Afdeling Juridische Zaken
|
|
- Elias van Doorn
- 6 jaren geleden
- Aantal bezoeken:
Transcriptie
1 TBI DATALEK PROTOCOL Procedure melden datalekken persoonsgegevens Dit Protocol is van toepassing op alle Medewerkers* die gebruik maken van en toegang hebben tot TBI Persoonsgegevens en/of TBI Systemen. Medewerkers moeten zich houden aan en handelen in overeenstemming met dit Protocol. In dit Protocol wordt uitgelegd wat een Datalek is en welke stappen moeten worden ondernomen in het geval een (potentieel) Datalek zich voordoet. Kort gezegd laat dit zich als volgt weergeven: Medewerker Meldt Datalek zo spoedig mogelijk, doch in ieder geval binnen 12 uur na ontdekking aan TBI Meldpunt Datalek 1. Operator TBI Meldpunt Datalek vult samen met Medewerker formulier in (zie bijlage 2); 2. Operator TBI Meldpunt Datalek Informeert de drie partijen hieronder. TBI Meldpunt Datalek TBI Toezichthouder 1. Registreert het gemelde (potentiële) Datalek in intern meldingsregister; 2. Voert desgevraagd overleg met de Afdeling Juridische Zaken. (is Datalek in de zin van de wet? Dient het Datalek te worden gemeld aan Autoriteit en/of Betrokkenen?); 3. Doet op verzoek van statutaire directie de daadwerkelijke melding(en) aan Autoriteit (en Betrokkenen); 4. Bewaart de gegevens terzake een gemeld Datalek gedurende drie (3) jaar. Afdeling Juridische Zaken 1. Voert desgewenst overleg met TBI Toezichthouder (is Datalek een datalek in de zin van de Wet? Dient het Datalek te worden gemeld aan Autoriteit en/of Betrokkenen?); 2. Adviseert aan de statutaire directie over eventuele melding aan Autoriteit (en aan Betrokkenen). Statutaire directie 1. Bepaalt m.i.v. ingewonnen advies of Datalek moet worden gemeld aan Autoriteit en/of aan Betrokkenen. 2. Geeft in voorkomend geval TBI Toezichthouder opdracht een melding aan Autoriteit (en aan Betrokkenen) te doen. * Zie voor het overzicht van de gebruikte definities bijlage 1 bij dit Protocol. 1
2 Opbouw van dit Protocol Dit Protocol is opgebouwd uit de volgende vijf delen: Algemeen deel (p. 3-4): In dit deel staat beschreven wat de achtergrond en het doel is van dit Protocol. Ook staat beschreven wat de consequenties (kunnen) zijn van een overtreding van dit Protocol. Tevens worden in dit deel de regels met betrekking tot het gebruik beschreven. Deel A (p. 5-6): In Deel A staat een stapsgewijze uitleg over het voorkomen en/of het herkennen van een Datalek en de actiepunten die moeten worden ondernomen op het moment dat een (potentieel) Datalek wordt geconstateerd. Deel B (p. 7): dit gedeelte is specifiek van toepassing op het TBI Meldpunt Datalek. In Deel B staat beschreven welke acties het TBI Meldpunt Datalek dient te nemen wanneer zij op de hoogte is gesteld van een (potentieel) Datalek. Deel C (p. 8-15): dit gedeelte is relevant voor (i) de Afdeling Juridische Zaken, (ii) de TBI Toezichthouders en (iii) de statutaire directies van de TBIondernemingen. In dit Deel C staat beschreven welke acties deze partijen in voorkomend geval moeten ondernemen (en binnen welke termijnen) in het geval zij op de hoogte zijn gebracht van een (potentieel) Datalek. Bijlagen (p ). 2
3 ALGEMEEN DEEL I. ACHTERGROND VAN DIT PROTOCOL Per 1 januari 2016 geldt een meldplicht voor Datalekken in Nederland. Deze meldplicht houdt in dat de TBI-onderneming een melding moet doen bij de Autoriteit op het moment dat zich binnen haar onderneming een Datalek heeft voorgedaan en dit Datalek ernstige negatieve gevolgen voor de bescherming van de TBI Persoonsgegevens heeft of kan hebben. In sommige gevallen kan de TBI-onderneming daarnaast ook nog eens verplicht zijn om alle Betrokkenen te informeren over het Datalek. Een Datalek kan ernstige gevolgen hebben voor de Betrokkenen, maar ook voor de TBIonderneming zelf. Denk hierbij bijvoorbeeld aan reputatie- of imagoschade, verlies van klanten, het opgelegd krijgen van (hoge) boetes etc. Door adequate technologische en organisatorische beveiligingsmaatregelen te treffen probeert de TBI-onderneming te voorkomen dat een Datalek plaatsvindt. Zo beveiligt de TBI-onderneming de TBI Persoonsgegevens tegen verlies, diefstal en ongeoorloofd gebruik door middel van technische beveiligingsmaatregelen van haar TBI Systemen en door het opstellen van regels en procedures over de omgang met TBI Persoonsgegevens. Zo zal iedere Medewerker bij het omgaan met TBI Persoonsgegevens en TBI Systemen de volgende regels in acht dienen te nemen: een Medewerker mag slechts een privé laptop, USB drive, tablet of ander apparaat gebruiken voor het inzien van TBI Persoonsgegevens indien (i) het niet mogelijk is om gebruik te maken van systemen die zijn verstrekt of ter beschikking zijn gesteld door een TBI-onderneming en (ii) dergelijk gebruik noodzakelijk is in het kader van de werkzaamheden van de Medewerker; In geen enkel geval zal een Medewerker TBI Persoonsgegevens (door)sturen naar of via zijn/haar persoonlijke adres; Voor het verzenden van TBI Persoonsgegevens zal een Medewerker géén algemeen beschikbare internetdiensten zoals DropBox, WeTransfer, WhatsApp gebruiken; Het is een Medewerker niet toegestaan om wachtwoorden en inloggegevens met anderen te delen, ook niet met andere Medewerkers; Een Medewerker dient nooit s te openen waarvan de inhoud of de verzender twijfelachtig of onbetrouwbaar is of lijkt. Een Medewerker zal ook niet klikken op links naar onbekende websites en/of websites die onbetrouwbaar zijn of lijken. 3
4 Mocht er ondanks de reeds getroffen maatregelen toch sprake zijn van een (potentieel) Datalek, dan is het cruciaal dat de TBI-onderneming daar snel en adequaat op kan reageren. De TBI-onderneming moet daarvoor zo snel mogelijk kunnen beschikken over alle relevante informatie over het Datalek. Alleen op die manier kan de TBI-onderneming voldoen aan de wettelijke verplichting om tijdig (!) een Datalek te melden aan de Autoriteit en (onder omstandigheden) aan de Betrokkenen. De Autoriteit kan in het geval dat de meldplicht niet wordt nageleefd of indien er onzorgvuldig wordt omgegaan met persoonsgegevens, hoge boetes opleggen. II. DOEL VAN DIT PROTOCOL Het doel van dit Protocol is om ervoor te zorgen dat de TBI-onderneming (tijdig) kan voldoen aan haar wettelijke meldplicht. De TBI-onderneming moet erop voorbereid zijn om adequaat te reageren op verlies, diefstal, onrechtmatige toegang, gebruik en openbaarmaking van TBI Persoonsgegevens en TBI Systemen. Dit Protocol bevat specifieke richtsnoeren om de TBI-onderneming en haar Medewerkers voor te bereiden op een Datalek en de verplichting om een Datalek te melden. Dit Protocol gaat daarbij nader in op de volgende vragen: (i) (ii) (iii) (iv) (v) III Welke regels gelden er binnen de TBI-onderneming met betrekking tot de omgang met TBI Persoonsgegevens en TBI Systemen? Wanneer is er sprake van een (potentieel) Datalek? Wat moet er gebeuren indien een Datalek wordt geconstateerd (aan wie moet worden gemeld, welke informatie moet worden verstrekt en binnen welke termijn dient dit te gebeuren)? Wanneer dient een Datalek te worden gemeld aan de Autoriteit en welke informatie moet in dat verband worden verstrekt? Wanneer dient een Datalek te worden gemeld aan de Betrokkenen en op welke wijze dient dit te gebeuren? OVERTREDING VAN DIT PROTOCOL Een overtreding van dit Protocol kan leiden tot disciplinaire maatregelen en/of arbeidsrechtelijke sancties. Bovendien behoudt de betreffende TBI-onderneming zich het recht voor om in geval van overtreding van dit Protocol (rechts)maatregelen te treffen om herhaling te voorkomen. 4
5 DEEL A I Wanneer is er sprake van een (potentieel) Datalek? Er is sprake van een Datalek indien TBI Persoonsgegevens verloren zijn, ongeoorloofd zijn vernietigd dan wel zijn gestolen of door onbevoegde personen zijn ingezien, meegenomen of gebruikt. Er is eveneens sprake van een Datalek indien de TBI Systemen door onbevoegden zijn ingezien of gebruikt of indien de TBI Persoonsgegevens en/of de TBI Systemen voor ongeoorloofde doeleinden zijn gebruikt. Voorbeelden van Datalekken zijn: (a) Verlies of diefstal van laptops, USB sticks, mobiele telefoons of dossiers (zowel hardcopy als digitale dossiers) waar TBI Persoonsgegevens op/in staan; (b) Het constateren dat een onbevoegd persoon (dit kan ook een Medewerker zijn) toegang heeft tot TBI Persoonsgegevens of de TBI Systemen; (c) Het verzenden van een met TBI Persoonsgegevens aan een onjuiste ontvanger of een onjuist adres (intern of extern); (d) Het verzenden van een aan een groep geadresseerden, waarbij alle e- mailadressen onbedoeld voor alle geadresseerden zichtbaar zijn (en het dus niet de bedoeling was dat de geadresseerden elkaars adres zouden zien); (e) Het publiceren van TBI Persoonsgegevens op sociale media; (f) Verlies of diefstal van inloggegevens (gebruikersnaam en wachtwoord) of onbevoegde inzage van inloggegevens, waardoor toegang kan worden verkregen tot TBI Persoonsgegevens of de TBI Systemen; (g) (Poging tot) een hack door het gebruik van of internet, bijvoorbeeld door ontvangst van een phishing bericht of een met vreemde bijlagen of hyperlinks; (h) Een virus op een laptop, computer, mobiele telefoon of tablet; (i) Verlies of diefstal van de toegangspas van een kantoorpand van de TBIonderneming; (j) Verlies van TBI Persoonsgegevens omdat een verzonden pakket / niet is aangekomen bij de geadresseerde; (k) Constatering door de IT-afdeling van een hack van de TBI Systemen. II Melden van een (potentieel) Datalek Medewerkers spelen een cruciale rol bij het in staat stellen van de TBI-onderneming om snel en adequaat te reageren op een Datalek. Medewerkers dienen ieder Datalek en ieder vermoeden van een Datalek onmiddellijk te melden. Ook bij twijfel of een incident kwalificeert als een Datalek, of bij het vermoeden dat iemand anders (mogelijk) een Datalek heeft veroorzaakt, dient een Medewerkers altijd over te gaan tot een melding. 5
6 De Medewerker hoeft zelf niet te beoordelen of een (potentieel) Datalek een datalek is in de zin van de Wet die door de TBI-onderneming gemeld moet worden aan de Autoriteit en/of aan Betrokkenen. Die beslissing is bij uitsluiting voorbehouden aan de statutaire directie van de TBI-onderneming, waar het (potentiële) Datalek zich heeft voorgedaan. III Wanneer moet er worden gemeld? Elke Medewerker dient een Datalek of een vermoeden van een Datalek zo spoedig mogelijk te melden, maar in ieder geval uiterlijk binnen twaalf (12) uur na ontdekking van (een vermoeden van) een Datalek door de Medewerker of nadat de Medewerker van een (potentieel) Datalek op de hoogte is geraakt. IV Wat en aan wie moet er worden gemeld? Iedere Medewerker dient een Datalek of een vermoeden van een Datalek te melden aan het TBI Meldpunt Datalek dat iedere dag van de week en vierentwintig uur per dag bereikbaar is op het speciaal daarvoor bestemde telefoonnummer:
7 DEEL B TAKEN EN VERANTWOORDELIJKHEDEN TBI MELDPUNT DATALEK Zodra het TBI Meldpunt Datalek een melding van een Datalek heeft ontvangen, vult de dienstdoende operator van het TBI Meldpunt Datalek aan de hand van de hem door de meldende Medewerker verstrekte informatie het formulier melding datalek (bijgevoegd bij dit Protocol als bijlage 2) zo volledig mogelijk in. De Medewerker zal zijn medewerking verlenen aan het zo volledig mogelijk beantwoorden van vragen van de operator van het TBI Meldpunt Datalek in het kader van het gemelde Datalek. Zodra het formulier melding datalek zo volledig mogelijk is ingevuld, verstrekt het TBI Meldpunt Datalek het ingevulde formulier per gelijktijdig aan: - de Afdeling Juridische Zaken; - de TBI Toezichthouder van de TBI-onderneming waar het Datalek betrekking op heeft; en - de statutaire directie van de TBI-onderneming waar het Datalek betrekking op heeft 1. Het TBI Meldpunt Datalek zorgt ervoor dat deze zo snel mogelijk, maar uiterlijk binnen twaalf (12) uur nadat het (potentiële) Datalek is gemeld bij het TBI Meldpunt Datalek, aan de bovenstaande partijen wordt verzonden. Indien het formulier melding datalek binnen dit tijdsbestek nog niet volledig is ingevuld, verstrekt het TBI Meldpunt Datalek alle relevante informatie over het Datalek die het TBI Meldpunt Datalek tot dat moment heeft ontvangen aan de drie bovenstaande partijen. Het TBI Meldpunt Datalek verstrekt het volledig ingevulde formulier melding datalek en eventuele aanvullende informatie zo spoedig mogelijk daarna aan alle drie bovengenoemde partijen. 1 De betreffende adressen van respectievelijk Afdeling Juridische Zaken, TBI Toezichthouders en de leden van de statutaire directies zijn bekend bij het TBI Meldpunt Datalek. 7
8 DEEL C In dit Deel C van het Protocol wordt beschreven wat de kaders zijn waarbinnen (i) de Afdeling Juridische Zaken, (ii) de betreffende TBI Toezichthouder en (iii) de betreffende statutaire directie van de TBI-onderneming dienen te opereren, zodra zij door het TBI Meldpunt Datalek op de hoogte worden gesteld van een Datalek. De volgende onderwerpen / stappen komen aan bod: 1) Kwalificeert een Datalek als datalek in de zin van de Wet? 2) Dient een melding te worden gemaakt aan de Autoriteit? En zo ja, hoe, wanneer en door wie? 3) Dient een melding te worden gemaakt aan de Betrokkenen? En zo ja, hoe, wanneer en door wie? 4) Bijhouden van een intern meldingsregister (door wie, en wat moet hierin staan?). I KWALIFICATIE VAN HET GEMELDE DATALEK Zo spoedig mogelijk na de ontvangst van het formulier melding datalek zal beoordeeld moeten worden of: (i) (ii) (iii) het Datalek kwalificeert als een datalek in de zin van de Wet; het Datalek moet worden gemeld aan de Autoriteit; en het Datalek moet worden gemeld aan de Betrokkene(n). De bovenstaande beoordeling vindt plaats aan de hand van de Beleidsregels en dit Protocol en dient uiterlijk binnen twaalf (12) uur na ontvangst van het formulier meldplicht datalek te zijn afgerond. ad (i) Kwalificeert het Datalek als een datalek in de zin van de Wet? De Afdeling Juridische Zaken beantwoordt de vraag of een Datalek kwalificeert als een datalek in de zin van de Wet al dan niet na gezamenlijk overleg met de betreffende TBI Toezichthouder, aan de hand van de volgende drie vragen: (a) Is er een inbreuk op de beveiligingsmaatregelen? De eerste vraag die moet worden beantwoord is of er een inbreuk heeft plaatsgevonden op de technische en organisatorische beveiligingsmaatregelen van de TBI-onderneming. Een inbreuk op de beveiligingsmaatregelen moet zich daadwerkelijk hebben voorgedaan. Een dreiging van een inbreuk is onvoldoende. De preventieve maatregelen die de TBI-onderneming heeft getroffen om een inbreuk te voorkomen moeten niet toereikend zijn geweest om een inbreuk te voorkomen. 8
9 Voorbeelden van een inbreuk op de beveiligingsmaatregelen zijn: (i) een kwijtgeraakte USB-stick; (ii) een gestolen laptop; (iii) een inbraak door een hacker; (iv) een malware besmetting; en (v) een calamiteit (zoals een brand in een datacentrum). (b) Zijn bij de inbreuk TBI Persoonsgegevens verloren gegaan? Een aanwijzing dat sprake is van een Datalek, is dat bij een inbreuk op de beveiligingsmaatregelen TBI Persoonsgegevens verloren zijn gegaan. TBI Persoonsgegevens moeten daadwerkelijk niet meer beschikbaar zijn. Indien bijvoorbeeld door een inbreuk wel TBI Persoonsgegevens vernietigd zijn, maar de TBI-onderneming nog over een reserve-kopie beschikt van de TBI Persoonsgegevens, is er geen sprake van een datalek in de zin van de Wet. (c) Kan redelijkerwijs worden uitgesloten dat er TBI Persoonsgegevens onrechtmatig verwerkt zijn? Als redelijkerwijs niet kan worden uitgesloten dat een inbreuk op de beveiligingsmaatregelen tot een onrechtmatige verwerking heeft geleid, dan moet het Datalek beschouwd worden als een datalek in de zin van de Wet. Onder onrechtmatige verwerking wordt bijvoorbeeld verstaan onbevoegde kennisname, wijziging of verstrekking van TBI Persoonsgegevens. Het stroomschema dat als bijlage 3 aan dit Protocol is gehecht, kan gebruikt worden als ondersteuning bij de beoordeling of een Datalek kwalificeert als een datalek in de zin van de Wet en/of er in het voorkomende geval ook gemeld moet worden aan de Autoriteit en eventueel aan de Betrokkene(n). ad (ii) moet het Datalek gemeld worden aan de Autoriteit? Indien is vastgesteld dat het Datalek kwalificeert als datalek in de zin van de Wet, dient vervolgens te worden vastgesteld of het Datalek moet worden gemeld aan de Autoriteit. De Afdeling Juridische Zaken verstrekt hierover een advies aan de statutaire directie van de desbetreffende TBI-onderneming. Deze statutaire directie beslist vervolgens of de melding aan de Autoriteit ook daadwerkelijk zal plaatsvinden. Beoordelingscriteria Het Datalek wordt aan de Autoriteit gemeld in het geval dat het Datalek (waarschijnlijk) ernstige negatieve gevolgen heeft voor de bescherming van de TBI Persoonsgegevens. Als de TBI Persoonsgegevens van gevoelige aard zijn, is dat het geval. Per geval wordt beoordeeld of er sprake is van TBI Persoonsgegevens van gevoelige aard. Daarvan is in ieder geval sprake bij: bijzondere persoonsgegevens in de zin van de Wet (zoals persoonsgegevens over iemands godsdienst, ras, politieke gezindheid, seksuele leven, lidmaatschap van een vakvereniging, gezondheid en strafrechtelijke gegevens); 9
10 gegevens over de financiële of economische situatie van de Betrokkene(n); Hieronder vallen bijvoorbeeld gegevens over schulden, inkomstenbronnen, investeringen, salarisgegevens en betalingsgegevens. gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene(n); Hieronder vallen bijvoorbeeld gegevens over werkprestaties, relatieproblemen en verslavingen. gebruikersnamen, wachtwoorden en andere inloggegevens; De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen. gegevens die kunnen worden gebruikt voor identiteitsfraude, zoals Burgerservicenummers. Het gaat hierbij om biometrische gegevens, kopieën van identiteitsbewijzen en Burgerservicenummers. Ook indien de TBI Persoonsgegevens niet vallen onder één van de bovenstaande categorieën, kan het Datalek ernstige negatieve gevolgen hebben voor de bescherming van de TBI Persoonsgegevens, gelet op de aard en de omvang van de TBI Persoonsgegevens. In dat kader zijn de volgende overwegingen relevant: Naarmate het aantal TBI Persoonsgegevens of de groep Betrokkenen waarop het Datalek invloed heeft groter wordt, worden de TBI Persoonsgegevens aantrekkelijker voor misbruik. Bij datalekken kan het gaan om veel persoonsgegevens per persoon en om gegevens van grote groepen betrokkenen. Deze beide factoren maken een gelekte dataset aantrekkelijk voor misbruik in het criminele circuit of om door te verkopen, met als gevolg dat betrokkenen langer last houden van het datalek. Naarmate de beslissingen die op basis van de TBI Persoonsgegevens worden genomen ingrijpender zijn, is ook de impact van verlies of onrechtmatige verwerking groter. Bijvoorbeeld: als een organisatie financiële gegevens gebruikt om iemands kredietwaardigheid te bepalen zijn de gevolgen van verlies en onbevoegde wijziging ingrijpender dan bij gebruik van dezelfde gegevens voor marketingdoeleinden. Indien de getroffen TBI Persoonsgegevens worden gebruikt in een keten van dienstverleners, is het moeilijker om de mogelijke gevolgen van het Datalek te overzien en is de impact van het Datalek groter. Bepaalde vormen van Datalekken brengen een groter risico op misbruik met zich (bijvoorbeeld een hack). Hieronder is een stroomschema weergegeven dat kan worden gebruikt bij de beoordeling of een Datalek moet worden gemeld aan de Autoriteit: 10
11 Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit: Een Medewerker verliest een laptop met onversleutelde financiële klantgegevens; Een TBI-onderneming krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een envelop met salarisgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid; De versleutelde laptop van een Medewerker is uit zijn auto gestolen. Financiële gegevens van 500 Medewerkers waren betrokken. Hoewel het wachtwoord niet gecompromitteerd is, is er geen back-up van de gegevens voorhanden; en Bij een TBI-onderneming zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Aldus kunnen van 50 personen naam, adres en salarisgegevens worden ingezien. Voorbeeld van datalekken die niet moeten worden gemeld aan de Autoriteit: Een brief met daarin persoonsgegevens van een Medewerker wordt naar een foutief adres gestuurd en wordt zichtbaar ongeopend retour gezonden; en Een Medewerker laat een koffer met daarin TBI Persoonsgegevens liggen in de trein. De koffer is voorzien van een deugdelijk slot en wordt diezelfde avond opgehaald door de Medewerker bij gevonden voorwerpen. De koffer is nog op slot. melding aan de Autoriteit Als de statutaire directie heeft vastgesteld dat het Datalek moet worden gemeld aan de Autoriteit, dan geeft de statutaire directie onverwijld opdracht aan de TBI Toezichthouder van de desbetreffende TBI-onderneming om deze melding te doen. 11
12 De statutaire directie en de TBI Toezichthouder zorgen ervoor dat het Datalek uiterlijk binnen 72 uur nadat het Datalek is ontdekt aan de Autoriteit is gemeld. De melding aan de Autoriteit geschiedt door het invullen van het meldingsformulier op de website van de Autoriteit: Dit meldingsformulier is te vinden in Bijlage 4 bij dit Protocol. Het meldingsformulier wordt door de TBI Toezichthouder eventueel in overleg met de Afdeling Juridische Zaken ingevuld en ingediend. Indien binnen dit tijdsbestek nog niet alle relevante informatie over het Datalek beschikbaar is, kan de statutaire directie besluiten het Datalek desalniettemin pro forma aan de Autoriteit te melden. De melding omvat in ieder geval informatie over: de aard van het Datalek en de inbreuk op de beveiligingsmaatregelen; waar er meer informatie over de inbreuk kan worden verkregen; de aanbevolen maatregelen om de negatieve gevolgen van het Datalek te beperken; of en wanneer de TBI-onderneming voornemens is de Betrokkene(n) te informeren; en de geconstateerde en de vermoedelijke gevolgen van het Datalek voor de TBI Persoonsgegevens en de maatregelen die de TBI-onderneming heeft getroffen of voorstelt om te treffen om die gevolgen te verhelpen. Indien en zodra er nieuwe informatie of details over het Datalek bekend worden nadat de melding aan de Autoriteit is gedaan, wijzigt de TBI Toezichthouder de gedane melding of vult deze aan. ad (iii) moet het Datalek gemeld worden aan de Betrokkene(n)? Indien de TBI Toezichthouder en de Afdeling Juridische Zaken hebben vastgesteld dat het Datalek kwalificeert als datalek in de zin van de Wet, dient ook te worden vastgesteld of het Datalek moet worden gemeld aan de Betrokkene(n). Daarbij zijn de antwoorden op de volgende vragen van belang: (a) Bieden de technische maatregelen die de TBI-onderneming heeft genomen voldoende bescherming om de melding aan de Betrokkene(n) achterwege te laten? Indien de TBI-onderneming passende maatregelen (zoals encryptie en hashing) heeft genomen waardoor de TBI Persoonsgegevens die getroffen zijn door het Datalek onbegrijpelijk of ontoegankelijk zijn voor onbevoegde kennisname, hoeft het Datalek niet te worden gemeld aan de Betrokkene(n). Hiervan is bijvoorbeeld sprake indien de TBI Persoonsgegevens op afstand kunnen worden gewist van een gestolen mobiele telefoon, voordat onbevoegde toegang tot de laptop is verkregen. 12
13 Deze vraag dient te worden beantwoord aan de hand van de Beleidsregels en er dient een strenge toets te worden toegepast. Indien er twijfel is over de geschiktheid van de getroffen technische maatregelen, dient het Datalek te worden gemeld aan de Betrokkene(n). Een voorbeeld van een geval waarin melding aan Betrokkenen achterwege kan blijven: Een TBI- Medewerker laat zijn telefoon liggen in de trein. De telefoon bevat de namen, adresgegevens en -adressen van 1000 klanten van TBI. De telefoon wordt op afstand gewist (remote wiping) door TBI en TBI ontvangt een bevestiging dat het wissen op afstand is geslaagd. Door middel van logbestanden kan TBI ook uitsluiten dat er tussen het moment van het verlies van de telefoon en het wissen van de telefoon op afstand, geen poging is gedaan tot onbevoegde toegang tot de (gegevens op de) telefoon. De melding aan betrokkenen kan achterwege worden gelaten omdat de persoonsgegevens die het betreft door passende technische maatregelen ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. (b) Zal het Datalek waarschijnlijk nadelige gevolgen hebben voor de persoonlijke levenssfeer van de Betrokkene(n)? Het Datalek moet worden gemeld aan de Betrokkene(n) indien het Datalek naar alle waarschijnlijkheid nadelige gevolgen heeft voor de persoonlijke levenssfeer van de Betrokkene(n). Indien er TBI Persoonsgegevens van gevoelige aard zijn getroffen door het Datalek, moet het Datalek worden gemeld aan de Betrokkene(n). Een voorbeeld: Bij een TBI-onderneming waren persoonsgegevens ongeoorloofd ingezien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 Medewerkers konden naam, adres, Burgerservicenummer en formulieren met beoordelingsgegevens worden ingezien. Als de aanvaller buitgemaakte gegevens op internet zet kan dat er bijvoorbeeld toe leiden dat betrokkenen moeilijker een baan kunnen vinden, als gevolg van het bekend worden van informatie over problemen op de werkvloer. Betrokkenen kunnen ook te maken krijgen met phishing of identiteitsfraude. Het datalek heeft waarschijnlijk negatieve gevolgen voor de betrokkenen, die er daarom van in kennis moeten worden gesteld. De Afdeling Juridische Zaken brengt met inachtneming van het voorgaande hierover advies uit aan de statutaire directie van de TBI-onderneming waar het Datalek betrekking op heeft. De statutaire directie beslist vervolgens of de melding aan de Betrokkenen ook daadwerkelijk zal plaatsvinden en zo ja, op welke wijze de Betrokkene(n) in kennis wordt/worden gesteld. melding aan de Betrokkene(n) Dit is mede afhankelijk van de beschikbare contactgegevens van de Betrokkene(n) en de grootte van de groep Betrokkene(n). Hierbij wordt er rekening mee gehouden dat de kennisgeving bij voorkeur persoonlijk dient te geschieden. Let op: de Betrokkene(n) kan/kunnen ook Medewerker(s) zijn. In dat geval zou de kennisgeving via intranet en/of via kunnen worden verzonden. 13
14 Als de statutaire directie heeft vastgesteld dat het Datalek moet worden gemeld aan de Betrokkene(n), dan geeft de statutaire directie onverwijld opdracht aan de TBI Toezichthouder van de desbetreffende TBI-onderneming om deze melding te doen. De statutaire directie en de TBI Toezichthouder zorgen ervoor dat het Datalek zo snel mogelijk, en uiterlijk binnen 72 uur nadat het datalek is ontdekt, aan de Betrokkene(n) is gemeld. Hierbij geldt dat de termijn die in de melding aan de Autoriteit is aangegeven (het antwoord op vraag 19 in het meldingsformulier aangehecht als bijlage 4 bij dit Protocol), in ieder geval moet worden nagekomen. Mocht deze termijn bij nader inzien niet haalbaar blijken te zijn, dan meldt de TBI Toezichthouder dit aan de Autoriteit door middel van een aanpassing van de gedane melding. De TBI Toezichthouder draagt ervoor zorg dat de kennisgeving aan de Betrokkene(n) in ieder geval de volgende informatie bevat: de aard van het Datalek (dat wil zeggen, een algemene omschrijving van het Datalek); de instanties / de contactgegevens waar de Betrokkene(n) meer informatie over het Datalek kunnen krijgen (zoals een telefoonnummer of adres waar de Betrokkene(n) met vragen terecht kunnen); de maatregelen die de TBI-onderneming de Betrokkene(n) aanbeveelt om te nemen om de negatieve gevolgen van het Datalek te beperken (bijvoorbeeld het veranderen van gebruikersnamen en wachtwoorden). II INTERNE MELDINGSREGISTER De TBI Toezichthouder houdt een intern register bij van alle Datalekken (ook de Datalekken die niet zijn gemeld aan de Autoriteit (en aan de Betrokkenen). De TBI Toezichthouder neemt alle beschikbare gegevens omtrent een Datalek op in dit register, inclusief het advies dat de Afdeling Juridische Zaken heeft verstrekt aan de statutaire directie. Het interne meldingsregister omvat in ieder geval: per Datalek de feiten en gegevens omtrent de aard van het Datalek; de genomen maatregelen om de gevolgen van een Datalek te beperken; een analyse waarom het betreffende Datalek al dan niet is gemeld aan de Autoriteit en/of de Betrokkene(n); indien van toepassing, een kopie van de melding aan de Autoriteit; indien van toepassing, een kopie van alle correspondentie met de Autoriteit en derden over een Datalek; en 14
15 indien van toepassing, een kopie van de tekst van de kennisgeving aan de Betrokkene(n) over een Datalek. De TBI Toezichthouder bewaart de gegevens in het interne meldingsregister ten minste drie jaar. De TBI Toezichthouder beoordeelt het interne meldingsregister jaarlijks om vast te stellen of er aanleiding is om nader te onderzoeken of de technische en/of de organisatorische beveiligingsmaatregelen binnen de betreffende TBI-onderneming dienen te worden aangevuld en/of aangepast. 15
16 BIJLAGEN BIJLAGE 1: Definities BIJLAGE 2: Formulier melding datalek BIJLAGE 3: Stroomschema Meldplicht BIJLAGE 4: Meldingsformulier Autoriteit 16
17 BIJLAGE 1 DEFINITIES In dit Protocol hebben de volgende termen de volgende betekenis: Afdeling Juridische Zaken Autoriteit Beleidsregels Betrokkene(n) Datalek Medewerkers de afdeling juridische zaken van TBI Holdings B.V. De Autoriteit Persoonsgegevens. de meest actuele versie van de Beleidsregels: De meldplicht datalekken in de Wet bescherming persoonsgegevens, zoals deze zijn opgesteld door de Autoriteit. degene(n) op wie de TBI Persoonsgegevens betrekking hebben. een gebeurtenis waarbij (i) TBI Persoonsgegevens verloren zijn gegaan of zijn gestolen, en/of (ii) onbevoegde personen toegang hebben of mogelijk toegang hebben tot TBI Persoonsgegevens en/of de Systemen, ongeacht in welke vorm, en/of (iii) bevoegde personen toegang hebben verkregen tot TBI Persoonsgegevens en de Systemen voor ongeoorloofde doeleinden, of een incident waarbij (het risico bestaat dat) TBI Persoonsgegevens (al dan niet per ongeluk) onrechtmatig zijn geraadpleegd, gebruikt, geopenbaard, gewijzigd of vernietigd. Personen die werken in dienst of ten behoeve van een TBIonderneming en personen die niet werkzaam zijn op basis van een dienstverband van de TBI-onderneming, maar die op contractuele basis diensten verrichten voor de TBIonderneming, zoals (maar niet beperkt tot): uitzendkrachten; consultants; zelfstandigen; ingehuurd personeel; gedetacheerd personeel; en stagiaires en ieder ander op wie dit Protocol van toepassing is verklaard. Protocol TBI Meldpunt Datalek onderhavig TBI Datalek Protocol. een door of namens TBI SSC-ICT Diensten B.V. ingerichte helpdesk, die 24 uur per dag en 7 dagen in de week telefonisch bereikbaar is voor het ontvangen en verwerken van meldingen van (potentiële) Datalekken. 17
18 TBI Systemen TBI-onderneming iedere computer, laptop, tablet, telefoon, computernetwerk, applicatie, USB stick of ander (extern) apparaat voor gegevensopslag, hardware, software en/of ieder ander instrument, dat zakelijk dan wel privé wordt gebruikt en waarop TBI Persoonsgegevens staan en/of dat in eigendom is van de TBI-onderneming of op basis van een licentie aan de TBIonderneming is verstrekt. TBI Holdings B.V. of één van haar groepsmaatschappijen als bedoeld in art. 2:24b BW. TBI Persoonsgegevens elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals (maar niet beperkt tot) een Medewerker of klant van een TBI-onderneming, waaronder (maar niet beperkt tot): naam, adres, woonplaats, telefoonnummer; BSN-nummer; bankrekeningnummer; geslacht; gezondheidsgegevens; verzekeringsinformatie; IPadres en/of pasfoto s, een en ander zoals bedoeld in artikel 1 onder a van de Wet. TBI Toezichthouder Verwerking Wet de Toezichthouder bij de TBI-ondernemingen, waar het gemelde (potentiële) Datalek zich heeft voorgedaan. elke handeling of elk geheel van handelingen met betrekking tot TBI Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, het afschermen, uitwissen of vernietigen van gegevens, zoals bedoeld in artikel 1 onder b van de Wet. Wet bescherming persoonsgegevens. 18
19 BIJLAGE 2 FORMULIER MELDING DATALEK VRAGEN ANTWOORDEN MEDEWERKER 1. Datum en tijdstip van het vermeende datalek? 2. Wat is er gebeurd en op welke plek? (diefstal, verlies, verloren, hack, onbevoegd toegang, virus, phishing en waar) 3. Aard van het vermeende datalek? (pc, tablet, USB-stick/HD, (onjuiste) , telefoon, papieren, toegangspas) 4. Waaruit bestaat het vermeende datalek? (personalia, BSN, seksuele voorkeur, gezondheidsgegevens, salaris, saldi, inloggegevens) 5. Is bekend welke personen nadeel van het vermeende datalek zouden hebben? (indien onbekend, misschien leidinggevende) 6. Welke databases zijn mogelijk geraakt? 7. Hebben de TBI Persoonsgegevens slechts betrekking op Nederland / Nederlandse Databases of ook op andere landen / TBI entiteiten / internationale databases? 8. Kan de melder eventueel zelf een inschatting maken van de impact? 9. Overige relevante informatie en/of opmerkingen? 19
20 BIJLAGE 3 STROOMSCHEMA MELDPLICHT 20
21 BIJLAGE 4 MELDINGSFORMULIER AUTORITEIT 21
22 22
23 23
24 24
25 25
26 26
27 27
Vraag 1: Is er sprake van verwerking van persoonsgegevens?
Protocol datalekken Version: Versie 1.1, vastgesteld op 2 maart 2016 Status: Dwingende interne instructie Goede naleving door Holla van de Algemene verordening gegevensbescherming (AVG) is cruciaal. Dit
Nadere informatieProtocol meldplicht datalekken
160235/1180 Protocol meldplicht datalekken Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij de
Nadere informatieProtocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS
Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS Datum: 14-5-2018 Geactualiseerd en met instemming van de GMR (datum) door het CvB vastgesteld (datum) Inhoud Aanleiding... 3 Kader... 3 Afwegingen...
Nadere informatieDATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar
DATALEK PROTOCOL Versie 1.0. /08.2017. I.D. Wagenaar Op 1 januari 2016 is de meldplicht datalekken ingevoerd. Dit houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij
Nadere informatieProtocol datalekken Samenwerkingsverband ROOS VO
1 Protocol datalekken Samenwerkingsverband ROOS VO. 3.02 Protocol datalekken is onderdeel van Handboek Informatie Beveiliging en Privacy SWV ROOS VO 2 Inhoud Inleiding... 3 Begrippenlijst... 4 1. Is de
Nadere informatieProtocol meldplicht datalekken
Protocol meldplicht datalekken Dehlia Kracht B.V. Protocol meldplicht datalekken aan de Functionaris voor de Gegevensbescherming G r o e n e s t r a a t 2 9 4, 6 5 3 1 J C N i j m e g e n Inhoudsopgave
Nadere informatieProtocol meldplicht datalekken Voor financiële ondernemingen
Protocol meldplicht datalekken Voor financiële ondernemingen Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht is ook van toepassing op de financiële sector. Maar wanneer spreekt men
Nadere informatieSta eens stil bij de Wet Meldplicht Datalekken
Sta eens stil bij de Wet Meldplicht Datalekken Wet Meldplicht Datalekken Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden)
Nadere informatieMELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?
MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN? Inleiding Dat bedrijven voorzichtig moeten omgaan met gegevens van personen is niet nieuw. Sinds 1 nuari 2016 is wél nieuw de verplichting om datalekken te
Nadere informatieProcedure meldplicht datalekken
Procedure meldplicht datalekken Gemeente Bunnik Versie : 2.0 Datum : april 2018 1 Inleiding Dit document omschrijft de procedure van de meldplicht datalekken Bij deze procedure horen twee bijlagen: IBD
Nadere informatieBeleid en procedures meldpunt datalekken
Beleid en procedures meldpunt datalekken Versie juli 2016 Inhoud: Wetgeving en kaders 3 Stichting Baasis beleid en uitgangspunten 4 Procedure/proces meldpunt datalekken 5 2 Wetgeving en kaders Meldplicht
Nadere informatieProtocol Meldplicht Data-lekken
Protocol Meldplicht Data-lekken 1. Doel van het protocol De procedure meldplicht datelekken is opgesteld vanuit het document `De meldplicht data-lekken in de Wet Bescherming Persoonsgegevens (WbP). Het
Nadere informatiePROCEDURE MELDPLICHT DATALEKKEN
PROCEDURE MELDPLICHT DATALEKKEN Er is sprake van een Datalek indien persoonsgegevens als gevolg van een beveiligingsincident in handen vallen van onbevoegde derden. Het kan bijvoorbeeld gaan om een zoekgeraakte
Nadere informatieHelp een datalek! Wat nu?
Help een datalek! Wat nu? Een aantal ervaringen uit de praktijk Tonny Plas Adviseur informatie- en ibp-beleid voor schoolbesturen in het po en vo Aanleiding Op 1 januari 2016 is er een meldplicht datalekken
Nadere informatieE. Procedure datalekken
E. Procedure datalekken Inleiding Deze procedure maakt integraal onderdeel uit van het privacybeleid van de ons bestuur en is vastgesteld door het college van bestuur. De procedure bestaat uit verschillende
Nadere informatieProtocol meldplicht datalekken
Protocol meldplicht datalekken Disclaimer Dit protocol is geen juridisch document of advies en beoogt niet volledig te zijn, maar geeft slechts een indicatie van bepaalde AVG verplichtingen. VGM NL is
Nadere informatieProcedure Meldplicht Datalekken
Procedure Meldplicht Datalekken n.a.v. inwerkingtreding AVG mei 2018 Versie 1.0 20-5-2018 Procedure meldplicht datalekken NivoZorg 1 Gegevens Functionaris Gegevensbescherming Naam : Erik Stijnen Telefoonnummer
Nadere informatieProtocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)
Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG) betreffende procedures inzake de melding en afhandeling van inbreuken
Nadere informatieMelden van datalekken
Melden van datalekken Deze procedure voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wet bescherming persoonsgegevens (Wbp). Definities 1. Het kan gebeuren dat
Nadere informatieRegeling meldplicht datalekken 2016
Het dagelijks bestuur van Ferm Werk, Gelet op artikel 34a van de Wet bescherming persoonsgegevens, Besluit vast te stellen de hierna volgende Regeling meldplicht datalekken 2016 Artikel 1 Begripsomschrijvingen
Nadere informatieCoöperatie Boer en Zorg b.a. Procedure meldplicht datalekken
Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken Versie: 1.02 d.d. 13-juni-2018 Inhoud 1.2 Doel en reikwijdte... 3 2. Procedure Datalek... 4 2.1 Melden incident bij FG... 4 2.1.1 Registratie...
Nadere informatieWet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken
Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken De Wbp is al sinds 1 september 2001 van kracht en bevat bepalingen omtrent het rechtmatig omgaan met persoonsgegevens. Op 1 januari
Nadere informatieProcedure Melden beveiligingsincidenten
Procedure Melden beveiligingsincidenten 1 Inhoud Inhoud... 2 Inleiding... 3 Begrippen... 4 Persoonsgegeven... 4 Verantwoordelijke... 4 Bewerker... 4 Verwerking... 4 Bijzondere persoonsgegevens:... 4 MIBP...
Nadere informatieRaadsmededeling - Openbaar
Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding
Nadere informatieProcedure melden beveiligingsincidenten en datalekken
Procedure melden beveiligingsincidenten en datalekken Panta Rhei, stichting voor r.k., openbaar en algemeen bijzonder primair onderwijs Bestuursbureau Panta Rhei Bezoekadres: Overgoo 13, 2266 JZ Leidschendam
Nadere informatieProtocol Meldplicht Datalekken
Protocol Meldplicht Datalekken De Commercieele Club Groningen Inleiding Wanneer er een datalek heeft plaatsgevonden is De Commercieele Club, hierna de CCG, als verwerkingsverantwoordelijke verplicht dit
Nadere informatieProtocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT
FACTSHEET: INTELLECTUEEL EIGENDOM & IT Protocol meldplicht datalekken Sinds 1 nuari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit direct
Nadere informatieFormulier melding datalek
Formulier melding datalek Voor het melden van een datalek vult u onderstaand formulier in. Na invulling kunt u dit formulier als PDF opslaan en als bijlage digitaal zenden naar: PG@hogeraad.nl Of sturen
Nadere informatieProtocol Datalekken Twelve
Bijlage: Vragenlijst Beveiligingsincident Twelve B.V. Twelve Sports & Hospitality B.V. Twelve Events B.V. Twelve Venues B.V. 1 1 Algemeen: Datalekken 1.1 Sinds 2016 bestaat er een meldplicht voor datalekken.
Nadere informatieProtocol beveiligingsincidenten en datalekken
Protocol beveiligingsincidenten en datalekken Inleiding De Algemene Verordening Gegevensbescherming (AVG), die per 25 mei 2018 van toepassing is, stelt andere en strengere eisen aan de omgang met persoonsgegevens.
Nadere informatieProtocol melding en afhandeling beveiligings- of datalek, versie oktober 2018
Protocol melding en afhandeling beveiligings- of datalek, versie 1.1 19 oktober 2018 1 Protocol Melding en afhandeling beveiligings- of datalek 1. Inleiding De achtergrond van deze procedure is de Meldplicht
Nadere informatieImpact van de meldplicht datalekken
Impact van de meldplicht datalekken Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens
Nadere informatieFACTSHEET DATALEK. Inleiding
Inleiding Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens verwerken voldoen aan de Algemene Verordening Gegevensbescherming (AVG / GDPR (EN)). Deze verordening brengt een aantal grote veranderingen
Nadere informatieDegene op wie een Persoonsgegeven betrekking heeft. Dit kan de bewoner of diens naaste of gemachtigde zijn.
Privacyverklaring Joods Hospice Immanuel hecht veel waarde aan de bescherming van de Persoonsgegevens van haar bewoners en/of naasten, vrijwilligers, medewerkers en andere relaties. In deze privacy verklaring
Nadere informatieMeldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016
Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Inhoudsopgave 1. Wet Bescherming Persoonsgegevens 2. Wat is een datalek? 3. Wanneer moet
Nadere informatieDocumentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN
PROTOCOL DATALEKKEN Procesgang rondom (mogelijke) datalekken bij Stichting Landschapsbeheer Zeeland. Inhoudsopgave 1. Doel 2 2. Definities 3 3. Toepassingsgebied 4 4. Werkwijze 4 4.1 Identificeren van
Nadere informatieStappenplan Algemene Verordening Gegevensbescherming (AVG)
E: info@koornetwerk.nl I: www.koornetwerk.nl 1 januari 2018 A: Bartókstraat 4 6661 AT Elst The Netherlands Stappenplan Algemene Verordening Gegevensbescherming (AVG) Op 25 mei 2018 is de Algemene Verordening
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Minkema College
2018.473 Protocol informatiebeveiligingsincidenten en datalekken Minkema College Vastgesteld door het College van Bestuur op 13 november 2018 Was getekend, H. Heethuis, Voorzitter Inhoud Inleiding... 2
Nadere informatieProcedure Melding Datalekken
Procedure Melding Datalekken Handleiding voor het correct en tijdig afhandelen van datalekken Erkend Uneto VNI Installateur - Lid Vakgroep ICT - MVO Inleiding Sinds 1 januari 2016 is het wettelijk verplicht
Nadere informatieBLAD GEMEENSCHAPPELIJKE REGELING
BLAD GEMEENSCHAPPELIJKE REGELING Officiële uitgave van de gemeenschappelijke regeling Metropoolregio Eindhoven Nr. 1118 2 augustus 2018 Datalekkenprotocol Metropoolregio Eindhoven HOOFDSTUK 1 ALGEMEEN
Nadere informatieProtocol Beveiligingsincidenten en datalekken
Protocol Beveiligingsincidenten en datalekken Petrus Canisius College Vastgesteld juli 2018 (18 6227b) CDO: 4 juni 2018 MR: 2 juli 2018 CDO: 4 juni 2018 MR: 2 juli 2018 Protocol beveiligingsincidenten
Nadere informatieWat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015
Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen
Nadere informatie1. Bedrijfsnaam:... Gevestigd te:... Straatnaam, huisnummer:... Vertegenwoordigd door dhr. / mevr... Functie:... adres:...
Verwerkersovereenkomst Partijen 1. Bedrijfsnaam:....... Gevestigd te:........ Straatnaam, huisnummer:...... Vertegenwoordigd door dhr. / mevr...... Functie:......... Emailadres:....... hierna Verwerkingsverantwoordelijke
Nadere informatiePRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development
PRIVACY PROTOCOL Wij hechten veel waarde aan de privacy en de veiligheid van onze klanten en personen die gebruik maken van onze dienstverlening en/of deelnemen aan onze trajecten (hierna gezamenlijk te
Nadere informatiePrivacy beleid. Leakserv B.V.
Privacy beleid Leakserv B.V. Artikel 1. Definities 1.1. In dit privacy beleid worden de volgende definities gebruikt: a. Leakserv: de gebruiker van dit privacy beleid: Leakserv B.V., gevestigd aan het
Nadere informatieVERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST Verantwoordelijke te weten Stichting Zayaz, statutair gevestigd te s-hertogenbosch, vertegenwoordigd door hierna te noemen: Verwerkingsverantwoordelijke, en Verwerker te weten statutair
Nadere informatieDe Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?
De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? Meldplicht datalekken Whitepaper Datalekken Augustus 2016 1 Begin 2016 is de Meldplicht Datalekken ingegaan. Het doel van de meldplicht
Nadere informatieSamenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken
Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken Op 1 januari 2016 treedt de Wet Meldplicht Datalekken in werking. Het CBP heeft op 21 september
Nadere informatieHANDLEIDING DATALEKKEN VOOR R.-K. PAROCHIES
HANDLEIDING DATALEKKEN VOOR R.-K. PAROCHIES Secretariaat R.-K. Kerkgenootschap mei 2019 Inhoud 1. Inleiding... 2 2. Drie basisstappen om incidenten te gaan herkennen... 2 3. Een meldingsprotocol en eerste
Nadere informatiePrivacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3
PRIVACYREGLEMENT Inhoudsopgave Voorwoord... 2 Privacybepalingen... 3 1. Begripsbepalingen... 3 2. Toepassingsgebied... 3 3. Doel van de verwerking van persoonsgegevens... 4 4. Verwerking van Persoonsgegevens...
Nadere informatieProtocol Datalek. Geschiedenis Studenten Vereniging Excalibur
Geschiedenis Studenten Vereniging Excalibur Versie, mei 2018 Protocol datalek In dit document vindt u het protocol wanneer een datalek plaatsvindt in en welke stappen het bestuur zal ondernemen. Het is
Nadere informatieBIJLAGE 3. Procedure Meldplicht Datalekken
BIJLAGE 3. Procedure Meldplicht Datalekken Tussen partijen zijn met betrekking tot de meldplicht datalekken de volgende afspraken gemaakt: 1) VERWERKER registreert alle Beveiligingsincidenten; 2) In geval
Nadere informatiePROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN
1. Inleiding Dit protocol biedt een handleiding voor de professionele melding, beoordeling en afhandeling van beveiligingsincidenten en datalekken. Het doel hiervan is het voorkomen van beveiligingsincidenten
Nadere informatieFormulier voor het melden van een datalek
Formulier voor het melden van een datalek Dit formulier kan u gebruiken wanneer er vermoedens zijn van een datalek bij HER Opleidingen bv. Deze vragenlijst is te vinden als bijlage te op www.her-opleidingen.nl/avg
Nadere informatieBEWERKERSOVEREENKOMST
BEWERKERSOVEREENKOMST 1. [ORGANISATIE], statutair gevestigd te [PLAATS], kantoor houdende [ADRES], ingeschreven in het handelsregister onder nummer [KVKNR], hierbij vertegenwoordigd door [DHR/MEVR] [NAAM],
Nadere informatieVerwerkersovereenkomst
Verwerkersovereenkomst 1/7 Partijen: nummer en, statutair gevestigd te en geregistreerd bij de KvK onder het, hierna te noemen Verwerkingsverantwoordelijke ; Extin, h.o.d.n.v. Extin Media, Extin Hosting
Nadere informatieWET MELDPLICHT DATALEKKEN FACTSHEET
WET MELDPLICHT DATALEKKEN FACTSHEET Wettekst De Wet Meldplicht Datalekken introduceert onder andere een meldplicht. Dit wordt geregeld in een nieuw artikel, artikel 34a Wbp dat uit 11 leden (onderdelen)
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Inhoud Protocol informatiebeveiligingsincidenten en datalekken... 1 Protocol informatiebeveiligingsincidenten en datalekken... 2 Inleiding... 2 Gebruikte
Nadere informatiePrivacy beleid. Stichting Kringloopcentrum Bollenstreek
Privacy beleid Stichting Kringloopcentrum Bollenstreek Artikel 1. Definities 1.1. In dit privacy beleid worden de volgende definities gebruikt: a. Stichting Kringloopcentrum Bollenstreek: de gebruiker
Nadere informatieOpenbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming
Openbaar Onderwijs Emmen, OOE Protocol Informatiebeveiligingsincidenten en datalekken Conform de Algemene Verordening Gegevensbescherming Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken VSNON
Protocol informatiebeveiligingsincidenten en datalekken VSNON vastgesteld d.d. 9 november 08 De Wet Meldplicht Datalekken verplicht scholen om ernstige datalekken te melden bij de Autoriteit Persoonsgegevens
Nadere informatiePrivacy statement MULDATA BV
Privacy statement MULDATA BV Artikel 1. Definities 1.1. In deze privacy statement worden de volgende definities gebruikt: a. MULDATA: de gebruiker van deze privacy statement: MULDATA B.V. gevestigd aan
Nadere informatieRegeling datalekken StOVOG
Regeling datalekken StOVOG Algemeen Deze regeling voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wbp. Daarnaast is er een schema opgenomen om te beoordelen of
Nadere informatiePrivacybeleid Dolphiq BV
Privacybeleid Dolphiq BV Juni 2018 1. Definities 1.1. In dit privacybeleid worden de volgende definities gebruikt: a. Dolphiq: de gebruiker van dit privacy beleid: de besloten vennootschap met beperkte
Nadere informatieAlgemene verordening gegevensbescherming
Algemene verordening gegevensbescherming Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de afspraken tussen Partijen zoals overeengekomen (de Overeenkomst ). Op deze Verwerkersovereenkomst
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Voila Leusden
Protocol informatiebeveiligingsincidenten en datalekken Voila Leusden 1 Inhoud Inleiding 2 Wet- en regelgeving datalekken 2 Afspraken met leveranciers 2 Werkwijze 3 Uitgangssituatie 3 De vier rollen 3
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Betreft alle scholen en bestuurskantoor van SKO De Streek Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers...
Nadere informatiePrivacy beleid. Uni Fortis Nederland B.V.
Privacy beleid B.V. Artikel 1. Definities 1.1. In dit privacy beleid worden de volgende definities gebruikt: a. : de gebruiker van dit privacy beleid: de besloten vennootschap met beperkte aansprakelijkheid
Nadere informatieMeldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016
Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht
Nadere informatiePROTOCOL MELDING DATALEKKEN
PROTOCOL MELDING DATALEKKEN Versie 0.1 Inhoudsopgave: 1. Vooraf... 4 2. Protocol melding datalekken algemeen... 5 2.1. Inleiding... 5 2.2. Contactpersoon Privacy... 5 2.3. Toelichting op de gebruikte begrippen...
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken 1 Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers... 2 Werkwijze... 3 Uitgangssituatie... 3 De vier rollen...
Nadere informatieWet meldplicht datalekken
Wet meldplicht datalekken MKB Rotterdam Olaf van Haperen + 31 6 17 45 62 99 oh@kneppelhout.nl Introductie IE-IT specialisme Grootste afdeling van Rotterdam e.o. Technische ontwikkelingen = juridische ontwikkelingen
Nadere informatieVanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp
De Algemene Verordening Gegevensbescherming Meldplicht datalekken 5 april 2016 Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp 1 personal data breach
Nadere informatieIBAN: NL45 ABNA BIC: ABNANL2A. De Ronde CZ Best yolknet.nl. KvK: BTW NL B01
Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Yolknet, gevestigd te Best, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Stichting Scala College en Coenecoop College
Stichting Scala College en Coenecoop College Versie Scala College Na instemming van de GMR vastgesteld door het college van bestuur op 6 juni 2019 Was getekend, F.J. de Wit Inhoud Inleiding... 2 Wet- en
Nadere informatieHandreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018
Handreiking Protocol informatiebeveiligingsincidenten en datalekken Stichting KBO Haarlem-Schoten Versie: 27 mei 2018 Bron: Dit document is gebaseerd op het Protocol informatiebeveiligingsincidenten en
Nadere informatieChodsky Pes Club Nederland
Chodsky Pes Club Nederland Inleiding Chodsky Pes Club Nederland hecht veel waarde aan de bescherming van uw persoonsgegevens. In dit privacy statement willen wij u een heldere en transparante informatie
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Bron Kennisnet Bewerkt door: KPO Roosendaal, Leon van Iersel Versie Datum Auteur Omschrijving 2.0 25-05-2018 Leon van Iersel Kennisnet versie aangepast
Nadere informatiePrivacyreglement van Stichting 070Watt;
Privacyreglement van Stichting 070Watt; Stichting 070Watt treft hierbij een schriftelijke regeling conform de Wet Bescherming Persoonsgegevens voor de verwerking van cliëntgegevens. Vastgelegd zijn hiermee
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers... 3 Werkwijze... 3 Uitgangssituatie... 3 De vier rollen...
Nadere informatiePrivacy beleid. The Lighthouse
Privacy beleid Artikel 1. Definities 1.1. In dit privacy beleid worden de volgende definities gebruikt: a. : de gebruiker van dit privacy beleid: de stichting, Stichting The Lighthouse, gevestigd aan de
Nadere informatieStichting Bedrijfstakpensioenfonds voor de Houthandel;
Stichting Bedrijfstakpensioenfonds voor de Houthandel Reglement incidentenregeling Artikel 1 Pensioenfonds: Incident: Definities Stichting Bedrijfstakpensioenfonds voor de Houthandel; een gedraging, datalek
Nadere informatieIBAN: NL 63 INGB BIC: INGBNL2A K.v.K. Rivierenland: BTW nr. NL B01. zaterdag 12 mei 2018 Pagina 1 van 8
Verwerkersovereenkomst Deze verwerkersovereenkomst maakt integraal onderdeel uit van de afspraken tussen partijen zoals overeengekomen bij totstandkoming van de samenwerking. Op deze verwerkersovereenkomst
Nadere informatieSamenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland
Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie
Nadere informatieAlgemene verordening gegevensbescherming
17 november 2018 Nancy Putman NGTV-kring Noord- en Oost Nederland Algemene verordening gegevensbescherming Even voorstellen Myriapodo Privacy is niet hetzelfde als privacywetgeving Privacy is recht op
Nadere informatiePrivacyreglement Centrum Begeleiding Zorg Utrecht
Privacyreglement Centrum Begeleiding Zorg Utrecht Inhoudsopgave Art 1. Begripsbepalingen Art 2. Reikwijdte Art 3. Doel Art 4. Voorwaarden voor rechtmatige verwerking Art 5. Verwerking en verstrekking van
Nadere informatieProcedure Meldplicht Datalekken. Versie 1.1 Datum Maart 2016 Specialist Informatiebeveiliging
Procedure Meldplicht Datalekken Versie 1.1 Datum Maart 2016 Auteur Specialist Informatiebeveiliging 1. Inleiding Doel van deze procedure is op gecontroleerde wijze om te gaan met de gevolgen van een datalek.
Nadere informatiePrivacy statement. Kinderopvang Midas
Privacy statement Kinderopvang Midas Definities In deze privacy statement worden de volgende definities gebruikt: Kinderopvang Midas: Kinderopvang Midas bestaat uit BSO Midas bv met KvK nummer 52883264
Nadere informatieDatalekprotocol binnen Reto
Datalekprotocol binnen Reto Datalekprotocol binnen Reto 1. INLEIDING Dit document beschrijft de verschillende stappen die binnen Reto genomen worden bij een datalek, die valt onder de Meldplicht Datalekken.
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad
Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad Opsteller: Jan Zonneveld Expertise: Informatiemanagement Besluitvorming: AMO ter advisering op 6 juli 2017 GMR ter instemming
Nadere informatiePROTOCOL. Onze vereniging
PROTOCOL Algemene verordening gegevensbescherming Onze vereniging protocol Avg Senioren Politie Twente (2) 1. Inleiding en begripsbepalingen Binnen Onze vereniging, verder te noemen ONZE VERENIGING, wordt
Nadere informatieVoorwaarden Verwerking persoonsgegevens (Bewerkersovereenkomst)
Voorwaarden Verwerking persoonsgegevens (Bewerkersovereenkomst) Indien een onderneming die behoort tot de groep van De Meerlanden Holding N.V. (de betreffende onderneming en De Meerlanden Holding N.V.
Nadere informatiePrivacy Statement Libracoaching
Privacy Statement Libracoaching Algemene bepalingen Dit is de privacy statement van Libracoaching Libraocoaching is verantwoordelijk voor de verwerking van uw persoonsgegevens. Wanneer u als cliënt persoonsgegevens
Nadere informatiePrivacyreglement. Verzorgd Wonen in Exloo
Privacyreglement Verzorgd Wonen in Exloo 1 1 Inleiding In het onderstaande privacyreglement staat beschreven hoe we bij Verzorgd Wonen in Exloo omgaan met de gegevens die vallen onder de Wet Bescherming
Nadere informatiePROTOCOL. Vereniging van Gepensioneerden van de eenheid Den Haag
PROTOCOL Algemene verordening gegevensbescherming Vereniging van Gepensioneerden van de eenheid Den Haag protocol Avg VGHP v1.0.11-05 1. Inleiding en begripsbepalingen Binnen de Vereniging van Gepensioneerden
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en
Protocol informatiebeveiligingsincidenten en datalekken Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en omgeving (CVO) Bewerkt door: De Vereniging Christelijk Voortgezet Onderwijs te Rotterdam
Nadere informatieDe beleidsregels bij de meldplicht datalekken: een korte beschouwing
De beleidsregels bij de meldplicht datalekken: een korte beschouwing mr.drs. T.J.M. de Weerd en mr. J.M. Brölmann 1 Met ingang van 1 januari 2016 is de meldplicht datalekken opgenomen in de Wet bescherming
Nadere informatieDe meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp
POSTADRES Postbus 93374, 2509 AJ Den Haag TEL 070-88 88 500 FAX 070-88 88 501 De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de
Nadere informatiePrivacy statement. BEGRIPSBEPALINGEN In dit reglement wordt verstaan onder:
BEGRIPSBEPALINGEN... 2 BEREIK... 3 PERSOONSGEGEVENS DIE WORDEN VERWERKT... 3 Bijzondere en/of gevoelige persoonsgegevens... 3 GEGEVENSVERWERVING... 3 WAAROM DE GASTOUDER GEGEVENS NODIG HEEFT... 3 Gebruik
Nadere informatieProcedure Melding Datalekken. Versie mei 2018
Procedure Melding Datalekken Versie 1.0 - mei 2018 Procedure Melding Datalekken Zonneplan B.V. Stap 1: Interne melding datalek aan Functionaris Gegevensbescherming Bij constatering van een datalek of een
Nadere informatie