Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Vergelijkbare documenten
Sta eens stil bij de Wet Meldplicht Datalekken

Procedure beveiligingsincident en weging meldplicht datalek

Beleid en procedures meldpunt datalekken

Protocol Meldplicht Data-lekken

Protocol datalekken Samenwerkingsverband ROOS VO

Protocol meldplicht datalekken

Procedure datalekken NoorderBasis

Help een datalek! Wat nu?

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Procedure meldplicht datalekken

Protocol Beveiligingsincidenten en datalekken

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

PROCEDURE MELDPLICHT DATALEKKEN

Protocol meldplicht datalekken

In dit protocol is weergegeven hoe te handelen bij beveiligingsincidenten en datalekken. 2

Protocol meldplicht datalekken Voor financiële ondernemingen

BLAD GEMEENSCHAPPELIJKE REGELING

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Procedure Meldplicht Datalekken

E. Procedure datalekken

Protocol informatiebeveiligingsincidenten en datalekken VSNON

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

Bestuur. scholengemeenschap voor vmbo havo atheneum gymnasium. school voor praktijkonderwijs. Bezoekadres: Stationslaan CA Stadskanaal

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

PROTOCOL MELDING DATALEKKEN

Protocol Meldplicht Datalekken

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Scala College en Coenecoop College

PROTOCOL BEVEILIGINGSINCIDENTEN EN DATALEKKEN SKOSO

Protocol Meldplicht Datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

Protocol informatiebeveiligingsincidenten en datalekken

Protocol meldplicht datalekken

Privacyreglement Belangenvereniging Ede Noord

FACTSHEET DATALEK. Inleiding

Protocol informatiebeveiligingsincidenten

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Procedure Melden beveiligingsincidenten

Melden van datalekken

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

Privacy verklaring en verantwoording gegevensbescherming

Protocol beveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken

Datalekprotocol binnen Reto

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

Documentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN

Procedure melden beveiligingsincidenten en datalekken

Praktijk Aafke van Dijk Register van verwerkingsactiviteiten

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Besluit van het college van burgemeester en wethouders van de gemeente Beekdaelen houdende regels omtrent AVG Protocol meldplicht datalekken

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

2.1 Borgen van rechten van betrokkenen Betrokkenen hebben het recht op inzage, correctie en dataportabiliteit van persoonsgegevens.

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM, IT & PRIVACY.

Inleiding. Pagina 1 van 5

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Verwerkingsregister persoonsgegevens

... ik ga zorgvuldig met de gegevens van mijn klanten om. Meldplicht Datalekken

Protocol Informatiebeveiliging en Datalekken SKOTZO

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Naam, adres, postcode, woonplaats van de cliënt(en) Geboortedatum van de cliënt(en) Telefoonnummer en van de cliënt(en)

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Regeling meldplicht datalekken 2016

Procedure Meldplicht Datalekken & Veiligheidsincidenten gemeente Geertruidenberg

Van opdrachtgevers van mijn cliënten leg ik de volgende persoonsgegevens vast, ten behoeve van de coaching afspraken en facturen:

Procedure Meldplicht Datalekken. Versie 1.1 Datum Maart 2016 Specialist Informatiebeveiliging

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

: Informatieprotocol privacy & bescherming persoonsgegevens Datum : 15 december 2017 bijgestelde versie d.d , d.d.

Procedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam

Protocol datalekken SKOzoK. Protocol datalekken

AVG uw gegevens en privacy waarborging bij Recharged Miracles versie mei 2018

De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

PROTOCOL MELDPLICHT DATALEKKEN

WET MELDPLICHT DATALEKKEN FACTSHEET

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Wet meldplicht datalekken

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

Laatst aangepast 1 oktober 2018

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Privacyreglement - Praktijk de Molen

Protocol informatiebeveiligingsincidenten en datalekken PCPO Barendrecht en Ridderkerk

De beleidsregels bij de meldplicht datalekken: een korte beschouwing

Privacyreglement. Verzorgd Wonen in Exloo

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

CVDR. Nr. CVDR409559_1. Protocol meldplicht datalekken. 4 oktober Officiële uitgave van Nuth. Protocol meldplicht datalekken

Impact van de meldplicht datalekken

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

Protocol beveiligingsincidenten en datalekken

Procedure Melding Datalekken. Versie mei 2018

Transcriptie:

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS Datum: 14-5-2018 Geactualiseerd en met instemming van de GMR (datum) door het CvB vastgesteld (datum)

Inhoud Aanleiding... 3 Kader... 3 Afwegingen... 3 Datalek... 4 Melden aan de autoriteit Persoonsgegevens... 4 Melden aan betrokkene... 5 Afspraken met de verwerker... 5 Meldingsprotocol... 5 Privacy Functionaris... 6 Functionaris Gegevensbeheer... 6 Vastleggen meldingen... 6 Stroomschema melding Datalekken... 7 2

Aanleiding Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. In een aantal gevallen moet de organisatie het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Door de invoering van de AVG op 25 mei 2018 is de procedure voor melding aangepast. Kader Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn vastgelegd in de AVG. Hierin staat dat de persoonsgegevens die Lucas Onderwijs verwerkt moeten worden beveiligd tegen verlies en tegen onrechtmatige verwerking. Een datalek moet vanaf 1 januari 2016 worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Lucas Onderwijs hecht grote waarde aan de bescherming van de persoonlijke levenssfeer en een zorgvuldige omgang met persoonsgegevens. Medewerkers van Lucas Onderwijs verrichten hun werkzaamheden binnen de kaders van het Lucas Onderwijs Privacy protocol. Dit protocol vindt zijn oorsprong in en volgt de AVG. Met anderen die gegevens verwerken voor Lucas Onderwijs (de zogenaamde verwerkers) is een verwerkersovereenkomst afgesloten. Binnen deze verwerkersovereenkomst wordt het protocol datalekken meegenomen. Afwegingen Bij de beslissing of een gebeurtenis die zich heeft voorgedaan moet worden gemeld aan de Autoriteit Persoonsgegevens, en eventueel daarnaast ook aan de betrokkene, moeten een aantal afwegingen gemaakt worden. Het onderstaande schema geeft deze afwegingen weer. 3

Datalek Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident kan gedacht worden aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker, vermissing van een papieren dossier of dossierstukken. Niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs uitgesloten kunnen worden. Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. Er hoeft dan geen melding gedaan te worden aan de Autoriteit Persoonsgegevens. Melden aan de autoriteit Persoonsgegevens Lucas Onderwijs is in een aantal gevallen verplicht om een datalek te melden aan de Autoriteit Persoonsgegevens. Volgens de wet moet Lucas Onderwijs een melding doen aan de Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Bij persoonsgegevens van gevoelige aard moet gedacht worden aan: Bijzondere persoonsgegevens o Het gaat hierbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. Gegevens over de financiële of economische situatie van de betrokkene o Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salaris- en betalingsgegevens. o (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen. Gebruikersnamen, wachtwoorden en andere inloggegevens o De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen. Gegevens die kunnen worden misbruikt voor (identiteits)fraude o Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer (bsn). 4

Melden aan betrokkene In een aantal gevallen waarin een datalek gemeld wordt aan de Autoriteit Persoonsgegevens moet deze ook worden gemeld aan de betrokkene. De wet geeft aan dat Lucas Onderwijs een melding moet doen aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Daarbij kan bijvoorbeeld gedacht worden aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits-)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt dan moet het datalek ook gemeld worden aan de betrokkene. De melding stelt de betrokkene in staat om alert te zijn op de mogelijke gevolgen van het datalek en om zich daar waar mogelijk tegen te wapenen door, bijvoorbeeld, een gelekt wachtwoord te vervangen. Indien er gemeld moet worden dan zal Lucas Onderwijs betrokkenen onverwijld op de hoogte stellen zodat de betrokkene naar aanleiding van de melding in staat wordt gesteld maatregelen te nemen om zich te beschermen tegen de gevolgen van het datalek. Afspraken met de verwerker Lucas Onderwijs heeft als verantwoordelijke een zorgplicht t.a.v. een eventueel opgetreden datalek bij een verwerker. Lucas Onderwijs zorgt er in dit geval voor dat zij haar wettelijke verplichting kan nakomen en legt met de verwerker vast dat zij tijdig en adequaat geïnformeerd wordt over datalekken waarvan hij/zij kennis krijgt. Lucas Onderwijs wil in alle gevallen geïnformeerd worden t.a.v. datalekken bij verwerkende partijen. Lucas Onderwijs maakt de volgende afspraken met de verwerker: 1. De verwerker informeert Lucas Onderwijs onverwijld over alle relevante incidenten 2. De verwerker meldt zelf datalekken aan de Autoriteit persoonsgegevens en verzendt een afschrift van deze melding naar de Functionaris gegevensbescherming 3. De verwerker houdt Lucas Onderwijs op de hoogte van nieuwe ontwikkelingen rond het gemelde datalek incident en van de maatregelen die getroffen worden aan de kant van de bewerker om herhaling van het incident te voorkomen. De gemaakte afspraken worden vastgelegd in de bij het Lucas Onderwijs privacy regelement behorende verwerkersovereenkomsten. Voor veel verwerkers geldt dat zij aangesloten zijn bij Privacy Convenant Onderwijs en daarmee het Privacy Protocol Onderwijs en de Verwerkersovereenkomst hanteren. Meldingsprotocol Alle medewerkers van Lucas Onderwijs zijn verplicht onverwijld een melding te doen van een geconstateerd datalek. Voorbeelden van datalekken zijn: een kwijtgeraakte gegevensdrager (usb stick, externe harddisk) met persoonsgegevens, een gestolen laptop, tablet, telefoon, of een inbraak in een databestand of applicatie, ontvreemding toegangscodes van applicaties en dergelijke. De melding dient te gebeuren bij de directeur van de school of de directe leidinggevende van de melder. De directeur van de school of de directe leidinggevende van de melder doet de melding bij de privacy functionaris op het Stichtingskantoor. De privacy functionaris is functioneel ondergebracht bij de afdeling Informatiebeheer van het Stichtingskantoor. I.s.m. de privacy 5

functionaris neemt de directeur van de school maatregelen ter voorkoming van verdere schade. De privacy functionaris meldt het incident bij de Functionaris Gegevensbescherming van Lucas Onderwijs. Op basis van de melding wordt aan de hand van de leidraad van de Autoriteiten Persoonsgegevens: Beleidsregels meldplicht datalekken beslist of er gemeld moet worden bij de Autoriteit Persoonsgegevens en/of de betrokkene(n). De Functionaris Gegevensbescherming informeert het College van Bestuur van Lucas Onderwijs. Privacy Functionaris Telefoon : 070-3001100 Email : avg@lucasonderwijs.nl Functionaris Gegevensbeheer Telefoon : de FG is te bereiken via de afdeling Informatiebeheer of direct via Email : fg@lucasonderwijs.nl Vastleggen meldingen Meldingen van datalekken worden vastgelegd in een databank. Bij de melding wordt vastgelegd wat de aard is van de gegevens die zijn gelekt, onder welke omstandigheden het lek is ontstaan, door wie de melding is gedaan, of er een melding bij de Autoriteit Persoonsgegevens is gedaan (incl. opslag meldingsformulier), of de betrokkene (degene wiens gegevens zijn gelekt) is geïnformeerd, welke maatregelen er zijn genomen ter bescherming van de bij het datalek betrokken personen, de status van afhandeling en de genomen maatregelen ter voorkoming van de lekkage in de toekomst. Dit protocol is met instemming van de Bureauraad op 17 mei 2018, GMR-VO op 22 mei 2018 en de GMR-PO op 23 mei 2018 tot stand gekomen. Vastgesteld door het College van Bestuur d.d. 24 mei 2018. 6

Stroomschema melding Datalekken Mogelijk datalek geconstateerd door medewerker Melding aan directie/ leidinggevende Melding datalek bij Privacy Officer Maatregelen ter voorkoming van verdere schade Melding datalek bij Functionaris Gegevensbescherming Melding bij Autoriteit Persoonsgegevens (leidraad Beleidsregels meldplicht datalekken)? nee Melding betrokkene? Informeren CvB ja ja nee Melding datalek bij Autoriteiten Persoonsgegevens Betrokkenen Informeren Vastleggen in databank 7

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback