Wanneer met betrekking tot informatiebeveiliging een incident ontstaat, is het van belang dat dit zo snel mogelijk wordt gemeld en wordt behandeld.

Transcriptie

1 1 Toepassingsgebied De procedure is van toepassing wanneer er een incident plaatsvindt waardoor de exclusiviteit van de informatievoorziening wordt aangetast. 2 Doel Wanneer met betrekking tot informatiebeveiliging een incident ontstaat, is het van belang dat dit zo snel mogelijk wordt gemeld en wordt behandeld. Op deze manier worden de negatieve gevolgen van het beveiligingsincident voor de organisatie tot een minimum beperkt. Bovendien dient beoordeeld te worden of het incident aanleiding is tot melding van dat incident in het kader van de meldplicht datalekken (Wet bescherming persoonsgegevens- Wbp artikel 34a).aan de Autoriteit Persoonsgegevens. 3 Definities /afkortingen / terminologie Definitie /Term / Afk.. Verklaring Gebruiker Personeelsleden van Medrie en een ieder die toegang heeft tot de informatiesystemen van Medrie; zoals huisartsen, POH-ers, assistentes, diëtistes, specialisten etc. In deze tekst kortheidshalve aangeduid als gebruiker Melder Degenen die een mogelijk Datalek signaleert en dit meldt bij de ICT ICT ICT afdeling van Medrie Security Officer/Hoofd Functionaris belast met de taak om de ernst en mogelijke gevolgen van een incident te beoordelen in de rol van Security Officer Financiën en Control Bij Medrie is deze rol belegd bij het Hoofd Financiën en Control Incident informatiebeveiligingsincident waarbij de beschikbaarheid, de exclusiviteit en/of de integriteit van de informatievoorziening wordt aangetast. Databewerker Externe ICT leverancier aan wie de bewerking en opslag van data is uitbesteed Bewerkersovereenkomst Overeenkomst tussen ICT leverancier en Medrie waarin onder andere is vastgelegd dat een mogelijk veiligheidsincident dat door de Databewerker wordt geconstateerd onverwijld aan ICT van Medrie wordt gemeld DataLek Een incident waarbij mogelijk persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. 1

2 Meldingsplicht Verplichte melding van een Datalek bij de Autoriteit Persoonsgegevens en eventuele betrokkenen conform de beleidsregel voor toepassing van Artikel 34a van de Wbp, van de Autoriteit Persoonsgegevens Wbp Wet bescherming persoonsgegevens Meldplicht Datalekken Beleidsregel voor toepassing van artikel 34a Wbp, dd. 8 december 2015 Autoriteit Voorheen het College bescherming persoonsgegevens; het college waar datalekken gemeld dienen te worden. Persoonsgegevens Voorzitter Raad van In dit kader de verantwoordelijke voor de melding van een Datalek conform de beleidsregel voor toepassing van art 34a van de Bestuur Wbp Betrokkene(n) Degene op wie een persoonsgegeven betrekking heeft, zoals; Patiënten, medewerkers, huisartsen, ketenpartners, bestuurders en commissarissen etc. RvC Raad van Commissarissen AH Aandeelhouders 2

3 4 Werkwijze 4.1 Stroomschema Informatiebeveiliging, melding Datalek Melding van informatie beveiliging Incident Fase 3 VZ RvB Hoofd Financiën en Control ICT Gebruikers Maatregelen nemen om incident op te lossen Informeren hoofd F&C Beoordelen risico op imagoschade Maatregelen nemen om herhaling te voorkomen Melden AP nodig? Melden datalek bij VZ RvB Melden AP en informeren RvC en AH nodig? Melden aan AP en betrokkenen Informeren I n betrokkenen nodig? Melden aan AP Verbeteracties opstellen, uitvoeren, opstellen, uitvoeren, en borgen incl en borgen incl procesevaluatie met procesevaluatie met hoofd F&C Communiceren naar betrokken betrokken medewerkers en medewerkers en anderen Geeft G reactie AP P aanleiding tot nadere actie? Einde proces

