PROCEDURE MELDPLICHT DATALEKKEN. Procesgang rondom (mogelijke) datalekken in Zorggroep BOAT.

Vergelijkbare documenten
WBP, DOELSTELLINGEN GEGEVENSGEBRUIK KLOK GROENPROJECTEN

Documentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN

Procedure meldplicht datalekken. Versie 1.0 Februari Procedure meldplicht datalekken Intergrip Versie 1.0

Procedure Informatiebeveiligingsincidenten en datalekken

Protocol Meldplicht Datalekken

Procesgang rondom (mogelijke) datalekken in [naam organisatie]. Tekst die tussen [] staat moet door de organisatie zelf nog worden ingevuld.

Privacy Statement andere betrokkenen (niet zijnde studenten of medewerkers)

Privacyreglement. 1. Begripsbepalingen

Privacyreglement. Inleiding

Privacy -reglement

PRIVACY BELEID EN DATALEKKEN versie 2016

Privacyreglement NFG hulpverlener

Privacy Statement Medewerkers

Privacyreglement NFG hulpverlener

Privacy Statement Studenten

Privacyreglement Praktijk Herstel

AVG-verantwoordelijke Patrick De Vos 0032/ IT-verantwoordelijke Conxion

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

PRIVACYREGLEMENT SBO BERNISSE

3. De in opdracht van Verantwoordelijke te Verwerken persoonsgegevens blijven eigendom van Verantwoordelijke en/of de betreffende betrokkenen.

PRIVACY VERKLARING VAN BEAUTYSALON ANKE

- PRIVACYREGLEMENT -

Schade protocol Zuiderpark Stadswalzone

De regeling vindt haar basis in de standaardregeling zoals gepubliceerd door de Stichting van de Arbeid.

Privacy Policy. Grondslag voor deze persoonsgegevens is: o de overeengekomen opdracht. Bijgewerkt op:

De burgemeester, het college en de raad van de gemeente Muiden;

Privacyreglement NFG versie:

Zijn in de aanvraag bijlagen genoemd en zijn die bijgevoegd? Zo ja, welke? Nummer desgewenst de bijlagen.

Privacy Policy. Privacy Policy WO=MEN, Dutch Gender Platform april 2018 Pagina 1 van 9

OVEREENKOMST INSCHAREN

Frans Halslaan 4, 1921EP Akersloot

Stichting Inspecteur Boelensschool Schiermonnikoog Klokkenluidersregeling

VERWERKERSOVEREENKOMST

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Help, een datalek! Een procedure voor het omgaan met datalekken. Ir. H. Candel en mr. dr. S. Nouwt*

Privacyreglement Libereaux BV

Privacyreglement Lamers Zorg & Arbeid

Klachtenregeling medewerkers

Tussenrapportage: plan van aanpak raadsenquête grondexploitatie Duivenvoordecorridor.

PROCEDURE MELDPLICHT DATALEKKEN

VERKLARING. Inzake gegevensverwerking klanten. Volgens de Algemene Verordening Gegevensbescherming (AVG)

Protocol en klachtenregeling ongewenst gedrag

NTA 8009:2007. Veiligheidsmanagementsysteem voor ziekenhuizen en instellingen die ziekenhuiszorg verlenen

Wanneer u onze juridische hulp inschakelt, worden de gegevens die u verstrekt door ons vastgelegd. Wij verzamelen gegevens waaronder:

Reglement compliance officer

Privacy Reglement Vereniging van eigenaars Brahmslaan (even nummers) te Leiden

Verwerkersovereenkomst

Hieronder beschrijven we beknopt onze werkwijze met betrekking tot bescherming van persoonsgegevens.

Verwerking van persoonsgegevens van patiënten of cliënten

Isala en de Algemene Verordening Gegevensbescherming

Visitatie praktijkinstellingen. Brochure

GOA Publiek. Privacy statement. 1 van 6

juli nieuwe hoofdstuk 3 CAR: Selecteren en aanleveren relevante lokale regelingen beloningsbeleid

Ons kantoor vraagt uw persoonsgegevens alleen op voor de volgende doeleinden: het uitvoeren van opdrachten voor advies of andere diensten;

PRIVACY- EN COOKIEVERKLARING

100 Present registreert en verwerkt persoonsgegevens van werknemers ten behoeve van:

Privacyreglement. 1. Begripsbepalingen. 2. Bereik. In dit reglement wordt verstaan onder:

Procedure Meldplicht Datalekken

Model Verwerkersovereenkomst. Generieke e-learning

Klokkenluidersregeling Rivas

Klachtenbeleid Stichting KOM Kinderopvang

Reglement compliance officer

Persoonsgegevens van klanten worden door Apollon Travel verwerkt ten behoeve van de volgende doelstelling(en):

Naar Gekoppelde Toetsing van Koppelverzoeken

Protocol voor afname Centraal Ontwikkelde Examens Nederlandse taal en rekenen.

Definitieve versie d.d. 24 mei Privacy statement

Indien jij na het lezen van dit privacy statement vragen hebt, kun je contact met ons opnemen per e- mail:

ONTWIKKELPLAN SAMEN VERANTWOORDELIJK EN BETROKKEN

WAT BEPAALT DE EUROPESE RICHTLIJN INZAKE HET RECHT OP TOEGANG TOT EEN ADVOCAAT?

IMPLEMENTATIE WET VERPLICHTE MELDCODE HUISELIJK GEWELD EN KINDERMISHANDELING GEMEENTEN NOORDOOST-BRABANT

8.2. Ziekteverzuim en (ziekte)verzuimbegeleiding

Naar Gekoppelde Toetsing van Koppelverzoeken

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Privacy Statement. Zorgboerderij Gaia

b) Afhankelijk van de omstandigheden, kunnen wij de volgende categorieën van persoonsgegevens verzamelen:

Privacy statement GastouderCarola

Indien jij na het lezen van dit privacy statement vragen hebt, kun je contact met ons opnemen per e- mail:

Protocol Datalek. Geschiedenis Studenten Vereniging Excalibur

PRIVACY STATEMENT WOONTIJ

PROTOCOL bij OVERLIJDEN

Naam Klachtenprocedure SZZ versie 1.0 vastgesteld Door RvB evaluatie Door RvB

PROCEDURE RECHTEN VAN BETROKKENEN DE HUISMEESTERS

Keurmerk Klantgericht Verzekeren Stappenplan en checklist eerste beoordeling Stichting toetsing verzekeraars

PROCEDURE RECHTEN VAN BETROKKENEN DE HUISMEESTERS

Versie 1.0 augustus 2018 PRIVACY STATEMENT

Roccohoeve Nicolien Kuiper, zorg en onderwijs

Wij bieden onze dienstverlening aan onder de labels Omgaan met Ontslag, Omgaan met Overname en Omgaan met Ontwikkeling.

Controleprotocol Sociaal Domein

Asbestbeleidsplan. Beleid en beheer asbest

PRIVACY STATEMENT DE HUISMEESTERS

Privacyverklaring Hervormde Gemeente Huizen, te Huizen Onderdeel van de Protestantse Kerk in Nederland

Gedragscode gebruik persoonsgegevens

Klachtenregeling CSG Reggesteyn

Privacy Statement Stichting Hulst voor Elkaar

Voor partners, werknemers, uitzendkrachten, inleenkrachten, student-stagiaires, en sollicitanten van imailo is een ander beleid van toepassing.

Inhoudsopgave Privacy statement... 3 Algemeen... 3 Grondslagen... 3 Waarom verzamelen wij uw persoonsgegevens?... 3 Welke persoonsgegevens gebruiken

Reglement Geschillencommissie Wonen Zuid-Holland Zuid

Privacyreglement. 1 / 6

ARBOBELEIDSPLAN. voor de stichting PCBO BAARN SOEST

Transcriptie:

PROCEDURE MELDPLICHT DATALEKKEN Prcesgang rndm (mgelijke) datalekken in Zrggrep BOAT.

