Procedure meldplicht datalekken

Transcriptie

1 Procedure meldplicht datalekken Gemeente Bunnik Versie : 2.0 Datum : april

2 Inleiding Dit document omschrijft de procedure van de meldplicht datalekken Bij deze procedure horen twee bijlagen: IBD factsheet meldplicht datalekken versie Begrippen Instructie meldplicht datalekken voor medewerkers. AVG: Algemene Verordening Gegevensbescherming; Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (definitie AVG); Beveiligingsincident: een gebeurtenis waardoor een inbreuk op de beveiliging van persoonsgegevens ontstaat of kan ontstaan; Datalek: een inbreuk in verband met persoonsgegevens; Verwerking van persoonsgegevens: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens ; Melding: kennisgeving van een datalek aan de Autoriteit Persoonsgegevens (AP); AP: Autoriteit Persoonsgegevens; CISO: Chief Information Security Officer: de functionaris die binnen de gehele gemeente de verantwoordelijkheid draagt voor informatieveiligheid; Functionaris Gegevensbescherming (FG): de onafhankelijke functionaris die binnen de gemeente toezicht houdt op en adviseert over de naleving van de AVG; Beveiligingsbeheerder: de functionaris die binnen de gemeente de verantwoordelijkheid draagt voor informatieveiligheid binnen zijn of haar vakgebied; Privacy beheerder: de functionaris die binnen de gemeente de verantwoordelijkheid draagt voor privacybescherming; Verwerkingsverantwoordelijke: de natuurlijke persoon, rechtspersoon, bestuursorgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt in dit geval het college van burgemeester en wethouders; Medewerker: degene die in dienst of in opdracht van de verwerkingsverantwoordelijke werkzaamheden voor de verwerkingsverantwoordelijke verricht, inclusief bestuurders. 2

3 Wettelijk kader Op verwerking van persoonsgegevens is de Europese Algemene Verordening Gegevensbescherming en de nationale Uitvoeringswet AVG van toepassing. Artikel 33 van de AVG bepaalt dat de verwerkingsverantwoordelijke een inbreuk in verband met persoonsgegevens (datalek) binnen 72 uur nadat hij daarvan kennis heeft genomen moet melden aan de AP, tenzij het niet waarschijnlijk is dat de bedoelde inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien dit wel waarschijnlijk is, wordt in dit protocol gesproken van een ernstig datalek. De verwerkingsverantwoordelijke moet volgens artikel 33, vijfde lid AVG alle inbreuken in verband met persoonsgegevens opnemen in een register. Artikel 34 AVG regelt de meldplicht van een ernstig datalek aan de betrokkene. Inbreuk op de beveiliging van persoonsgegevens (datalek) Een inbreuk op de beveiliging moet ruim worden geduid. Dit betreft alle beveiligingsincidenten waarbij de bescherming van persoonsgegevens is doorbroken waardoor de persoonsgegevens zijn blootgesteld aan verlies, onrechtmatige inzage of onrechtmatige verwerking. Het is niet van belang of de verantwoordelijke beveiligingsmaatregelen had getroffen of niet. Voorbeelden hiervan zijn phishing s, een hack poging een verloren usb stick met persoonsgegevens, niet geautoriseerde toegang tot persoonsgegevens of een losslingerende post-it met inloggegevens. Melding van een datalek Niet alle datalekken hoeven bij de AP te worden gemeld. Er geldt een meldplicht als het waarschijnlijk is dat het datalek nadelige gevolgen heeft voor de persoonlijke levenssfeer van betrokkenen. Er is dan sprake van een ernstig datalek. Voor de beoordeling van de ernst van een datalek moet gekeken worden naar de aard van de gelekte persoonsgegevens. Het verlies of onrechtmatige verwerking van gevoelige persoonsgegevens kan al snel een ernstig datalek opleveren, maar ook de aard en omvang van het lek speelt daarbij een rol. Als identificatie van individuele personen redelijkerwijs kan worden uitgesloten, hoeft het datalek niet te worden gemeld. Bij persoonsgegevens van gevoelige aard, moet gedacht worden aan: Gezondheidsgegevens Financiële gegevens / inkomensgegevens Gegevens betreffende iemands levensovertuiging Gegevens betreffende iemands politieke gezindheid Inloggegevens, gebruikersnamen en wachtwoorden Burgerservicenummer (BSN) Biometrische gegevens (vingerafdrukken etc.) Maar ook gegevens betreffende iemands verslaving, relatie of schoolprestaties zijn persoonsgegevens van gevoelige aard. 3

4 Melding aan de betrokkene De AVG bepaalt dat de verwerkingsverantwoordelijke de betrokkene onverwijld in kennis stelt van een datalek als de inbreuk waarschijnlijk een hoog risico inhoudt voor diens persoonlijke levenssfeer (aantasting in eer en goede naam, identiteitsfraude, discriminatie). De melding aan de betrokkene hoeft niet te worden gedaan als de verwerkingsverantwoordelijke maatregelen heeft getroffen waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn gemaakt. De mededeling aan betrokkene moet voldoen aan het bepaalde in artikel 34, tweede lid van de AVG. Alle inbreuken opnemen in een register Alle datalekken moeten worden opgenomen in een register. Daarbij moeten de feiten, de gevolgen en de corrigerende maatregelen worden vermeld. Dit register moet toegankelijk zijn voor de toezichthouder. Procedure, verantwoordelijkheden en bevoegdheden Binnen de organisatie zijn de volgende verantwoordelijkheden en taken belegd omtrent de meldplicht datalekken: Medewerkers Iedere medewerker die te maken krijgt met een beveiligingsincident met (mogelijk) een inbreuk op de beveiliging van persoonsgegevens, is verplicht dit onmiddellijk te melden bij de privacy beheerder. Privacy beheerder De privacy beheerder is het eerste aanspreekpunt voor een melding van een datalek. Deze meldt alle datalekken direct bij de FG en overlegt met hem over de meldplicht. De privacy beheerder stelt de Ciso op de hoogte van elk datalek. De privacy beheerder koppelt de te nemen beveiligingsmaatregelen terug aan de melder. Een ernstig datalek dat gemeld moet worden meldt de privacy beheerder aan de AP. De privacy beheerder houdt het register van datalekken bij. Chief Information Security Officer (CISO) De CISO wordt op de hoogte gebracht van alle (mogelijke) datalekken. De CISO kan de privacy beheerder en de FG adviseren over de kwalificatie datalek en de te nemen technische en organisatorische maatregelen. Functionaris gegevensbescherming (FG) De FG is de toezichthouder op de naleving van de AVG en hij adviseert het college en medewerkers gevraagd en ongevraagd. De privacy beheerder meldt elk datalek direct aan de FG. De FG bepaalt of het datalek ernstig is en of dit moet worden gemeld aan de AP. Daarnaast bepaalt hij welke maatregelen moeten worden getroffen. Ook bepaalt de FG of de betrokkene(n) over het datalek moet(en) worden geïnformeerd. 4

5 5

6 6