Protocol beveiligingsincidenten en datalekken. Juni 2017
|
|
- Lotte de Croon
- 5 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Protocol beveiligingsincidenten en datalekken Juni 2017
2
3 Inhoudsopgave 1 Inleiding 1 2 Doel, afbakening en doelgroep 1 3 Organisatie incidentenbeheer Inleiding Servicedesk Computer Security Incident Response Team (CSIRT) 2 4 Procedure Inleiding Meld intern en prioriteer Mobiliseer CSIRT Beperk schade en elimineer oorzaak Herstel oude situatie Informeer doelgroepen/betrokkenen Evalueer, rapporteer en documenteer 6 5 Meldplicht datalekken Inleiding Analyseer impact datalek 8 Gevolgen voor betrokkenen 8 Gevolgen voor eigen organisatie Meld datalek aan AP Meld datalek aan betrokkenen Meld datalek aan overige partijen 9 6 Prioritering informatiebeveiligingsincident 10 Bijlage 1: Checklist datalekken CSIRT 13 Bijlage 2: Communicatie beveiligingsincidenten 14 Bijlage 3: Beslisboom melden datalekken (IBD) 25 Bijlage 4: Itil procedure incident management 27 Bijlage 5: Proces incident management gemeente Heemskerk 28 Geregistreerd onder nummer BIVO/2017/30304
4
5 1 Inleiding Het nemen van passende technische en organisatorische maatregelen om de persoonsgegevens van burgers te beveiligen is naast het creëren van bewustwording en het ervoor zorgen dat burgers hun rechten kunnen uitoefenen, één van de belangrijkste aandachtsgebieden die onder het gegevensbeschermingsbeleid Heemskerk valt. (Overkoepelend beleid Privacy & Gegevensbescherming Gemeente Heemskerk 2016; OD/2016/165423). Het beheer van beveiligingsincidenten en datalekken is één van de maatregelen die moet zorgen voor de beveiliging van persoonsgegevens. Beveiligingsincidenten zijn helaas niet te voorkomen; 100% beveiliging is een utopie. De vraag is dan ook niet zozeer of er een beveiligingsincident met een hoge impact zal plaatsvinden, maar wanneer. Beveiligingsincidenten kunnen leiden tot onderbreking van werkzaamheden, reputatieschade en aanzienlijke financiële schade als gevolg van het bestrijden van een incident en het herstellen naar een normale situatie. Er kan sprake zijn van schadeclaims van burgers ingeval van nalatigheid of van een grote inbreuk op de beveiliging van persoonsgegevens. Indien de gemeente verzuimd regels te stellen of tekortschiet in de uitvoer hiervan dan loopt de gemeente ook nog eens kans op een aanzienlijke boete van de toezichthouder. Als het gaat om inbreuk op de beveiliging van of verlies van persoonsgegevens is vanaf 2016 de Meldplicht datalekken van toepassing als toevoeging op de Wet bescherming persoonsgegevens (Wbp). Hiermee heeft de Nederlandse wetgever een voorsprong genomen op de Europese regels omtrent datalekken, welke zijn opgenomen in de Europese Algemene Verordening Gegevensbescherming (AVG), van kracht mei De meldplicht vereist dat de gemeente een ernstig datalek onverwijld meldt bij de Autoriteit Persoonsgegevens (AP) en aan de betrokkenen (lees: burger) wier persoonsgegevens het betreft. Reden te meer om het beheer van informatiebeveiligingsincidenten structureel te borgen in de organisatie, rekening houdend met de eisen die gesteld worden aan de meldplicht datalekken. Dit document behandelt de organisatie en activiteiten die nodig zijn voor een goed werkend incidentenbeheer waarbij de nadruk ligt om snel, doeltreffend en efficiënt te reageren op het bestrijden en afhandelen van een beveiligingsincident of datalek. 2 Doel, afbakening en doelgroep Incidentenbeheer is het geheel van organisatorische maatregelen dat ervoor moet zorgen dat een incident adequaat gedetecteerd, gemeld en behandeld wordt om daarmee de kans op uitval van de bedrijfsvoering of schade ontstaan als gevolg van het incident te minimaliseren dan wel te voorkomen. Een incident is een gebeurtenis die de bedrijfsvoering negatief kan beïnvloeden. Incidentenbeheer gaat eveneens over het detecteren van incidenten. Dat vereist dat de organisatie voldoende maatregelen heeft getroffen om zoveel mogelijk incidenten in beeld te kunnen krijgen door onder meer gebruik te maken van logging en controle daarop, antivirussoftware en een actief werkend Intrusion detection systeem (IDS) op het data netwerkverkeer, maar ook meldingen van de Informatiebeveiligingsdienst (IBD) op mogelijke dreigingen zijn aan te merken als een (bijna) beveiligingsincident. Daarnaast; personeel behoort getraind te zijn op het herkennen van beveiligingsincidenten en te weten wat zij vervolgens moeten doen. Het beheer van informatiebeveiligingsincidenten heeft betrekking op alle medewerkers en inhuurkrachten die werkzaam zijn bij de gemeente en op ketenpartners en bewerkers van
6 persoonsgegevens waar uitwisseling van informatie plaatsvindt voor zover de verantwoordelijkheid voor het oplossen van een incident en herstel naar een normale situatie bij de gemeente ligt. 3 Organisatie incidentenbeheer Incidentenbeheer dient structureel ingebed te worden in de interne organisatie van de gemeente Heemskerk. Naast het melden en afhandelen van beveiligingsincidenten is periodieke rapportage, als onderdeel van de P&C cyclus, over incidentenbeheer aan het management en bestuur van groot belang. Zo kunnen de nadelige gevolgen van incidenten en het ontstane inzicht als indicatie over de mate van gegevensbescherming bij de gemeente in kaart gebracht worden, hoewel niet alle beveiligingsincidenten veroorzaakt worden door nalatigheid of tekortkomingen in de beveiliging. Het helpt de organisatie in ieder geval het beveiligingsniveau waar nodig aan te passen en het biedt concrete voorbeelden voor het verhogen van bewustwording bij het personeel over gegevensbescherming. De Chief Information Security Officer (CISO) is, namens de gemeentesecretaris, verantwoordelijk voor het periodiek verstrekken van informatie over beveiligingsincidenten en gebruikt hiervoor onder meer als input het incidentenregistratiesysteem van de servicedesk (Topdesk). 3.1 Servicedesk Nu worden alle meldingen van de medewerkers in de organisatie, door bijvoorbeeld een te zenden, automatisch geregistreerd in de servicedesk van het team Automatisering en dit team of het team Facilitaire Dienst (FD) handelt deze meldingen in de meeste gevallen ook af. Ook gaan de meldingen die via de IBD bij de Vertrouwde Contactpersonen Informatiebeveiliging (VCIB) binnenkomen zo nodig het systeem van de servicedesk in. Beveiligingsincidenten kunnen op diverse manieren worden gemeld. Hoe de toegang ook plaatsvind, de meldingen dienen te worden geregistreerd in de servicedesk. De voortgang kan worden bewaakt en de samenwerking tussen CISO en Automatisering wordt hiermee optimaal ingekleed. CISO en FG hebben toegang tot de melding van het incident en dienen deze onder de eigen verantwoordelijkheid op te pakken en te behandelen. Voor de aanmelding tot en met de afhandeling van een incident maakt het team Automatisering gebruik van een daarop afgestemde ITIL procedure (zie bijlage). 3.2 Computer Security Incident Response Team (CSIRT) De gemeente Heemskerk heeft een Computer Security Incident Response Team (CSIRT) ingesteld om voorbereid te zijn om snel en adequaat te kunnen reageren op een beveiligingsincident die bijvoorbeeld buiten de scope van de servicedesk valt. Het gaat dan om beveiligingsincidenten met een hoog of kritische classificatie die directe mobilisering van het CSIRT vereist. Dit team bestaat uit een vaste kern medewerkers van de organisatie die afhankelijk van het incident gebruik maakt van andere noodzakelijke competenties/disciplines waaronder eventuele externe inhuur. Het managementteam heeft de vaste kern van het CSIRT benoemd en deze bestaat uit de CISO, de CIO (Chief Information Officer) en de FG (Functionaris Gegevensbescherming). De CISO is team coördinator en verantwoordelijk voor een juiste procesmatige afhandeling van een incident dat via het CSIRT loopt. De CIO is verantwoordelijk voor het technisch bestrijden (ICT) van het incident en voor de technische herstelfase. De FG bepaalt de mate van inbreuk op de beveiliging van persoonsgegevens. Afhankelijk van de aard, omvang en impact van het incident kunnen de volgende teamleden dan wel disciplines worden toegevoegd:
7 lijnmanager waarop het incident betrekking heeft en betrokken moet zijn bij de te volgen aanpak; gemeentesecretaris of de Algemeen Contactpersoon Informatiebeveiliging (ACIB), indien het incident bestuurlijke impact kan hebben; juridische bijstand om de gevolgen van een incident juridisch te toetsen. Denk aan aansprakelijkheid en boetes (Wbp/Avg); communicatie adviseur om mogelijke reputatieschade zoveel mogelijk in te dammen en direct te werken aan reputatieherstel; financieel specialist om de schadekosten in beeld te brengen en na te gaan in hoeverre de schade verzekeringstechnisch is afgedekt en de financiële claim afwikkelt; vertrouwensfunctionaris ingeval sprake is van verwijtbaar gedrag van een medewerker die een incident heeft veroorzaakt; externe inhuur indien bijzondere expertise nodig is zoals een ICT-specialist of een digitaal forensisch expert. Deelname van inhuurkrachten aan het CSIRT vereist dat zij vooraf een integriteits- en geheimhoudingsverklaring hebben ondertekend. Het CSIRT is bevoegd om jaarlijks inhuur externen in te zetten tot een maximum van (exclusief btw) om escalatie van het incident direct te kunnen bestrijden. Het CSIRT is bevoegd om in te grijpen om de schade als gevolg van een incident zo snel mogelijk in te dammen en de oorzaak te elimineren. Dit kan leiden tot tijdelijke uitval van de dienstverlening en/of tot dataverlies. Het CSIRT onderhoudt een draaiboek om snel en adequaat te kunnen reageren op beveiligingsincidenten. Het draaiboek bevat van te voren bedachte reacties, checklists en escalatie procedures, sjablonen voor rapportages die periodiek uitgewerkt en geoefend worden. Deelname aan het CSIRT vereist dat bij mobilisering het lopende werk van de teamleden tijdelijk wordt gestaakt, enigszins te vergelijken met het uitrukken van een brandweerteam. Het CSIRT is 24/7 bereikbaar omdat een incident met een kritische of hoge classificatie zich niet houdt aan werktijden. Voor de vaste kern van het CSIRT is uit dien hoofde voorzien in tijdelijke vervanging. Er is een bereikbaarheidslijst van alle vaste (en potentiële) teamleden en een overzicht voor piketdienst die de CISO onderhoudt. 4 Procedure Een succesvolle security incident response bestaat uit een aantal te doorlopen processtappen die voor elk incident gelijk is. De verschillen zitten voornamelijk in de details (inhoud). Van belang is dat de organisatie beschikt over een security incident response draaiboek waarin diverse beveiligingsincident modellen (cheat sheets) zijn opgenomen om bepaalde type incidenten snel en efficiënt te kunnen afhandelen. Elke medewerker van onze organisatie dient alert te zijn op bedreigingen met betrekking tot gegevensbescherming en is verplicht om elk beveiligingsincident die hij/zij ontdekt of vermoedt, te melden. Daarbij geldt uiteraard dat elke medewerker in staat moet zijn een beveiligingsincident te kunnen herkennen en weet hoe een melding dient te geschieden, hetzij aan de leidinggevende, de CISO of Servicedesk. De drempel voor het melden van een incident dient laag te zijn. De CISO zorgt ervoor dat informatie over het herkennen van beveiligingsincidenten (voorbeelden) en hoe gemeld behoort te worden beschikbaar is via daarvoor bestemde communicatiekanalen van de gemeente
8 (denk aan intranet, werkoverleggen en introdagen nieuw personeel). Voorbeelden van beveiligingsincidenten zijn: Verlies of diefstal van waardepapier (paspoorten, rijbewijzen), dossier, usb-stick, tablet of andere gegevensdragers Niet naleven van beleid of richtlijnen Inbreuk op fysieke beveiligingsvoorzieningen Toegangsovertredingen Opzettelijk foutief handelen (fraude, diefstal) Maar ook onzorgvuldig omgaan met persoonsgegevens door een bewerker en cyberaanvallen zoals een ddos, computerhacking of besmetting met ransomware, of het technische falen van apparatuur, stroomuitval, wateroverlast en dergelijke zijn aan te merken als incidenten. De hieronder vermelde stappen hoeven niet volgtijdelijk plaats te vinden maar kunnen ook afhankelijk van de omvang van het CSIRT parallel geschieden. 4.1 Meld intern en prioriteer De servicedesk is het aangewezen meldpunt en registreert alle incidentmeldingen. Een centraal meldingspunt is van belang om het proces zoveel mogelijk te standaardiseren, om versnippering van geregistreerde meldingen te voorkomen en om het totaaloverzicht te behouden (volledigheid en verantwoording). Meldingen die via de CISO of leidinggevenden binnenkomen worden eveneens geregistreerd in het incidentmeldingssysteem van de servicedesk. Er zijn afspraken gemaakt met de medewerkers die de servicedesk beheren over de vertrouwelijkheid van de gemelde incidenten en het registratiesysteem is beveiligd tegen ongeautoriseerde toegang. Alle incidentmeldingen zijn voorzien van een urgentie- en impactcode en gecategoriseerd voor rapportage doeleinden. Hiervoor zijn nadere instructies aanwezig die de CISO onderhoudt in samenwerking met de CIO. Zo is er een overzicht van voorkomende beveiligingsincidenten met vermelding van de urgentie en impact en periodiek wordt geactualiseerd door de CISO. Servicedesk-medewerkers zijn geïnstrueerd over het direct doorgeven van incidenten aan de CISO en CIO die buiten hun scope vallen. Alle medewerkers van de servicedesk hebben een integriteits- en geheimhoudingsverklaring ondertekend. Vanuit Automatisering vindt toezicht plaats op de servicedesk en dagelijks controle op urgentie en impact van nieuwe meldingen. 4.2 Mobiliseer CSIRT De vaste kern van het CSIRT wordt gemobiliseerd indien vanuit de servicedesk een incident is afgegeven met een hoge of kritische impact of indien een dergelijke melding rechtstreeks bij een van de vaste leden binnenkomt. De vaste kern van het CSIRT beoordeelt direct de aard en omvang van het incident en stelt vast of het incident ook daadwerkelijk heeft plaatsgevonden, bijvoorbeeld door contact op te nemen met team Automatisering of de melder van het incident. Daarbij maakt de vaste kern van het CSIRT gebruik van een checklist om snel inzicht te krijgen in: de aard en omvang van het incident, welke teamleden aanvullend opgenomen moeten worden in het CSIRT en welke instanties geïnformeerd moeten worden over het incident (IBD, AP, etc).
9 Het CSIRT is belast met het beperken van verdere schade als gevolg van het incident, het blokkeren of verwijderen van de oorzaak, stelt de schade vast en zorgt voor het veiligstellen van bewijsmateriaal. Van elk incident dat via het CSIRT loopt vindt dossiervorming plaats. Het CSIRT maakt hierbij zoveel mogelijk gebruik van kennis en ervaring en voorbereidingen die zijn vastgelegd in een daarvoor opgesteld draaiboek. Het CSIRT bepaalt welke acties noodzakelijk zijn en neemt bij twijfel contact op voor advies met de helpdesk van het IBD. Voor elk te behandelen incident via het CSIRT geldt dat teamleden niet mogen praten met anderen buiten het team totdat daarvoor toestemming is gegeven door de CISO. Dit om zoveel mogelijk ruis in de communicatie te voorkomen. De CISO onderhoudt het contact met de gemeentesecretaris over de stand van zaken betreffende het incident. De gemeentesecretaris of de Algemeen Contactpersoon Informatiebeveiliging (ACIB) informeert indien nodig het bestuur. 4.3 Beperk schade en elimineer oorzaak Er wordt zo snel mogelijk gestart met het indammen van de schade door het incident te blokkeren, te verwijderen en de impact voor verdere blootstelling te verminderen. Dit kunnen zowel activiteiten zijn vanuit de techniek als vanuit de organisatie. Vanuit de techniek is de CIO belast met het indammen van de schade en blokkeren of verwijderen van de oorzaak eventueel ondersteunt met externe expertise. Daarbij maakt het team waar nodig gebruik van vooraf opgestelde escalatieprocedures. Deze repressieve handelingen kunnen leiden tot tijdelijke uitval van onderdelen van het ICT-netwerk en/of verlies van data om verdere schade te voorkomen. Het CSIRT bepaalt in samenspraak met de verantwoordelijke lijnmanager en de communicatie adviseur de (interne en externe) communicatiestrategie. Intern kan dit gericht zijn op het melden van het incident met bijbehorende instructies om bepaalde handelingen tijdelijk niet uit te voeren met eventueel een voorlopig spreekverbod om escalatie zoveel mogelijk te voorkomen. Extern is de communicatie gericht om zoveel mogelijk reputatieschade te voorkomen en direct te werken aan reputatieherstel. Externe communicatie geschiedt altijd in overleg met de gemeentesecretaris. Indien sprake is van (mogelijke) inbreuk op de beveiliging van persoonsgegevens behoort een ernstige datalek onverwijld te worden gemeld bij het AP en eventueel aan betrokkenen. Dit traject loopt altijd via de FG. Zie hiervoor verder hoofdstuk 5. De CISO ziet er op toe dat dit traject conform de daarvoor geldende procedure wordt afgehandeld. Het CSIRT adviseert de gemeentesecretaris aan de hand van de aard van het incident en in overleg met de juridische afdeling of aangifte bij de politie gedaan moet worden. 4.4 Herstel oude situatie Na het indammen van de schade en het verwijderen van het incident is zo spoedig mogelijk herstel naar de oude situatie nodig. Bij bedrijfsprocessen die (deels) gestopt zijn als gevolg van een incident vindt op een gecontroleerde wijze een herstart plaats. Eventueel verlies van data wordt gereconstrueerd bijvoorbeeld aan de hand van een recovery procedure en/of brondocumenten. Het herstarten van een bedrijfsproces geschiedt in nauw overleg met de verantwoordelijke lijnmanager. In overleg met de verantwoordelijke lijnmanager vindt communicatie naar de organisatie plaats over het herstel en eventuele gevolgen ervan. Het bureau Planning, Control en Financiën (PCF) brengt de directe en indirecte kosten als gevolg van de schade zoveel mogelijk in beeld, rekening houdend met mogelijk ingediende schadeclaims van derden. Voorts wordt nagegaan in hoeverre deze kosten verhaald kunnen worden via de verzekering