4 4.2 Toelichting activiteiten Nr. Omschrijving Functie verantwoordelijke 0 Een Datalek dient binnen 72 uur gemeld te worden bij de Autoriteit Persoonsgegevens. Onderstaande procedure dient dan ook binnen dat tijdsbestek plaats te vinden. 1 Elke gebruiker moet alert zijn op bedreigingen met betrekking tot informatiebeveiliging Alle gebruikers van Medrie / Melder en is verplicht om alle incidenten die hij/zij ontdekt of vermoedt, te melden aan de afdeling ICT. In geval het vertrouwelijke zaken of personen betreft, kan de melding ook rechtstreeks aan de Security Officer geschieden. 2 Databewerkers zijn conform zoals vastgelegd in de met hen overeengekomen of over een te komen bewerkersovereenkomst(en) verplicht een (mogelijk) Datalek terstond te melden bij de ICT afdeling van Medrie. Databewerker 3 Maatregelen ter afhandeling van het incident en ter voorkoming van herhaling ICT 4 Inschakelen/ op de hoogte brengen van Security Officer ICT 5 Beoordeling van de impact van het informatiebeveiligingsincident t.a.v. de exclusiviteit Security Officer (Hfd. Financiën en Control) van de data. Wel of geen noodzaak tot melding bij de Autoriteit Persoonsgegevens. Indien ja: ga verder naar 6 Indien nee: ga verder naar 10 In alle gevallen dient tevens beoordeeld te worden of er risico is op imagoschade en/of escalatie in media. Bij deze beoordeling worden andere functionarissen, zoals de communicatieadviseur, betrokken 6 Melding van het Datalek bij de VZ RvB Security Officer (Hfd. Financiën en Control) 7 Beoordeling noodzaak melding bij Autoriteit Persoonsgegevens en evt. betrokkenen en VZ RvB informeren RvC en Aandeelhouders (AH). Indien : verder naar 10 Indien alleen melding bij Autoriteit Persoonsgegevens: verder naar 9 Indien melding bij Autoriteit Persoonsgegevens en betrokkenen: verder naar 9 4

5 8 Melding Datalek bij Autoriteit Persoonsgegevens en informeren RvC en AH VZ RvB 9 Melding Datalek bij Autoriteit Persoonsgegevens en betrokkenen en informeren RvC en VZ RvB AH 10 Evaluatie en monitoring van het proces en uitkomsten van meldingen en het uitzetten Security Officer (Hfd. Financiën en Control) / VZ van verbeteracties. Om herhaling te voorkomen en borging RvB 11 Communicatie naar betrokken medewerker(s) en anderen over Incident en getroffen RvB verbeteracties 12 Geeft reactie Autoriteit Persoonsgegevens aanleiding tot nadere actie? RvB / Security Officer (Hfd. Financiën en Control) Zo nee: Einde Zo ja: naar Meldplicht datalekken in de Wet bescherming persoonsgegevens Eisen Wet bescherming persoonsgegevens. 4.4 Externe documenten (indien van toepassing) Naam extern document (met versie nummer) Wie & waar beheren Bewaartermijn Tool meldplicht datalekken Security Officer (Hfd. Financiën en Control) Bewerkersovereenkomst ICT 4.5 Kwaliteitsregistraties Rubriek NEN Naam kwaliteits- registratie Wie & waar beheren Bewaartermijn Meldingen Security Officer (Hfd. Financiën en Control) 5

6 5 Prestatie indicatoren Aantal meldingen dat binnen 72 uur is afgehandeld. 6 Bijlagen Bijlage 1: Voorbeelden van mogelijke Incidenten Bijlage 2: Overzicht van digitaal opgeslagen persoonsgegevens Bijlage 3: Meldplicht datalekken in de WbP Bijlage 4: Tool Meldplicht Datalekken, beoordeling door Security Officer) 6