 2 en vraaq 5-a. Naam: Perry van der Weyden Functie: Directeur Plaats: Den Haaq Datum:?0 maart 2010 Heeft u alle \) beantwoord? Dit formulier na invulling en (elektronische) ondertekening toezenden aan de privacyfunctionaris van het Ministerie van Verkeer en Waterstaat, de heer drs. W'8.M. Vrouwenvelder. Gelieve uw formulier zowel digitaal als per post te versturen in verband met het bijhouden van een fysieke registratie van originele meldingsformulieren. Dit kan via: Ministerie van Verkeer en Waterstaat De heer drs. W.B.M. Vrouwenvelder, privacyfunctionaris Postbus 2O9OL,2500 EX Den Haag Wilbert.vrouwenvelder@ minvenw. nl Gelieve ook de beveiligingscoórdinator/privacycoórdinator van een kopie van deze melding te voorzien.

11 Bijlage: Overzicht beschikbare logbestanden enhuidige bewaaéermijn Naam Authenticatiepog i ngen Viruscanner malware Omschrijving (doel, inhoud) Het (al dan niet succesvol) inloggen op het netwerk Detecties van wormen/virussen/spyware e.d. op werkplekken en servers Vindplaats Security logs domaincontrollers Op de viruscanner seryer Printopdrachten Printen van documenten Eventlog van elke printserver Remote log-in webaccess Eventlog van de Webaccess servers Client meldingen Software distributie Life Communication Server Logbestanden op de client met verschillende doeleinden Het verspreiden van software naar gebruikers Diverse plaatsen op de client. Lijst wordt meegestuurd SQL database SCCM Intern chatten Wordt niet gelogd n.v.t. Ingestelde bewaaéermiin Geen, als deze vol is wordt hij overschreven Maximaal 1 jaar Geen, als deze vol is wordt hij overschreven Geen, als deze vol is wordt hij overschreven Bewaartijd is niet bekend omdat ze tot de systeembetanden behoren 60 dagen standard instelling van SCCM