Protocol datalekken Samenwerkingsverband ROOS VO

Vergelijkbare documenten
Protocol meldplicht datalekken

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Protocol meldplicht datalekken Voor financiële ondernemingen

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Sta eens stil bij de Wet Meldplicht Datalekken

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM, IT & PRIVACY.

Protocol Meldplicht Data-lekken

Procedure meldplicht datalekken

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

Documentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Protocol Datalek. Geschiedenis Studenten Vereniging Excalibur

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

PROCEDURE MELDPLICHT DATALEKKEN

Procedure Melden beveiligingsincidenten

Procedure Meldplicht Datalekken

Protocol meldplicht datalekken

Beleid en procedures meldpunt datalekken

Help een datalek! Wat nu?

WET MELDPLICHT DATALEKKEN FACTSHEET

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Wet meldplicht datalekken

Melden van datalekken

Protocol beveiligingsincidenten en datalekken

Procedure datalekken NoorderBasis

Protocol informatiebeveiligingsincidenten en datalekken

PRIVACYREGLEMENT FINANCIAL MARKETING CONCEPTS

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

Protocol Meldplicht Datalekken

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

PRIVACY & DATALEKKEN

PROTOCOL MELDING DATALEKKEN

Documentnummer Verkorte inhoud document

Bewerkersovereenkomst

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Procedure Meldplicht Datalekken. Versie 1.1 Datum Maart 2016 Specialist Informatiebeveiliging

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Protocol beveiligingsincidenten en datalekken

REGLEMENT BESCHERMING PERSOONSGEGEVENS

Privacyreglement Interactive Blueprints BV

Protocol informatiebeveiligingsincidenten en datalekken

Protocol Beveiligingsincidenten en datalekken

E. Procedure datalekken

Datalekprotocol binnen Reto

Privacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6

Privacyreglement Financieel Bureau Brabant

Privacyreglement. 1. Begripsbepalingen

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

BLAD GEMEENSCHAPPELIJKE REGELING

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Protocol informatiebeveiligingsincidenten en datalekken

Protocol Meldplicht Datalekken

Privacy Statement Libracoaching

Regeling meldplicht datalekken 2016

Concept Bewerkersovereenkomst uitvoering

Convenant voor gegevensuitwisseling tussen Politie en beveiligingsorganisaties en organisatoren van evenementen

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Regeling datalekken StOVOG

Procedure meldplicht datalekken. Versie 1.0 Februari Procedure meldplicht datalekken Intergrip Versie 1.0

THUISZORG GEZELLIG PRIVACYREGLEMENT T HUISZORG GEZELLIG VECHTSTRAAT AS ZWOLLE

Besluit van het college van burgemeester en wethouders van de gemeente Beekdaelen houdende regels omtrent AVG Protocol meldplicht datalekken

BLAD GEMEENSCHAPPELIJKE REGELING

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Procedure melden beveiligingsincidenten en datalekken

Privacyreglement versie juli 2018 Inhoud

Privacy en de meldplicht datalekken

PRIVACYREGLEMENT ANG Versie 1.0 Özlem Sahin & Tinka Versteeg. ANG, Montfoort, 01 oktober 2017 Kenmerk: ANG HRM

Protocol informatiebeveiligingsincidenten en datalekken

Concept Bewerkersovereenkomst Basismobiliteit Achterhoek Perceel 2A: Vraagafhankelijk vervoer

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Degene op wie een Persoonsgegeven betrekking heeft. Dit kan de bewoner of diens naaste of gemachtigde zijn.

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

(bewerkersovereenkomst) 1

Protocol informatiebeveiligingsincidenten en datalekken

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Transcriptie:

1 Protocol datalekken Samenwerkingsverband ROOS VO. 3.02 Protocol datalekken is onderdeel van Handboek Informatie Beveiliging en Privacy SWV ROOS VO

2 Inhoud Inleiding... 3 Begrippenlijst... 4 1. Is de meldplicht datalekken uit de Wbp van toepassing?... 5 2. Is een gebeurtenis te beschouwen als een datalek?... 6 3. Moet het datalek gemeld worden?... 7 4. Hoe en wanneer moet het datalek worden gemeld?... 9 5. Moet het datalek worden gemeld aan degene van wie de persoonsgegevens zijn gelekt?... 10 6. Hoe en wanneer moet de melding worden gedaan aan de betrokkene?... 12 7. Welke gegevens moeten worden gearchiveerd?... 12

3 Inleiding Met ingang van 1 januari 2016 geldt de meldplicht datalekken uit de Wet bescherming persoonsgegevens (Wbp). De Functionaris Gegevensbescherming (FG-OMO) houdt toezicht op de verwerking van persoonsgegevens. Bij een datalek zal hij, indien nodig, een melding doen bij de Autoriteit Persoonsgegevens. Het SWV ROOS VO heeft naast de ingehuurde OMO-FG een eigen contactpersoon Functionaris Gegevensbescherming (FG- SWV) die indien nodig een melding doet bij de FG van OMO. De Rol van Contactpersoon FG binnen SWV ROOS VO wordt vervuld door de stafmedewerker kwaliteit. Dit protocol beschrijft wanneer er sprake is van een datalek en of er ook een melding moet worden gedaan aan de FG-OMO. Vervolgens bepaald de FG-OMO of ook melding gemaakt moet worden bij de Autoriteit Persoonsgegevens. In het protocol wordt men aan de hand van 7 vragen begeleid hoe om te gaan met het voorgevallen incident: 1. Is de meldplicht datalekken van toepassing? 2. Is een gebeurtenis te beschouwen als een datalek? 3. Moet het datalek gemeld worden? 4. Hoe en wanneer moet het datalek worden gemeld? 5. Moet het datalek ook worden gemeld aan de betrokkene? 6. Hoe en wanneer moet het datalek worden gemeld aan de betrokkene? 7. Welke gegevens moeten worden gearchiveerd?

4 Begrippenlijst a. Autoriteit Persoonsgegevens: zelfstandig bestuursorgaan dat bij wet als toezichthouder is aangesteld voor het toezicht op de correcte verwerking van persoonsgegevens, voorheen het College bescherming persoonsgegevens; b. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen; c. Betrokkene: degene op wie een persoonsgegeven betrekking heeft; d. Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt; e. Bindende aanwijzing: de zelfstandige last die de Autoriteit wegens een overtreding wordt opgelegd; f. Datalek: beveiligingsinbreuk zoals bedoeld in artikel 13 Wbp; g. Functionaris Gegevensbescherming: persoon, werkzaam op het OMO bureau, die is belast met de controle op de naleving van de bepalingen uit de Wbp en datalekken moet melden bij de Autoriteit Persoonsgegevens; (FG-OMO) h. FG- SWV; de contactpersoon-fg binnen SWV ROOS VO die is belast met de controle op de naleving van de bepalingen uit de Wbp binnen het swv en datalekken moet melden bij de FG-OMO. i. Ontvanger: degene aan wie persoonsgegevens worden verstrekt; j. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare persoon, zoals bedoeld in artikel 1 sub a Wbp; k. Persoonsgegevens van gevoelige aard: persoonsgegevens zoals bedoeld in artikel 16 Wbp; l. Verantwoordelijke: degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking vaststelt. Het inschakelen van derden maakt hier geen uitzondering op; m. Verwerking: verwerking van persoonsgegevens zoals bedoeld in artikel 1 sub b Wbp; n. Wbp: wet bescherming persoonsgegevens, stb 2015, 230.

5 1. Is de meldplicht datalekken uit de Wbp van toepassing? Dat is het geval indien: a) Er sprake is van verwerking van persoonsgegevens. De verwerking van persoonsgegevens betreft elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, ordenen, raadplegen en verspreiden. b) SWV ROOS VO is de verantwoordelijke of diens vertegenwoordiger. c) De Wbp op de verwerking van toepassing is. Bepaalde verwerkingen vallen door hun aard of doelstelling buiten de reikwijdte van de Wbp. In beginsel is op de verwerking van persoonsgegevens binnen Roos VO altijd de Wbp van toepassing. Is er sprake van verwerking van persoonsgegevens ja Is swv Roos VO aan te merken als Verantwoordelijke voor de verwerking of diens vertegenwoordiger? ja De meldplicht datalekken uit de Wbp is niet van toepassing Er hoeft geen verder actie te worden ondernomen Is de Wbp van toepassing op de verwerking De meldplicht datalekken uit de Wbp is wel van toepassing Ga naar stap 2

6 2. Is een gebeurtenis te beschouwen als een datalek? Als de gebeurtenis valt onder de werking van de Wbp komt men toe aan vraag 2: is er sprake van een datalek? Dit is het geval indien: EN d) Er sprake is van een inbreuk op de beveiliging. Dat wil zeggen dat zich daadwerkelijk een beveiligingsincident heeft voorgedaan. e) Bij de inbreuk persoonsgegevens verloren zijn gegaan of redelijkerwijs niet kan worden uitgesloten dat er persoonsgegevens onrechtmatig zijn verwerkt, waaronder moet worden begrepen de aantasting van de persoonsgegevens, onbevoegde kennisneming, wijziging of verstrekking daarvan. Is er sprake van een inbreuk op de beveiliging? Dit is GEEN datalek Zijn de inbreuk persoonsgegevens verloren gegaan Kan worden uitgesloten dat er persoonsgegevens onrechtmatig zijn verwerkt? Dit is WEL een datalek Ga naar stap 3 Dit is GEEN datalek Geen actie

7 3. Moet het datalek gemeld worden? Een datalek moet gemeld worden aan de contactpersoon FG- SWV. Dit kan via meldpuntprivacy@swvroosvo.nl. Het is belangrijk om bij melding altijd de direct leidinggevende te CC-en. De contactpersoon FG-SWV neemt contact op met de FG-OMO. Indien sprake is van een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens zal door de FG-OMO eveneens een melding worden gedaan aan de Autoriteit Persoonsgegevens. Er is sprake van een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens indien één van de volgende situaties aan de orde is; Persoonsgegevens van gevoelige aard zijn gelekt, namelijk: Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp: Betreffende iemands levensovertuiging of godsdienst, ras, politieke gezindheid, gezondheid, seksuele leven of lidmaatschap van een vakvereniging; Strafrechtelijke persoonsgegevens; en Persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag; OF Persoonsgegevens die anderszins van gevoelige aard zijn, waaronder: Gegevens over de financiële of economische situatie van de betrokkene; Gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene; Gebruikersnamen, wachtwoorden en andere inloggegevens; Gegevens die kunnen worden misbruikt voor (identiteits-)fraude; Gegevens uit DNS-databanken, gegevens waar een bijzondere wettelijke bepaalde geheimhoudingsplicht op rust en gegevens die onder een beroepsgeheim vallen. De aard en omvang van de inbreuk leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen. Hierbij is van belang: Gaat het om veel persoonsgegevens per persoon of om gegevens van grote groepen? Zijn de beslissingen die op basis van de verwerkte persoonsgegevens worden genomen ingrijpend? Worden de persoonsgegevens binnen ketens gedeeld? Gaat het om persoonsgegevens van kwetsbare groepen?

8 Datalek melden bij de FG-SWV. Via meldpuntprivacy@swvroosvo.nl. De FG-SWV neemt vervolgens contact op met de Functionaris Gegevensbescherming van OMO. De contactpersoon FG-SWV meldt het datalek bij FG-OMO De FG-OMO onderzoekt of een melding bij de Autoriteit Persoonsgegevens nodig is aan de hand van de volgende vragen: Zijn er persoonsgegevens van gevoelige aard gelekt? Er is WEL sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens Leiden de aard en omvang van de inbreuk tot een ( aanzienlijke kans op) ernstige nadelige gevolgen? Het datalek moet gemeld worden aan de Autoriteit Persoonsgegevens Er is GEEN sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Zie voor de termijnen van de melding punt 4 Het datalek hoeft niet te worden gemeld aan de Autoriteit Persoonsgegevens.

9 4. Hoe en wanneer moet het datalek worden gemeld? Als er het vermoeden is van een datalek moet dit gemeld worden zoals bepaald onder 3. Het is noodzakelijk om de melding te doen binnen de daarvoor geldende termijnen: Termijn Een datalek moet onverwijld worden gemeld. Dit houdt in dat de verantwoordelijke na het ontdekken van een mogelijk datalek enige tijd mag nemen voor nader onderzoek. Op deze manier kunnen de voorgaande stappen uit dit protocol worden doorlopen en kunnen onnodige meldingen worden voorkomen. De termijn voor het melden begint te lopen op het moment dat de verantwoordelijke of een bewerker op de hoogte raakt van een incident dat mogelijk onder de meldplicht datalekken valt. De melding vindt uiterlijk binnen 72 uur na de ontdekking van het datalek plaats bij de Autoriteit Persoonsgegeven door de FG-OMO. Uiteraard alleen als er sprake is van een datalek en het onder de meldplicht datalekken valt. De melding Zodra binnen het SWV ROOS VO een mogelijk datalek is geconstateerd wordt er onverwijld (binnen 12 uur) contact opgenomen met de contactpersoon FG-SWV. De FG-SWV meldt dit binnen 12 uur aan de FG-OMO. De FG-OMO beoordeelt (nogmaals) of er sprake is van een datalek vallend onder de werking van de meldplicht datalekken uit de Wbp. Indien hier sprake van is vindt er een melding plaats bij de Autoriteit Persoonsgegevens. De leidinggevende van het SWV ROOS VO moet eveneens direct worden ingelicht. Aangifte Indien er sprake is van een datalek kan er een vermoeden zijn van strafbaar handelen. Zo is bijvoorbeeld hacken strafbaar gesteld. In die gevallen moet er behalve een melding datalekken bij de FG-OMO, ook aangifte worden gedaan bij de politie. Een afschrift hiervan moet worden gezonden aan de directeur van SWV ROOS VO en de Functionaris Gegevensbescherming.

10 5. Moet het datalek worden gemeld aan degene van wie de persoonsgegevens zijn gelekt? Het uitgangspunt is dat indien er persoonsgegevens zijn gelekt dat dit wordt gemeld aan degene wiens persoonsgegevens het betreft. Het datalek hoeft niet te worden gemeld aan de betrokkene indien één van de volgende situaties zich voordoet: a. Er zijn passende technische beschermingsmaatregelen genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens, bijvoorbeeld door adequate encryptie 1 en hashing 2. b. Andere technische beschermingsmaatregelen bieden voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten, bijvoorbeeld door een tijdige en adequate remote wiping 3 en pseudonimisering 4. c. Het is onwaarschijnlijk dat het datalek ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. Indien persoonsgegevens van gevoelige aard zijn gelekt, moet het altijd gemeld worden. d. Er zijn andere zwaarwegende redenen om de melding aan de betrokkene achterwege te laten. In een stroomschema ziet het er als volgt uit: 1 Versleuteling 2 Het omzetten van gegevens in een unieke code 3 Het op afstand wissen van de gegevens die op een apparaat staan 4 Technische maatregelen om te voorkomen dat de persoonsgegevens worden gekoppeld aan de oorspronkelijke identiteit van de betrokkene.

11 Zijn de persoonsgegevens ontoegankelijk of onbegrijpelijk voor onbevoegden? Bieden andere technische beschermingsmaatregelen die zijn genomen voldoende bescherming om de melding aan de betrokkenen achterwege te laten? Zal het datalek waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene? De betrokkene hoeft NIET te worden geïnformeerd * Zijn er zwaarwegende redenen om de melding aan de betrokkene achterwege te laten? Het datalek moet worden gemeld aan betrokkene binnen de termijn als omschreven onder 4 *De Autoriteit Persoonsgegevens kan, indien zij van oordeel is dat de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, verlangen om alsnog een kennisgeving aan betrokkene(n) te doen. Ook al zou dat op basis van het stroomschema niet hoeven. Termijnen omschreven onder 4: 1) Een mogelijk datalek is geconstateerd, er wordt onverwijld (binnen 12 uur) contact opgenomen met de contactpersoon FG-SWV. De FG-SWV meldt dit binnen 12 uur aan de FG-OMO. De FG-OMO beoordeelt (nogmaals) of er sprake is van een datalek vallend onder de werking van de meldplicht datalekken uit de Wbp. Indien hier sprake van is vindt er een melding plaats bij de Autoriteit Persoonsgegevens. De leidinggevende van het SWV ROOS VO moet eveneens direct worden ingelicht. 2a) Een incident dat mogelijk onder de meldplicht datalekken valt. De melding vindt uiterlijk binnen 72 uur na de ontdekking van het datalek plaats bij de Autoriteit Persoonsgegeven door de FG-OMO. 2b) Indien er sprake is van een datalek kan er een vermoeden zijn van strafbaar handelen. Zo is bijvoorbeeld hacken strafbaar gesteld. In die gevallen moet er behalve een melding datalekken bij de FG-OMO, ook aangifte worden gedaan bij de politie. Een afschrift hiervan moet worden gezonden aan de directeur van SWV ROOS VO en de Functionaris Gegevensbescherming.

12 6. Hoe en wanneer moet de melding worden gedaan aan de betrokkene? Termijn Een datalek moet onverwijld worden gemeld. Dat houdt in dat de verantwoordelijke, na het ontdekken van een mogelijk datalek enige tijd mag nemen voor nader onderzoek zodat betrokkene op een behoorlijke en zorgvuldige manier kan worden geïnformeerd. De betrokkene wordt in ieder geval onmiddellijk geïnformeerd nadat er een melding bij de Autoriteit Persoonsgegevens is gedaan. Melding De functionaris gegevensbescherming doet de melding aan de betrokkene (in overleg met het SWV ROOS VO). In de kennisgeving aan de betrokkene staat in ieder geval het volgende vermeld: De aard van de inbreuk; De contactgegevens van de functionaris gegevensbescherming; en De maatregelen die zijn aanbevolen om de negatieve gevolgen van de inbreuk te beperken. 7. Welke gegevens moeten worden gearchiveerd? De functionaris gegevensbescherming houdt een overzicht bij van alle datalekken die onder de meldplicht vallen en dus gemeld zijn aan de Autoriteit Persoonsgegevens. Per datalek bevat het overzicht in ieder geval de gegevens omtrent de aard van de inbreuk en, indien aan de betrokkene is gemeld, de tekst van de kennisgeving.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback