A2 PROCEDURE MELDEN DATALEKKEN

Vergelijkbare documenten
Melden van datalekken

Raadsmededeling - Openbaar

Procedure Melden beveiligingsincidenten

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Beleid en procedures meldpunt datalekken

Help een datalek! Wat nu?

Datalekprotocol binnen Reto

Regeling datalekken StOVOG

Procedure Meldplicht Datalekken & Veiligheidsincidenten gemeente Geertruidenberg

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

In dit protocol is weergegeven hoe te handelen bij beveiligingsincidenten en datalekken. 2

Protocol meldplicht datalekken

Meldplicht Datalekken Vereniging Beveiligingsprofessionals Nederland

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

Nieuwe Privacywetgeving per Wat betekent dit voor u?

Protocol Beveiligingsincidenten en datalekken

Procedure meldplicht datalekken. Versie 1.0 Februari Procedure meldplicht datalekken Intergrip Versie 1.0

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Eerste Kamer der Staten-Generaal

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Sta eens stil bij de Wet Meldplicht Datalekken

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

Procedure meldplicht datalekken

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Wet meldplicht datalekken

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

E. Procedure datalekken

Memo Procesbeschrijving meldplicht datalekken

MELDPLICHT DATALEKKEN HOE STAAN WE ERVOOR?

WET MELDPLICHT DATALEKKEN FACTSHEET

Protocol meldplicht datalekken

Procesgang rondom (mogelijke) datalekken in [naam organisatie]. Tekst die tussen [] staat moet door de organisatie zelf nog worden ingevuld.

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

MELDPLICHT DATALEKKEN

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Cloud computing Helena Verhagen & Gert-Jan Kroese

Procedure datalekken NoorderBasis

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

PROCEDURE MELDPLICHT DATALEKKEN

Help, een datalek! Een procedure voor het omgaan met datalekken. Ir. H. Candel en mr. dr. S. Nouwt*

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje- Nassau, enz. enz. enz.

Aon Risk Solutions HEAD Jaarcongres 2016

1. Bent u bekend met de uitzending van Nieuwsuur d.d over meer meldingen van datalekken door gemeenten?

Protocol datalekken Samenwerkingsverband ROOS VO

Protocol Meldplicht Datalekken

Procedure melden beveiligingsincidenten en datalekken

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

De grootste veranderingen in hoofdlijnen

Databeheer in de kerk

Privacybeleid gemeente Wierden

Protocol informatiebeveiligingsincidenten en datalekken

Procedure Meldplicht Datalekken

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Impact van de meldplicht datalekken

Transcriptie:

A2 PROCEDURE MELDEN DATALEKKEN Deze procedure voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken. Deze procedure is met ingang van 1 juli 2016 van toepassing voor de gemeenten Cranendonck, Heeze-Leende en Valkenswaard (A2 gemeenten) en de GR Samenwerking A2 gemeenten. De procedure is vastgesteld door de afzonderlijke colleges van de voornoemde gemeenten en het Dagelijks Bestuur van de GR Samenwerking A2 gemeenten. De procedure maakt integraal onderdeel uit van het A2 Informatie Beveiligingsplan. Definities 1. Datalek: Het kan gebeuren dat gegevens toegankelijk worden voor mensen die geen recht hebben op kennisname van die gegevens (datalek). Artikel 34a lid 1 van de Wbp zegt dat het gaat om een inbreuk op de beveiliging, bedoeld in artikel 13 Wbp, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Deze inbreuken dienen onverwijld te worden gemeld aan de toezichthouder. Vervolgens zegt artikel 34a lid 2 dat alle betrokkenen ook in kennis gesteld moeten worden indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 2. Boetebevoegdheid: de toezichthouder kan bestuurlijke boetes opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dit is een boete van maximaal 820.000. 3. CISO: De door de A2 gemeenten en GR samenwerking A2 gemeenten aangewezen coördinator informatiebeveiliging welke de rol vervult van Chief Information Security Officer, zoals opgenomen in de Baseline Informatieveiligheid Gemeenten. Uitvoering 1. Iedere medewerker die direct of indirect kennis draagt of krijgt van een datalek, is verplicht dit direct te melden aan zijn teammanager/afdelingshoofd en de coördinator informatiebeveiliging (CISO, 06-1830 2229 of Datalek@A2samenwerking.nl). Een medewerker is te allen tijde bevoegd

ook rechtstreeks melding te doen bij de CISO. Bij een datalek kan bij voorbeeld worden gedacht aan: a. een kwijtgeraakte USB-stick; b. een gestolen laptop; c. een inbraak door een hacker; d. verzending van e-mail waarin de e-mailadressen of andere persoonlijke gegevens van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden; e. een malware-besmetting; f. een calamiteit zoals een brand in een datacentrum; g. e-mails (intern/extern) onbeveiligd die privacygevoelige informatie bevatten (m.n. sociaal domein, publiekszaken). 2. De coördinator informatiebeveiliging (CISO) is verantwoordelijk voor het onderzoeken van het datalek. Afhankelijk van de complexiteit kan hij hiervoor aan de directie van de betreffende organisatie voorstellen om tijdelijk een ambtelijke Datalekken Commissie in te stellen en/of een Datalekken calamiteitenteam. Hierbij is aandacht voor de volgende aspecten: a. wat is de aard van het datalek; b. wat is de oorzaak dat dit incident heeft plaatsgevonden; c. is er sprake van het niet nakomen van of een tekortkoming in de beveiligingsprocedures; d. is de organisatie verwijtbaar. 3. De CISO bepaald de vervolgmaatregelen op basis van onderstaande beslisboom:

4. De teammanager/het afdelingshoofd is verantwoordelijk voor het nemen van preventieve en repressieve acties, inclusief het eventueel melden aan de betrokkenen. De CISO (en eventueel de Datalekken Commissie) adviseert hierbij, eveneens betreffende de wijze en inhoud van de melding aan de betrokkenen. 5. De CISO doet indien noodzakelijk de melding aan de Autoriteit Persoonsgegevens (AP) en onderhoudt het verdere contact met de AP. Een datalek moet onverwijld maar uiterlijk binnen 72 uur aan de AP gemeld worden. Deze termijn begint te lopen vanaf het moment dat de medewerker kennis draagt van het datalek. Wanneer de AP aanwijzingen geeft worden deze opgevolgd en vastgelegd. 6. De CISO doet eveneens melding bij de Informatie Beveiligingsdienst Gemeenten (IBD). 7. De teammanager/het afdelingshoofd en de CISO informeren de portefeuillehouder en de gemeentesecretaris/a2 directie over het datalek, de genomen en nog te nemen maatregelen. 8. De CISO adviseert de portefeuillehouder en/of A2 bestuur en de gemeentesecretaris/a2 directie betreffende het communicatietraject (gemeenteraad, actief of passief, intern en extern), en initieert indien nodig met de verantwoordelijke voor persvoorlichting een communicatieboodschap en een Q&A voor het KCC. 9. De CISO maakt een verslag van de afhandeling van het datalek en legt dit in TopDesk vast. 10. De CISO analyseert na afloop van een kalenderjaar de voorgekomen datalekken en genomen maatregelen en stelt een verbeterplan of -advies op. Dit plan of advies wordt opgenomen in de jaarlijkse managementrapportage betreffende informatieveiligheid. 11. De gemeenteraad wordt geïnformeerd door middel van de aparte paragraaf informatieveiligheid in het jaarverslag. Instellen Datalekken Commissie 1. De CISO kan, indien hij dit op basis van de melding van het datalek noodzakelijke acht, in overleg met de portefeuillehouder/a2 bestuur en de gemeentesecretaris/a2 directie, een Datalekken Commissie bestaande uit ten minste drie leden instellen om verdergaand onderzoek te verrichten. 2. Betrokkenen bij het incident, dan wel het team/de afdeling waar het incident heeft plaatsgevonden, kunnen niet deelnemen. Bij de samenstelling van de Datalekken Commissie wordt rekening gehouden met de aard van het incident. De CISO faciliteert waar nodig de Datalekken Commissie.

3. De CISO formuleert een schriftelijke opdracht voor de Datalekken Commissie, inclusief de termijn waarbinnen de rapportage gereed moet zijn. Bij deze opdracht is ook de informatie gevoegd die op dat moment al bekend is. 4. De CISO plant een startbijeenkomst ter bespreking van de opdracht aan de Datalekken Commissie. 5. De Datalekken Commissie onderzoekt verder hoe het datalek is gebeurd, of en zo ja hoe dergelijke datalekken in de toekomst kunnen worden voorkomen (het vermijdbaarheidsaspect). De bevoegdheden van de Datalekken Commissie zijn: a. de mogelijkheid met iedereen te spreken; b. alle relevante documenten in te zien; c. toegang te hebben tot alle plaatsen. Dit alles in het kader van wat de commissie nodig acht ten behoeve van een zorgvuldige analyse; d. in relatie tot de externe bewerker gelden de afspraken zoals vastgelegd in de bewerkersovereenkomst; e. de datalekken commissie kan in overleg met, of op instigatie van de portefeuillehouder/a2 bestuur of de gemeentesecretaris/a2 directie, besluiten om externe deskundigen te betrekken bij het onderzoek. Instellen Datalekken Calamiteitenteam 1. Indien het datalek een grote impact kan hebben (imago, financiële en of andere substantiële schade) kan door de CISO in overleg met de directie een calamiteitenteam datalekken worden samengesteld, waaraan ten minste deelnemen: a. Portefeuillehouder/bestuurder A2; b. Gemeentesecretaris/directielid A2; c. CISO; d. Betrokken teammanager/afdelingshoofd. Overige deelnemers worden naar behoefte toegevoegd. 2. Het Datalekken Calamiteitenteam heeft vooral tot doel om de schade voor de organisatie te beperken door tijdige en juiste communicatie en direct passende maatregelen te treffen. Er wordt zoveel mogelijk als zinvol gebruik gemaakt van de organisatie en processen uit de gemeentelijke crisis- en rampenorganisatie.

Wat moet ik regelen als ik persoonsgegevens laat verwerken door een andere partij (bewerker)? Veel procesverantwoordelijken (teammanagers/afdelingshoofden) laten de verwerking van hun persoonsgegevens geheel of gedeeltelijk uitvoeren door een zogeheten bewerker. Een bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen (artikel 1, sub e, Wbp). De procesverantwoordelijke is verantwoordelijk voor het maken van afspraken met de bewerker, waardoor er voldoende waarborgen zullen zijn ten aanzien van de naleving van de meldplicht voor datalekken. De bewerker dient de maatregelen te treffen die nodig zijn zodat de gemeente aan de meldplicht voor datalekken kan voldoen (artikel 14, lid 3, sub c, Wbp), waaronder het tijdig en adequaat informeren over de datalekken waarvan hij kennis krijgt. De met de bewerker gemaakte afspraken worden vastgelegd in een bewerkersovereenkomst. De CISO kan hierbij adviseren.

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback