Help een datalek! Wat nu?

Transcriptie

1 Help een datalek! Wat nu? Een aantal ervaringen uit de praktijk Tonny Plas Adviseur informatie- en ibp-beleid voor schoolbesturen in het po en vo

2 Aanleiding Op 1 januari 2016 is er een meldplicht datalekken van kracht. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

3 Trigger Accountantscontrole Bij overtreding van de meldplicht datalekken uit de Wbp kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal euro.

4 Maar wat is dan een datalek? Beveiligingsincidenten 1. Gegevens die verloren zijn geraakt 2. Gegevens die gestolen zijn 3. Gegevens die beschadigd zijn 4. Gegevens die onbedoeld gewijzigd zijn 5. Gegevens die onrechtmatig toegankelijk zijn voor derden Datalekken Er is sprake van een datalek als er bij een opgetreden beveiligingsincident sprake is van persoonsgegevens. Wat zijn persoongegevens? Alle gegevens die (evt. gecombineerd met andere gegevens) tot een persoon herleid kunnen worden. Voorbeelden persoonsgegevens Naam BSN Foto Geboortedatum Adres

5 Voorbeelden incidenten kwijtgeraakte USB-stick met leerlingdossiers gestolen laptop met verslagen functioneringsgesprekken inbraak door een hacker malware- of virusbesmetting waarbij toegang is verkregen tot pasfoto s van leerlingen waardoor personeelsdossiers versleuteld zijn gestolen logingegevens waardoor derden toegang gekregen kunnen hebben krijgen tot het administratiesysteem

6 Datalekken 1. Zijn er bij het incident persoonsgegevens verloren gegaan? Er is geen kopie of backup aanwezig van de persoonsgegevens 2. Is er bij het incident sprake van onrechtmatige verwerking van persoonsgegevens? En kan dit niet uitgesloten worden? Onbevoegden hebben onrechtmatig toegang kunnen krijgen tot de persoonsgegevens

7 Melden? Datalekken hoeven alleen gemeld te worden als er persoonsgegevens van gevoelige aard gelekt zijn of als de aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen kan leiden

8 Gevoelige aard Godsdienst of levensovertuiging, ras, politieke gezindheid, ras, gezondheid, seksuele leven, lidmaatschap vakvereniging, strafrechtelijke gegevens of over onrechtmatig of hinderlijk gedrag, financiële gegevens of over de economische situatie, gegevens die kunnen leiden tot stigmatisering (schoolprestaties, relatieproblemen), gebruikersnamen en wachtwoorden, gegevens die kunnen worden gebruikt bij identiteitsfraude (BSN) Ernstige nadelige gevolgen Misbruik in het criminele circuit van grote databestanden, ingrijpende beslissingen die op basis van (gewijzigde) gegevens worden genomen, gevolgen die binnen ketens van gegevensverwerking kunnen optreden.

9 Wat moet je melden? 1. Geef een samenvatting van het incident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan. 2. Van hoeveel personen zijn persoonsgegevens betrokken bij de inbreuk? 3. Omschrijf de groep mensen van wie persoonsgegevens zijn betrokken bij de inbreuk. 4. Wat is de aard van de inbreuk? 5. Om welk type persoonsgegevens gaat het? 6. Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de betrokkenen? 7. Welke technische en organisatorische maatregelen heeft uw organisatie getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen? 8. Heeft u het datalek gemeld aan de betrokkenen of bent u van plan dat te gaan doen?

10 Melding betrokkenen Een algemene omschrijving van de aard van de incident De contactgegevens om meer informatie over de inbreuk te verkrijgen En de maatregelen die genomen zijn en/of door betrokkene genomen moeten worden om negatieve gevolgen te beperken

11 En dan? De melding moet minimaal 3 jaar bewaard blijven. Bij de melding krijgt u indien nodig - een dwingende aanwijzing die u moet opvolgen. Pas bij ernstige nalatigheid volgen er bestuurlijke boetes afhankelijk van de omstandigheden.

12 Hebt u een protocol? Zorg dat het voor iedereen duidelijk is waar een incident te melden is. Bedenk ook hoe je omgaat met signalen van buitenaf. Wie beslist er binnen een organisatie of een datalek ook gemeld moet worden? Wie verzorgt de melding? Leg dit duidelijk vast. Een technisch onderzoek kan zowel intern als extern belegd zijn. Dit laatste zal het geval zijn als een school het IT-beheer heeft uitbesteed. Benoem dit in het protocol. De manier van communiceren met betrokkenen en eventueel met de pers. Leg dit vast in het protocol.

13 Dus 1. Zorg voor een procedure voor het melden van incidenten en datalekken. Betrek de bestuurder! 2. En vergeet de afspraken met leveranciers niet! Maar

14 Voorkomen is beter, dan Zorg voor informatiebeveiliging en privacybeleid En neem preventieve maatregelen, zoals: 1. Bewustwording en voorlichting (gedragscode) 2. Toegangsbeleid 3. Documentmanagement 4. Backups 5. Encryptie 6. Antivirus en malware 7. Firewalls 8. Logging

15 Links autoriteitpersoonsgegevens.nl/nl/melden/meldplichtdatalekken (model bewerkersovereenkomst)

16 Meer info? Tonny Plas