Procedure Melden beveiligingsincidenten

Vergelijkbare documenten
Regeling datalekken StOVOG

Formulier voor het melden van een datalek

Protocol meldplicht datalekken

Melden van datalekken

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Protocol Datalekken Twelve

BIJLAGE 3. Procedure Meldplicht Datalekken

Formulier melding datalek

Raadsmededeling - Openbaar

Protocol meldplicht datalekken

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Regeling meldplicht datalekken 2016

Protocol datalekken Samenwerkingsverband ROOS VO

Protocol meldplicht datalekken

Calamiteitenplan datalekken Unidis B.V.

Procedure meldplicht datalekken

Procedure Meldplicht Datalekken. Versie 1.1 Datum Maart 2016 Specialist Informatiebeveiliging

Privacybeleid ConnectingTheDots

Procedure melden beveiligingsincidenten en datalekken

Procedure beveiligingsincident en weging meldplicht datalek

Datalekprotocol binnen Reto

Meldplicht Datalekken Vereniging Beveiligingsprofessionals Nederland

Sta eens stil bij de Wet Meldplicht Datalekken

Help een datalek! Wat nu?

Protocol Meldplicht datalekken

Protocol Meldplicht Data-lekken

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Documentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN

Protocol datalekken SKOzoK. Protocol datalekken

Verwerkersovereenkomst

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

A2 PROCEDURE MELDEN DATALEKKEN

Bewerkersovereenkomst

Procedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam

BLAD GEMEENSCHAPPELIJKE REGELING

Bewerkersovereenkomst MijnZorgdeclaratie.nl 2017

Beleid en procedures meldpunt datalekken

Verwerkersovereenkomst DON Opleidingen, versie 1.0 Pagina 2 van 10

E. Procedure datalekken

Degene op wie een Persoonsgegeven betrekking heeft. Dit kan de bewoner of diens naaste of gemachtigde zijn.

Kind en Onderwijs Rotterdam. Onderwijs en Kwaliteit, HRM en ICT. Leerlingen, ouders/voogd. Privacy reglement leerlingen

Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Protocol meldplicht datalekken Voor financiële ondernemingen

VERWERKERSOVEREENKOMST

PROCEDURE MELDPLICHT DATALEKKEN

PROTOCOL MELDPLICHT DATALEKKEN

Procedure datalekken NoorderBasis

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Postbus AA Bezoekadres Stadsplein 1 : IBAN: NL49 BNGH BIC: BNGHNI

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Versie 2018: 01,

FACTSHEET DATALEK. Inleiding

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

MELDPLICHT DATALEKKEN

INHOUD. Datalekken protocol

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

CVDR. Nr. CVDR409559_1. Protocol meldplicht datalekken. 4 oktober Officiële uitgave van Nuth. Protocol meldplicht datalekken

Privacyreglement Interactive Blueprints BV

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Privacy statement. BEGRIPSBEPALINGEN In dit reglement wordt verstaan onder:

Protocol Beveiligingsincidenten en datalekken

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

Protocol Meldplicht Datalekken

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Protocol informatiebeveiligingsincidenten en datalekken

Privacy Statement Libracoaching

Protocol Datalek. Geschiedenis Studenten Vereniging Excalibur

Model Bewerkersovereenkomst SURF Juridisch Normenkader (Cloud)services, Bijlage A

Protocol informatiebeveiligingsincidenten en datalekken

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Privacy in de afvalbranche Juridisch kader

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Onze organisatie en de Algemene Verordening Gegevensbeheer

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

REGLEMENT BESCHERMING PERSOONSGEGEVENS

PRIVACYREGLEMENT FINANCIAL MARKETING CONCEPTS

Algemene verordening gegevensbescherming (AVG)

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

1. Begripsbepaling AVG Algemene verordening gegevensbescherming, of te wel de privacywetgeving. Persoonsgegevens Alle gegevens betreffende een

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Privacyreglement Trevianum Scholengroep

PROTOCOL. Vereniging van Gepensioneerden van de eenheid Den Haag

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

Wet meldplicht datalekken

Bijlage Verwerkersovereenkomst

Privacyreglement Stichting De Planthof

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Privacyreglement 1. Begripsbepalingen

... ik ga zorgvuldig met de gegevens van mijn klanten om. Meldplicht Datalekken

Privacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6

BEWERKERSOVEREENKOMST

Procedure meldplicht datalekken. Versie 1.0 Februari Procedure meldplicht datalekken Intergrip Versie 1.0

Protocol Meldplicht Datalekken

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

PROTOCOL MELDING DATALEKKEN

Transcriptie:

Procedure Melden beveiligingsincidenten 1

Inhoud Inhoud... 2 Inleiding... 3 Begrippen... 4 Persoonsgegeven... 4 Verantwoordelijke... 4 Bewerker... 4 Verwerking... 4 Bijzondere persoonsgegevens:... 4 MIBP... 4 Reikwijdte van de meldplicht datalekken... 4 Taken, verantwoordelijkheden en bevoegdheden... 5 Uitvoering... 5 Interne controle... 6 Bijlage 1... 7 Bijlage 2... 9 Invulformulier datalek... 10 2

Inleiding Deze procedure voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de AVG. Daarnaast is er een schema opgenomen om te beoordelen of een datalek gemeld moet worden aan de Autoriteit Persoonsgegevens dan wel aan de betrokkene. 3

Begrippen Persoonsgegeven Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; Verantwoordelijke De natuurlijke persoon, rechtspersoon of ieder ander die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt; Bewerker Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen; Verwerking Elke handeling(en) m.b.t. persoonsgegevens, waaronder verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiding, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen van gegevens. Bijzondere persoonsgegevens: Godsdienst of levensovertuiging Ras Sexuele leven Poltitieke gezindheid Lidmaatschap vakvereniging Gezondheid (medische gegevens) Strafrechtelijke gegevens MIBP De interne aangewezen Manager Informatiebeveiliging en Privacy (MIBP). Reikwijdte van de meldplicht datalekken Indien er sprake is van een inbreuk op de beveiliging van persoonsgegevens als bedoeld in artikel 13 van Wbp die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens dan wordt dit als een datalek gekwalificeerd en zal dit bij de Autoriteit Personengegevens (voormalig CBP) moeten worden gemeld. Er moet dus sprake zijn van het 'lekken van data' en dat het lekken een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot verwerkte persoonsgegevens tot gevolg heeft. Een enkele tekortkoming of kwetsbaarheid in de beveiliging is geen datalek. Dit is wel het geval wanneer redelijkerwijs niet kan worden uitgesloten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid. Datalekken kunnen ontstaan door: moedwillig handelen (cybercriminaliteit, hacking, identiteitsfraude, malware besmetting); technisch falen (ICT-storingen); menselijk falen (te eenvoudige wachtwoorden/het verstrekken van username/wachtwoord aan collega s en externen/meekijken bij intypen wachtwoord); calamiteit (brand datacentrum, wateroverlast); verloren USB stick, laptop, tablet, smartphone; 4

zonder toezicht afdrukken uit de printer; verzenden van email aan verkeerde geadresseerde of met emailadressen van alle geadresseerden; maar ook de onrechtmatige verwerking van gegevens door derden (geen bewerkersovereenkomst) Taken, verantwoordelijkheden en bevoegdheden 1. Iedere medewerker die direct of indirect kennis draagt of krijgt van een incident inzake het lekken van privacygegevens, is verplicht dit direct te melden aan de MIBP via privacy@primah.org. 2. De MIBP is verantwoordelijk voor het onderzoeken van het incident. 3. De MIBP informeert het bestuur over het incident en de ernst van de situatie. 3. De MIBP is verantwoordelijk voor de beoordeling van het datalek en bij een meldplichtig datalek voor het doen, aanvullen en intrekken van de meldingen van datalekken bij de Autoriteit Persoonsgegevens. 4. Het coördinator van het PrimAH ICT Team (PIT) is verantwoordelijk voor het ondernemen van preventieve en repressieve acties, daarbij worden de aanwijzingen van de MIBP in acht genomen. 5. Het bestuur van Stichting PrimAH is verantwoordelijk voor de actualiteit en naleving van deze procedure. Uitvoering 1. De medewerker die direct of indirect kennis draagt of krijgt van een incident inzake het lekken van privacygegevens meldt dit direct aan de MIBP via privacy@primah.org onder vermelding van het onderwerp "datalek". 2. de MIBP onderzoekt het incident. Hierbij is aandacht voor de volgende aspecten. Handvat bij deze beoordeling vormt bijlage 1: a. wat is de aard van het datalek? b. wat is de oorzaak dat dit incident heeft plaatsgevonden? c. is er sprake van het niet nakomen van-, of een tekortkoming in de beveiligingsprocedures? d. is de organisatie verwijtbaar? e. van het incident wordt een verslag gemaakt en in PrimAHnet vastgelegd, in dit verslag wordt de betreffende melding ook opgenomen. 3. Als er is vastgesteld dat er sprake is van een meldplichtig datalek doet de MIBP binnen 3 werkdagen een melding van het datalek aan de Autoriteit Persoonsgegevens. Teven doet de MIBP verslag aan het bestuur van de melding. 4. De MIBP onderhoudt contact met de Autoriteit Persoonsgegevens over de melding datalekken. Eventuele aanwijzingen van de Autoriteit Persoonsgegevens worden vastgelegd en opgevolgd. 5

5. Waar nodig en ter beoordeling van het bestuur worden Raad van Toezicht en GMR geïnformeerd over het datalek. Interne controle 1. Op basis van de gedurende een jaar ontvangen meldingen, analyseert het bevoegd gezag, samen met de MIBP, de meldingen en stellen een verbeterplan op. 2. Minimaal jaarlijks beoordeelt het bevoegd gezag of de procedure en de uitvoering nog met elkaar in overeenstemming zijn. Indien deze niet met elkaar overeenkomen wordt beoordeeld of de procedure geactualiseerd moet worden of dat medewerkers geïnstrueerd moeten worden op een juiste toepassing van de procedure. 6

Bijlage 1 Beoordelingsschema datalek 7

8

Bijlage 2 Invulformulier Datalek 9

Invulformulier datalek Deze bijlage bevat de gegevens die u op moet geven als u een datalek meldt aan de Autoriteit Persoonsgegevens. Bij het formulier zijn de vragen uit bijlage I bij de Europese Verordening 611/2013 als uitgangspunt gehanteerd. 1. Is dit een vervolg op een eerdere melding? (Kies een van de volgende opties.) a. Ja b. Nee 2. Wat is het nummer van de oorspronkelijke melding? (Beantwoord deze vraag als u vraag 1 met ja hebt beantwoord.) 3. Wat is de strekking van de vervolgmelding? (Beantwoord deze vraag als u vraag 1 met ja hebt beantwoord, kies een van de volgende opties.) a. Toevoegen of wijzigen van informatie betreffende de eerdere melding b. Intrekking van de eerdere melding 4. Wat is de reden van intrekking? (Beantwoord deze vraag als u bij vraag 3 gekozen heeft voor optie b.) 5. Op grond van welke wettelijke bepaling doet u deze melding? a. artikel 34a, eerste lid, van de Wet bescherming persoonsgegevens b. artikel 11.3a, eerste lid, van de Telecommunicatiewet 6. Over welk bedrijf of welke organisatie gaat het? (Vul de onderstaande gegevens in.) Naam van het bedrijf of de organisatie Bezoekadres Postcode Plaats KvK-nummer 10

7. Door wie wordt het datalek gemeld? (Vul de onderstaande gegevens in.) Naam van de persoon die meldt Functie van de persoon die meldt E-mailadres van de persoon die meldt Telefoonnummer van de persoon die meldt 8. Met wie kan de Autoriteit Persoonsgegevens contact opnemen voor nadere informatie over de melding? (Vul de onderstaande gegevens in indien dit iemand anders is dan de melder van het datalek.) Naam contactpersoon Functie van de contactpersoon E-mailadres van de contactpersoon Telefoonnummer van de contactpersoon 9. In welke sector is het bedrijf of de organisatie actief? 10. Geef een samenvatting van het incident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan. 11. Van hoeveel personen zijn persoonsgegevens betrokken bij de inbreuk? (Vul de aantallen in.) a. Minimaal: (vul aan) b. Maximaal: (vul aan) 11

