Lieselot Theys, Gilles Schouppe Charlotte Soetaert, Laura Van Holder Jana Van Hamme & Jeff Vanderdonckt

Maat: px

Weergave met pagina beginnen:

Download "Lieselot Theys, Gilles Schouppe Charlotte Soetaert, Laura Van Holder Jana Van Hamme & Jeff Vanderdonckt"

Gijs Bert ten Wolde
4 jaren geleden
Aantal bezoeken:

ALGEMENE VEILIGHEIDSVERKLARING In onze osteopathie-, kinesitherapie en allergiepraktijk nemen wij de veiligheid van de persoonlijke gegevens die we verzamelen, in het bijzonder omtrent uw gezondheid,

De toegang tot de plaats waar wij uw gegevens bewaren, is beveiligd: de plaats wordt afgesloten en enkel personen met wie onze patiënten in contact komen, hebben toegang tot de dossiers, dit wil

De therapeuten respecteren de deontologische code en het medisch beroepsgeheim.

1 ALGEMENE VEILIGHEIDSVERKLARING In onze osteopathie-, kinesitherapie en allergiepraktijk nemen wij de veiligheid van de persoonlijke gegevens die we verzamelen, in het bijzonder omtrent uw gezondheid, zeer ernstig. Wij namen maatregelen en acties om uw gegevens te beveiligen en alzo te beantwoorden aan de GDPR richtlijnen. De toegang tot de plaats waar wij uw gegevens bewaren, is beveiligd: de plaats wordt afgesloten en enkel personen met wie onze patiënten in contact komen, hebben toegang tot de dossiers, dit wil zeggen: - de therapeut - de medische secretaresse - eventueel een stagiair, indien u hier vooraf toestemming toe gaf. Onze medewerkers zijn gebonden door een vertrouwelijkheidsclausule. De therapeuten respecteren de deontologische code en het medisch beroepsgeheim. Betreffende de geïnformatiseerde dossiers, om te verzekeren dat een gebruiker enkel gegevens kan zien die hij nodig heeft, beschikt die over een eigen identificatie met paswoord. De paswoorden worden om de drie maanden aangepast. De wifi aansluiting van de computers is beschermd door een paswoord. De computers zijn uitgerust met een firewall en een antivirus-programma. De updates van de systemen worden bijgewerkt om de veiligheid te garanderen. Controle van de systemen wordt regelmatig uitgevoerd. Het informatica-programma dat ons toelaat de gegevens te verwerken is conform de wetgeving, met name betreffende de opslag van gegevens. Het noteren van de toegang van de gebruikers, laat identificatie van zij die gegevens opvragen toe en het moment waarop. Er is een procedure uitgeschreven voor in geval van schending van gegevens gebruik (zie bijlage gegevens lek ) U kan ons uiteraard op elk ogenblik contacteren indien u een persoonlijke uitleg wenst over de manier waarop we waken over uw vertrouwelijkheid en veiligheid. Veel sport- en beweegplezier! U kunt ons terugvinden op de website: Ook kan u ons volgen op facebook of op instagram! Hier verschijnen vaak tips & tricks over beweging, correcte houding, gezonde voeding, betere levensstijl, enz. Lieselot Theys, Gilles Schouppe Charlotte Soetaert, Laura Van Holder Jana Van Hamme & Jeff Vanderdonckt

2 Procedure bij datalekken 1.1 Definitie. Een datalek of gegevenslek wordt door de GDPR omschreven als een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Het gaat dus bijvoorbeeld om: de onbeschikbaarheid van gegevens, als gevolg van een actie van ransomware ( gijzelen van gegevens in ruil voor losgeld) het schenden van de integriteit, als gevolg van een ongeoorloofde wijziging van gegevens het schenden van de vertrouwelijkheid van gegevens, als gevolg van het meedelen of ter beschikking stellen van gegevens aan personen die daartoe niet gerechtigd of gemachtigd zijn. Dit kan zowel per ongeluk (een verkeerde manipulatie van gegevens) als onrechtmatig (een gevolg van een computerinbraak) zijn. Wanneer een USB-sleutel verloren is. 1.2 Preventie richtlijnen om gegevenslekken te vermijden Zorg ervoor dat de beveiliging van de persoonsgegevens in orde is. Minimaliseer negatieve effecten door de stappen in uw proces uit te voeren met zo weinig mogelijk persoonsgegevens. Voorkom inbreuk door een goede authentificatie en de gepaste toestemming toe te passen die de toegang tot persoonsgegevens door onbevoegde personen belet. Elke verwerkingsverantwoordelijke moet ervoor zorgen dat de medewerkers worden gesensibiliseerd om te zorgen voor een voldoende beveiliging. Dit houdt in dat er richtlijnen worden opgesteld en op geregelde tijdstippen aan die richtlijnen wordt herinnerd. Medewerkers moeten op de hoogte zijn van: Wat is een datalek? Welke acties, meldingen of vragen kunnen wijzen op een mogelijk datalek? Tot wie (welke dienst of persoon) moeten ze zich richten als ze bepaalde gegevensdragers verliezen, als systemen niet beschikbaar zijn of worden, enz. Wanneer persoonsdata aan een externe verwerkers wordt toevertrouwd, zal met deze laatste een verwerkersovereenkomst afgesloten worden. 1.3 Analyse van de melding Analyseer of de inbreuk wel degelijk persoonsgegevens betreft, en zo ja, of u verantwoordelijk bent voor de verwerking van die persoonsgegevens. 1.4 Analyseer de omvang van het datalek Over hoeveel gegevens gaat het? Over hoeveel personen gaat het?

3 Werden gevoelige gegevens gelekt? Werden gegevens gelekt over kwetsbare groepen? 1.5 Risico s voor de rechten en vrijheden van de betrokkenen. Analyseer of de inbreuk een risico inhoudt voor de rechten en vrijheden van de natuurlijke personen over wie de gegevens gaan. Bvb: Als u per ongeluk een mail met een persoonsgegeven verstuurt naar een collega, die eigenlijk die mail niet moest krijgen, is dat technisch gezien een inbreuk. Omdat het gaat om een collega en slechts één persoonsgegeven is het risico van deze inbreuk voor de betrokken echter zeer beperkt. Moest daarentegen per ongeluk een selectie van uw klantenbestand openbaar worden, is dat wel een hoog risico voor de betrokkenen. 1. Er is geen risico voor de rechten van de betrokkenen: Registreer de inbreuk in het logboek. 2. Er is een risico voor de rechten van de betrokkenen Meldt het datalek, binnen de 72 uur na vaststelling aan de Gegevensbeschermingsautoriteit. Meld het datalek onmiddellijk aan de betrokkenen. 1.6 Melding aan de gegevensbeschermingsautoriteit De gegevensverantwoordelijke moet het datalek binnen de 72 uur na de vaststelling melden bij de Gegevensbeschermingsautoriteit. De termijn geldt zowel voor lekken binnen de organisatie als voor lekken bij externe verwerkers. Dit gebeurt via een formulier dat u terugvindt op hun website: Melding aan de betrokkenen. Is er een risico voor de rechten van de betrokkene, dan moet u dit onmiddellijk melden aan de betrokke(n), met vermelding van: 1.8 Rapportering 1) De aard van de inbreuk. 2) De categorieën en aantal van betrokkenen en persoonsgegevens. 3) Naam en contactgegevens waar de Gegevensautoriteit u kan bereiken voor meer informatie 4) De waarschijnlijke gevolgen van de inbreuk 5) De maatregelen die u voorstelt of reeds heeft genomen om de inbreuk aan te pakken, en de gevolgen te beperken. Na afsluiting van het incident, maakt de datamanager / DPO een rapport op over het datalek waarin alle relevante documenten( analyses, aangiftes, PV, ) communicatie en verslagen worden opgenomen en die een weergave biedt van de aard van het datalek, de wijze waarop gehandeld werd, de genomen maatregelen, de betrokken personen, een post-interventierapport en de aanbevelingen naar de toekomst.

4 1.9 Registratie van de datalekken Telkens wanneer een datalek wordt vastgesteld, ongeacht of het al dan niet moet gemeld worden, zal u dit registreren in een register/logboek. De registratie zal minstens volgende zaken omvatten: 1) Datum van vaststelling van het datalek. 2) Beschrijving van het datalek. 3) Maatregelen om herhaling in de toekomst te vermijden. 4) Datum van eventuele melding Trendanalyse datalekken De datamanager/dpo zal op regelmatige basis de registratie in het logboek analyseren met als doel mogelijke trends te detecteren en op basis hiervan correctieve maatregelen te treffen.

5 Voorbeeld Logboek datalekken Vul dit register in telkens u een datalek vaststelt, ongeacht of dit moet gemeld worden aan de Gegevensbeschermingsautoriteit of aan de betrokkene. Verwerkingsverantwoordelijke: Naam: Adres: KBO-nummer: Beschrijving van het datalek: : Beschrijving van het datalek: Beschrijving van het datalek: :

Vergelijkbare documenten

FACTSHEET DATALEK. Inleiding

FACTSHEET DATALEK. Inleiding Inleiding Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens verwerken voldoen aan de Algemene Verordening Gegevensbescherming (AVG / GDPR (EN)). Deze verordening brengt een aantal grote veranderingen