DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Transcriptie

1 DATALEK PROTOCOL Versie 1.0. / I.D. Wagenaar Op 1 januari 2016 is de meldplicht datalekken ingevoerd. Dit houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij Autoriteit Persoonsgegevens (hierna AP). In dit protocol wordt uitgelegd wat de meldplicht inhoudt en wat het begrip datalek inhoudt. 1

2 Het protocol definieert wat verstaan wordt onder een datalek en wanneer er de meldplicht bestaat. 1. Wat is een datalek? Een datalek is het verlies of de onrechtmatige verwerking van persoonsgegevens als gevolg van een inbreuk op de beveiliging daarvan. Voorbeelden: - Een met een bestand met persoonsgegevens die aan de verkeerde geadresseerde wordt gestuurd; - Een hack van het computersysteem waardoor er toegang is tot bestanden met persoonsgegevens; - Een aanval met ransomware; - Een laptop van Minox wordt gestolen die onvoldoende beveiligd is waardoor een buitenstaander kan inloggen; - Een USB stick met bestanden waarop ook persoonsgegevens is kwijtgeraakt of wordt gestolen; - Inbraak in het kantoor van Minox waardoor opgeslagen archieven van bijv. faillissementen waarin zich persoonsgegevens bevinden worden gestolen. 2. Wanneer is er een meldplicht? Hiervoor moeten de volgende vragen worden beantwoord: 1. Is de meldplicht datalekken uit de WBP/AVG van toepassing? 2. Is een gebeurtenis te beschouwen als een datalek? 3. Moet het datalek worden gemeld bij AP? 4. Hoe en wanneer moet het datalek worden gemeld bij AP? 5. Moet het datalek ook worden gemeld aan de betrokkene oftewel degene van wie de persoonsgegevens zijn gelekt? Zo ja, hoe moet worden gemeld en wanneer? 6. Welke gegevens moeten worden vastgelegd voor de melding? Hoe de vragen moeten worden ingevuld, de nadere details worden gegeven op de volgende pagina s 2

3 Ad 1. Is de meldplicht datalekken uit de WBP/AVG van toepassing? Toelichting op bovenstaand schema: 1.1. Is er sprake van verwerking van persoonsgegevens? Een persoonsgegeven is elke gegeven betreffende een geïdentificeerde of identificeerbare persoonsgegevens zoals NAW, IP adressen, telefoonnummers, registratienummers, BSN nummers, kopie ID s, foto s. Verwerking houdt in: elke handeling of handelingen m.b.t. persoonsgegevens zoals verzamelen, vastleggen, ordenen, bewaren, raadplegen, muteren, verspreiden enz. Indien het antwoord nee is, is de meldplicht niet van toepassing. Indien het antwoord ja is, is de volgende vraag relevant: 1.2. Is Minox de verantwoordelijke voor de verwerking (verwerkingsverantwoordelijke) of is degene die verwerkt heeft een vertegenwoordiger van Minox? Verwerkingsverantwoordelijke is degene die alleen of tezamen met anderen, het doel van en de middelen voor de verwerking vaststelt. Vertegenwoordiger is degene die op basis van een overeenkomst of volmacht handelt. Als Minox bij de verwerking derden inschakelt, is Minox ter zake van de meldplicht eindverantwoordelijke. Indien het antwoord nee is, is de meldplicht niet van toepassing. Indien het antwoord ja is, is de volgende vraag relevant: 1.3. Is de WBP of per 26 mei 2018 de AVG van toepassing op de verwerking? Bepaalde verwerkingen vallen door hun aard of hun doelstelling buiten de reikwijdte van de WBP of de AVG. Dat is bijv. bij huishoudelijke doeleinden of persoonlijke doeleinden, of bij literaire/journalistieke of artistieke doeleinden geldt de meldplicht niet. Indien het antwoord nee is, is de meldplicht niet van toepassing. Als het antwoord op alle vragen ja is, is de meldplicht van toepassing. 3

4 De beantwoording van 1.3. in schema s: 4

5 5

6 Ad. 2. Is een gebeurtenis te beschouwen als een datalek? Toelichting op het schema hierboven: 3.1. Is er sprake van een inbreuk op de beveiliging? Er heeft zich een beveiligingsincident voorgedaan. Als het antwoord nee is, is er geen datalek. Antwoord ja, dan moet de volgende vraag worden beantwoord: 3.2. Zijn bij de inbreuk persoonsgegevens verloren gegaan? Dit houdt ook in als er twijfel is of niet kan worden uitgesloten dat persoonsgegevens onrechtmatig zijn verwerkt waaronder moet worden begrepen de aantasting van persoonsgegevens, onbevoegde kennisnemen, wijziging of verstrekking daarvan. Als het antwoord nee is, is er geen datalek. Antwoord ja, dan moet de volgende vraag worden beantwoord: 3.3. Kan Minox redelijkerwijs uitsluiten dat er persoonsgegevens onrechtmatig zijn verwerkt? Als het antwoord ja is, is er geen datalek. Als de vragen 1 en 2 met nee zijn beantwoord, en de laatste vraag met ja, is er wel een datalek! 6

7 Ad. 3. Moet het datalek gemeld worden bij AP? Melding moet geschieden als er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Beoordeeld moet worden: Toelichting op het schema hierboven: Zijn er persoonsgegevens van gevoelige aard gelekt? Dit is het geval als er bijzondere persoonsgegevens zijn gelekt zoals gegevens over religie, ras, politieke gezindheid, gezondheid, seksuele geaardheid, vakbondslidmaatschap, strafrechtelijke gegevens en of gegevens over onrechtmatig, hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag; Of als er sprake is van gegevens zoals gegevens over de financiële of economische situatie van betrokkene, gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkene, inloggegevens zoals gebruikersnamen, wachtwoorden of andere inloggegevens, gegevens die gebruikt kunnen worden voor identiteitsfraude (zoals een kopie ID, BSN nummer), gegevens uit DNA databanken, gegevens waar een bijzondere wettelijk bepaalde geheimhoudingsplicht op rust en gegevens die vallen onder een beroepsgeheim. Als het antwoord ja is, is er sprake van een meldplicht aan AP! Als het antwoord nee is, moet de volgende vraag worden beantwoord: Leiden de aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen? Dat wil zeggen: gaat het om veel persoonsgegevens per persoon of om gegevens van grote groepen? Zijn de beslissingen die op basis van de verwerkte persoonsgegevens worden genomen ingrijpend? Worden de persoonsgegevens binnen bepaalde ketens zoals de overheid gedeeld? Gaat het om persoonsgegevens van kwetsbare groepen? Als het antwoord ja is, is er sprake van een meldplicht aan AP! Als het antwoord nee is, hoeft er niet worden gemeld! 7

8 Ad. 4 Hoe en wanneer moet het datalek gemeld worden bij AP? Bij de website van AP is een webformulier beschikbaar voor melden Datalek moet onverwijld worden gemeld, dus na ontdekken van de mogelijke datalek. Er mag enige redelijke tijd worden genomen voor nader onderzoek ten einde een onnodige melding te voorkomen. Echter een melding moet gebeuren binnen 72 uur na ontdekking (te lopen van het moment dat Minox of de bewerker/verwerker van Minox op de hoogte raakt van het incident dat mogelijk onder de meldplicht valt. 8

9 Ad. 5 Moet het datalek ook worden gemeld aan de betrokkene oftewel degene van wie de persoonsgegevens zijn gelekt? Zo ja, hoe moet worden gemeld en wanneer? Toelichting: Niet melden aan betrokkene in de volgende gevallen: 1. (7.2.) Er zijn passende technische beschermingsmaatregelen genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor een ieder die geen recht heeft op kennisname van de gegevens, bijv. Door adequate encryptie (versleuteling) en hashing (het omzetten van gegevens in een unieke code) zie ook het schema op de volgende sheet; 9

10 2. (7.3.) Andere technische beschermingsmaatregelen bieden voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten doordat er sprake is van een tijdige en adequate op afstand wissen van de gegevens die op het apparaat staan (remote wiping), of er sprake is van pseudonimisering (technische maatregelen om te voorkomen dat de persoonsgegevens gekoppeld kunnen worden aan de oorspronkelijke identiteit van een persoon); 3. (7.4.) Het is onwaarschijnlijk dat het datalek ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. Let op: er mogen dan geen persoonsgegevens van gevoelige aard zijn gelekt (zie vorige sheets). AP kan dit toetsen, als AP van mening is dat er wel ongunstige gevolgen kan zijn voor de persoonlijke levenssfeer van betrokkene, kan AP opdragen dat er alsnog moet worden gemeld aan betrokkene. 4. (7.5.) Er zijn andere zwaarwegende redenen om de melding aan betrokkene achterwege te laten. Als zwaarwegend wordt beschouwd: a. de veiligheid van de staat is in het geding b. voorkoming, opsporing en vervolging van strafbare feiten c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen d. toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen die beschreven zijn onder b en c. e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen. Hoe en wanneer meld je aan de betrokkene? Er moet gemeld worden aan betrokkene via een kennisgeving, die het volgende inhoudt: - de aard van de inbreuk; - de instantie(s) waar de betrokkene meer informatie kan krijgen over de inbreuk (contactgegevens); - de maatregelen om de negatieve gevolgen van de inbreuk te beperken Er moet onverwijld worden gemeld. Dit betekent binnen redelijke tijd. Ad. 6 Welke gegevens moeten worden vastgelegd voor de melding? Van iedere datalek wordt vastgelegd: - Aard van de inbreuk en wanneer deze is ontdekt - Of er gemeld is aan betrokkene en zo ja, de inhoud van de kennisgeving (tekst) 3. Overige zaken die van belang zijn Archivering Er moet een overzicht bijgehouden worden van alle datalekken die onder de meldplicht vallen, dus alle datalekken die aan AP moeten worden gemeld. Dit overzicht bevat de gegevens die voor melding nodig zijn (zie vorige sheet). Bewaartermijn van het overzicht: minimaal 1 jaar. Sancties Een overtreding van de meldplicht datalekken wordt beboet tot invoering van de AVG met een boete van maximaal EUR euro, ex artikel 23 lid 4 Wetboek van Strafrecht. Als de overtreding niet opzettelijk is gepleegd en er geen sprake is van een ernstig verwijtbare nalatigheid, kan AP een bindende aanwijzing opleggen. Aangifte Bij het vermoeden van een hack of strafbaar handelen, zal er aangifte moeten worden gedaan bij de politie. Procedure datalek 10

11 De procedure beschrijft een praktisch handvat voor de medewerkers hoe er gehandeld moet worden bij een datalek. Dit protocol is een nadere uitleg/beschrijving. 4. Totaaloverzicht meldingsprocedure in schema Schema 1 11