Protocol Informatiebeveiliging en Datalekken SKOTZO

Transcriptie

1 Protocol Informatiebeveiliging en Datalekken SKOTZO

2 Bewerkt door: SKOTZO, Frank van Kollenburg Vastgesteld door SKOTZO: Versie Datum Naam Functie 1.0 GMR

3 Inhoud 1. Inleiding Wet- en regelgeving datalekken Afspraken met leveranciers Werkwijze Uitgangssituatie De vijf rollen De procedure Monitoring beveiligingsincidenten en datalekken Communicatie De manier van communiceren met betrokkenen en de pers Hoe kan worden omgegaan met signalen van buitenaf over een mogelijk datalek? Is het inschakelen van externe deskundigen gewenst?... 6

4 1. Inleiding Het Protocol informatiebeveiligingsincidenten en datalekken sluit aan bij de uitgangspunten in het informatiebeveiligings- en privacy beleid van SKOTZO. Dit protocol biedt een handleiding voor de professionele melding, beoordeling en afhandeling van beveiligingsincidenten en datalekken. Het doel hiervan is het voorkomen van beveiligingsincidenten en datalekken. Dit protocol is van toepassing op de gehele organisatie van SKOTZO, zoals vermeld in het IBP beleid en al haar medewerkers. Gebruikte termen: Beveiligingsincident; een beveiligingsincident is een gebeurtenis die er voor zorgt of zou kunnen zorgen dat de beschikbaarheid, integriteit en/of vertrouwelijkheid van de informatievoorziening wordt aangetast. Informatievoorziening; het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van de organisatie. Datalek; een beveiligingsincident waarbij persoonsgegevens verloren raken of onrechtmatig worden bewerkt (opgeslagen, aangepast, verzonden, et cetera). Alle datalekken zijn beveiligingsincidenten, maar niet alle beveiligingsincidenten zijn datalekken. Betrokkene; de persoon van wie de persoonsgegevens zijn gelekt. 2. Wet- en regelgeving datalekken Op 1 januari 2016 is de Wet meldplicht datalekken ingevoerd. Door deze meldplicht zijn ook scholen verplichting melding te maken van ernstige datalekken bij de Autoriteit Persoonsgegevens. Het nalaten van deze melding kan leiden tot een fikse boete. De meldplicht is alleen van toepassing wanneer persoonsgegevens worden verwerkt. Bijvoorbeeld in je leerlingadministratie of digitale leermiddelen. Als de school gebruik maakt van leveranciers, zoals uitgevers of distributeurs, die persoonsgegevens ontvangen van de school, dan moet de school met deze bewerkers aanvullende afspraken over het melden van datalekken. Er is sprake van een datalek als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan, óf waarbij het niet valt uit te sluiten is dat persoonsgegevens verloren zijn gegaan. Er is persoonlijke informatie gelekt. Een klassiek voorbeeld van een datalek is een hack waarbij een database met persoonsgegevens is gestolen. Maar het verliezen van een usb-stick, met daarop de adresgegevens van een groep leerlingen, is ook een datalek. De meldplicht geldt voor de verantwoordelijke voor de persoonsgegevens. Dat is dus het schoolbestuur. Een leverancier is een bewerker voor de school. Er kan worden afgesproken dat een bewerker namens de verantwoordelijke de melding doet, maar dat gebeurt dan onder verantwoordelijkheid van het schoolbestuur. Dat moet wel worden afgesproken, anders zal de verantwoordelijke zelf de melding moeten doen. Als er een datalek is, moet daar binnen 72 uur na ontdekking van het lek (digitale) melding van worden gedaan bij de Autoriteit Persoonsgegevens.

5 3. Afspraken met leveranciers Het schoolbestuur moet als verantwoordelijke voor de persoonsgegevens afspraken maken met leveranciers als die persoonsgegevens ontvangen. Afspraken over datalekken vallen daar ook onder. Spreek af: Hoe informeer je elkaar over datalekken, en zorg ook voor bereikbaarheid tijdens bijvoorbeeld het weekend en vakanties. Wie doet de melding bij de Autoriteit Persoonsgegevens. Welke informatiegegevens de bewerker moet geven bij een datalek. Welke informatie nodig is voor het doen van een melding, en dat je elkaar informeert over de melding (maak afspraken dat je een kopie van de melding krijgt of doorstuurt). De tijd waarbinnen de bewerkers de gegevens moet aanleveren. Wie de communicatie met de gebruikers voor haar rekening neemt als dat nodig is. Maak schriftelijke afspraken met uw bewerker(s) over datalekken. Hiervoor kan gebruik worden gemaakt van de model verwerkersovereenkomst die hoort bij het convenant Digitale onderwijsmiddelen en privacy ( 4. Werkwijze 4.1 Uitgangssituatie Er is een actueel informatiebeveiligings- en privacybeleid; Er is een actueel document betreffende het aanvaardbaar gebruik van bedrijfsmiddelen en/of gedragscode ict en internetgebruik. (Handboek/Gedragscode) 4.2 De vijf rollen Er zijn vijf rollen die onderscheiden moeten worden om een beveiligingsincident en/of datalek succesvol af te handelen. Deze worden hieronder beschreven. Vervolgens is de procedure in paragraaf 4.3 schematisch uiteengezet met bijbehorende rollen. 1. Ontdekker (medewerker); degene die het beveiligingsincident of datalek op het spoor komt en het proces in werking stelt door zijn direct leidinggevende op de hoogte te stellen. 2. Direct leidinggevende; deze vult samen met de Manager IBP en indien daar bij nodig de ontdekker het meldformulier in. 3. Meldpunt; een centrale locatie waar alle beveiligingsincidenten worden geregistreerd en verder worden verwerkt. 4. Melder; degene die verantwoordelijk is voor het melden van een datalek bij de Autoriteit Persoonsgegevens. 5. Technicus (security officer/ict coördinator); degene die de oorzaak van het datalek kan vinden en indien nodig kan (laten) repareren.

6 4.3 De procedure Ontdekker - Verzamelen informatie - Melden bij direct leidinggevende Direct leidinggevende - Meldformulier beveiligingsincident/datalek invullen - Meldformulier versturen naar Meldpunt - Ontvangt terugkoppeling van melder - Indien nodig: Melden aan betrokkenen Meldpunt - Meldformulier doorsturen naar Melder - Meldformulier in cc naar College van Bestuur Melder - Meldformulier beoordelen en aanvullen - Beslissing nemen: beveiligingsincident of datalek? Gebruik hiervoor de beslissingsboom onder het schema - Indien datalek: Melding Autoriteit Persoonsgegevens - Indien beveiligingsincident: Geen verdere actie - Meldformulier altijd opslaan in intern digitaal archief - Terugkoppeling naar direct leidinggevende Technicus (indien nodig) - Oorzaak van het beveiligingsincident onderzoeken - Oorzaak van beveiligingsincident (laten) verhelpen - Technische en organisatorische maatregelen die genomen zijn om de inbreuk te verhelpen en verdere inbreuk te voorkomen. Voorgaande voor zover de oorzaak bekend is. - Zijn de gelekte gegevens onbegrijpelijk voor degenen die er kennis van heeft kunnen nemen? Hoe zijn de gegevens onbegrijpelijk gemaakt (versleuteld)? In de organisatie Directeur (school) i.s.m. Manager IBP Manager IBP Manager IBP (namens het CvB) Externe beheerpartijen, ICT-er op schoollocatie, Beleidsmedewerker ICT Onderstaande beslissingsboom kan worden gebruikt bij de procedure.

7 5. Monitoring beveiligingsincidenten en datalekken Het Meldpunt van SKOTZO maakt een keer per jaar een analyse van de meldingen van beveiligingsincidenten en datalekken in samenwerking met de functionaris gegevensbescherming. In de analyse wordt ingegaan op eventuele structurele ontwikkelingen, en of de noodzaak bestaat om maatregelen te nemen om herhaling te voorkomen. Deze analyse wordt opgenomen in het jaarverslag van de Stichting. 6. Communicatie 6.1 De manier van communiceren met betrokkenen en de pers De communicatie met betrokkenen vindt plaats volgens de het schema in de procedure (paragraaf 4.3). De direct leidinggevende meldt aan betrokkenen zoals ouders en leerlingen dat zich een beveiligingsincident of datalek heeft voorgedaan, om welke gegevens het gaat en welke actie is ondernomen. Indien nodig, zal het College van Bestuur als eindverantwoordelijke communiceren met de pers. 6.2 Hoe kan worden omgegaan met signalen van buitenaf over een mogelijk datalek? Indien de school of bestuur een bericht bereikt van buitenaf, wordt dit bericht altijd serieus genomen. De Manager IBP neemt contact op met degene die het signaal afgeeft om te achterhalen of het daadwerkelijk een beveiligingsincident of datalek betreft. Indien nodig zal de procedure in gang worden gezet om een datalek te melden bij de Autoriteit Persoonsgegevens. 6.3 Is het inschakelen van externe deskundigen gewenst? Indien technische en organisatorische maatregelen zijn genomen om de inbreuk te verhelpen en verdere inbreuk te voorkomen, is het inschakelen van externe deskundigen niet nodig. Is de kennis niet (voldoende) aanwezig binnen de organisatie, dan wordt de beheerder of leverancier ingeschakeld.