Audit Meldplicht datalekken

Vergelijkbare documenten
Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Handvatten bij de implementatie van de AVG

Privacy Maturity Scan (PMS)

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Privacybeleid gemeente Wierden

Privacy & online. 9iC9I

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Vraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?

MELDPLICHT DATALEKKEN HOE STAAN WE ERVOOR?

Procedure meldplicht datalekken

Veranderingen privacy wet- en regelgeving

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

Data Protection Officer

Algemene verordening gegevensbescherming

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

Privacy wetgeving: Wat verandert er in 2018?

1. Bent u bekend met de uitzending van Nieuwsuur d.d over meer meldingen van datalekken door gemeenten?

Privacyreglement Gemeente Krimpen aan den IJssel

Wettelijke kaders voor de omgang met gegevens

Privacyreglement Werkzaak Rivierenland

- in te stemmen de checklist voorbereiding AVG stavaza 1sep17 als bijlage mee te sturen bij RIB met de beantwoording van de art.40-vragen.

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

checklist in 10 stappen voorbereid op de AVG. human forward.

Privacyreglement Senzer

Algemene Verordening Gegevensbescherming (AVG)

Functieprofiel Functionaris Gegevensbescherming

De AVG in vogelvlucht Wat moeten organisaties doen?

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Privacyverordening gemeente Utrecht. Utrecht.nl


De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

Privacy & Cloud. een juridisch perspectief

Algemene Verordening Gegevensbescherming

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

Verwerkersovereenkomst

Wet Bescherming Persoonsgegevens (Wbp)1, vanaf 25 mei 2018 vervangen door de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG)

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Reglement AVG- Privacybeleid Praktijk voor Osteopathie G.W. van Dinteren -Privacystatement

De nieuwe privacywetgeving:

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Privacyreglement WSVH

Privacyreglement Gemeente Tiel

In 10 stappen voorbereid op de AVG

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Datum: 9 april 2018 Betreft: Art. 33 vragen: Privacy & AVG. Geacht college van Burgemeester en Wethouders Midden-Groningen,

Verwerkersovereenkomst

Voorbereid op de nieuwe privacywet in 10 stappen

DPO Opleiding Considerati

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Privacyverklaring Therapeuten VVET

Algemene Verordening Gegevensbescherming (AVG)

AVG / GDPR en Onderwijs Algemene verordening gegevensbescherming General Data Protection Regulation

General Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Diessen, 13 februari 2018

Privacy in uw organisatie

Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

PROCEDURE MELDPLICHT DATALEKKEN

Agenda. De AVG: wat nu?

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

De Algemene Verordening Gegevensbescherming

De grootste veranderingen in hoofdlijnen

Privacyreglement. 1 Bewustwording

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner.

Privacyreglement Haarlem

Verwerkersovereenkomst

De Algemene Verordening Gegevensverwerking. Jurgen van der Baan

Privacyreglement website

Wat heb je nodig op 25 mei?

Auteurs: Edwin Adams Tangram

Een nieuwe identiteit, voor je het weet heb je hem nodig! Anita van Nieuwenborg Kwartiermaker Privacydienstverlening KING

Blockchain Smart Contracts AVG

Accountant en AVG 3 december 2018

Reglement AVG- Privacybeleid Praktijk Maas -Privacystatement

overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen de gemeente Waterland;

Procedure Meldplicht Datalekken

Regelement AVG- Privacy beleid Osteopathie Heersche -Privacy statement

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Verwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER

PRIVACY REGLEMENT ORIONIS WALCHEREN

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

Plan

Algemeen privacybeleid gemeente Asten 2018

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

Documentnummer: : Eindnotitie implementatie privacy

Tour d horizon; arbeidsrecht anno Dr. mr. Steven F.H. Jellinghaus

Algemene Verordening Gegevensbescherming

Algemene verordening gegevensbescherming (AVG)

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

STICHTING INLICHTINGENBUREAU AANSLUITINGS- en BEWERKERSOVEREENKOMST GEMEENTELIJK GEGEVENSKNOOPPUNT (Versie 2018)

Transcriptie:

Datum 20 februari 2018 Versie 1.0 Auteur Irith Kist Opdrachtnaam Opdrachtgever Rekeningencommissie Status 1.0

Inhoudsopgave 1 Inleiding 3 2 Achtergrond Meldplicht datalekken 4 2.1 Organisatie van de meldplicht datalekken in de gemeente Den Haag 4 2.2 Recente ontwikkelingen inzake datalekken bij de gemeente Den Haag 5 3 Voorbereiding van de gemeente Den Haag op de AVG 6 4 Risico s 7 5 Kansen: nu en in de toekomst 8 Bijlage 1: Procedure meldplicht datalekken 9 Bijlage 2: Beantwoording vragen 10 2/10

1 Inleiding De audit over de meldplicht Datalekken maakt deel uit van de planning van proces- en projectaudits over 2017 zoals vastgesteld door de Rekeningencommissie (RC) op 7 juni 2017 (GAD/2017.109). De audit is uitgevoerd door auditors van de GAD. Voorafgaand aan de audit hebben twee inleidende gesprekken plaatsgevonden met respectievelijk Marijn Fraanje (Bestuursdienst, CIO) en Irith Kist (Bestuursdienst, Functionaris Gegevensbescherming, FG). Over het auditontwerp alsook over de vragen van de enquête heeft tevens een consulterend vooroverleg plaatsgevonden. De CIO en de FG hebben hierbij de wens geuit voor een interne audit naar de bekendheid onder de medewerkers van de enquête over het onderwerp: wat weten de medewerkers van Den Haag van de meldplicht datalekken? De uitgezette enquête heeft een meer verdiepende insteek gekend. De hoofdvraag van onderzoek luidt aldus: in hoeverre zijn de medewerkers in staat om de meldplicht datalekken te vertalen naar de eigen werkzaamheden? Het verantwoordingsdocument dat voor u ligt is opgesteld door de FG en de CIO. De audit is uitgevoerd door auditors van de GAD. 3/10

2 Achtergrond Meldplicht datalekken Ingevolge artikel 34 Wet bescherming persoonsgegevens (wbp), waarin de meldplicht datalekken is neergelegd, dient een datalek gemeld te worden als sprake is van de volgende situatie: Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (Artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp). 1 De meldplicht datalekken is op 1 januari 2016 van kracht geworden. In de Algemene Verordening Gegevensbescherming (AVG) is de meldplicht datalekken opgenomen in artikel 33 (melding aan de Autoriteit Persoonsgegevens) en 34 (melding aan de betrokkene). Een belangrijke deelclausule in artikel luidt als volgt (cursief en onderstreept): Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen ( ). 2 Deze nuancering houdt in dat niet ieder datalek aan de Autoriteit Persoonsgegevens gemeld dient te worden. Een vergelijkbare nuance over de melding aan de betrokkenen is opgenomen in artikel 34 lid 1 AVG (cursief en onderstreept): Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee ( ) 3. Deze nuancering houdt in dat niet ieder datalek aan de betrokkene(n) dient te worden gemeld. 2.1 Organisatie van de meldplicht datalekken in de gemeente Den Haag De Wet bescherming persoonsgegevens die op 1 september 2001 in werking getreden, voorziet reeds in belangrijke mate in de rechten en plichten van burgers en organisaties inzake de gegevensbescherming. Met de komst van de Algemene Verordening Gegevensbescherming is dan 1 Zie de beleidsregels van de Autoriteit Persoonsgegevens voor toepassing van artikel 34a Wbp. Zie: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken_0.pdf. Ingelezen op 7 december 2017. 2 Artikel 33 lid 1 AVG. 3 Artikel 34 lid 1 AVG. 4/10

ook voor Nederland de lijn van de gegevensbescherming bestendigd. Vanwege de directe werking van de verordening, alsmede vanwege de vervroegd ingevoerde meldplicht inzake datalekken en tot slot het gewijzigde (versterkte) toezicht van de nationale toezichthouder, zijn de ontwikkelingen in een stroomversnelling gekomen. Vanaf 1 januari 2016 is de meldplicht datalekken van kracht. De gemeente Den Haag bestuursdienst, juridische zaken en het CIO-office heeft medio 2015 een procedure opgesteld voor zowel interne als externe meldingen van datalekken. Vanaf 1 januari 2016 houdt de gemeente een intern register bij van alle meldingen. Hierin zijn aldus zowel de interne meldingen alsook de meldingen aan de Autoriteit Persoonsgegevens (AP) opgenomen. In de periode van 1 januari 2016 tot 18 april 2017 zijn de meldingen intern beoordeeld door de commissie datalekken, onder auspiciën van het hoofd juridische zaken bij de bestuursdienst (BSD). Met de komst van de functionaris gegevensbescherming (FG) per 18 april 2017 worden de meldingen vanuit de diensten rechtstreeks aan haar gemeld. Vanaf dat moment houdt zij tevens het register van de meldingen van datalekken bij. Naast de inrichting van beleid en governance op het terrein van de meldplicht datalekken, is tevens het proces van melden hiertoe ingericht per 1 januari 2016. Met de komst van de functionaris gegevensbescherming (FG) per 18 april 2017 is de procedure enkel op dit punt aangepast. Deze geringe wijziging is in januari 2018 tezamen met de laatste versie van de verwerkersovereenkomst aangeboden aan het college van Burgemeester en Wethouders. Het beleidskader wordt in maart 2018 aangeboden aan zowel de ambtelijke als bestuurlijke lijn. In de praktijk is de werkwijze van de interne melding aan de FG bekend gemaakt op Werknet, alsook onder de privacy- en securityofficers. De procedure is als bijlage bij dit document toegevoegd (bijlage 1). 2.2 Recente ontwikkelingen inzake datalekken bij de gemeente Den Haag Op 17 oktober 2017 is de Rekeningencommissie geïnformeerd (RIS 298148) in de halfjaarlijkse rapportage over de voortgang op de onderwerpen privacy en informatieveiligheid. Hierin is opgenomen dat het aantal meldingen van datalekken in de gemeente stabiel is gebleven. Tevens zijn op 27 juni 2017 schriftelijke vragen beantwoord over het aantal meldingen en de aard van de meldingen (RIS 296998: Meer meldingen van datalekken door gemeenten ). De beantwoording is als bijlage bij dit document toegevoegd (bijlage 2). 5/10

3 Voorbereiding van de gemeente Den Haag op de AVG De gemeente Den Haag bereidt zich zo optimaal mogelijk voor op de implementatie van de Algemene Verordening Gegevensbescherming (AVG). De gemeente werkt volgens het tien-stappenplan dat door de Autoriteit Persoonsgegevens is opgesteld 4. Op basis van dit tien-stappenplan heeft de FG een startnotitie opgesteld, een werkdocument waarmee vorm en uitvoering wordt gegeven aan de tien stappen van de Autoriteit Persoonsgegevens. Tevens stelt de gemeente een beleidskader op met als basis het kader van de Vereniging Nederlandse Gemeente (VNG). Dit beleidskader zal aan het college en de raad ter instemming worden voorgelegd. Tot slot wijzigt de verwerkersovereenkomst ingevolge de AVG licht. Een nieuwe versie van de huidige verwerkersovereenkomst is in januari 2018 aan het college ter instemming voorgelegd, tezamen de geringe procedurewijziging inzake de meldplicht datalekken na de komst van de Functionaris Gegevensbescherming (FG). Een van de actiepunten uit het tien-stappenplan van de Autoriteit Persoonsgegevens betreft de bewustwording in de organisatie van de medewerkers over de nieuwe privacyregels. De gemeente heeft hiertoe een vijfwekelijks privacy-/security-overleg in het leven geroepen, een tweewekelijks privacy-spreekuur ingericht, en de FG verzorgt inleidingen over dit thema aan (management-)teams. Ook geeft zij workshops over een specifiek thema, zoals de inleiding AVG tijdens de Labtalk in oktober 2017, en de Kerstspecial voor leidinggevenden in december 2017. In januari 2018 heeft zij een workshop over het thema datalekken verzorgd, waarna in februari 2018 het thema Register van verwerkingen volgt. Daarnaast wordt als onderdeel van de bewustwordingscampagne een app-game ontwikkeld voor medewerkers in de gemeente. Dit spel, Gegevensweg?!, is op 5 februari 2018 gelanceerd waarbij teams van collega s worden aangemoedigd de vragen op het terrein van gegevensbescherming en veiligheid te beantwoorden in een interactieve app. De audit dient tevens het doel van het vergroten van het bewustzijn over een deelthema van privacy: datalekken. Naast het vergroten van het bewustzijn onder de medewerkers streeft de gemeente er juist en bovenal naar om niet alleen vanuit de bedreigingen maar ook vanuit de mogelijkheden de bewustwording over privacy te vergroten. Het is de nadrukkelijke wens en ambitie van de gemeente om de bewustwording over gegevensbescherming onder de medewerkers en burgers te vergroten, en om gezamenlijk te streven naar preventie, inrichting en implementatie ten behoeve van de gegevensbescherming van onze burgers en medewerkers. De audit inzake de meldplicht datalekken ziet het college daarmee als een kans om bewustzijn over dit (deel-)thema verder te vergroten. Een onderdeel van het tien-stappenplan zoals opgesteld door de Autoriteit Persoonsgegevens is de opstelling van een register van verwerkingen. Elke organisatie die gegevens verwerkt, dient hiervan een register op te stellen. Op het moment van schrijven wordt dit register door de diensten decentraal opgesteld, waarna de samenvoeging in een centraal register volgt. De FG houdt dit centrale register bij op actualiteiten. 4 Zie: In tien stappen voorbereid op de AVG, opgesteld door de Autoriteit Persoonsgegevens Zie: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/in_10_stappen_voorbereid_op_de_avg.pdf, ingelezen op 7 december 2017. 6/10

De AVG schrijft voor, en de Autoriteit Persoonsgegevens heeft dit verwoord in het tien-stappenplan onder de noemer privacy by default en privacy by design, alsmede onder de noemer data protection impact assessment dat elke organisatie dient te streven naar a) dataminimalisatie; b) inzicht in autorisatie en logging van persoonsgegevens; c) aandacht voor de rechten van betrokkenen. Dit betekent dat de processen en applicaties van onze gemeente dusdanig ingericht dienen te worden dat zowel informatiebeveiliging alsook de gegevensbescherming hierin onverkort worden meegenomen. Met de samenwerking op beide terreinen krijgen preventie en inrichting de aandacht die zij verdienen. Op het terrein van inrichting en governance, streeft de gemeente naar een robuuste organisatie van gegevensbescherming, hand in hand met aandacht voor beveiliging en veiligheid. Bij de diensten is een aanspreekpunt voor privacy-vraagstukken en bij deze collega( s) ligt tevens de verantwoordelijkheid voor het decentrale register van verwerkingen, de quick scans en privacy impact assessments (PIA s), en met de komst van de AVG tevens de Data Protection Impact Assessments (DPIA s) voor de verwerking van gevoelige persoonsgegevens op grote schaal. 4 Risico s Het thema gegevensbescherming heeft juist vanwege de veelzijdigheid een aantal risico s. Ten eerste is de inhoud van de AVG voor het leeuwendeel van de medewerkers in de gemeente, alsook voor de burgers, onontgonnen terrein. Een bekend gezegde luidt: Onbekend maakt onbemind, en ook in casu gaat dit adagium op. Een gedegen, veelvuldige aandacht voor dit thema alsmede de kennisdeling is dan ook van essentieel belang opdat de medewerkers nieuwe handvatten hebben voor de dagelijkse praktijk met inachtneming van de AVG. Ten tweede heeft de gemeente op dit moment op centraal niveau de functionaris gegevensbescherming (FG), en op decentraal niveau zijn er inhoudsdeskundigen (wbp-coördinatoren of privacy-officers). Terwijl de FG zich in een voltijdse aanstelling toelegt op de gegevensbescherming en implementatie van de AVG in de gemeente, hebben de inhoudsdeskundigen op decentraal niveau evenwel vaak beperkte (taak-)tijd voor het metier van gegevensbescherming. Bij enkele diensten ontbreekt voorts de juridische expertise of is er in het geheel geen wbp-coördinator/ privacy-officer aanwezig. De inrichting van het BEC heeft voorts nog geen toebedeling van de privacy-functie behelst. Gezien de aandacht voor dit thema, de reputatie van onze gemeente alsook de versterkte rechten van de burgers ingevolge de AVG, is extra menskracht wenselijk. Ten derde is sinds 1 januari 2016 de nadruk, zowel extern als intern, gelegd op de meldplicht datalekken, gezien het feit dat deze meldplicht op een eerder moment van kracht is geworden. Met hierbij tevens de (vergrote) aandacht voor de mogelijke sanctionering, is er een zekere angst onder sommige medewerkers ontstaan. Met een goede voorlichting, gericht op preventie, inrichting en implementatie van de vereisten ingevolge de AVG, kan aan deze zorg het hoofd worden geboden. 7/10

5 Kansen: nu en in de toekomst De meldplicht datalekken omvat een deelthema van de gegevensbescherming voor onze burgers en medewerkers. De audit datalekken biedt inzicht in de huidige bewustwording en de mogelijke stappen van vergroting alsmede herkenning van datalekken. De audit kan dienen als startpunt op weg naar de stip aan de horizon van gegevensbescherming. De AVG biedt hierbij tevens kansen. De AVG is zogeheten principle-based wetgeving. Dit houdt in dat algemene kaders zijn ingericht waarin de bescherming van de persoonsgegevens in alle deelthema s centraal staat. En juist bij deze open wetgeving liggen de kansen. In het onontgonnen terrein zijn talrijke scenario s voor inrichting denkbaar. 8/10

Bijlage 1: Procedure meldplicht datalekken Deze bijlage is als separaat document toegevoegd. 9/10

Bijlage 2: Beantwoording vragen Deze bijlage is als separaat pdf-document toegevoegd. 10/10

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback