Dit is het datalekken beleid van Wrld f Travel bvba. Dit beleid geeft een stappenplan weer dat dient gevlgd te wrden in het geval van een datalek. Een datalek f een inbreuk in verband met persnsgegevens kan als vlgt wrden gedefinieerd: een inbreuk p de beveiliging die per ngeluk f p nrechtmatige wijze leidt tt de vernietiging, het verlies, de wijziging f de ngerlfde verstrekking van f de ngerlfde tegang tt drgeznden, pgeslagen f anderszins verwerkte gegevens. Hiernder vlgt een niet-limitatieve psmming van mgelijke data lekken: - hacking van cmputersystemen; - een ransmware (cryptlcker) die data versleutelt; - verlies van laptp, smartphne, USB-stick met persnsgegevens, ( ); - nvldende beveiliging van dssiers; - black ut van servers; - verlies van gegevens ten gevlge van een brand in het datacentrum terwijl er geen back-up beschikbaar is; - ( ) In geval van een datalek dient u cntact p te nemen met één van f de vlgende cntactpersnen binnen de rganisatie: Cntactgegevens Functie Naam Email Tel.nr. AVG-verantwrdelijke Patrick De Vs patrick.devs@wrldftravel.be 0032/56243882 IT-verantwrdelijke Cnxin supprt@cnxin.be 0032/56731121
Stappenplan a. Identificatie van het datalek Een datalek (f een vermeden ervan) kan p verschillende manieren wrden pgemerkt, bijvrbeeld dr autmatische cmputersystemen, dr een werknemer binnen de eigen nderneming zelf f dr een melding van buitenaf. Van zdra iemand binnen de rganisatie kennis heeft van een datalek maakt deze hiervan nmiddellijk melding bij de AVG-verantwrdelijke. Bij afwezigheid van deze persn, wrdt melding gedaan bij de IT-verantwrdelijke. De melding dient per email te gebeuren (zie tabel cntactgegevens) en maakt melding van vlgende infrmatie in zverre deze reeds beschikbaar is: - de aard van het datalek: verlies f beschadiging van data, vermindering f wegvallen van tegankelijkheid, en/f inbreuk p de vertruwelijkheid van data; - de betrkken data; - de impact p de rganisatie; en - de vermedelijke rzaak. Na elke melding van een datalek hudt de persn van melding zich steeds ter beschikking van de AVG-verantwrdelijke vr verdere pvlging van de prcedure. b. Analyse dr de AVG-verantwrdelijke binnen de rganisatie vr de behandeling van datalekken Een analyse zal steeds dienen te gebeuren m te cncluderen f het datalek überhaupt gemeld met wrden aan de tezichthudende autriteit. Z is een melding niet verplicht indien het niet waarschijnlijk is dat het datalek een risic inhudt vr de rechten en vrijheden van de betrkkene. Elk incident dient echter wel intern te wrden beschreven, met een berdeling van het risic vr de betrkken persn vlgens de geijkte methdes. Deze berdeling zal gemaakt wrden dr de AVG-verantwrdelijke binnen de rganisatie vr de behandeling van datalekken. Vlgende situaties kunnen zich dan vrden: - er is geen sprake van een datalek met betrekking tt persnsgegevens f het datalek hudt geen risic s in p de rechten en vrijheden van de betrkkenen. De AVG-verantwrdelijke zal dit rapprteren aan het Management en hij f zij gaat ver tt een pname in het register van datalekken indien het een datalek met betrekking tt persnsgegevens betreft; - er is sprake van een datalek met persnsgegevens wat vermedelijk een risic inhudt p de rechten en vrijheden van één f meerdere betrkkenen evenwel is het beperkt in mvang en impact. De AVG-verantwrdelijke zal zelf vergaan tt afhandeling van het incident, rapprteert dit aan het Management en registreert het datalek in het Register van Datalekken.
- er is sprake van een datalek met persnsgegevens met een vermedelijk risic p de rechten en vrijheden van één f meerdere betrkkenen, en één f meerdere van hierna pgesmde vereisten zijn vldaan: er is een vermeden van impact p de IT-infrastructuur; er is een vermeden van kwaadwillig pzet; er is een vermeden van impact p gevelige gegevens; er is een vermeden van impact p een grte set van data; er is een vermeden van impact p data van een grt aantal betrkkenen; iedere andere situatie die ernstig geneg is m het Crisis Team mee te betrekken in de evaluatie; De AVG-verantwrdelijke zal znder uitstel het Crisis Team samenrepen. c. Samenrepen van een Crisis Team Indien ndzakelijk zal de AVG-verantwrdelijke een Crisis Team samenrepen. Deze bestaat uit vlgende persnen naargelang de mvang en de specifieke mstandigheden van het datalek: Functie AVG-verantwrdelijke IT-verantwrdelijke Melder van het datalek Zaakverder Websitebeheerder Naam Patrick De Vs Cnxin Hilde De Vs Ewaut Van Gerrewey Cde d Or Indien een persn binnen de rganisatie wrdt pgerepen, maar niet aanwezig kan zijn, wrdt een vervanger aangeduid. Het Crisis Team zal het incident altijd aan een analyse nderwerpen. Ieder lid zal in het kader van zijn f haar functie, met de ndige kennis en expertise bijdragen tt de analyse van het datalek. Het Crisis Team stelt een verslag p van elke bijeenkmst hetwelk gedcumenteerd wrdt in een intern register. d. Evaluatie van het datalek dr de AVG-verantwrdelijke en/f het Crisis Team De AVG-verantwrdelijke en desgevallend het Crisis Team gaan ver tt de analyse van het datalek en nderzeken de aard ervan. Ok vlgende punten zullen wrden besprken: de categrieën en aantal betrkkenen bij het datalek de categrieën en aantal gegevens bij het datalek de eventuele impact van het datalek p de nderneming een inschatting van de impact p de rechten en vrijheden van de betrkkenen eventuele gevlgen van het datalek
maatregelen die het datalek meten verhelpen en de gevlgen ervan meten vermijden f minstens verminderen maatregelen die datalekken in de tekmst kunnen vermijden. e. Melding aan de tezichthudende autriteit (CBPL) Indien de AVG-verantwrdelijke f het Crisis Team een risic detecteren p de schending van de rechten en vrijheden van natuurlijke persnen meten zij dit melden aan de tezichthudende autriteit, znder nredelijke vertraging en, indien mgelijk, uiterlijk 72 uur na kennisname van de inbreuk. Daarbij maakt het niet uit f het datalek verrzaakt is dr een fut f vermacht. Een datalek kan ernstig zijn als het een grte heveelheid data betreft (kwantitatief ernstig) maar k als het m gevelige gegevens gaat (kwalitatief ernstig), bijvrbeeld financiële gegevens f medische gegevens. Bij deze melding met er tenminste kennis wrden gegeven van vlgende wettelijk verplichte infrmatie ingevlge artikel 33 AVG: - de aard van de inbreuk; - indien mgelijk, de categrieën van betrkkenen en persnsgegevens in kwestie; - indien mgelijk, het aantal betrkkenen en het aantal persnsgegevens in kwestie; - de naam en cntactgegevens van de AVG-verantwrdelijke (indien deze aangesteld werd); - de waarschijnlijke gevlgen van het datalek; en - maatregelen die wrden genmen m het datalek aan te pakken en m de eventuele nadelige gevlgen ervan te beperken. Indien de melding aan de tezichthudende autriteit niet binnen 72 uur plaatsvindt, dient zij vergezeld te zijn van een mtivering vr de vertraging. Indien en vr zver het niet mgelijk is m alle infrmatie gelijktijdig te verstrekken, kan de infrmatie znder nredelijke vertraging gefaseerd wrden verstrekt aan de tezichthudende autriteit. De melding aan de tezichthudende autriteit wrdt steeds nmiddellijk gedaan dr de AVGverantwrdelijke. Er wrdt steeds naar gestreefd m meldingen aan de tezichthudende autriteit uit te veren binnen de wettelijke termijn van 72 uur vlgend p de ntdekking van het datalek. Indien de termijn van 72 uur niet kan wrden gehaald, zal de infrmatie znder uitstel en z snel als mgelijk wrden vergemaakt aan de tezichthudende autriteit. Indien het gedetecteerde risic als laag wrdt berdeeld dr de AVG-verantwrdelijke en geen melding bij de tezichthudende autriteit vereist is, dient vergegaan te wrden naar de stap Aanvullen van het Datalekken Register.
f. Melding aan de betrkkenen (natuurlijke persnen) Niet elk beveiligingsincident met wrden meegedeeld aan de betrkkene. Dit geldt enkel vr beveiligingsincidenten die waarschijnlijk een hg risic inhuden vr de rechten en vrijheden van natuurlijke persnen (artikel 34 AVG). De AVG smt een aantal gevallen p waarin mededeling aan de betrkkene tch niet vereist is: - de verwerkingsverantwrdelijke heeft passende technische en rganisatrische beschermings- maatregelen genmen en deze maatregelen zijn tegepast p de persnsgegevens waarp het beveiligingsincident betrekking heeft (bv. versleuteling); - de verwerkingsverantwrdelijke heeft achteraf maatregelen genmen m ervr te zrgen dat het bedelde hge risic vr de rechten en vrijheden van betrkkenen zich waarschijnlijk niet meer zal vrden; - de mededeling zu nevenredige inspanningen vergen. In dit geval met een penbare mededeling gebeuren van het beveiligingsincident f een srtgelijke maatregel waarbij betrkkenen even deltreffend wrden geïnfrmeerd (zie stap Publieke mededeling hiernder). Indien de AVG-verantwrdelijke een hg risic detecteert p de schending van de rechten en vrijheden van de betrkkene, meldt hij f zij dit z snel mgelijk aan de betrkkenen in een duidelijke en eenvudige taal. De melding naar de betrkkene met de aard van de inbreuk p de persnsgegevens mschrijven en bevat ten minste vlgende infrmatie: - de naam en cntactgegevens van de AVG-verantwrdelijke f een ander cntactpunt waar meer infrmatie kan wrden verkregen; - de waarschijnlijke gevlgen van het datalek; en - maatregelen die vrgesteld zijn f genmen werden m het datalek aan te pakken en in vrkmend geval, de maatregelen ter beperking van de eventueel nadelige gevlgen daarvan. g. Publieke mededeling Indien een melding aan de betrkkene verplicht is, dch nevenredig hge inspanningen zu vereisen, dient een publieke mededeling f srtgelijke maatregel te gebeuren waarbij de betrkkenen p een even deltreffende wijze wrden geïnfrmeerd. De inhud van de mededeling met wrden afgestemd met de AVG-verantwrdelijke en/f Crisis Team. Alleszins met er steeds ver gewaakt wrden dat iedere publieke mededeling: - aangeeft dat de ndige maatregelen wrden genmen; - geen melding det van persnsgegevens zelf; en - cntactgegevens meedeelt waar meer infrmatie kan wrden bekmen.
h. Implementatie maatregelen en uitveren actieplan De AVG-verantwrdelijke ziet te dat de vrgestelde maatregelen wrden geïmplementeerd en het eventueel pgestelde actieplan ten uitver wrdt gebracht. Vrpgestelde acties kunnen bestaan in het feit dat de rzaken van het incident wrden ingedijkt, defecten wrden hersteld, mgelijke infecties wrden verwijderd en de systemen wrden hersteld in hun rsprnkelijke testand van vr het datalek. De AVG-verantwrdelijke ziet te p crrecte uitvering van de maatregelen en zrgt vr de pvlging. De AVG-verantwrdelijke stelt hiervan een verslag p. i. Afsluiting van de prcedure en pmaak van het rapprt De prcedure vr de behandeling van het datalek wrdt afgeslten dr de AVGverantwrdelijke indien: - de situatie nder cntrle is (f binnen aanvaardbare prprties is herleid); - de geïmplementeerde maatregelen het gewenste effect bereiken; - geen risic p schending van rechten en vrijheden van betrkkene meer bestaat; én - aan wettelijke verplichtingen tijdig werd vldaan. De afsluiting van de prcedure zal intern wrden gecmmuniceerd aan alle betrkkenen bij de behandeling van het datalek. Indien de situatie nder cntrle is p basis van tijdelijke maatregelen maar een definitieve maatregel ndzakelijk is vr het afsluiten van het incident, kan de AVG-verantwrdelijke m het incident nder vrbehud van implementatie van de definitieve maatregel af te sluiten. Bij afsluiting van de prcedure wrdt een rapprt pgesteld dr de AVG-verantwrdelijke. Hierin wrden alle relevante dcumenten, cmmunicatie en verslagen pgenmen. In het rapprt met duidelijk vermeld wrden wat de aard van het datalek was, de wijze waarp gehandeld werd, de genmen maatregelen, de betrkken persnen en de aanbevelingen naar de tekmst te. Het verslag zal eerst wrden vergemaakt aan alle betrkkenen bij de prcedure die 5 werkdagen de tijd krijgen eventuele pmerkingen te frmuleren die desgevallend zullen wrden tegevegd aan het verslag, waarna de AVG-verantwrdelijke het rapprt zal finaliseren. Het definitieve verslag wrdt vergemaakt aan het bestuur. j. Aanvullen van het Datalekken Register Elk vastgesteld datalek dient dr de AVG-verantwrdelijke in het Datalekken Register te wrden pgenmen, waarbij vlgende gegevens dienen te wrden vermeld: - de aard van het datalek en de feitelijke mstandigheden; - de effecten van het datalek p de rganisatie en p de rechten en vrijheden van de betrkkenen;
- de genmen maatregelen; en - eventuele aanbevelingen naar de tekmst te