Protocol Meldplicht datalekken

Vergelijkbare documenten
Meldplicht Datalekken Vereniging Beveiligingsprofessionals Nederland

Procedure Melden beveiligingsincidenten

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Raadsmededeling - Openbaar

Datalekprotocol binnen Reto

Privacybeleid ConnectingTheDots

Melden van datalekken

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Procedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam

A2 PROCEDURE MELDEN DATALEKKEN

Documentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN

Procedure Meldplicht Datalekken

PROCEDURE MELDPLICHT DATALEKKEN

Regeling meldplicht datalekken 2016

In dit protocol is weergegeven hoe te handelen bij beveiligingsincidenten en datalekken. 2

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Protocol Datalek. Geschiedenis Studenten Vereniging Excalibur

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Regeling datalekken StOVOG

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

FACTSHEET DATALEK. Inleiding

Beleid en procedures meldpunt datalekken

Procedure meldplicht datalekken

Protocol Datalekken Twelve

Bestuur. scholengemeenschap voor vmbo havo atheneum gymnasium. school voor praktijkonderwijs. Bezoekadres: Stationslaan CA Stadskanaal

Protocol meldplicht datalekken

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Protocol informatiebeveiligingsincidenten en datalekken

Protocol meldplicht datalekken

Persoonsgegevens van een overleden persoon vallen niet onder de AVG

Protocol Beveiligingsincidenten en datalekken

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

PROTOCOL BEVEILIGINGSINCIDENTEN EN DATALEKKEN SKOSO

Wettelijke kaders voor de omgang met gegevens

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Protocol datalekken voor Fidé Hypotheken & Verzekeringen

Protocol Meldplicht Data-lekken

Incidentenregeling Altera Vastgoed NV

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

2.1 Borgen van rechten van betrokkenen Betrokkenen hebben het recht op inzage, correctie en dataportabiliteit van persoonsgegevens.

Protocol informatiebeveiligingsincidenten en datalekken

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

Procesgang rondom (mogelijke) datalekken in [naam organisatie]. Tekst die tussen [] staat moet door de organisatie zelf nog worden ingevuld.

Protocol Meldplicht Datalekken

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Help, een datalek! Een procedure voor het omgaan met datalekken. Ir. H. Candel en mr. dr. S. Nouwt*

Protocol informatiebeveiligingsincidenten en datalekken

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Aandacht voor privacy. Bescherming van privacy is voor iedereen belangrijk

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

E. Procedure datalekken

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Protocol informatiebeveiligingsincidenten en datalekken

Protocol Meldplicht Datalekken

Procedure meldplicht datalekken. Versie 1.0 Februari Procedure meldplicht datalekken Intergrip Versie 1.0

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Protocol informatiebeveiligingsincidenten en datalekken

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

Protocol datalekken Samenwerkingsverband ROOS VO

Datalek dichten en voorkomen. 21 april 2017

Protocol Meldplicht Datalekken

Privacy reglement cliënten, gasten, naasten en andere externe relaties

Procedure Gegevenslekken

PRIVACYVERKLARING VERWERKING PERSOONSGEGEVENS

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Privacyverklaring. WaterProof Marine Consultancy & Services BV.

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

Privacyreglement Senzer

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Privacyverklaring Therapeuten VVET

Protocol meldplicht datalekken

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Veel gestelde vragen over de nieuwe privacywetgeving AVG

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Verwerkersovereenkomst

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Scala College en Coenecoop College

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

PRIVACY REGLEMENT ORIONIS WALCHEREN

DE AVG IN EEN NOTENDOP. Maike van Zutphen Legal, Compliance & Privacy Officer

Privacy Statement Koninklijk Stedelijk Muziekkorps

Privacywetgeving: AVG /GDPR. Wat betekent dat voor u?

Help een datalek! Wat nu?

Transcriptie:

Protocol Meldplicht datalekken Datum: 05-03-2018 Versie: 2

Documentinformatie Procesnaam: Proceseigenaar: Documenteigenaar: Verantwoordelijk voor revisie: Melden datalekken Raad van bestuur LG I&ZA Adviseur Kwaliteit & Veiligheid I&ZA Versiehistorie Versie Versiedatum Aangepast door Omschrijving 1 1 april 2016 Naomi Meier Procedure datalekken vastgesteld door LG I&ZA 1.1 01-03-2017 Naomi Meier Na ervaringen commissie datalekken afgelopen 11 maanden en de komst Informatiebeveiigingsbeleid binnen Altrecht revisie protocol 1.2 25-04-2017 Naomi Meier N.a.v. feedback leden commissie datalekken document aangepast 2 25-10-2017 Naomi Meier N.a.v. feedback FG document aangepast 2 05-03-2018 Naomi Meier N.a.v. NEN 7510 aangepast 2 14-03-2018 Naomi Meier Vastgesteld door MT- Informatisering 2

Inleiding Dit protocol beschrijft de verschillende stappen die binnen Altrecht genomen moeten worden bij een informatiebeveiligingsincident en een (mogelijk) datalek. Het betreft hier enkel de informatiebeveiligingsincidenten en een (mogelijk) datalek welke de persoonsgegevens van medewerkers en patiënten van Altrecht raakt. Incidenten geconstateerd bij externe partijen, bijvoorbeeld Fivoor en Lister, dienen bij de externe partij zelf kenbaar te worden gemaakt en in behandeling te worden genomen. De meldplicht datalekken is onderdeel van de Wet bescherming persoonsgegevens (Wbp). Vanaf 1 april 2016 is het wettelijk verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens (AP). Bij een informatiebeveiligingsincident is er sprake van een inbreuk op de persoonsgegevens welke zijn blootgesteld aan verlies, diefstal, onrechtmatige inzage of onrechtmatige verwerking. Een informatiebeveiligingsincident wordt een datalek indien de verloren, gestolen, onrechtmatig ingezien of verwerkte persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Het risico op informatiebeveiligingsincidenten en een (mogelijk) datalek is binnen Altrecht steeds groter omdat persoonsgegevens van patiënten en medewerkers in onze systemen en/of op draagbare media (telefoon, laptop, USB-stick) zijn opgeslagen. Altrecht moet bij ieder incident steeds zelf een beredeneerde afweging maken of een informatiebeveiligingsincident een datalek is en onder de wettelijke meldplicht valt. De meldplicht datalekken verplicht organisaties tot het treffen van technische en organisatorische maatregelen om de gevolgen van informatiebeveiligingsincidenten en datalekken te voorkomen, te herkennen en te beperken. Indien Altrecht toch persoonsgegevens blootstelt aan verlies, diefstal, onrechtmatige inzage of onrechtmatige verwerking loopt zij de kans op boetes die kunnen oplopen tot 820.000,-. Doel protocol meldplicht datalekken Het doel van de meldplicht datalekken is het beter beschermen van de persoonsgegevens in de systemen van de Altrecht organisatie. Dit protocol is gebaseerd op de beleidsregels van de AP betreffende de meldplicht datalekken in de Wbp 1, het Informatiebeveiligingsbeleid van Altrecht 2, beleid informatiebeveiligingsincidenten 3 en gedragsregels informatievoorziening/ict 4 en beschrijft hoe te handelen bij een informatiebeveiligingsincident en een (mogelijk) datalek. Het doel van dit protocol is vast te leggen welke stappen genomen moeten worden, door wie en waarbij het volgende resultaat wordt nagestreefd: Het steeds volgen van een eenduidige werkwijze. Het zorgvuldig waarborgen van de belangen van Altrecht, de patiënten, de medewerkers dan wel een externe belanghebbende die betrokkenen is bij het informatiebeveiligingsincident zijnde (mogelijk) datalek. Het op zorgvuldige en systematische wijze analyseren van een informatiebeveiligingsincident, zijnde (mogelijk) datalek, zodat aanwezige risicomomenten in het proces zichtbaar worden. Centraal hierbij staan het vaststellen van de gebreken/verbeterpunten in de technische en organisatorische (beveiligings)maatregelen die (mogelijk) hebben kunnen leiden tot het incident. Het bevorderen van het nemen van passende verbetermaatregelen en het structureel borgen van deze verbetermaatregelen. Het realiseren van een voldoende en eenduidige interne en op verzoek externe verantwoording over de afhandeling van een incident, zijnde (mogelijk) datalek. 1 Autoriteit Persoonsgegevens, De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp), Beleidsregels voor toepassing van artikel 34a van de Wbp, Den Haag, 8 december 2015. 2 Informatiebeveiligingsbeleid 3 Beleid informatiebeveiligingsincidenten 4 Gedragsregels informatievoorziening/ict 3

Definities De Algemene Verordening Gegevensbescherming (AVG) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Bijvoorbeeld NAW-gegevens, BSN, patiëntnummer, medische gegevens, wachtwoord, ras, geloof en salaris. Bij een informatiebeveiligingsincident is er sprake van een inbreuk op de persoonsgegevens welke zijn blootgesteld aan verlies, diefstal, onrechtmatige inzage of onrechtmatige verwerking, maar die niet in handen zijn gevallen van derden die geen toegang tot die gegevens hebben. Een informatiebeveiligingsincident wordt een datalek indien de verloren, gestolen, onrechtmatig ingezien of verwerkte persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Informatiebeveiligingsincidenten en datalekken kunnen ontstaan door: Menselijk falen (te eenvoudige wachtwoorden; het verstrekken van username/wachtwoord aan collega, stagiaire, uitzendkracht of externe; een printje met privacygevoelige informatie laten liggen op de printer of je bureau). Verloren telefoon, laptop, usb-stick, printsticker. Verzenden van email met emailadressen van alle geadresseerden i.p.v. geadresseerden in het BCCveld te zetten. Moedwillig handelen (cybercriminaliteit, hacking, identiteitsfraude, mailware besmetting). Technisch falen (ICT-storing). Calamiteit (brand datacentrum, wateroverlast). Autoriteit Persoonsgegevens is de nieuwe naam van het College Bescherming Persoonsgegevens (CBP) sinds 1 januari 2016. Functionaris Gegevensbescherming (FG), ook wel privacyfunctionaris genoemd, is de functionaris die Altrecht dient te hebben conform Europese privacywetgeving, de AVG, om de privacy te bewaken en te zorgen dat Altrecht voldoet aan de wetgeving. Commissie IB-incidenten is een door de FG ingestelde onderzoekscommissie die gezamenlijk met de FG een advies opstelt op basis waarvan de RvB kan beslissen het incident wel of niet te (laten) melden bij de Autoriteit Persoonsgegevens. De commissie bestaat uit: FG, I&ZA, HRM, B&OO en de leidinggevende van de eenheid waar het incident heeft plaatsgevonden. De commissie is op afroep basis en communicatie zal voornamelijk via mail plaatsvinden. De FG beoordeelt wanneer de commissie geraadpleegd wordt. Melden informatiebeveiligingsincident en (mogelijk) datalek 1. Alle informatiebeveiligingsincidenten, zijnde (mogelijk) datalek, dienen zonder onnodige vertraging te worden gemeld bij de leidinggevende en via het meldingsformulier I&ZA Meldplicht Datalek (Self Servicedesk I&ZA) bij de Functionaris Gegevensbescherming (FG). 2. De FG onderzoekt het informatiebeveiligingsincident, zijnde (mogelijk) datalek, aan de hand van procedure identificeren datalek (zie bijlage 1). Hierbij is aandacht voor: a. Wat is de aard van het incident b. Wat is de oorzaak dat dit incident heeft plaatsgevonden c. Is er sprake van het niet nakomen van of een tekortkoming in de beveiligingsprocedures (technisch, organisatorisch) of schending van de privacy d. Is een individu of de organisatie verwijtbaar e. het incident wordt gedocumenteerd en geregistreerd in Topdesk. f. De FG documenteert en registreert het incident eveneens in PrivacyBlox 3. Indien er sprake is van een melding dat potentieel ook gemeld moet worden bij de AP of bij de betrokkene dan stelt de FG de commissie IB-incidenten op de hoogte. Indien FG samen met commissie besluit 4

om de melding voor te leggen aan de RvB en deze besluit melding te willen maken bij de AP, dan handelt de FG (bij afwezigheid van FG de vervanger/achterwacht) dit af middels het webformulier van de AP. Hiervoor dient zo nodig de procedure melden datalek (zie bijlage 2) doorlopen te worden. Bij een datalekmelding wordt bewijs digitaal lokaal door de FG opgeslagen. Melder of betrokkenen worden geïnstrueerd eventueel fysiek bewijs in eigendom te bewaren. Voor eventuele noodzakelijke communicatie binnen en buiten de organisatie wordt gebruik gemaakt van het communicatiebeleid 5 van Altrecht. Taken, verantwoordelijkheden en bevoegdheden* 1. Iedere medewerker die direct of indirect kennis draagt of krijgt van een informatiebeveiligingsincident, zijnde (mogelijk) datalek is verplicht dit direct te melden via het meldingsformulier I&ZA Meldplicht Datalek (Self Servicedesk I&ZA) en ook kenbaar te maken bij zijn leidinggevende. 2. De Raad van Bestuur is verantwoordelijk voor informatieveiligheid en daarmee voor informatiebeveiliging en het melden en afhandelen alle informatiebeveiligingsincidenten, zijnde (mogelijk) datalek. 3. De FG** is verantwoordelijk voor het (laten) onderzoeken van het incident, het indien nodig melden bij Autoriteit Persoonsgegevens en het indien nodig informeren van de betrokkenen om wiens persoonsgegevens het gaat. 4. De Commissie IB-incidenten ondersteunt op afroep de FG bij het onderzoeken, het rapporteren, het doen van verbetervoorstellen en bij het adviseren van de RvB over de afhandeling van het incident. 5. De leidinggevende van de eenheid vanuit waar de melding is gedaan, is verantwoordelijk voor het ondernemen van preventieve en corrigerende acties en mede uitvoer te geven aan verbeterplan/-advies van de Commissie Datalekken. 6. Op basis van de, gedurende een jaar, ontvangen meldingen analyseert de FG en stelt een verbeterplan of advies op. Dit plan of advies wordt opgenomen in de jaarlijkse systeembeoordeling en de jaarrapportage. 7. Minimaal jaarlijks beoordeelt de FG of de procedure en de uitvoering nog met elkaar in overeenstemming zijn. Indien deze niet met elkaar overeenkomen wordt beoordeeld of de procedure geactualiseerd moet worden of dat medewerkers geïnstrueerd moeten worden op een juiste toepassing van de procedure. *Taken, verantwoordelijkheden en bevoegdheden zijn, met uitzondering van het doen van de melding via het meldingsformulier I&ZA Meldplicht Datalek (Self Servicedesk I&ZA), alleen van toepassing tijdens kantooruren. Buiten kantooruren kan een melding via het meldingsformulier I&ZA Meldplicht Datalek (Self Servicedesk I&ZA) gedaan worden, maar de melding krijgt door de FG in beginsel pas het eerst volgende moment tijdens kantooruren opvolging. **Vervanging FG op woens- en vrijdag is belegd bij I&ZA. Vervanging FG op werkdagen i.v.m. ziekte, vakantie, scholing etc is belegd bij team Kwaliteit & Veiligheid 5 Communicatiebeleid Altrecht 5

Bijlage 1 6

Bijlage 2 7

Bronnenlijst Autoriteit Persoonsgegevens, De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp), Beleidsregels voor toepassing van artikel 34a van de Wbp, Den Haag, 8 december 2015. Altrecht, Informatiebeveiligingsbeleid, Utrecht, januari 2017. ICTRECHT, Impact van de meldplicht datalekken, Amsterdam Ir. H. Candel en mr. dr. S. Nouwt, Help, een datalek, Een procedure voor het omgaan met datalekken, februari 2016. 8

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback