MODULE 8 DATALEKKEN, AP EN FG. Pix & Evi Privacy Solutions tel: +31 (0)

Transcriptie

1 MODULE 8 DATALEKKEN, AP EN FG Pix & Evi Privacy Solutions info@pix-evi.com tel: +31 (0)

2 In deze module behandelen we de vragen 34 t/m 36 en 38 t/m 40 van de Nul (0) meting. We gaan in op: Ervaringen met datalekken Intern proces voor datalekken Bewustwording in de organisatie Onderzoek en afweging Melding AP FG (functionaris voor gegevensbescherming) Functie, positie en verantwoordelijkheden FG Wat is een datalek? Een datalek is een inbreuk in verband met persoonsgegevens. We spreken van zo n inbreuk bij een onrechtmatige verwerking of het verlies van persoonsgegevens. Van een onrechtmatige verwerking is sprake bij toegang en inzage door een onbevoegde derde. Met andere woorden als een organisatie of persoon van wie het niet de bedoeling was dat die de met de gegevens in aanraking zou komen, persoonsgegevens heeft ingezien. Er is sprake van verlies van persoonsgegevens als ze verwijdert of verloren zijn gegaan en er geen back up beschikbaar is, waardoor de gegevens opnieuw van de betrokkene ontvangen moeten worden. Waarom zijn datalekken belangrijk om te melden? Een datalek kan, als er niet snel genoeg en op een passende manier gehandeld wordt, lichamelijke en/of (im)materiele schade voor de betrokkene veroorzaken. Pix & Evi Privacy Solutions info@pix-evi.com tel: +31 (0)

3 Mogelijke gevolgen zijn onder andere verlies van controle over hun persoonsgegevens of beperking van hun rechten, discriminatie, identiteitsdiefstal of fraude, financiële verliezen, ongeoorloofde ongedaan making van pseudonimisering, reputatieschade, verlies van met beroepsgeheim beschermde persoonsgegevens of enig ander aanzienlijk economisch of maatschappelijk nadeel voor een natuurlijk persoon. Om de belangen en rechten van de betrokkene te beschermen moet een datalek onverwijld of in ieder geval binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens. Als het niet lukt om binnen deze termijn een melding te doen van het datalek, dan moet de melding zo snel mogelijk gedaan worden, met vermelding van de reden waarom de termijn van 72 uur niet is gehaald. Als binnen 72 uur nog alle informatie is verzameld om een volledige melding te doen of als het incident nog onderzocht wordt, dan kan er ook een voorlopige melding bij de AP gedaan worden. Deze voorlopige melding kan op een later tijdstip worden ingetrokken of afgemaakt. Moeten alle datalekken gemeld worden? Datalekken moeten gemeld worden, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkene. Wel melden: Een groot aantal brieven is verkeerd bezorgd. Het is niet duidelijk of de brieven zijn geopend en het is niet mogelijk om mitigerende maatregelen te nemen om de risico s te beperken. Door een fout in de online omgeving hebben klanten gegevens van andere klanten kunnen inzien, waaronder financiële gegevens en BSN-nummer. Het is niet duidelijk hoeveel klanten gegevens van andere klanten hebben ingezien. Pix & Evi Privacy Solutions info@pix-evi.com tel: +31 (0)

4 Niet melden: Een brief met financiële gegevens is door de nieuwe bewoner van een woning ontvangen en ongeopend aan de klant (oude bewoner) doorgestuurd. Door een update zijn de autorisatie beperkingen kort komen te vervallen waardoor gegevens van klanten door meer collega s in te zien waren dan noodzakelijk. Gelukkig heeft iedere collega een geheimhoudingsclausule in zijn arbeidsovereenkomst en omschrijft het personeelsbeleid duidelijk hoe er met persoonsgegevens van klanten omgegaan moet worden, bijvoorbeeld ten aanzien van geheimhouding en dat gegevens alleen op need-to-know basis gebruikt mogen worden. Stap 1 Ervaring met datalekken Op 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden. Vanaf dat moment moest iedere organisatie al een proces hebben voor het opsporen, intern melden, beoordelen, registreren en (eventueel voorlopig) melden van datalekken. ACTIEPUNT Bespreek wat jullie geleerd hebben van eventuele datalekken en welke verbeteringen jullie hebben doorgevoerd om het aantal incidenten te beperken. Besteed aandacht aan wat goed ging en waar nog verbeterpunten zijn. Pix & Evi Privacy Solutions info@pix-evi.com tel: +31 (0)

5 Stap 2 Intern proces voor datalekken Om ervoor te zorgen dat alle incidenten die misschien een datalek zijn ook op de juiste manier behandeld worden, is het belangrijk om een goed en duidelijk proces te hebben dat iedereen in de organisatie kent. ACTIEPUNT Ga met de projectgroep na hoe datalekken in de organisatie gesignaleerd kunnen worden. Bellen klanten jullie op om te melden dat er een brief door de buurman is geopend? Of heeft een klantgegevens van een andere klant ingezien via de website? Wat houdt de IT-afdeling bij? Bedenk een aantal voorbeelden. BELEID Omschrijf in de privacy policy het proces voor het opsporen, intern melden, beoordelen, registreren en (eventueel voorlopig) melden van datalekken. Besteed bij het opstellen van het proces aandacht aan de volgende punten: Checklist proces: Welke afdelingen ontdekken en melden een incident? Wie gaat het incident beoordelen? Wie is verantwoordelijk voor het verzamelen van extra informatie? Wie maakt de beoordeling of er sprake is van een datalek dat (voorlopig) gemeld moet worden? Moet management akkoord geven voor het melden? Pix & Evi Privacy Solutions info@pix-evi.com tel: +31 (0)

6 Wie doet de (voorlopige) melding bij de AP? Wie doet de melding richting de betrokkene? Wie houdt het incidentenregister bij? Is er regelmatig een awareness training? Wordt management op de hoogte gebracht van de incidenten en meldingen? Wie controleert wanneer of het proces correct gevolgd wordt? Stap 3 Bewustwording in de organisatie Nadat er een proces op papier gezet is, moet dit proces binnen de organisatie bekend gemaakt worden. Dit zorgt ervoor dat incidenten die misschien een datalek zijn bij de juiste afdeling worden gemeld en kunnen worden onderzocht en afgehandeld. BELEID Zorg ervoor dat er aandacht is voor een regelmatige training op het onderwerp voor alle afdelingen die met persoonsgegevens werken. Maak in de privacy policy een plan hoe jullie binnen de organisatie het proces bekend maken en wanneer (met enige regelmaat) trainingen over datalekken worden gegeven. Stap 4 Onderzoek en afweging In de vorige stappen is er een proces op papier gezet voor het intern melden van datalekken en er is een plan gemaakt om de bewustwording binnen de organisatie te vergroten. Om ervoor te zorgen dat er bij de interne melding genoeg informatie beschikbaar is voor een eerste indruk over het incident, is het handig als er een vragenlijst is voor de melder van het incident. Pix & Evi Privacy Solutions info@pix-evi.com tel: +31 (0)

7 Maak een vragenlijst die binnen de organisatie ingevuld moet worden bij het melden van een datalek. Besteed daar in ieder geval aandacht aan de volgende punten: Wat is er gebeurd? Wat voor gegevens zijn betrokken? Van hoeveel mensen zijn gegevens gelekt? Van wat voor mensen zijn er gegevens gelekt? Wanneer is het incident ontdekt? Wanneer heeft het incident plaatsgevonden? Wat zijn mogelijke gevolgen? Welke maatregelen zijn al getroffen om deze gevolgen te beperken? Met wie kan ik contact opnemen voor meer informatie? Stap 5 Melding AP Niet ieder datalek hoeft gemeld te worden bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens heeft een loket voor het melden van datalekken. Door een vragenlijst te beantwoorden kan een datalek gemeld worden. We verwachten dat de vragenlijst die er nu is aangepast zal worden voor de nieuwe privacywetgeving. Vanuit de nieuwe privacywetgeving moet in ieder geval de volgende informatie bij de toezichthouder gemeld worden bij een datalek: Aard van de inbreuk (wat voor gegevens zijn er betrokken?) Omvang van de inbreuk (van hoeveel mensen zijn er gegevens betrokken?) Categorieën betrokkenen (om wiens gegevens gaat het?) Naam van de DPO Waarschijnlijke gevolgen Maatregelen die getroffen zijn om de eventuele nadelige gevolgen te beperken Pix & Evi Privacy Solutions info@pix-evi.com tel: +31 (0)

8 Stap 6 Melding betrokkene Als een datalek waarschijnlijk een hoog risico inhoudt voor de betrokken personen, dan moet het incident ook aan de betrokkenen gemeld worden. De betrokkene moet op een duidelijke en eenvoudige manier geïnformeerd worden over de volgende onderwerpen: Een omschrijving van het incident De naam van de contactpersoon binnen de organisatie (bijvoorbeeld de DPO) De waarschijnlijke gevolgen van het datalek De maatregelen die de organisatie voorstelt en genomen heeft om de gevolgen te beperken. De betrokken personen hoeven niet geïnformeerd te worden als: De gegevens, bijvoorbeeld door versleuteling, niet door een derde kunnen worden ingezien Er achteraf maatregelen genomen zijn om ervoor te zorgen dat het hoge risico zich waarschijnlijk niet zal voordoen De mededeling een onevenredige inspanning zou zijn. In dit laatste geval moet er een openbare mededeling gedaan worden waarbij de betrokken personen even doeltreffend worden geïnformeerd. Maak intern afspraken over: Wie controleert of de betrokkene geïnformeerd moeten worden Wie de melding bij de betrokkene zal verzorgen Of de mededeling nog gecontroleerd moet worden door management of een andere afdeling Stap 7 FG (functionaris voor gegevensbescherming) Welke organisaties moeten een functionaris voor gegevensbescherming aanstellen? De aanwijzing van een FG (functionaris voor gegevensbescherming) is verplicht: Voor overheidsinstanties of overheidsorganen; Pix & Evi Privacy Solutions info@pix-evi.com tel: +31 (0)

9 Bij regelmatige en stelselmatige observatie op grote schaal van betrokkenen als kerntaak; Als op grote schaal bijzondere persoonsgegevens worden verwerkt (inclusief strafrechtelijke veroordelingen en strafbare feiten) als kerntaak. Kerntaken zijn de belangrijkste activiteiten voor het bereiken van de doelstellingen van de organisatie. Bijvoorbeeld de verwerking van medische gegevens, zoals medische dossiers van patiënten, is een kerntaak van een ziekenhuis. Ondersteunende activiteiten zoals de uitbetaling van werknemers of standaard ITondersteuning zijn voorbeelden van noodzakelijke ondersteuningsfuncties voor de kerntaak of de hoofdactiviteit van de organisatie. Ook al zijn deze activiteiten noodzakelijk of essentieel, ze zijn eerder als nevenfuncties dan een kerntaak. De algemene verordening gegevensbescherming vertelt niet wat op grote schaal is, maar de volgende factoren moeten in aanmerking genomen worden: Het aantal betrokkenen; De hoeveelheid (verschillende) gegevens; De duur van de gegevensverwerking De geografische omvang van de verwerkingsactiviteit Hierna enkele voorbeelden van verwerking op grote schaal: Verwerking van patiëntgegevens door een ziekenhuis Verwerking van OV-reisgegevens van personen Verwerking van realtime geo-locatiegegevens van klanten voor analyses door een daarin gespecialiseerde dienst Verwerking van klantgegevens door een verzekeringsmaatschappij of een bank Verwerking van persoonsgegevens voor gedrag gerelateerde reclame door een zoekmachine Verwerking van gegevens (content, surfgedrag, locatie) via aanbieders van telefonieof internetdiensten Pix & Evi Privacy Solutions tel: +31 (0)

10 Hierna enkele voorbeelden van verwerkingen die niet als grootschalig worden beschouwd: Verwerking van patiëntgegevens door een individuele arts Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten door een individuele advocaat De term regelmatige en stelselmatige observatie van betrokkenen wordt niet omschreven in de algemene verordening gegevensbescherming, maar omvat alle vormen van opsporing en profilering (op het internet), ook met het oog op gedrag gerelateerde reclame. Overige voorbeelden zijn: een telecommunicatienetwerk beheren; telecommunicatiediensten leveren; retargeting via ; marketingactiviteiten op basis van gegevens; profilering en scores toekennen met het oog op risicobeoordeling (bv. voor toekenning van een kredietwaardigheidsscore, bepaling van verzekeringspremies, fraudepreventie, detectie van witwaspraktijken); locatietracering, bv. via mobiele apps; programma s voor klantenbinding; gedrag gerelateerde publiciteit; monitoring van gezondheids- en conditiegegevens via draagbare apparaten; gesloten tv-circuit; gekoppelde apparaten bv. slimme meters, slimme wagens, enz. De WP29 interpreteert de term regelmatig op de volgende manier: Iets wat doorlopend of op specifieke ogenblikken gedurende een bepaalde periode voorkomt; Terugkerend of repetitief op vaste tijdstippen; Iets wat zich constant of periodiek voordoet. De WP29 interpreteert de term stelselmatig op de volgende manier: Iets wat zich volgens een systeem voordoet; Vooraf geregeld, georganiseerd of methodisch; Iets wat zich voordoet in het kader van een algemeen programma voor gegevensverzameling; Iets wat wordt uitgevoerd in het kader van een strategie. Pix & Evi Privacy Solutions info@pix-evi.com tel: +31 (0)

11 ACTIEPUNT Bepaal met de projectgroep aan de hand van de bovenstaande punten of de organisatie een FG (functionaris voor gegevensbescherming) wil of moet hebben. Ook als een FG niet verplicht is, kan een organisatie er toch voor kiezen om een FG aan te stellen. Maak een advies hierover en stuur dit ter goedkeuring aan management. Stap 8 Functie, positie en verantwoordelijkheden FG De FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. De FG wordt aangewezen op grond van zijn: Professionele kwaliteiten; Deskundigheid op het gebied van de privacywetgeving; De praktijk van gegevensbescherming; Zijn vermogen om zijn/haar taken te vervullen. De relevante vaardigheden en deskundigheid omvatten: Expertise in nationale en Europese privacy wetten, met name een grondig inzicht in de AVG; Inzicht in de uitgevoerde verwerkingen; Kennis van informatietechnologieën en gegevensbeveiliging; Kennis van de bedrijfstak en de organisatie; Vermogen om binnen de organisatie een cultuur van gegevensbescherming te bevorderen. De FG heeft in ieder geval de volgende taken: Informeren en adviseren over privacy(wetgeving); Pix & Evi Privacy Solutions info@pix-evi.com tel: +31 (0)

12 Toezien op naleving van de AVG en van het privacy beleid; inclusief de toewijzing van verantwoordelijkheden; Bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits; Advies verstrekken bij een DPIA; Met de toezichthoudende autoriteit samenwerken; Contactpunt voor de toezichthoudende autoriteit en alle betrokkenen. ACTIEPUNT Stel een functieprofiel op voor een FG in jouw organisatie aan de hand van de hierboven genoemde punten. Ook als een FG niet verplicht is, maar er toch wordt gekozen om een FG aan te stellen, dan moet de FG aan dezelfde eisen voldoen. De FG moet over middelen beschikken om zijn/haar taken te kunnen uitvoeren, onder andere: Actieve steun vanuit het hogere management; Voldoende beschikbare tijd; Adequate financiële middelen, infrastructuur (kantoren, faciliteiten, apparatuur) en personeel waar van toepassing; Officiële bekendmaking bij personeel; Toegang alle ondersteuning, bijstand of informatie vanuit de organisatie; Opleidingsbudget. Overige eisen: Onafhankelijk: Geen instructies met betrekking tot de uitoefening van de taken Geen ontslag of sancties voor de uitvoering van de taken Geen belangenconflict met andere mogelijke taken en verplichtingen Pix & Evi Privacy Solutions tel: +31 (0)

13 Stel een lijst met middelen die de FG nodig heeft om zijn of haar taak in jullie organisatie goed uit te voeren. Mail het functieprofiel en de lijst ter goedkeuring aan hoger management om management buy-in te krijgen. Jullie zijn nu klaar met de inhoudelijke stappen van module 8 Datalekken, AP en DPO. Bekijk de aanpassingen die jullie in de privacy policy hebben gemaakt en bepaal of er nog aanvullingen of aanpassingen nodig zijn. Pix & Evi Privacy Solutions info@pix-evi.com tel: +31 (0)