• No results found

LEIDRAAD MELDPLICHT DATALEKKEN

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "LEIDRAAD MELDPLICHT DATALEKKEN"

Copied!
5
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 5 pagina )

Hele tekst

(1)

Er wordt op dit moment veel gezegd en geschreven over de ‘Wet meldplicht datalekken en uitbreiding boetebevoegdheid’, kortweg

‘Meldplicht Datalekken’. Deze wet verplicht bedrijven, overheden en andere organisaties om een datalek waarbij persoonsgegevens betrokken zijn te melden bij de Autoriteit Persoonsgegevens (AP). Deze heet tot 1 januari 2016 het College Bescherming Persoonsgegevens.

Northwave helpt organisaties met een integrale pragmatische aanpak van Informatiebeveiliging. Vanuit die ervaring en expertise hebben we deze compacte leidraad geschreven.

Hiermee krijgt u snel in beeld wanneer u een melding moet doen, welke gegevens u daarvoor nodig heeft en wat u daarvoor moet organiseren. Zo kunt u zelf eenvoudig bepalen welke stappen er voor uw organisatie nodig zijn. En als u dat prettig vindt, dan helpen onze gedreven experts u daar graag bij.

MELDPLICHT

DATALEKKEN

LEIDRAAD

(2)

ZELF BESLISSEN

De verantwoordelijkheid voor de beslissing om wel of niet te melden ligt volledig bij u. Als achteraf blijkt dat u die beoordeling onjuist maakte en daardoor ten onrechte niet heeft gemeld, loopt u dus het risico te worden beboet door de AP.

Dit beslismodel helpt u bepalen wat u moet doen.

WANNEER MOET IK MELDEN?

U moet binnen 72 uur een melding maken aan de AP . Deze melding kan op de website van de

AP worden gemaakt.

De meldplicht is niet op u van toepassing.

Verwerkt u persoonsgegevens? NEE

U hoeft geen melding te maken.

Zijn er een groot aantal of gevoelige persoonsgegevens gelekt?

Bijvoorbeeld een dataset van meer dan 1000 personen met hun financiële gegevens.

NEE

Kan het datalek ongunstige gevolgen hebben voor de betrokkene(n)?

Is er bijvoorbeeld een risico voor identiteitsfraude.

U hoeft geen melding aan de betrokkene(n) te maken.

NEE

Zijn de gelekte persoonsgegevens versleuteld? NEE U moet ook een melding aan de betrokkene(n) maken.

Is de sleutel verloren gegaan bij het datalek? NEE U hoeft geen melding aan de betrokkene(n) te maken.

Voor de verwerking van deze gegevens geldt geen meldplicht aan de AP. Wel moet u de organisatie waarvoor u persoonsgegevens verwerkt op de hoogte

stellen van het datalek.

Verwerkt u persoonsgegevens voor een andere organisatie? JA JA

NEE

JA

JA

JA

(3)

CHECKLIST MELDING

U moet melding maken via een speciaal formulier op de website van de AP.

Daarin moet u een aantal gegevens aanleveren. Deze worden hieronder kort beschreven, zodat u weet welke informatie u moet verzamelen binnen de hiervoor gestelde tijd van 72 uur.

1. Aard van de melding

Wat meldt u precies? Geef eventueel aan of de melding relatie heeft tot een eerdere melding en wat deze relatie is.

2. Wettelijk kader

Geef aan op grond van welke wettelijke bepaling de melding wordt gedaan. In de meeste gevallen zal de melding op basis van de Wet bescherming persoonsgegevens gebeuren (WBP).

3. Algemene informatie

Hier vult u de contactgegevens in van uw organisatie en de persoon die het datalek meldt. Dit wordt vaak gedaan door een Privacy Officer.

4. Gegevens over het datalek

Geef aan om wat voor persoonsgegevens het gaat, wat er mee is gebeurd en wanneer.

Beschrijf de groep mensen die getroffen is, om hoeveel mensen het gaat en welke mogelijke gevolgen er zijn voor de betrokkene(n).

5. Vervolgacties naar aanleiding van het datalek

Beschrijf welke technische- en organisatorische maatregelen zijn genomen om de inbreuk aan te pakken en verdere inbreuken te voorkomen.

6. Inlichten van de betrokkenen

Geef aan wanneer het datalek is gemeld aan de betrokkene(n), op welke manier en welke informatie is verstrekt. Als de betrokkene(n) niet is geïnformeerd, beschrijf dan waarom u afziet van een melding.

7. Technische beschermingsmaatregelen

Geef aan of de persoonsgegevens zijn versleuteld en op welke manier.

8. Internationale aspecten

Beschrijf of de inbreuk betrekking heeft op personen in andere EU-landen en of u het datalek heeft gemeld bij andere Europese toezichthouders.

9. Vervolgmelding

Geef aan of de melding compleet is of dat er eventueel nog een vervolgmelding nodig is.

WAT MOET IK MELDEN?

(4)

LANGS WELK PROCES NEEMT U HET BESLUIT OM WEL OF NIET TE MELDEN?

De verantwoordelijkheid voor de beslissing om wel of niet te melden ligt volledig bij u. Als achteraf blijkt dat u die beoordeling onjuist maakte en daardoor ten onrechte niet heeft gemeld, loopt u dus het risico te worden beboet door de AP.

De AP geeft u 72 uur om een melding te doen. Zeker bij complexere incidenten of situaties waarbij meerdere partijen zijn betrokken kan dat snel tot veel tijdsdruk leiden. U moet immers niet alleen een gefundeerd besluit nemen of u moet melden, maar ook behoorlijk wat gedetailleerde informatie kunnen aanleveren (zie checklist).

Bereid u voor.

Richt een Incident Response Proces in.

Verzeker u van expertise bijvoorbeeld op het gebied van forensisch data-onderzoek.

WAT HEEFT U NU GEREGELD MET UW LEVERANCIERS OF PARTNERS?

Als gegevens in uw opdracht worden opgeslagen of verwerkt, bent u nog steeds zelf verantwoordelijk voor de melding. Uitbesteden van verwerking of opslag ontslaat u niet van die verantwoordelijkheid. Van belang is dus goed na te gaan wat u hebt geregeld in bewerkersovereenkomsten of andere afspraken en op welke wijze uw partners incidenten aan u melden.

Zorg niet alleen voor heldere juridische afspraken met uw dienstverleners maar controleer ook in de praktijk of deze afspraken worden nagekomen.

Oefen uw meldprocedure met enige regelmaat.

Betrek ook uw leveranciers en partners.

WIE KAN ER BIJ UW DATA?

Een goed geïmplementeerde ICT beveiliging is cruciaal. Een belangrijke maatregel is het versleutelen van de gegevens die u bewerkt of opslaat. Bij een datalek kunnen derden dan niets met de informatie. Zorg ook voor een goede detectie van digitale inbraken. Daarnaast is het van belang te kunnen beschikken over logging van systemen. Dat is cruciaal voor een onderzoek naar een datalek.

Controleer of er een adequate rechten-structuur bestaat en wordt gehandhaafd voor de toegang tot de data.

WAT MOET IK REGELEN?

(5)

IN UW PRAKTIJK

U heeft nu een beeld wanneer u een datalek moet melden, welke gegevens u hiervoor nodig heeft en wat u moet organiseren om in staat te zijn een melding te doen. Met wat tijd en energie kunt u de hoofdlijnen uitstekend zelf inregelen.

Er zijn een aantal aspecten die vragen om specifieke expertise die u wellicht niet zelf in huis heeft. We hebben daarom een speciale service ontwikkeld die u op een slimme manier werk uit handen neemt. U borgt daarmee de kwaliteit en continuïteit.

Response Plan Meldplicht Datalekken

We stellen met u een plan op en leggen dat toegankelijk vast. Met een helder proces bent u beter voorbereid op het melden van een incident.

Daardoor toont u bij de AP ook aan dat u zorgvuldig bent in het nemen van verantwoordelijkheid. Daarnaast komt u bij een incident minder snel in tijdsproblemen.

Monitoring, Detectie en Logging

Vanuit ons Security Operations Centre (SOC) bieden we een complete Managed Service. Zo beschikt u over de technische oplossing die de juiste logfiles verzameld en daarnaast uw ICT omgeving intensief bewaakt.

CERT Abonnement Melding Datalekken

Northwave CERT (Computer Emergency Response Team) verleent u bijstand bij incidenten waarbij u forensische expertise nodig heeft om de juiste informatie te verzamelen die nodig is voor een melding. We garanderen beschikbaarheid en response tijd. Daarmee heeft u altijd snel de juiste mensen ter plaatse mocht het nodig zijn. Dat beperkt de kans op schade door een incident.

Oefening Datalek

We begeleiden een korte oefening waarin we een incident naspelen waarbij mogelijk data is gelekt. Door deze oefening implementeert u het proces en test u waar het proces of de uitvoering kan worden aangescherpt. U krijgt de beschikking over de oefenstof zodat u zelf de oefening kunt herhalen.

Meer weten over de voordelen van een samenwerking?

Neem contact op met:

NORTHWAVE BV

Marconibaan 49, 3439 MR Nieuwegein + 31 (0) 30 303 1240

ZELF DOEN OF HULP INSCHAKELEN

Referenties

Download het nu ( PDF - 5 pagina - 1.11 MB )

GERELATEERDE DOCUMENTEN

Heeft u een doorzettingsmacht georganiseerd?

[r]

Heeft u ondersteuning nodig?

Als u door ziekte, handicap of ouderdom zorg of hulp nodig heeft in de vorm van een voorziening op maat, kunt u onder voorwaarden in aanmer- king komen voor een pgb.. Hiermee kunt

U wordt Nederlander. Wat mag en moet u doen?

Er zijn ook andere redenen waardoor u uw oude nationaliteit mag houden, bijvoorbeeld als u volgens de wetten van het land van uw oude nationaliteit geen afstand van die

Meldplicht Datalekken

• Er zijn voordat het datalek plaatsvond, passende maatregelen getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk zijn voor onbevoegden. Bijvoorbeeld doordat

vrijwilligerskwadrant-toelichting.doc 40 KB

Vrijwilligers met omgevings- gericht gedrag zijn op zoek naar acceptatie waardoor zij zich aanpassen aan de omgeving..  Veiligheid

Jodiumhoudend contrast: onderzoek met in de bloedvaten gespoten (intraveneus) jodiumhoudend contrast

Deze informatie gaat over jodiumhoudende contrastvloeistoffen die bij radiologische onderzoeken in bloedvaten worden gespoten, zoals bij een CT-scan, een

“Heeft u er wat aan gehad? Bent u tevreden?”

gewenst. Hoewel er een aantal mogelijke oorzaken in het rapport wordt aangewezen voor dit probleem, dat zich ook voordoet bij ander onderzoek waarin hulpverleners die rol

Heeft u een sociaal netwerk?

Burgemeester en wethouders van de gemeente Velsen maken be- kend dat na uitvoerig onderzoek is gebleken dat onderstaande personen niet meer woonachtig zijn op