10 of derden dan wel voor eigen rekening zijn. Bureau PCF is eventueel in overleg met het team Juridische Zaken belast met de verdere financiële afwikkeling van het incident. Ingeval een medewerker van de gemeente betrokken is bij de oorzaak van een beveiligingsincident door nalatig of kwaadwillend gedrag en daarvoor het nodige bewijsmateriaal is veiliggesteld, wordt de vertrouwensfunctionaris ingeschakeld en eventueel aangifte gedaan bij de politie. De gevolgen hiervan voor de betrokken medewerker kunnen leiden tot disciplinaire maatregelen, strafrechtelijk onderzoek en/of tot ontslag. Voor betrokkenheid van een externe medewerker geldt eenzelfde procedure met dien verstande dat er geen vertrouwensfunctionaris betrokken is, maar wel dat het contract ontbonden kan worden. Schade kan worden verhaald op het bedrijf waar de externe in dienst is. 4.5 Informeer doelgroepen/betrokkenen Van elk beveiligingsincident van enige omvang is een communicatiestrategie bepaald en uitgewerkt door team Communicatie en erop gericht op het zo veel mogelijk indammen van reputatieschade en op reputatieherstel. Intern gaat het dan om de gemeenteraad, bestuur, management en medewerkers en extern om betrokkenen, ketenpartners, media en andere belanghebbenden. Vooraf zijn hiervoor al de nodige standaard teksten in eigen huisstijl beschikbaar om geen tijd te verliezen waar snelheid geboden is. Ingeval sprake is van een datalek wordt verwezen naar de meldplicht zoals opgenomen in hoofdstuk 5. Indien nodig informeert de CISO de IBD over het beveiligingsincident met als doel om hieruit lering te trekken en dit geanonimiseerd door te communiceren naar andere gemeenten. 4.6 Evalueer, rapporteer en documenteer Het CSIRT verzamelt van elk beveiligingsincident waarop dossiervorming van toepassing is alle documentatie die nodig is voor bewijsvoering ingeval sprake is van civiel of strafrechtelijk onderzoek, schadeclaims of toezicht vanuit het AP. Documentatie kan bestaan uit bespreekverslagen, ingevulde checklist, printscreens, s, controle op loggings, bevindingen van ICT-specialisten of digitaal forensische experts, processen verbaal en de (uitwerking van de) communicatiestrategie. Het CSIRT voert een evaluatie uit en legt dit vast in een rapportage inclusief advies, ter verbetering. Het rapport wordt voorgelegd aan de gemeentesecretaris en besproken. Waar nodig past de CISO het security incident response draaiboek aan. Na afsluiting van het incident archiveert de CISO het incidentendossier. Vernietiging van het dossier vindt plaats nadat de daarvoor geldende wettelijke bewaartermijnen zijn verlopen. Het dossier is vertrouwelijk tenzij de CISO anders bepaalt. 5 Meldplicht datalekken De meldplicht datalekken is opgenomen in de Wbp/Avg en brengt wettelijke verplichtingen met zich mee wanneer persoonsgegevens gevaar hebben gelopen. Het gaat dan om informatiebeveiligingsincidenten die de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens in gevaar brengen. Denk hierbij aan het verlies of ongeautoriseerde wijzigingen van persoonsgegevens of het kwijtraken van persoonsgegevens zonder een backup. De wet vereist dat de gemeente ernstige datalekken onverwijld (binnen 72 uur) meldt aan het AP. Daarnaast geldt als eis dat alle betrokkenen worden geïnformeerd wanneer een datalek voor
11 hem/haar waarschijnlijk ongunstige gevolgen heeft. Het is dus niet zo dat elk datalek moet worden gemeld maar daarvoor is wel een deugdelijke afweging nodig in de vorm van een privacy impactanalyse (PIA). Zo kan het dus gebeuren dat een datalek wel moet worden gemeld aan het AP, maar niet aan betrokkenen, omdat hun persoonsgegevens onbegrijpelijk (door versleuteling) of ontoegankelijk zijn voor degenen die geen recht hebben op inzage in deze gegevens. Bij uitbesteding van taken aan bijvoorbeeld een salarisadministratiekantoor of gemeenschappelijke regeling waarbij sprake is van verwerking van persoonsgegevens door verwerkers blijft de gemeente aansprakelijk voor het melden van een datalek. Er zijn dan ook met alle verwerkers afspraken gemaakt over de gestelde eisen op het gebied van gegevensbescherming en over het onmiddellijk melden van beveiligingsproblemen aan de FG. De FG stelt in samenwerking met de CISO een draaiboek op voor de afhandeling van informatiebeveiligingsincidenten die onder de meldplicht datalekken vallen. Daarin staan onder meer de criteria wat onder een datalek wordt verstaan en wanneer moet worden gemeld aan het AP en aan betrokkenen. De FG is eveneens belast met het periodiek onderhoud van het draaiboek. Elk datalek volgt de procedure zoals beschreven in hoofdstuk 4. In hoofdstuk 5 komen alleen de specifieke eisen ten aanzien van de meldplicht datalekken ter sprake. 5.1 Analyseer impact datalek Signalering van een datalek komt zoals elk ander incident centraal binnen bij de servicedesk en wordt via prioritering direct doorgesluisd naar de vaste leden van het CSIRT. Vanwege het gegeven dat een gemeente binnen 3 werkdagen behoort te melden aan het AP dient een privacy impactanalyse op het incident direct te worden opgepakt. Gevolgen voor betrokkenen In deze fase bepaalt de FG of de gemeente moet melden aan alleen het AP of aan het AP en betrokkenen. Indien nodig vraagt de FG advies bij het team Juridische Zaken of bij een externe adviseur die gespecialiseerd is in privacywetgeving. In essentie wordt bepaald of er op enige manier een risico is ontstaan voor de verwerking van persoonsgegevens. Op basis daarvan bepaalt de FG in overleg met het CSIRT of er wel of geen meldplicht is. In de kern gaat het hierbij om de volgende 3 vragen: 1. Is er sprake van een ernstig informatiebeveiligingsincident (ja/nee)? 2. Heeft het incident gevolgen voor betrokkenen (ja/nee)? 3. Zo ja, hoe groot zijn de gevolgen voor de betrokkenen (klein/middel/groot)? De FG maakt hierbij gebruik van een standaard beoordelingsformulier voor het vastleggen van relevante informatie en bevindingen over het wel/niet melden. Bij de afweging om te melden aan betrokkenen kan gedacht worden aan de noodzaak om tijdig acties te ondernemen door betrokkenen om de gevolgen van een datalek te beperken of te herstellen en de emotionele impact op betrokkenen. Het feit dat een melding aan betrokkenen kan leiden tot een relatief groot tijdbeslag en administratieve lasten is in beginsel geen zwaarwegende reden om niet aan betrokkenen te melden. Het AP kan een gemeente na melding alsnog gelasten om melding te doen aan betrokkenen ondanks dat de gemeente aan het AP heeft aangegeven dit niet te doen. Gevolgen voor eigen organisatie In tweede instantie bepaalt de FG met andere leden van het CSIRT wat de gevolgen zijn voor de eigen organisatie waarmee bedoeld wordt welke vervolgacties noodzakelijk zijn om het datalek volgens de eisen van de meldplicht datalekken af te handelen. Een datalek kan leiden tot
12 reputatieschade en mogelijke schadeclaims indien het lek verwijtbaar is en betrokkenen schade hebben geleden. De gemeente is verplicht te melden aan betrokkenen en dit kan leiden tot lokale en mogelijk landelijke bekendheid. De gemeente moet inzicht krijgen: of wel of niet gemeld moet worden aan alleen AP of AP en betrokkenen, in de juridische gevolgen voor schadeclaims of boetes, in de te verwachten kosten en dekking van deze kosten (denk aan verzekeringspolissen of indienen van schadeclaims indien een bewerker de schade heeft veroorzaakt). in de afhandeling (nazorg) van een datalek naar betrokkenen, In de communicatie-aanpak om reputatieschade zo beperkt mogelijk te houden. Voor het dichten van het lek vindt aansluiting plaats met hoofdstuk 4. In het laatste geval gaat het dan om bijvoorbeeld herstel van gegevens of getroffen processen, maar ook indien van toepassing om disciplinaire maatregelen naar de medewerker die door nalatigheid het lek heeft veroorzaakt. 5.2 Meld datalek aan AP De melding aan het AP verloopt via het digitale formulier van het AP. De FG is belast met de melding aan het AP. De melding kan eventueel naderhand worden aangevuld of ingetrokken. De ontvangstbevestiging via wordt opgenomen in het dossier van het betreffende datalek. 5.3 Meld datalek aan betrokkenen Voor het melden van een datalek aan betrokkenen geldt eveneens dat dit onverwijld moet gebeuren. Er gelden hiervoor geen specifieke termijnen maar onnodige vertraging moet worden vermeden. De wijze waarop betrokkenen worden geïnformeerd, bepaalt de gemeente zelf. Een goed doordachte communicatiestrategie is dan ook van belang om reputatieschade zo beperkt mogelijk te houden. Het team Communicatie is hierbij nadrukkelijk betrokken evenals de gemeentesecretaris. De informatie die verstrekt moet worden, gaat minimaal in op de volgende vragen: Wat is er aan de hand en wat zijn de mogelijke gevolgen voor betrokkenen? Waar kan betrokkenen terecht met vragen? Wat kan betrokkenen zelf doen? Indien adresgegevens van betrokkenen bekend zijn, kan melding plaatsvinden via een brief of via met eventueel verwijzing naar een website met aanvullende informatie of meest gestelde vragen van betrokkenen (FAQ). De of brief kan daardoor beknopt blijven. Vanuit de nazorg zorgt de gemeente ervoor dat betrokkenen de mogelijkheid hebben om vragen te kunnen stellen hetzij via een daarvoor ingericht adres of telefoonnummer. 5.4 Meld datalek aan overige partijen Het gevaar is aanwezig dat de communicatie over een datalek wordt overgenomen door andere partijen/platforms zoals lokale, landelijke of sociale media, eigen medewerkers of ketenpartners waardoor als gevolg van ruis in de communicatie een datalek alsnog onnodig kan escaleren. Belangrijk is dat de gemeente de regie behoudt over de communicatie van een ernstig datalek dat gemeld is bij het AP en aan betrokkenen. Bij de uitwerking van de communicatiestrategie vindt afstemming plaats welke doelgroepen / overige partijen worden geïnformeerd over het datalek en op welke wijze. Timing is hierbij ook van belang en zeker indien de melding al heeft plaatsgevonden aan betrokkenen.