12. Omschrijf de groep mensen van wie persoonsgegevens zijn betrokken bij de inbreuk. 13. Wanneer vond de inbreuk plaats? (Kies een van de volgende opties en vul waar nodig aan.) a. Op (datum) b. Tussen (begindatum periode) en (einddatum periode) c. Nog niet bekend 14. Wat is de aard van de inbreuk? (U kunt meerdere mogelijkheden aankruisen.) a. Lezen (vertrouwelijkheid) b. Kopiëren c. Veranderen (integriteit) d. Verwijderen of vernietigen (beschikbaarheid) e. Diefstal f. Nog niet bekend 15. Om welk type persoonsgegevens gaat het? (U kunt meerder mogelijkheden aankruisen.) a. Naam-, adres- en woonplaatsgegevens b. Telefoonnummers c. E-mailadressen of andere adressen voor elektronische communicatie d. Toegangs- of identificatiegegevens (bijvoorbeeld inlognaam / wachtwoord of klantnummer) e. Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer) f. Burgerservicenummer (BSN) of sofinummer g. Paspoortkopieën of kopieën van andere legitimatiebewijzen h. Geslacht, geboortedatum en/of leeftijd i. Bijzondere persoonsgegevens (bijvoorbeeld ras, etniciteit, criminele gegevens, politieke overtuiging, vakbondslidmaatschap, religie, seksuele leven, medische gegevens) j. Overige gegevens, namelijk (vul aan) 16. Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de betrokkenen? (U kunt meerdere mogelijkheden aankruisen.) a. Stigmatisering of uitsluiting b. Schade aan de gezondheid c. Blootstelling aan (identiteits)fraude 12

d. Blootstelling aan spam of phishing e. Anders, namelijk (vul aan) 17. Welke technische en organisatorische maatregelen heeft uw organisatie getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen? 18. Heeft u het datalek gemeld aan de betrokkenen of bent u van plan dat te gaan doen? (Kies een van de volgende opties.) a. Ja b. Nee c. Nog niet bekend 19. Wanneer heeft u het datalek gemeld aan de betrokkenen, of wanneer gaat u dit doen? (Beantwoord deze vraag als u vraag 18 met ja hebt beantwoord. Kies een van de volgende opties en vul waar nodig aan.) a. Ik heb het datalek aan de betrokkenen gemeld op (datum) b. Ik ga het datalek aan de betrokkenen melden op (datum) c. Nog niet bekend 20. Wat is de inhoud van de melding aan de betrokkenen? (Letterlijke weergave, beantwoord deze vraag als u vraag 18 met ja hebt beantwoord.) 21. Hoe veel betrokkenen heeft u in kennis gesteld of gaat u in kennis stellen? (Beantwoord deze vraag als u vraag 18 met ja hebt beantwoord.) 22. Welk communicatiemiddel of welke communicatiemiddelen gebruikt u of gaat u gebruiken bij het in kennis stellen van de betrokkenen? (Beantwoord deze vraag als u vraag 18 met ja hebt beantwoord.) 23. Waarom ziet u af van het melden van het datalek aan de betrokkenen? (Beantwoord deze vraag als u vraag 18 met nee hebt beantwoord. Kies een van de onderstaande opties en vul waar nodig aan.) a. De technische beschermingsmaatregelen die ik heb getroffen bieden voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten b. Het is onwaarschijnlijk dat het datalek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, want: (vul aan) 13

c. Ik heb zwaarwegende redenen om de melding aan de betrokkene achterwege te laten, namelijk: (vul aan) d. Anders, namelijk: (vul aan) 24. Zijn de persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden?57 (Kies een van de volgende opties en vul waar nodig aan.) a. Ja b. Nee c. Deels, namelijk: (vul aan) 25. Als de persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd? (Beantwoord deze vraag als u bij vraag 24 gekozen heeft voor optie a of optie c. Als u gebruik heeft gemaakt van encryptie, licht dan ook de wijze van versleutelen toe.) 26. Heeft de inbreuk betrekking op personen in andere EU-landen? (Kies een van de volgende opties.) a. Ja b. Nee c. Nog niet bekend 27. Heeft uw bedrijf of organisatie het datalek gemeld bij toezichthouders in een of meer andere EUlanden? a. Ja, namelijk: (vul aan) b. Nee 28. Is naar uw mening deze melding compleet? (Selecteer een van de onderstaande opties.) a. Ja, de vereiste informatie is verstrekt en er is geen vervolgmelding nodig b. Nee, er komt later een vervolgmelding met aanvullende informatie over deze inbreuk 14

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback