DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Vergelijkbare documenten
Protocol meldplicht datalekken

Protocol datalekken Samenwerkingsverband ROOS VO

Protocol meldplicht datalekken Voor financiële ondernemingen

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Sta eens stil bij de Wet Meldplicht Datalekken

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM, IT & PRIVACY.

PROCEDURE MELDPLICHT DATALEKKEN

Protocol meldplicht datalekken

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

Procedure Meldplicht Datalekken

Help een datalek! Wat nu?

Protocol Meldplicht Data-lekken

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Procedure meldplicht datalekken

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Beleid en procedures meldpunt datalekken

Procedure Melden beveiligingsincidenten

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

WET MELDPLICHT DATALEKKEN FACTSHEET

Wet meldplicht datalekken

Protocol Meldplicht Datalekken

Procedure datalekken NoorderBasis

Protocol Datalekken Twelve

Documentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN

Procedure Meldplicht Datalekken. Versie 1.1 Datum Maart 2016 Specialist Informatiebeveiliging

Melden van datalekken

E. Procedure datalekken

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

Protocol Datalek. Geschiedenis Studenten Vereniging Excalibur

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

PRIVACY & DATALEKKEN

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Protocol beveiligingsincidenten en datalekken

PROTOCOL MELDING DATALEKKEN

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

Procedure melden beveiligingsincidenten en datalekken

Protocol meldplicht datalekken

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Besluit van het college van burgemeester en wethouders van de gemeente Beekdaelen houdende regels omtrent AVG Protocol meldplicht datalekken

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Protocol Beveiligingsincidenten en datalekken

FACTSHEET DATALEK. Inleiding

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Protocol informatiebeveiligingsincidenten en datalekken

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Regeling datalekken StOVOG

Meldplicht datalekken. Prof. mr. G-J. (Gerrit-Jan) ZWENNE Leiden 2 februari 2016

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

PROTOCOL MELDPLICHT DATALEKKEN

Protocol Meldplicht datalekken. Vesac Groot Berg en Dal Versie januari 2019

Formulier voor het melden van een datalek

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

Protocol informatiebeveiligingsincidenten en datalekken

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Procedure Melding Datalekken

Datalekken in de mkb praktijk

Formulier melding datalek

CVDR. Nr. CVDR409559_1. Protocol meldplicht datalekken. 4 oktober Officiële uitgave van Nuth. Protocol meldplicht datalekken

VERWERKERSOVEREENKOMST

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

MELDPLICHT DATALEKKEN

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

BIJLAGE 3. Procedure Meldplicht Datalekken

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

Calamiteitenplan datalekken Unidis B.V.

Privacyreglement Belangenvereniging Ede Noord

BLAD GEMEENSCHAPPELIJKE REGELING

Protocol informatiebeveiligingsincidenten en datalekken PCPO Barendrecht en Ridderkerk

Protocol informatiebeveiligingsincidenten en datalekken

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

Regeling meldplicht datalekken 2016

Protocol informatiebeveiligingsincidenten en datalekken

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Privacy en de meldplicht datalekken

Meldplicht Datalekken

MELDPLICHT DATALEKKEN HOE STAAN WE ERVOOR?

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Protocol datalekken SKOzoK. Protocol datalekken

Protocol Meldplicht Datalekken

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Waar in deze verklaring wordt gesproken over wij of ons wordt bedoeld: SUMMAVIEW B.V.

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Scala College en Coenecoop College

Protocol Meldplicht Datalekken

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

Transcriptie:

DATALEK PROTOCOL Versie 1.0. /08.2017. I.D. Wagenaar Op 1 januari 2016 is de meldplicht datalekken ingevoerd. Dit houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij Autoriteit Persoonsgegevens (hierna AP). In dit protocol wordt uitgelegd wat de meldplicht inhoudt en wat het begrip datalek inhoudt. 1

Het protocol definieert wat verstaan wordt onder een datalek en wanneer er de meldplicht bestaat. 1. Wat is een datalek? Een datalek is het verlies of de onrechtmatige verwerking van persoonsgegevens als gevolg van een inbreuk op de beveiliging daarvan. Voorbeelden: - Een e-mail met een bestand met persoonsgegevens die aan de verkeerde geadresseerde wordt gestuurd; - Een hack van het computersysteem waardoor er toegang is tot bestanden met persoonsgegevens; - Een aanval met ransomware; - Een laptop van Minox wordt gestolen die onvoldoende beveiligd is waardoor een buitenstaander kan inloggen; - Een USB stick met bestanden waarop ook persoonsgegevens is kwijtgeraakt of wordt gestolen; - Inbraak in het kantoor van Minox waardoor opgeslagen archieven van bijv. faillissementen waarin zich persoonsgegevens bevinden worden gestolen. 2. Wanneer is er een meldplicht? Hiervoor moeten de volgende vragen worden beantwoord: 1. Is de meldplicht datalekken uit de WBP/AVG van toepassing? 2. Is een gebeurtenis te beschouwen als een datalek? 3. Moet het datalek worden gemeld bij AP? 4. Hoe en wanneer moet het datalek worden gemeld bij AP? 5. Moet het datalek ook worden gemeld aan de betrokkene oftewel degene van wie de persoonsgegevens zijn gelekt? Zo ja, hoe moet worden gemeld en wanneer? 6. Welke gegevens moeten worden vastgelegd voor de melding? Hoe de vragen moeten worden ingevuld, de nadere details worden gegeven op de volgende pagina s 2

Ad 1. Is de meldplicht datalekken uit de WBP/AVG van toepassing? Toelichting op bovenstaand schema: 1.1. Is er sprake van verwerking van persoonsgegevens? Een persoonsgegeven is elke gegeven betreffende een geïdentificeerde of identificeerbare persoonsgegevens zoals NAW, IP adressen, telefoonnummers, registratienummers, BSN nummers, kopie ID s, foto s. Verwerking houdt in: elke handeling of handelingen m.b.t. persoonsgegevens zoals verzamelen, vastleggen, ordenen, bewaren, raadplegen, muteren, verspreiden enz. Indien het antwoord nee is, is de meldplicht niet van toepassing. Indien het antwoord ja is, is de volgende vraag relevant: 1.2. Is Minox de verantwoordelijke voor de verwerking (verwerkingsverantwoordelijke) of is degene die verwerkt heeft een vertegenwoordiger van Minox? Verwerkingsverantwoordelijke is degene die alleen of tezamen met anderen, het doel van en de middelen voor de verwerking vaststelt. Vertegenwoordiger is degene die op basis van een overeenkomst of volmacht handelt. Als Minox bij de verwerking derden inschakelt, is Minox ter zake van de meldplicht eindverantwoordelijke. Indien het antwoord nee is, is de meldplicht niet van toepassing. Indien het antwoord ja is, is de volgende vraag relevant: 1.3. Is de WBP of per 26 mei 2018 de AVG van toepassing op de verwerking? Bepaalde verwerkingen vallen door hun aard of hun doelstelling buiten de reikwijdte van de WBP of de AVG. Dat is bijv. bij huishoudelijke doeleinden of persoonlijke doeleinden, of bij literaire/journalistieke of artistieke doeleinden geldt de meldplicht niet. Indien het antwoord nee is, is de meldplicht niet van toepassing. Als het antwoord op alle vragen ja is, is de meldplicht van toepassing. 3

De beantwoording van 1.3. in schema s: 4

5

Ad. 2. Is een gebeurtenis te beschouwen als een datalek? Toelichting op het schema hierboven: 3.1. Is er sprake van een inbreuk op de beveiliging? Er heeft zich een beveiligingsincident voorgedaan. Als het antwoord nee is, is er geen datalek. Antwoord ja, dan moet de volgende vraag worden beantwoord: 3.2. Zijn bij de inbreuk persoonsgegevens verloren gegaan? Dit houdt ook in als er twijfel is of niet kan worden uitgesloten dat persoonsgegevens onrechtmatig zijn verwerkt waaronder moet worden begrepen de aantasting van persoonsgegevens, onbevoegde kennisnemen, wijziging of verstrekking daarvan. Als het antwoord nee is, is er geen datalek. Antwoord ja, dan moet de volgende vraag worden beantwoord: 3.3. Kan Minox redelijkerwijs uitsluiten dat er persoonsgegevens onrechtmatig zijn verwerkt? Als het antwoord ja is, is er geen datalek. Als de vragen 1 en 2 met nee zijn beantwoord, en de laatste vraag met ja, is er wel een datalek! 6

Ad. 3. Moet het datalek gemeld worden bij AP? Melding moet geschieden als er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Beoordeeld moet worden: Toelichting op het schema hierboven: 4.2.1. Zijn er persoonsgegevens van gevoelige aard gelekt? Dit is het geval als er bijzondere persoonsgegevens zijn gelekt zoals gegevens over religie, ras, politieke gezindheid, gezondheid, seksuele geaardheid, vakbondslidmaatschap, strafrechtelijke gegevens en of gegevens over onrechtmatig, hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag; Of als er sprake is van gegevens zoals gegevens over de financiële of economische situatie van betrokkene, gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkene, inloggegevens zoals gebruikersnamen, wachtwoorden of andere inloggegevens, gegevens die gebruikt kunnen worden voor identiteitsfraude (zoals een kopie ID, BSN nummer), gegevens uit DNA databanken, gegevens waar een bijzondere wettelijk bepaalde geheimhoudingsplicht op rust en gegevens die vallen onder een beroepsgeheim. Als het antwoord ja is, is er sprake van een meldplicht aan AP! Als het antwoord nee is, moet de volgende vraag worden beantwoord: 4.2.2. Leiden de aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen? Dat wil zeggen: gaat het om veel persoonsgegevens per persoon of om gegevens van grote groepen? Zijn de beslissingen die op basis van de verwerkte persoonsgegevens worden genomen ingrijpend? Worden de persoonsgegevens binnen bepaalde ketens zoals de overheid gedeeld? Gaat het om persoonsgegevens van kwetsbare groepen? Als het antwoord ja is, is er sprake van een meldplicht aan AP! Als het antwoord nee is, hoeft er niet worden gemeld! 7

Ad. 4 Hoe en wanneer moet het datalek gemeld worden bij AP? Bij de website van AP is een webformulier beschikbaar voor melden https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0 Datalek moet onverwijld worden gemeld, dus na ontdekken van de mogelijke datalek. Er mag enige redelijke tijd worden genomen voor nader onderzoek ten einde een onnodige melding te voorkomen. Echter een melding moet gebeuren binnen 72 uur na ontdekking (te lopen van het moment dat Minox of de bewerker/verwerker van Minox op de hoogte raakt van het incident dat mogelijk onder de meldplicht valt. 8

Ad. 5 Moet het datalek ook worden gemeld aan de betrokkene oftewel degene van wie de persoonsgegevens zijn gelekt? Zo ja, hoe moet worden gemeld en wanneer? Toelichting: Niet melden aan betrokkene in de volgende gevallen: 1. (7.2.) Er zijn passende technische beschermingsmaatregelen genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor een ieder die geen recht heeft op kennisname van de gegevens, bijv. Door adequate encryptie (versleuteling) en hashing (het omzetten van gegevens in een unieke code) zie ook het schema op de volgende sheet; 9

2. (7.3.) Andere technische beschermingsmaatregelen bieden voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten doordat er sprake is van een tijdige en adequate op afstand wissen van de gegevens die op het apparaat staan (remote wiping), of er sprake is van pseudonimisering (technische maatregelen om te voorkomen dat de persoonsgegevens gekoppeld kunnen worden aan de oorspronkelijke identiteit van een persoon); 3. (7.4.) Het is onwaarschijnlijk dat het datalek ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. Let op: er mogen dan geen persoonsgegevens van gevoelige aard zijn gelekt (zie vorige sheets). AP kan dit toetsen, als AP van mening is dat er wel ongunstige gevolgen kan zijn voor de persoonlijke levenssfeer van betrokkene, kan AP opdragen dat er alsnog moet worden gemeld aan betrokkene. 4. (7.5.) Er zijn andere zwaarwegende redenen om de melding aan betrokkene achterwege te laten. Als zwaarwegend wordt beschouwd: a. de veiligheid van de staat is in het geding b. voorkoming, opsporing en vervolging van strafbare feiten c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen d. toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen die beschreven zijn onder b en c. e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen. Hoe en wanneer meld je aan de betrokkene? Er moet gemeld worden aan betrokkene via een kennisgeving, die het volgende inhoudt: - de aard van de inbreuk; - de instantie(s) waar de betrokkene meer informatie kan krijgen over de inbreuk (contactgegevens); - de maatregelen om de negatieve gevolgen van de inbreuk te beperken Er moet onverwijld worden gemeld. Dit betekent binnen redelijke tijd. Ad. 6 Welke gegevens moeten worden vastgelegd voor de melding? Van iedere datalek wordt vastgelegd: - Aard van de inbreuk en wanneer deze is ontdekt - Of er gemeld is aan betrokkene en zo ja, de inhoud van de kennisgeving (tekst) 3. Overige zaken die van belang zijn Archivering Er moet een overzicht bijgehouden worden van alle datalekken die onder de meldplicht vallen, dus alle datalekken die aan AP moeten worden gemeld. Dit overzicht bevat de gegevens die voor melding nodig zijn (zie vorige sheet). Bewaartermijn van het overzicht: minimaal 1 jaar. Sancties Een overtreding van de meldplicht datalekken wordt beboet tot invoering van de AVG met een boete van maximaal EUR 820.000 euro, ex artikel 23 lid 4 Wetboek van Strafrecht. Als de overtreding niet opzettelijk is gepleegd en er geen sprake is van een ernstig verwijtbare nalatigheid, kan AP een bindende aanwijzing opleggen. Aangifte Bij het vermoeden van een hack of strafbaar handelen, zal er aangifte moeten worden gedaan bij de politie. Procedure datalek 10

De procedure beschrijft een praktisch handvat voor de medewerkers hoe er gehandeld moet worden bij een datalek. Dit protocol is een nadere uitleg/beschrijving. 4. Totaaloverzicht meldingsprocedure in schema Schema 1 11

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback