Meldplicht Datalekken 12 mei 2016 Almelo Kees Hintzbergen IBD
Onderwerpen Introductie Waar gaat het over en wat is het Highlights Meldplicht Boetes Verantwoordelijke / bewerker Help een incident! Wanneer melden? Betrokkene informeren?
Doelen van de IBD
De IBD-dienstverlening strekt verder…
De IBD-dienstverlening strekt verder… Helpdesk van de IBD De IBD heeft een Helpdesk, waar gemeenten al hun vragen over informatiebeveiliging kunnen stellen. Website en Community Een website en community waar door en tussen gemeenten kennis en ervaring op informatie- beveiligingsvlak kunnen worden uitgewisseld. Leveranciersonafhankelijk De IBD is leveranciersonafhankelijk en ondersteunt een ‘level playing field’ voor leveranciers actief in het gemeentelijk domein
Privacy ? Zaanstad zet geheim document over IKEA online 21-09-2015
Stelt u zich eens voor dat.... Bron plaatje: http://www.techzine.nl/nieuws/19221/fbi-onthult-lijst-met-meest-gestolen-elektronica.html
Waar gaat het over? Privacy Jouw privacy, mijn privacy? Rechten betrokkene Wat zegt de Wbp Doelbinding Proportionaliteit Passende technische en organisatorische maatregelen Als het dan toch fout gaat Bron plaatje (boven): http://www.vonk-schoonmaakbedrijf.nl/tag/incident-management/ Bron plaatje (onder): https://www.ibdgemeenten.nl
Privacy of toch niet? Bron: https://www.security.nl/posting/463222/Harde+schijf+met+gegevens+781+kankerpati%C3%ABnten+gestolen Bron: https://www.security.nl/posting/463184/Zorgorganisatie+schond+privacy+werknemers+bij+ziekmeldingen Bron: https://www.security.nl/posting/430066/Gemeente+Hellendoorn+zet+bestand+met+priv%C3%A9gegevens+online Bron: https://www.security.nl/posting/463854/Priv%C3%A9gegevens+inwoners+Oegstgeest+en+Rotterdam+online Bron: https://www.security.nl/posting/459442/Tientallen+laptops+Belastingdienst+uit+callcenter+gestolen Bron: https://www.security.nl/posting/465759/AP+adviseert+fysiotherapeuten+over+beveiligen+contactformulier Bron: https://www.security.nl/posting/465766/Rekenkamer%3A+Amsterdam+geeft+privacy+onvoldoende+aandacht Voorbeelden van nationale Privacy incidenten Gesorteerd van oud naar nieuw (laatst op 12 april 2016 bijgewerkt)
Privacy of toch niet?
Beveiligingsincidenten Kwijtgeraakte USB-stick; Gestolen laptop; Inbraak door een hacker; Malware besmetting; Brand in een datacentrum; Teveel vertellen aan niet rechthebbenden Laten meelezen op je beeldscherm Informatie opzoeken over een BN-er of buur Meer gegevens verzamelen dan nodig Langer gegevens bewaren Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp Samenvatting Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Bij beveiligingsincidenten waar sprake kan zijn van een inbreuk op de beveiliging van persoonsgegevens moet u bijvoorbeeld denken aan: een kwijtgeraakte USB-stick; een gestolen laptop; een inbraak door een hacker; een malware-besmetting; een calamiteit zoals een brand in een datacentrum. Kenmerkend voor een inbreuk op de beveiliging is verder dat het beveiligingsincident daadwerkelijk gevolgen heeft voor de persoonsgegevens die u verwerkt. Er zijn persoonsgegevens verloren gegaan, of u kunt niet redelijkerwijs uitsluiten dat er persoonsgegevens onrechtmatig zijn verwerkt. Bron plaatje: http://www.intermediair.nl/vakgebieden/it-internet/it-professionals-makkelijk-om-de-tuin-te-leiden-met-usb-sticks?utm_referrer=https%3A%2F%2Fwww.google.com%2F
Wel of geen datalek? Beveiligingsincident: kwijtraken van een USB-stick; diefstal van een laptop; inbraak door een hacker. Niet ieder beveiligingsincident is ook een datalek. Wanneer is het een datalek? Datalek: Als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.
Highlights meldplicht datalekken Aangenomen op 26 mei is door de 1e kamer, invoering 1-1-2016 Inbreuken op beveiligingsmaatregelen die leiden tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens moeten door de verantwoordelijke onverwijld worden gemeld bij de Autoriteit Persoonsgegevens (AP) Als de inbreuk waarschijnlijk ongunstige gevolgen heeft voor de betrokkene, moet ook de betrokkene worden geïnformeerd, tenzij de gegevens die gehackt zijn al voldoende versleuteld waren (en niet aannemelijk is dat die beveiliging doorbroken kan worden) In bewerkersovereenkomsten moeten afspraken worden gemaakt over de nakoming van alle verplichtingen rondom beveiligingsinbreuken, in het BIG voorbeeld is dit al opgenomen. Het CBP is Autoriteit Persoonsgegevens geworden.
Boetes…. Het AP heeft de bevoegdheid om op andere overtredingen van de wet een boete op te leggen tot maximaal € 810.000. Die hogere boete mag echter alleen worden opgelegd nadat de AP een bindende aanwijzing aan de overtreder heeft gegeven, tenzij de overtreding opzettelijk is begaan of het gevolg is van ernstige verwijtbare nalatigheid. Voorbeelden: Te lang bewaren van persoonsgegevens, te veel persoonsgegevens vastleggen Het niet hebben van technische en organisatorische maatregelen met passend beveiligingsniveau (dit vereist vastleggen van alle BIG implementatie activiteiten en keuzes door het management, compliancy) Het niet melden van beveiligingsinbreuken (logging en detectie gevolgd door incident management proces) Het onjuist melden van incidenten, het niet vastleggen van incidenten (incident management proces) Het niet in kennis stellen van de betrokkene (onderzoek van alle privacy gerelateerde incidenten) Er zijn meer dan 50 gedragingen in de Wbp waar de hogere boete op van toepassing is. (dus niet alleen meldplicht)
Meldloket datalekken van de Autoriteit persoonsgegevens Bron: https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken
Verantwoordelijke versus Bewerker Verantwoordelijke (artikel 1 sub d Wbp): De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; Bewerker (artikel 1 sub d Wbp): Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, dat wil zeggen overeenkomstig diens instructies en onder diens (uitdrukkelijke) verantwoordelijkheid.
Waar liggen de risico’s en verantwoordelijkheid voor invoering beveiligingsmaatregelen? (cloud) leverancier Gemeente IaaS PaaS SaaS Infra Platform Software Proces Al naar gelang het servicemodel liggen de risico’s meer of minder bij de gemeente, overigens staat dit los van de algehele verantwoordelijkheid (verantwoordelijke) en dus wie bepaald welke beveiligingsmaatregelen genomen moeten worden door de (cloud) leverancier in de rol van bewerker. Hoe meer richting de data wordt opgeschoven (IaaS -> PaaS -> SaaS) hoe meer verantwoordelijkheid voor beveiligingsmaatregelen er bij de (cloud) leverancier komt te liggen.
Verdeling maatregelen gemeente en (cloud) leverancier Maatregelen uit Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) of Risicoanalyse (cloud) leverancier gemeente Afhankelijk van het gekozen (cloud) model verandert de toewijzing van de beveiligingsmaatregelen in: Inkoopvoorwaarden Contracten Service Level Agreements (SLAs) Bewerkersovereenkomst
Afspraken met Bewerker. De wet schrijft niet voor wat u precies met de bewerker af moet spreken. U moet in ieder geval denken aan het volgende: Wordt u geïnformeerd over alle relevante incidenten? Hoe wordt u geïnformeerd over de incidenten? Wordt u tijdig geïnformeerd over de incidenten? Ontvangt u per incident alle informatie die u nodig heeft? Wordt u op de hoogte gehouden van eventuele nieuwe ontwikkelingen rond het incident, en van de maatregelen die worden getroffen om de gevolgen van het incident te beperken en herhaling te voorkomen? Doet de bewerker zelf meldingen aan de Autoriteit Persoonsgegevens? Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp Afgezien van het toezien op naleving door de bewerker, dat in de voorgaande paragraaf werd aangehaald, schrijft de wet niet voor wat u precies met de bewerker af moet spreken. U moet in ieder geval denken aan het volgende: Gaat de bewerker u daadwerkelijk informeren over alle relevante incidenten? Gaat de bewerker eventueel zelf meldingen doen aan de Autoriteit Persoonsgegevens? Ontvangt u per incident alle informatie die u nodig heeft? Hoe gaat de bewerker u informeren over de incidenten? Wordt u tijdig geïnformeerd over de incidenten? Wordt u op de hoogte gehouden van eventuele nieuwe ontwikkelingen rond het incident, en van de maatregelen die de bewerker treft om aan zijn kant de gevolgen van het incident te beperken en herhaling te voorkomen? Kunt u vaststellen dat u daadwerkelijk op de hoogte wordt gesteld van alle relevante incidenten, en dat de verstrekte informatie klopt? De Wbp verplicht u om te zorgen voor voldoende beveiliging van de persoonsgegevens die u verwerkt, ook als u bij de verwerking een bewerker inschakelt. Adequate beveiliging door de bewerker is in meerdere opzichten van belang voor de naleving van de meldplicht datalekken. Ten eerste levert een adequate beveiliging een belangrijke bijdrage aan het voorkomen van datalekken. Ten tweede stellen maatregelen zoals intrusion detection de bewerker in staat om (mogelijk) ongeoorloofde toegang tot persoonsgegevens tijdig te onderkennen en u daarover te informeren. Meer informatie over de beveiliging van persoonsgegevens bij verwerking door een bewerker treft u aan in de richtsnoeren Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens. Hoewel u als verantwoordelijke verantwoordelijk en aansprakelijk bent voor de gegevensverwerking door de bewerker (zie artikel 12 Wbp), is ook de bewerker drager van rechten en plichten. Hij dient niet alleen de instructies van de verantwoordelijke op te volgen maar is eveneens zelfstandig aansprakelijk voor de naleving van de beginselen met betrekking tot de verwerking van persoonsgegevens die zijn opgenomen in hoofdstuk 1 en 2 van de Wbp. Bron plaatje: http://www.janboon.com/coachen-werkwijze.html
Incidentmanagement Response Processtappen Stel incident vast. Incident vastgesteld: Waarschuw betreffende instanties. Identificatie Wijs ‘Incident Response-teamleider’ aan en stel ‘Incident Response Team’ samen. Beperk verdere schade. Beoordeel aard en omvang en stel de schade vast. Stel bewijsmateriaal veilig. Schade beperken en incident beoordelen Neem maatregelen om de oorzaak te blokkeren of te verwijderen Voorkom verdere blootstelling van gevoelige gegevens Maak start om de bedrijfsprocessen te herstarten Zorg dat risico’s worden gemitigeerd. Remediatie en herstel Bepaal welke gegevens mogelijk zijn blootgesteld en stel getroffenen in kennis Informeer indien noodzakelijk andere overheidsinstanties, zoals IBD en/of politie. Is er een wettelijke verplicht een melding te doen naar andere instanties? Kennisgeving Incidentmanagement Response Beleid Een succesvolle Incidentmanagement en Responsebeleid reactie bestaat uit een aantal te doorlopen stappen die in samenhang het ‘Incidentmanagement Response proces’ genoemd worden. Deze stappen zijn voor iedere reactie gelijk, alleen in de details zitten de verschillen. De volgende informatie is bedoeld als een algemene checklist van de stappen die een gemeente zou kunnen nemen wanneer een incident wordt ontdekt. Er bestaan andere checklists en deze kunnen ook al in gebruik zijn. Deze checklist kan nuttig zijn voor iedereen, als een herziening van paraatheid of als een routekaart voor ontwikkeling. De eigenaar van het overall Incidentmanagement en Response - proces is de CISO. De lijnmanager heeft een nadrukkelijke rol bij het ontwikkelen van incident response reacties en bij de voorbereiding daarop. Schrijf alle gebeurtenissen en uitgevoerde activiteiten op voor latere evaluatie, woordvoering, bewijslast. Een incident response-actie bestaat uit de volgende stappen: identificatie schade indamming (Insluiting en beperking) remediatie en herstel kennisgeving rapportage en evaluatie >> STAP 1: Identificatie Controleer of een incident daadwerkelijk heeft plaatsgevonden, is er wel een inbreuk op de beveiliging?. Deze activiteit omvat normaliter de systeembeheerder en eindgebruiker, maar kan ook het gevolg zijn van proactieve detectie van incidenten door de ICT-beveiliging of het systeembeheer of doordat bij de controle van de logging iets naar boven komt. Indien wordt vastgesteld dat het inderdaad een incident is, dan moeten de betreffende instanties gewaarschuwd worden. >> STAP 2: Schade indamming en beoordeling van de blootstelling De manager van de afdeling waar een incident optreedt, wijst een incident response-teamleider aan en deze stelt een bij het incident passend incident response-team samen. De manager informeert de CISO en vraagt zo nodig hulp aan de CISO. Bij een datalek met persoonsgegevens wordt altijd de CISO geïnformeerd en ook de privacy functionaris (indien de gemeente deze heeft). Bij grote incidenten zal de manager van de bedrijfsvoering of de gemeentesecretaris een belangrijke rol spelen en zal de CISO in de meeste gevallen de teamleider worden. Dit team is belast met het beperken van verdere schade als gevolg van het incident. Start een grondige beoordeling van de aard en omvang van het incident, stel vast wat de schade is en stel bewijsmateriaal veilig. Bepaal of het datalek onder de meldplicht Wbp valt, en indien ja: Informeer de Autoriteit Persoonsgegevens met een voorwaarschuwing. >> STAP 3: Remediatie en herstel Neem maatregelen om de oorzaak van het incident te blokkeren of te verwijderen, verminder de impact door verdere blootstelling van de gevoelige gegevens te voorkomen, maak een start om de bedrijfsprocessen te herstarten als deze gestopt waren als gevolg van het incident en zorg ervoor dat risico’s die verband houden met dit incident worden gemitigeerd. >> STAP 4: Kennisgeving Bepaal welke gegevens mogelijk zijn blootgesteld door het incident en stel de getroffenen in kennis van het feit dat hun gegevens blootgesteld zijn. Als bij Stap 2 ontdekt is dat er een datalek is en dat er een melding gedaan moet worden aan de Autoriteit Persoonsgegevens (AP), dan is reeds toen een voormelding gedaan aan de AP. Op basis van het detailonderzoek kan nu de volledige melding voorbereid en gedaan worden. Als pas nu blijkt dat er een meldplicht is voor een datalek, dan moet nu de volledige melding gedaan worden. (als de fatale termijn van 72 uur overschreden is, dan moet dat worden gemotiveerd). Informeer indien noodzakelijk andere overheidsinstanties, zoals de IBD en/of de politie. Betrek voor deze melding eventueel een jurist van de gemeente (zie: meldingen). Snelheid is ook belangrijk vanuit een PR-oogpunt. Afhankelijk van de aard van het incident kunnen sommige stappen parallel uitgevoerd worden. Let op, het is ook raadzaam om bij de woordvoering over een incident een jurist te betrekken, de aard en inhoud van de communicatie kan gevolgen hebben voor gemeentelijke aansprakelijkheid. >> STAP 5: Rapportage en evaluatie Identificeer lessen uit het incident en bespreek deze met het team, rapporteer over het incident, de genomen maatregelen en het algemeen verslag, rapporteer indien nodig intern en extern, pas het gevolgde draaiboek aan. Bovenstaande stappen zijn in detail beschreven in de Incidentmanagement en Responsebeleid- stappenplan en -sjabloon. Hoe te gebruiken Afhankelijk van de aard van het incident en de grootte van het Response Team, kan het raadzaam en praktisch zijn om een aantal van de checklist stappen en sub-stappen parallel aan te pakken. Bijvoorbeeld: zodra de oorzaak van een incident wordt bepaald (stap 2.6), remediatie van de oorzaak en het herstel van de functie (stap 3) kan worden gestart, terwijl documentatie activiteiten van stap 2.7 worden aangepakt. De mogelijkheden voor multitasking-incident-stappen en sub-stappen wordt behandeld in deze workflow. Het is verstandig om de paraatheid van de gemeente op het gebied van ‘veiligheid incident response’ periodiek te oefenen op een manier vergelijkbaar met een noodsituatie planning. Geleerde lessen moeten zo nodig in de checklist, respons procedures, en / of de toewijzing van hulpmiddelen worden opgenomen. De checklist bevat acties die nodig zijn om de meest ernstige veiligheidsincidenten aan te pakken, dat wil zeggen: de blootstelling van persoonlijk identificeerbare informatie beschermd door wetten, standaarden en / of contracten met partijen van buiten de gemeente. Het kan ook effectief worden gebruikt om andere veiligheidsincidenten aan te pakken, bijvoorbeeld: het beschadigen van openbare websites, ongeoorloofde toegang tot vertrouwelijke, maar niet wettelijk beschermde gegevens, of het verlies van vertrouwelijke papieren dossiers. Gezien de trend naar meer gebruik van derden, met inbegrip van Cloud computing-leveranciers voor het leveren van diensten die gebruik maken van: verzamelen, opslaan en/of verwerken van gemeentelijke gegevens, dienen de gemeenten rekening te houden met de gedeelde verantwoordelijkheid voor het incident-response. Deze zijn vaak noodzakelijk door dergelijke overeenkomsten. Deze checklist biedt stappen die moeten gebeuren, ongeacht de locatie van een mogelijke inbreuk op de gegevensbeveiliging. Wie de verantwoordelijkheid moet nemen voor elk van deze stappen als een derde partij betrokken is, zal variëren afhankelijk van de aard van de externe dienst, evenals de beveiligings- gerelateerde termen van het contract tussen de gemeente en die partij. Zie: Bijlage: Incidentmanagement en response stappenplan en sjabloon Identificeer lessen en bespreek deze met het team Rapporteer over het incident en genomen maatregelen. Rapporteer indien nodig intern en extern Pas het draaiboek aan. Rapportage en evaluatie Meldplicht Datalekken!
Omgaan met een datalek Stappenplan Identificatie Bestrijd het datalek Beoordeel ontvangen signaal: stel vast wat er mogelijk aan de hand is en welke acties nodig zijn. Stel op basis van de beoordeling een responseteam samen. Informeer proceseigenaar (operationeel eindverantwoordelijke voor het relevante proces of systeem) Identificatie Als responseteam een voldoende duidelijk beeld heeft van het incident. Het responseteam kan de benodigde insluitende en schade beperkende maatregelen nemen. Bestrijd het datalek Onderzoek het datalek. Bepaal de impact op de betrokkenen en uw gemeente. Wie bepaalt die? Bepaal de impact Een datalek wil je zo effectief en efficiënt mogelijk afhandelen: de juiste acties ondernemen, en niet meer acties dan nodig (goede risicoafweging) Meldaanpak: Stel vast of u moet (of wilt) melden / Bereid het melden voor / Doe de melding. Herstelaanpak: Verbeter informatiebeveiliging / Lever nazorg aan betrokkenen / Organisatiebelang. Bepaal de meld- en herstelaanpak Bron: Grip op datalekken - Handreiking voor het beheersen van datalekrisico’s ISBN 978 90 13 13220 5 ISBN 978 90 13 13221 2 (E-book) NUR 823-470 3 Kom in actie Het bestrijden van een datalek volgt op het ontdekken en intern melden ervan. Daarover lees je meer in paragraaf 9.3. In de eerste fase na het ontdekken van een mogelijk datalek beoordeel je of er inderdaad sprake is van een datalek, en zo ja, om wat voor soort datalek het gaat, en formeer je een ICT-responseteam. Het ICT-responseteam gaat direct het datalek bestrijden, het datalekteam is daarna aan zet. 3.1 Beoordeel het signaal In deze stap beoordeel je het ontvangen signaal om vast te stellen wat er mogelijk aan de hand is en wat voor acties nodig zijn. Het is in ieder geval een ICT-incident dat bestreden moet worden. Roep daarom het ICT-responseteam op. Als er persoonsgegevens betrokken zijn bij het datalek, dan start je het meld- en herstelproces op door het datalekteam op te roepen. Als een bedrijfsproces door het incident verstoord wordt, informeer dan de proceseigenaar van dat proces. Bouw een beeld op van het datalek Wie doet de beoordeling? Incidentregistratie Acties bij een cyberincident 3.2 Roep het ICT-responseteam op Bepaal de essentie van de aanpak van het datalek en formeer op basis daarvan een ICT-responseteam. Veelal zijn dit netwerk- en systeembeheerders. Het kan ook zijn dat het nog onduidelijk is wat er precies aan de hand is. In dat geval is er mogelijk onderzoek nodig door gespecialiseerde ICT-experts. Heeft jouw organisatie deze expertise in huis of betrek je die van een externe partij? Heb je met hen afspraken gemaakt over bereikbaarheid en inzet bij een incident? Er zijn ook cyberverzekeraars die een ICT-responseteam kunnen leveren bij een incident. Bevoegdheden ICT-responseteam ICT-responseteam en datalekteam 3.3 Roep het datalekteam op Het datalekteam beslist over de aanpak van de meld- en de herstelfase. Vertegenwoordigers uit het team zullen daarna de betreffende activiteiten (doen) uitvoeren. De kernbezetting van het datalekteam bestaat uit de volgende rollen: Data protection officer (DPO). De DPO heeft specifieke kennis over het bepalen van de impact en de wijze van melden en herstellen. Information security officer (ISO). De ISO heeft kennis over het onderzoeken van datalekken en kent de informatiebeveiligingsaanpak van je organisatie. Proceseigenaar. In de meeste organisaties is het lijnmanagement integraal verantwoordelijk voor de uitvoering van het eigen proces. Een datalek heeft gevolgen voor de uitvoering van dat proces en de proceseigenaar stuurt op een zo goed mogelijke continuïteit en herstel van dat proces. 3.4 Informeer en escaleer Zodra duidelijk is dat je te maken hebt met een datalek en de direct noodzakelijke noodmaatregelen zijn genomen, is het zaak om de “proceseigenaar” te informeren: de operationeel eindverantwoordelijke voor het relevante proces of systeem. Het is overzichtelijk als er daar maar één van is, doordat er maar één (belangrijk) proces is dat gebruikmaakt van het systeem waaruit de gegevens gelekt zijn. 4 Bestrijd het datalek Zodra het ICT-responseteam een voldoende duidelijk beeld heeft van het incident, kan het de benodigde maatregelen nemen. Afhankelijk van de aard van het datalek zijn er verschillende acties die in aanmerking komen. Het zou hier te ver voeren om op alle mogelijke acties in te gaan. We geven daarom slechts een beknopt overzicht om de gedachten te bepalen. Raadpleeg voor meer informatie je informatiebeveiligingsspecialisten of de literatuur. 4.1 Insluitende en schade beperkende maatregelen Deze maatregelen zijn bedoeld om de omvang van het incident te beperken. Ze zijn met name van toepassing bij cyberincidenten. Volgen van aanvaller bij een cyberincident Maken van back-ups Bewijsmateriaal veiligstellen Uitvoeren van forensisch (technisch) onderzoek Stoppen van datalek versus bedrijfscontinuïteit 4.2 Hoe een datalek te stoppen? Overleg met je ICT-team hoe de belangrijkste scenario’s ontdekt en gestopt kunnen worden. 5 Bepaal de impact Als je een beveiligingsincident hebt waarbij persoonsgegevens betrokken zijn, dan heb je mogelijk te maken met een datalek, en het kan zijn dat je dat moet melden. Ook zul je meestal herstelactiviteiten moeten uitvoeren. Om een afgewogen besluit te kunnen nemen over hoe je het datalek gaat aanpakken, moet je weten wat voor impact het heeft op de betrokkenen en op je organisatie. En om die impact te kunnen bepalen, zul je het datalek nader moeten onderzoeken om na te gaan om welke persoonsgegevens het gaat en wat daar precies mee is gebeurd. 5.1 Onderzoek het datalek In deze fase onderzoek je wat er met de persoonsgegevens is gebeurd. Soms is dat eenvoudig vast te stellen, maar het kan ook zijn dat er forensische ICT-expertise nodig is om vast te stellen wat er zich precies heeft voorgedaan en welke gegevens (mogelijk) zijn ingezien of gewijzigd. Ten slotte zorg je ook dat je vanuit de fase “Bestrijd datalek” de beschikbare informatie krijgt over incidentoorzaak, ontdekking en bestrijding. 5.2 Wat is impact, en wie bepaalt die? Een datalek is eerst en vooral een (potentieel) probleem voor de personen van wie gegevens gelekt zijn. Om het datalek goed af te kunnen handelen, moet je inzicht hebben in de impact die het lek op de betrokkenen kan hebben. Maar een datalek kan natuurlijk ook grote impact hebben op jouw organisatie. Direct, doordat je actie moet nemen – het datalek onderzoeken en dichten, herstelwerkzaamheden uitvoeren, het lek melden – en indirect, bijvoorbeeld doordat klanten weglopen of de AP je een boete oplegt wegens het niet melden van het lek. Om het datalek goed af te kunnen handelen, moet je dus ook inzicht hebben in de impact die het lek op jouw organisatie kan hebben. Relatie met de meldplicht 5.3 Bepaal de impact op de betrokkenen In deze paragraaf ligt de focus op de vraag hoe groot de impact is van verschillende soorten datalekken. We gaan achtereenvolgens in op de soorten impact die een datalek voor de betrokkenen kan hebben en op het inschatten van de ernst daarvan. 5.3.1 Om wat voor impact kan het gaan? De impact van een datalek voor de betrokkenen kan heel divers zijn, afhankelijk van het soort datalek en de omstandigheden waaronder het heeft plaatsgevonden. We bespreken hieronder de mogelijke impact eerst in algemene zin, en vervolgens aan de hand van de drie eerder benoemde aspecten van informatiebeveiliging: vertrouwelijkheid, beschikbaarheid en integriteit. Algemeen Vertrouwelijkheid Beschikbaarheid Integriteit 5.3.2 Hoe groot is de impact? Om te bepalen hoe groot de impact van een datalek is voor de betrokkenen moet je alle omstandigheden van het geval in je beoordeling meenemen. 5.4 Bepaal de impact op je organisatie Net als bij het bepalen van de impact van een datalek op de betrokkenen zijn er als het gaat om de impact op je organisatie twee relevante aspecten: de soort impact die een datalek kan hebben, en de omvang van die impact. Die lichten we hieronder achtereenvolgens toe. 5.4.1 Om wat voor impact kan het gaan? De mogelijke impact die je als organisatie ondervindt van een datalek is vooral algemeen van karakter, dus daar gaan we eerst op in. Daarna noemen we nog enkele aspecten die specifiek samenhangen met vertrouwelijkheid, beschikbaarheid en integriteit. 5.4.2 Hoe groot is de impact? Om het niet te ingewikkeld te maken, stellen we voor dat je de impact van het datalek op je organisatie op vergelijkbare manier bepaalt als de impact op de betrokkenen. 5.4.3 Wat zijn de te verwachten kosten? Het Amerikaanse Ponemon Institute doet onderzoek op het gebied van privacy en informatiebeveiliging. Eén van die onderzoeken inventariseert jaarlijks de kosten die organisaties ondervinden in verband met datalekken. Om een idee te geven om wat voor bedragen het gaat, volgen hierna enkele cijfers uit de benchmark. 6 Bepaal de meldaanpak en herstelaanpak Je hebt noodmaatregelen genomen, een datalekteam bij elkaar verzameld en de (mogelijke) impact van het datalek in kaart gebracht. Nu is het tijd om de gevolgen van het datalek aan te pakken. 6.1 Maak afgewogen keuzes Een datalek wil je zo effectief en efficiënt mogelijk afhandelen: de juiste acties ondernemen, en niet meer acties dan nodig. Welke acties dat voor een concreet datalek zijn, is tot op zekere hoogte wettelijk vastgelegd. Je kunt echter ook nog veel keuzes maken in welke acties je precies neemt en hoe zwaar je die aanzet. Het is daarom van belang dat je een goede risicoafweging maakt. 6.2 Bepaal de meldaanpak De meldingsactiviteiten bij een datalek kunnen er als volgt uitzien. Verbetering gericht je informatiebeveiliging. Welke beheersingsmaatregelen wil je in ieder geval nemen en kunnen direct geïmplementeerd worden? Wat voor type onderzoek wil je uitvoeren op de beveiliging? Wanneer moet het onderzoek klaar zijn en wil je over de aanbevelingen beslissen? Lever nazorg aan de betrokkenen. Richt een contactpunt in. Licht de betrokkenen voor. Ondersteun betrokkenen bij het nemen van maatregelen. Herstel de relatie. Kom op voor het organisatiebelang. Herstel verloren gegane gegevens of getroffen processen, of bedenk een alternatief. Schakel juridische ondersteuning in in het geval van schadeclaims of een boete. Neem, indien van toepassing, maatregelen tegen de nalatige of kwaadwillige medewerker aan wie het lek te wijten is. Verhaal de schade zo mogelijk op je bewerker of ketenpartner. Wikkel financiële schade af met je verzekeraar. Bescherm je reputatie. Werk aan het herstellen van het klantvertrouwen. 7 Meld het datalek In de verkennende onderzoeksfase (zie paragraaf 5.1) heb je vastgesteld dat er persoonsgegevens gelekt zijn, en dat er dus sprake is van een datalek. Veel datalekken moet je verplicht melden bij de AP. Het kan zijn dat je ook de (mogelijke) slachtoffers van het datalek op de hoogte moet brengen. En in veel gevallen is het aan te bevelen om ook andere stakeholders in te lichten. In dit hoofdstuk lees je wat je verplichtingen zijn, hoe je daaraan kunt voldoen, en waar je nog meer aan moet denken. 7.1 Meld aan de Autoriteit Persoonsgegevens Veel datalekken moet je verplicht melden bij de Autoriteit Persoonsgegevens (AP). In deze paragraaf leggen we je uit hoe je nagaat of je een datalek moet melden bij de AP, en zo ja, hoe je dat dan doet. 7.1.1 Moet ik mijn datalek melden? Om te bepalen of je een datalek moet melden bij de AP, beantwoord je de volgende drie vragen: Valt de gegevensverwerking waaruit gelekt is onder de meldplicht datalekken? Gaat het om een datalek in de zin van de wet? Als het antwoord op beide voorgaande vragen bevestigend is: moet ik dit specifieke lek melden bij de AP? Valt de gegevensverwerking onder de meldplicht? Niet geautomatiseerd of in bestand Journalistiek, artistiek of literair Specifieke wetgeving van toepassing Moet ik dit specifieke lek melden? Gevoelige persoonsgegevens Aard en omvang van de inbreuk Kwetsbare groepen 7.1.2 Hoe meld ik mijn datalek? Om je datalek te kunnen melden, moet je eerst zorgen dat je alle benodigde informatie op een rijtje hebt. In bijgaand kader vind je een beknopte weergave van wat de AP allemaal wil weten over het datalek. Details vind je in de richtsnoeren van de AP. Wat moet er in de melding aan de AP staan? Aard van de melding Wettelijk kader voor de melding Algemene informatie en contactgegevens Gegevens over het datalek Vervolgacties Inlichten van betrokkenen Technische beschermingsmaatregelen Internationale aspecten Vervolgmelding 7.2 Meld aan de betrokkenen Het kan zijn dat je naast de AP ook degenen van wie er gegevens gelekt zijn van het datalek op de hoogte moet brengen. In deze paragraaf leggen we je uit hoe je nagaat of je een datalek moet melden bij de betrokkenen, en zo ja, hoe je dat dan doet. 7.2.1 Moet ik mijn datalek melden? Vrijwillig melden Hoofdregel: wanneer wel melden? Goed versleuteld of geanonimiseerd Wanneer zijn gegevens goed genoeg versleuteld? Waarschijnlijk ongunstige gevolgen Zwaarwegende redenen 7.2.2 Hoe meld ik mijn datalek? Bij het melden aan de betrokkenen heb je meer vrijheid hoe je dat inricht. En dat is prettig, want bij het melden aan de betrokkenen is het risico van imagoschade veel hoger Verplichte onderdelen Wat is er aan de hand? Wanneer melden? Hoe melden? 7.3 Meld aan overige partijen Een datalek zul je meestal niet alleen aan de AP en de betrokkenen moeten melden, maar ook aan andere partijen binnen en buiten je organisatie. Aan welke partijen moet je dan denken, en wat zijn kenmerken van de communicatie over het datalek? 7.3.1 Bestuur/Raad van Commissarissen/aandeelhouders Van wie is de organisatie en wie stuurt de organisatie aan op het hoogste niveau? Over een datalek met (mogelijk) grote reputatie- of financiële schade moeten het bestuur, toezichthouders en aandeelhouders op gepaste wijze geïnformeerd worden. Governance 7.3.2 Verzekeraar Een datalek kan financiële gevolgen hebben die verzekerd zijn bij een verzekeraar. Het incident moet dan zo vroeg mogelijk gemeld worden, ook al is de schade nog niet helemaal bekend. 7.3.3 Medewerkers In een grotere organisatie zullen alleen de direct betrokken medewerkers kennis hebben van het datalek. Afhankelijk van de aard van het datalek moet je mogelijk ook de overige medewerkers informeren. 7.3.4 Brancheorganisatie/ketenpartners Een datalek bij jouw organisatie kan consequenties hebben voor je ketenpartners en voor de branche als geheel. 7.3.5 Media Een datalekincident kan snel nieuwswaarde hebben. Dan is het goed om hierin een actieve positie te kiezen, opdat de juiste informatie het publiek bereikt. 8 Herstel De herstelfase, ofwel het natraject, kan langdurig en ook kostbaar zijn. Deze fase is gericht op het onderstaande. Verbeteren van de beveiliging van persoonsgegevens. Doel hiervan is dat het type datalek dat zich heeft voorgedaan zich minder snel zal herhalen. Leveren van nazorg aan de betrokkenen. En in het verlengde hiervan proberen om deze personen als klant te behouden. Opkomen voor het organisatiebelang. Dit onderdeel betreft allereerst het afleggen van verantwoording en, indien van toepassing, het afhandelen van schadeclaims en boetes. Daarnaast zul je het vertrouwen van de markt in je organisatie moeten herwinnen om in business te blijven. Als het bedrijfsproces gemankeerd is door corruptie of verlies van de gegevens, zal dit proces tijdelijk op andere wijze moeten worden uitgevoerd en daarna hersteld. 8.1 Onderzoek en verbeter de beveiliging Een datalekincident is aanleiding om te onderzoeken of de informatiebeveiliging verbeterd kan of moet worden. Dit betreft dan de maatregelen die gerelateerd zijn aan het type datalek dat zich heeft voorgedaan. 8.1.1 Onderzoek de beveiliging De eerste stap is om de informatiebeveiliging te onderzoeken die gerelateerd is aan het type datalek dat zich heeft voorgedaan. 8.1.2 Evalueer de beveiliging Aan de hand van de resultaten van het onderzoek kun je de volgende vragen beantwoorden: Voldoet de beveiliging aan de wettelijke normen? Voldoet de beveiliging aan gangbare sectornormen? Voldoet de beveiliging aan onze eigen normen ten aanzien van informatiebeveiliging en risicoacceptatie? 8.1.3 Verbeter de beheersingsmaatregelen Verbeter indien nodig de beveiliging door de zojuist genoemde verbeterpunten door te voeren. Het kan ook zijn dat je op sommige punten geen keuze hebt, doordat de AP je specifieke beveiligingsmaatregelen laat nemen op straffe van een dwangsom of boete. 8.2 Lever nazorg aan de betrokkenen Nadat je het datalek gemeld hebt aan de betrokkene start er een nazorgtraject. Dit is primair bedoeld om de schade bij de betrokkenen te beperken of te herstellen. Een goed nazorgtraject helpt echter ook met het terugwinnen van het klantvertrouwen en levert zo een bijdrage aan het klantbehoud. 8.2.1 Contactpunt voor nazorg Bij de melding aan de betrokkenen moet je ze laten weten waar ze terechtkunnen voor nadere informatie of ondersteuning. 8.2.2 Wat voor ondersteuning? Als je een datalek moet melden aan de betrokkenen, dan moet je ze ook vertellen wat voor maatregelen ze kunnen nemen om de nadelige gevolgen van het datalek te beperken. 8.2.3 Terugverdienen van de klant Naast het ondersteunen bij het beperken van de schade kan het nazorgtraject naar de betrokkenen ook gericht zijn op het herstellen van de relatie. 8.3 Kom op voor het organisatiebelang Een datalek heeft altijd ook een impact voor de eigen organisatie, waarbij vertrouwensschade vaak het grootste is. Deze schade moet beperkt en hersteld worden. 8.3.1 Risicomanagement Als je organisatie maatregelen heeft genomen op het gebied van risicomanagement (zie paragraaf 10.2) kun je de schade vaak relatief goed beheersen 8.3.2 Schadeclaims en boetes Benadeelde personen zullen je organisatie aansprakelijk stellen voor de door hun geleden schade. Ook ketenpartners kunnen hun schade op jouw organisatie verhalen. 8.3.3 Schade verhalen Als het datalek bij de bewerker van je gegevens is ontstaan, kun je jouw schade bij die bewerker verhalen. 8.3.4 Datalek door eigen medewerker Een datalek kan veroorzaakt zijn door nalatig gedrag van een eigen medewerker. Hierop kunnen disciplinaire maatregelen van toepassing zijn. 8.3.5 Afhandeling naar verzekeraar Als het type schade dat je hebt geleden onder de dekking van je verzekeringspolis valt (bijvoorbeeld een verzekering tegen cyberrisico’s), dan kun je die claimen bij de verzekeraar. Door in de incidentregistratieprocedure ook alle directe en indirecte kosten rond de afhandeling vast te leggen, zorg je ervoor dat je geen schade vergeet te claimen. 8.3.6 Procescontinuïteit en herstel van data en proces Als een systeem niet meer toegankelijk is, data verloren is gegaan of data niet meer correct is, dan zal het bedrijfsproces op een alternatieve wijze moeten worden uitgevoerd. 8.3.7 Herstel van vertrouwen Vaak is reputatieschade de grootste schade bij een datalek. Het veld aan stakeholders is vaak groter dan je je in eerste instantie realiseert. 9 Datalekaanpak In het vorige deel, “Help, een datalek!” zijn we uitvoerig ingegaan op wat je te doen staat als je geconfronteerd wordt met een datalek bij je organisatie. Dit deel gaat over zaken die van belang zijn als je niet in de paniekfase zit, zoals het voorkomen van, voorbereid blijven op en ontdekken van datalekken, het evalueren van datalekincidenten en het actueel houden van je aanpak. We zeiden het al eerder: de mechanismen voor het beheersen van datalekken zijn niet uniek. Zorg daarom dat de datalekaanpak zo veel mogelijk onderdeel wordt van al bestaande werkwijzen in je organisatie, of zorg ervoor ze in ieder geval op elkaar aansluiten. 9.1 Vermijd en voorkom datalekken Veel incidenten zijn eenvoudig te voorkomen. Preventie van een datalek moet altijd het uitgangspunt zijn. Probeer de volgende type strategieën te volgen: Vermijden. Voorbeeld: een processtap wordt zonder persoonsgegevens uitgevoerd. Beperken van nadelig effect. Voorbeeld: een processtap wordt met een minimum aan persoonsgegevens uitgevoerd. Voorkomen. Voorbeeld: door sterke authenticatie en goede autorisatie zijn persoonsgegevens niet toegankelijk voor niet-gerechtigde personen. Verhinderen. Voorbeeld: door een samenhangend stelsel van maatregelen leidt het doorbreken van een beveiligingsmaatregel niet direct tot een datalek. Privacy-by-design Security management systeem Ken je persoonsgegevens, dreigingen en kwetsbaarheden Minimaliseer Personele duidelijkheid Authenticatie en autorisatie Beveiliging van werkplek en gegevensdragers Mobiele apparaten Inrichting van de systeemomgeving Versleuteling en beveiligde gegevensuitwisseling 9.2 Blijf voorbereid op datalekken In het deel “Aan de slag!” beschrijven we hoe je een datalekaanpak ontwikkelt en invoert. Daarmee moet nu gewerkt worden. Deze paragraaf beschrijft hoe je organisatie voorbereid blijft op een datalek en hoe je stuurt op veilig gedrag. 9.2.1 Gedrag en cultuur Onwetendheid, onduidelijkheden of nalatigheid ligt vaak ten grondslag bij het ontstaan van een informatiebeveiligingsincident. En als er eenmaal een incident is wordt vaak de schade onnodig groot door dezelfde onwetendheid, nalatigheid of gebrekkige procedures. 9.2.2 Bewustwording, opleiden, trainen en oefenen Maak jaarlijks een plan voor bewustwording, opleiding, training en oefenen, en voer dat uit. Werk actief aan de bewustwording en geef aan wat het gewenste gedrag is. Blijf in de organisatie herhalen wat de belangrijkste data is die beschermd moet worden en hoe dat moet gebeuren. Maak gebruik van de eerder opgestelde scenario’s om helder te maken hoe medewerkers datalekken kunnen herkennen en hoe ze die intern moeten melden. 9.3 Ontdek datalek en meld intern Het is essentieel dat je goed regelt dat mogelijke datalekken ontdekt worden, en dat er in dat geval een signaal naar een intern meldpunt gaat. Hoe eerder je een datalek opmerkt, hoe sneller je er wat aan kunt doen. 9.3.1 Wijze van ontdekken Hoe komt een datalek aan het licht, en hoe kun je de kans op ontdekken en melden vergroten? Verdachte situaties 9.3.2 Intern melden Zorg ervoor dat er voor alle manieren waarop een datalek ontdekt kan worden een route is naar één intern meldpunt van waaruit de afhandeling kan worden georganiseerd. Meldingsposten die naar het interne meldpunt leiden kunnen bijvoorbeeld zijn: de ICT service desk; het ICT-netwerk operation center/systeembeheer; een information security officer, ICT-manager, data protection officer of integrity officer bij wie datalekken en waarschuwingen gemeld kunnen worden. Meldingsformulier Terugkoppeling 9.4 Registreer, evalueer en verbeter Evalueer ieder datalek dat je overkomt om te zien of er wat te verbeteren is. Zorg dat je een goede registratie hebt van de uitvoering van het proces, evalueer deze en voer verbeteringen door. 9.4.1 Registreer Startpunt van de evaluatie is een goede registratie van het incident en vastlegging hoe de behandeling van het datalek is uitgevoerd. Achteraf is het lastig vast te stellen wat de volgorde van gebeurtenissen precies is geweest en wat de waarnemingen of aannames waren gedurende het proces. 9.4.2 Evalueer Evalueer ieder datalek dat je overkomt om te zien of er wat te verbeteren is. Afhankelijk van het type datalek kan dat op twee manieren. Kleine incidenten met een beperkte impact die regelmatig plaats (kunnen) vinden en routinematig worden afgehandeld, kunnen ook “routinematig” worden geëvalueerd. Denk aan het verlies van een laptop bij een grotere organisatie waarbij procedures en middelen bestaan om de impact heel beperkt te houden. Van een dergelijk incident beoordeel je na afloop of de incidentafhandeling voldeed. Periodiek beoordeel je daarnaast of en hoe dit type datalekken verder te voorkomen is c.q. of er voor dit soort datalekken een verbeterde procedure gewenst is. Bijzondere datalekken en datalekken met grote impact evalueer je individueel. Wat kunnen we van dít datalek leren, en geeft dít incident reden om de procedures voor het voorkomen of afhandelen van datalekken te verbeteren? 9.4.3 Verbeter Op basis van de evaluatie krijg je een beeld hoe de aanpak verbeterd kan worden. Wat voor maatregelen kun je nemen om datalekrisico’s beter te beheersen? 9.5 Houd de aanpak actueel Check periodiek, bijvoorbeeld jaarlijks, of de aanpak nog actueel is. Doe dat voor alle relevante aspecten: organisatie, dataclassificatie en scenario’s, procedures en registratie, afspraken met dienstverleners/ketenpartners, en preventie van en voorbereiding op datalekken. 9.5.1 Organisatie Is er een actueel vastgesteld beleidsdocument voor het omgaan met datalekken? Zijn de verantwoordelijkheden, taken en bevoegdheden bij het omgaan met datalekken gedefinieerd en geïmplementeerd? Is er een coördinator aangesteld voor het afhandelen van datalekken? Is er een werkbeschrijving voor deze coördinator opgesteld? Is duidelijk welke personen bevoegd zijn om datalekken aan de AP te melden? Zijn de escalatiecriteria (en eventueel de inpassing ervan in een bestaand crisismanagementproces) actueel? Beschikt de organisatie over voldoende kennis en ervaring op het gebied van datalekken? Wordt periodiek beoordeeld of de directie en het management daadwerkelijk worden/zijn betrokken bij het beleid over en de feitelijke afhandeling van datalekken? Vindt er periodiek een onafhankelijke beoordeling plaats van de werking van de organisatie rondom het omgaan met datalekken? 9.5.2 Dataclassificatie en scenario’s Is er een werkomschrijving voor het opstellen en actualiseren van processen en systemen waar sprake is van privacygevoelige gegevens? Is er vastgesteld welke processen en systemen privacygevoelige gegevens bevatten? Is er vastgesteld wie gegevenseigenaar is van de informatiesystemen (binnen eigen organisatie; buiten organisatie: bewerker/(mede)verantwoordelijken)? Is er vastgesteld welke gegevensdragers (databases, netwerk, e-mail, mobile device, USB-sticks enz.) persoonsgegevens kunnen bevatten, en waar die gegevensdragers zich bevinden? Heeft het management inzicht in alle informatiesystemen c.q. processen waar sprake is van persoonsgegevens, en wordt dit overzicht periodiek geactualiseerd? Is er bij de dataclassificatie duidelijk aangegeven wat de impact is van een datalek voor de betrokkenen en de organisatie? Zijn er aan de hand van de dataclassificatie scenario’s vastgelegd van datalekken met de hoogste impact? 9.5.3 Procedures en registratie Zijn er procesbeschrijvingen opgesteld voor het monitoren, intern en extern melden, het analyseren en het afhandelen van datalekken (met bijbehorende formulieren, brieven en checklists)? Is er een procesbeschrijving opgesteld voor het melden van datalekken indien sprake is van ketenpartners en outsourcing partijen, waarbij sprake is van privacygevoelige gegevens? Is er een werkomschrijving voor het administreren van de benodigde documentatie om de juiste afwikkeling van een datalek te kunnen aantonen? Is er een procedure opgesteld voor het periodiek evalueren van het proces datalekken, uitmondend in een evaluatierapport? Is er een deugdelijk werkend registratiesysteem waaruit de status van elk datalek blijkt? Is er een deugdelijke administratie van alle bijbehorende documentatie/bewijslast van elk intern ontdekt datalek? Wordt er bij elk ontdekt datalek een impactbeoordeling uitgevoerd waaruit de gevolgen voor de betrokkenen en de organisatie blijken? 9.5.4 Afspraken met dienstverleners/ketenpartners Zijn er met alle leveranciers/afnemers bewerkersovereenkomsten afgesloten? Is in elke bewerkersovereenkomst aangegeven op welke wijze omgegaan wordt met datalekken? Worden gemaakte afspraken over datalekprocedures bij bewerkers periodiek gecheckt/geëvalueerd/verbeterd en schriftelijk vastgelegd? 9.5.5 Datalekken voorkomen en voorbereiden op de meldplicht Is er een geactualiseerd bewustwordingsprogramma gericht op het voorkomen en herkennen van datalekken? Hebben er trainingen plaatsgevonden voor medewerkers gericht op het voorkomen en herkennen van datalekken? Is het communicatieplan voor datalekincidenten geactualiseerd? Is er een evaluatierapport over de (effectieve) uitvoering van het bewustwordingsprogramma? Is er een geactualiseerde lijst voor gebruikersgroepen ter herkenning van de meest voorkomende datalekken? Zijn voor de belangrijkste scenario’s de schade beperkende maatregelen voor betrokkenen en wijze waarop met betrokkenen gecommuniceerd kan worden vastgesteld en geactualiseerd? Is het trainingsprogramma geactualiseerd op basis van ontwikkelingen rondom het thema datalekken? Hebben er trainingen plaatsgevonden voor medewerkers ten aanzien van het onderzoeken, verdedigen, inperken en afhandelen van datalekken? Is het oefenprogramma voor het thema meldplicht datalekken geactualiseerd? Heeft er een oefening van de datalek response procedure plaatsgevonden? 10 Rondom datalekken Dit hoofdstuk geeft enige omlijstende informatie over datalekken, te weten: organisatie en rollen, risicobeheersing en het omgaan met bewerkers. Het beheersen van datalekrisico’s heeft veel overeenkomsten met het beheersen van andere risico’s. Probeer daarom in de organisatie en aanpak van het risicomanagement zo veel mogelijk aan te sluiten bij wat er al in je organisatie voorhanden is. 10.1 Organisatie en rollen Het basisidee van een organisatie is dat er sprake is van teamspel. Dat wil zeggen: samenwerken op basis van rollen, taken en verantwoordelijkheden. Dat is dus iets anders dan dat iedereen zich overal mee bemoeit. Degenen “die ervan zijn” – de probleemeigenaren – moeten door invulling van taken ervoor zorgen dat de organisatie soepel functioneert op hun aandachtsgebied. Heldere afbakening van rollen en verantwoordelijkheden helpt voorkomen dat anderen het spel verstoren. En helpt voorkomen dat niemand de bal speelt omdat niemand zich verantwoordelijk voelt. 10.1.1 Beleidscoördinatie van de omgang met datalekken Het onderwerp datalekken moet, net als heel veel andere onderwerpen, een plaats krijgen in de beleidscyclus van de organisatie. Eerst moet er iemand de verantwoordelijkheid krijgen om het beleid in te voeren, en vervolgens moet iemand de beleidscoördinatie doen. Het ligt voor de hand dat die laatste de data protection officer is (zie hieronder), maar de beleidscoördinatie kan ook elders in de staf liggen. Waar het om draait is dat de organisatie een goede werkwijze blijft houden voor het voorkomen, ontdekken, bestrijden, melden en herstellen van datalekken. De portefeuillehouder privacy & informatiebeveiliging Wettelijk heeft een organisatie geen enkele ruimte wanneer het gaat om de eerst aangewezene voor het voorzien in oplossingen, dus de primaire probleemeigenaar. De wet draagt het dagelijks bestuur van iedere organisatie op om actief te sturen op het thema privacy, waar het datalekkenbeleid onderdeel van is. Bij een bedrijf is het dagelijks bestuur de directie of de raad van bestuur. Bij een gemeente is dat het college van B&W. Op rijksniveau is het een minister of de directie van een zelfstandig bestuursorgaan. 10.1.2 Kernrollen Bij ieder datalek zijn in ieder geval de volgende rollen betrokken: De proceseigenaren waar het datalek invloed op heeft. Deze zijn verantwoordelijk voor de gegevensverwerking en de continuïteit van de getroffen processen. De data protection officer, met een adviesfunctie en een toezichthoudende functie op de gegevensverwerking en de omgang met de meldplicht. De information security officer, met een onderzoeks- en adviesrol. Het ICT-management, voor het onderzoeken en bestrijden van het ICT-incident en het herstel van de ICT. 10.1.3 Overige rollen In deze paragraaf komen de overige rollen aan bod. Deze maken geen onderdeel uit van het kernteam, maar kunnen erbij gevraagd worden als dat voor een specifiek datalek, of zelfs een specifieke fase in de afhandeling daarvan, nodig of wenselijk is. Informatiebeveiligingsspecialisten Jurist Compliance Financiën Verzekeraar Marketing en communicatie Klantcontact/callcenter Dienstverleners bij nazorg 10.1.4 Rolverdeling Het stappenplan voor het invoeren van een datalekprocedure en het beheerproces op een datalekprocedure kan volgens de rolverdeling in bijgaand overzicht plaatsvinden. 10.2 Risicobeheersing Datalekincidenten zijn altijd mogelijk en zullen ook plaatvinden. Door datalekken vanuit een risicobril te benaderen bereik je dat een incident niet het einde van je organisatie hoeft te zijn. 10.2.1 Strategieën Het is nuttig om verschillende aanpakken van risicobeheersing te combineren. Wat zijn de basisstrategieën voor het beheersen van risico’s? Allereerst is er een onderscheid tussen operationeel risicomanagement dat zich richt op het operationele risico en risicofinanciering die zich richt op de financiële gevolgen. 10.2.2 Managementsysteem Als je organisatie al een managementsysteem heeft voor informatieveiligheid of privacy, dan kun je de aanpak voor het beheersen van datalekrisico’s daarin ophangen. Beschik je nog niet over een dergelijk managementsysteem, dan kun je een beperkt managementsysteem inrichten specifiek gericht op datalekken. Dat managementsysteem geeft dan aan hoe er op de risico’s van datalekken gestuurd wordt. 10.2.3 Wat kun je verzekeren? Recentelijk worden cyberrisicoverzekeringen door enkele maatschappijen aangeboden. De verzekeraars verstaan onder een cyberrisico het financiële nadeel dat wordt opgelopen door of via ICT-systemen, zonder dat er sprake is van materiele schade. De materiele schade, zoals brand in een serverruimte, wordt via traditionele verzekeringen gedekt. 10.3 Bewerkers en datalekken Zoals we in hoofdstuk 1 al aangaven, kent de Wbp twee fundamentele rollen als het gaat om de verwerking van persoonsgegevens: verantwoordelijke: degene die doel en middelen voor de verwerking vaststelt; bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Ketenpartners 10.3.1 Afspraken met de bewerker Als verantwoordelijke moet je al over de gevolgen van de meldplicht datalekken na gaan denken op het moment dat je een bewerker inschakelt. Je hebt er namelijk alle belang bij dat je daarover direct goede afspraken maakt. Bewerker in het buitenland Meld aan de Autoriteit Persoonsgegevens: (AP): Datalek melden? / Hoe melden? Meld aan de betrokkenen: Datalek melden? / Hoe melden? Meld aan overige partijen: Gemeenteraad / Medewerkers / Ketenpartners / Media / Verzekeraar Meld het datalek Verbeter beveiliging van persoonsgegevens / Lever nazorg aan betrokkenen / Organisatiebelang (afleggen verantwoording en, indien van toepassing, het afhandelen van schadeclaims en boetes.) Herstel
Incidentmanagement Response Processtappen Stel incident vast. Incident vastgesteld: Waarschuw betreffende instanties. Identificatie Wijs ‘Incident Response-teamleider’ aan en stel ‘Incident Response Team’ samen. Beperk verdere schade. Beoordeel aard en omvang en stel de schade vast. Stel bewijsmateriaal veilig. Schade beperken en incident beoordelen Neem maatregelen om de oorzaak te blokkeren of te verwijderen Voorkom verdere blootstelling van gevoelige gegevens Maak start om de bedrijfsprocessen te herstarten Zorg dat risico’s worden gemitigeerd. Remediatie en herstel Bepaal welke gegevens mogelijk zijn blootgesteld en stel getroffenen in kennis Informeer indien noodzakelijk andere overheidsinstanties, zoals IBD en/of politie. Is er een wettelijke verplicht een melding te doen naar andere instanties? Kennisgeving Incidentmanagement Response Beleid Een succesvolle Incidentmanagement en Responsebeleid reactie bestaat uit een aantal te doorlopen stappen die in samenhang het ‘Incidentmanagement Response proces’ genoemd worden. Deze stappen zijn voor iedere reactie gelijk, alleen in de details zitten de verschillen. De volgende informatie is bedoeld als een algemene checklist van de stappen die een gemeente zou kunnen nemen wanneer een incident wordt ontdekt. Er bestaan andere checklists en deze kunnen ook al in gebruik zijn. Deze checklist kan nuttig zijn voor iedereen, als een herziening van paraatheid of als een routekaart voor ontwikkeling. De eigenaar van het overall Incidentmanagement en Response - proces is de CISO. De lijnmanager heeft een nadrukkelijke rol bij het ontwikkelen van incident response reacties en bij de voorbereiding daarop. Schrijf alle gebeurtenissen en uitgevoerde activiteiten op voor latere evaluatie, woordvoering, bewijslast. Een incident response-actie bestaat uit de volgende stappen: identificatie schade indamming (Insluiting en beperking) remediatie en herstel kennisgeving rapportage en evaluatie >> STAP 1: Identificatie Controleer of een incident daadwerkelijk heeft plaatsgevonden, is er wel een inbreuk op de beveiliging?. Deze activiteit omvat normaliter de systeembeheerder en eindgebruiker, maar kan ook het gevolg zijn van proactieve detectie van incidenten door de ICT-beveiliging of het systeembeheer of doordat bij de controle van de logging iets naar boven komt. Indien wordt vastgesteld dat het inderdaad een incident is, dan moeten de betreffende instanties gewaarschuwd worden. >> STAP 2: Schade indamming en beoordeling van de blootstelling De manager van de afdeling waar een incident optreedt, wijst een incident response-teamleider aan en deze stelt een bij het incident passend incident response-team samen. De manager informeert de CISO en vraagt zo nodig hulp aan de CISO. Bij een datalek met persoonsgegevens wordt altijd de CISO geïnformeerd en ook de privacy functionaris (indien de gemeente deze heeft). Bij grote incidenten zal de manager van de bedrijfsvoering of de gemeentesecretaris een belangrijke rol spelen en zal de CISO in de meeste gevallen de teamleider worden. Dit team is belast met het beperken van verdere schade als gevolg van het incident. Start een grondige beoordeling van de aard en omvang van het incident, stel vast wat de schade is en stel bewijsmateriaal veilig. Bepaal of het datalek onder de meldplicht Wbp valt, en indien ja: Informeer de Autoriteit Persoonsgegevens met een voorwaarschuwing. >> STAP 3: Remediatie en herstel Neem maatregelen om de oorzaak van het incident te blokkeren of te verwijderen, verminder de impact door verdere blootstelling van de gevoelige gegevens te voorkomen, maak een start om de bedrijfsprocessen te herstarten als deze gestopt waren als gevolg van het incident en zorg ervoor dat risico’s die verband houden met dit incident worden gemitigeerd. >> STAP 4: Kennisgeving Bepaal welke gegevens mogelijk zijn blootgesteld door het incident en stel de getroffenen in kennis van het feit dat hun gegevens blootgesteld zijn. Als bij Stap 2 ontdekt is dat er een datalek is en dat er een melding gedaan moet worden aan de Autoriteit Persoonsgegevens (AP), dan is reeds toen een voormelding gedaan aan de AP. Op basis van het detailonderzoek kan nu de volledige melding voorbereid en gedaan worden. Als pas nu blijkt dat er een meldplicht is voor een datalek, dan moet nu de volledige melding gedaan worden. (als de fatale termijn van 72 uur overschreden is, dan moet dat worden gemotiveerd). Informeer indien noodzakelijk andere overheidsinstanties, zoals de IBD en/of de politie. Betrek voor deze melding eventueel een jurist van de gemeente (zie: meldingen). Snelheid is ook belangrijk vanuit een PR-oogpunt. Afhankelijk van de aard van het incident kunnen sommige stappen parallel uitgevoerd worden. Let op, het is ook raadzaam om bij de woordvoering over een incident een jurist te betrekken, de aard en inhoud van de communicatie kan gevolgen hebben voor gemeentelijke aansprakelijkheid. >> STAP 5: Rapportage en evaluatie Identificeer lessen uit het incident en bespreek deze met het team, rapporteer over het incident, de genomen maatregelen en het algemeen verslag, rapporteer indien nodig intern en extern, pas het gevolgde draaiboek aan. Bovenstaande stappen zijn in detail beschreven in de Incidentmanagement en Responsebeleid- stappenplan en -sjabloon. Hoe te gebruiken Afhankelijk van de aard van het incident en de grootte van het Response Team, kan het raadzaam en praktisch zijn om een aantal van de checklist stappen en sub-stappen parallel aan te pakken. Bijvoorbeeld: zodra de oorzaak van een incident wordt bepaald (stap 2.6), remediatie van de oorzaak en het herstel van de functie (stap 3) kan worden gestart, terwijl documentatie activiteiten van stap 2.7 worden aangepakt. De mogelijkheden voor multitasking-incident-stappen en sub-stappen wordt behandeld in deze workflow. Het is verstandig om de paraatheid van de gemeente op het gebied van ‘veiligheid incident response’ periodiek te oefenen op een manier vergelijkbaar met een noodsituatie planning. Geleerde lessen moeten zo nodig in de checklist, respons procedures, en / of de toewijzing van hulpmiddelen worden opgenomen. De checklist bevat acties die nodig zijn om de meest ernstige veiligheidsincidenten aan te pakken, dat wil zeggen: de blootstelling van persoonlijk identificeerbare informatie beschermd door wetten, standaarden en / of contracten met partijen van buiten de gemeente. Het kan ook effectief worden gebruikt om andere veiligheidsincidenten aan te pakken, bijvoorbeeld: het beschadigen van openbare websites, ongeoorloofde toegang tot vertrouwelijke, maar niet wettelijk beschermde gegevens, of het verlies van vertrouwelijke papieren dossiers. Gezien de trend naar meer gebruik van derden, met inbegrip van Cloud computing-leveranciers voor het leveren van diensten die gebruik maken van: verzamelen, opslaan en/of verwerken van gemeentelijke gegevens, dienen de gemeenten rekening te houden met de gedeelde verantwoordelijkheid voor het incident-response. Deze zijn vaak noodzakelijk door dergelijke overeenkomsten. Deze checklist biedt stappen die moeten gebeuren, ongeacht de locatie van een mogelijke inbreuk op de gegevensbeveiliging. Wie de verantwoordelijkheid moet nemen voor elk van deze stappen als een derde partij betrokken is, zal variëren afhankelijk van de aard van de externe dienst, evenals de beveiligings- gerelateerde termen van het contract tussen de gemeente en die partij. Zie: Bijlage: Incidentmanagement en response stappenplan en sjabloon Identificeer lessen en bespreek deze met het team Rapporteer over het incident en genomen maatregelen. Rapporteer indien nodig intern en extern Pas het draaiboek aan. Rapportage en evaluatie Bepaal of het datalek onder de meldplicht Wbp valt, en indien ja: Informeer de Autoriteit Persoonsgegevens met een voorwaarschuwing.. Meldplicht Datalekken! Als blijkt dat er een meldplicht is voor een datalek, dan moet nu de volledige melding gedaan worden. (als de fatale termijn van 72 uur overschreden is, dan moet dat worden gemotiveerd).
Tips om je als gemeente te wapenen tegen datalekken (1/2) Benoem een verantwoordelijk gegevenseigenaar Inventariseer de gegevenseigenaren. Als voor bepaalde gegevens nog geen eigenaar bekend is dient hiervoor een verantwoordelijke eigenaar benoemd te worden. Een van de verantwoordelijkheden is het selecteren van maatregelen om de gegevens te beschermen. Voer de baselinetoets BIG uit / Voer dataclassificatie uit En vervolg deze met een risicoanalyse en een Privacy Impact Assessment (PIA) en implementeer de maatregelen. Benoem een verantwoordelijk functionaris gegevensbescherming Stel een Chief Information Security Officer (CISO) en/of een functionaris gegevensbescherming aan en leg hun verantwoordelijkheden vast. Maak ook afspraken over hun rol in geval van een datalek. Maak medewerkers bewust van de risico’s Zorg voor bewustwording bij medewerkers. Ook zij dienen te weten wat datalekken zijn, hoe de incidentprocedures werken en wat de gevolgen kunnen zijn van een datalek voor de gemeente. Pas bestaande bewerkersovereenkomst indien noodzakelijk aan Controleer of de huidige bewerkersovereenkomst zijn voorzien van artikelen in verband met de Meldplicht datalekken. Bron: http://www.egem.nl/2015/09/6-tips-om-je-als-gemeente-te-wapenen-tegen-datalekken/ Bron: http://zbc.nu/security/privacy-officer-in-de-praktijk/meldplicht-datalekken-privacy-en-reputatieschade/
Tips om je als gemeente te wapenen tegen datalekken (2/2) Maak beleid rondom incidenten Richt een incidentmanagementproces in om ervoor te zorgen dat bij incidenten tijdig en doeltreffend kan worden gehandeld. Dit zorgt ervoor dat datalekken ook daadwerkelijk opgemerkt worden. Maak beleid rondom datalekken Neem hierin criteria op voor het beoordelen van datalekken. Leg alles goed vast Documenteer alles zorgvuldig, zodat u kunt aantonen dat u werkt in overeenstemming met de geldende wet- en regelgeving. Stel een crisiscommunicatieplan op Een crisiscommunicatieplan op te stellen voor dit soort incidenten, zeker als u de zaak niet op orde heeft of als reputatieschade voor u zeer ernstige gevolgen kan hebben. Neem hierin ook mee hoe u betrokkenen gaat informeren bij een datalek en hoe u omgaat met signalen uit de buitenwereld over mogelijke datalekken. Gebruik encryptie Maak gebruik van encryptie van persoonsgegevens om te voorkomen dat bij een datalek de gegevens kunnen worden gelezen door een derde. Bron: http://www.egem.nl/2015/09/6-tips-om-je-als-gemeente-te-wapenen-tegen-datalekken/ Bron: http://zbc.nu/security/privacy-officer-in-de-praktijk/meldplicht-datalekken-privacy-en-reputatieschade/
IBD Producten
Vragen
Contactinformatie info@IBDgemeenten.nl Bezoek ook www.ibdgemeenten.nl
Bron plaatje (boven): http://www. internistendagen-app
Wel / geen datalek? Een database met persoonsgegevens is vernietigd als gevolg van een menselijke fout van een systeembeheerder. Van de database is een complete, actuele back-up beschikbaar, op basis waarvan de database direct weer wordt opgebouwd. X Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp 3.2 Verlies houdt in dat u de persoonsgegevens niet meer heeft. Bij het beveiligingsincident zijn de persoonsgegevens vernietigd of op een andere manier verloren gegaan, en u beschikt niet over een complete en actuele reservekopie van de gegevens. In deze situatie is er sprake van een datalek. >>>>>>>>>>> Voorbeeld wel / geen datalek (verlies van persoonsgegevens) Een database met persoonsgegevens is vernietigd als gevolg van een menselijke fout van een systeembeheerder. Van de database is een complete, actuele back-up beschikbaar, op basis waarvan de database direct weer wordt opgebouwd. In deze situatie is er geen sprake van een datalek. De aard van het beveiligingsincident is niet relevant voor de vraag of er al dan niet sprake is van een datalek. Anders dan de memorie van toelichting bij de wetswijziging suggereert,13 is er ook sprake van een datalek als de persoonsgegevens verloren zijn gegaan als gevolg van een calamiteit en er geen actuele reservekopie beschikbaar is. Bron plaatje: Aangezien u over een complete en actuele reservekopie van de gegevens beschikt, is er geen sprake van een datalek.
Wel / geen datalek? Een werknemer geeft aan een derde de gebruikersnaam en het wachtwoord die toegang geven tot alle klantgegevens van alle klanten van het bedrijf waar hij werkt. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de derde geen toegang meer heeft. Daarna onderzoekt het bedrijf of de derde daadwerkelijk toegang heeft gezocht tot de klantgegevens. Bij dit onderzoek maakt het bedrijf gebruik van logbestanden, waarin per gebruikersnaam is vastgelegd welke acties er op welk tijdstip zijn uitgevoerd met welke klantgegevens. X Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp 3.3 Onder onrechtmatige vormen van verwerking vallen de aantasting van de persoonsgegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan. Als u redelijkerwijs niet kunt uitsluiten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid, dan moet u de inbreuk beschouwen als een datalek. >>>>>>>>>> Voorbeeld wel / geen datalek (onrechtmatige verwerking van persoonsgegevens) Een werknemer geeft aan een derde de gebruikersnaam en het wachtwoord die toegang geven tot alle klantgegevens van alle klanten van het bedrijf waar hij werkt. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de derde geen toegang meer heeft. Daarna onderzoekt het bedrijf of de derde daadwerkelijk toegang heeft gezocht tot de klantgegevens. Bij dit onderzoek maakt het bedrijf gebruik van logbestanden, waarin per gebruikersnaam is vastgelegd welke acties er op welk tijdstip zijn uitgevoerd met welke klantgegevens. Als op basis van de logbestanden redelijkerwijs kan worden uitgesloten dat er door middel van het betreffende account toegang is verkregen tot de klantgegevens, dan is er uitsluitend sprake van een beveiligingslek en niet van een datalek. Bij een malware-besmetting moet u ervan uitgaan dat er sprake kan zijn van een datalek. Bepaalde typen malware doorzoeken de besmette apparatuur op waardevolle persoonsgegevens zoals e-mailadressen, gebruikersnamen en wachtwoorden en creditcardgegevens, om de gevonden gegevens vervolgens weg te sluizen naar een server die in handen is van de aanvaller. Een dergelijke malware-besmetting stelt de getroffen persoonsgegevens dus bloot aan onbevoegde kennisname en andere vormen van onrechtmatige verwerking. Andere typen malware maken bestanden ontoegankelijk voor de rechtmatige eigenaar door ze te blokkeren ('ransomware') of te versleutelen ('cryptoware'). Door deze vormen van malware worden de getroffen persoonsgegevens dus blootgesteld aan onbevoegde aantasting of wijziging. Als op basis van de logbestanden redelijkerwijs kan worden uitgesloten dat er door middel van het betreffende account toegang is verkregen tot de klantgegevens, dan is er uitsluitend sprake van een beveiligingslek en niet van een datalek.
Meldplicht datalekken wel of niet van toepassing? Een organisatie die in Frankrijk is gevestigd en die geen vestiging in Nederland heeft, laat persoonsgegevens bewerken door een bedrijf in Nederland. X Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp 1.3 De meldplicht datalekken uit de Wbp is uitsluitend van toepassing op verwerkingen waarop de Wbp van toepassing is. Voor de vraag of de Wbp van toepassing is op een verwerking van persoonsgegevens, zijn twee elementen van belang. Ten eerste moet u kijken naar de aard en de doelstelling van de verwerking. Bepaalde verwerkingen vallen door hun aard of hun doelstelling buiten de reikwijdte van de Wbp en op deze verwerkingen is de meldplicht datalekken niet van toepassing. Ten tweede is het van belang waar de activiteiten plaatsvinden waarvoor de persoonsgegevens worden verwerkt, en waar de al dan niet geautomatiseerde middelen zich bevinden die bij de verwerking worden gebruikt. Mogelijk is de privacywetgeving van een ander Europees land van toepassing op de verwerking of valt de verwerking niet onder de Europese privacywetgeving. Ook in deze situaties is de meldplicht datalekken uit de Wbp niet van toepassing. De twee schema's in het vervolg van deze paragraaf lichten het bovenstaande nader toe. In beide schema's vindt u per onderdeel een verwijzing naar het relevante artikel uit de Wbp. Meer informatie over deze artikelen treft u aan in de Wbp-naslag op de website van de Autoriteit Persoonsgegevens. Het onderstaande schema geeft een leidraad voor het eerste element: de beoordeling op basis van de aard en de doelstelling van de verwerking. Voor verwerkingen die niet onder de hierboven weergegeven uitzonderingen vallen, is verder van belang waar de activiteiten plaatsvinden waarvoor de persoonsgegevens worden verwerkt, en waar de al dan niet geautomatiseerde middelen zich bevinden die bij de verwerking worden gebruikt. Het onderstaande schema licht dit nader toe. >>>>>>>>>>>> Voorbeeld meldplicht datalekken niet van toepassing op verwerking in Nederland Een organisatie die in Frankrijk is gevestigd en die geen vestiging in Nederland heeft, laat persoonsgegevens bewerken door een bedrijf in Nederland. Aangezien de verantwoordelijke voor de verwerking in een ander Europees land is gevestigd, is de Wbp niet van toepassing op de verwerking en hoeft een eventueel datalek niet te worden gemeld aan de Autoriteit Persoonsgegevens. >>>>>>>>>> Bron plaatje: Aangezien de verantwoordelijke voor de verwerking in een ander Europees land is gevestigd, is de Wbp niet van toepassing op de verwerking.
Meldplicht datalekken wel of niet van toepassing? Een organisatie die in Nederland is gevestigd, laat persoonsgegevens bewerken door een bedrijf in Frankrijk. De persoonsgegevens bevinden zich op een server in Frankrijk. Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp 2.4 De vestigingsplaats van de bewerker is voor de meldplicht datalekken niet relevant. Ook datalekken die plaatsvinden bij een buitenlandse bewerker (die gevestigd is in een andere EU-lidstaat of in een land buiten de EU) moeten worden gemeld aan de Autoriteit Persoonsgegevens. Hiervoor geldt datgene dat in de voorafgaande paragrafen is aangegeven. >>>>>>>>>>> Voorbeeld meldplicht datalekken van toepassing op verwerking in het buitenland Een organisatie die in Nederland is gevestigd, laat persoonsgegevens bewerken door een bedrijf in Frankrijk. De persoonsgegevens bevinden zich op een server in Frankrijk. Als onbevoegden zich toegang verschaffen tot deze gegevens, dan valt dit onder de meldplicht datalekken onder de Wbp en dan moet dit door de Nederlandse verantwoordelijke worden gemeld aan de Autoriteit Persoonsgegevens. >>>>>>>>>> Overigens schrijft het vierde lid van artikel 14 van de Wbp voor dat u, wanneer de bewerker gevestigd is in een andere lidstaat van de EU, er zorg voor moet dragen dat de bewerker het recht van die lidstaat nakomt. Het 'recht van die lidstaat' heeft betrekking op de lokale verplichtingen op het gebied van informatiebeveiliging. Dit betekent dat u in de bewerkersovereenkomst de naleving moet waarborgen van de beveiligingsmaatregelen zoals die zijn gedefinieerd door de wetgeving van de lidstaat waarin de verwerker is gevestigd. Bron plaatje: Als onbevoegden zich toegang verschaffen tot deze gegevens, dan valt dit onder de meldplicht datalekken onder de Wbp en dan moet dit door de Nederlandse verantwoordelijke worden gemeld aan de Autoriteit Persoonsgegevens.
Wel of niet melden bij Autoriteit Persoonsgegevens? Intern wordt binnen een Gemeentelijke Gezondheidsdienst (GGD) gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens van burgers zijn ingezien door onbevoegden. Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp Voorbeelden op de slide aangepast voor gemeente! 4.2 Er is sprake van een geclausuleerde meldplicht voor datalekken. Dat wil zeggen dat u een inbreuk alleen hoeft te melden als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het is aan u om te bepalen of een datalek dat u binnen uw organisatie heeft ontdekt binnen de reikwijdte van de meldplicht datalekken aan de Autoriteit Persoonsgegevens valt. Doel van de rest van deze paragraaf is om deze afweging te ondersteunen. Iedere vraag uit het bovenstaande schema correspondeert met een van de onderstaande paragrafen. Voorafgaand daaraan, treft u onderstaand nog een aantal voorbeelden aan. >>>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (1) Intern wordt binnen een ziekenhuis gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens zijn ingezien door onbevoegden; Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien; Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; Een bedrijf krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een overheidsdatabase met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. >>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (2) Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Bij een levensverzekeraar zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met medische gegevens worden ingezien. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen. Een envelop met creditcardbetalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden. Een internetprovider biedt de gebruikers de mogelijkheid om details van hun account te zien, zoals onder andere historische zoekgegevens en vaak bezochte websites. Door een fout in de website had eenieder via een simpele truc de mogelijkheid om de accounts van andere gebruikers vrijelijk in te zien. Zonder een sluitende logging is hier niet vast te stellen of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd. >>>>>>>>>> Alle bovengenoemde voorbeelden zijn ontleend aan de parlementaire geschiedenis. De laatstgenoemde voorbeelden zijn oorspronkelijk afkomstig uit Advies 03/2014 van de Artikel 29-Werkgroep. In een aantal van deze voorbeelden worden grote aantallen betrokkenen genoemd. Echter: de meldplicht kan ook van toepassing zijn op een datalek dat slechts betrekking heeft op de gegevens van één persoon. Voorbeelden van gebeurtenissen die niet onder de meldplicht vallen Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden. Iemand laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor verenging en leden, maar zal niet snel aanleiding geven tot een melding bij het CBP. Dit kan overigens anders liggen als de sportvereniging zich bijvoorbeeld richt op personen met een specifieke levensovertuiging of seksuele geaardheid, of als er fraudegevoelige gegevens gelekt zijn. Als ziekenhuispersoneel gebruik maakt van het wachtwoord van een arts om toegang te krijgen tot medische persoonsgegevens, dan is er niet zo zeer sprake van een datalek, als van schending van interne voorschriften. In eerste instantie liggen dan disciplinaire maatregelen voor de hand. >>>>>>>>>>> Bron plaatje:
Wel of niet melden bij Autoriteit Persoonsgegevens? Een journalistiek programma confronteert een gemeente met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van medewerkers op de server van de gemeente door onbevoegden zijn ingezien. Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp Voorbeelden op de slide aangepast voor gemeente! 4.2 Er is sprake van een geclausuleerde meldplicht voor datalekken. Dat wil zeggen dat u een inbreuk alleen hoeft te melden als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het is aan u om te bepalen of een datalek dat u binnen uw organisatie heeft ontdekt binnen de reikwijdte van de meldplicht datalekken aan de Autoriteit Persoonsgegevens valt. Doel van de rest van deze paragraaf is om deze afweging te ondersteunen. Iedere vraag uit het bovenstaande schema correspondeert met een van de onderstaande paragrafen. Voorafgaand daaraan, treft u onderstaand nog een aantal voorbeelden aan. >>>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (1) Intern wordt binnen een ziekenhuis gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens zijn ingezien door onbevoegden; Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien; Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; Een bedrijf krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een overheidsdatabase met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. >>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (2) Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Bij een levensverzekeraar zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met medische gegevens worden ingezien. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen. Een envelop met creditcardbetalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden. Een internetprovider biedt de gebruikers de mogelijkheid om details van hun account te zien, zoals onder andere historische zoekgegevens en vaak bezochte websites. Door een fout in de website had eenieder via een simpele truc de mogelijkheid om de accounts van andere gebruikers vrijelijk in te zien. Zonder een sluitende logging is hier niet vast te stellen of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd. >>>>>>>>>> Alle bovengenoemde voorbeelden zijn ontleend aan de parlementaire geschiedenis. De laatstgenoemde voorbeelden zijn oorspronkelijk afkomstig uit Advies 03/2014 van de Artikel 29-Werkgroep. In een aantal van deze voorbeelden worden grote aantallen betrokkenen genoemd. Echter: de meldplicht kan ook van toepassing zijn op een datalek dat slechts betrekking heeft op de gegevens van één persoon. Voorbeelden van gebeurtenissen die niet onder de meldplicht vallen Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden. Iemand laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor verenging en leden, maar zal niet snel aanleiding geven tot een melding bij het CBP. Dit kan overigens anders liggen als de sportvereniging zich bijvoorbeeld richt op personen met een specifieke levensovertuiging of seksuele geaardheid, of als er fraudegevoelige gegevens gelekt zijn. Als ziekenhuispersoneel gebruik maakt van het wachtwoord van een arts om toegang te krijgen tot medische persoonsgegevens, dan is er niet zo zeer sprake van een datalek, als van schending van interne voorschriften. In eerste instantie liggen dan disciplinaire maatregelen voor de hand. >>>>>>>>>>> Bron plaatje:
Wel of niet melden bij Autoriteit Persoonsgegevens? Een medewerker verliest een laptop met onversleutelde, financiële gegevens van burgers. Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp Voorbeelden op de slide aangepast voor gemeente! 4.2 Er is sprake van een geclausuleerde meldplicht voor datalekken. Dat wil zeggen dat u een inbreuk alleen hoeft te melden als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het is aan u om te bepalen of een datalek dat u binnen uw organisatie heeft ontdekt binnen de reikwijdte van de meldplicht datalekken aan de Autoriteit Persoonsgegevens valt. Doel van de rest van deze paragraaf is om deze afweging te ondersteunen. Iedere vraag uit het bovenstaande schema correspondeert met een van de onderstaande paragrafen. Voorafgaand daaraan, treft u onderstaand nog een aantal voorbeelden aan. >>>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (1) Intern wordt binnen een ziekenhuis gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens zijn ingezien door onbevoegden; Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien; Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; Een bedrijf krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een overheidsdatabase met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. >>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (2) Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Bij een levensverzekeraar zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met medische gegevens worden ingezien. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen. Een envelop met creditcardbetalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden. Een internetprovider biedt de gebruikers de mogelijkheid om details van hun account te zien, zoals onder andere historische zoekgegevens en vaak bezochte websites. Door een fout in de website had eenieder via een simpele truc de mogelijkheid om de accounts van andere gebruikers vrijelijk in te zien. Zonder een sluitende logging is hier niet vast te stellen of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd. >>>>>>>>>> Alle bovengenoemde voorbeelden zijn ontleend aan de parlementaire geschiedenis. De laatstgenoemde voorbeelden zijn oorspronkelijk afkomstig uit Advies 03/2014 van de Artikel 29-Werkgroep. In een aantal van deze voorbeelden worden grote aantallen betrokkenen genoemd. Echter: de meldplicht kan ook van toepassing zijn op een datalek dat slechts betrekking heeft op de gegevens van één persoon. Voorbeelden van gebeurtenissen die niet onder de meldplicht vallen Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden. Iemand laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor verenging en leden, maar zal niet snel aanleiding geven tot een melding bij het CBP. Dit kan overigens anders liggen als de sportvereniging zich bijvoorbeeld richt op personen met een specifieke levensovertuiging of seksuele geaardheid, of als er fraudegevoelige gegevens gelekt zijn. Als ziekenhuispersoneel gebruik maakt van het wachtwoord van een arts om toegang te krijgen tot medische persoonsgegevens, dan is er niet zo zeer sprake van een datalek, als van schending van interne voorschriften. In eerste instantie liggen dan disciplinaire maatregelen voor de hand. >>>>>>>>>>> Bron plaatje:
Wel of niet melden bij Autoriteit Persoonsgegevens? Een gemeente krijgt te maken met een hack waarbij gegevens van burgers en wachtwoorden zijn ontvreemd. Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp Voorbeelden op de slide aangepast voor gemeente! 4.2 Er is sprake van een geclausuleerde meldplicht voor datalekken. Dat wil zeggen dat u een inbreuk alleen hoeft te melden als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het is aan u om te bepalen of een datalek dat u binnen uw organisatie heeft ontdekt binnen de reikwijdte van de meldplicht datalekken aan de Autoriteit Persoonsgegevens valt. Doel van de rest van deze paragraaf is om deze afweging te ondersteunen. Iedere vraag uit het bovenstaande schema correspondeert met een van de onderstaande paragrafen. Voorafgaand daaraan, treft u onderstaand nog een aantal voorbeelden aan. >>>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (1) Intern wordt binnen een ziekenhuis gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens zijn ingezien door onbevoegden; Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien; Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; Een bedrijf krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een overheidsdatabase met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. >>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (2) Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Bij een levensverzekeraar zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met medische gegevens worden ingezien. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen. Een envelop met creditcardbetalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden. Een internetprovider biedt de gebruikers de mogelijkheid om details van hun account te zien, zoals onder andere historische zoekgegevens en vaak bezochte websites. Door een fout in de website had eenieder via een simpele truc de mogelijkheid om de accounts van andere gebruikers vrijelijk in te zien. Zonder een sluitende logging is hier niet vast te stellen of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd. >>>>>>>>>> Alle bovengenoemde voorbeelden zijn ontleend aan de parlementaire geschiedenis. De laatstgenoemde voorbeelden zijn oorspronkelijk afkomstig uit Advies 03/2014 van de Artikel 29-Werkgroep. In een aantal van deze voorbeelden worden grote aantallen betrokkenen genoemd. Echter: de meldplicht kan ook van toepassing zijn op een datalek dat slechts betrekking heeft op de gegevens van één persoon. Voorbeelden van gebeurtenissen die niet onder de meldplicht vallen Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden. Iemand laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor verenging en leden, maar zal niet snel aanleiding geven tot een melding bij het CBP. Dit kan overigens anders liggen als de sportvereniging zich bijvoorbeeld richt op personen met een specifieke levensovertuiging of seksuele geaardheid, of als er fraudegevoelige gegevens gelekt zijn. Als ziekenhuispersoneel gebruik maakt van het wachtwoord van een arts om toegang te krijgen tot medische persoonsgegevens, dan is er niet zo zeer sprake van een datalek, als van schending van interne voorschriften. In eerste instantie liggen dan disciplinaire maatregelen voor de hand. >>>>>>>>>>> Bron plaatje:
Wel of niet melden bij Autoriteit Persoonsgegevens? Een database van de gemeente met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp Voorbeelden op de slide aangepast voor gemeente! 4.2 Er is sprake van een geclausuleerde meldplicht voor datalekken. Dat wil zeggen dat u een inbreuk alleen hoeft te melden als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het is aan u om te bepalen of een datalek dat u binnen uw organisatie heeft ontdekt binnen de reikwijdte van de meldplicht datalekken aan de Autoriteit Persoonsgegevens valt. Doel van de rest van deze paragraaf is om deze afweging te ondersteunen. Iedere vraag uit het bovenstaande schema correspondeert met een van de onderstaande paragrafen. Voorafgaand daaraan, treft u onderstaand nog een aantal voorbeelden aan. >>>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (1) Intern wordt binnen een ziekenhuis gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens zijn ingezien door onbevoegden; Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien; Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; Een bedrijf krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een overheidsdatabase met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. >>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (2) Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Bij een levensverzekeraar zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met medische gegevens worden ingezien. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen. Een envelop met creditcardbetalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden. Een internetprovider biedt de gebruikers de mogelijkheid om details van hun account te zien, zoals onder andere historische zoekgegevens en vaak bezochte websites. Door een fout in de website had eenieder via een simpele truc de mogelijkheid om de accounts van andere gebruikers vrijelijk in te zien. Zonder een sluitende logging is hier niet vast te stellen of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd. >>>>>>>>>> Alle bovengenoemde voorbeelden zijn ontleend aan de parlementaire geschiedenis. De laatstgenoemde voorbeelden zijn oorspronkelijk afkomstig uit Advies 03/2014 van de Artikel 29-Werkgroep. In een aantal van deze voorbeelden worden grote aantallen betrokkenen genoemd. Echter: de meldplicht kan ook van toepassing zijn op een datalek dat slechts betrekking heeft op de gegevens van één persoon. Voorbeelden van gebeurtenissen die niet onder de meldplicht vallen Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden. Iemand laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor verenging en leden, maar zal niet snel aanleiding geven tot een melding bij het CBP. Dit kan overigens anders liggen als de sportvereniging zich bijvoorbeeld richt op personen met een specifieke levensovertuiging of seksuele geaardheid, of als er fraudegevoelige gegevens gelekt zijn. Als ziekenhuispersoneel gebruik maakt van het wachtwoord van een arts om toegang te krijgen tot medische persoonsgegevens, dan is er niet zo zeer sprake van een datalek, als van schending van interne voorschriften. In eerste instantie liggen dan disciplinaire maatregelen voor de hand. >>>>>>>>>>> Bron plaatje:
Wel of niet melden bij Autoriteit Persoonsgegevens? Vier laptops zijn gestolen bij een sociaal wijkteam. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kwetsbare burgers. Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp Voorbeelden op de slide aangepast voor gemeente! 4.2 Er is sprake van een geclausuleerde meldplicht voor datalekken. Dat wil zeggen dat u een inbreuk alleen hoeft te melden als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het is aan u om te bepalen of een datalek dat u binnen uw organisatie heeft ontdekt binnen de reikwijdte van de meldplicht datalekken aan de Autoriteit Persoonsgegevens valt. Doel van de rest van deze paragraaf is om deze afweging te ondersteunen. Iedere vraag uit het bovenstaande schema correspondeert met een van de onderstaande paragrafen. Voorafgaand daaraan, treft u onderstaand nog een aantal voorbeelden aan. >>>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (1) Intern wordt binnen een ziekenhuis gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens zijn ingezien door onbevoegden; Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien; Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; Een bedrijf krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een overheidsdatabase met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. >>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (2) Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Bij een levensverzekeraar zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met medische gegevens worden ingezien. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen. Een envelop met creditcardbetalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden. Een internetprovider biedt de gebruikers de mogelijkheid om details van hun account te zien, zoals onder andere historische zoekgegevens en vaak bezochte websites. Door een fout in de website had eenieder via een simpele truc de mogelijkheid om de accounts van andere gebruikers vrijelijk in te zien. Zonder een sluitende logging is hier niet vast te stellen of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd. >>>>>>>>>> Alle bovengenoemde voorbeelden zijn ontleend aan de parlementaire geschiedenis. De laatstgenoemde voorbeelden zijn oorspronkelijk afkomstig uit Advies 03/2014 van de Artikel 29-Werkgroep. In een aantal van deze voorbeelden worden grote aantallen betrokkenen genoemd. Echter: de meldplicht kan ook van toepassing zijn op een datalek dat slechts betrekking heeft op de gegevens van één persoon. Voorbeelden van gebeurtenissen die niet onder de meldplicht vallen Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden. Iemand laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor verenging en leden, maar zal niet snel aanleiding geven tot een melding bij het CBP. Dit kan overigens anders liggen als de sportvereniging zich bijvoorbeeld richt op personen met een specifieke levensovertuiging of seksuele geaardheid, of als er fraudegevoelige gegevens gelekt zijn. Als ziekenhuispersoneel gebruik maakt van het wachtwoord van een arts om toegang te krijgen tot medische persoonsgegevens, dan is er niet zo zeer sprake van een datalek, als van schending van interne voorschriften. In eerste instantie liggen dan disciplinaire maatregelen voor de hand. >>>>>>>>>>> Bron plaatje:
Wel of niet melden bij Autoriteit Persoonsgegevens? Bij een zorgaanbieder zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met gevoelige gegevens worden ingezien. Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp Voorbeelden op de slide aangepast voor gemeente! 4.2 Er is sprake van een geclausuleerde meldplicht voor datalekken. Dat wil zeggen dat u een inbreuk alleen hoeft te melden als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het is aan u om te bepalen of een datalek dat u binnen uw organisatie heeft ontdekt binnen de reikwijdte van de meldplicht datalekken aan de Autoriteit Persoonsgegevens valt. Doel van de rest van deze paragraaf is om deze afweging te ondersteunen. Iedere vraag uit het bovenstaande schema correspondeert met een van de onderstaande paragrafen. Voorafgaand daaraan, treft u onderstaand nog een aantal voorbeelden aan. >>>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (1) Intern wordt binnen een ziekenhuis gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens zijn ingezien door onbevoegden; Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien; Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; Een bedrijf krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een overheidsdatabase met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. >>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (2) Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Bij een levensverzekeraar zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met medische gegevens worden ingezien. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen. Een envelop met creditcardbetalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden. Een internetprovider biedt de gebruikers de mogelijkheid om details van hun account te zien, zoals onder andere historische zoekgegevens en vaak bezochte websites. Door een fout in de website had eenieder via een simpele truc de mogelijkheid om de accounts van andere gebruikers vrijelijk in te zien. Zonder een sluitende logging is hier niet vast te stellen of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd. >>>>>>>>>> Alle bovengenoemde voorbeelden zijn ontleend aan de parlementaire geschiedenis. De laatstgenoemde voorbeelden zijn oorspronkelijk afkomstig uit Advies 03/2014 van de Artikel 29-Werkgroep. In een aantal van deze voorbeelden worden grote aantallen betrokkenen genoemd. Echter: de meldplicht kan ook van toepassing zijn op een datalek dat slechts betrekking heeft op de gegevens van één persoon. Voorbeelden van gebeurtenissen die niet onder de meldplicht vallen Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden. Iemand laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor verenging en leden, maar zal niet snel aanleiding geven tot een melding bij het CBP. Dit kan overigens anders liggen als de sportvereniging zich bijvoorbeeld richt op personen met een specifieke levensovertuiging of seksuele geaardheid, of als er fraudegevoelige gegevens gelekt zijn. Als ziekenhuispersoneel gebruik maakt van het wachtwoord van een arts om toegang te krijgen tot medische persoonsgegevens, dan is er niet zo zeer sprake van een datalek, als van schending van interne voorschriften. In eerste instantie liggen dan disciplinaire maatregelen voor de hand. >>>>>>>>>>> Bron plaatje:
Wel of niet melden bij Autoriteit Persoonsgegevens? Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden. X Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp Voorbeelden op de slide aangepast voor gemeente! 4.2 Er is sprake van een geclausuleerde meldplicht voor datalekken. Dat wil zeggen dat u een inbreuk alleen hoeft te melden als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het is aan u om te bepalen of een datalek dat u binnen uw organisatie heeft ontdekt binnen de reikwijdte van de meldplicht datalekken aan de Autoriteit Persoonsgegevens valt. Doel van de rest van deze paragraaf is om deze afweging te ondersteunen. Iedere vraag uit het bovenstaande schema correspondeert met een van de onderstaande paragrafen. Voorafgaand daaraan, treft u onderstaand nog een aantal voorbeelden aan. >>>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (1) Intern wordt binnen een ziekenhuis gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens zijn ingezien door onbevoegden; Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien; Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; Een bedrijf krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een overheidsdatabase met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. >>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (2) Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Bij een levensverzekeraar zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met medische gegevens worden ingezien. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen. Een envelop met creditcardbetalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden. Een internetprovider biedt de gebruikers de mogelijkheid om details van hun account te zien, zoals onder andere historische zoekgegevens en vaak bezochte websites. Door een fout in de website had eenieder via een simpele truc de mogelijkheid om de accounts van andere gebruikers vrijelijk in te zien. Zonder een sluitende logging is hier niet vast te stellen of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd. >>>>>>>>>> Alle bovengenoemde voorbeelden zijn ontleend aan de parlementaire geschiedenis. De laatstgenoemde voorbeelden zijn oorspronkelijk afkomstig uit Advies 03/2014 van de Artikel 29-Werkgroep. In een aantal van deze voorbeelden worden grote aantallen betrokkenen genoemd. Echter: de meldplicht kan ook van toepassing zijn op een datalek dat slechts betrekking heeft op de gegevens van één persoon. Voorbeelden van gebeurtenissen die niet onder de meldplicht vallen Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden. Iemand laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor verenging en leden, maar zal niet snel aanleiding geven tot een melding bij het CBP. Dit kan overigens anders liggen als de sportvereniging zich bijvoorbeeld richt op personen met een specifieke levensovertuiging of seksuele geaardheid, of als er fraudegevoelige gegevens gelekt zijn. Als ziekenhuispersoneel gebruik maakt van het wachtwoord van een arts om toegang te krijgen tot medische persoonsgegevens, dan is er niet zo zeer sprake van een datalek, als van schending van interne voorschriften. In eerste instantie liggen dan disciplinaire maatregelen voor de hand. >>>>>>>>>>> Bron plaatje:
Wel of niet melden bij Autoriteit Persoonsgegevens? Een medewerker laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar. X Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp Voorbeelden op de slide aangepast voor gemeente! 4.2 Er is sprake van een geclausuleerde meldplicht voor datalekken. Dat wil zeggen dat u een inbreuk alleen hoeft te melden als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het is aan u om te bepalen of een datalek dat u binnen uw organisatie heeft ontdekt binnen de reikwijdte van de meldplicht datalekken aan de Autoriteit Persoonsgegevens valt. Doel van de rest van deze paragraaf is om deze afweging te ondersteunen. Iedere vraag uit het bovenstaande schema correspondeert met een van de onderstaande paragrafen. Voorafgaand daaraan, treft u onderstaand nog een aantal voorbeelden aan. >>>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (1) Intern wordt binnen een ziekenhuis gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens zijn ingezien door onbevoegden; Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien; Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; Een bedrijf krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een overheidsdatabase met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. >>>>>>>>>>>> Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens (2) Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Bij een levensverzekeraar zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met medische gegevens worden ingezien. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen. Een envelop met creditcardbetalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden. Een internetprovider biedt de gebruikers de mogelijkheid om details van hun account te zien, zoals onder andere historische zoekgegevens en vaak bezochte websites. Door een fout in de website had eenieder via een simpele truc de mogelijkheid om de accounts van andere gebruikers vrijelijk in te zien. Zonder een sluitende logging is hier niet vast te stellen of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd. >>>>>>>>>> Alle bovengenoemde voorbeelden zijn ontleend aan de parlementaire geschiedenis. De laatstgenoemde voorbeelden zijn oorspronkelijk afkomstig uit Advies 03/2014 van de Artikel 29-Werkgroep. In een aantal van deze voorbeelden worden grote aantallen betrokkenen genoemd. Echter: de meldplicht kan ook van toepassing zijn op een datalek dat slechts betrekking heeft op de gegevens van één persoon. Voorbeelden van gebeurtenissen die niet onder de meldplicht vallen Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden. Iemand laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor verenging en leden, maar zal niet snel aanleiding geven tot een melding bij het CBP. Dit kan overigens anders liggen als de sportvereniging zich bijvoorbeeld richt op personen met een specifieke levensovertuiging of seksuele geaardheid, of als er fraudegevoelige gegevens gelekt zijn. Als ziekenhuispersoneel gebruik maakt van het wachtwoord van een arts om toegang te krijgen tot medische persoonsgegevens, dan is er niet zo zeer sprake van een datalek, als van schending van interne voorschriften. In eerste instantie liggen dan disciplinaire maatregelen voor de hand. >>>>>>>>>>> Bron plaatje:
Kwetsbare groepen Een hacker weet op de website van een buurthuis door middel van SQL-injectie een bestand te bemachtigen met daarin de namen en e-mailadressen van een twintigtal abonnees op een elektronische nieuwsbrief. De nieuwsbrief richt zich op buurtbewoners van 65 jaar en ouder die bij het buurthuis een cursus volgen om vertrouwd te raken met het gebruik van computers en het internet. Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp 4.2.2 De memorie van toelichting geeft aan dat de aard en omvang van de getroffen verwerking mede bepalend zijn voor de beantwoording van de vraag of er bij een datalek sprake is van (een aanzienlijke kans op) nadelige gevolgen voor de bescherming van persoonsgegevens. Een datalek bij instellingen als de Belastingdienst, de Sociale Verzekeringsbank (SVB) of bij een commerciële bank of verzekeraar kan leiden tot financieel nadeel voor de betrokkene of tot de compromittering van gegevens die beschermd worden door een geheimhoudingsplicht. Beveiligingslekken in de omvangrijke verwerkingen van persoonsgegevens waarover de overheid beschikt kunnen ook zeer grote gevolgen hebben voor de betrokkenen. Afgezien van de gevoelige aard van de verwerkte gegevens, die in de voorgaande paragraaf al aan de orde kwam, is voor de kans op ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens verder het volgende relevant: De omvang van de hierboven beschreven verwerkingen betekent dat het bij datalekken kan gaan om veel persoonsgegevens per persoon, en om gegevens van grote groepen betrokkenen. Deze beide factoren maken een gelekte dataset aantrekkelijk voor misbruik in het criminele circuit. De kans dat de gelekte dataset wordt doorverkocht wordt daardoor ook groter, met als gevolg dat de betrokkenen langer last houden van het datalek. Naarmate de beslissingen die op basis van de verwerkte persoonsgegevens worden genomen ingrijpender zijn, is ook de impact van verlies of onrechtmatige verwerking groter. Bijvoorbeeld: als een organisatie financiële gegevens gebruikt om iemands kredietwaardigheid te bepalen zijn de gevolgen van verlies en onbevoegde wijziging van de gegevens ingrijpender dan bij gebruik van dezelfde gegevens voor marketingdoeleinden. Bij omvangrijke verwerkingen van de overheid is vaak sprake van persoonsgegevens die binnen ketens worden gedeeld. Dit betekent dat de gevolgen van verlies en onbevoegde wijziging van persoonsgegevens door de hele keten heen kunnen optreden. Voor de betrokkenen wordt het hierdoor moeilijker om de mogelijke gevolgen van een datalek te overzien en om zich daar waar mogelijk aan te onttrekken. Als de aard en omvang van de getroffen verwerking voldoen aan het bovenstaande, dan moet u ervan uitgaan dat er (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens aanwezig kan zijn. Behalve voor de aard en de omvang van de getroffen verwerking, wordt in de parlementaire geschiedenis ook aandacht gevraagd voor de positie van kwetsbare groepen. Voor betrokkenen in kwetsbare groepen kan verlies of onrechtmatige verwerking van persoonsgegevens extra risico's met zich meebrengen. De gevolgen van onbevoegde toegang tot NAW-gegevens zullen bijvoorbeeld voor de meeste mensen beperkt zijn, maar dit ligt anders voor mensen die te maken hebben met stalking of die in een blijf-van-mijn-lijfhuis verblijven. Voor bepaalde categorieën van betrokkenen, zoals kinderen en mensen met een verstandelijke handicap, kan het moeilijker zijn om adequaat om te gaan met de gevolgen van een datalek. Zo zullen zij mogelijk eerder ingaan op pogingen tot phishing of oplichting. Als u weet dat u gegevens verwerkt van mensen in kwetsbare groepen, bijvoorbeeld omdat de verwerking zich specifiek richt op betrokkenen die hiertoe behoren, dan moet u ervan uitgaan dat bij een datalek (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens aanwezig kan zijn. >>>>>>>>>>> Voorbeeld kwetsbare groepen Een hacker weet op de website van een buurthuis door middel van SQL-injectie, een veel voorkomende vorm van hacking, een bestand te bemachtigen met daarin de namen en e-mailadressen van een twintigtal abonnees op een elektronische nieuwsbrief. De nieuwsbrief richt zich op buurtbewoners van 65 jaar en ouder die bij het buurthuis een cursus volgen om vertrouwd te raken met het gebruik van computers en het internet. De aard van de doelgroep leidt hier tot extra risico's voor de betrokkenen. Gezien de onervarenheid van de betrokkenen met digitale communicatie bestaat er een aanzienlijk risico dat zij in zullen gaan op pogingen tot phishing of oplichting. Bij een datalek als gevolg van een (niet-ethische) hack (art. 138ab van het Wetboek van Strafrecht), is van belang wat de aard van de gelekte persoonsgegevens is, en wat de risico’s van misbruik van deze persoonsgegevens voor de betrokkene zijn. Bij een hack zal melding al snel gepast zijn gelet op de risico’s van misbruik van persoonsgegevens. Bij een hack ligt ook aangifte bij de politie in de rede in verband met opsporing van de daders. Bron plaatje (groep): https://rerubabs.nl/gedachtengoed/category/algemeen/ De aard van de doelgroep leidt hier tot extra risico's voor de betrokkenen. Gezien de onervarenheid van de betrokkenen met digitale communicatie bestaat er een aanzienlijk risico dat zij in zullen gaan op pogingen tot phishing of oplichting.
Wel of niet melden aan betrokkenen Een medewerker geeft aan een derde de gebruikersnaam en het wachtwoord dat toegang geeft tot alle gegevens van alle klanten van het bedrijf waar hij werkt. Het gaat onder meer om namen, adressen, e-mailadressen, telefoonnummers, toegangs- en andere identificatiegegevens (gebruikersnamen, gehashte wachtwoorden en klantnummers) en versleutelde betaalgegevens (waaronder rekeningnummers en creditcardgegevens). Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp 7.2.2 Versleuteling beschermt uitsluitend persoonsgegevens die daadwerkelijk versleuteld zijn op het moment dat er een inbreuk plaatsvindt. Een datalek waarbij (ook) niet versleutelde persoonsgegevens zijn gelekt, kan ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene en moet daarom mogelijk aan hem of haar worden gemeld. >>>>>>>>>>> Voorbeeld persoonsgegevens die niet waren versleuteld op het moment dat de inbreuk plaatsvond Op de harde schijf van een laptop staat een bestand met persoonsgegevens. Het bestand zelf is niet versleuteld. De laptop wordt automatisch vergrendeld als deze enige tijd niet wordt gebruikt, en bij de automatische vergrendeling wordt de inhoud van de harde schijf versleuteld. De laptop is in handen gekomen van een aanvaller die met technische middelen gebruik van het toetsenbord simuleert, en daardoor voorkomt dat de automatische vergrendeling in werking treedt en de gegevens op de harde schijf worden versleuteld. Voorbeeld waarin niet alle getroffen persoonsgegevens waren versleuteld, en de resterende persoonsgegevens niet waren versleuteld op het moment van de inbreuk Een werknemer geeft aan een derde de gebruikersnaam en het wachtwoord dat toegang geeft tot alle klantgegevens van alle klanten van het bedrijf waar hij werkt. Het gaat onder meer om namen, adressen, e-mailadressen, telefoonnummers, toegangs- en andere identificatiegegevens (gebruikersnamen, gehashte wachtwoorden en klantnummers) en versleutelde betaalgegevens (waaronder rekeningnummers en creditcardgegevens). Om twee redenen moet de verantwoordelijke dit datalek melden aan de betrokkene: slechts een deel van de persoonsgegevens is versleuteld (de wachtwoorden en de betaalgegevens); de betaalgegevens zijn weliswaar versleuteld opgeslagen, maar als de derde met de verstrekte gegevens inlogt krijgt hij via de gebruikersinterface toegang tot de onversleutelde gegevens. Bron plaatje: http://mouvement-democrate-cluny.over-blog.com/2014/03/initiative-vous-entendez-partout-ce-mot-initiative-l-individu-ideal-dans-la-societe-moderne-est-mesure-non-pas-a-sa-docilite-mais-a Om twee redenen moet de verantwoordelijke dit datalek melden aan de betrokkene: slechts een deel van de persoonsgegevens is versleuteld (de wachtwoorden en de betaalgegevens); de betaalgegevens zijn weliswaar versleuteld opgeslagen, maar als de derde met de verstrekte gegevens inlogt krijgt hij via de gebruikersinterface toegang tot de onversleutelde gegevens.