Protocol meldplicht datalekken Voor financiële ondernemingen

Vergelijkbare documenten
Protocol meldplicht datalekken

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Protocol datalekken Samenwerkingsverband ROOS VO

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM, IT & PRIVACY.

Sta eens stil bij de Wet Meldplicht Datalekken

Help een datalek! Wat nu?

Protocol Meldplicht Data-lekken

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Beleid en procedures meldpunt datalekken

Regeling meldplicht datalekken 2016

Procedure meldplicht datalekken

Melden van datalekken

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

PROCEDURE MELDPLICHT DATALEKKEN

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Protocol meldplicht datalekken

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Procedure Meldplicht Datalekken

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Privacy proof organisatie? Okkerse & Schop Advocaten biedt u een juridische Privacy QuickScan

Procedure datalekken NoorderBasis

Documentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN

Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

Protocol informatiebeveiligingsincidenten en datalekken

Procedure Melden beveiligingsincidenten

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

E. Procedure datalekken

De bewerkersovereenkomst. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

PROTOCOL. Onze vereniging

WET MELDPLICHT DATALEKKEN FACTSHEET

PROTOCOL MELDING DATALEKKEN

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Protocol Datalek. Geschiedenis Studenten Vereniging Excalibur

PROTOCOL. Vereniging van Gepensioneerden van de eenheid Den Haag

Protocol informatiebeveiligingsincidenten en datalekken

Meldplicht datalekken. Prof. mr. G-J. (Gerrit-Jan) ZWENNE Leiden 2 februari 2016

Raadsmededeling - Openbaar

PRIVACYREGLEMENT FINANCIAL MARKETING CONCEPTS

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Privacyreglement Belangenvereniging Ede Noord

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Privacy Statement Libracoaching

Protocol Beveiligingsincidenten en datalekken

De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp

BLAD GEMEENSCHAPPELIJKE REGELING

PRIVACY & DATALEKKEN

Protocol informatiebeveiligingsincidenten en datalekken

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Wet meldplicht datalekken

Convenant voor gegevensuitwisseling tussen Politie en beveiligingsorganisaties en organisatoren van evenementen

Meldplicht Datalekken: bent u er klaar voor?

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Meldplicht Datalekken CBP RICHTSNOEREN

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Privacy en de meldplicht datalekken

FACTSHEET DATALEK. Inleiding

De beleidsregels bij de meldplicht datalekken: een korte beschouwing

Privacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

Degene op wie een Persoonsgegeven betrekking heeft. Dit kan de bewoner of diens naaste of gemachtigde zijn.

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Procedure Melding Datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Privacyreglement van Stichting 070Watt;

Protocol Datalekken Twelve

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

REGLEMENT BESCHERMING PERSOONSGEGEVENS

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

004 Privacyreglement

Datalekken in de mkb praktijk

Privacyreglement. WerkPro privacyreglement pagina: 1 van 5 Versiedatum: Eigenaar: Bedrijfsjurist

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacyreglement. 1. Begripsbepalingen

Officiële uitgave van het Koninkrijk der Nederlanden sinds De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp)

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

MELDPLICHT DATALEKKEN

Procedure melden beveiligingsincidenten en datalekken

Protocol Meldplicht Datalekken

Privacyreglement Financieel Bureau Brabant

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

Transcriptie:

Protocol meldplicht datalekken Voor financiële ondernemingen Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht is ook van toepassing op de financiële sector. Maar wanneer spreekt men van een datalek en wat houdt deze meldplicht in? Om hierover duidelijkheid te verschaffen, hebben wij dit Protocol voor u opgesteld. Financiële sector De meldplicht datalekken geldt ook voor financiële ondernemingen in de zin van de Wet op het financieel toezicht ( Wft ) en houdt in dat ernstige doorbrekingen van de maatregelen voor de beveiliging van persoonsgegeven moeten worden gemeld bij de Autoriteit Persoonsgegevens. De in de wet opgenomen verplichting om in sommige gevallen ook een melding te doen aan degenen van wie de persoonsgegevens zijn gelekt, geldt niet voor financiële ondernemingen. De meldplicht datalekken staat los van de meldplicht die reeds op grond van de Wft voor incidenten geldt. Wat is een datalek? Bij een datalek is sprake van een inbreuk op de beveiliging van persoonsgegevens waarbij deze zijn blootgesteld aan verlies of onrechtmatige verwerking ervan. Denk bijvoorbeeld aan de volgende situaties: > Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; > Een bedrijf krijgt te maken met een hack waarbij klantgegevens worden ontvreemd; > De versleutelde laptop van een financieel adviseur wordt gestolen, er is geen back-up; > Een envelop met creditcardbetalingsgegevens wordt per ongeluk niet versnipperd maar in de vuilnisbak gegooid. Meldplicht Mocht u in uw organisatie een datalek constateren of vermoeden dat hiervan sprake is, dan kunt u aan de hand van de volgende vragen bepalen of u dit moet melden bij de Autoriteit Persoonsgegevens en de betrokkenen. 1. Is de meldplicht datalekken uit de Wet bescherming persoonsgegevens ( Wbp ) van toepassing? 2. Is een gebeurtenis te beschouwen als een datalek? 3. Moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens? 4. Hoe en wanneer moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens? 5. Moet het datalek ook worden gemeld aan de betrokkene, dat is degene van wie de persoonsgegevens zijn gelekt? 6. Welke gegevens moeten worden vastgelegd? Deze vragen worden in dit protocol verder toegelicht. Aan het slot van dit protocol volgen enkele algemene aanbevelingen. 1

1. Is de meldplicht datalekken van toepassing? Dat is het geval indien: a. sprake is van verwerking van persoonsgegevens, dat wil zeggen elk gegeven betreffende een geïdentificeerde of identificeerbare persoon. Voor financiële ondernemingen gaat het met name om NAWgegevens, BSN, kopie identiteitsbewijs, financiële gegevens, medische gegevens en gegevens over het schadeverleden, de gezinssamenstelling en de woonsituatie. Verwerking van persoonsgegevens betreft elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, ordenen, raadplegen en verspreiden. b. u de verantwoordelijke bent - degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking vaststelt - of diens vertegenwoordiger. Als u bij de verwerking derden inschakelt, blijft u ter zake de meldplicht de eindverantwoordelijke. c. de Wbp op de verwerking van toepassing is. Bepaalde verwerkingen vallen door hun aard of hun doelstelling buiten de reikwijdte van de Wbp, bijvoorbeeld verwerkingen ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden. Op de verwerking van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden is de Wbp gedeeltelijk van toepassing maar de meldplicht datalekken niet. Daarnaast is van belang waar de activiteiten plaatsvinden waarvoor de persoonsgegevens worden verwerkt en waar de al dan niet geautomatiseerde middelen zich bevinden die bij de verwerking worden gebruikt (in een ander land) 2. Is een gebeurtenis te beschouwen als een datalek? Dat is het geval indien: a. sprake is van een inbreuk op de beveiliging, dat wil zeggen dat zich daadwerkelijk een beveiligingsincident heeft voorgedaan, en b. bij de inbreuk persoonsgegevens verloren zijn gegaan of redelijkerwijs niet kan worden uitgesloten dat er persoonsgegevens onrechtmatig zijn verwerkt, waaronder moet worden begrepen de aantasting van de persoonsgegevens, onbevoegde kennisneming, wijziging of verstrekking daarvan. 2

3. Moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens? Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens indien sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dat is het geval indien één van de volgende situaties aan de orde is: a. Persoonsgegevens van gevoelige aard zijn gelekt, namelijk: (i) bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp: > betreffende iemands levensovertuiging of godsdienst, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging > strafrechtelijke persoonsgegevens en > persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, of (ii) persoonsgegevens die anderszins van gevoelige aard zijn, waaronder: > gegevens over de financiële of economische situatie van de betrokkene; > gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene; > gebruikersnamen, wachtwoorden en andere inloggegevens; > gegevens die kunnen worden misbruikt voor (identiteits-)fraude; > gegevens uit DNA-databanken, gegevens waar een bijzondere, wettelijk bepaalde geheimhoudingsplicht op rust en gegevens die onder een beroepsgeheim vallen. b. De aard en omvang van de inbreuk leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen. Hierbij is van belang: (i) gaat het om veel persoonsgegevens per persoon of om gegevens van grote groepen? (ii) zijn de beslissingen die o.b.v. de verwerkte persoonsgegevens worden genomen ingrijpend? (iii) worden de persoonsgegevens binnen ketens (zoals binnen de overheid) gedeeld? (iv) gaat het om persoonsgegevens van kwetsbare groepen? 4. Hoe en wanneer moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens? De Autoriteit Persoonsgegevens stelt voor de melding een webformulier beschikbaar. Het datalek moet onverwijld worden gemeld. Dit houdt in dat de verantwoordelijke, na het ontdekken van een mogelijk datalek, enige tijd mag nemen voor nader onderzoek teneinde een onnodige melding te voorkomen. De termijn voor het melden begint te lopen op het moment dat de verantwoordelijke of een bewerker op de hoogte raakt van een incident dat mogelijk onder de meldplicht datalekken valt. Zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, moet een 3

melding worden gedaan, tenzij op dat moment inmiddels uit onderzoek is gebleken dat het incident niet onder de meldplicht datalekken valt. 5. Moet het datalek ook worden gemeld aan degene van wie de persoonsgegevens zijn gelekt? U bent als financiële onderneming niet verplicht om datalekken via openbare kennisgevingen te melden aan betrokkenen. Dit is in lijn met de reeds onder de Wft bestaande praktijk dat een financiële onderneming incidenten wel moet melden aan de financieel toezichthouder maar niet aan betrokkenen: dergelijke openbare kennisgevingen aan betrokkenen zijn in de financiële sector mede tegen de achtergrond van de financiële crisis te risicovol om dwingend te worden voorgeschreven. De op u rustende zorgplicht kan echter meebrengen dat u de betrokken klanten in een rechtstreeks contact informeert, vergelijkbaar zoals nu geldt voor incidenten onder de Wft. 6. Welke gegevens moeten worden vastgelegd? Er moet een overzicht worden bijgehouden van alle datalekken die onder de meldplicht vallen, dus datalekken die aan de Autoriteit Persoonsgegevens moeten worden gemeld. Per datalek bevat het overzicht in ieder geval de gegevens omtrent de aard van de inbreuk. De wet schrijft niet voor hoe lang het overzicht moet worden bewaard. Ga uit van een bewaartermijn van minimaal een jaar. In bepaalde gevallen kan het nodig zijn een langere bewaartermijn te hanteren. Sancties Bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste 820.000,-- opleggen. Indien de overtreding niet opzettelijk is gepleegd en geen sprake is van ernstig verwijtbare nalatigheid, dan zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing opleggen. 4

Aanbevelingen Tot slot willen we u de volgende aanbevelingen meegeven: 1. Als u de verwerking geheel of gedeeltelijk laat uitvoeren door een bewerker, moet u als verantwoordelijke maatregelen nemen om ervoor te zorgen dat u in staat blijft de meldplicht datalekken na te komen. Daartoe kunnen met de bewerker afspraken worden gemaakt. Deze afspraken moeten schriftelijk worden vastgelegd, of in een andere, gelijkwaardige vorm. Denk aan de volgende onderwerpen: > Gaat de bewerker u informeren over alle incidenten? > Hoe en wanneer vindt deze informatieverstrekking plaats? > Gaat de bewerker eventueel zelf meldingen doen aan de Autoriteit Persoonsgegevens? > Wordt u geïnformeerd over door de bewerker getroffen verbetermaatregelen? 2. Het is aan te bevelen om intern een procedure te ontwikkelen die medewerkers een praktisch handvat biedt hoe te handelen bij een (vermoeden van een) datalek. In deze interne procedure kunnen de volgende onderwerpen aan bod komen: > Aan wie en binnen welke termijn moet een (mogelijk) datalek worden gemeld? > Door wie en hoe wordt onderzoek gedaan naar de aard en de ernst van het incident? > Wie verzorgt de eventuele melding aan de Autoriteit Persoonsgegevens en de betrokkenen? > Wie is intern waarvoor verantwoordelijk? 3. In het geval van een datalek kan er een vermoeden zijn van strafbaar handelen. Zo is bijvoorbeeld hacken strafbaar gesteld. Wanneer er aanwijzingen voor hacken zijn, dan is er alle aanleiding om daarvan aangifte te doen bij de politie. Meer informatie Mocht u na het doorlopen van deze zeven vragen meer informatie wensen over de meldplicht datalekken, dan kunt u contact opnemen met één van onze specialisten van de sectie Intellectueel Eigendom & IT. Wij bieden u graag een passend advies. Christel Jeunink c.jeunink@vil.nl 088 90 80 847 Rik Geurts r.geurts@vil.nl 088 90 80 838 Maral van Brandwijk m.brandwijk@vil.nl 088 90 80 803 Ineke van den Broek i.broek@vil.nl 088 90 80 804 Contactgegevens Van Iersel Luchtman Advocaten > Vestiging Breda Wilhelminapark 15, 4818 SL Breda / Postbus 4810, 4803 EV Breda > Vestiging s-hertogenbosch Meerendonkweg 21, 5216 TZ s-hertogenbosch / Postbus 44, 5201 AA s-hertogenbosch 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback