Gemeente Delft. Bijgaand sturen wij U ter kennisneming de nota lmplementatie Wet Meldplicht Datalekken.

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Gemeente Delft. Bijgaand sturen wij U ter kennisneming de nota lmplementatie Wet Meldplicht Datalekken."

Transcriptie

1 Gemeente Delft Retouradres : Aan de raadscommissie voor Rekening en Audit VERZONDEN 17 DEC Datum Ons kenmerk Uw brief van Onderwerp nota Implementatie Meldplicht Datalekken Uw kenmerk Bijlage Geachte leden van de commissie, Bijgaand sturen wij U ter kennisneming de nota lmplementatie Wet Meldplicht Datalekken. Hoogachtend, het college van burgemeester en wethouders van Delft,, burgemeester F. Forster, MSc Lb., secretaris drs. W. Andriessen Ls.

2 Doorkiesnummers: Aan College van Burgemeester en Wethouders Afschrift aan raadscommissie voor Rekening & Audit Nota Datum Ons kenmerk Opsteller J.Frederici / H. Koenen Bijlage Onderwerp Implementatie wet Meldplicht Datalekken 1. Aanleiding / Inleiding Per 1 januari 2016 treedt de Wet Meldplicht Datalekken (hierna: 'de wet' ) in werking. In deze wet wordt een meldplicht geïntroduceerd in de Wet bescherming persoonsgegevens (hierna: Wbp) voor verantwoordelijken voor de verwerking van persoonsgegevens in geval van gebleken doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens. De verantwoordelijke moet op grond van artikel 34a (bijlage 1) van de Wbp bij een inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel nadelige gevolgen heeft voor de bescherming van persoonsgegevens, een melding doen bij de toezichthouder, het College bescherming persoons-gegevens (hierna: Cbp). De meldplicht rust op alle verantwoordelijken voor de verwerking, zowel in de private als publieke sector. Het nalaten aan deze verplichtingen te voldoen kan worden gesanctioneerd met een bestuurlijke boete, op te leggen door het Cbp. Het doel van de meldplicht is het voorkomen van datalekken ten gevolge van doorbreking van beveiligingsmaatregelen en als deze zich toch voordoen, de gevolgen ervan voor de betrokkenen zoveel mogelijk te beperken. De invoering van de wet heeft nogal wat consequenties. In deze notitie wordt hierop ingegaan. Tevens zal een voorstel worden gedaan hoe met de implementatie van de wet kan worden omgegaan.

3 2. Wanneer en op welke wijze is de wet van toepassing? Enkele begrippen. Zoals aangegeven betreft het hier een wijziging van de Wbp. De wetgever loopt hiermee vooruit op de komst van de (Europese) Algemene Verordening Gegevensbescherming, die waarschijnlijk per 1 januari 2017 zal ingaan, waarin een meldplicht voor datalekken ook zal zijn opgenomen, en die in de plaats zal komen van de (nationale) Wbp. Het Cbp heeft richtsnoeren opgesteld als hulpmiddel voor bedrijven, overheden en andere organisaties om te bepalen of een concreet datalek onder de meldplicht valt. De consultatiefase is inmiddels verstreken, en het Cbp zal binnenkort met een definitieve versie komen. Uit de richtsnoeren, en de wetsgeschiedenis, kan een stappenplan worden afgeleid. 2.1 Is de meldplicht datalekken van toepassing op de gemeente? Artikel 34a lid 1 Wbp, zoals dat per 1 januari 2016 zal gelden, luidt als volgt: "De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.' Hieruit kan worden afgeleid dat ten eerste sprake moet zijn van verwerking van persoonsgegevens. Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel zonder onevenredige inspanning naar deze persoon te herleiden is. Vastgesteld kan worden dat - binnen de gemeente - op grote schaal sprake is van verwerken van persoonsgegevens. Immers, 'verwerking' kan worden omschreven als elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens' (artikel 1 onderdeel b Wbp). Omdat het een heel ruim begrip is zal er al snel sprake zijn van verwerken. 2/12

4 Het begrip 'verantwoordelijke ' valt te omschrijven als 'degene die alleen of tezamen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt". In de meeste gevallen zal het college van burgemeester en wethouders verantwoordelijke zijn. Dit omdat het college in de meeste gevallen het bij wet aangewezen orgaan is dat wetten als de Participatiewet moet uitvoeren Andere mogelijkheden zijn de Burgemeester ( als bestuursorgaan), en de Raad. Conclusie: de gemeente verwerkt zeer veel persoonsgegevens, de wet zal derhalve in zeer veel gevallen van toepassing zijn. 2.2.Wat is een datalek? Een datalek is 'een inbreuk op de beveiliging, bedoeld in artikel 13'. De definitie volgt uit het eerder vermelde artikel 34a Wbp (nieuw). Artikel 13 Wbp verplicht de verantwoordelijke passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. De vraag of en in welke mate de gegevens beveiligd waren speelt overigens geen rol bij het bepalen of er sprake is van een datalek. De verantwoordelijke is immers al verplicht een passende beveiliging te hanteren op grond van artikel 13 Wbp. Het gaat er om dat de beveiliging doorbroken is, en redelijkerwijs niet kan worden uitgesloten dat dit heeft geleid tot verlies van gegevens of enige vorm van onrechtmatige verwerking. Een paar voorbeelden van een (mogelijke) datalek: een verloren USB-stick een gestolen laptop Het Cbp neemt aan dat indien een laptop met persoonsgegevens gestolen wordt, er sprake is van een datalek. Onrechtmatige verwerking van persoonsgegevens als gevolg van de diefstal wordt dan verondersteld. Of het datalek ook gemeld moet worden bij het Cbp is een andere vraag, zie hiervoor onder par een brand in een datacentrum (per ongeluk) wissen van een database. Bij de voorbeelden over de brand en de database moet worden bedacht dat er daarbij slechts sprake kan zijn van een datalek wanneer als gevolg van de brand en het wissen ook daadwerkelijk gegevens 3/12

5 verloren raken. Wanneer er een goede back-up is, zijn de gegevens uiteindelijk niet verloren geraakt, en is er daarom geen sprake van een datalek. doorgeven van wachtwoorden aan derden, waardoor dezen toegang hebben tot klantgegevens Bij dit voorbeeld geldt dat er in ieder geval sprake is van een beveiligingsincident, maar niet per se van een datalek. Is het beveiligingsincident snel opgemerkt, zijn de wachtwoorden aangepast, en blijkt uit het logbestand dat de derden op dat moment nog niet in de systemen hebben gekeken, dan is er wel sprake van een beveiligingsincident, maar niet van een datalek. Bij het opruimen van de kasten in het kader van de verhuizing naar HNK, worden documenten weggegooid in de daarvoor bestemde papierbakken. De inhoud hiervan wordt normaliter vernietigd. De bakken worden aan de straat gezet om opgehaald te worden. Een bak is niet goed afgesloten, vertrouwelijke documenten komen zo op straat te liggen. 2.3 Wanneer moet een datalek gemeld worden aan het Cbp? Een datalek hoeft slechts dan gemeld te worden aan het Cbp wanneer dit leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel nadelige gevolgen heeft voor de bescherming van de persoonsgegevens (zie weer artikel 34a lid 1 Wbp). Om te kunnen bepalen of er een meldplicht is moet naar de volgende zaken gekeken worden: (a) Gaat het om persoonsgegevens van gevoelige aard? (b) Leiden de aard en de omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen? ad (a) De wetsgeschiedenis vermeldt dat het gaat om: Bijzondere persoonsgegevens in de zin van artikel 16 Wbp (godsdienst of levensovertuiging, sexuele geaardheid, ras, politieke gezindheid, gezondheid, lidmaatschap vakvereniging, strafrechtelijke gegevens). Gegevens betreffende de financiële of economische situatie van betrokken ( by schulden) Andere potentieel stigmatiserende gegevens ( by gokverslaving) 4/12

6 Gebruikersnamen, wachtwoorden, en andere inloggegevens Gegevens die onder een geheimhoudingsplicht of medisch beroepsgeheim vallen ad (b) De Memorie van Toelichting bij de wet geeft aan dat aard en omvang van de verwerking bepalend zijn voor het antwoord op de vraag of er sprake is van de kans op ernstige nadelige gevolgen. Bij instellingen die zeer veel persoonsgegevens verwerken (bijvoorbeeld de gemeente, de SVB) is de kans dat datalek zeer grote gevolgen heeft veel groter: het gaat dan om zeer veel persoonsgegevens per persoon, zodat het nadelige gevolg groter zal zijn dan bij instellingen die minder persoonsgegevens verwerken. Een voorbeeld: het hacken van de ledenadministratie van een sportvereniging is weliswaar erg vervelend voor de betrokkenen, maar het zal niet snel leiden tot een verplichte melding aan het Cbp. Bij het hacken van bestanden bij het UWV zal dat wel het geval zijn. Daarbij komt ook nog eens dat hacken en vervolgens onbevoegd wijzigen van persoonsgegevens bij het UWV ook van invloed is op de gegevens in de rest van de keten. De wetsgeschiedenis wijst expliciet op de positie van kwetsbare groepen: indien zij geconfronteerd worden met misbruik van gegevens als gevolg van datalekken, zullen zij daar wellicht moeilijk mee om kunnen gaan. Te denken valt aan verstandelijk gehandicapten (zullen bijvoorbeeld eerder ingaan op phishing). Omdat de gemeente de gegevens van veel kwetsbare personen verwerkt, valt aan te nemen dat er snel sprake kan zijn van een kans op ernstige nadelige gevolgen. 3.Melden van een datalek Een datalek moet 'onverwijld' (zie artikel 34a lid 1 Wbp) gemeld worden aan het Cbp. Het Cbp vult dit als volgt in: vanaf het moment van het ontdekken van het datalek moet binnen twee werkdagen melding gedaan worden bij het Cbp, door middel van een vastgesteld webfornnulier. Artikel 34a lid 2 Wbp bevat de verplichting voor de gemeente om ook de betrokkene in kennis te stellen van een datalek wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 5/12

7 Het Cbp vult dit als volgt in: (a) Deze meldingsplicht geldt niet wanneer de gegevens adequaat versleuteld waren op het moment van de inbreuk (zie artikel 34a lid 6 Wbp). (b) Tenzij ze alsnog zijn blootgesteld aan vernietiging of aantasting, dan geldt de meldplicht weer wel. (c) Maar de meldingsplicht geldt ook niet wanneer er geen versleuteling heeft plaatsgevonden, maar de inbreuk ook geen ongunstige gevolgen voor de persoonlijke levenssfeer zal hebben. Ad b. Ook al zijn de gegevens adequaat versleuteld, en lijkt het zo te zijn dat ze nutteloos zijn voor een onbevoegde, als er geen back-up van de gegevens is, is er toch sprake van verlies van de gegevens, en dus is er een meldplicht. Ad c. Bij adequate versleuteling van de gegevens zal al snel de conclusie getrokken kunnen worden dat er geen aanleiding is om een melding te doen aan de betrokkene. Maar ook indien de gegevens niet versleuteld waren, is niet elke datalek meldplichtig aan betrokkene. Het Cbp geeft aan dat indien er gevoelige gegevens zijn gelekt, een melding aan betrokkene (naast die aan het Cbp zelf) noodzakelijk is. In andere gevallen, er zijn by wachtwoorden van personen buitgemaakt, lijkt het ook noodzakelijk om betrokkenen te informeren zodat ze nieuwe wachtwoorden kunnen aanmaken. Maar het voorbeeld van de ledenadministratie van de sportvereniging die gehackt wordt, is zo'n geval die niet meldplichtig lijkt. Het Cbp kan overigens, indien het van mening is dat melding aan betrokkene noodzakelijk is, maar dat nog niet is gebeurd, de gemeente opdragen alsnog de melding te doen (artikel 34a lid 7 Wbp). De melding aan een betrokkene dient ook 'onverwijld' te gebeuren. Het Cbp is hierin overigens minder strikt over de termijn dan bij de melding aan het Cbp zelf (die is immers twee werkdagen vanaf het bekend raken met het incident). Bij de afweging of een datalek aan een betrokkene moet worden gemeld dient ook te worden betrokken de algemene verplichting in het aansprakelijkheidsrecht om schade te beperken. Het melden aan de betrokkene, en het aangeven hoe de schade zoveel mogelijk beperkt kan worden (bijvoorbeeld een advies om wachtwoorden te wijzigen) is hiervan een uitvloeisel. Doet de betrokkene hier vervolgens niets mee, dan kan dat de aansprakelijkheid van de gemeente hierdoor beperkt worden, er is dan in feite sprake van `eigen schuld' van de betrokkene. 6/12

8 4. Overige zaken van belang Er moet een overzicht worden bijgehouden van alle datalekken die onder de meldplicht vallen. Aanbevolen wordt om overzichten drie jaar te bewaren. Het Cbp heeft als toezichthouder de bevoegdheid om een last onder bestuursdwang op te leggen indien de wettelijke verplichtingen niet worden nagekomen. Verder kan het Cbp een bestuurlijke boete opleggen bij overtreding van de bepaalde artikelen uit de Wbp, zo ook artikel 34a Wbp, het niet nakomen van de meldplicht. Deze boete bedraagt ten hoogste C ,-. Voordat het Cbp een boete kan opleggen, moet het eerst een bindende aanwijzing gegeven hebben. 5.Wat kan de betrokkene doen? Een burger kan schade ondervinden als gevolg van datalekken. Daartoe kan de burger de verantwoordelijke aansprakelijk stellen (artikel 49 en 50 Wbp). Zou de verantwoordelijke een bewerker hebben ingeschakeld, en is de datalek ontstaan door toedoen van de bewerker, dan kan de verantwoordelijke de schade verhalen op de bewerker. Ook kan een burger het Cbp verzoeken een onderzoek in te stellen indien hij van mening is dat de verantwoordelijke in strijd handelt met de wet (artikel 60 Wbp). Het Cbp kan hierop actie ondernemen, maar ook ambtshalve een onderzoek instellen ( bijvoorbeeld op basis van signalen van derden). Daarnaast zijn er de gebruikelijke acties die de burger kan instellen: de verantwoordelijke vragen of deze persoonsgegevens verwerkt, de verantwoordelijke verzoeken deze gegevens te verbeteren, aan te vullen, te verwijderen, of af te schermen. De gemeente als verantwoordelijke dient op deze verzoeken een besluit te nemen. Bij datalekken gaat het echter om de gevolgen van verlies en onrechtmatige verwerking als gevolg van een beveiligingsinbreuk, en niet zozeer om de vraag of de verantwoordelijke de gegevens in de eerste plaats wel mocht verwerken. Vandaar dat de gebruikelijk acties die de Wbp biedt in het geval van datalekken niet effectief zijn. 7/12

9 6. Implementatie Uit het voorafgaande mag blijken dat de wet een behoorlijke impact heeft op de organisatie van de gemeente Delft, en dat het niet voldoen aan de verplichtingen die de wet stelt grote (financiële en publicitaire) consequenties kan hebben. Daarom dient aandacht te worden besteed aan een goede implementatie van de wet. Verantwoordelijkheden De implementatie van de wet Meldplicht Datalekken wordt vooralsnog ondergebracht bij het informatiebeveiligingsbeleid en bij de daarvoor verantwoordelijke informatiebeveiligingsfunctionaris (security officer, afdeling Control). Dit in nauwe samenwerking met de juridische experts van ID, aangezien zij contactpersoon zijn voor de uitvoering van de Wbp en bij uitstek deskundig zijn op dit terrein. Onderbrengen bij informatiebeveiligingsbeleid heeft tot gevolg dat de afspraken rondom governance die in deze beleidsnota zijn geformuleerd, ook voor de datalekken worden gevolgd. Het opdrachtgeverschap voor de implementatie ligt bij de directeur ID. De wethouder voor Informatie is de verantwoordelijke bestuurder. Voor de correcte uitvoering van de wet Meldplicht Datalekken is het GMT, met het daaronder ressorterende lijnmanagement, ambtelijk verantwoordelijk en de wethouder voor Informatie bestuurlijk verantwoordelijk. Rapportage over datalekken is onderdeel van de rapportage over informatiebeveiligingsbeleid. Acties voor implementatie: Voorlichting Het herkennen van een (mogelijke) datalek in een zo vroeg mogelijk stadium is van groot belang. Daartoe zullen de medewerkers moeten worden ingelicht. Omdat bijna alle medewerkers van Delft regelmatig met persoonsgegevens werken zal de voorlichting aan een brede groep moeten worden gegeven. De medewerkers zullen moeten worden geïnstrueerd om de gevaren voor een datalek te herkennen. In december 2015 wordt een algemeen bericht verspreid. In de eerste helft van 2016 wordt intensievere voorlichting gegeven, bij voorkeur op de werkvloer Procedure Het inrichten van een procedure opdat binnen de korte tijd die beschikbaar is ( twee werkdagen vanaf het ontdekken van het 8/12

10 datalek) het oordeel kan plaats vinden of er sprake is van een datalek dat gemeld moet worden. Nu er al een procedure is vastgelegd voor het melden van beveiligingsincidenten lijkt het raadzaam om hierbij aan te sluiten. Voor de beoordeling en opvolging worden de juridische adviseurs van ID/JZ ingezet, omdat het vooral om een juridische beoordeling gaat. De beslissing om door te melden aan Cbp en andere betrokkenen ligt in eerste instantie bij de security officer, met escalatie naar het GMT (conform het informatiebeveiligingsbeleid). De procedure is per ingericht en gecommuniceerd. Melding van datalekken Vooralsnog door de juridisch adviseur JZ in zijn functie van contactpersoon CBP, in afwachting van de aan te stellen Functionaris Gegevensbescherming, die bij inwerkingtreding van de Europese Algemene Verordening gegevensbescherming ook voor de gemeente Delft verplicht wordt. Preventie, herkenning en nazorg Bij het KCC wordt bij wijze van pilot een werkwijze uitgewerkt, waarbij werkwijzen (proces en gedrag) worden doorgelicht op risico's op datalekken en een handreiking ontwikkeld kan worden voor het omgaan met datalekken bij een team. Bewerkersovereenkomsten De gemeente laat verwerking van persoonsgegevens vaak uitvoeren door derden ( bijvoorbeeld indien een applicatie draait op een server op afstand). Met deze derden ('bewerker' in de zin van de Wbp) zijn bewerkersovereenkomsten gesloten om vast te leggen op welke wijze de gegevens worden beveiligd. De bewerker zal in veel gevallen de eerste zijn die een datalek ontdekt. Het college als verantwoordelijke blijft verantwoordelijk voor de melding, zodat het zaak is nadere afspraken te maken met de bewerkers omtrent de uitvoering van de nieuwe wet, en deze in die bewerkersovereenkomsten vast te leggen. Bovendien is het zaak dat het college op de hoogte wordt gesteld van eventuele datalekken bij de bewerker. Daartoe dienen alle bewerkersovereenkomsten te worden geïnventariseerd en aangevuld. Deze actie vindt plaats in de le helft van De bewerkers wordt eind 2015 alvast verzocht om eventuele datalekken te melden. 9/12

11 Evaluatie De wet kent veel bepalingen die een nadere interpretatie vereisen waarover nog geen jurisprudentie is opgebouwd. Het Cbp heeft richtlijnen opgesteld (nog niet definitief), maar de invulling in de praktijk zal zeker nieuwe inzichten opleveren. Bovendien is niet te voorspellen hoeveel datalekken zullen ontstaan en hoeveel inzet vereist is om deze datalekken goed af te handelen. De nu voorgestelde werkwijze zal daarom medio 2016 worden geëvalueerd om te leren van de eerste ervaringen, de werkwijze zo nodig bij te stellen en een definitievere inschatting te maken van de capaciteit die nodig is voor de uitvoering. Middelen Vooralsnog is het uitgangspunt uitvoering binnen de bestaande capaciteit, met extra projectondersteuning voor een half jaar om de wet te implementeren. Op basis van de evaluatie wordt een definitieve inschatting gemaakt van de benodigde capaciteit voor de uitvoering van de wet meldplicht Datalekken. 7. Besluitvorming Voorstel is om in te stemmen met de voorgestelde wijze van implementatie van de wet Meldplicht Datalekken. De notitie wordt daarna ter kennisneming toegezonden aan de raadscommissie voor R & A aangezien in deze commissie het thema Informatiebeveiliging wordt behandeld. Voorgesteld wordt: 1) In te stemmen met de voorgestelde wijze van implementatie van de wet meldplicht Datalekken. 2) De nota ter kennisneming toe te zenden aan de raadscommissie voor Rekening en Audit 10/12

12 Bijlage 1 Artikel 34a Wbp 1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. 5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. 6. Het tweede lid is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. 7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet. 8. De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene. 9. Dit artikel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatiedienst een kennisgeving heeft gedaan als bedoeld in artikel 11.3a, eerste en tweede lid, van de Telecommunicatiewet. 11/12

13 10. Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht. 11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving. 12/12

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? Meldplicht datalekken Whitepaper Datalekken Augustus 2016 1 Begin 2016 is de Meldplicht Datalekken ingegaan. Het doel van de meldplicht

Nadere informatie

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken De Wbp is al sinds 1 september 2001 van kracht en bevat bepalingen omtrent het rechtmatig omgaan met persoonsgegevens. Op 1 januari

Nadere informatie

Protocol meldplicht datalekken Voor financiële ondernemingen

Protocol meldplicht datalekken Voor financiële ondernemingen Protocol meldplicht datalekken Voor financiële ondernemingen Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht is ook van toepassing op de financiële sector. Maar wanneer spreekt men

Nadere informatie

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje- Nassau, enz. enz. enz.

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje- Nassau, enz. enz. enz. Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht

Nadere informatie

Sta eens stil bij de Wet Meldplicht Datalekken

Sta eens stil bij de Wet Meldplicht Datalekken Sta eens stil bij de Wet Meldplicht Datalekken Wet Meldplicht Datalekken Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden)

Nadere informatie

Wet meldplicht datalekken

Wet meldplicht datalekken Wet meldplicht datalekken MKB Rotterdam Olaf van Haperen + 31 6 17 45 62 99 oh@kneppelhout.nl Introductie IE-IT specialisme Grootste afdeling van Rotterdam e.o. Technische ontwikkelingen = juridische ontwikkelingen

Nadere informatie

Melden van datalekken

Melden van datalekken Melden van datalekken Deze procedure voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wet bescherming persoonsgegevens (Wbp). Definities 1. Het kan gebeuren dat

Nadere informatie

Beleid en procedures meldpunt datalekken

Beleid en procedures meldpunt datalekken Beleid en procedures meldpunt datalekken Versie juli 2016 Inhoud: Wetgeving en kaders 3 Stichting Baasis beleid en uitgangspunten 4 Procedure/proces meldpunt datalekken 5 2 Wetgeving en kaders Meldplicht

Nadere informatie

Eerste Kamer der Staten-Generaal

Eerste Kamer der Staten-Generaal Eerste Kamer der Staten-Generaal 1 Vergaderjaar 2014 2015 33 662 Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking

Nadere informatie

Regeling meldplicht datalekken 2016

Regeling meldplicht datalekken 2016 Het dagelijks bestuur van Ferm Werk, Gelet op artikel 34a van de Wet bescherming persoonsgegevens, Besluit vast te stellen de hierna volgende Regeling meldplicht datalekken 2016 Artikel 1 Begripsomschrijvingen

Nadere informatie

WET MELDPLICHT DATALEKKEN FACTSHEET

WET MELDPLICHT DATALEKKEN FACTSHEET WET MELDPLICHT DATALEKKEN FACTSHEET Wettekst De Wet Meldplicht Datalekken introduceert onder andere een meldplicht. Dit wordt geregeld in een nieuw artikel, artikel 34a Wbp dat uit 11 leden (onderdelen)

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Inhoudsopgave 1. Wet Bescherming Persoonsgegevens 2. Wat is een datalek? 3. Wanneer moet

Nadere informatie

Help een datalek! Wat nu?

Help een datalek! Wat nu? Help een datalek! Wat nu? Een aantal ervaringen uit de praktijk Tonny Plas Adviseur informatie- en ibp-beleid voor schoolbesturen in het po en vo Aanleiding Op 1 januari 2016 is er een meldplicht datalekken

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016 Iets te melden? PON-seminar- Actualiteiten Privacy Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016 2 3 Waarom moet er gemeld worden? Transparantie en schadebeperking Bewustzijn Verhogen

Nadere informatie

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT FACTSHEET: INTELLECTUEEL EIGENDOM & IT Protocol meldplicht datalekken Sinds 1 nuari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit direct

Nadere informatie

BEWERKERSOVEREENKOMST

BEWERKERSOVEREENKOMST BEWERKERSOVEREENKOMST 1. [ORGANISATIE], statutair gevestigd te [PLAATS], kantoor houdende [ADRES], ingeschreven in het handelsregister onder nummer [KVKNR], hierbij vertegenwoordigd door [DHR/MEVR] [NAAM],

Nadere informatie

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016 Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Datum: 25-04-2015 Versie: 1.1 Status: Definitief Bewerkersovereenkomst Partijen De zorginstelling, gevestigd in Nederland, die met een overeenkomst heeft gesloten in verband met het

Nadere informatie

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN? MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN? Inleiding Dat bedrijven voorzichtig moeten omgaan met gegevens van personen is niet nieuw. Sinds 1 nuari 2016 is wél nieuw de verplichting om datalekken te

Nadere informatie

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken Op 1 januari 2016 treedt de Wet Meldplicht Datalekken in werking. Het CBP heeft op 21 september

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Bewerkersovereenkomst Wet bescherming persoonsgegevens

Bewerkersovereenkomst Wet bescherming persoonsgegevens Bewerkersovereenkomst Wet bescherming persoonsgegevens behorende bij de overeenkomst Medische advisering Participatie met kenmerk 1100070198 Partijen: 1. De gemeente Utrecht, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten:

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten: Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten: vast te stellen de volgende Regeling Wet bescherming persoonsgegevens Teylingen

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling

Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens (WBP daaraan

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst 1 Bewerkersovereenkomst Wet bescherming persoonsgegevens (Wbp) bewerkersovereenkomst van de gemeente Doetinchem met de (nader in te vullen) bewerker. Het college van burgemeester en wethouders van de gemeente

Nadere informatie

Privacyreglement van De Zaak van Ermelo

Privacyreglement van De Zaak van Ermelo Privacyreglement van De Zaak van Ermelo ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet

Nadere informatie

Meldplicht Datalekken: bent u er klaar voor?

Meldplicht Datalekken: bent u er klaar voor? Meldplicht Datalekken: bent u er klaar voor? Meldplicht Datalekken: bent u er klaar voor? AANLEIDING Per 1 januari 2016 is de Meldplicht Datalekken in werking getreden. Over deze meldplicht, welke is opgenomen

Nadere informatie

gewoondoenreintegratie

gewoondoenreintegratie Privacy reglement gewoondoenreintegratie Versie 1.2 26-06-2013 ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in

Nadere informatie

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016 De Autoriteit Persoonsgegevens en de Meldplicht datalekken Alex Commandeur 18 mei 2016 Inhoud Autoriteit Persoonsgegevens Meldplicht datalekken: Wat is een datalek? Wanneer melden? Stand van zaken Autoriteit

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

Werkprogramma Meldplicht Datalekken. Handreiking

Werkprogramma Meldplicht Datalekken. Handreiking Werkprogramma Meldplicht Datalekken Handreiking Versie 1.0 Mei 2017 Over deze handreiking - Werkprogramma Meldplicht Datalekken NOREA, de beroepsorganisatie van IT-auditors Deze handreiking is uitgegeven

Nadere informatie

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene

Nadere informatie

Concept Bewerkersovereenkomst uitvoering

Concept Bewerkersovereenkomst uitvoering Concept Bewerkersovereenkomst uitvoering in het kader van het verwerken van Persoonsgegevens als bedoeld in artikel 14 Wet bescherming persoonsgegevens (Wbp) Ondergetekenden: De gemeente gemeentenaam,

Nadere informatie

Documentnummer Verkorte inhoud document

Documentnummer Verkorte inhoud document *Z03571510C6* Documentnummer : INT-16-31378 Verkorte inhoud document: De bewerkersovereenkomst regelt de informatieverstrekking die zal plaatsvinden ter uitvoering van de GR. Bewerkersovereenkomst GR schoolverzuim

Nadere informatie

Privacyreglement Potenco

Privacyreglement Potenco Privacyreglement Potenco Artikel 1 Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl Learning Analytics en de Wet bescherming persoonsgegevens Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl a.engelfriet@ictrecht.nl / 020-663 1941 Privacy en persoonsgegevens Beeld: Sunside, Flickr, CC-BY

Nadere informatie

Memo Procesbeschrijving meldplicht datalekken

Memo Procesbeschrijving meldplicht datalekken Datum 15-11-2015 Onderwerp Procesbeschrijving meldplicht datalekken Noot vooraf van CIP: in de categorie "Individuele praktijk: een toepassing bij een van de organisaties die werkt, als handreiking voor

Nadere informatie

De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp)

De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) POSTADRES Postbus 93374, 2509 AJ Den Haag TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Consultatieversie DATUM 21 september

Nadere informatie

Meldplicht Datalekken

Meldplicht Datalekken Meldplicht Datalekken Auteur(s): Project Moore in opdracht van SURF Versie: 3.0 Datum: Januari 2016 Moreelsepark 48 3511 EP Utrecht Postbus 19035 3501 DA Utrecht 088-787 30 00 admin@surfnet.nl www.surfnet.nl

Nadere informatie

Concept Bewerkersovereenkomst Basismobiliteit Achterhoek Perceel 2A: Vraagafhankelijk vervoer

Concept Bewerkersovereenkomst Basismobiliteit Achterhoek Perceel 2A: Vraagafhankelijk vervoer Concept Bewerkersovereenkomst Basismobiliteit Achterhoek Perceel 2A: Vraagafhankelijk vervoer Wet bescherming persoonsgegevens (Wbp) bewerkersovereenkomst van de gemeenten Aalten, Berkelland, Bronckhorst,

Nadere informatie

Bijlage Gegevensverwerking. Artikel 1 - Definities

Bijlage Gegevensverwerking. Artikel 1 - Definities Bijlage Gegevensverwerking Artikel 1 - Definities De namen en begrippen in deze Bijlage die met een hoofdletter worden geschreven, hebben de hiernavolgende betekenis: 1.1 Persoonsgegevens: alle informatie

Nadere informatie

(bewerkersovereenkomst) 1

(bewerkersovereenkomst) 1 Bewerkersovereenkomst in het kader van de Wet bescherming persoonsgegevens van de gemeente Gennep met de Westerbeek Consultancy Opleidingen Detacheringen B.V. Het College van Burgemeester en Wethouders

Nadere informatie

Meldplicht datalekken

Meldplicht datalekken Meldplicht datalekken Auteur(s): Project Moore in opdracht van SURF Versie: 1,0 Datum: Juli 2014 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305 admin@surfnet.nl www.surfnet.nl

Nadere informatie

Privacyreglement OCA(Zorg)

Privacyreglement OCA(Zorg) Privacyreglement OCA(Zorg) Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Bewerkersovereenkomst ARVODI-2014 Contractnummer: [ ].

Bewerkersovereenkomst ARVODI-2014 Contractnummer: [ ]. Instructie: - Teksten/bepalingen die optioneel zijn, staat voor vermeld. - Bij teksten waar OF tussen de bepalingen in staat, dient een keuze tussen de verschillende opties gemaakt te worden.

Nadere informatie

Datalekken. Presenta(e Datalekken 9 juni 2016

Datalekken. Presenta(e Datalekken 9 juni 2016 Datalekken Voorgeschiedenis 1988: Wet persoonsregistraties (Wpr) 1995: Richtlijn 95/46EG beoogt: - bescherming van persoonsgegevens en garantie van vrij verkeer van persoonsgegevens tussen lidstaten 2001:

Nadere informatie

Procedure meldplicht datalekken. Versie 1.0 Februari Procedure meldplicht datalekken Intergrip Versie 1.0

Procedure meldplicht datalekken. Versie 1.0 Februari Procedure meldplicht datalekken Intergrip Versie 1.0 Procedure meldplicht datalekken Versie 1.0 Februari 2017 1 Procesgang rondom (mogelijke) datalekken bij Intergrip B.V. 1. Inhoudsopgave 2. Doel... 3 2. Definities... 4 3. Toepassingsgebied... 6 4. Werkwijze...

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement Privacyreglement Inhoudsopgave Artikel 1 Algemene- en begripsbepalingen... 3 Artikel 2 Reikwijdte... 3 Artikel 3 Doel van de verwerking van persoonsgegevens... 4 Artikel 4 Verwerken van persoonsgegevens...

Nadere informatie

Convenant voor gegevensuitwisseling tussen Politie en beveiligingsorganisaties en organisatoren van evenementen

Convenant voor gegevensuitwisseling tussen Politie en beveiligingsorganisaties en organisatoren van evenementen Convenant voor gegevensuitwisseling tussen Politie en beveiligingsorganisaties en organisatoren van evenementen Partijen: A. De politie, het district., hierna te noemen "politie"; B..., hierna te noemen

Nadere informatie

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens Gedragscode voor Onderzoek & Statistiek Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens Inhoudsopgave 1. Considerans...3 2. Begripsbepaling...3 3. Omschrijving van de sector en toepassingsgebied...4

Nadere informatie

Bewerkersovereenkomst ARVODI-2014

Bewerkersovereenkomst ARVODI-2014 Instructie: 1 - Teksten/bepalingen die optioneel zijn, staat voor vermeld. - Bij teksten waar OF tussen de bepalingen in staat, dient een keuze tussen de verschillende opties gemaakt te worden.

Nadere informatie

Impact van de meldplicht datalekken

Impact van de meldplicht datalekken Impact van de meldplicht datalekken Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens

Nadere informatie

Gastouderbureau Alles Kids Zoetermeer Privacyreglement

Gastouderbureau Alles Kids Zoetermeer Privacyreglement Privacyreglement Inhoudsopgave 1. Begripsbepaling... 1 1.1 Persoonsgegevens... 1 1.2 Persoonsregistratie... 1 1.4 Verwerking van persoonsgegevens... 1 1.5 Verstrekken van persoonsgegevens... 1 1.6 Bestand...

Nadere informatie

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Stappenplan Algemene Verordening Gegevensbescherming (AVG) E: info@koornetwerk.nl I: www.koornetwerk.nl 1 januari 2018 A: Bartókstraat 4 6661 AT Elst The Netherlands Stappenplan Algemene Verordening Gegevensbescherming (AVG) Op 25 mei 2018 is de Algemene Verordening

Nadere informatie

MELDPLICHT DATALEKKEN

MELDPLICHT DATALEKKEN MELDPLICHT DATALEKKEN 2 WETSWIJZIGING Op 26 mei 2015 heeft EK wetsvoorstel voor de Wet meldplicht datalekken aangenomen. Sinds 1 januari 2016 in werking getreden: Nieuw in Wet bescherming persoonsgegevens

Nadere informatie

Privacyreglement CURA XL

Privacyreglement CURA XL Artikel 1. Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens (WBP) daaraan

Nadere informatie

Privacy reglement / Geheimhouding

Privacy reglement / Geheimhouding Privacy reglement / Geheimhouding Frans Hoevenaars / Thea van Zevenbergen Dit document is het privacy reglement van Anchore 2 B.V. Het is een onderdeel van het kwaliteitshandboek.. Anchore 2, Kijk vooruit

Nadere informatie

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens Gedragscode voor Onderzoek & Statistiek Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens Inhoudsopgave 1. Considerans... 3 2. Begripsbepaling... 3 3. Omschrijving van de sector en toepassingsgebied...

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Partijen de zorginstelling, gevestigd in Nederland, die met Cure4 B.V. een overeenkomst heeft gesloten in verband met het afnemen van Cure4Direct diensten, hierna te noemen Verantwoordelijke

Nadere informatie

Databeheer in de kerk

Databeheer in de kerk 1 Databeheer in de kerk Het principe Per 1 januari 2016 is de Wet Datalekken ( ) van kracht. Organisaties die persoonsgegevens verwerken zijn verplicht om inbreuken op de beveiliging te melden. Het gaat

Nadere informatie

Bewerkersovereenkomst Jouw Omgeving voor kleine praktijken: jouwhulp.nl

Bewerkersovereenkomst Jouw Omgeving voor kleine praktijken: jouwhulp.nl Bewerkersovereenkomst Jouw Omgeving voor kleine praktijken: jouwhulp.nl Versie: 17 februari 2016 Partijen, Jouw Omgeving B.V. gevestigd te Utrecht aan de Maliebaan 79, ingeschreven bij de Kamer van Koophandel

Nadere informatie

Privacyreglement Stichting Queridon taal & horeca September 2017

Privacyreglement Stichting Queridon taal & horeca September 2017 Privacyreglement Stichting Queridon taal & horeca September 2017 ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald, worden termen in dit reglement gebruikt

Nadere informatie

Procesgang rondom (mogelijke) datalekken in [naam organisatie]. Tekst die tussen [] staat moet door de organisatie zelf nog worden ingevuld.

Procesgang rondom (mogelijke) datalekken in [naam organisatie]. Tekst die tussen [] staat moet door de organisatie zelf nog worden ingevuld. PROCEDURE MELDPLICHT DATALEKKEN Procesgang rondom (mogelijke) datalekken in [naam organisatie]. Tekst die tussen [] staat moet door de organisatie zelf nog worden ingevuld. # Inhoudsopgave Pagina 1. Doel

Nadere informatie

BLAD GEMEENSCHAPPELIJKE REGELING

BLAD GEMEENSCHAPPELIJKE REGELING BLAD GEMEENSCHAPPELIJKE REGELING Officiële uitgave van de gemeenschappelijke regeling Werk en Inkomen Lekstroom Nr. 539 18 september 2017 Reglement Bescherming persoonsgegevens Werk en Inkomen Lekstroom

Nadere informatie

1. Aanhef Dit reglement is voor KBS De Plataan, gevestigd te Meppel, Vledderstraat 3 E, 7941LC. 2. Definities

1. Aanhef Dit reglement is voor KBS De Plataan, gevestigd te Meppel, Vledderstraat 3 E, 7941LC. 2. Definities Privacy regelement KBS De Plataan 1. Aanhef Dit reglement is voor KBS De Plataan, gevestigd te Meppel, Vledderstraat 3 E, 7941LC. 2. Definities Persoonsgegevens Verwerking van persoonsgegevens Bijzonder

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Nieuwsbrief. Privacy en bescherming van persoonsgegevens. Inhoud

Nieuwsbrief. Privacy en bescherming van persoonsgegevens. Inhoud Jan 2012 Jaargang 2 Nieuwsbrief Privacy en bescherming van persoonsgegevens Inhoud Wijziging van de Wet bescherming persoonsgegevens: -Gebruik camerabeelden; -Meldplicht datalekken. Wanneer dient een datalek

Nadere informatie

Privacyreglement Work4People Privacyreglement

Privacyreglement Work4People Privacyreglement Privacyreglement VERWERKING PERSOONSGEGEVENS $ 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad

Nadere informatie

REGLEMENT PERSOONSGEGEVENS NHV INHOUDSOPGAVE:

REGLEMENT PERSOONSGEGEVENS NHV INHOUDSOPGAVE: REGLEMENT PERSOONSGEGEVENS NHV INHOUDSOPGAVE: Artikel 1: Begripsbepalingen Artikel 2: Het Reglement Artikel 3: Uitgangspunten voor het verwerken van persoonsgegevens Artikel 4: Verzet Artikel 5: Inzage

Nadere informatie

Datalekken: de meldplicht komt eraan

Datalekken: de meldplicht komt eraan Datalekken: de meldplicht komt eraan Datalekken zijn gevallen van verlies, diefstal of misbruik van persoonsgegevens (Regeerakkoord 2010) Inleiding Datalekken halen steeds vaker het nieuws. Grote recente

Nadere informatie

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Model Bewerkersovereenkomst Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Testmedia verwerkt Persoonsgegevens voor en in opdracht van de Klant. Testmedia

Nadere informatie

In vier stappen voldoen aan de meldplicht datalekken

In vier stappen voldoen aan de meldplicht datalekken In vier stappen voldoen aan de meldplicht datalekken dfg WHITEPAPER Datum ID Nummer 20 september 2012 12015 Auteur(s) mr. dr. A.H. (Anton) Ekker Samenvatting De Nederlandse overheid en de Europese Commissie

Nadere informatie

Privacyreglement Edese Schoolvereniging

Privacyreglement Edese Schoolvereniging Privacyreglement Edese Schoolvereniging 1. Aanhef Dit reglement is voor de Edese Schoolvereniging, gevestigd te Ede Zuidelijke Spoorstraat 8 6711 NN Ede 0318-615959 www.edeseschoolvereniging.nl info@esvede.nl

Nadere informatie

PRIVACY REGLEMENT - 2015

PRIVACY REGLEMENT - 2015 PRIVACY REGLEMENT - 2015 Jasnante re-integratie onderdeel van Jasnante Holding B.V. (kvk nr. 52123669 ) gevestigd aan de Jacob van Lennepkade 32-s, 1053 MK te Amsterdam draagt zorg voor de geheimhoudingsverplichting

Nadere informatie

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder: Privacyreglement Spoor 3 BV Artikel 1. Begripsbepalingen Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder: de wet: de Wet bescherming persoonsgegevens (Wbp) het reglement:

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Dit is een voorbeeld van een Bewerkersovereenkomst zoals gegenereerd met de Bewerkersovereenkomst generator van ICTRecht: https://ictrecht.nl/diensten/juridische-generatoren/bewerkersovereenkomstgenerator/

Nadere informatie

Datum: 20 april Auteur: Jan Vermeulen/Karin Melger. Status: Definitief t.b.v. bestuur. Directie / Bestuur / GMR / Raad van Toezicht.

Datum: 20 april Auteur: Jan Vermeulen/Karin Melger. Status: Definitief t.b.v. bestuur. Directie / Bestuur / GMR / Raad van Toezicht. Privacy reglement voorloper - Het privacyreglement is wettelijk niet verplicht. Het geeft de school wel een basis om privacy goed te regelen en dit inzichtelijk te maken voor medewerkers en ouders. De

Nadere informatie

PRIVACY & DATALEKKEN

PRIVACY & DATALEKKEN PRIVACY & DATALEKKEN Die boetes zitten er aan te komen Aleid Wolfsen, Voorzitter Autoriteit Persoonsgegevens (9 oktober 2016) Impact datalekken AshleyMadison.com Life is short have an affair NAW 37 miljoen

Nadere informatie

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.) Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.) 1. Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare

Nadere informatie

Privacyreglement en internet gebruik

Privacyreglement  en internet gebruik opgericht 1 augustus 1932 Privacyreglement e-mail en internet gebruik Gemaakt door : Marcel van Vuuren Gemaakt op : donderdag 29 mei 2008 Versie : 29052008_v1.0 Inhoudsopgave Inleiding... 3 Definities,

Nadere informatie

Actualiteiten Privacy. NGB Extra

Actualiteiten Privacy. NGB Extra Actualiteiten Privacy NGB Extra April 2015 Wat heeft het wetsvoorstel meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP voor implicaties voor de praktijk? Wat is er recent veranderd

Nadere informatie

Artikel 2 Reikwijdte 2.1 Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Flevotaal.

Artikel 2 Reikwijdte 2.1 Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Flevotaal. Artikel 1. Algemene begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens (WBP) daaraan

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp)

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 46128 16 december 2015 De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing

Nadere informatie

004 Privacyreglement

004 Privacyreglement 004 Privacyreglement toelichting reglement Inhoudsopgave Artikel 1. Begripsomschrijvingen 2 Artikel 2. Bekendmaking privacyreglement 2 Artikel 3. Reikwijdte 3 Artikel 4. Opname van persoonsgegevens in

Nadere informatie

Juridische blik op: hacking en bescherming van persoonsgevens. Nieuwe wetgeving op komst!

Juridische blik op: hacking en bescherming van persoonsgevens. Nieuwe wetgeving op komst! Juridische blik op: hacking en bescherming van persoonsgevens Nieuwe wetgeving op komst! Het kan de beste overkomen In het nieuws: database piloten EASA wil database gegevens gezondheid van piloten 20

Nadere informatie

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Meldplicht datalekken Thomas van Essen. 31 maart 2016 Meldplicht datalekken Thomas van Essen 31 maart 2016 Agenda Kort juridisch kader Bespreking aandachtspunten en mogelijke valkuilen Oplossingen Datalekken (I) Antoni van Leeuwenhoek 780 patiëntgegevens

Nadere informatie

Versie Privacyreglement. van Gilde Educatie activiteiten BV

Versie Privacyreglement. van Gilde Educatie activiteiten BV Versie 02-01-2017 Privacyreglement van Gilde Educatie activiteiten BV 2 ARTIKEL 1 ALGEMENE EN BEGRIPSBEPALINGEN 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald, worden termen in dit reglement gebruikt

Nadere informatie

8.50 Privacyreglement

8.50 Privacyreglement 1.0 Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; 2. Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben

Nadere informatie

Wet Bescherming Persoonsgegevens Meldplicht Datalekken

Wet Bescherming Persoonsgegevens Meldplicht Datalekken Wet Bescherming Persoonsgegevens Meldplicht Datalekken juni 2016 1 Nieuwsberichten Dieven stelen gegevens kankerpatiënten Antoni van Leeuwenhoek (DMCC, 3 maart 2016) Dieven hebben een onbeveiligde harde

Nadere informatie

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken 04-11-2013 Bieneke Braat Alle rechten voorbehouden, niet openbaar maken zonder toestemming. 1 Legaltree: Advocatenkantoor

Nadere informatie

Privacy proof organisatie? Okkerse & Schop Advocaten biedt u een juridische Privacy QuickScan

Privacy proof organisatie? Okkerse & Schop Advocaten biedt u een juridische Privacy QuickScan Privacy proof organisatie? Okkerse & Schop Advocaten biedt u een juridische Privacy QuickScan TOEPASSELIJKHEID Wet Bescherming Persoonsgegevens Vraag 1 Vraag 2 Verwerkt 1) u persoonsgegevens 2) voor uitsluitend

Nadere informatie

Lunch & Learn Datalekken en Safe Harbor

Lunch & Learn Datalekken en Safe Harbor Lunch & Learn Datalekken en Safe Harbor Peter Kager, juridisch adviseur ICTRecht 18 februari 2016 p.kager@ictrecht.nl 020 663 1941 Programma Introductie Wet bescherming persoonsgegevens Datalekken Melden

Nadere informatie

Impuls Kindercampus PRIVACYREGLEMENT

Impuls Kindercampus PRIVACYREGLEMENT 1 Impuls Kindercampus PRIVACYREGLEMENT VOOR DE VERWERKING VAN KLANTGEGEVENS Treedt in werking: d.d. 1 maart 2017 2 1. Begripsbepalingen 1. Impuls Kindercampus: de stichting Welzijn Westelijke Tuinsteden

Nadere informatie