A2 PROCEDURE MELDEN DATALEKKEN

Transcriptie

1 A2 PROCEDURE MELDEN DATALEKKEN Deze procedure voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken. Deze procedure is met ingang van 1 juli 2016 van toepassing voor de gemeenten Cranendonck, Heeze-Leende en Valkenswaard (A2 gemeenten) en de GR Samenwerking A2 gemeenten. De procedure is vastgesteld door de afzonderlijke colleges van de voornoemde gemeenten en het Dagelijks Bestuur van de GR Samenwerking A2 gemeenten. De procedure maakt integraal onderdeel uit van het A2 Informatie Beveiligingsplan. Definities 1. Datalek: Het kan gebeuren dat gegevens toegankelijk worden voor mensen die geen recht hebben op kennisname van die gegevens (datalek). Artikel 34a lid 1 van de Wbp zegt dat het gaat om een inbreuk op de beveiliging, bedoeld in artikel 13 Wbp, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Deze inbreuken dienen onverwijld te worden gemeld aan de toezichthouder. Vervolgens zegt artikel 34a lid 2 dat alle betrokkenen ook in kennis gesteld moeten worden indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 2. Boetebevoegdheid: de toezichthouder kan bestuurlijke boetes opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dit is een boete van maximaal CISO: De door de A2 gemeenten en GR samenwerking A2 gemeenten aangewezen coördinator informatiebeveiliging welke de rol vervult van Chief Information Security Officer, zoals opgenomen in de Baseline Informatieveiligheid Gemeenten. Uitvoering 1. Iedere medewerker die direct of indirect kennis draagt of krijgt van een datalek, is verplicht dit direct te melden aan zijn teammanager/afdelingshoofd en de coördinator informatiebeveiliging (CISO, of [email protected]). Een medewerker is te allen tijde bevoegd

2 ook rechtstreeks melding te doen bij de CISO. Bij een datalek kan bij voorbeeld worden gedacht aan: a. een kwijtgeraakte USB-stick; b. een gestolen laptop; c. een inbraak door een hacker; d. verzending van waarin de adressen of andere persoonlijke gegevens van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden; e. een malware-besmetting; f. een calamiteit zoals een brand in een datacentrum; g. s (intern/extern) onbeveiligd die privacygevoelige informatie bevatten (m.n. sociaal domein, publiekszaken). 2. De coördinator informatiebeveiliging (CISO) is verantwoordelijk voor het onderzoeken van het datalek. Afhankelijk van de complexiteit kan hij hiervoor aan de directie van de betreffende organisatie voorstellen om tijdelijk een ambtelijke Datalekken Commissie in te stellen en/of een Datalekken calamiteitenteam. Hierbij is aandacht voor de volgende aspecten: a. wat is de aard van het datalek; b. wat is de oorzaak dat dit incident heeft plaatsgevonden; c. is er sprake van het niet nakomen van of een tekortkoming in de beveiligingsprocedures; d. is de organisatie verwijtbaar. 3. De CISO bepaald de vervolgmaatregelen op basis van onderstaande beslisboom:

3 4. De teammanager/het afdelingshoofd is verantwoordelijk voor het nemen van preventieve en repressieve acties, inclusief het eventueel melden aan de betrokkenen. De CISO (en eventueel de Datalekken Commissie) adviseert hierbij, eveneens betreffende de wijze en inhoud van de melding aan de betrokkenen. 5. De CISO doet indien noodzakelijk de melding aan de Autoriteit Persoonsgegevens (AP) en onderhoudt het verdere contact met de AP. Een datalek moet onverwijld maar uiterlijk binnen 72 uur aan de AP gemeld worden. Deze termijn begint te lopen vanaf het moment dat de medewerker kennis draagt van het datalek. Wanneer de AP aanwijzingen geeft worden deze opgevolgd en vastgelegd. 6. De CISO doet eveneens melding bij de Informatie Beveiligingsdienst Gemeenten (IBD). 7. De teammanager/het afdelingshoofd en de CISO informeren de portefeuillehouder en de gemeentesecretaris/a2 directie over het datalek, de genomen en nog te nemen maatregelen. 8. De CISO adviseert de portefeuillehouder en/of A2 bestuur en de gemeentesecretaris/a2 directie betreffende het communicatietraject (gemeenteraad, actief of passief, intern en extern), en initieert indien nodig met de verantwoordelijke voor persvoorlichting een communicatieboodschap en een Q&A voor het KCC. 9. De CISO maakt een verslag van de afhandeling van het datalek en legt dit in TopDesk vast. 10. De CISO analyseert na afloop van een kalenderjaar de voorgekomen datalekken en genomen maatregelen en stelt een verbeterplan of -advies op. Dit plan of advies wordt opgenomen in de jaarlijkse managementrapportage betreffende informatieveiligheid. 11. De gemeenteraad wordt geïnformeerd door middel van de aparte paragraaf informatieveiligheid in het jaarverslag. Instellen Datalekken Commissie 1. De CISO kan, indien hij dit op basis van de melding van het datalek noodzakelijke acht, in overleg met de portefeuillehouder/a2 bestuur en de gemeentesecretaris/a2 directie, een Datalekken Commissie bestaande uit ten minste drie leden instellen om verdergaand onderzoek te verrichten. 2. Betrokkenen bij het incident, dan wel het team/de afdeling waar het incident heeft plaatsgevonden, kunnen niet deelnemen. Bij de samenstelling van de Datalekken Commissie wordt rekening gehouden met de aard van het incident. De CISO faciliteert waar nodig de Datalekken Commissie.

4 3. De CISO formuleert een schriftelijke opdracht voor de Datalekken Commissie, inclusief de termijn waarbinnen de rapportage gereed moet zijn. Bij deze opdracht is ook de informatie gevoegd die op dat moment al bekend is. 4. De CISO plant een startbijeenkomst ter bespreking van de opdracht aan de Datalekken Commissie. 5. De Datalekken Commissie onderzoekt verder hoe het datalek is gebeurd, of en zo ja hoe dergelijke datalekken in de toekomst kunnen worden voorkomen (het vermijdbaarheidsaspect). De bevoegdheden van de Datalekken Commissie zijn: a. de mogelijkheid met iedereen te spreken; b. alle relevante documenten in te zien; c. toegang te hebben tot alle plaatsen. Dit alles in het kader van wat de commissie nodig acht ten behoeve van een zorgvuldige analyse; d. in relatie tot de externe bewerker gelden de afspraken zoals vastgelegd in de bewerkersovereenkomst; e. de datalekken commissie kan in overleg met, of op instigatie van de portefeuillehouder/a2 bestuur of de gemeentesecretaris/a2 directie, besluiten om externe deskundigen te betrekken bij het onderzoek. Instellen Datalekken Calamiteitenteam 1. Indien het datalek een grote impact kan hebben (imago, financiële en of andere substantiële schade) kan door de CISO in overleg met de directie een calamiteitenteam datalekken worden samengesteld, waaraan ten minste deelnemen: a. Portefeuillehouder/bestuurder A2; b. Gemeentesecretaris/directielid A2; c. CISO; d. Betrokken teammanager/afdelingshoofd. Overige deelnemers worden naar behoefte toegevoegd. 2. Het Datalekken Calamiteitenteam heeft vooral tot doel om de schade voor de organisatie te beperken door tijdige en juiste communicatie en direct passende maatregelen te treffen. Er wordt zoveel mogelijk als zinvol gebruik gemaakt van de organisatie en processen uit de gemeentelijke crisis- en rampenorganisatie.

5 Wat moet ik regelen als ik persoonsgegevens laat verwerken door een andere partij (bewerker)? Veel procesverantwoordelijken (teammanagers/afdelingshoofden) laten de verwerking van hun persoonsgegevens geheel of gedeeltelijk uitvoeren door een zogeheten bewerker. Een bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen (artikel 1, sub e, Wbp). De procesverantwoordelijke is verantwoordelijk voor het maken van afspraken met de bewerker, waardoor er voldoende waarborgen zullen zijn ten aanzien van de naleving van de meldplicht voor datalekken. De bewerker dient de maatregelen te treffen die nodig zijn zodat de gemeente aan de meldplicht voor datalekken kan voldoen (artikel 14, lid 3, sub c, Wbp), waaronder het tijdig en adequaat informeren over de datalekken waarvan hij kennis krijgt. De met de bewerker gemaakte afspraken worden vastgelegd in een bewerkersovereenkomst. De CISO kan hierbij adviseren.