13 Van belang is dat het management, bestuur en de gemeenteraad van de gemeente tijdig geïnformeerd zijn vanwege hun positie in de organisatie en contacten in de samenleving. Uiteraard behoren de medewerkers van de gemeente eveneens op de hoogte te worden gesteld om ruis in de communicatie te voorkomen en wellicht hen te voorzien van instructies hoe te reageren op vragen vanuit de samenleving en terughoudend te zijn met reacties op sociale media. Via een persbericht stelt de gemeente de media op de hoogte, eventueel aanvullend met een persconferentie voor het stellen van vragen. Uiteraard behoort dit geheel afgestemd te zijn op de grootte van het datalek. Een datalek kan een flinke knauw geven in het gestelde vertrouwen bij ketenpartners en aan de publieke sector als geheel. Ketenpartners kunnen zelfs last hebben indien sprake is van uitwisseling van informatie waarop het datalek betrekking heeft. Ketenpartners behoren dan ook geïnformeerd te worden over mogelijke nadelige gevolgen voor hun organisatie. 6 Prioritering informatiebeveiligingsincident Om de geschikte incidentmaatregelen te activeren hanteert de gemeente een leidraad voor incidenten prioritering. Deze prioritering wordt herleid uit een tweetal factoren: urgentie en impact. De urgentie is de maat voor hoe snel de oplossing van een incident vereist is en de impact is de maat voor de omvang van het incident en van de mogelijke schade als gevolg van het incident voordat het kan worden opgelost. De gemeente hanteert de volgende criteria : Urgentie Omschrijving Hoog - De schade, veroorzaakt door het incident neemt snel toe. - Werk dat moet worden hersteld door medewerkers is zeer arbeidsintensief. - Een groot incident kan worden voorkomen door bij een klein incident onmiddellijk te handelen. Medium - De schade, veroorzaakt door het incident neemt in de tijd aanzienlijk toe. - Er gaat werk verloren, maar dit is relatief snel te herstellen. Laag - De schade, veroorzaakt door het incident neemt in de tijd maar weinig toe. - Het werk dat blijft liggen is niet tijdsintensief. Impact Omschrijving Hoog - Relatief veel personeel is geraakt door het incident en/of kan zijn/haar werk niet meer doen. Meerdere afdelingen zijn geraakt, de publieksbalie moet gesloten worden. - Inwoners van een gemeente zijn geraakt en/of lijden schade, op welke wijze dan ook, als gevolg van het incident. Persoonsgegevens zijn gecompromitteerd. - De financiële impact van het incident is hoger dan < ,->. - Er is reputatieschade, de krant wordt gehaald. Medium - Enig personeel is geraakt door het incident en/of kan zijn/haar werk niet meer doen, bijvoorbeeld een afdeling. - Enkele inwoners van een gemeente zijn geraakt en/of lijden schade, op welke wijze dan ook, als gevolg van het incident. Persoonsgegevens zijn gecompromitteerd.
14 - De financiële impact van het incident is hoger dan < ,-> en lager dan < ,->. - Er is kans op reputatieschade. Laag - Enkele personeelsleden zijn geraakt door het incident en/of kunnen niet meer hun werk doen. - Enkele inwoners van een gemeente zijn geraakt en/of lijden schade. - De financiële impact van het incident is lager dan < ,-> - Er is geen kans op reputatieschade. De Incident Prioriteit wordt verkregen door urgentie en impact tegen elkaar af te zetten. De incident prioriteit matrix ziet er als volgt uit: Impact Hoog Midden Laag Hoog Urgentie Midden Laag De kleurcodetabel leidt tot de volgende classificatie: Code/kleur Omschrijving Reactietijd Oplossingstijd 1 Kritiek Onmiddellijk 1 uur 2 Hoog 10 minuten 4 uur 3 Medium 1 uur 8 uur 4 Laag 4 uur 24 uur 5 Zeer laag 1 dag 1 week Het CSIRT wordt gemobiliseerd indien de classificatie kritiek of hoog is. Deze indeling dient te worden vertaald naar een matrix waarin voorbeelden van mogelijke incidenten worden geclassificeerd iom Automatisering/Servicedesk..
15 BIJLAGEN
16 Bijlage 1: Checklist datalekken CSIRT Gegevens van melder Naam en contactgegevens van persoon die het incident heeft ontdekt Datum en tijdstip waarop het incident is ontdekt of onder aandacht is gebracht Datum, tijdstip en locatie van het incident Soort informatie waarop incident betrekking heeft Interne bedrijfsinformatie Informatie over medewerkers Klantinformatie Informatie van derde partijen en leveranciers Beschrijving van wat er is gebeurd Korte beschrijving hoe het incident is ontdekt Waarop heeft het incident betrekking: o Papieren documenten (brieven, rapportages, kopieën etc.) o Digitale informatie (informatiesysteem, bestand, etc.) o Apparaat (desktop, laptop, tablet, telefoon etc.) o Media (externe HD, USB stick, memory card etc.) Was het apparaat/media/informatie beschermd met een wachtwoord? Was het apparaat/informatie versleuteld (encryptie)? Zijn er identificeerbare gegevens gelekt zoals BSN, klantinformatie, gebruikersnamen/wachtwoorden? Hoeveel gegevens (records) zijn er ongeveer gelekt? Is het lek inmiddels al gestopt? Belangrijk: koppel terug aan de melder!
17 Bijlage 2: Communicatie beveiligingsincidenten Veel beveiligingsincidenten zijn in te delen in één van onderstaande vijf categorieën. Openbaarmaking van niet-openbare informatie Het expres of onbedoeld openbaar maken (lekken) of wissen van niet-openbare informatie, met inbegrip van privacygevoelige informatie. Vermissing of diefstal van bedrijfsmiddelen Diefstal of het kwijt raken van apparaten die door de gemeente worden beheerd. Denk hierbij aan een mobiele telefoon, tablet, laptop, toegangspasje of token. Besmetting met schadelijke software (malware/virus) Een besmetting van een werkstation of ander bedrijfsmiddel met schadelijke software, ook wel: malware. Hieronder worden ook virussen en cryptoware verstaan. Aanval op de digitale infrastructuur Een doelgerichte aanval op onze websites, (web)applicaties of servers met het doel niet-openbare informatie te verkrijgen of de digitale infrastructuur te ontregelen. Storing in hardware door stroomuitval, brand of water Een brand of wateroverlast (lekkage) in ruimten waar zich vitale ICT voorzieningen bevinden die leidt tot een verstoring van onze dienstverlening. Op de volgende pagina s staat de communicatiestrategie voor elk van bovenstaande vijf beveiligingsincidenten beknopt weergegeven.
18 Beveiligingsincident - Openbaarmaking van niet-openbare informatie Korte omschrijving Het expres of onbedoeld openbaar maken (lekken) of wissen van niet-openbare informatie, met inbegrip van privacygevoelige informatie. Primaire doel van communicatie Vertrouwen behouden of herstellen bij onze stakeholders. Handelingsperspectief bieden aan stakeholders / betrokkenen bijvoorbeeld om (verdere) schade te voorkomen of te beperken. Bewustwording en alertheid op het gebied van gegevensbescherming bij medewerkers en bestuurders vergroten. Stakeholders Betrokkenen: de persoon of personen van wie persoonsgegevens openbaar is/zijn gemaakt Portefeuillehouder: burgemeester en/of wethouder met Bedrijfsvoering in portefeuille Gemeentesecretaris Persoon die het beveiligingsincident heeft gemeld Inwoners van de gemeente Heemskerk Lokale / landelijke media (afhankelijk van de ernst van het datalek) Ketenpartners (afhankelijk van de aard van het datalek) Autoriteit Persoonsgegevens (AP) Informatie Beveiligings Dienst (IBD) Deze lijst wordt op basis van het concrete incident door het CSIRT samen met de communicatieadviseur waar nodig bijgesteld / aangevuld. Communicatietaken op hoofdlijnen Wie Taak Hulpmiddelen* Portefeuillehouder (pfho) Woordvoering, betekenisgeving en handelingsperspectief richting college en raad extern pfho, CISO, gemeentesecretaris, communicatieadviseur Gemeentesecretaris Woordvoering, betekenisgeving en handelingsperspectief intern CISO Woordvoering in overige gevallen Betrekken pfho Betrekken ketenpartners Overleg CSIRT Informeren melder incident Melden bij IBD Overleg met ketenpartners (frequentie bepalen) Rapportages (sociale) media
19 FG Informeren betrokkenen Melden bij AP Overleg CSIRT Overleg met ketenpartners (frequentie bepalen) Rapportages (sociale) media Communicatieadviseur Advisering pfho, secretaris, CISO Coördinatie interne en externe communicatie Productie communicatiemiddelen communicatie Q&A, berichtgeving op intranet, brief, persbericht, persgesprek enz KCC Informeren inwoners bij incidenten met grote impact Webredactie Informeren inwoners Q&A Q&A, Monitoring en rapportage (sociale) media nieuwsberichten via website sociale media bij incidenten met grote impact Ketenpartners Informeren achterban Overleg met CISO en adviseur communicatie Q&A * Overzicht communicatiemiddelen en medialijst beschikbaar bij team communicatie.. De kernboodschap gaat in op deze aspecten en geeft een antwoord op deze vragen: Hoe heeft het lekken van deze informatie plaats kunnen vinden? Of, als dat nog niet bekend is: Wat doen we om de oorzaak van het lek te achterhalen? Hoeveel informatie is er gelekt en wat was de exacte aard van de informatie? Of, als dat nog niet bekend is: wat doet de gemeente om te achterhalen hoeveel informatie er is gelekt en wat de exacte aard van de informatie is? Wat zijn de consequenties voor medewerkers, inwoners, bedrijven, ketenpartners enz. van de gemeente? Welke acties kunnen of moeten zij eventueel nemen om schade te beperken of te voorkomen? Welke maatregelen heeft de gemeente genomen of neemt de gemeente om het lek te dichten en in de toekomst te voorkomen dat het weer gebeurt?
20 Beveiligingsincident - Vermissing of diefstal van bedrijfsmiddelen Korte omschrijving Diefstal of het kwijt raken van apparaten die door de gemeente worden beheerd. Denk hierbij aan een mobiele telefoon, tablet, laptop, toegangspasje of token. Is niet vast te stellen wat de oorzaak van het incident is, welke informatie er op het apparaat staat, of c.q. hoe de informatie te ontsluiten is? Dan wordt het automatisch (ook) beveiligingsincident Openbaarmaking van niet-openbare informatie. Primaire doel van communicatie Vertrouwen behouden of herstellen bij onze stakeholders. Handelingsperspectief bieden aan stakeholders / betrokkenen bijvoorbeeld om (verdere) schade te voorkomen of te beperken. Bewustwording en alertheid op het gebied van gegevensbescherming bij medewerkers en bestuurders vergroten. Stakeholders Portefeuillehouder: afhankelijk van de ernst van het datalek Eigenaar of gebruiker van het apparaat en zijn leidinggevende Facilitaire Dienst (FD); apparaat in beheer & toegangspasjes en token Politie voor het doen van aangifte in het geval van diefstal Verzekeraar indien van toepassing Lokale / landelijke media (afhankelijk van de ernst van het datalek) Inwoners gemeente Heemskerk (afhankelijk van de ernst van het datalek) Deze lijst wordt op basis van het concrete incident door het CSIRT samen met de communicatieadviseur waar nodig bijgesteld / aangevuld. Communicatietaken op hoofdlijnen Wie Taak Hulpmiddelen* Portefeuillehouder (pfho) Woordvoering, betekenisgeving en handelingsperspectief richting college en raad extern pfho, CISO, gemeentesecretaris, adviseur communicatie Gemeentesecretaris Woordvoering, betekenisgeving en handelingsperspectief intern
21 CISO Woordvoering in overige gevallen Betrekken pfho Informeren eigenaar/gebruiker apparaat Betrekken FD Overleg CSIRT Rapportages (sociale) media Inlichten verzekering Aangifte bij politie Communicatieadviseur Advisering pfho, secretaris, CISO Coördinatie interne en externe communicatie Productie communicatiemiddelen communicatie Q&A, berichtgeving op intranet, persbericht, persgesprek, brief, enz. KCC Informeren inwoners Webredactie Informeren inwoners Q&A Q&A, Monitoring en rapportage (sociale) media nieuwsberichten via website sociale media * Overzicht communicatiemiddelen en medialijst beschikbaar bij team communicatie. De kernboodschap gaat in op deze aspecten en geeft een antwoord op deze vragen: Hoe heeft de diefstal plaats kunnen vinden? Of, als dat nog niet bekend is: wat doet de gemeente om de oorzaak te achterhalen? Hoeveel informatie is er gelekt en wat was de exacte aard van de informatie? Of, als dat nog niet bekend is: wat doet de gemeente om te achterhalen hoeveel informatie er is gelekt en wat de exacte aard van de informatie is? Stond er gevoelige informatie (persoonsgegevens) op het apparaat? Is toegang tot het apparaat mogelijk? Bijv. alleen na ontgrendeling met bijvoorbeeld een wachtwoord of pincode. Staat er informatie (lokaal) opgeslagen op het apparaat? Zo ja, is deze informatie versleuteld of niet? Is het apparaat op afstand te lokaliseren dan wel wissen door Automatisering? Door het gebruik van een zgn. Mobile Device Management (MDM) oplossing. Wat zijn de consequenties voor medewerkers, inwoners, bedrijven, ketenpartners enz. van de gemeente? Welke acties kunnen of moeten zij eventueel nemen om schade te beperken of te voorkomen? Welke maatregelen heeft de gemeente genomen of neemt de gemeente om een dergelijke diefstal in de toekomst te voorkomen?
22 Beveiligingsincident - Besmetting met schadelijke software (malware/virus) Korte omschrijving Een besmetting van een werkstation of ander bedrijfsmiddel met schadelijke software, ook wel: malware. Hieronder worden ook virussen en cryptoware verstaan. Primaire doel van communicatie Vertrouwen behouden of herstellen bij onze stakeholders. Handelingsperspectief bieden aan stakeholders / betrokkenen bijvoorbeeld om (verdere) schade te voorkomen of te beperken. Bewustwording en alertheid op het gebied van gegevensbescherming bij medewerkers en bestuurders vergroten. Stakeholders Eigenaar/gebruiker van het apparaat waar de besmetting startte Automatisering (beheert netwerk en apparaten) Portefeuillehouder: burgemeester en/of wethouder met Bedrijfsvoering in portefeuille Gemeentesecretaris Medewerkers gemeente Heemskerk Lokale media (indien dienstverlening gemeente tijdelijk niet beschikbaar) Informatie Beveiligingsdienst (IBD) Deze lijst wordt op basis van het concrete incident door het incident respons team samen met de communicatieadviseur waar nodig bijgesteld / aangevuld. Communicatietaken op hoofdlijnen Wie Taak Hulpmiddelen* Portefeuillehouder (pfho) Woordvoering, betekenisgeving en handelingsperspectief extern richting college en raad pfho, CISO, gemeentesecretaris, adviseur communicatie Gemeentesecretaris Woordvoering, betekenisgeving en handelingsperspectief intern CISO Woordvoering in overige gevallen Betrekken pfho Betrekken Automatisering Overleg CSIRT Informeren eigenaar apparaat Rapportages (sociale) media Melden bij IBD Inlichten verzekering
23 Aangifte bij politie Communicatieadviseur Advisering pfho, secretaris, CISO Coördinatie interne en externe communicatie Productie communicatiemiddelen communicatie Q&A, berichtgeving op intranet, brief, persbericht, persgesprek, enz KCC Informeren inwoners Webredactie Informeren inwoners Q&A Q&A, Monitoring en rapportage (sociale) media nieuwsberichten via website sociale media * Overzicht communicatiemiddelen en medialijst beschikbaar bij team communicatie. De kernboodschap gaat in op deze aspecten en geeft een antwoord op deze vragen: Wat is de oorzaak van de besmetting? Of, als dat nog niet bekend is: wat doet de gemeente om de oorzaak te achterhalen? Denk aan het klikken op een phishing link, het openen van een malafide bijlage bij een , het installeren van onvertrouwde software of het inpluggen van een besmette USB-stick (geen namen noemen!). Om welk soort besmetting gaat het precies? Welk type malware? Hoe ver heeft de bestemming om zich heen kunnen grijpen? Zijn vitale delen van het netwerk ook blootgesteld aan de besmetting? Hoeveel tijd zat er tussen de besmetting en de signalering daarvan? Dit zegt iets over de mate van gegevensbescherming. Hoe snel is de besmetting ongedaan gemaakt door het terugzetten van een back-up? Hoeveel data zijn verloren gegaan? Wat zijn de consequenties voor medewerkers, inwoners, bedrijven, ketenpartners enz. van de gemeente? Welke acties kunnen of moeten zij eventueel nemen om schade te beperken of te voorkomen? Welke maatregelen heeft de gemeente genomen of neemt de gemeente om een besmetting als deze in de toekomst te voorkomen? Bijv. We blijven inzetten op bewustwording bij medewerkers en bestuurders om de alertheid op dit gebied te vergroten.
24 Beveiligingsincident - Aanval op de digitale infrastructuur Korte omschrijving Een doelgerichte aanval op onze websites, (web)applicaties of servers met het doel niet-openbare informatie te verkrijgen of de digitale infrastructuur te ontregelen. Is bij de aanval ook niet-openbare informatie openbaar gemaakt? Dan wordt het automatisch beveiligingsincident Openbaarmaking van niet-openbare informatie. Primaire doel van communicatie Vertrouwen behouden of herstellen bij onze stakeholders. Handelingsperspectief bieden aan stakeholders / betrokkenen bijvoorbeeld om (verdere) schade te voorkomen of te beperken. Bewustwording en alertheid op het gebied van gegevensbescherming bij medewerkers en bestuurders vergroten. Stakeholders Automatisering (die het netwerk en applicaties beheert) Portefeuillehouder: burgemeester en/of wethouder met Bedrijfsvoering in portefeuille Gemeentesecretaris Medewerkers gemeente Heemskerk Lokale media (indien dienstverlening gemeente tijdelijk niet beschikbaar) Informatie Beveiligingsdienst (IBD) Deze lijst wordt op basis van het concrete incident door het incident respons team samen met de communicatieadviseur waar nodig bijgesteld / aangevuld. Communicatietaken op hoofdlijnen Wie Taak Hulpmiddelen* Portefeuillehouder (pfho) Woordvoering, betekenisgeving en handelingsperspectief extern richting college en raad pfho, CISO, gemeentesecretaris, adviseur communicatie Gemeentesecretaris Woordvoering, betekenisgeving en handelingsperspectief intern CISO Woordvoering in overige gevallen Betrekken pfho Betrekken Automatisering Overleg incident respons team Melden bij IBD Rapportages (sociale) media Communicatieadviseur Advisering pfho, secretaris, CISO
25 Coördinatie interne en externe communicatie Productie communicatiemiddelen communicatie Q&A, berichtgeving op intranet, persbericht, persgesprek, brief, enz KCC Informeren inwoners Webredactie Informeren inwoners Q&A Q&A, Monitoring en rapportage (sociale) media nieuwsberichten via website sociale media * Overzicht communicatiemiddelen en medialijst beschikbaar bij team communicatie. De kernboodschap gaat in op deze aspecten en geeft een antwoord op deze vragen: Waarop was de aanval gericht? Wat was het doel? In hoeverre zijn de aanvallers geslaagd in het behalen van hun (vermoede) doel? Hoe en hoe snel had de gemeente in de gaten dat het om een doelgerichte aanval ging? Hoe (on)gebruikelijk is zo n aanval? Dergelijke aanvallen zijn niet ongebruikelijk. Waarom is de gemeente gemeente Heemskerk aangevallen? Slachtoffers zijn in de meeste gevallen willekeurige doelwitten. Wat zijn de consequenties voor medewerkers, inwoners, bedrijven, ketenpartners enz. van de gemeente? Welke acties kunnen of moeten zij eventueel nemen om schade te beperken of te voorkomen? Welke tijdelijke en mogelijk permanente (immateriële) schade heeft de gemeente opgelopen als gevolg van de aanval? Welke maatregelen heeft de gemeente genomen of neemt de gemeente om een aanval als deze in de toekomst te voorkomen? Helemaal uitsluiten van een dergelijke aanval is nagenoeg onbetaalbaar. Op basis van de kosten en baten wordt een optimale graag van beveiliging bepaald (risico verlagen versus kosten van de maatregelen).
26 Beveiligingsincident - Storing in hardware door stroomuitval, brand of water Korte omschrijving Een brand of wateroverlast (lekkage) in ruimten waar zich vitale ICT voorzieningen bevinden die leidt tot een verstoring van onze dienstverlening. Primaire doel van communicatie Vertrouwen behouden of herstellen bij onze stakeholders. Handelingsperspectief bieden aan stakeholders / betrokkenen bijvoorbeeld om (verdere) schade te voorkomen of te beperken. Stakeholders Inwoners van de gemeente Heemskerk Medewerkers gemeente Heemskerk Gemeentesecretaris Burgemeester Automatisering (beheert de hardware en het netwerk) Lokale/landelijke media (afhankelijk van de ernst van de brand/wateroverlast) Ketenpartners Leveranciers Autoriteit Persoonsgegevens (AP) Informatie Beveiligingsdienst (IBD) Politie indien het vermoeden bestaat dat er sprake is van opzet Deze lijst wordt op basis van het concrete incident door het incident respons team samen met de communicatieadviseur waar nodig bijgesteld / aangevuld. Communicatietaken op hoofdlijnen Wie Taak Hulpmiddelen* Portefeuillehouder (pfho) Woordvoering, betekenisgeving en handelingsperspectief extern richting college en raad pfho, CISO, gemeentesecretaris, adviseur communicatie Gemeentesecretaris Woordvoering, betekenisgeving en handelingsperspectief intern CISO Woordvoering in overige gevallen Betrekken pfho Betrekken ketenpartners Overleg incident respons team Informeren / betrekken leveranciers Overleg ketenpartners
27 Melden bij IBD Rapportages (sociale) media Aangifte bij politie FG Informeren betrokkenen Melden bij AP Overleg CSIRT Overleg met ketenpartners (frequentie bepalen) Rapportages (sociale) media Communicatieadviseur Advisering pfho, secretaris, CISO Coördinatie interne en externe communicatie Productie communicatiemiddelen communicatie Q&A, berichtgeving op intranet, persbericht, persgesprek, brief, enz KCC Informeren inwoners Q&A Webredactie Informeren inwoners Q&A, Monitoring en rapportage (sociale) media nieuwsberichten via website sociale media Ketenpartners Informeren achterban Overleg met CISO en adviseur communicatie Q&A * Overzicht communicatiemiddelen en medialijst beschikbaar bij team communicatie. De kernboodschap gaat in op deze aspecten en geeft een antwoord op deze vragen: Zijn er gewonden of doden gevallen bij de brand / wateroverlast? Wat is de oorzaak van de brand / wateroverlast? Of, als dat nog niet bekend is: wat doet de gemeente we om de oorzaak te achterhalen? Hoe heeft dit de vitale ICT-voorzieningen kunnen bereiken? Wat zijn de consequenties voor medewerkers, inwoners, bedrijven, ketenpartners enz. van de gemeente? Bijv. welk deel van de dienstverlening is wel en welk deel is niet beschikbaar als gevolg van het uitvallen van vitale ICT voorzieningen? Op welke termijn wordt de dienstverlening weer operationeel? Welke (materiële) schade heeft de gemeente opgelopen? Welke maatregelen heeft de gemeente genomen of neemt de gemeente om een situatie als deze in de toekomst te voorkomen?
28 Bijlage 3: Beslisboom melden datalekken (IBD)
Bijlage 2: Communicatie beveiligingsincidenten
Bijlage 2: Communicatie beveiligingsincidenten Veel beveiligingsincidenten zijn in te delen in één van onderstaande vijf categorieën. Openbaarmaking van niet-openbare informatie Het expres of onbedoeld
Nadere informatie1 Inleiding. Geconsolideerde tekst van de regeling: BM/2017/ juli Bekendmaking vaststelling beleid
Bekendmaking vaststelling beleid Burgemeester en wethouders van Heemskerk maken bekend de beleidsregel Protocol beveiligingsincidenten en datalekken gemeente Heemskerk 2017 vast te stellen. De nieuwe beleidsregel
Nadere informatieProcedure incidentenbeheer informatieveiligheid
Inhoudsopgave Procedure incidentenbeheer informatieveiligheid 1. INLEIDING... 2 2. DOEL, AFBAKENING EN DOELGROEP... 2 3. VERANTWOORDELIJKHEDEN, CONTROLE EN REFERENTIES... 3 4. ORGANISATIE INCIDENTENBEHEER...
Nadere informatieBeheer van informatiebeveiligingsincidenten. (inclusief meldplicht datalekken)
[logo gemeente] [naam gemeente] (inclusief meldplicht datalekken) Documentcode: Versie: 1.0 Versiedatum Gemaakt door: Goedgekeurd door: V-Classificatie: CISO Gemeentesecretaris / managementteam Intern
Nadere informatieCoöperatie Boer en Zorg b.a. Procedure meldplicht datalekken
Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken Versie: 1.02 d.d. 13-juni-2018 Inhoud 1.2 Doel en reikwijdte... 3 2. Procedure Datalek... 4 2.1 Melden incident bij FG... 4 2.1.1 Registratie...
Nadere informatiePROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN
1. Inleiding Dit protocol biedt een handleiding voor de professionele melding, beoordeling en afhandeling van beveiligingsincidenten en datalekken. Het doel hiervan is het voorkomen van beveiligingsincidenten
Nadere informatieOpenbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming
Openbaar Onderwijs Emmen, OOE Protocol Informatiebeveiligingsincidenten en datalekken Conform de Algemene Verordening Gegevensbescherming Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken VSNON
Protocol informatiebeveiligingsincidenten en datalekken VSNON vastgesteld d.d. 9 november 08 De Wet Meldplicht Datalekken verplicht scholen om ernstige datalekken te melden bij de Autoriteit Persoonsgegevens
Nadere informatieProtocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)
Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG) betreffende procedures inzake de melding en afhandeling van inbreuken
Nadere informatieProtocol Beveiligingsincidenten en datalekken
Protocol Beveiligingsincidenten en datalekken Petrus Canisius College Vastgesteld juli 2018 (18 6227b) CDO: 4 juni 2018 MR: 2 juli 2018 CDO: 4 juni 2018 MR: 2 juli 2018 Protocol beveiligingsincidenten
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Minkema College
2018.473 Protocol informatiebeveiligingsincidenten en datalekken Minkema College Vastgesteld door het College van Bestuur op 13 november 2018 Was getekend, H. Heethuis, Voorzitter Inhoud Inleiding... 2
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Inhoud Protocol informatiebeveiligingsincidenten en datalekken... 1 Protocol informatiebeveiligingsincidenten en datalekken... 2 Inleiding... 2 Gebruikte
Nadere informatiePROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN
PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN 1 Inhoudsopgave Inleiding 3 Wet- en regelgeving datalekken 3 Afspraken met leveranciers 4 Werkwijze 4 1. Uitgangssituatie 4 2. De vier rollen 4 3.
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden
Protocol informatiebeveiligingsincidenten en datalekken Stichting Christelijk Onderwijs Haaglanden Protocol Datalekken SCOH//mei2018//kga Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken 1 Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers... 2 Werkwijze... 3 Uitgangssituatie... 3 De vier rollen...
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Voila Leusden
Protocol informatiebeveiligingsincidenten en datalekken Voila Leusden 1 Inhoud Inleiding 2 Wet- en regelgeving datalekken 2 Afspraken met leveranciers 2 Werkwijze 3 Uitgangssituatie 3 De vier rollen 3
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers... 3 Werkwijze... 3 Uitgangssituatie... 3 De vier rollen...
Nadere informatieProtocol Informatiebeveiliging en Datalekken (PID) Aloysius
Protocol Informatiebeveiliging en Datalekken (PID) Aloysius Van: Directeur Financiën en Bedrijfsvoering Aan: AMT Datum : 28 maart 2017 Opgesteld door: Thomas Reterink, Bron: Kennisnet. Onderwerp: Protocol
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad
Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad Opsteller: Jan Zonneveld Expertise: Informatiemanagement Besluitvorming: AMO ter advisering op 6 juli 2017 GMR ter instemming
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en
Protocol informatiebeveiligingsincidenten en datalekken Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en omgeving (CVO) Bewerkt door: De Vereniging Christelijk Voortgezet Onderwijs te Rotterdam
Nadere informatieProtocol meldplicht datalekken
Protocol meldplicht datalekken Disclaimer Dit protocol is geen juridisch document of advies en beoogt niet volledig te zijn, maar geeft slechts een indicatie van bepaalde AVG verplichtingen. VGM NL is
Nadere informatieProcedure datalekken NoorderBasis
Procedure datalekken NoorderBasis Inleiding Deze procedure maakt integraal onderdeel uit van het privacy beleid van NoorderBasis en is vastgesteld door het bestuur. De procedure bestaat uit verschillende
Nadere informatieHandreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018
Handreiking Protocol informatiebeveiligingsincidenten en datalekken Stichting KBO Haarlem-Schoten Versie: 27 mei 2018 Bron: Dit document is gebaseerd op het Protocol informatiebeveiligingsincidenten en
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates
Protocol informatiebeveiligingsincidenten en datalekken Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers...
Nadere informatieDatalek dichten en voorkomen. 21 april 2017
Datalek dichten en voorkomen 21 april 2017 Wat zijn datalekken? Wettelijke definitie Wet Bescherming Persoonsgegevens: een inbreuk op de beveiliging, als bedoeld in artikel 13 Wbp moet worden gemeld.
Nadere informatieStichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken
Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker 2 6093 JE Heythuysen Protocol informatiebeveiligingsincidenten en datalekken Inhoud Inleiding... 2 Wet- en regelgeving datalekken...
Nadere informatieProtocol beveiligingsincidenten en datalekken
Protocol beveiligingsincidenten en datalekken Instemming door GMR: Datum Naam Functie 10-12-2018 R. Kwerreveld Voorzitter GMR Vastgesteld door BEVOEGD GEZAG: Datum Naam Functie 11-12-2018 Thea Janson Voorzitter
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Bron Kennisnet Bewerkt door: KPO Roosendaal, Leon van Iersel Versie Datum Auteur Omschrijving 2.0 25-05-2018 Leon van Iersel Kennisnet versie aangepast
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Betreft alle scholen en bestuurskantoor van SKO De Streek Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers...
Nadere informatiePROCEDURE MELDPLICHT DATALEKKEN
PROCEDURE MELDPLICHT DATALEKKEN Er is sprake van een Datalek indien persoonsgegevens als gevolg van een beveiligingsincident in handen vallen van onbevoegde derden. Het kan bijvoorbeeld gaan om een zoekgeraakte
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken Clusius College
Clusius College Opgesteld door Natascha Enklaar Versie / Datum 1.1 / 23-7-2018 Vastgesteld (door / d.d.) - Bronvermelding Kennisnet Inhoudsopgave Inleiding... 1 Wet- en regelgeving datalekken... 1 Afspraken
Nadere informatieProcedure Meldplicht Datalekken
Procedure Meldplicht Datalekken n.a.v. inwerkingtreding AVG mei 2018 Versie 1.0 20-5-2018 Procedure meldplicht datalekken NivoZorg 1 Gegevens Functionaris Gegevensbescherming Naam : Erik Stijnen Telefoonnummer
Nadere informatieProcedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam
Procedure datalek Naam auteur : Daniel Hoopman Versie datum : 21 september 2018 Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam 075-6143561 info@onderwijs-professionals.nl www.onderwijs-professionals.nl
Nadere informatieProtocol melding en afhandeling beveiligings- of datalek, versie oktober 2018
Protocol melding en afhandeling beveiligings- of datalek, versie 1.1 19 oktober 2018 1 Protocol Melding en afhandeling beveiligings- of datalek 1. Inleiding De achtergrond van deze procedure is de Meldplicht
Nadere informatiePROTOCOL BEVEILIGINGSINCIDENTEN EN DATALEKKEN SKOSO
PROTOCOL BEVEILIGINGSINCIDENTEN EN DATALEKKEN SKOSO 28-05-2018 Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met scholen en leveranciers... 2 Werkwijze... 3 De vier rollen... 3 De
Nadere informatieMeldplicht Datalekken Vereniging Beveiligingsprofessionals Nederland
Meldplicht Datalekken Versie : 0.2 concept Auteur : Peter Meijer Datum : december 2017 Pagina 1 van 5 Inleiding Dit document beschrijft de verschillende stappen die binnen de VBN genomen worden bij een
Nadere informatieSchoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN
Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN 2018 Schoolvereniging Rehoboth Bron: Bewerkt: Kennisnet Schoolvereniging Rehoboth Versie Status Datum Auteur Omschrijving 0.1 concept 14-3-2018
Nadere informatieRaadsmededeling - Openbaar
Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding
Nadere informatieProcedure meldplicht datalekken
Procedure meldplicht datalekken Gemeente Bunnik Versie : 2.0 Datum : april 2018 1 Inleiding Dit document omschrijft de procedure van de meldplicht datalekken Bij deze procedure horen twee bijlagen: IBD
Nadere informatieProcedure beveiligingsincident en weging meldplicht datalek
PCBO Leeuwarden e.o. Procedure beveiligingsincident en weging meldplicht datalek Afwegingen in het kader van artikel 13 Wet Bescherming Persoonsgegevens Karakter: De inhoud van deze procedure wordt geacht
Nadere informatieBestuur. scholengemeenschap voor vmbo havo atheneum gymnasium. school voor praktijkonderwijs. Bezoekadres: Stationslaan CA Stadskanaal
Informatiebeveiligingsincidenten en datalekken Bestuur scholengemeenschap voor vmbo havo atheneum gymnasium school voor praktijkonderwijs Bezoekadres: Stationslaan 17 9503 CA Stadskanaal Postadres: Postbus
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Stichting Scala College en Coenecoop College
Stichting Scala College en Coenecoop College Versie Scala College Na instemming van de GMR vastgesteld door het college van bestuur op 6 juni 2019 Was getekend, F.J. de Wit Inhoud Inleiding... 2 Wet- en
Nadere informatieE. Procedure datalekken
E. Procedure datalekken Inleiding Deze procedure maakt integraal onderdeel uit van het privacybeleid van de ons bestuur en is vastgesteld door het college van bestuur. De procedure bestaat uit verschillende
Nadere informatieProtocol meldplicht datalekken
Protocol meldplicht datalekken Dehlia Kracht B.V. Protocol meldplicht datalekken aan de Functionaris voor de Gegevensbescherming G r o e n e s t r a a t 2 9 4, 6 5 3 1 J C N i j m e g e n Inhoudsopgave
Nadere informatieVraag 1: Is er sprake van verwerking van persoonsgegevens?
Protocol datalekken Version: Versie 1.1, vastgesteld op 2 maart 2016 Status: Dwingende interne instructie Goede naleving door Holla van de Algemene verordening gegevensbescherming (AVG) is cruciaal. Dit
Nadere informatieA2 PROCEDURE MELDEN DATALEKKEN
A2 PROCEDURE MELDEN DATALEKKEN Deze procedure voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken.
Nadere informatieDatalekprotocol binnen Reto
Datalekprotocol binnen Reto Datalekprotocol binnen Reto 1. INLEIDING Dit document beschrijft de verschillende stappen die binnen Reto genomen worden bij een datalek, die valt onder de Meldplicht Datalekken.
Nadere informatieStichting Bedrijfstakpensioenfonds voor de Houthandel;
Stichting Bedrijfstakpensioenfonds voor de Houthandel Reglement incidentenregeling Artikel 1 Pensioenfonds: Incident: Definities Stichting Bedrijfstakpensioenfonds voor de Houthandel; een gedraging, datalek
Nadere informatie1. Bedrijfsnaam:... Gevestigd te:... Straatnaam, huisnummer:... Vertegenwoordigd door dhr. / mevr... Functie:... adres:...
Verwerkersovereenkomst Partijen 1. Bedrijfsnaam:....... Gevestigd te:........ Straatnaam, huisnummer:...... Vertegenwoordigd door dhr. / mevr...... Functie:......... Emailadres:....... hierna Verwerkingsverantwoordelijke
Nadere informatieStichting Pensioenfonds voor Dierenartsen
Stichting Pensioenfonds voor Dierartsen Incidentenregeling Artikel 1 Pensioenfonds: Incident: Definities Stichting Pensioenfonds voor Dierenartsen een gedraging of een gebeurtenis die een ernstig gevaar
Nadere informatieProcedure Meldplicht Datalekken & Veiligheidsincidenten gemeente Geertruidenberg
CVDR Officiële uitgave van Geertruidenberg. Nr. CVDR613192_1 10 oktober 2018 Procedure Meldplicht Datalekken & Veiligheidsincidenten gemeente Geertruidenberg 1. INLEIDING 1.1. Aanleiding De meldplicht
Nadere informatieProtocol informatiebeveiligingsincidenten
Protocol informatiebeveiligingsincidenten Bron Kennisnet Bewerkt door: K. Knoester Versie Status Datum Auteur Omschrijving 1.0 Concept 25-3-2019 K. Knoester (model Kennisnet en aangepast naar CBS De Hoeksteen)
Nadere informatieDATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar
DATALEK PROTOCOL Versie 1.0. /08.2017. I.D. Wagenaar Op 1 januari 2016 is de meldplicht datalekken ingevoerd. Dit houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij
Nadere informatieProtocol Meldplicht datalekken
Protocol Meldplicht datalekken Datum: 05-03-2018 Versie: 2 Documentinformatie Procesnaam: Proceseigenaar: Documenteigenaar: Verantwoordelijk voor revisie: Melden datalekken Raad van bestuur LG I&ZA Adviseur
Nadere informatieOndersteunende processen Organisatie Informatiebeveiliging Melding Datalek
1 Toepassingsgebied De procedure is van toepassing wanneer er een incident plaatsvindt waardoor de exclusiviteit van de informatievoorziening wordt aangetast. 2 Doel Wanneer met betrekking tot informatiebeveiliging
Nadere informatieProtocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS
Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS Datum: 14-5-2018 Geactualiseerd en met instemming van de GMR (datum) door het CvB vastgesteld (datum) Inhoud Aanleiding... 3 Kader... 3 Afwegingen...
Nadere informatieWanneer met betrekking tot informatiebeveiliging een incident ontstaat, is het van belang dat dit zo snel mogelijk wordt gemeld en wordt behandeld.
1 Toepassingsgebied De procedure is van toepassing wanneer er een incident plaatsvindt waardoor de exclusiviteit van de informatievoorziening wordt aangetast. 2 Doel Wanneer met betrekking tot informatiebeveiliging
Nadere informatieProtocol Meldplicht Data-lekken
Protocol Meldplicht Data-lekken 1. Doel van het protocol De procedure meldplicht datelekken is opgesteld vanuit het document `De meldplicht data-lekken in de Wet Bescherming Persoonsgegevens (WbP). Het
Nadere informatieProtocol Meldplicht Datalekken
Protocol Meldplicht Datalekken De Commercieele Club Groningen Inleiding Wanneer er een datalek heeft plaatsgevonden is De Commercieele Club, hierna de CCG, als verwerkingsverantwoordelijke verplicht dit
Nadere informatieProcedure Gegevenslekken
Procedure Gegevenslekken Doelgroep: Aanspreekpunt Informatieveiligheid 1 Inleiding Als het gaat om inbreuk op de beveiliging van of verlies van persoonsgegevens is de meldplicht datalekken van toepassing
Nadere informatieProcedure Melden beveiligingsincidenten
Procedure Melden beveiligingsincidenten 1 Inhoud Inhoud... 2 Inleiding... 3 Begrippen... 4 Persoonsgegeven... 4 Verantwoordelijke... 4 Bewerker... 4 Verwerking... 4 Bijzondere persoonsgegevens:... 4 MIBP...
Nadere informatieBeleid en procedures meldpunt datalekken
Beleid en procedures meldpunt datalekken Versie juli 2016 Inhoud: Wetgeving en kaders 3 Stichting Baasis beleid en uitgangspunten 4 Procedure/proces meldpunt datalekken 5 2 Wetgeving en kaders Meldplicht
Nadere informatieUITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -
UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides - Mr. N.D.L (Nine) Bennink (2017) Is de meldplicht datalekken op mij van toepassing? Ja, bij iedere verwerking van persoonsgegevens o verwerking
Nadere informatieDraaiboek meldplicht datalekken
Draaiboek meldplicht datalekken 1. Inleiding 1.1. Sinds 1 januari 2016 is er een Meldplicht Datalekken van kracht geworden. Deze meldplicht houdt in dat organisaties onverwijld een melding moeten doen
Nadere informatieMemo Procesbeschrijving meldplicht datalekken
Datum 15-11-2015 Onderwerp Procesbeschrijving meldplicht datalekken Noot vooraf van CIP: in de categorie "Individuele praktijk: een toepassing bij een van de organisaties die werkt, als handreiking voor
Nadere informatie2.1 Borgen van rechten van betrokkenen Betrokkenen hebben het recht op inzage, correctie en dataportabiliteit van persoonsgegevens.
Protocol AVG Buro Noorderlingen 1. Inleiding Dit protocol beschrijft het beleid dat door Buro Noorderlingen wordt gevoerd in het kader van de Algemene verordening gegevensbescherming (AVG). De verordening
Nadere informatieFormulier melding datalek
Formulier melding datalek Voor het melden van een datalek vult u onderstaand formulier in. Na invulling kunt u dit formulier als PDF opslaan en als bijlage digitaal zenden naar: PG@hogeraad.nl Of sturen
Nadere informatieProtocol datalekken Samenwerkingsverband ROOS VO
1 Protocol datalekken Samenwerkingsverband ROOS VO. 3.02 Protocol datalekken is onderdeel van Handboek Informatie Beveiliging en Privacy SWV ROOS VO 2 Inhoud Inleiding... 3 Begrippenlijst... 4 1. Is de
Nadere informatieRegeling datalekken StOVOG
Regeling datalekken StOVOG Algemeen Deze regeling voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wbp. Daarnaast is er een schema opgenomen om te beoordelen of
Nadere informatiePrivacybeleid gemeente Wierden
Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Binnen de gemeente Wierden wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk
Nadere informatieIets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016
Iets te melden? PON-seminar- Actualiteiten Privacy Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016 2 3 Waarom moet er gemeld worden? Transparantie en schadebeperking Bewustzijn Verhogen
Nadere informatieIn dit protocol is weergegeven hoe te handelen bij beveiligingsincidenten en datalekken. 2
Modelprotocol Meldplicht Datalekken Inleiding Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat (naam instelling) direct een melding moet doen bij de Autoriteit Persoonsgegevens
Nadere informatieInformatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard
Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december
Nadere informatieProtocol Meldplicht Datalekken
Protocol Meldplicht Datalekken ficcounranrshantoor Luif BV Schematische voorstelling Datalek Proces. D e in form atiem anager inform eert de m elder en leidinggevende van de m elder v. De i nf orma tiema
Nadere informatieProtocol datalekken voor Fidé Hypotheken & Verzekeringen
Protocol datalekken voor Fidé Hypotheken & Verzekeringen In dit protocol is de Algemene Verordening Gegevensbescherming (AVG) EU 2016/679 als uitgangspunt genomen, omdat deze geacht wordt vóór 25 mei 2018
Nadere informatieMeldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016
Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht
Nadere informatieProcedure melden beveiligingsincidenten en datalekken
Procedure melden beveiligingsincidenten en datalekken Panta Rhei, stichting voor r.k., openbaar en algemeen bijzonder primair onderwijs Bestuursbureau Panta Rhei Bezoekadres: Overgoo 13, 2266 JZ Leidschendam
Nadere informatieDe meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016
De meldplicht datalekken Aleid Wolfsen, Utrecht, 11 oktober 2016 Datalekken in het nieuws UWV lekt data 11.000 werkzoekenden door blunder met bijlage Geheime asieldossiers bij afval Persoonsgegevens Utrechters
Nadere informatieDe Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?
De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? Meldplicht datalekken Whitepaper Datalekken Augustus 2016 1 Begin 2016 is de Meldplicht Datalekken ingegaan. Het doel van de meldplicht
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieBijlage Gegevensverwerking. Artikel 1 - Definities
Bijlage Gegevensverwerking Artikel 1 - Definities De namen en begrippen in deze Bijlage die met een hoofdletter worden geschreven, hebben de hiernavolgende betekenis: 1.1 Persoonsgegevens: alle informatie
Nadere informatieSamenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland
Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie
Nadere informatiestaat is om de AVG na te komen.
Vragenlijst nulmeting AVG mét toelichting door Security & Privacy Officer Koos Wijdenes Met onderstaande vragenlijst kunt u een nulmeting uitvoeren voor uw organisatie. De antwoorden geven inzicht in wat
Nadere informatieProtocol meldplicht datalekken
160235/1180 Protocol meldplicht datalekken Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij de
Nadere informatieProtocol beveiligingsincidenten en datalekken
Protocol beveiligingsincidenten en datalekken Inleiding De Algemene Verordening Gegevensbescherming (AVG), die per 25 mei 2018 van toepassing is, stelt andere en strengere eisen aan de omgang met persoonsgegevens.
Nadere informatieStichting Bedrijfstakpensioenfonds voor de Reisbranche
Stichting Bedrijfstakpensioenfonds voor de Reisbranche Reglement incidenten- en klokkenluidersregeling Administrateur Centric Pension and Insurance Solutions B.V Versie 2.0 Ingangsdatum 19 april 2018 Pagina
Nadere informatieHet Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.
Model Bewerkersovereenkomst Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Testmedia verwerkt Persoonsgegevens voor en in opdracht van de Klant. Testmedia
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken PCPO Barendrecht en Ridderkerk
Protocol informatiebeveiligingsincidenten en datalekken PCPO Barendrecht en Ridderkerk 1-12 Inhoud Inleiding 4 Wet- en regelgeving datalekken 4 Afspraken met leveranciers 5 Werkwijze 5 Uitgangssituatie
Nadere informatieStichting Bedrijfstakpensioenfonds voor de Reisbranche
Stichting Bedrijfstakpensioenfonds voor de Reisbranche Reglement incidenten- en klokkenluidersregeling Versie 2.0 Ingangsdatum 27 mei 2019 Pagina 1 Artikel 1 Pensioenfonds: Incident: Datalek: Inbreuk:
Nadere informatieINFORMER VERWERKERSOVEREENKOMST ZOALS VASTGESTELD OP 20 APRIL 2018
INFORMER VERWERKERSOVEREENKOMST ZOALS VASTGESTELD OP 20 APRIL 2018 Deze overeenkomst maakt deel uit van iedere overeenkomst tussen Informer Online Nederland B.V. en haar klanten en regelt de geheimhouding
Nadere informatieHet verzamelen, vastleggen, opslaan en doorgeven van uw gegevens wordt het verwerken van persoonsgegevens genoemd.
Privacystatement Vos Lammers & De Kock Advocaten verwerkt persoonsgegevens. Wij verwerken persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming die op 25 mei 2018 in werking
Nadere informatie... ik ga zorgvuldig met de gegevens van mijn klanten om. Meldplicht Datalekken
... ik ga zorgvuldig met de gegevens van mijn klanten om. Meldplicht Datalekken Wat betekenen de nieuwe regels voor u? De persoonsgegevens van uw klanten en medewerkers en andere waardevolle, gevoelige
Nadere informatiePRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development
PRIVACY PROTOCOL Wij hechten veel waarde aan de privacy en de veiligheid van onze klanten en personen die gebruik maken van onze dienstverlening en/of deelnemen aan onze trajecten (hierna gezamenlijk te
Nadere informatie1... gevestigd te vertegenwoordigd door., in de functie van,
Verwerkersovereenkomst Partijen 1... gevestigd te vertegenwoordigd door., in de functie van, hierna Verwerkingsverantwoordelijke ; en 2. De besloten vennootschap Voip4all B.V., statutair gevestigd te Kampen
Nadere informatieProtocol Datalekken Twelve
Bijlage: Vragenlijst Beveiligingsincident Twelve B.V. Twelve Sports & Hospitality B.V. Twelve Events B.V. Twelve Venues B.V. 1 1 Algemeen: Datalekken 1.1 Sinds 2016 bestaat er een meldplicht voor datalekken.
Nadere informatieProtocol Informatiebeveiliging en Datalekken SKOTZO
Protocol Informatiebeveiliging en Datalekken SKOTZO Bewerkt door: SKOTZO, Frank van Kollenburg Vastgesteld door SKOTZO: Versie Datum Naam Functie 1.0 GMR Inhoud 1. Inleiding... 3 2. Wet- en regelgeving
Nadere informatieStappenplan Algemene Verordening Gegevensbescherming (AVG)
E: info@koornetwerk.nl I: www.koornetwerk.nl 1 januari 2018 A: Bartókstraat 4 6661 AT Elst The Netherlands Stappenplan Algemene Verordening Gegevensbescherming (AVG) Op 25 mei 2018 is de Algemene Verordening
Nadere informatieMobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging
Nadere informatie