Afdeling Juridische Zaken

Transcriptie

1 TBI DATALEK PROTOCOL Procedure melden datalekken persoonsgegevens Dit Protocol is van toepassing op alle Medewerkers* die gebruik maken van en toegang hebben tot TBI Persoonsgegevens en/of TBI Systemen. Medewerkers moeten zich houden aan en handelen in overeenstemming met dit Protocol. In dit Protocol wordt uitgelegd wat een Datalek is en welke stappen moeten worden ondernomen in het geval een (potentieel) Datalek zich voordoet. Kort gezegd laat dit zich als volgt weergeven: Medewerker Meldt Datalek zo spoedig mogelijk, doch in ieder geval binnen 12 uur na ontdekking aan TBI Meldpunt Datalek 1. Operator TBI Meldpunt Datalek vult samen met Medewerker formulier in (zie bijlage 2); 2. Operator TBI Meldpunt Datalek Informeert de drie partijen hieronder. TBI Meldpunt Datalek TBI Toezichthouder 1. Registreert het gemelde (potentiële) Datalek in intern meldingsregister; 2. Voert desgevraagd overleg met de Afdeling Juridische Zaken. (is Datalek in de zin van de wet? Dient het Datalek te worden gemeld aan Autoriteit en/of Betrokkenen?); 3. Doet op verzoek van statutaire directie de daadwerkelijke melding(en) aan Autoriteit (en Betrokkenen); 4. Bewaart de gegevens terzake een gemeld Datalek gedurende drie (3) jaar. Afdeling Juridische Zaken 1. Voert desgewenst overleg met TBI Toezichthouder (is Datalek een datalek in de zin van de Wet? Dient het Datalek te worden gemeld aan Autoriteit en/of Betrokkenen?); 2. Adviseert aan de statutaire directie over eventuele melding aan Autoriteit (en aan Betrokkenen). Statutaire directie 1. Bepaalt m.i.v. ingewonnen advies of Datalek moet worden gemeld aan Autoriteit en/of aan Betrokkenen. 2. Geeft in voorkomend geval TBI Toezichthouder opdracht een melding aan Autoriteit (en aan Betrokkenen) te doen. * Zie voor het overzicht van de gebruikte definities bijlage 1 bij dit Protocol. 1

2 Opbouw van dit Protocol Dit Protocol is opgebouwd uit de volgende vijf delen: Algemeen deel (p. 3-4): In dit deel staat beschreven wat de achtergrond en het doel is van dit Protocol. Ook staat beschreven wat de consequenties (kunnen) zijn van een overtreding van dit Protocol. Tevens worden in dit deel de regels met betrekking tot het gebruik beschreven. Deel A (p. 5-6): In Deel A staat een stapsgewijze uitleg over het voorkomen en/of het herkennen van een Datalek en de actiepunten die moeten worden ondernomen op het moment dat een (potentieel) Datalek wordt geconstateerd. Deel B (p. 7): dit gedeelte is specifiek van toepassing op het TBI Meldpunt Datalek. In Deel B staat beschreven welke acties het TBI Meldpunt Datalek dient te nemen wanneer zij op de hoogte is gesteld van een (potentieel) Datalek. Deel C (p. 8-15): dit gedeelte is relevant voor (i) de Afdeling Juridische Zaken, (ii) de TBI Toezichthouders en (iii) de statutaire directies van de TBIondernemingen. In dit Deel C staat beschreven welke acties deze partijen in voorkomend geval moeten ondernemen (en binnen welke termijnen) in het geval zij op de hoogte zijn gebracht van een (potentieel) Datalek. Bijlagen (p ). 2

3 ALGEMEEN DEEL I. ACHTERGROND VAN DIT PROTOCOL Per 1 januari 2016 geldt een meldplicht voor Datalekken in Nederland. Deze meldplicht houdt in dat de TBI-onderneming een melding moet doen bij de Autoriteit op het moment dat zich binnen haar onderneming een Datalek heeft voorgedaan en dit Datalek ernstige negatieve gevolgen voor de bescherming van de TBI Persoonsgegevens heeft of kan hebben. In sommige gevallen kan de TBI-onderneming daarnaast ook nog eens verplicht zijn om alle Betrokkenen te informeren over het Datalek. Een Datalek kan ernstige gevolgen hebben voor de Betrokkenen, maar ook voor de TBIonderneming zelf. Denk hierbij bijvoorbeeld aan reputatie- of imagoschade, verlies van klanten, het opgelegd krijgen van (hoge) boetes etc. Door adequate technologische en organisatorische beveiligingsmaatregelen te treffen probeert de TBI-onderneming te voorkomen dat een Datalek plaatsvindt. Zo beveiligt de TBI-onderneming de TBI Persoonsgegevens tegen verlies, diefstal en ongeoorloofd gebruik door middel van technische beveiligingsmaatregelen van haar TBI Systemen en door het opstellen van regels en procedures over de omgang met TBI Persoonsgegevens. Zo zal iedere Medewerker bij het omgaan met TBI Persoonsgegevens en TBI Systemen de volgende regels in acht dienen te nemen: een Medewerker mag slechts een privé laptop, USB drive, tablet of ander apparaat gebruiken voor het inzien van TBI Persoonsgegevens indien (i) het niet mogelijk is om gebruik te maken van systemen die zijn verstrekt of ter beschikking zijn gesteld door een TBI-onderneming en (ii) dergelijk gebruik noodzakelijk is in het kader van de werkzaamheden van de Medewerker; In geen enkel geval zal een Medewerker TBI Persoonsgegevens (door)sturen naar of via zijn/haar persoonlijke adres; Voor het verzenden van TBI Persoonsgegevens zal een Medewerker géén algemeen beschikbare internetdiensten zoals DropBox, WeTransfer, WhatsApp gebruiken; Het is een Medewerker niet toegestaan om wachtwoorden en inloggegevens met anderen te delen, ook niet met andere Medewerkers; Een Medewerker dient nooit s te openen waarvan de inhoud of de verzender twijfelachtig of onbetrouwbaar is of lijkt. Een Medewerker zal ook niet klikken op links naar onbekende websites en/of websites die onbetrouwbaar zijn of lijken. 3

4 Mocht er ondanks de reeds getroffen maatregelen toch sprake zijn van een (potentieel) Datalek, dan is het cruciaal dat de TBI-onderneming daar snel en adequaat op kan reageren. De TBI-onderneming moet daarvoor zo snel mogelijk kunnen beschikken over alle relevante informatie over het Datalek. Alleen op die manier kan de TBI-onderneming voldoen aan de wettelijke verplichting om tijdig (!) een Datalek te melden aan de Autoriteit en (onder omstandigheden) aan de Betrokkenen. De Autoriteit kan in het geval dat de meldplicht niet wordt nageleefd of indien er onzorgvuldig wordt omgegaan met persoonsgegevens, hoge boetes opleggen. II. DOEL VAN DIT PROTOCOL Het doel van dit Protocol is om ervoor te zorgen dat de TBI-onderneming (tijdig) kan voldoen aan haar wettelijke meldplicht. De TBI-onderneming moet erop voorbereid zijn om adequaat te reageren op verlies, diefstal, onrechtmatige toegang, gebruik en openbaarmaking van TBI Persoonsgegevens en TBI Systemen. Dit Protocol bevat specifieke richtsnoeren om de TBI-onderneming en haar Medewerkers voor te bereiden op een Datalek en de verplichting om een Datalek te melden. Dit Protocol gaat daarbij nader in op de volgende vragen: (i) (ii) (iii) (iv) (v) III Welke regels gelden er binnen de TBI-onderneming met betrekking tot de omgang met TBI Persoonsgegevens en TBI Systemen? Wanneer is er sprake van een (potentieel) Datalek? Wat moet er gebeuren indien een Datalek wordt geconstateerd (aan wie moet worden gemeld, welke informatie moet worden verstrekt en binnen welke termijn dient dit te gebeuren)? Wanneer dient een Datalek te worden gemeld aan de Autoriteit en welke informatie moet in dat verband worden verstrekt? Wanneer dient een Datalek te worden gemeld aan de Betrokkenen en op welke wijze dient dit te gebeuren? OVERTREDING VAN DIT PROTOCOL Een overtreding van dit Protocol kan leiden tot disciplinaire maatregelen en/of arbeidsrechtelijke sancties. Bovendien behoudt de betreffende TBI-onderneming zich het recht voor om in geval van overtreding van dit Protocol (rechts)maatregelen te treffen om herhaling te voorkomen. 4

5 DEEL A I Wanneer is er sprake van een (potentieel) Datalek? Er is sprake van een Datalek indien TBI Persoonsgegevens verloren zijn, ongeoorloofd zijn vernietigd dan wel zijn gestolen of door onbevoegde personen zijn ingezien, meegenomen of gebruikt. Er is eveneens sprake van een Datalek indien de TBI Systemen door onbevoegden zijn ingezien of gebruikt of indien de TBI Persoonsgegevens en/of de TBI Systemen voor ongeoorloofde doeleinden zijn gebruikt. Voorbeelden van Datalekken zijn: (a) Verlies of diefstal van laptops, USB sticks, mobiele telefoons of dossiers (zowel hardcopy als digitale dossiers) waar TBI Persoonsgegevens op/in staan; (b) Het constateren dat een onbevoegd persoon (dit kan ook een Medewerker zijn) toegang heeft tot TBI Persoonsgegevens of de TBI Systemen; (c) Het verzenden van een met TBI Persoonsgegevens aan een onjuiste ontvanger of een onjuist adres (intern of extern); (d) Het verzenden van een aan een groep geadresseerden, waarbij alle e- mailadressen onbedoeld voor alle geadresseerden zichtbaar zijn (en het dus niet de bedoeling was dat de geadresseerden elkaars adres zouden zien); (e) Het publiceren van TBI Persoonsgegevens op sociale media; (f) Verlies of diefstal van inloggegevens (gebruikersnaam en wachtwoord) of onbevoegde inzage van inloggegevens, waardoor toegang kan worden verkregen tot TBI Persoonsgegevens of de TBI Systemen; (g) (Poging tot) een hack door het gebruik van of internet, bijvoorbeeld door ontvangst van een phishing bericht of een met vreemde bijlagen of hyperlinks; (h) Een virus op een laptop, computer, mobiele telefoon of tablet; (i) Verlies of diefstal van de toegangspas van een kantoorpand van de TBIonderneming; (j) Verlies van TBI Persoonsgegevens omdat een verzonden pakket / niet is aangekomen bij de geadresseerde; (k) Constatering door de IT-afdeling van een hack van de TBI Systemen. II Melden van een (potentieel) Datalek Medewerkers spelen een cruciale rol bij het in staat stellen van de TBI-onderneming om snel en adequaat te reageren op een Datalek. Medewerkers dienen ieder Datalek en ieder vermoeden van een Datalek onmiddellijk te melden. Ook bij twijfel of een incident kwalificeert als een Datalek, of bij het vermoeden dat iemand anders (mogelijk) een Datalek heeft veroorzaakt, dient een Medewerkers altijd over te gaan tot een melding. 5

6 De Medewerker hoeft zelf niet te beoordelen of een (potentieel) Datalek een datalek is in de zin van de Wet die door de TBI-onderneming gemeld moet worden aan de Autoriteit en/of aan Betrokkenen. Die beslissing is bij uitsluiting voorbehouden aan de statutaire directie van de TBI-onderneming, waar het (potentiële) Datalek zich heeft voorgedaan. III Wanneer moet er worden gemeld? Elke Medewerker dient een Datalek of een vermoeden van een Datalek zo spoedig mogelijk te melden, maar in ieder geval uiterlijk binnen twaalf (12) uur na ontdekking van (een vermoeden van) een Datalek door de Medewerker of nadat de Medewerker van een (potentieel) Datalek op de hoogte is geraakt. IV Wat en aan wie moet er worden gemeld? Iedere Medewerker dient een Datalek of een vermoeden van een Datalek te melden aan het TBI Meldpunt Datalek dat iedere dag van de week en vierentwintig uur per dag bereikbaar is op het speciaal daarvoor bestemde telefoonnummer:

7 DEEL B TAKEN EN VERANTWOORDELIJKHEDEN TBI MELDPUNT DATALEK Zodra het TBI Meldpunt Datalek een melding van een Datalek heeft ontvangen, vult de dienstdoende operator van het TBI Meldpunt Datalek aan de hand van de hem door de meldende Medewerker verstrekte informatie het formulier melding datalek (bijgevoegd bij dit Protocol als bijlage 2) zo volledig mogelijk in. De Medewerker zal zijn medewerking verlenen aan het zo volledig mogelijk beantwoorden van vragen van de operator van het TBI Meldpunt Datalek in het kader van het gemelde Datalek. Zodra het formulier melding datalek zo volledig mogelijk is ingevuld, verstrekt het TBI Meldpunt Datalek het ingevulde formulier per gelijktijdig aan: - de Afdeling Juridische Zaken; - de TBI Toezichthouder van de TBI-onderneming waar het Datalek betrekking op heeft; en - de statutaire directie van de TBI-onderneming waar het Datalek betrekking op heeft 1. Het TBI Meldpunt Datalek zorgt ervoor dat deze zo snel mogelijk, maar uiterlijk binnen twaalf (12) uur nadat het (potentiële) Datalek is gemeld bij het TBI Meldpunt Datalek, aan de bovenstaande partijen wordt verzonden. Indien het formulier melding datalek binnen dit tijdsbestek nog niet volledig is ingevuld, verstrekt het TBI Meldpunt Datalek alle relevante informatie over het Datalek die het TBI Meldpunt Datalek tot dat moment heeft ontvangen aan de drie bovenstaande partijen. Het TBI Meldpunt Datalek verstrekt het volledig ingevulde formulier melding datalek en eventuele aanvullende informatie zo spoedig mogelijk daarna aan alle drie bovengenoemde partijen. 1 De betreffende adressen van respectievelijk Afdeling Juridische Zaken, TBI Toezichthouders en de leden van de statutaire directies zijn bekend bij het TBI Meldpunt Datalek. 7

8 DEEL C In dit Deel C van het Protocol wordt beschreven wat de kaders zijn waarbinnen (i) de Afdeling Juridische Zaken, (ii) de betreffende TBI Toezichthouder en (iii) de betreffende statutaire directie van de TBI-onderneming dienen te opereren, zodra zij door het TBI Meldpunt Datalek op de hoogte worden gesteld van een Datalek. De volgende onderwerpen / stappen komen aan bod: 1) Kwalificeert een Datalek als datalek in de zin van de Wet? 2) Dient een melding te worden gemaakt aan de Autoriteit? En zo ja, hoe, wanneer en door wie? 3) Dient een melding te worden gemaakt aan de Betrokkenen? En zo ja, hoe, wanneer en door wie? 4) Bijhouden van een intern meldingsregister (door wie, en wat moet hierin staan?). I KWALIFICATIE VAN HET GEMELDE DATALEK Zo spoedig mogelijk na de ontvangst van het formulier melding datalek zal beoordeeld moeten worden of: (i) (ii) (iii) het Datalek kwalificeert als een datalek in de zin van de Wet; het Datalek moet worden gemeld aan de Autoriteit; en het Datalek moet worden gemeld aan de Betrokkene(n). De bovenstaande beoordeling vindt plaats aan de hand van de Beleidsregels en dit Protocol en dient uiterlijk binnen twaalf (12) uur na ontvangst van het formulier meldplicht datalek te zijn afgerond. ad (i) Kwalificeert het Datalek als een datalek in de zin van de Wet? De Afdeling Juridische Zaken beantwoordt de vraag of een Datalek kwalificeert als een datalek in de zin van de Wet al dan niet na gezamenlijk overleg met de betreffende TBI Toezichthouder, aan de hand van de volgende drie vragen: (a) Is er een inbreuk op de beveiligingsmaatregelen? De eerste vraag die moet worden beantwoord is of er een inbreuk heeft plaatsgevonden op de technische en organisatorische beveiligingsmaatregelen van de TBI-onderneming. Een inbreuk op de beveiligingsmaatregelen moet zich daadwerkelijk hebben voorgedaan. Een dreiging van een inbreuk is onvoldoende. De preventieve maatregelen die de TBI-onderneming heeft getroffen om een inbreuk te voorkomen moeten niet toereikend zijn geweest om een inbreuk te voorkomen. 8

9 Voorbeelden van een inbreuk op de beveiligingsmaatregelen zijn: (i) een kwijtgeraakte USB-stick; (ii) een gestolen laptop; (iii) een inbraak door een hacker; (iv) een malware besmetting; en (v) een calamiteit (zoals een brand in een datacentrum). (b) Zijn bij de inbreuk TBI Persoonsgegevens verloren gegaan? Een aanwijzing dat sprake is van een Datalek, is dat bij een inbreuk op de beveiligingsmaatregelen TBI Persoonsgegevens verloren zijn gegaan. TBI Persoonsgegevens moeten daadwerkelijk niet meer beschikbaar zijn. Indien bijvoorbeeld door een inbreuk wel TBI Persoonsgegevens vernietigd zijn, maar de TBI-onderneming nog over een reserve-kopie beschikt van de TBI Persoonsgegevens, is er geen sprake van een datalek in de zin van de Wet. (c) Kan redelijkerwijs worden uitgesloten dat er TBI Persoonsgegevens onrechtmatig verwerkt zijn? Als redelijkerwijs niet kan worden uitgesloten dat een inbreuk op de beveiligingsmaatregelen tot een onrechtmatige verwerking heeft geleid, dan moet het Datalek beschouwd worden als een datalek in de zin van de Wet. Onder onrechtmatige verwerking wordt bijvoorbeeld verstaan onbevoegde kennisname, wijziging of verstrekking van TBI Persoonsgegevens. Het stroomschema dat als bijlage 3 aan dit Protocol is gehecht, kan gebruikt worden als ondersteuning bij de beoordeling of een Datalek kwalificeert als een datalek in de zin van de Wet en/of er in het voorkomende geval ook gemeld moet worden aan de Autoriteit en eventueel aan de Betrokkene(n). ad (ii) moet het Datalek gemeld worden aan de Autoriteit? Indien is vastgesteld dat het Datalek kwalificeert als datalek in de zin van de Wet, dient vervolgens te worden vastgesteld of het Datalek moet worden gemeld aan de Autoriteit. De Afdeling Juridische Zaken verstrekt hierover een advies aan de statutaire directie van de desbetreffende TBI-onderneming. Deze statutaire directie beslist vervolgens of de melding aan de Autoriteit ook daadwerkelijk zal plaatsvinden. Beoordelingscriteria Het Datalek wordt aan de Autoriteit gemeld in het geval dat het Datalek (waarschijnlijk) ernstige negatieve gevolgen heeft voor de bescherming van de TBI Persoonsgegevens. Als de TBI Persoonsgegevens van gevoelige aard zijn, is dat het geval. Per geval wordt beoordeeld of er sprake is van TBI Persoonsgegevens van gevoelige aard. Daarvan is in ieder geval sprake bij: bijzondere persoonsgegevens in de zin van de Wet (zoals persoonsgegevens over iemands godsdienst, ras, politieke gezindheid, seksuele leven, lidmaatschap van een vakvereniging, gezondheid en strafrechtelijke gegevens); 9

10 gegevens over de financiële of economische situatie van de Betrokkene(n); Hieronder vallen bijvoorbeeld gegevens over schulden, inkomstenbronnen, investeringen, salarisgegevens en betalingsgegevens. gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene(n); Hieronder vallen bijvoorbeeld gegevens over werkprestaties, relatieproblemen en verslavingen. gebruikersnamen, wachtwoorden en andere inloggegevens; De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen. gegevens die kunnen worden gebruikt voor identiteitsfraude, zoals Burgerservicenummers. Het gaat hierbij om biometrische gegevens, kopieën van identiteitsbewijzen en Burgerservicenummers. Ook indien de TBI Persoonsgegevens niet vallen onder één van de bovenstaande categorieën, kan het Datalek ernstige negatieve gevolgen hebben voor de bescherming van de TBI Persoonsgegevens, gelet op de aard en de omvang van de TBI Persoonsgegevens. In dat kader zijn de volgende overwegingen relevant: Naarmate het aantal TBI Persoonsgegevens of de groep Betrokkenen waarop het Datalek invloed heeft groter wordt, worden de TBI Persoonsgegevens aantrekkelijker voor misbruik. Bij datalekken kan het gaan om veel persoonsgegevens per persoon en om gegevens van grote groepen betrokkenen. Deze beide factoren maken een gelekte dataset aantrekkelijk voor misbruik in het criminele circuit of om door te verkopen, met als gevolg dat betrokkenen langer last houden van het datalek. Naarmate de beslissingen die op basis van de TBI Persoonsgegevens worden genomen ingrijpender zijn, is ook de impact van verlies of onrechtmatige verwerking groter. Bijvoorbeeld: als een organisatie financiële gegevens gebruikt om iemands kredietwaardigheid te bepalen zijn de gevolgen van verlies en onbevoegde wijziging ingrijpender dan bij gebruik van dezelfde gegevens voor marketingdoeleinden. Indien de getroffen TBI Persoonsgegevens worden gebruikt in een keten van dienstverleners, is het moeilijker om de mogelijke gevolgen van het Datalek te overzien en is de impact van het Datalek groter. Bepaalde vormen van Datalekken brengen een groter risico op misbruik met zich (bijvoorbeeld een hack). Hieronder is een stroomschema weergegeven dat kan worden gebruikt bij de beoordeling of een Datalek moet worden gemeld aan de Autoriteit: 10

11 Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit: Een Medewerker verliest een laptop met onversleutelde financiële klantgegevens; Een TBI-onderneming krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een envelop met salarisgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid; De versleutelde laptop van een Medewerker is uit zijn auto gestolen. Financiële gegevens van 500 Medewerkers waren betrokken. Hoewel het wachtwoord niet gecompromitteerd is, is er geen back-up van de gegevens voorhanden; en Bij een TBI-onderneming zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Aldus kunnen van 50 personen naam, adres en salarisgegevens worden ingezien. Voorbeeld van datalekken die niet moeten worden gemeld aan de Autoriteit: Een brief met daarin persoonsgegevens van een Medewerker wordt naar een foutief adres gestuurd en wordt zichtbaar ongeopend retour gezonden; en Een Medewerker laat een koffer met daarin TBI Persoonsgegevens liggen in de trein. De koffer is voorzien van een deugdelijk slot en wordt diezelfde avond opgehaald door de Medewerker bij gevonden voorwerpen. De koffer is nog op slot. melding aan de Autoriteit Als de statutaire directie heeft vastgesteld dat het Datalek moet worden gemeld aan de Autoriteit, dan geeft de statutaire directie onverwijld opdracht aan de TBI Toezichthouder van de desbetreffende TBI-onderneming om deze melding te doen. 11

12 De statutaire directie en de TBI Toezichthouder zorgen ervoor dat het Datalek uiterlijk binnen 72 uur nadat het Datalek is ontdekt aan de Autoriteit is gemeld. De melding aan de Autoriteit geschiedt door het invullen van het meldingsformulier op de website van de Autoriteit: Dit meldingsformulier is te vinden in Bijlage 4 bij dit Protocol. Het meldingsformulier wordt door de TBI Toezichthouder eventueel in overleg met de Afdeling Juridische Zaken ingevuld en ingediend. Indien binnen dit tijdsbestek nog niet alle relevante informatie over het Datalek beschikbaar is, kan de statutaire directie besluiten het Datalek desalniettemin pro forma aan de Autoriteit te melden. De melding omvat in ieder geval informatie over: de aard van het Datalek en de inbreuk op de beveiligingsmaatregelen; waar er meer informatie over de inbreuk kan worden verkregen; de aanbevolen maatregelen om de negatieve gevolgen van het Datalek te beperken; of en wanneer de TBI-onderneming voornemens is de Betrokkene(n) te informeren; en de geconstateerde en de vermoedelijke gevolgen van het Datalek voor de TBI Persoonsgegevens en de maatregelen die de TBI-onderneming heeft getroffen of voorstelt om te treffen om die gevolgen te verhelpen. Indien en zodra er nieuwe informatie of details over het Datalek bekend worden nadat de melding aan de Autoriteit is gedaan, wijzigt de TBI Toezichthouder de gedane melding of vult deze aan. ad (iii) moet het Datalek gemeld worden aan de Betrokkene(n)? Indien de TBI Toezichthouder en de Afdeling Juridische Zaken hebben vastgesteld dat het Datalek kwalificeert als datalek in de zin van de Wet, dient ook te worden vastgesteld of het Datalek moet worden gemeld aan de Betrokkene(n). Daarbij zijn de antwoorden op de volgende vragen van belang: (a) Bieden de technische maatregelen die de TBI-onderneming heeft genomen voldoende bescherming om de melding aan de Betrokkene(n) achterwege te laten? Indien de TBI-onderneming passende maatregelen (zoals encryptie en hashing) heeft genomen waardoor de TBI Persoonsgegevens die getroffen zijn door het Datalek onbegrijpelijk of ontoegankelijk zijn voor onbevoegde kennisname, hoeft het Datalek niet te worden gemeld aan de Betrokkene(n). Hiervan is bijvoorbeeld sprake indien de TBI Persoonsgegevens op afstand kunnen worden gewist van een gestolen mobiele telefoon, voordat onbevoegde toegang tot de laptop is verkregen. 12

13 Deze vraag dient te worden beantwoord aan de hand van de Beleidsregels en er dient een strenge toets te worden toegepast. Indien er twijfel is over de geschiktheid van de getroffen technische maatregelen, dient het Datalek te worden gemeld aan de Betrokkene(n). Een voorbeeld van een geval waarin melding aan Betrokkenen achterwege kan blijven: Een TBI- Medewerker laat zijn telefoon liggen in de trein. De telefoon bevat de namen, adresgegevens en -adressen van 1000 klanten van TBI. De telefoon wordt op afstand gewist (remote wiping) door TBI en TBI ontvangt een bevestiging dat het wissen op afstand is geslaagd. Door middel van logbestanden kan TBI ook uitsluiten dat er tussen het moment van het verlies van de telefoon en het wissen van de telefoon op afstand, geen poging is gedaan tot onbevoegde toegang tot de (gegevens op de) telefoon. De melding aan betrokkenen kan achterwege worden gelaten omdat de persoonsgegevens die het betreft door passende technische maatregelen ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. (b) Zal het Datalek waarschijnlijk nadelige gevolgen hebben voor de persoonlijke levenssfeer van de Betrokkene(n)? Het Datalek moet worden gemeld aan de Betrokkene(n) indien het Datalek naar alle waarschijnlijkheid nadelige gevolgen heeft voor de persoonlijke levenssfeer van de Betrokkene(n). Indien er TBI Persoonsgegevens van gevoelige aard zijn getroffen door het Datalek, moet het Datalek worden gemeld aan de Betrokkene(n). Een voorbeeld: Bij een TBI-onderneming waren persoonsgegevens ongeoorloofd ingezien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 Medewerkers konden naam, adres, Burgerservicenummer en formulieren met beoordelingsgegevens worden ingezien. Als de aanvaller buitgemaakte gegevens op internet zet kan dat er bijvoorbeeld toe leiden dat betrokkenen moeilijker een baan kunnen vinden, als gevolg van het bekend worden van informatie over problemen op de werkvloer. Betrokkenen kunnen ook te maken krijgen met phishing of identiteitsfraude. Het datalek heeft waarschijnlijk negatieve gevolgen voor de betrokkenen, die er daarom van in kennis moeten worden gesteld. De Afdeling Juridische Zaken brengt met inachtneming van het voorgaande hierover advies uit aan de statutaire directie van de TBI-onderneming waar het Datalek betrekking op heeft. De statutaire directie beslist vervolgens of de melding aan de Betrokkenen ook daadwerkelijk zal plaatsvinden en zo ja, op welke wijze de Betrokkene(n) in kennis wordt/worden gesteld. melding aan de Betrokkene(n) Dit is mede afhankelijk van de beschikbare contactgegevens van de Betrokkene(n) en de grootte van de groep Betrokkene(n). Hierbij wordt er rekening mee gehouden dat de kennisgeving bij voorkeur persoonlijk dient te geschieden. Let op: de Betrokkene(n) kan/kunnen ook Medewerker(s) zijn. In dat geval zou de kennisgeving via intranet en/of via kunnen worden verzonden. 13

14 Als de statutaire directie heeft vastgesteld dat het Datalek moet worden gemeld aan de Betrokkene(n), dan geeft de statutaire directie onverwijld opdracht aan de TBI Toezichthouder van de desbetreffende TBI-onderneming om deze melding te doen. De statutaire directie en de TBI Toezichthouder zorgen ervoor dat het Datalek zo snel mogelijk, en uiterlijk binnen 72 uur nadat het datalek is ontdekt, aan de Betrokkene(n) is gemeld. Hierbij geldt dat de termijn die in de melding aan de Autoriteit is aangegeven (het antwoord op vraag 19 in het meldingsformulier aangehecht als bijlage 4 bij dit Protocol), in ieder geval moet worden nagekomen. Mocht deze termijn bij nader inzien niet haalbaar blijken te zijn, dan meldt de TBI Toezichthouder dit aan de Autoriteit door middel van een aanpassing van de gedane melding. De TBI Toezichthouder draagt ervoor zorg dat de kennisgeving aan de Betrokkene(n) in ieder geval de volgende informatie bevat: de aard van het Datalek (dat wil zeggen, een algemene omschrijving van het Datalek); de instanties / de contactgegevens waar de Betrokkene(n) meer informatie over het Datalek kunnen krijgen (zoals een telefoonnummer of adres waar de Betrokkene(n) met vragen terecht kunnen); de maatregelen die de TBI-onderneming de Betrokkene(n) aanbeveelt om te nemen om de negatieve gevolgen van het Datalek te beperken (bijvoorbeeld het veranderen van gebruikersnamen en wachtwoorden). II INTERNE MELDINGSREGISTER De TBI Toezichthouder houdt een intern register bij van alle Datalekken (ook de Datalekken die niet zijn gemeld aan de Autoriteit (en aan de Betrokkenen). De TBI Toezichthouder neemt alle beschikbare gegevens omtrent een Datalek op in dit register, inclusief het advies dat de Afdeling Juridische Zaken heeft verstrekt aan de statutaire directie. Het interne meldingsregister omvat in ieder geval: per Datalek de feiten en gegevens omtrent de aard van het Datalek; de genomen maatregelen om de gevolgen van een Datalek te beperken; een analyse waarom het betreffende Datalek al dan niet is gemeld aan de Autoriteit en/of de Betrokkene(n); indien van toepassing, een kopie van de melding aan de Autoriteit; indien van toepassing, een kopie van alle correspondentie met de Autoriteit en derden over een Datalek; en 14

15 indien van toepassing, een kopie van de tekst van de kennisgeving aan de Betrokkene(n) over een Datalek. De TBI Toezichthouder bewaart de gegevens in het interne meldingsregister ten minste drie jaar. De TBI Toezichthouder beoordeelt het interne meldingsregister jaarlijks om vast te stellen of er aanleiding is om nader te onderzoeken of de technische en/of de organisatorische beveiligingsmaatregelen binnen de betreffende TBI-onderneming dienen te worden aangevuld en/of aangepast. 15

16 BIJLAGEN BIJLAGE 1: Definities BIJLAGE 2: Formulier melding datalek BIJLAGE 3: Stroomschema Meldplicht BIJLAGE 4: Meldingsformulier Autoriteit 16

17 BIJLAGE 1 DEFINITIES In dit Protocol hebben de volgende termen de volgende betekenis: Afdeling Juridische Zaken Autoriteit Beleidsregels Betrokkene(n) Datalek Medewerkers de afdeling juridische zaken van TBI Holdings B.V. De Autoriteit Persoonsgegevens. de meest actuele versie van de Beleidsregels: De meldplicht datalekken in de Wet bescherming persoonsgegevens, zoals deze zijn opgesteld door de Autoriteit. degene(n) op wie de TBI Persoonsgegevens betrekking hebben. een gebeurtenis waarbij (i) TBI Persoonsgegevens verloren zijn gegaan of zijn gestolen, en/of (ii) onbevoegde personen toegang hebben of mogelijk toegang hebben tot TBI Persoonsgegevens en/of de Systemen, ongeacht in welke vorm, en/of (iii) bevoegde personen toegang hebben verkregen tot TBI Persoonsgegevens en de Systemen voor ongeoorloofde doeleinden, of een incident waarbij (het risico bestaat dat) TBI Persoonsgegevens (al dan niet per ongeluk) onrechtmatig zijn geraadpleegd, gebruikt, geopenbaard, gewijzigd of vernietigd. Personen die werken in dienst of ten behoeve van een TBIonderneming en personen die niet werkzaam zijn op basis van een dienstverband van de TBI-onderneming, maar die op contractuele basis diensten verrichten voor de TBIonderneming, zoals (maar niet beperkt tot): uitzendkrachten; consultants; zelfstandigen; ingehuurd personeel; gedetacheerd personeel; en stagiaires en ieder ander op wie dit Protocol van toepassing is verklaard. Protocol TBI Meldpunt Datalek onderhavig TBI Datalek Protocol. een door of namens TBI SSC-ICT Diensten B.V. ingerichte helpdesk, die 24 uur per dag en 7 dagen in de week telefonisch bereikbaar is voor het ontvangen en verwerken van meldingen van (potentiële) Datalekken. 17

18 TBI Systemen TBI-onderneming iedere computer, laptop, tablet, telefoon, computernetwerk, applicatie, USB stick of ander (extern) apparaat voor gegevensopslag, hardware, software en/of ieder ander instrument, dat zakelijk dan wel privé wordt gebruikt en waarop TBI Persoonsgegevens staan en/of dat in eigendom is van de TBI-onderneming of op basis van een licentie aan de TBIonderneming is verstrekt. TBI Holdings B.V. of één van haar groepsmaatschappijen als bedoeld in art. 2:24b BW. TBI Persoonsgegevens elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals (maar niet beperkt tot) een Medewerker of klant van een TBI-onderneming, waaronder (maar niet beperkt tot): naam, adres, woonplaats, telefoonnummer; BSN-nummer; bankrekeningnummer; geslacht; gezondheidsgegevens; verzekeringsinformatie; IPadres en/of pasfoto s, een en ander zoals bedoeld in artikel 1 onder a van de Wet. TBI Toezichthouder Verwerking Wet de Toezichthouder bij de TBI-ondernemingen, waar het gemelde (potentiële) Datalek zich heeft voorgedaan. elke handeling of elk geheel van handelingen met betrekking tot TBI Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, het afschermen, uitwissen of vernietigen van gegevens, zoals bedoeld in artikel 1 onder b van de Wet. Wet bescherming persoonsgegevens. 18

19 BIJLAGE 2 FORMULIER MELDING DATALEK VRAGEN ANTWOORDEN MEDEWERKER 1. Datum en tijdstip van het vermeende datalek? 2. Wat is er gebeurd en op welke plek? (diefstal, verlies, verloren, hack, onbevoegd toegang, virus, phishing en waar) 3. Aard van het vermeende datalek? (pc, tablet, USB-stick/HD, (onjuiste) , telefoon, papieren, toegangspas) 4. Waaruit bestaat het vermeende datalek? (personalia, BSN, seksuele voorkeur, gezondheidsgegevens, salaris, saldi, inloggegevens) 5. Is bekend welke personen nadeel van het vermeende datalek zouden hebben? (indien onbekend, misschien leidinggevende) 6. Welke databases zijn mogelijk geraakt? 7. Hebben de TBI Persoonsgegevens slechts betrekking op Nederland / Nederlandse Databases of ook op andere landen / TBI entiteiten / internationale databases? 8. Kan de melder eventueel zelf een inschatting maken van de impact? 9. Overige relevante informatie en/of opmerkingen? 19

20 BIJLAGE 3 STROOMSCHEMA MELDPLICHT 20

21 BIJLAGE 4 MELDINGSFORMULIER AUTORITEIT 21

22 22

23 23

24 24

25 25

26 26

27 27