Inhud Bijlagen:... 2 1. Del... 2 2. Definities... 3 3. Tepassingsgebied... 4 4. Werkwijze... 4 4.1. Identificeren van een datalek... 5 4.2. Berdeling aard/ernst incident; datalek ja/nee... 6 4.3. Melden aan de Autriteit Persnsgegevens... 7 4.4. Instellen Datalekken Cmmissie... 7 4.5. Startbijeenkmst Datalekken Cmmissie... 8 4.6. Verrichten datalek nderzek... 8 4.7. Berdeling f datalek gemeld dient te wrden aan betrkkene(n)... 8 4.8.Sltbijeenkmst in geval van een datalek: bespreking rapprt en vaststellen verbetermaatregelen... 9 4.9. Rapprteren aan de betrkkene(n)... 9 4.10. Implementeren verbetermaatregelen... 10 4.11. Sluiten melding en vastlegging... 10 Brnnen... 10 Bijlagen: Bijlage 1 Frmulier vr melding datalek Bijlage 2 De meldplicht datalekken in de Wet bescherming persnsgegevens; beleidsregels van de AP Bijlage 3 Infrmatie vr leden van de Datalekken Cmmissie Bijlage 4 Infrmatie vr te interviewen interne persnen dr de Datalekken Cmmissie Bijlage 5 Infrmatie vr te interviewen (medewerkers van) derden dr de Datalekken Cmmissie Bijlage 6 Frmat rapprtage Datalekken 1. Del Met ingang van 1 januari 2016 is de Wet bescherming persnsgegevens (Wbp) gewijzigd. Sindsdien geldt een meldplicht vr datalekken. Deze meldplicht hudt in dat bedrijven, verheden en andere rganisaties die persnsgegevens verwerken datalekken nverwijld meten melden aan de Autriteit Persnsgegevens (AP), en in bepaalde gevallen k aan de betrkkene(n). De betrkkene is degene van wie persnsgegevens zijn gelekt.

De bedrijven, verheden en andere rganisaties tt wie de meldplicht datalekken zich richt, meten zelf een beredeneerde afweging maken f een cncreet datalek dat hen ter kennis kmt nder het bereik van de wettelijke meldplicht valt. Deze prcedure beschrijft he te handelen binnen Zrggrep BOAT, indien er sprake is van een datalek f wanneer een datalek vermed wrdt. De meldplicht is eveneens van tepassing p Zrggrep BOAT, als het datalek bij een derde is ntstaan, bijvrbeeld een bewerker van persnsgegevens van Zrggrep BOAT. Deze prcedure is mede gebaseerd p de beleidsregels van de AP inzake de meldplicht datalekken in de Wet bescherming persnsgegevens. Per gemeld datalek behudt de Directie van Zrggrep BOAT de vrijheid per gemeld datalek te berdelen f de prcedure gevlgd kan wrden, danwel afwijking van deze prcedure gerechtvaardigd is. Het del van deze prcedure is vast te leggen, welke stappen genmen meten wrden dr Zrggrep BOAT bij het vermeden van f kennis nemen van een incident dat (mgelijk) aangemerkt kan wrden als een datalek. Het vlgende resultaat wrdt hiermee nagestreefd: - het steeds vlgen van een eenduidige prcedure; - het zrgvuldig waarbrgen van de belangen van Zrggrep BOAT, het individu dan wel een ander bedrijf dat betrkken is bij het incident, zijnde (mgelijk) datalek; - het p zrgvuldige en systematische wijze analyseren van een incident, zijnde mgelijk datalek, zdat aanwezige risicmmenten in het prces zichtbaar wrden. Centraal staat hierbij het vaststellen van de nvlkmenheden in de (tepassing van) technische en rganisatrische beveiligingsmaatregelen, die (mgelijk) hebben kunnen leiden tt het incident; - het bevrderen van het nemen van passende verbetermaatregelen en het structureel brgen van deze verbetermaatregelen; - het realiseren van een vldende en eenduidige interne en p verzek externe verantwrding ver de afhandeling van een incident, zijnde (mgelijk) datalek. In de prcedurebeschrijving zijn de te drlpen stappen verwrd. 2. Definities AP Autriteit Persnsgegevens, de nieuwe naam van het Cllege Bescherming Persnsgegevens (CBP) m.i.v. 1-1-2016. Bestand Elk gestructureerd geheel van persnsgegevens (p papier als digitaal ngeacht f dit geheel van gegevens gecentraliseerd is f verspreid is p een functineel f gegrafisch bepaalde wijze), dat vlgens bepaalde criteria tegankelijk is en betrekking heeft p verschillende persnen (artikel 1c, Wbp). Betrkkene Degene p wie een persnsgegeven betrekking heeft (artikel 1f, Wbp). Beveiligingslek Een inbreuk p de beveiliging (zals bedeld in artikel 34a, lid 1, Wbp) waarbij persnsgegevens niet wrden bltgesteld aan verlies f nrechtmatige verwerking; er is dan geen sprake van een datalek. Bewerker Degene die ten beheve van de verantwrdelijke persnsgegevens verwerkt, znder aan zijn rechtstreeks gezag te zijn nderwrpen (artikel 1e, Wbp) Datalek Een inbreuk p de beveiliging (zals bedeld in artikel 34a, lid 1, Wbp) waarbij persnsgegevens zijn bltgesteld aan verlies f nrechtmatige verwerking; dus bltgesteld aan datgene waartegen beveiligingsmaatregelen (artikel 13, Wbp) bescherming mesten bieden. Datalekken Cmmissie Een dr de Kwaliteitsmanager tijdelijk ingestelde nderzekscmmissie, die zrgdraagt vr een nderzek en ver de uitkmsten rapprteert aan de Directie van Zrggrep BOAT.

Derden De bij het incident betrkken externe partij, anders dan betrkkene. Bv. een bewerker van persnsgegevens t.b.v. Zrggrep BOAT. Gendigden Interne betrkkenen die uitgendigd zijn bij de bespreking(en) van het incident bij de Directie van Zrggrep BOAT. FG Functinaris Gegevensbescherming (artikel 1-l, Wbp). Incident Een mgelijk beveiligingsincident, waardr de bescherming van persnsgegevens p enig mment is drbrken en waardr de persnsgegevens zijn bltgesteld aan verlies f nrechtmatige verwerking. Het is daarbij niet van belang f de verantwrdelijke passende technische f rganisatrische beschermingsmaatregelen heeft getrffen f niet. Ieder datalek is een incident, niet ieder incident is een datalek. ISO Infrmatin Security Officer. Persnsgegeven Elk gegeven betreffende een geïdentificeerde f identificeerbare natuurlijke persn Wbp (artikel 1a, Wbp). Wbp Wet bescherming persnsgegevens. Verantwrdelijke De natuurlijke persn, rechtspersn f ieder ander die f het bestuursrgaan dat, alleen f tezamen met anderen, het del van en de middelen vr de verwerking van persnsgegevens vaststelt (artikel 1d, Wbp). Verwerking van persnsgegevens Elke handeling f elk geheel van handelingen met betrekking tt persnsgegevens, waarnder in ieder geval het verzamelen, vastleggen, rdenen, bewaren, bijwerken, wijzigen, pvragen, raadplegen, gebruiken, verstrekken dr middel van drzending, verspreiding f enige andere vrm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen f vernietigen van gegevens (artikel 1b, Wbp). Manager Infrmatieveiligheid De manager, die vanuit de prtefeuille Infrmatieveiligheid belast is met de interne cördinatie van de prcedure Meldplicht Datalekken. 3. Tepassingsgebied Deze prcedure wrdt gehanteerd bij het melden en afhandelen van (mgelijke) datalekken in Zrggrep BOAT, dan wel van (mgelijke) datalekken die buiten Zrggrep BOAT hebben plaatsgevnden, dch waarvr Zrggrep BOAT als Verantwrdelijke wel de eindverantwrdelijkheid draagt (bv. bij een Bewerker). 4. Werkwijze Ten beheve van het ttaal verzicht is een prcesschema pgesteld. Vervlgens wrdt specifieke infrmatie per prcesstap ver de te verrichten activiteiten en bijbehrende verantwrdelijkheden en bevegdheden uitgewerkt. Nt: De genemde functiebenamingen zijn generiek gehuden en kunnen afwijken van de in Zrggrep BOAT gehanteerde functiebenamingen.

4.1. Identificeren van een datalek De medewerker die een (mgelijk) datalek cnstateert, meldt dit incident per mgaande bij zijn rganisatrisch hfd, en deze meldt het incident per mgaande aan het integraal management f daarmee gelijkgesteld manager. Deze zrgt dat de Kwaliteitsmanager (f diens plv.) direct wrdt geïnfrmeerd.

Een medewerker is te allen tijde bevegd zelfstandig een melding te den aan de Kwaliteitsmanager bij gebreke van een melding aan de Directie anderszins. De prcedure Meldplicht Datalekken wrdt dan gestart. Nt: Ok (de medewerker van) een Bewerker kan een datalek cnstateren en melden aan diens pdrachtgever in Zrggrep BOAT. 4.2. Berdeling aard/ernst incident; datalek ja/nee De Kwaliteitsmanager draagt, in samenspraak met de FG, z spedig mgelijk zrg vr vlledige en juiste infrmatie zals pgenmen in Bijlage 1 'Frmulier t.b.v. melding datalek'. Op basis van de verkregen infrmatie en bij vermeden van een datalek wrdt in verleg tussen de Directie van Zrggrep BOAT en bijvrbeeld integraal management f daarmee gelijkgesteld manager en/f manager ICT en/f manager P&O en/f manager Facilitair bedrijf, Kwaliteitsmanager, en/f FG en/f ISO z spedig mgelijk de berdeling gemaakt f er daadwerkelijk sprake is van een datalek. Tevens kan in dit verleg wrden berdeeld f er per direct maatregelen genmen meten wrden m de schade te beperken, waarnder het den van een (vrlpige) melding aan betrkkenen. Z ndig kan advies gevraagd wrden aan de juridisch adviseur en de cmmunicatieadviseur. Tevens kan wrden berdeeld f het datalek meldingsplichtig is vr de plitie in geval van vermeden van een strafbaar feit (zie k hierna nder 4.3). De berdeling f er sprake is van een incident, dat gemeld met wrden aan de AP kan tt stand kmen met behulp van de schema s te vinden in de beleidsregels Meldplicht datalekken in de Wet bescherming persnsgegevens van de AP (zie Bijlage 2). Bij de berdeling spelen.a. een rl: - is er sprake van verlies van persnsgegevens; dit hudt in dat Zrggrep BOAT deze gegevens niet meer heeft, mdat deze zijn vernietigd f p een andere wijze verlren zijn gegaan; - is er sprake van nrechtmatige verwerking van persnsgegevens; hier nder vallen de nbedelde f nwettige vernietiging, verlies f wijziging van verwerkte persnsgegevens, f een niet geautriseerde tegang tt verwerkte persnsgegevens f verstrekking daarvan; - is er sprake van een enkele tekrtkming f kwetsbaarheid in de beveiliging; - kan redelijkerwijs wrden uitgeslten dat een inbreuk p de beveiliging tt een nrechtmatige verwerking heeft geleid; - zijn er persnsgegevens van gevelige aard gelekt; bijzndere persnsgegevens cnfrm artikel 16 Wbp; gegevens ver de financiële f ecnmische situatie van de betrkkene; gegevens die kunnen leiden tt stigmatisering f uitsluiting van de betrkkene; gebruikersnamen, wachtwrden en andere inlggegevens; gegevens die kunnen wrden gebruikt vr (identiteits)fraude; leiden de aard en de mvang van de inbreuk tt (een aanzienlijke kans p) ernstige nadelige gevlgen; betrek hierbij factren als de mvang van de verwerking; gaat het m veel persnsgegevens per persn, en m gegevens van grte grepen betrkkenen; de impact van verlies f nrechtmatige verwerking; het delen van de persnsgegevens binnen (zrg)ketens; dit betekent dat de gevlgen van verlies en nbevegde wijziging van persnsgegevens dr de hele keten kunnen ptreden; betrkkenheid van kwetsbare grepen; denk aan verstandelijk gehandicapten; In geval gerdeeld wrdt, dat sprake is van een (mgelijk) datalek, wrdt tevens het cmmunicatietraject richting betrkkene(n) en indien van tepassing de bewerker besprken;

In geval dat het incident niet heeft geleid tt verlies f nrechtmatige verwerking van persnsgegevens is er geen sprake van een datalek maar van een beveiligingslek. Melding aan de AP is dan niet aan de rde. Wel kan in het verleg beslten wrden, dat het zinvl is m het beveiligingslek te nderzeken m herhaling te vrkmen. 4.3. Melden aan de Autriteit Persnsgegevens de Directie van Zrggrep BOAT (f p diens verzek de FG ) verzrgt de tijdige (nverwijld, znder nndige vertraging, en z mgelijk niet later dan 72 uur na de ntdekking van het datalek) elektrnische melding bij de AP vlgens het nline meldingsfrmulier van de AP. Dit met inachtneming van richtlijnen van de AP terzake. De Kwaliteitsmanager draagt, [in samenspraak met de FG], zrg vr vlledige en juiste infrmatie zals pgenmen in Bijlage 1 'Frmulier t.b.v. melding datalek' aan de Directie van Zrggrep BOAT p grnd waarvan feitelijk gemeld zal wrden. Het de Directie van Zrggrep BOAT (f p diens verzek de FG) fungeert als cntactpersn inzake de cmmunicatie naar de AP. Dit geldt k ingeval ng niet duidelijk is dat het incident een datalek is. Dan is de mgelijkheid aanwezig m na vaststelling van de aard van het incident de melding aan te vullen dan wel in te trekken. Het de Directie van Zrggrep BOAT is eindverantwrdelijk, de Kwaliteitsmanager is gedelegeerd regieverder ver de interne afhandeling van het (mgelijke) datalek in al zijn facetten, [evt de FG] ver de externe afhandeling, waarnder het AP, betrkkenen en bewerker. Het direct betrkken (integraal) management draagt ervr zrg dat de bij het incident betrkken medewerkers wrden geïnfrmeerd. Het direct betrkken (integraal) management zrgt ervr dat de betrkken medewerkers bij het incident, het mgelijke datalek, z snel mgelijk een eigen verslag pstellen ver de tedracht van het incident. Deze schriftelijke infrmatie wrdt aan de Directie van Zrggrep BOAT en Kwaliteitsmanager verstrekt ten beheve van de leden van de Datalekken Cmmissie (zie 4.4) en het datalekken dssier. De AP zal na het melden van een datalek een ntvangstbevestiging sturen. Alleen indien de melding daarte aanleiding geeft zal de AP cntact pnemen. Bij een datalek als gevlg van een (niet-ethische) hack (art. 138ab van het Wetbek van Strafrecht), is van belang wat de aard van de gelekte persnsgegevens is, en wat de risic s van misbruik vr de betrkkene(n) zijn. Bij een hack ligt naast melding bij de AP, k aangifte bij de plitie in de rede in verband met de pspring van de daders. Aangifte lpt via een eventueel beschikbare cntactfunctinaris richting plitie. 4.4. Instellen Datalekken Cmmissie De Kwaliteitsmanager benemt een Datalekken Cmmissie bestaande uit ten minste drie leden m verdergaand nderzek te verrichten. Betrkkenen bij het incident, dan wel de afdeling waar het incident heeft plaatsgevnden, kunnen niet participeren in een cmmissie. Bij de samenstelling van de Datalekken Cmmissie wrdt rekening gehuden met de aard van het incident. De Kwaliteitsmanager faciliteert waar ndig de Datalekken Cmmissie. De Kwaliteitsmanager frmuleert [in samenspraak met de eventueel aanwezige FG] een pdracht vr de Datalekken Cmmissie en infrmeert hierver schriftelijk de Datalekken Cmmissie, vrzien van de termijn waarbinnen de Directie van Zrggrep BOAT de rapprtage wil ntvangen en vegt te Bijlage 3 'Infrmatie vr leden van de Datalekken Cmmissie', Bijlage 4 'Infrmatie vr te interviewen interne persnen dr de Datalekken Cmmissie' en Bijlage 5 Infrmatie vr te interviewen (medewerkers van) derden dr de Datalekken Cmmissie.

4.5. Startbijeenkmst Datalekken Cmmissie De Kwaliteitsmanager plant een startbijeenkmst ter bespreking van de pdracht aan de Datalekken Cmmissie. Deze startbijeenkmst vindt in geval van een datalek plaats binnen één week na de melding van het datalek aan de AP. De Kwaliteitsmanager draagt zrg vr penstelling van alle beschikbare infrmatie inzake het datalek t.b.v. de leden van de Datalekken Cmmissie. 4.6. Verrichten datalek nderzek De Datalekken Cmmissie stelt binnen de gestelde termijn en pdrachtverlening een (systematisch) (intern) nderzek in naar de feitelijke tedracht van het (mgelijke) datalek. De Datalekken Cmmissie nderzekt verder f en z ja he dergelijke incidenten in de tekmst kunnen wrden vrkmen (het vermijdbaarheidsaspect). De bevegdheden van de Datalekken Cmmissie zijn: - de mgelijkheid met iedereen te spreken; - alle relevante dcumenten in te zien; - tegang te hebben tt alle plaatsen. Dit alles in het kader van wat de cmmissie ndig acht ten beheve van een zrgvuldige analyse; - in relatie tt de externe bewerker gelden de afspraken zals vastgelegd in de bewerkersvereenkmst; De Datalekken Cmmissie heeft binnen 4 weken na de startbijeenkmst het nderzek afgernd. De Datalekken Cmmissie kan in verleg met, f p instigatie van [bestuur van de rganisatie] besluiten m externe deskundigen te betrekken bij het nderzek. De Datalekken Cmmissie analyseert alle gegevens cnfrm Bijlage 6 'Frmat rapprtage Datalekken Cmmissie' en Bijlage 2 Beleidsregels Meldplicht datalekken in de Wet bescherming persnsgegevens van de AP. Vervlgens stuurt de Datalekken Cmmissie het cnceptrapprt ter verdere bespreking aan de Kwaliteitsmanager [en aan de FG]. De Kwaliteitsmanager plant, vrdat de sltbijeenkmst plaatsvindt, een verleg met de leden van de Datalekken Cmmissie [en de FG] ter vrbespreking van het cnceptrapprt. De Datalekken Cmmissie legt het cnceptrapprt ter crrectie p feitelijke njuistheden vr aan de interne en externe geïnterviewden. De Datalekken Cmmissie stelt vervlgens het rapprt vast. 4.7. Berdeling f datalek gemeld dient te wrden aan betrkkene(n) Indien een datalek is gemeld aan de AP dient tevens vast gesteld te wrden f het datalek k meten wrden gemeld aan degenen m wiens gegevens het gaat. Dit ter berdeling van en advisering dr de Datalekken Cmmissie. De berdeling f er sprake is van een incident dat gemeld met wrden aan de betrkkenen kan tt stand kmen met behulp van de schema s te vinden in de beleidsregels Meldplicht datalekken in de Wet bescherming persnsgegevens van de AP (zie Bijlage 2). Bij de berdeling speelt nder meer een rl: - Indien Zrggrep BOAT passende technische beschermingsmaatregelen heeft genmen, waardr de persnsgegevens die het betreft nbegrijpelijk f ntegankelijk zijn vr een ieder die geen recht heeft p kennisname van de gegevens, dan kan de melding aan de betrkkene(n) achterwege blijven (artikel 34a, lid 6, Wbp). Bij twijfel hierver dient het datalek gemeld te wrden aan de betrkkene(n). - Het datalek met aan de betrkkene(n) wrden gemeld, indien de inbreuk waarschijnlijk ngunstige gevlgen zal hebben vr diens persnlijke levenssfeer (artikel 34a, lid 2, Wbp).

Betrkkenen kunnen dr het verlies, nrechtmatig gebruik f misbruik van persnsgegevens in hun belangen wrden geschaad. De schade kan van materiële f van immateriële aard zijn. Bij dit laatste met bijvrbeeld gedacht wrden aan nrechtmatige publicatie, aantasting in eer en gede naam, identiteitsfraude f discriminatie. Identiteitsfraude kan verigens niet alleen leiden tt immateriële gevlgen, maar k tt materiële gevlgen. - De melding aan de betrkkene(n) mag achterwege blijven, als daarvr zwaarwegende redenen aanwezig zijn (artikel 43 Wbp). Daarbij geldt wel dat de melding aan de betrkkene alleen achterwege mag blijven als dit ndzakelijk is met het g p de belangen die wrden genemd in dit artikel. Op grnd van artikel 43, nder e, Wbp mag van de melding aan de betrkkene wrden afgezien vr zver dit ndzakelijk is in het belang van de bescherming van de betrkkene. 4.8.Sltbijeenkmst in geval van een datalek: bespreking rapprt en vaststellen verbetermaatregelen De Directie van Zrggrep BOAT plant een sltbijeenkmst ter bespreking van het rapprt van de Datalekken Cmmissie. Vr de sltbijeenkmst wrden uitgendigd de Directie van Zrggrep BOAT, de leden van de Datalekken Cmmissie, het integraal management f daarmee gelijkgesteld manager en/f Manager ICT en/f Manager P&O [en/f manager Facilitair bedrijf], de Kwaliteitsmanager, [de FG], [de ISO], de cmmunicatie adviseur, en de juridisch adviseur. De gendigden ntvangen van de Kwaliteitsmanager een afschrift van het cnceptrapprt. de Directie van Zrggrep BOAT bespreekt tijdens de sltbijeenkmst het rapprt en de vrgestelde SMART gefrmuleerde verbetermaatregelen. Tijdens de bijeenkmst wrdt het standpunt van de Directie van Zrggrep BOAT t.a.v. het rapprt van de Datalekken Cmmissie vastgesteld en wrden afspraken ver verbetermaatregelen vastgelegd. Tijdens de bijeenkmst wrdt vast gesteld f en he het datalek aan de betrkkene(n) wrdt gemeld. Na de bijeenkmst ntvangen de gendigden het definitieve rapprt. 4.9. Rapprteren aan de betrkkene(n) In pdracht van de Directie van Zrggrep BOAT stelt de [Manager Infrmatieveiligheid f FG] in samenspraak met de cmmunicatieadviseur en juridisch adviseur een kennisgeving aan betrkkene(n) p. De Kwaliteitsmanager bepaalt [in verleg met de FG] wat aan de betrkkene(n) wrdt gemeld. De melding bevat in ieder geval de aard van de inbreuk, cntactgegevens van Zrggrep BOAT infrmatiepunt waar de betrkkene(n) meer infrmatie ver de inbreuk kan krijgen, en de maatregelen die Zrggrep BOAT de betrkkene(n) aanbeveelt m te nemen m de negatieve gevlgen van de inbreuk te beperken. De betrkkene(n) wrden individueel geïnfrmeerd. Het datalek met nverwijld gemeld wrden aan de betrkkene(n). Dit hudt in dat Zrggrep BOAT, na het ntdekken van het datalek, enige tijd mag nemen vr nader nderzek zdat Zrggrep BOAT de betrkkene p een behrlijke en zrgvuldige manier kan infrmeren. Wel dient hierbij rekening gehuden te wrden dat de betrkkene(n) naar aanleiding van de melding mgelijk maatregelen met(en) nemen m zich te beschermen tegen de gevlgen van het datalek. He eerder Zrggrep BOAT de betrkkene(n) daarver infrmeert, he eerder deze in actie kan kmen. In de melding aan de AP is al aangegeven f Zrggrep BOAT het datalek al aan de betrkkenen heeft gemeld en, z niet, wanneer Zrggrep BOAT dat gaat den. De termijn die Zrggrep BOAT in de melding aan het AP aangeeft, met Zrggrep BOAT k nakmen. Mcht deze termijn bij nader

inzien niet haalbaar blijken te zijn, dan laat Zrggrep BOAT dit aan de AP weten dr middel van een aanpassing van de melding 4.10. Implementeren verbetermaatregelen De manager in wiens dmein de verbetermaatregelen liggen is verantwrdelijk dat de vastgestelde verbetermaatregelen wrden geïmplementeerd, ziet te p de cmmunicatie rndm en de uitvering van de verbetermaatregelen, zrgt dat de genmen maatregelen wrden geëvalueerd p bruikbaarheid en prcesverbetering, en rapprteert ver de vrtgang aan de Directie. Indien bij een bewerker verbetermaatregelen ndig zijn, is de manager die pdrachtgever is van deze bewerker daarte verantwrdelijk. De Kwaliteitsmanager bewaakt de vrtgang, nder eindverantwrdelijkheid van de Directie van Zrggrep BOAT. 4.11. Sluiten melding en vastlegging De Kwaliteitsmanager infrmeert het lid [bestuur van de rganisatie, prtefeuillehuder Infrmatieveiligheid], het betrkken integraal management, de betrkken rganisatrisch manager, de direct bij de calamiteit betrkkenen (gendigden de Directie van Zrggrep BOAT), de Kwaliteitsmanager, en/f Manager ICT en/f Manager P&O en/f manager Facilitair bedrijf, [de FG], [de ISO], de cmmunicatie adviseur, en (indien van tepassing) de juridisch adviseur p het mment dat het datalek definitief afgehandeld is en de melding is geslten. De Datalekken Cmmissie wrdt dr de Directie van Zrggrep BOAT ntbnden. De leden van de Datalekken Cmmissie vernietigen de ng in bezit zijnde dcumentatie. Het datalek dssier wrdt digitaal bij [de FG en] het secretariaat [Manager Infrmatieveiligheid] gearchiveerd vr de duur van minimaal 1 jaar. Er kunnen redenen zijn m gedurende langere tijd te archiveren, de richtlijn zals beschreven in Bijlage 2 Meldplicht datalekken in de Wet bescherming persnsgegevens; beleidsregels zal wrden gehanteerd. Brnnen Wet bescherming persnsgegevens Meldplicht datalekken in de Wet bescherming persnsgegevens; beleidsregels. Deze Prcedure Meldplicht Datalekken is vastgesteld in de vergadering van Directie van Zrggrep BOAT d.d. 12-04-2017 Handtekening de Directie van Zrggrep BOAT W.Beve MBA MMI

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback