Doel
De achtergrond van deze procedure is de Meldplicht datalekken. Vanaf mei 2018 is de Algemene Verordening Gegevensbescherming van toepassing. Ook onder deze wetgeving is het melden van datalekken verplicht. Sindsdien geldt een meldplicht voor datalekken. Deze meldplicht houdt in dat organisaties een datalek onverwijld moeten melden aan de Autoriteit Persoonsgegevens (AP) (en in bepaalde gevallen ook aan de betrokkenen).
Dit document beschrijft de procedure die gehanteerd wordt bij (het vermoeden van) een beveiligings- of datalek binnen SM&D, dan wel bij (het vermoeden van) een beveiligings- of datalek dat buiten SM&D heeft plaatsgevonden maar waarvoor SM&D toch de verantwoordelijkheid draagt (bij een ‘verwerker’).
Inhoud
Procedurestappen 2
1. Identificeren van een beveiligings- of datalek 2
2. Informeren bestuurder (Iris) of programmacoördinator (Johan). 2
3. Beoordeling melding; wel of geen datalek? 2
4. Instellen Responseteam datalek 3
5. Melding AP 3
6. Beoordeling melding aan betrokkenen 3
7. Melden aan betrokkenen (indien van toepassing) 4
8. Verrichten datalek onderzoek 4
9. Afronding responseteam datalek 4
10. Implementeren verbetermaatregelen 4
11. Sluiting melding en vastlegging 5
Definities en termen 5
Inleiding
Beveiligings- of datalekken zijn incidenten rondom verwerkingen van persoonsgegevens met een potentieel grote impact. Allereerst wil SM&D voorkomen dat er misbruik wordt gemaakt van de gegevens van deelnemers en hun mantelzorgers. Daarnaast kan, indien SM&D als gevolg van een datalek een grote groep betrokkenen moet informeren, dit grote kosten met zich meebrengen, naast een mogelijke boete van de toezichthouder. Het snel en adequaat onderzoeken, beperken van de gevolgen, melden en afhandelen van een datalek zijn dan ook van groot belang.
Met het volgen van deze procedure wordt het volgende resultaat nagestreefd:
- voorspelbaarheid voor alle belanghebbenden;
- waarborging van de belangen van SM&D en de betrokkenen;
- op zorgvuldige en systematische wijze analyseren van een (mogelijk) beveiligings- of datalek;
- bevorderen van het nemen van passende verbetermaatregelen en het structureel borgen ervan.
Procedurestappen
- Identificeren van een beveiligings- of datalek
De melding van (een vermoeden) van een beveiligings- of datalek kan te allen tijde door iedereen worden gedaan, door personeelsleden van SM&D, maar ook door externen binnen en buiten SM&D. Eenieder die een (mogelijk) beveiligings- of datalek constateert, meldt dit incident per omgaande via het combi-overleg en aan de bestuurder of de programmacoördinator.
- Informeren bestuurder (Iris) of programmacoördinator (Johan).
Het doen van de melding is zo makkelijk mogelijk gehouden, om de drempel om te melden laag te houden. De melder hoeft enkel het vermoeden van een datalek te bespreken in het combi overleg en de lijst incidenten al dan niet in samenspraak met de programmacoördinator in te vullen. In de lijst incidenten geeft de melder een beschrijving van het mogelijk beveiligings- of datalek. De melder kan eventueel documenten ter onderbouwing van de melding mailen aan de bestuurder of programma coördinator. De melder dient tevens mondeling te melden aan de bestuurder om de urgentie van de melding te bepalen. Dit geeft SM&D de mogelijkheid binnen 72 uur te melden aan de autoriteit persoonsgegevens (AP). Bovendien leidt dit tot snellere start van de behandeling en bewaking van de voortgang.
Bij spoed dient direct persoonlijk aan de bestuurder of programmacoördinator gemeld te worden. Zijn die niet bereikbaar dan is het mogelijk, direct, de RvT te informeren.
De bestuurder of de door de bestuurder aangewezen aandacht functionaris AVG begint met het aanleggen van een logboek, waarin alle relevante gebeurtenissen, beslissingen en tijdstippen worden vastgelegd. Dit kan in een digitaal / fysiek logboek zijn. Indien relevant wordt ook informatie veiliggesteld voor een eventuele juridisch vervolg van het incident.
- Beoordeling melding; wel of geen datalek?
De bestuurder of de aangewezen aandacht functionaris AVG neemt op verzoek of eigen initiatief contact op met de melder (mits de melding niet anoniem is gedaan). De aandacht functionaris AVG zorgt, in samenspraak met de bestuurder, zo spoedig mogelijk voor volledige en juiste informatie, zoals opgenomen in het meldingsformulier van AP en zorgt voor een eerste analyse om te bekijken of er sprake is van een beveiligings- of datalek.
De beoordeling of er sprake is van een beveiligings- of datalek, en of er gemeld moet worden aan AP, komt tot stand met behulp van de (beslisbomen uit) landelijke beleidsregels. Bij de beoordeling spelen o.a. een rol:
- is er enkel sprake van een dreiging van verlies (dus een beveiligingslek)?
- is er sprake van verlies van persoonsgegevens;
- is er sprake van onrechtmatige verwerking van persoonsgegevens;
- is er sprake van een enkele tekortkoming of kwetsbaarheid in de beveiliging;
- kan redelijkerwijs worden uitgesloten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid;
- zijn er persoonsgegevens van gevoelige aard gelekt;
- leiden de aard en de omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen.
In geval dat het beveiligingslek niet heeft geleid tot verlies of onrechtmatige verwerking van persoonsgegevens is er geen sprake van een datalek maar van een beveiligingslek. Melding bij AP is dan niet aan de orde, maar de melding wordt dan wel geregistreerd in lijst incidenten en gerapporteerd aan de RvT van SM&D.
Blijkt uit de eerste analyse dat er sprake is van een (mogelijk) datalek, dan voert de bestuurder of de door de bestuurder aangewezen aandachtsfunctionaris AVG, in samenspraak met de bestuurder, de volgende acties uit:
- hij/zij informeert telefonisch de RvT van SM&D en bevestigt dit daarna per e-mail;
- hij/zij roept de VIM-commissie (= programma coördinator, de bestuurder of de door de bestuurder aangewezen aandachtsfunctionaris AVG en één van de activiteitenbegeleiders) bijeen bij de eerste gelegenheid (indien nodig en mogelijk onmiddellijk anders tijdens de eerste volgende twee kantooruren).
- Instellen Responseteam datalek
Het responsteam is hetzelfde team als het VIM commissie gezien de kleine organisatie. Afhankelijk van de aard van het datalek breidt de bestuurder of de door de bestuurder aangewezen aandacht functionaris AVG het team uit met een betrokken medewerker. Zo nodig kan advies worden gevraagd aan de bestuurder.
De bestuurder of de door de bestuurder aangewezen aandacht functionaris AVG organiseert de eerste bijeenkomst met het team en zorgt voor een agenda, de wijze van overleggen & communiceren, aanleg van een logboek met overwegingen en besluiten en verslaglegging.
De VIM-commissie draagt zorgt voor (en legt vast):
- beoordeling van de melding;
- uitvoering noodzakelijke acties met betrekking tot het datalek (bijvoorbeeld datalek onmiddellijk dichten, sporen verzamelen, toegang tot informatie beperken en eventueel hulp inroepen voor nader onderzoek);
- of en wat gemeld gaat worden bij AP;
- wijze van afhandeling intern, inclusief communicatie naar de melder.
- of er sprake is van eigen aansprakelijkheid, of aansprakelijkheid van derden;
- besluiten over in-en externe communicatie: op welk moment, door welke actiehouder en welke boodschap;
- op welke wijze er intern wordt gerapporteerd;
- of eventuele schade is gedekt door de verzekeringspolis.
- Melding AP
De bestuurder of de door de bestuurder aangewezen aandacht functionaris AVG meldt in samenspraak met de bestuurder het datalek telefonisch aan de voorzitter van RvT en bevestigt de melding schriftelijk per e-mail. De voorzitter RvT besluit, in samenspraak met de bestuurder, tot het melden bij de AP. De bestuurder of de door de bestuurder aangewezen aandacht functionaris AVG kan, namens SM&D digitaal de melding aan het AP verzorgen, indien er sprake is van een datalek dat gemeld moet worden bij AP. Dit alles gebeurt tijdig (onverwijld, zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek). De ontvangstbevestiging van AP en het meldingsformulier worden door de bestuurder of de door de bestuurder aangewezen aandacht functionaris AVG opgeslagen/bewaard. De bestuurder of de door de bestuurder aangewezen aandacht functionaris AVG fungeert als contactpersoon inzake de communicatie met AP.
Indien een datalek ten onrechte niet wordt gemeld bij de AP dan kan dit leiden tot een aanzienlijk hoge geldboete.
- Beoordeling melding aan betrokkenen
Indien een datalek is gemeld aan AP dient tevens vastgesteld te worden of het datalek ook moet worden gemeld aan degenen om wiens gegevens het gaat (betrokkenen) met behulp van de schema’s uit de Beleidsregels. De voorzitter RvT beoordeelt in samenspraak met de bestuurder of betrokken worden geïnformeerd en hoe en vraagt hierbij om inspraak de door de bestuurder aangewezen aandacht functionaris AVG.
De betrokkenen hoeven alleen geïnformeerd te worden als een datalek een risico oplevert voor hun rechten en vrijheden. De melding aan de betrokkenen mag eventueel achterwege gelaten worden als er passende technische beschermingsmaatregelen waren, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden door bijvoorbeeld goede encryptie.
- Melden aan betrokkenen (indien van toepassing)
In samenspraak met de bestuurder stelt de door de bestuurder aangewezen de aandacht functionaris AVG en indien nodig met de juridisch adviseur een kennisgeving aan betrokkenen op.
De melding bevat in ieder geval de aard van de inbreuk, contactgegevens SM&D, het informatiepunt waar de betrokkenen meer informatie over de inbreuk kan krijgen en de maatregelen die SM&D de betrokkenen aanbeveelt om te nemen teneinde de negatieve gevolgen van de inbreuk te beperken.
Het is hierbij ook van belang om over verdere communicatie richting betrokkenen na te denken, bijvoorbeeld de mogelijkheid te geven om vragen te stellen aan de bestuurder, bij een grote datalek een FAQ-pagina op de website, een bijeenkomst en dergelijke.
- Verrichten datalek onderzoek
De bestuurder of de door de bestuurder aangewezen aandacht functionaris AVG stelt een onderzoek in naar de feitelijke toedracht van het datalek. Met (naar haar mening) relevante leden van het team van SM&D onderzoekt zij of en zo ja hoe dergelijke datalekken in de toekomst voorkomen kunnen worden.
De bevoegdheden van het VIM-commissie zijn:
- vrijheid om met alle partijen betrokken bij het datalek en de melding te spreken;
- alle relevant geachte documenten & data inzien en bewaren;
- toegang tot alle plaatsen die het team nodig acht ten behoeve van een zorgvuldige analyse;
- actie naar verwerkers conform afspraken in de toepasselijke verwerkersovereenkomst;
- het recht en de middelen om externe deskundigen in te zetten in het onderzoek.
Datalekken zijn soms eenvoudig te analyseren, vaak echter gaat het spoor schuil achter techniek en is externe expertise vereist. Hetzelfde geldt voor crisiscommunicatie. Competente ondersteuning kennen en weten hoe deze op het juiste moment kan worden ingeschakeld is in deze belangrijk.
- Afronding responseteam datalek
Zo snel als mogelijk presenteert de door de bestuurder aangewezen aandacht functionaris AVG de bevindingen & aanbevelingen aan de bestuurder, die daarop besluit:
- welke verbetermaatregelen getroffen moeten worden;
- of en hoe over het rapport en de aanbevelingen gecommuniceerd wordt.
Verbetermaatregelen worden opgenomen in de lijst incidenten, opvolging en evaluatie van de maatregel verloopt via de procedure continue verbeteren en wordt geagendeerd te bespreking in het combi-overleg.
- Implementeren verbetermaatregelen
De eigenaar van het betrokken informatiemiddel of -verwerking is ook verantwoordelijk voor de implementatie van de vanuit het beveiligings- of datalek vastgestelde verbetermaatregelen. Hij/zij ziet toe op de communicatie rondom de verbetermaatregelen en dat de genomen maatregelen worden geëvalueerd op effectiviteit. Hij/zij rapporteert over de voortgang van deze stappen aan de bestuurder.
- Sluiting melding en vastlegging
De bestuurder of de door de bestuurder aangewezen aandacht functionaris AVG informeert het team op het moment dat het datalek definitief afgehandeld is en de melding gesloten is.
Het datalek wordt opgenomen in de lijst incidenten. Iedere vergadering doet de programma coördinator verslag aan over de behandelde incidenten (waaronder de melding informatie incident/datalek). Van de vergadering worden notulen gemaakt die voor alle medewerkers in te zien zijn.
Definities en termen
- Betrokkene: degene op wie een persoonsgegeven betrekking heeft.
- Datalek: een inbreuk op de beveiliging waarbij persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking; dus blootgesteld aan datgene waartegen beveiligingsmaatregelen bescherming hadden moeten bieden.
- Eigenaar: persoon die namens SM&D de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.
- Aandacht functionaris AVG: Een door de bestuurder aangewezen functionaris (al dan niet per incident) die belast is met het bijhouden en actualiseren van de informatie rondom AVG en die ook namens SM&D optreedt als contactpersoon informatiebeveiliging en de contacten legt met bestuurder en eventueel RvT.
- Beveiligingslek: een mogelijk beveiligingslek, waardoor de bescherming van persoonsgegevens op enig moment is doorbroken en waardoor de persoonsgegevens mogelijk zijn blootgesteld aan verlies of onrechtmatige verwerking. Het is daarbij niet van belang of de verantwoordelijke passende technische of organisatorische beschermingsmaatregelen heeft getroffen of niet. Ieder datalek is een beveiligingslek, niet ieder beveiligingslek is een datalek.
- Persoonsgegevens: alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd.
- Response team datalekken: een tijdelijk ingesteld team, dat zorgdraagt voor een onderzoek en over de uitkomsten rapporteert aan de bestuurder. Binnen SM&D is dit de VIM commissie.
- Verwerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
- Verwerking van persoonsgegevens: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens zoals bijvoorbeeld het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
- (Verwerkings-)verantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In dit geval SM&D.
- Wet: Algemene Verordening Gegevensbescherming (“AVG”).
Laatste wijzigingen in deze procedure:
Datum | Vorige versiedatum | Omschrijving wijzigingen |
Mei 2020 | Geen | Nieuw ontwikkeld |
1-02-2022 | Mei 2020 | Logo aangepast en gecheckt op actualiteit, geen aanpassingen |