WBP, DOELSTELLINGEN GEGEVENSGEBRUIK KLOK GROENPROJECTEN Klk Grenprjecten (hierna te lezen als KGP) maakt gebruik van uw persnsgegevens cnfrm de wettelijke grndslagen vr de vlgende deleinden: KGP verzamelt en gebruikt gegevens die ndzakelijk zijn vr een crrecte uitvering van een vereenkmst, nder andere NAW gegevens, btw nummers, rekeningnummers en kenmerken. KGP verzamelt en gebruikt NAW gegevens m een fferte te schrijven nadat u deze hebt aangevraagd. KGP verzamelt en gebruikt NAW gegevens en BSN nummers van haar werknemers m te kunnen vlden aan de wettelijke grndslagen van de belastingdienst t.a.v. belastingen en sciale heffingen. KGP verzamelt en gebruikt uw NAW gegevens, e mail, telefnnummer vr cmmunicatiedeleinden, deze gegevens wrden niet gebruikt vr het verspreiden van ngeadresseerde/ algemene reclame. PROCEDURE VAN VERWERKING EN BEVEILIGING. Uw gegevens kmen bij ns binnen via mail, telefnisch f schriftelijk. Deze wrden vervlgens naar gelang de vraag verwerkt in bijvrbeeld een fferte, rapprtage f bericht. Alle gegevens wrdt bewaard p de cmputer f in de archiefkasten p de lcatie van KGP, Laarstraat 9a 6654 KJ Afferden. Cmputers wrden beveiligd met behulp van antivirusprgramma s en er wrdt gebruik gemaakt van de beveiligde Clud service van Micrsft. Op lcatie is er 24/7 hndenbewaking aanwezig en de cmputers zijn met wachtwrd beveiligd. Gegevens wrden bewaard gedurende de wettelijke termijn, wanneer gegevens verbdig zijn wrden deze verwijderd(digitaal) f vernietigd(fysiek). Pagina 1 van 5
DATALEKPROTOCOL Dit dcument beschrijft de verschillende stappen die binnen KGP genmen wrden bij een datalek, die valt nder de Meldplicht Datalekken. VERANTWOORDELIJKHEDEN Functinaris Medewerkers Verantwrdelijkheden Aannemen en registreren van meldingen van datalekken Melden van datalek bij Autriteit Persnsgegevens Berdelen en vastleggen van gevlgen en te nemen maatregelen Fiatteren van maatregelen Melden van datalekken van persnsgegevens BESCHRIJVING PROCEDURE De meldplicht datalekken is een wijziging van de Wet Bescherming Persnsgegevens en treedt in werking met ingang van 1 januari 2016. Bij een datalek is er sprake van een inbreuk p de beveiliging van persnsgegevens (als bedeld in artikel 13 van WBP. De persnsgegevens zijn dan bltgesteld aan verlies f nrechtmatige verwerking. Datalekken kunnen ntstaan dr: Medwillig handelen (cybercriminaliteit, hacking, identiteitsfraude, malware besmetting); Technisch falen (ICT stringen); Menselijk falen (te eenvudige wachtwrden/het verstrekken van username/wachtwrd aan cllega s en externen); Calamiteit (brand datacentrum, waterverlast); Verlren USB stick f laptp; Verzenden van email met emailadressen van alle geadresseerden; Het nrechtmatige verwerking van gegevens. MELDEN BIJ AUTORITEIT PERSOONSGEGEVENS Een datalek met nverwijld (binnen 2 dagen) nadat de verantwrdelijke binnen KGP er kennis van heeft genmen, bij de Autriteit Persnsgegevens gemeld wrden. Het datalek met k wrden gemeld bij de betrkkenen. In het geval van KGP zijn dit ver het algemeen cliënten f medewerkers. Betrkkenen zijn degenen wiens persnsgegevens zijn betrkken bij een inbreuk. De betrkkene met nverwijld in kennis wrden gesteld van de inbreuk, indien de inbreuk waarschijnlijk ngunstige gevlgen zal hebben vr zijn persnlijke levenssfeer. Een bewerker is verplicht m een datalek te melden bij de verantwrdelijke. Pagina 2 van 5
Verantwrdelijke: directeur KGP. De verantwrdelijke heeft zeggenschap ver del en wijze van verwerking. Frmeel, juridisch en feitelijk (functineel) degene die het del en de middelen vr de verwerking van persnsgegevens vaststelt. Degene die zeggenschap heeft en verantwrdelijk is ver del en middelen van verwerking en beslist ver bewaartermijnen, verstrekking inzageverzeken etc. De verantwrdelijke heeft de regierl (regie ver het beheer van privacy in de keten); Bewerker: degene die de gegevens ten beheve van de verantwrdelijke verwerkt znder aan zijn f haar rechtstreeks gezag te zijn nderwrpen (k extern). De bewerker verwerkt persnsgegevens vereenkmstig de instructies en uiteindelijke verantwrdelijkheid van de verantwrdelijke. De bewerker neemt geen beslissingen ver het gebruik van de gegevens, de verstrekking aan derden en andere ntvangers, de duur van de pslag van de gegevens etc. STAPPENPLAN INTERN MELDEN STAP 1: MELDEN VAN DATALEK Alle datalekken van persnsgegevens meten intern wrden gemeld en wrden gedcumenteerd dr directie. De melding kan dr iedere medewerker en iedere bewerker wrden gedaan. De melding kan k dr een externe persn wrden gedaan bij een medewerker van KGP. De melding met direct en telefnisch wrden gedaan bij de directie en schriftelijk wrden vastgelegd. Buiten kantrtijden is de directie bereikbaar. De directie legt vast: Naam van de melder; Datum en tijd van de melding; Aard van de inbreuk (is er aanmerkelijk risic p verlies f nrechtmatige verwerking?); Welke persnsgegevens vallen nder de melding; Om welk aantal en/f gegevensrecrds gaat het; Welke (grepen) persnen zijn betrkken bij de melding; Welke maatregelen zijn f wrden dr de melder getrffen; Welke gevlgen zijn er vlgens de melder vr de betrkkenen; De cntactpersn vr de melding. STAP 2: INVENTARISEREN GEVOLGEN EN TE NEMEN MAATREGELEN Na ntvangst van een melding datalek wrdt dr de directie van KGP berdeeld en vastgelegd: De ndzakelijke vervlgacties m.b.t. het datalek (lek nmiddellijk dichten, tegang tt infrmatie beperken en tegelijkertijd meer infrmatie vergaren ver de indringer; Hetgeen gemeld gaat wrden bij de Autriteit Persnsgegevens dr de <functinaris> (naast aard inbreuk, welke persnsgegevens, aantal betrkken persnen/recrds): De mgelijke gevlgen vr de betrkkenen; De maatregelen die KGP neemt en/f kan nemen m de schade vr betrkkenen te verkleinen; Pagina 3 van 5
De maatregelen die betrkkenen kunnen nemen m verdere schade te verkleinen, inclusief de wijze van inlichten hierver; Cntactgegevens vr betrkkenen; De wijze van afhandeling intern, inclusief cmmunicatie naar melder, betreffende afdeling( en) en teamleider(s); Of er sprake is van eigen aansprakelijkheid, f aansprakelijkheid van derden, zals uit hfde van wanprestatie (mdat een geheimhudingsverplichting is geschnden, f in strijd met een cntractuele verplichting nvldende beveiliging is gerealiseerd) f nrechtmatige daad; Het al dan niet den van aangifte en vaststellen f sprake is van strafrechtelijke verwijtbaarheid. Dit kan bijvrbeeld spelen wanneer er sprake is van betrkkenheid vanuit KGP zelf, een bewerker, f wanneer er nvldende maatregelen zijn getrffen m ngeregeldheden te vrkmen. Indien gewenst vindt verleg plaats met de juridisch adviseur; Hetgeen intern gecmmuniceerd wrdt, p welk mment; Hetgeen extern gecmmuniceerd wrdt, p welk mment. Er wrdt vastgesteld f de pers geïnfrmeerd met wrden; Of naast de Autriteit Persnsgegevens k andere stakehlders geïnfrmeerd wrden; Op welke wijze er intern wrdt gerapprteerd, inclusief actiehuder; Of eventuele schade is gedekt dr de verzekeringsplis. Eventuele verbeter /beheersmaatregelen wrden vastgelegd in het Verbeterregister. STAP 3: FIATTERING De directeur accrdeert de uit te veren activiteiten, zals vastgesteld, f stelt de uit te veren activiteiten bij. De dr de directeur vastgestelde activiteiten wrden uitgeverd. STAP 4: MELDING BIJ AUTORITEIT PERSOONSGEGEVENS De directie meldt binnen 2 dagen het datalek bij de Autriteit Persnsgegevens. In ieder geval zal gemeld meten wrden: Aard van de inbreuk, waarnder betrkken categrieën, aantal betrkkenen, aantal gegevensrecrds; Beschrijving van de te verwachten gevlgen; Getrffen en/f vrgestelde maatregelen; Infrmatie ver te nemen maatregelen dr de betrkkene m de nadelige gevlgen te beperken; Cntactgegevens vr betrkkene; Pagina 4 van 5
STAP 5: ONTVANGSTBEVESTIGING AUTORITEIT PERSOONSGEGEVENS Is er een melding gedaan, dan ntvangt KGP een ntvangstbevestiging. Bij de meldingen die aanleiding geven tt nadere actie dr de Autriteit Persnsgegevens, zal de Autriteit Persnsgegevens cntact pnemen met KGP m de herkmst van de melding te verifiëren. Pagina 5 van 5