Beleid en procedures meldpunt datalekken

Transcriptie

1 Beleid en procedures meldpunt datalekken Versie juli 2016

2 Inhoud: Wetgeving en kaders 3 Stichting Baasis beleid en uitgangspunten 4 Procedure/proces meldpunt datalekken 5 2

3 Wetgeving en kaders Meldplicht datalekken Per 1 januari 2016 is nieuwe wetgeving van kracht gegaan, artikel 34a is toegevoegd aan de Wet bescherming persoonsgegevens: de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct melding moeten doen bij de Auroriteit Persoonsgegevens zodra zij een ernstig datalek hebben, in sommige gevallen moet het datalek ook gemeld worden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Datalek Bij een datalek gaat het om toegang of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. We spreken van een datalek als een inbreuk is op de beveiliging van persoonsgegevens zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking, dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Voorbeeld datalekken Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Kaders vanuit wetgeving en Autoriteit Persoonsgegevens Vanuit de wetgeving en via beleidsregels van de Autoriteit Persoonsgegevens zijn kaders te halen die voor elke organisatie gelden: - Er moet melding gedaan worden van een datalek aan Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijk kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. - Datalekken moeten zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking gemeld worden. Op de website van de Autoriteit Persoonsgegevens is voor dit doel een webformulier beschikbaar. - De wet geeft aan dat een melding gedaan moet worden aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan moet dit niet alleen gemeld worden aan de Autoriteit Persoonsgegevens maar ook aan de betrokkene. - Bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Deze bestuurlijke boete bedraagt maximaal het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari ,-. Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing opleggen voorafgaand aan een eventuele oplegging van een bestuurlijke boete. 3

4 Stichting Baasis, beleid en uitgangspunten Voor het interne beleid sluit Stichting Baasis aan bij kaders en wetgeving. Dit betekent dat we uitgaan van de volgende kaders en uitgangspunten: - De directeur bestuurder is verantwoordelijk voor het communiceren van beleid met betrekking tot informatiebeveiliging. De beleidsmedewerker onderwijs en kwaliteit is gedelegeerd verantwoordelijke voor het melden van datalekken. - De beleidsmedewerker onderwijs en kwaliteit is aangewezen als operationeel contactpersoon voor het contact met de Autoriteit Persoonsgegevens en voor het melden van datalekken, onder verantwoordelijkheid van de directeur bestuurder. - Stichting Baasis doet zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking melding bij de Autoriteit Persoonsgegevens van een datalek. De ontdekking wordt hierbij gezien als het moment waarop het datalek bekend is bij de beleidsmedewerker onderwijs en kwaliteit. - Bij een datalek met ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkenen zorgen de directeur bestuurder en de beleidsmedewerker onderwijs en kwaliteit voor een juiste melding en informatievoorziening richting betrokkenen. - Bij een datalek zorgt de beleidsmedewerker onderwijs en kwaliteit voor dossieropbouw en archivering van alle acties, communicatie en besluitvorming. 4

5 Procedure/proces meldpunt datalekken Vanuit de Autoriteit Persoonsgegevens is een stappenplan geschreven hoe een organisatie om kan gaan met datalekken: 1. Incidenten worden gemeld en geregistreerd bij de scholen en het stafbureau. Er wordt een incidentenregisteratie bijgehouden van ongevallen en bedreigingen, datalekken wordt hieraan toegevoegd. 2. De directeur maakt een melding van een datalek indien hier sprake van is. Criteria voor het bepalen van wel of niet een datalek: - Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet gedacht worden aan het kwijtraken van een USB-stick, de diefstal van een laptop of een inbraak door een hacker. - Er is sprake van een datalek als er aanzienlijk kans is op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. - De aard van de gelekte persoonsgegevens speelt hierbij een rol. Er is een melding nodig wanneer het gaat om het lekken van persoonsgegevens van gevoelige aard zoals: Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp. Persoonsgegevens over iemands godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag. Gegevens over de financiële of economische situatie van de betrokkene. Gegevens over schulden, salaris- en betalingsgegevens. Gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkene. Gegevens over gokverslaving, prestaties op school/werk of relatieproblemen. Gebruikersnamen, wachtwoorden en andere inloggegevens. Gegevens die kunnen worden misbruikt voor (identiteits)fraude. Biometrische gegevens, kopieën van identiteitsbewijzen en het burgerservicenummer. Op grond van bovenstaande criteria wordt een melding gedaan van een datalek door de directeur aan de beleidsmedewerker onderwijs en kwaliteit. 3. Analyse van het datalek. Als Stichting Baasis onderkennen we twee soorten datalekken op basis van drie factoren: o Hoeveelheid gegevens die zijn gelekt o Het aantal betrokkenen waarvan de gegevens zijn gelekt o De gevoeligheid van de informatie die is gelekt Deze drie factoren worden in combinatie met elkaar beoordeeld om te beoordelen wat voor soort datalek het is. Beperkt datalek. Een datalek dat in algemene zin relatief weinig gegevens bevat, weinig gevoelige informatie en weinig betrokkenen. 5

6 Aanzienlijk datalek. Een datalek waarbij sprake is van een behoorlijk impact: de hoeveelheid informatie is dusdanig dat er sprake is van schooloverstijgende impact, het aantal betrokkenen is schooloverstijgend en de gevoeligheid is aanzienlijk. Elk datalek wordt door de directeur/beleidsmedewerker onderwijs en kwaliteit gemeld en geregistreerd. Vervolgens wordt deze beoordeeld op basis van bovenstaande criteria. Dit gebeurt door de beleidsmedewerker onderwijs en kwaliteit binnen 24 uur na registratie. 4. Verificatie aanzienlijk datalek. Indien er sprake is van een aanzienlijk datalek, zodanig beoordeeld door de beleidsmedewerker onderwijs en kwaliteit, wordt dit ter verificatie voorgelegd aan een commissie. Deze commissie bestaat uit de directeur bestuurder en de werkgroep ICT, totaal 3 personen. Er is daadwerkelijk sprake van een aanzienlijk datalek wanneer twee van de drie leden van de commissie hebben gereageerd op de casus en vindt dat er sprake is van een aanzienlijk datalek. Procedure bij aanzienlijk datalek. Bij een aanzienlijk datalek volgen de vijf volgende stappen: 1. De beleidsmedewerker onderwijs en kwaliteit meldt het datalek bij de Autoriteit Persoonsgegevens en informeert de directeur bestuurder van dit feit. 2. De beleidsmedewerker onderwijs en kwaliteit en de directeur bestuurder bespreken het datalek en eventuele juridische consequenties. De uitkomsten hiervan worden meegenomen in stap 3 en De beleidsmedewerker onderwijs en kwaliteit en de directeur bestuurder bepalen gezamenlijk welke acties ondernomen worden ten aanzien van het informeren van betrokkenen. Zij hebben hierin de regie. Stelregel is dat alle betrokkenen worden geïnformeerd over het datalek en de mogelijke gevolgen voor hun persoonlijke levenssfeer. 4. De beleidsmedewerker onderwijs en kwaliteit archiveert de melding, de communicatie richting betrokkenen en eventuele vervolgstappen. Dit wordt afzonderlijk gearchiveerd waarbij allen de beleidsmedewerker onderwijs en kwaliteit en de directeur bestuurder toegang hebben tot de informatie. Procedure bij beperkt datalek. Bij een beperkt datalek wordt er niet gemeld aan de Autoriteit Persoonsgegevens. Wel blijft afhandeling van het incident van belang in twee stappen: 1. De beleidsmedewerker onderwijs en kwaliteit communiceert met de melder over de afhandeling van het datalek richting betrokkenen en ter voorkoming van toekomstige datalekken. Hierbij geldt dat de melder primair verantwoordelijk is voor de communicatie en de afhandeling. Dit is bijvoorbeeld bij een gestolen USB-stick van een leerkracht. De leerkracht heeft gemeld dat de USB-stick is gestolen en het is aan de leerkracht om richting de directeur en het team te melden dat er een datalek is geweest. 2. De beleidsmedewerker onderwijs en kwaliteit rapporteert periodiek over het aantal datalekken, beperkt en aanzienlijk, richting de directeur bestuurder. 6

7 7