Procedure Informatiebeveiligingsincidenten en datalekken

Transcriptie

1 DB Prcedure Infrmatiebeveiligingsincidenten en datalekken Versie: 0.1 Versiedatum V-Classificatie: Intern dcument / bedrijfsvertruwelijk

2 Inhud 1. Inleiding Wet- en regelgeving inzake datalekken (art. 33 AVG) Verantwrdelijkheid Afspraken met verwerkers Werkwijze Ontdekken Inventariseren Berdelen Repareren Melden Vastleggen Infrmeren betrkkene Mnitring beveiligingsincidenten en datalekken...8 Prcedure infrmatiebeveiligingsincidenten en datalekken Pagina 2 van 8

3 1. Inleiding Met deze prcedure geeft het GBT uitvering aan het vastgestelde Privacybeleid. In de Algemene Verrdening Gegevensbescherming (AVG), de wet die het mgaan met persnsgegevens reguleert, is een nderdeel inzake meldplicht datalekken pgenmen. De meldplicht verplicht een verwerkingsverantwrdelijke melding te maken van ernstige datalekken bij de Autriteit Persnsgegevens en bij betrkkenen (in bepaalde gevallen). Bvendien is het registreren van incidenten en datalekken aan strengere eisen gebnden. Het nalaten van een melding en/f adequate registratie kan leiden tt een (hge) bete. Deze prcedure beschrijft he er binnen het GBT m met wrden gegaan met een incident f datalek als daar persnsgegevens bij betrkken zijn. De prcedure is van tepassing p de gehele rganisatie van het GBT. Gebruikte termen: Beveiligingsincident: een beveiligingsincident is een gebeurtenis die er vr zrgt f zu kunnen zrgen dat de beschikbaarheid, integriteit en/f vertruwelijkheid van de infrmatievrziening wrdt aangetast. Infrmatievrziening: het geheel van mensen, middelen en maatregelen, gericht p de infrmatiebehefte van de rganisatie. Datalek: een infrmatiebeveiligingsincident, waarbij sprake is van een inbreuk p de beveiliging van persnsgegevens dr bltstelling aan verlies f nrechtmatige verwerking (pgeslagen, aangepast, verznden, kwijtraken, et cetera). Alle datalekken zijn beveiligingsincidenten, maar niet alle beveiligingsincidenten zijn datalekken. Betrkkene: de persn van wie de persnsgegevens zijn gelekt. Verwerkingsverantwrdelijke: een natuurlijke f rechtspersn, een verheidsinstantie, een dienst f een ander rgaan die/dat, alleen f samen met anderen, het del van en de middelen vr de verwerking van persnsgegevens vaststelt; wanneer de delstellingen van en de middelen vr deze verwerking in het Unierecht f lidstatelijk recht wrden vastgesteld, kan daarin wrden bepaald wie de verwerkingsverantwrdelijke is f vlgens welke criteria deze wrdt aangewezen. 2. Wet- en regelgeving inzake datalekken (art. 33 AVG) 1 Een datalek is een infrmatiebeveiligingsincident waarbij sprake is van een inbreuk p de beveiliging van persnsgegevens dr bltstelling aan verlies f nrechtmatige verwerking. Bij een datalek is dus de eerste vraag altijd f er sprake is van een beveiligingsincident, als dit niet z is dan is er k geen sprake van een datalek. De cnstatering dat de beveiliging van persnsgegevens in een bepaald geval niet helemaal in rde is f het versturen van persnsgegevens via mail is dus niet meteen een datalek. Er is wel sprake van een datalek als persnsgegevens verlren raken f nrechtmatige verwerking redelijkerwijs niet kan wrden uitgeslten. Onder nrechtmatige verwerking valt nder andere het aanpassen en/f veranderen van persnsgegevens en niet geautriseerde tegang tt deze persnsgegevens. Er is dus niet alleen sprake van een datalek bij een inbraak dr een hacker. Ok het kwijtraken van een USB-stick, de diefstal van een laptp, het verzenden van gevelige gegevens naar een njuist adres f het verlies van gegevens bij _IBD_Factsheet_Meldplicht_Datalekken_v1.1 Prcedure infrmatiebeveiligingsincidenten en datalekken Pagina 3 van 8

4 een brand in het datacentrum terwijl er geen back-up beschikbaar is, zijn vrbeelden van een datalek. Melding aan Autriteit Persnsgegevens Indien er sprake is van een ernstig datalek, waarbij kans is p verlies f nrechtmatige verwerking van persnsgegevens, met de verantwrdelijke het datalek melden aan de Autriteit Persnsgegevens. Vlgens de wet met een ernstig datalek, znder nndige vertraging, en z mgelijk niet later dan 72 uur na de ntdekking, wrden gemeld aan de Autriteit Persnsgegevens. Lukt dat niet, dan met een verklaring wrden gegeven van de vertraging, schriftelijk en beargumenteerd. Een lek kan ernstig zijn indien er persnsgegevens van gevelige aard zijn gelekt, bijvrbeeld: inlggegevens, financiële gegevens, kpieën van identiteitsbewijzen f gegevens die betrekking hebben p gezndheid. Ok andere factren, zals de heveelheid gelekte persnsgegevens per persn f het aantal betrkkenen van wie er persnsgegevens zijn gelekt, kunnen aanleiding zijn m het datalek te melden. De aard en mvang van het datalek spelen hierbij dus een belangrijke rl. De verwerkingsverantwrdelijke heft geen melding aan de Autriteit Persnsgegevens te maken indien daadwerkelijke identificatie van individuele natuurlijke persnen redelijkerwijs wrdt uitgeslten. Als ten nrechte geen melding wrdt gemaakt van een datalek kan dit bestraft wrden met een bestuurlijke bete dr de Autriteit Persnsgegevens. Melding aan Betrkkene Wanneer de inbreuk in verband met persnsgegevens waarschijnlijk een hg risic inhudt vr de rechten en vrijheden van natuurlijke persnen, deelt de verwerkingsverantwrdelijke de betrkkene de inbreuk in verband met persnsgegevens direct mee. Zwel de aard van de inbreuk als aanbevelingen ver he de verantwrdelijke mgelijke negatieve gevlgen kan beperken, met aan betrkkene gemeld wrden. Een melding aan betrkkene is niet ndig wanneer het GBT passende maatregelen heeft genmen waardr de persnsgegevens die het betreft nbegrijpelijk f ntegankelijk zijn gemaakt. Een melding kan k achterwege gelaten wrden als achteraf maatregelen zijn genmen dr de verwerkingsverantwrdelijke m te zrgen dat de hge risic s vr de rechten en vrijheden van betrkkene zich waarschijnlijk niet meer vr zullen den óf als de mededeling nevenredige inspanning vergt. 3. Verantwrdelijkheid Wanneer GBT verwerkingsverantwrdelijk is, geldt de meldplicht vr het GBT. Een leverancier f externe partij die persnsgegevens in pdracht van het GBT gebruikt is een verwerker. Er kan wrden afgesprken dat een verwerker namens het GBT de melding det. Dit gebeurt alleen p verzek en nder verantwrdelijkheid van het GBT en met vraf schriftelijk zijn vereengekmen. Het GBT is aansprakelijk vr de eventuele schade die ntstaat bij een datalek en met hiervan melding den aan de Autriteit Persnsgegevens en eventueel bij de betrkkenen. Prcedure infrmatiebeveiligingsincidenten en datalekken Pagina 4 van 8

5 4. Afspraken met verwerkers Het GBT met als verantwrdelijke vr de persnsgegevens afspraken maken met leveranciers f andere externe partijen als zij persnsgegevens van ns ntvangen. Afspraken ver datalekken vallen daar k nder. In een verwerkersvereenkmst wrdt.a. antwrd gegeven p de vlgende vragen: He infrmeren het GBT en haar relaties elkaar ver datalekken, en zrgen zij vr bereikbaarheid? Wie det de melding bij de Autriteit Persnsgegevens? Welke infrmatie met de verwerker geven bij een datalek ver de persnsgegevens? Welke infrmatie is ndig vr het den van een melding en welke afspraken zijn gemaakt ver het, ver en weer infrmeren van partijen ver de melding? Binnen welke tijd leveren de verwerkers de gegevens aan? Wie neemt de cmmunicatie met de betrkkenen vr haar rekening als dat ndig is? 5. Werkwijze Binnen het GBT nderscheiden wij vier rllen m een beveiligingsincident en/f datalek succesvl af te handelen: 1. Ontdekker: degene die het beveiligingsincident f datalek p het spr kmt en het prces in werking stelt. Dit kan k de verwerker zijn. 2. Melder (FG/CISO/Privacy Officer): degene die namens het GBT verantwrdelijk is vr het melden van een datalek bij de Autriteit Persnsgegevens. Tevens is de melder degene die adviseert ver de ernst en de mvang. 3. Technicus (ICT-cördinatr): degene die de technische rzaak van het datalek kan (laten) vinden en kan (laten) repareren. Tevens is de technicus degene die adviseert ver de technische ernst en mvang. 4. Functinaris gegevensbescherming: evalueert peridiek de beveiligingsincidenten en /f datalekken en bespreekt ze met de medewerkers. Let p: een datalek met wel na kennisneming dr verwerkingsverantwrdelijke binnen 72 uur gemeld wrden bij de Autriteit Persnsgegevens! 5.1 Ontdekken De Ontdekker merkt een beveiligingsincident p. Via eigen waarneming f via waarneming van een derde. De Ontdekker verzamelt zveel mgelijk infrmatie ver het beveiligingsincident en meldt het z spedig mgelijk bij de Melder via datalekken@ .nl. 5.2 Inventariseren De Melder bepaalt f er vldende infrmatie mtrent het beveiligingsincident bekend is. Z niet, dan zet hij aanvullende vragen uit bij de Ontdekker en/f de Technicus. De vlgende infrmatie wrdt daarna vastgelegd in een register van incidentmeldingen en datalekken: Samenvatting van het beveiligingsincident, wat is de rzaak van het lek, wat is er met de gegevens gebeurd, wat vr een srt gegevens het betreft (bijzndere gegevens f van gevelige aard); Datum/peride van het beveiligingsincident; Aard van het beveiligingsincident; Wanneer van tepassing (bij een datalek): Omschrijving van de grep betrkkenen; Prcedure infrmatiebeveiligingsincidenten en datalekken Pagina 5 van 8

6 Aantal betrkkenen; Indien gemeld aan de betrkkene: k de tekst van kennisgeving; Type persnsgegevens in kwestie; Wrden de gegevens binnen een keten gedeeld. 5.3 Berdelen De Melder berdeelt de feiten m te bepalen f een melding aan de Autriteit persnsgegevens en/f betrkkenen vereist is. Naast de bvenstaande infrmatie wrdt tevens de vlgende infrmatie vastgelegd in het register incidentmeldingen en datalekken : Mgelijke gevlgen vr de persnlijke levenssfeer van de betrkkenen; Wrdt het datalek binnen 72 uur gemeld aan de Autriteit Persnsgegevens? Wanneer het antwrd nee is, wrdt er uitleg gegeven waarm niet. Wrdt het datalek aan betrkkenen gemeld? Wanneer het antwrd nee is, wrdt er uitleg gegeven waarm niet. He wrden meldingen gedaan? Wat is de inhud van de melding? Bij de berdeling f er sprake is van een meldingsplichtig datalek wrdt er rekening gehuden met het type gegevens en met de heveelheid gegevens. Een datalek heft niet gemeld te wrden bij de Autriteit Persnsgegevens, indien het niet waarschijnlijk is dat de inbreuk, in verband met de persnsgegevens, een risic inhudt vr de rechten en vrijheden van betrkkene. De nderstaande beslisbm kan hiervr in beginsel gebruikt wrden: Beveiligingslek Heeft zich een beveiligingsincident vrgedaan? Beveiligingsincident Zijn bij het beveiligingsincident persnsgegevens verlren gegaan, f is nrechtmatige verwerking redelijkerwijs niet uit te sluiten? Gaat het m persnsgegevens van gevelige aard, f is het waarschijnlijk dat het incident nadelige gevlgen kan hebben vr de persnlijke levenssfeer van betrkkene? Datalek Melden aan de Autriteit Persnsgegevens Waren niet alle gelekte gegevens (ged) versleuteld en is er een hg risic p een inbreuk p de persnlijke levenssfeer van betrkkene? Melden aan de betrkkene 5.4 Repareren De Technicus wrdt, vr zver van tepassing, gevraagd te achterhalen wat de technische rzaak van het beveiligingsincident is en met de rzaak (laten) verhelpen. De Technicus van het GBT geeft vervlgens de vlgende infrmatie dr aan de Melder vr vastlegging in het register incidentmeldingen en datalekken : Prcedure infrmatiebeveiligingsincidenten en datalekken Pagina 6 van 8

7 Technische en rganisatrische maatregelen die genmen zijn m de inbreuk te verhelpen en verdere inbreuk te vrkmen (vr zver de rzaak bekend is). Zijn de gelekte gegevens nbegrijpelijk vr degenen die er kennis van heeft kunnen nemen? Indien het antwrd ja is, wrdt aangegeven p welke wijze de gegevens nbegrijpelijk zijn gemaakt (versleuteld). 5.5 Melden Indien de cnclusie bij stap 3 is dat er melding gedaan met wrden bij de Autriteit Persnsgegevens, dan zal de Melder dit binnen 72 uur na ntdekking den. Lukt dat niet, dan met schriftelijk en beargumenteerd een verklaring wrden gegeven van de vertraging. Tevens wrdt de directie en het bestuur peridiek van de meldingen aan de Autriteit Persnsgegevens p de hgte gesteld. De melding aan de Autriteit Persnsgegevens bevat de vlgende infrmatie: De melder van het datalek; Degene met wie de Autriteit Persnsgegevens cntact p kan nemen vr nadere infrmatie ver de melding; En samenvatting van het incident waarbij de inbreuk p de beveiliging van persnsgegevens zich heeft vrgedaan; Het tijdstip van de inbreuk; De aard van de inbreuk; Het type persnsgegevens waarver het gaat; De gevlgen die de inbreuk kunnen hebben vr de persnlijke levenssfeer van de betrkkenen; De technische en rganisatrische maatregelen die het GBT heeft getrffen m de inbreuk aan te pakken en m verdere inbreuken te vrkmen; Of het GBT het datalek gemeld heeft aan de betrkkenen en z niet, f het GBT van plan is dit te gaan den: Z ja, de inhud van de melding aan de betrkkenen. Z nee, de reden waarm het GBT afziet van het melden van het datalek aan de betrkkenen. Zijn de persnsgegevens versleuteld, gehasht f p een andere manier nbegrijpelijk f ntegankelijk gemaakt vr nbevegden? Het lek wrdt gemeld bij het meldlket datalekken: Daar staat een frmulier waar alle beschreven infrmatie ingegeven dient te wrden. Het zu kunnen zijn dat niet alle infrmatie gelijktijdig verstrekt kan wrden. In dat geval is het mgelijk de infrmatie in stappen te verstrekken (artikel 33 AVG). Let p: bij het melden van een datalek wrdt een registratienummer afgegeven. Dit nummer met wrden vastgelegd en wrdt gebruikt in mgelijke crrespndentie met de Autriteit Persnsgegevens, zals bijvrbeeld bij een vervlgmelding. Als de melding vr het Autriteit Persnsgegevens gereed is wrdt k de mgelijkheid gegeven een kpie van de melding uit te printen vr de eigen administratie. Melder archiveert een kpie van de melding in het dssier. Prcedure infrmatiebeveiligingsincidenten en datalekken Pagina 7 van 8

8 5.6 Vastleggen Alle infrmatie, die in de vrafgaande stappen is ingewnnen f ntstaan, wrdt gearchiveerd dr de Melder (en de Technicus), zals hierbven aangegeven. De verwerkingsverantwrdelijke (het GBT) is nder de AVG verplicht alle inbreuken te dcumenteren, met inbegrip van de feiten ver de inbreuk, de gevlgen en de genmen crrigerende maatregelen (artikel 33, vijfde lid AVG). Hierdr is de Autriteit Persnsgegevens in staat naleving van de AVG te cntrleren. NB: dit met k gebeuren als het incident niet gemeld heft te wrden aan de Autriteit Persnsgegevens. De AVG schrijft in dat geval vr dat er beargumenteerd en gedcumenteerd met zijn vastgelegd waarm er niet gemeld is. De Melder infrmeert interne betrkkenen (inclusief de Ontdekker) ver de genmen maatregelen. 5.7 Infrmeren betrkkene Hudt het datalek een hg risic in vr de rechten en vrijheden van natuurlijke persnen, dan deelt de Melder 2 de betrkkene de inbreuk in verband met persnsgegevens direct mee. In principe kan er van wrden uitgaan dat lekken van gegevens van gevelige aard altijd gemeld met wrden bij de betrkkenen. De melding aan de betrkkene bevat een mschrijving, in duidelijke en eenvudige taal, van de aard van de inbreuk in verband met persnsgegevens en tenminste: de naam en de cntactgegevens van de functinaris vr gegevensbescherming f een ander cntactpunt waar meer infrmatie kan wrden verkregen; de waarschijnlijke gevlgen van de inbreuk in verband met persnsgegevens; de maatregelen die de verwerkingsverantwrdelijke heeft vrgesteld f genmen m de inbreuk in verband met persnsgegevens aan te pakken, waarnder, in vrkmend geval, de maatregelen ter beperking van de eventuele nadelige gevlgen daarvan. NB: als er persnsgegevens zijn gelekt maar deze zijn beveiligd f versleuteld, en de gelekte data is nbegrijpelijk f ntegankelijk vr anderen, dan heft dat niet aan betrkkenen te wrden gemeld. 6. Mnitring beveiligingsincidenten en datalekken De Functinaris Gegevensbescherming van het GBT maakt tenminste één keer per jaar een analyse van de meldingen van beveiligingsincidenten en datalekken. In de analyse wrdt ingegaan p eventuele structurele ntwikkelingen, en f de ndzaak bestaat m maatregelen te nemen m herhaling te vrkmen. Bestuur, MT en de OR wrden geïnfrmeerd ver de uitkmsten van de analyse. 2 Dan wel p verzek van de Melder, de klachtencördinatr f andere medewerker van het GBT. Prcedure infrmatiebeveiligingsincidenten en datalekken Pagina 8 van 8