Protocol Datalekken Twelve

Vergelijkbare documenten
BIJLAGE 3. Procedure Meldplicht Datalekken

Protocol meldplicht datalekken

Verwerkersovereenkomst DON Opleidingen, versie 1.0 Pagina 2 van 10

Procedure Melden beveiligingsincidenten

Formulier voor het melden van een datalek

Regeling datalekken StOVOG

MODEL BEWERKERS-/VERWERKERSOVEREENKOMST. Partijen: 1. [Volledige naam en rechtsvorm], de [straat] te [plaats], hierna te noemen Verantwoordelijke ;

Protocol meldplicht datalekken

Verwerkersovereenkomst dienstverlening Losning ICT B.V.

Verwerkersovereenkomst

Formulier melding datalek

VERWERKERSOVEREENKOMST. tussen. [Bedrijfsnaam] als verantwoordelijke. PCI Nederland B.V. als verwerker. Datum:

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

FACTSHEET DATALEK. Inleiding

Calamiteitenplan datalekken Unidis B.V.

Procedure meldplicht datalekken

Datalekprotocol binnen Reto

Bijlage 1: Verwerking persoonsgegevens (verwerkersovereenkomst)

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Procedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

Bewerkersovereenkomst

Meldplicht Datalekken Vereniging Beveiligingsprofessionals Nederland

Protocol meldplicht datalekken

Protocol Beveiligingsincidenten en datalekken

Protocol Meldplicht Datalekken

PROCEDURE MELDPLICHT DATALEKKEN

Protocol beveiligingsincidenten en datalekken

Procedure Gegevenslekken

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Scala College en Coenecoop College

Procedure beveiligingsincident en weging meldplicht datalek

Help een datalek! Wat nu?

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Procedure datalekken NoorderBasis

Procedure Meldplicht Datalekken. Versie 1.1 Datum Maart 2016 Specialist Informatiebeveiliging

Protocol datalekken Samenwerkingsverband ROOS VO

Procedure Meldplicht Datalekken

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

Protocol informatiebeveiligingsincidenten en datalekken

PROTOCOL BEVEILIGINGSINCIDENTEN EN DATALEKKEN SKOSO

Versie 1 01 May 2018 PROTOCOL DATALEKKEN NOSUCH

VERWERKERSOVEREENKOMST

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Protocol meldplicht datalekken Voor financiële ondernemingen

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Verwerkersovereenkomst

E. Procedure datalekken

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

Protocol beveiligingsincidenten en datalekken

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Privacybeleid ConnectingTheDots

Procedure melden beveiligingsincidenten en datalekken

Protocol Meldplicht Data-lekken

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Onze organisatie en de Algemene Verordening Gegevensbeheer

Protocol Meldplicht datalekken

Protocol informatiebeveiligingsincidenten en datalekken

Protocol beveiligingsincidenten en datalekken

Bestuur. scholengemeenschap voor vmbo havo atheneum gymnasium. school voor praktijkonderwijs. Bezoekadres: Stationslaan CA Stadskanaal

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

Sta eens stil bij de Wet Meldplicht Datalekken

Procedure Melding Datalekken

IBAN: NL45 ABNA BIC: ABNANL2A. De Ronde CZ Best yolknet.nl. KvK: BTW NL B01

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Protocol informatiebeveiligingsincidenten

Beleid en procedures meldpunt datalekken

Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

... ik ga zorgvuldig met de gegevens van mijn klanten om. Meldplicht Datalekken

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

HANDLEIDING DATALEKKEN VOOR R.-K. PAROCHIES

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

1. Bedrijfsnaam:... Gevestigd te:... Straatnaam, huisnummer:... Vertegenwoordigd door dhr. / mevr... Functie:... adres:...

PROTOCOL MELDING DATALEKKEN

Raadsmededeling - Openbaar

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Impact van de meldplicht datalekken

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Privacy beleid bso Bink 2018

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Procedure Melding Datalekken. Versie mei 2018

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Regeling meldplicht datalekken 2016

PRIVACY GOED GEREGELD. Voorjaar 2018

Protocol informatiebeveiligingsincidenten en datalekken PCPO Barendrecht en Ridderkerk

Wat betekent de AVG voor jouw vereniging?

Transcriptie:

Bijlage: Vragenlijst Beveiligingsincident Twelve B.V. Twelve Sports & Hospitality B.V. Twelve Events B.V. Twelve Venues B.V. 1

1 Algemeen: Datalekken 1.1 Sinds 2016 bestaat er een meldplicht voor datalekken. Deze meldplicht is in de nieuwe Algemene Verordening Gegevensbescherming (AVG) overgenomen en uitgebreid. Organisaties moeten ieder datalek documenteren en/of onder omstandigheden melden bij de Autoriteit Persoonsgegevens en de betrokken personen. 1.2 Er is sprake van een datalek (in AVG terminologie: een inbreuk in verband met persoonsgegevens) als het gaat om verlies of andere onrechtmatige verwerking van persoonsgegevens, zonder dat dit de bedoeling is. Er is sprake van verlies, als: Niemand binnen Twelve nog (toegang tot) de originele persoonsgegevens heeft; en er geen complete en actuele reservekopie van de persoonsgegevens meer is. Een onrechtmatige verwerking kan bestaan uit: onrechtmatige aantasting van persoonsgegevens (bij versleuteling); onbevoegde kennisneming van/inzage in de persoonsgegevens; onrechtmatige wijziging van de persoonsgegevens; onrechtmatige verstrekking van persoonsgegevens. Er zijn veel oorzaken te noemen van een datalek. Denk bijvoorbeeld aan: moedwillig handelen (cybercriminaliteit, hacking, identiteitsfraude, mailware besmetting); technisch falen (ICT-storingen); menselijk falen (te eenvoudige wachtwoorden/het verstrekken van username en/of wachtwoord aan collega s en externen); calamiteit (brand datacentrum, wateroverlast) verloren USB stick of laptop; verzenden van e-mail met zichtbaar de e-mailadressen van alle geadresseerden; andere onrechtmatige verwerkingen van gegevens. 1.3 Niet elk datalek hoeft gemeld te worden. In het geval van een (vermoeden van) een datalek moet er zorgvuldig gehandeld worden. Met behulp van dit protocol kan bepaald worden of er sprake is van een datalek en zo ja, of dit gemeld moet worden. Snel handelen is hierbij belangrijk, want een melding moet binnen 72 uur gedaan worden. 1.4 Om het proces omtrent datalekken vlot en efficiënt te laten verlopen, worden alle (mogelijke) datalekken behandeld door het Meldpunt Datalekken Twelve (MDT). De leden van het MDT zijn: Communicatie Amber Daalmeijer CFO Pieter Paul van Heeswijk Manager DevOps Bram Spliet Iedereen die een datalek ontdekt of vermoedt dat er een datalek heeft plaatsgevonden, meldt dit direct bij het MDT. Je kan de melding indienen bij: Telefoonnummer: 030 276 7770 Amber Daalmeijer amber@twelve.eu Pieter Paul van Heeswijk pieterpaul@twelve.eu Bram Spliet bram@twelve.eu 2

1.5 In het geval van een (vermoedelijk) datalek wordt intern het onderstaande protocol gehanteerd. Dit protocol is van toepassing op datalekken binnen Twelve zelf en op datalekken bij een organisatie die ten behoeve van Twelve persoonsgegevens verwerkt. 1.6 Ieder datalek, ongeacht of dit moet worden gemeld, wordt gedocumenteerd. Hiertoe wordt het formulier Vragenlijst Beveiligingsincident (bijlage) altijd volledig ingevuld en bewaard. De Autoriteit Persoonsgegevens kan aan de hand van het document achteraf controleren of een datalek terecht niet is gemeld. 1.7 Twelve kan altijd contact opnemen met De Roos Advocaten bij vragen over onderstaand protocol - tijdens het doorlopen ervan, of als je samen de Vragenlijst Beveiligingsincident wilt invullen. 2 Verantwoordelijkheden 2.1 Elke medewerker van Twelve dient op de hoogte te zijn van het protocol. Dit protocol wordt opgenomen in het personeelshandboek en zal per e-mail verzonden worden naar de huidige en nieuwe medewerkers. 2.2 De klanten, leveranciers en andere betrokkenen van Twelve dienen op de hoogte te zijn van het protocol. 2.3 In het CRM systeem van Twelve wordt per klant een contactpersoon voor datalekken geregistreerd. Dit dienen klanten, leveranciers en andere betrokkenen zelf door te geven aan Twelve. Wanneer er geen specifieke contactpersoon is geregistreerd, wordt de hoofdcontactpersoon benaderd. 3 Protocol Datalekken STAP 1: Is er een inbreuk op de beveiliging? Er is geen inbreuk op de beveiliging als er slechts sprake is van een dreiging of een tekortkoming in de beveiliging van de gegevens. Er moet zich daadwerkelijk een incident hebben voorgedaan. Vul vraag 1 en 6 van de Vragenlijst Beveiligingsincident in. Ga door naar stap 2 als er een inbreuk op de beveiliging is geweest. STAP 2: Zijn er persoonsgegevens gelekt? Er is alleen sprake van een datalek als er persoonsgegevens worden gelekt, dat wil zeggen gegevens waarmee natuurlijke personen direct of indirect kunnen worden geïdentificeerd. NB: dit is een ruim begrip waar bijv. ook IP adressen onder vallen. Ogenschijnlijk anonieme data kunnen alsnog vaak tot identificatie van personen leiden. Vul vraag 7 van de Vragenlijst Beveiligingsincident in. STAP 3: Van wie zijn er gegevens gelekt? De plicht om datalekken te documenteren en te melden ligt bij de verwerkingsverantwoordelijke. Twelve is verwerkingsverantwoordelijke en is sommige gevallen verwerker. Bepaal met behulp van de verwerkingsregisters welke verantwoordelijkheid Twelve heeft voor de gelekte gegevens (verwerkingsverantwoordelijke of verwerker). Zijn er gegevens gelekt waarvan Twelve verwerker is? Meld het lek dan direct aan de betreffende verwerkingsverantwoordelijke. Hier kan 3

eventueel een ingevulde Vragenlijst Beveiligingsincident voor gebruikt worden. Zijn er gegevens gelekt waarvan Twelve verwerkingsverantwoordelijke is? Ga dan door naar stap 4. STAP 4: Kan worden uitgesloten dat er onrechtmatig persoonsgegevens zijn verwerkt? Soms kan worden uitgesloten dat de persoonsgegevens onrechtmatig zijn verwerkt. Er is sprake van onrechtmatige verwerking als de persoonsgegevens zijn gestolen, als ze door een onbevoegde zijn gelezen, gekopieerd of gewijzigd, of als de gegevens zijn verwijderd of vernietigd zonder dat dit de bedoeling is. Bepaal of de onrechtmatige verwerking van persoonsgegevens uitgesloten kan worden. Bijvoorbeeld door logs waaruit blijkt dat er geen persoonsgegevens toegankelijk zijn geweest door een onbevoegde. Kan onrechtmatige verwerking worden uitgesloten? Dan is er geen sprake van een datalek. Kan onrechtmatige verwerking niet worden uitgesloten? Er is sprake van een datalek. Ga door naar stap 5. STAP 5: Melding bij de Autoriteit Persoonsgegevens Een datalek moet aan de Autoriteit Persoonsgegevens (AP) gemeld worden, tenzij het datalek waarschijnlijk geen risico inhoudt voor de rechten en vrijheden (de privacy) van natuurlijke personen. Vul vraag 2, 3, 8 & 10 van de Vragenlijst Beveiligingsincident in. Bepaal aan de hand van alle tot nu toe ingevulde vragen of het datalek een risico inhoudt voor de rechten en vrijheden van de betrokken personen. Indien het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen, meld dan het datalek aan de Autoriteit Persoonsgegevens via het meldloket datalekken. STAP 6: Melding aan de betrokken personen Soms moet een datalek ook gemeld worden aan de betrokken personen. Dit is het geval als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De Autoriteit Persoonsgegevens kan ook aan organisaties opleggen om een datalek te melden aan de betrokkenen. Neem contact op met de Autoriteit Persoonsgegevens om te controleren of het datalek aan de betrokken personen gemeld moet worden. Als het datalek aan de betrokken personen gemeld moet worden, dan moet de melding ten minste het volgende bevatten: o de naam en contactgegevens van het contactpunt binnen Twelve waar de betrokkenen meer informatie kunnen verkrijgen over het datalek; o o STAP 7: Intern documenteren de waarschijnlijke gevolgen van het datalek; de maatregelen die Twelve heeft voorgesteld of genomen om het datalek aan te pakken, waaronder maatregelen om de nadelige gevolgen te beperken. Ieder datalek moet intern gedocumenteerd worden, ook als het datalek niet gemeld hoeft te worden. Vul alle resterende vragen van de Vragenlijst Beveiligingsincident in. 4

Bijlage: Vragenlijst Beveiligingsincident Deze vragenlijst is gebaseerd op het meldformulier datalekken van de Autoriteit Persoonsgegevens. Gegevens van de organisatie (de VERWERKINGSVERANTWOORDELIJKE): Naam organisatie: Adres: Postcode en plaats: Actief in de sector: De contactperso(o)n(en) bij VERWERKINGSVERANTWOORDELIJKE voor de meldplicht datalekken: Naam: Functie: E-mailadres: Telefoonnummer(s): VERWERKER zal bij een Beveiligingsincident de volgende vragen beantwoorden: 1. Geef een omschrijving van het Beveiligingsincident:... (bijvoorbeeld gestolen laptop met klantgegevens of een hack op systeem [X] of inloggegevens verstuurd naar ontvanger Y ipv X ) 2. De persoonsgegevens van hoeveel personen zijn getroffen door het Beveiligingsincident?... (geef een minimum en maximum aantal aan) 3. Omschrijf de groep personen waarop de Persoonsgegevens betrekking hebben.... (bijvoorbeeld sollicitanten of cliënten van VERWERKINGSVERANTWOORDELIJKE) Is er sprake van één van deze specifieke groepen personen (omcirkel het antwoord): Ouderen: JA / NEE Kinderen: JA / NEE Zieken of mensen met een verstandelijke beperking: JA / NEE 4. Datum en tijdstip van het incident:... (kan een vast tijdstip zijn of een periode, als dit niet bekend is onbekend invullen) 5

5. Wanneer is het beveiligingsincident ontdekt?... 6. Wat is de aard van de inbreuk? Omcirkel de antwoorden en vul in waar nodig Kan een onbevoegde de gegevens lezen: JA / NEE Kunnen/zijn de gegevens (worden) gekopieerd door een onbevoegde: JA / NEE Kunnen/zijn de (bron)gegevens (worden) gewijzigd (bijv. hack in het systeem): JA / NEE Kunnen/zijn de (bron)gegevens (worden) verwijderd of vernietigd (bijv. ransomware of brand datacenter): JA / NEE Zijn de gegevens gestolen: JA / NEE Overig: (invullen, of als de aard niet bekend is: onbekend invullen) 7. Om welk type gegevens gaat het? Omcirkel de antwoorden en vul in waar nodig: Naam-, adres- en woonplaatsgegevens: JA / NEE Telefoonnummer: JA / NEE E-mailadres of andere adres voor elektronische communicatie: JA / NEE Inloggegevens (gebruikersnaam/wachtwoord, klantnummer of ander identificatienummer): JA / NEE, zo ja; welke gegevens zijn het: (invullen) Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer): JA / NEE Burgerservicenummer (BSN) of sofinummer: JA / NEE Paspoortkopieën of kopieën van andere legitimatiebewijzen: JA / NEE Geslacht: JA / NEE Geboortedatum en/of leeftijd: JA / NEE (Pas)foto: JA / NEE Geboorteland: JA / NEE Medische gegevens (waaronder ook medicijnen of medische hulpmiddelen): JA / NEE Biometrische gegevens (bijv. vingerafdruk, DNA): JA / NEE, zo ja; welke gegevens zijn het: (invullen) Gegevens over schulden/kredieten: JA / NEE Inkomensgegevens: JA / NEE Gegevens over iemands betalingsverkeer: JA / NEE Gegevens over wettelijke vertegenwoordiging (bewindvoerder/mentor): JA / NEE Verslavingsgegevens: JA / NEE School/werkprestaties: JA / NEE Gegevens over relationele problemen: JA / NEE Gegevens over (vermoeden van) mishandeling: JA / NEE Religie: JA / NEE Strafrechtelijke gegevens (ook bijv. straatverboden): JA / NEE Politieke overtuiging: JA / NEE Vakbondslidmaatschap: JA / NEE Seksuele voorkeur/geaardheid: JA / NEE Overige persoonsgegevens:. (invullen) 8. Welke gevolgen kan de inbreuk hebben voor de getroffen personen? Omcirkel de antwoorden en vul in waar nodig: Stigmatisering of uitsluiting: JA / NEE Schade aan de gezondheid: JA / NEE Kans op identiteitsfraude: JA / NEE Kans op financiële schade (bijv. fraude met creditcardgegevens): JA / NEE 6

Blootstelling aan spam of phishing: JA / NEE Andere gevolgen, namelijk:... (invullen) 9. Omschrijf welke technische en organisatorische maatregelen zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?... 10. Zijn de gelekte persoonsgegevens beveiligd? Omcirkel de antwoorden en vul in waar nodig: Zijn de gegevens versleuteld: JA /NEE, zo ja; welke versleuteling:. (invullen) geldt deze versleuteling voor alle persoonsgegevens of voor een deel? Indien voor een deel, voor welk deel:. (invullen) Zijn de gegevens gehasht: JA /NEE, zo ja; op welke wijze:. (invullen) Kunnen de gegevens vanaf afstand worden gewist: JA /NEE, zo ja; is dat gebeurd en wanneer is dat gebeurd:. (invullen) Zijn de gegevens op een andere manier onbegrijpelijk of ontoegankelijk gemaakt: JA /NEE, zo ja; op welke manier:. (invullen) 11. Zijn er Persoonsgegevens van personen in andere EU-landen getroffen door het Beveiligingsincident? Zo ja, welke uit welke landen:... 12. Was er een andere organisatie betrokken bij de inbreuk? Zo ja, welke organisatie was dit en in welke hoedanigheid was deze organisatie betrokken bij de inbreuk?:... 7

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback