AVG-verantwoordelijke Patrick De Vos 0032/ IT-verantwoordelijke Conxion

Vergelijkbare documenten
Procedure Informatiebeveiligingsincidenten en datalekken

WBP, DOELSTELLINGEN GEGEVENSGEBRUIK KLOK GROENPROJECTEN

Protocol beveiligingsincidenten en datalekken

Privacy Statement andere betrokkenen (niet zijnde studenten of medewerkers)

Privacy Statement Medewerkers

Privacy Statement Studenten

PRIVACY BELEID EN DATALEKKEN versie 2016

Minimale normen informatieveiligheid en privacy Incidentenbeheer

3. De in opdracht van Verantwoordelijke te Verwerken persoonsgegevens blijven eigendom van Verantwoordelijke en/of de betreffende betrokkenen.

Schade protocol Zuiderpark Stadswalzone

Privacyreglement Lamers Zorg & Arbeid

De regeling vindt haar basis in de standaardregeling zoals gepubliceerd door de Stichting van de Arbeid.

VERKLARING. Inzake gegevensverwerking klanten. Volgens de Algemene Verordening Gegevensbescherming (AVG)

WAT BEPAALT DE EUROPESE RICHTLIJN INZAKE HET RECHT OP TOEGANG TOT EEN ADVOCAAT?

Frans Halslaan 4, 1921EP Akersloot

Privacy statement GastouderCarola

INFORMATIE UITWISSELING TUSSEN UITZENDBUREAUS IVM VEILIGHEID EN

BIJLAGE : PRIVACYCLAUSULE ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG)

De burgemeester, het college en de raad van de gemeente Muiden;

Privacy Reglement Vereniging van eigenaars Brahmslaan (even nummers) te Leiden

GOA Publiek. Privacy statement. 1 van 6

De toezichtstaken van de Partijen Het doel van dit convenant

Privacy Policy. Grondslag voor deze persoonsgegevens is: o de overeengekomen opdracht. Bijgewerkt op:

Isala en de Algemene Verordening Gegevensbescherming

Wanneer u onze juridische hulp inschakelt, worden de gegevens die u verstrekt door ons vastgelegd. Wij verzamelen gegevens waaronder:

IMPLEMENTATIE WET VERPLICHTE MELDCODE HUISELIJK GEWELD EN KINDERMISHANDELING GEMEENTEN NOORDOOST-BRABANT

FlexLife is verantwoordelijk voor de verwerking van persoonsgegevens zoals weergegeven in deze privacyverklaring.

De Algemene Verordening Gegevensbescherming

PRIVACY- EN COOKIEVERKLARING

Asbestbeleidsplan. Beleid en beheer asbest

PRIVACY POLICY BETREFFENDE HET GEBRUIK VAN DE WEBSITE EN HET GEBRUIK VAN COOKIES

CVO maart Bemiddelingsovereenkomst voor verzekeringsmakelaars

Gedragscode inzake reclame en informatieverstrekking over individuele levensverzekeringen: Toelichting bij de toepassing van de gedragscode

Career & Kids Franchise Organisatie

Definitieve versie d.d. 24 mei Privacy statement

b) Afhankelijk van de omstandigheden, kunnen wij de volgende categorieën van persoonsgegevens verzamelen:

PRIVACY- EN COOKIEVERKLARING EIFD

PROCEDURE RECHTEN VAN BETROKKENEN DE HUISMEESTERS

Voor partners, werknemers, uitzendkrachten, inleenkrachten, student-stagiaires, en sollicitanten van imailo is een ander beleid van toepassing.

De GDPR in 10 stappen

PRIVACYVERKLARING Advocaat du Moulin & Partners. De website (hierna de Website ) wordt aangeboden door:

PROCEDURE MELDPLICHT DATALEKKEN. Procesgang rondom (mogelijke) datalekken in Zorggroep BOAT.

Ons kantoor vraagt uw persoonsgegevens alleen op voor de volgende doeleinden: het uitvoeren van opdrachten voor advies of andere diensten;

Klachtenbeleid Stichting KOM Kinderopvang

Persoonsgegevens van klanten worden door Apollon Travel verwerkt ten behoeve van de volgende doelstelling(en):

Privacy Policy. Privacy Policy WO=MEN, Dutch Gender Platform april 2018 Pagina 1 van 9

Vergaderen Informatieblad (VP) IEV1 Bladzijde 1 van 7. Vergaderen

Naar Gekoppelde Toetsing van Koppelverzoeken

Altrad Benelux n.v. privacyverklaring

Tussenrapportage: plan van aanpak raadsenquête grondexploitatie Duivenvoordecorridor.

PRIVACY VERKLARING VAN BEAUTYSALON ANKE

Werken met uitzendkrachten

Omgaan met kindermisbruik in onderwijs of internaat

EU GDPR Roadmap Belgium ACTIEPUNT 1 : screening en aanpassing regelgeving in het algemeen

Verwerking van persoonsgegevens van patiënten of cliënten

PRIVACYVERKLARING BONARIUS BEDRIJVEN

A. ADR REGLEMENT. A1. Vervoerdocument. A2. Schriftelijke richtlijnen

Stichting Inspecteur Boelensschool Schiermonnikoog Klokkenluidersregeling

Model Verwerkersovereenkomst. Generieke e-learning

Richtlijnen functioneringsgesprek evangelist. Versie 1.0

ALGEMENE VOORWAARDEN

VERWERKERSOVEREENKOMST

Zijn in de aanvraag bijlagen genoemd en zijn die bijgevoegd? Zo ja, welke? Nummer desgewenst de bijlagen.

Verwerkersovereenkomst

1. Definities. 2. Indienen van een klacht

PROCEDURE RECHTEN VAN BETROKKENEN DE HUISMEESTERS

Privacyreglement Praktijk Herstel

Kwaliteitscriteria CVA-zorg, geformuleerd vanuit patiëntperspectief Versie 1.0, augustus 2018 Harteraad

Algemene Voorwaarden Personenalarmering Zorgalarm Nederland (versie januari 2014)

PRIVACY STATEMENT WOONTIJ

PARTIJEN. Achtergrond

Reglement Geschillencommissie Wonen Zuid-Holland Zuid

Verwerkersovereenkomst

Privacyverklaring Luscii

Uitwerking Landelijke Leidraad en Procedure Wijziging Acute Zorgaanbod Versie 6.0, ROAZ regio s VUmc en AMC

PRIVACY POLICY / COOKIE POLICY EGEDA NV

NTA 8009:2007. Veiligheidsmanagementsysteem voor ziekenhuizen en instellingen die ziekenhuiszorg verlenen

PRIVACYVERKLARING KENDR Versie september 2018

Protocol gegevensverwerking icov Productie 2018 De ondergetekenden, Gelet op: Het bepaalde in de (aanpassingswet) Algemene Verordening

Meldcode huiselijk geweld en. kindermishandeling

Bestemd voor Alle medewerkers, cliënten, kinderen, andere personen die zich op locaties van Stichting D.W.R.P. bevinden.

Wij bieden onze dienstverlening aan onder de labels Omgaan met Ontslag, Omgaan met Overname en Omgaan met Ontwikkeling.

Protocol en klachtenregeling ongewenst gedrag

Protocol voor afname Centraal Ontwikkelde Examens Nederlandse taal en rekenen.

Middelen Financiële middelen o De organisatie heeft een actueel beleid met betrekking tot het verkrijgen van de benodigde financiële middelen.

LAC. Inspiratie LAC water. Maak een draaiboek voor je interne werking. Maak afspraken met de watermaatschappijen. Organiseer je LAC-zitting

PROTOCOL bij OVERLIJDEN

Huishoudelijk reglement ombudsdienst A.V. Ziekenhuis Oost-Limburg

Time-out, schorsing en verwijdering van kinderen

Bankoverstapdienst - reglement

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Indien jij na het lezen van dit privacy statement vragen hebt, kun je contact met ons opnemen per e- mail:

Naar Gekoppelde Toetsing van Koppelverzoeken

PRIVACY STATEMENT STICHTING EELDER WONINGBOUW

Bedrijfshulpverlening BHV Limeshal

Privacy Statement Stichting Hulst voor Elkaar

Verzuimprotocol gemeente s-hertogenbosch

Versie 1.0 augustus 2018 PRIVACY STATEMENT

Privacyreglement NFG hulpverlener

CPR305/2011/EU VERORDENING BOUWPRODUCTEN

Transcriptie:

Dit is het datalekken beleid van Wrld f Travel bvba. Dit beleid geeft een stappenplan weer dat dient gevlgd te wrden in het geval van een datalek. Een datalek f een inbreuk in verband met persnsgegevens kan als vlgt wrden gedefinieerd: een inbreuk p de beveiliging die per ngeluk f p nrechtmatige wijze leidt tt de vernietiging, het verlies, de wijziging f de ngerlfde verstrekking van f de ngerlfde tegang tt drgeznden, pgeslagen f anderszins verwerkte gegevens. Hiernder vlgt een niet-limitatieve psmming van mgelijke data lekken: - hacking van cmputersystemen; - een ransmware (cryptlcker) die data versleutelt; - verlies van laptp, smartphne, USB-stick met persnsgegevens, ( ); - nvldende beveiliging van dssiers; - black ut van servers; - verlies van gegevens ten gevlge van een brand in het datacentrum terwijl er geen back-up beschikbaar is; - ( ) In geval van een datalek dient u cntact p te nemen met één van f de vlgende cntactpersnen binnen de rganisatie: Cntactgegevens Functie Naam Email Tel.nr. AVG-verantwrdelijke Patrick De Vs patrick.devs@wrldftravel.be 0032/56243882 IT-verantwrdelijke Cnxin supprt@cnxin.be 0032/56731121

Stappenplan a. Identificatie van het datalek Een datalek (f een vermeden ervan) kan p verschillende manieren wrden pgemerkt, bijvrbeeld dr autmatische cmputersystemen, dr een werknemer binnen de eigen nderneming zelf f dr een melding van buitenaf. Van zdra iemand binnen de rganisatie kennis heeft van een datalek maakt deze hiervan nmiddellijk melding bij de AVG-verantwrdelijke. Bij afwezigheid van deze persn, wrdt melding gedaan bij de IT-verantwrdelijke. De melding dient per email te gebeuren (zie tabel cntactgegevens) en maakt melding van vlgende infrmatie in zverre deze reeds beschikbaar is: - de aard van het datalek: verlies f beschadiging van data, vermindering f wegvallen van tegankelijkheid, en/f inbreuk p de vertruwelijkheid van data; - de betrkken data; - de impact p de rganisatie; en - de vermedelijke rzaak. Na elke melding van een datalek hudt de persn van melding zich steeds ter beschikking van de AVG-verantwrdelijke vr verdere pvlging van de prcedure. b. Analyse dr de AVG-verantwrdelijke binnen de rganisatie vr de behandeling van datalekken Een analyse zal steeds dienen te gebeuren m te cncluderen f het datalek überhaupt gemeld met wrden aan de tezichthudende autriteit. Z is een melding niet verplicht indien het niet waarschijnlijk is dat het datalek een risic inhudt vr de rechten en vrijheden van de betrkkene. Elk incident dient echter wel intern te wrden beschreven, met een berdeling van het risic vr de betrkken persn vlgens de geijkte methdes. Deze berdeling zal gemaakt wrden dr de AVG-verantwrdelijke binnen de rganisatie vr de behandeling van datalekken. Vlgende situaties kunnen zich dan vrden: - er is geen sprake van een datalek met betrekking tt persnsgegevens f het datalek hudt geen risic s in p de rechten en vrijheden van de betrkkenen. De AVG-verantwrdelijke zal dit rapprteren aan het Management en hij f zij gaat ver tt een pname in het register van datalekken indien het een datalek met betrekking tt persnsgegevens betreft; - er is sprake van een datalek met persnsgegevens wat vermedelijk een risic inhudt p de rechten en vrijheden van één f meerdere betrkkenen evenwel is het beperkt in mvang en impact. De AVG-verantwrdelijke zal zelf vergaan tt afhandeling van het incident, rapprteert dit aan het Management en registreert het datalek in het Register van Datalekken.

- er is sprake van een datalek met persnsgegevens met een vermedelijk risic p de rechten en vrijheden van één f meerdere betrkkenen, en één f meerdere van hierna pgesmde vereisten zijn vldaan: er is een vermeden van impact p de IT-infrastructuur; er is een vermeden van kwaadwillig pzet; er is een vermeden van impact p gevelige gegevens; er is een vermeden van impact p een grte set van data; er is een vermeden van impact p data van een grt aantal betrkkenen; iedere andere situatie die ernstig geneg is m het Crisis Team mee te betrekken in de evaluatie; De AVG-verantwrdelijke zal znder uitstel het Crisis Team samenrepen. c. Samenrepen van een Crisis Team Indien ndzakelijk zal de AVG-verantwrdelijke een Crisis Team samenrepen. Deze bestaat uit vlgende persnen naargelang de mvang en de specifieke mstandigheden van het datalek: Functie AVG-verantwrdelijke IT-verantwrdelijke Melder van het datalek Zaakverder Websitebeheerder Naam Patrick De Vs Cnxin Hilde De Vs Ewaut Van Gerrewey Cde d Or Indien een persn binnen de rganisatie wrdt pgerepen, maar niet aanwezig kan zijn, wrdt een vervanger aangeduid. Het Crisis Team zal het incident altijd aan een analyse nderwerpen. Ieder lid zal in het kader van zijn f haar functie, met de ndige kennis en expertise bijdragen tt de analyse van het datalek. Het Crisis Team stelt een verslag p van elke bijeenkmst hetwelk gedcumenteerd wrdt in een intern register. d. Evaluatie van het datalek dr de AVG-verantwrdelijke en/f het Crisis Team De AVG-verantwrdelijke en desgevallend het Crisis Team gaan ver tt de analyse van het datalek en nderzeken de aard ervan. Ok vlgende punten zullen wrden besprken: de categrieën en aantal betrkkenen bij het datalek de categrieën en aantal gegevens bij het datalek de eventuele impact van het datalek p de nderneming een inschatting van de impact p de rechten en vrijheden van de betrkkenen eventuele gevlgen van het datalek

maatregelen die het datalek meten verhelpen en de gevlgen ervan meten vermijden f minstens verminderen maatregelen die datalekken in de tekmst kunnen vermijden. e. Melding aan de tezichthudende autriteit (CBPL) Indien de AVG-verantwrdelijke f het Crisis Team een risic detecteren p de schending van de rechten en vrijheden van natuurlijke persnen meten zij dit melden aan de tezichthudende autriteit, znder nredelijke vertraging en, indien mgelijk, uiterlijk 72 uur na kennisname van de inbreuk. Daarbij maakt het niet uit f het datalek verrzaakt is dr een fut f vermacht. Een datalek kan ernstig zijn als het een grte heveelheid data betreft (kwantitatief ernstig) maar k als het m gevelige gegevens gaat (kwalitatief ernstig), bijvrbeeld financiële gegevens f medische gegevens. Bij deze melding met er tenminste kennis wrden gegeven van vlgende wettelijk verplichte infrmatie ingevlge artikel 33 AVG: - de aard van de inbreuk; - indien mgelijk, de categrieën van betrkkenen en persnsgegevens in kwestie; - indien mgelijk, het aantal betrkkenen en het aantal persnsgegevens in kwestie; - de naam en cntactgegevens van de AVG-verantwrdelijke (indien deze aangesteld werd); - de waarschijnlijke gevlgen van het datalek; en - maatregelen die wrden genmen m het datalek aan te pakken en m de eventuele nadelige gevlgen ervan te beperken. Indien de melding aan de tezichthudende autriteit niet binnen 72 uur plaatsvindt, dient zij vergezeld te zijn van een mtivering vr de vertraging. Indien en vr zver het niet mgelijk is m alle infrmatie gelijktijdig te verstrekken, kan de infrmatie znder nredelijke vertraging gefaseerd wrden verstrekt aan de tezichthudende autriteit. De melding aan de tezichthudende autriteit wrdt steeds nmiddellijk gedaan dr de AVGverantwrdelijke. Er wrdt steeds naar gestreefd m meldingen aan de tezichthudende autriteit uit te veren binnen de wettelijke termijn van 72 uur vlgend p de ntdekking van het datalek. Indien de termijn van 72 uur niet kan wrden gehaald, zal de infrmatie znder uitstel en z snel als mgelijk wrden vergemaakt aan de tezichthudende autriteit. Indien het gedetecteerde risic als laag wrdt berdeeld dr de AVG-verantwrdelijke en geen melding bij de tezichthudende autriteit vereist is, dient vergegaan te wrden naar de stap Aanvullen van het Datalekken Register.

f. Melding aan de betrkkenen (natuurlijke persnen) Niet elk beveiligingsincident met wrden meegedeeld aan de betrkkene. Dit geldt enkel vr beveiligingsincidenten die waarschijnlijk een hg risic inhuden vr de rechten en vrijheden van natuurlijke persnen (artikel 34 AVG). De AVG smt een aantal gevallen p waarin mededeling aan de betrkkene tch niet vereist is: - de verwerkingsverantwrdelijke heeft passende technische en rganisatrische beschermings- maatregelen genmen en deze maatregelen zijn tegepast p de persnsgegevens waarp het beveiligingsincident betrekking heeft (bv. versleuteling); - de verwerkingsverantwrdelijke heeft achteraf maatregelen genmen m ervr te zrgen dat het bedelde hge risic vr de rechten en vrijheden van betrkkenen zich waarschijnlijk niet meer zal vrden; - de mededeling zu nevenredige inspanningen vergen. In dit geval met een penbare mededeling gebeuren van het beveiligingsincident f een srtgelijke maatregel waarbij betrkkenen even deltreffend wrden geïnfrmeerd (zie stap Publieke mededeling hiernder). Indien de AVG-verantwrdelijke een hg risic detecteert p de schending van de rechten en vrijheden van de betrkkene, meldt hij f zij dit z snel mgelijk aan de betrkkenen in een duidelijke en eenvudige taal. De melding naar de betrkkene met de aard van de inbreuk p de persnsgegevens mschrijven en bevat ten minste vlgende infrmatie: - de naam en cntactgegevens van de AVG-verantwrdelijke f een ander cntactpunt waar meer infrmatie kan wrden verkregen; - de waarschijnlijke gevlgen van het datalek; en - maatregelen die vrgesteld zijn f genmen werden m het datalek aan te pakken en in vrkmend geval, de maatregelen ter beperking van de eventueel nadelige gevlgen daarvan. g. Publieke mededeling Indien een melding aan de betrkkene verplicht is, dch nevenredig hge inspanningen zu vereisen, dient een publieke mededeling f srtgelijke maatregel te gebeuren waarbij de betrkkenen p een even deltreffende wijze wrden geïnfrmeerd. De inhud van de mededeling met wrden afgestemd met de AVG-verantwrdelijke en/f Crisis Team. Alleszins met er steeds ver gewaakt wrden dat iedere publieke mededeling: - aangeeft dat de ndige maatregelen wrden genmen; - geen melding det van persnsgegevens zelf; en - cntactgegevens meedeelt waar meer infrmatie kan wrden bekmen.

h. Implementatie maatregelen en uitveren actieplan De AVG-verantwrdelijke ziet te dat de vrgestelde maatregelen wrden geïmplementeerd en het eventueel pgestelde actieplan ten uitver wrdt gebracht. Vrpgestelde acties kunnen bestaan in het feit dat de rzaken van het incident wrden ingedijkt, defecten wrden hersteld, mgelijke infecties wrden verwijderd en de systemen wrden hersteld in hun rsprnkelijke testand van vr het datalek. De AVG-verantwrdelijke ziet te p crrecte uitvering van de maatregelen en zrgt vr de pvlging. De AVG-verantwrdelijke stelt hiervan een verslag p. i. Afsluiting van de prcedure en pmaak van het rapprt De prcedure vr de behandeling van het datalek wrdt afgeslten dr de AVGverantwrdelijke indien: - de situatie nder cntrle is (f binnen aanvaardbare prprties is herleid); - de geïmplementeerde maatregelen het gewenste effect bereiken; - geen risic p schending van rechten en vrijheden van betrkkene meer bestaat; én - aan wettelijke verplichtingen tijdig werd vldaan. De afsluiting van de prcedure zal intern wrden gecmmuniceerd aan alle betrkkenen bij de behandeling van het datalek. Indien de situatie nder cntrle is p basis van tijdelijke maatregelen maar een definitieve maatregel ndzakelijk is vr het afsluiten van het incident, kan de AVG-verantwrdelijke m het incident nder vrbehud van implementatie van de definitieve maatregel af te sluiten. Bij afsluiting van de prcedure wrdt een rapprt pgesteld dr de AVG-verantwrdelijke. Hierin wrden alle relevante dcumenten, cmmunicatie en verslagen pgenmen. In het rapprt met duidelijk vermeld wrden wat de aard van het datalek was, de wijze waarp gehandeld werd, de genmen maatregelen, de betrkken persnen en de aanbevelingen naar de tekmst te. Het verslag zal eerst wrden vergemaakt aan alle betrkkenen bij de prcedure die 5 werkdagen de tijd krijgen eventuele pmerkingen te frmuleren die desgevallend zullen wrden tegevegd aan het verslag, waarna de AVG-verantwrdelijke het rapprt zal finaliseren. Het definitieve verslag wrdt vergemaakt aan het bestuur. j. Aanvullen van het Datalekken Register Elk vastgesteld datalek dient dr de AVG-verantwrdelijke in het Datalekken Register te wrden pgenmen, waarbij vlgende gegevens dienen te wrden vermeld: - de aard van het datalek en de feitelijke mstandigheden; - de effecten van het datalek p de rganisatie en p de rechten en vrijheden van de betrkkenen;

- de genmen maatregelen; en - eventuele aanbevelingen naar de tekmst te

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback