08-11-18

1

EWZCfin - Informatieveiligheid en gegevensdelingOpleidingsdag 3: Omgaan met verwerkers, personeel en inbreuken.

Het team dat u zal begeleiden…

2

Bart van BuitenenDocent, GDPR, Informatieveiligheid

bart@whitewire.be

Kenny WillemsDocent, GDPR-implementatie Specialist

kenny.willems@whitewire.be

Support nodig?Privacy Helpdesk

support@privacyhelpdesk.be

Anne JansenCoördinator

planning@whitewire.be

Kernteam

Support

08-11-18

2

3

Lessenreeks: 3 sessies#1: Beleid + GDPR + informatieveiligheid #3 Omgang met verwerkers & datalekken#2 Verwerkingsregister, DPIA, Kennisgeving

1. Het opmaken van een beleid voor gegevensbescherming en informatieveiligheid

2. Overlopen van de richtsnoeren3. Functionaris vs consulent4. Overlopen van de belangrijkste

principes en definities van informatieveiligheid.

1. Beleid gegevensverwerking2. Nota nemen van

informatieveiligheidsbeleid/plan3. Eerste kennis van de GDPR

Activiteiten

Objectieven

1. Volledig verwerkingsregister2. Proces om verwerkingsregister

up-to-date te houden3. Toelichting DPIA4. Informatievoorziening en rechten

1. Alle facetten van het omgaan met verwerkers

2. Afsluiten verwerkersovereenkomsten3. Omgaan met datalekken4. Meldingen rond datalekken

1. Begrijpen van het wettelijk kader2. Het opmaken van een register van

verwerkingsactiviteiten3. Begrip inhoud en noodzaak van DPIA4. Voorbeeld van een DPIA5. Voorzien van informatie en inhoud6. Rechten van de betrokkene / patiënt

1. Overlopen verplichtingen verwerkers2. Voorbeeld overeenkomst3. Voorbeelden van datalekken4. Werken rond aanpak datalekken5. Overlopen van verschillende soorten

meldingen en wanneer ze gedaan moeten worden

4

Folluw-up taken sessie #2

Taak Status OPMVerwerkingsregister

Valideer de aangeleverde template en pas deze aan aan uw context Wees kritisch over uw verwerking t.o.v. template!

Voer een procedure voor periodiek onderhoud in Wie beheert het register? DPO? Wanneer herzien?

DPIA

Voer een procedure in voor DPIA en kies template

Bepaal eventuele kandidaten en plan uitvoering Werk zoveel mogelijk samenRechten van de betrokkene

Zorg voor een duidelijk privacy reglement en andere initiatieven Bv. brochure, mondelinge toelichting, …

Voorzie een duidelijke procedure voor het faciliteren van rechten Wie doet wat? Wanneer (niet)?

08-11-18

3

Praktische afspraken

7

Dagverloop

09u30 – 12u00: Sessie deel 110.30 – 10.40: Korte pauze

12u00 – 13u00: Broodjeslunch14.15 – 14.25: Korte pauze

13u00 – 15u30: Sessie deel 2

Data

Vlaams-Brabant• 26/09• 11/10• 25/10

Limburg• 27/09• 9/10

• 23/10

Oost-Vlaanderen• 28/09• 12/10• 25/10

Antwerpen• 3/10

• 17/10• 31/10

Oostende• 3/10

• 17/10• 31/10

Lesmateriaal online beschikbaar

Het lesmateriaal vindt u terug op

https://www.whitewire.be/templateswachtwoord: whiteWZCwire

Coördinator (afwezigheden, attesten, vragen)

Anne jansen: planning@whitewire.be

Agenda opleidingsdag 3

Module 7: Omgaan met Verwerkers en personeel

Module 8: Omgaan met datalekken / inbreuken

8

08-11-18

4

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

MODULE 7: OMGAAN MET VERWERKERS EN PERSONEELWanneer is men een Verwerker? Welke plichten zijn hier relevant?

Hoe gaan we om met ons eigen personeel?

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

VERWERKERS: HOE AAN DE SLAG MET DE OVEREENKOMST?

08-11-18

5

Verwerkings-Verantwoordelijke

Verwerker Bewerker

Hoedanigheid dient bepaald te worden

11

Bepaalt (gezamenlijk) doel en middelenvan de verwerking

Verwerktten behoeve van

de VWV

Verwerktonder rechtstreeks gezagvan VWV (term Zorgnet)

12

Overzicht

Verwerkingsverantwoordelijke BewerkerVerwerker

Bepaalt (gezamenlijk)

doel en middelen

Verwerkt ten behoeve van de VWV en

uitsluitend in opdracht van VWV

op basis van schriftelijke instructies

PositieVerwerkt onder rechtstreeks gezag

van de Verwerkingsverantwoordelijke

JA, register van VWV JA, register van VerwerkerVerwerkingsregister NEEN

JA, bij grootschalige verwerking van

bijzondere categorie gegevens

Ja, bij grootschalige verwerking van

bijzondere categorie gegevens

Data Protection Officer

(DPO)NEEN

JA Bijstand verlenen aan VWVData Protection Impact Assessment NEEN

Afspraak met gezamenlijke VWV

+ Verwerkersovereenkomst met

Verwerker + Arbeidsovereenkomst

met Bewerker

Met verwerkingsverantwoordelijke

+ met eventuele subverwerkerContract

(Minstens contractuele

vertrouwelijkheid + uitoefening in

opdracht van VWV)

JA, aan GBA en Betrokkene Aan VWV + bijstand verlenenMelding datalek (Melding aan VWV

contractueel te bepalen)

JA JAAdministratieve geldboete NEEN

JA Bijstand verlenen aan VWVRechten van de betrokkene NEEN (interne procedure)

JA, voor schade veroorzaakt door

inbreuk op Verordening (hoofdelijk)

JA, voor schending van plichten VW

conform GDPR of contract met VWV

(hoofdelijk); ook voor subverwerker

Burgerlijke aansprakelijkheid(Contractueel te bepalen

of conform wetgeving)

JA JA + bijstand aan VWVMedewerking t.a.v. GBA NEEN

Globaal overzicht plichten

08-11-18

6

13

Onafhankelijke VWV? Gezamenlijk? Verwerker?

• Vaak een discussie…• Adviezen geven richting en voorbeelden• WP29 advies• ICO (Britse privacycommissie) advies

• Wat denken jullie?A. Externe preventiedienst?B. Sociaal secretariaat?C. Stagiair onder toezicht van een stagebegeleider?

13

14

Voorbeeld: Sociaal secretariaat

14

08-11-18

7

DemonstratieHoedanigheid checklist

Statuut huisarts• WZC en arts hebben

beiden plicht tot dossier• Doel en middelen veelal

bepaald door beiden• Onderlinge afspraken

worden opgenomen in reglement

16

08-11-18

8

Statuut CRA

• “Het hangt ervan af”• Gezamenlijk indien beiden

inspraak hebben in doel en middelen.• Verwerker indien er geen ruimte

is voor inspraak en er sprake is van een instructie door het WZC.

17

Niet-medische dienstverleners?

18

08-11-18

9

Verwerkersovereenkomst

19

Verantwoordelijke Verwerker

Plicht van WZC m.b.t. een Verwerker

• Uitsluitend beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen

• Een verwerkersvereenkomst (“addendum”) bekomen

20

08-11-18

10

Wat staat er in het addendum?Algemeen• Onderwerp en duur van verwerking• Aard en doel van verwerking• Categorie persoonsgegevens en betrokkenen• De rechten en verplichtingen van de Verantwoordelijke

Specifiek• Schriftelijke instructies• Afspraken internationale doorgiften• Vertrouwelijkheidsclausule• Veiligheidsmaatregelen• Voorwaarden subverwerkers• Bijstandsplicht (o.a. maatregelen, inbreuken en DPIA)• Informatieverstrekking over verplichtingen, audit en inspectie• Handeling na einde contract

Checklist

Checklist bevat voorbeeld bepalingen

22

08-11-18

11

23

24

Addendum door Zorgnet-Icuro

08-11-18

12

4 annexen van het addendum

25

26

A1: Afwijkingen

08-11-18

13

27

A2: Instructies

28

A3: Vragenlijst informatieveiligheid

08-11-18

14

29

A4: Meldformulier inbreuken

Hoe praktisch omgaan bij aankoop?

30

“Niet alleen een kwestie van documenten, maar zeker ookvan vragen stellen, overleg en discussie”

08-11-18

15

Algemene flow

31

Partij B (bv. Verwerker) vult overeenomst in en stuurt deze terug

Invullen

Onderhandeling over overeenkomst (samen met directie en DPO)

Voorziening & Verwerker

Publicatie overeenkomst

Zorgnet/Icuro

Partij A (bv. de voorziening) spreekt partij B aan (bv Verwerker).

Initiatief nemen

1. Publicatie 3. Invullen

2. Instructie

4. OnderhandelClose deal

GDPR Contracting

Praktisch stap 1: identificeer uw Verwerkers

1. Identificeer de Verwerkers uit het lijstje van leveranciers2. Koppel de Verwerkers aan een prioriteit, bv. via deze criteria:

a. Strategisch belang (bv. Het bewonersdossier is top prioriteit)b. Worden enkel administratief of ook gevoelige gegevens verwerkt?c. Gaat het om veel gegevens of eerder minimaal?d. Is er sprake van een cloud toepassing?e. Kan men de gegevens vanop afstand benaderen?

32

08-11-18

16

Praktisch stap 2: Plan de onderhandeling

• Een voorstel zou kunnen zijn:

33

Type ActiePrioriteit 1 Stuur proactief een verzoek a.d.h.v. Zorgnet-Icuro addendum.

Prioriteit 2 Plan het uitsturen / onderhandelen van de overeenkomst in de tijd.Bv. elke maand spreken we 4 verwerkers aan vanop het lijstje

Prioriteit 3Indien men zelf nog niet aanstuurt op een verwerkersovereenkomst, kan je deze eventueel meenemen bij de volgende herziening van het basiscontract

Praktisch stap 3: Ga de onderhandeling aan

• Voor elke nieuwe Verwerker = meteen een addendum• Indien de Verwerker proactief een overeenkomst opstuurt =

voorziening gaat de onderhandeling aan

• Werk zoveel mogelijk samen: ongetwijfeld komen veel van jullie leveranciers overeen. Spreek ze eventueel aan in groepom meer gewicht in de schaal te leggen.

34

08-11-18

17

Wat met de “kleine zelfstandige”?

• Er is een voorstel uitgewerkt voor consultants:• Korter• Geen annexen

• Kan gebruikt worden voor zelfstandigen:• Logo, ergo, kine, …

35

De rol van de DPO bij verwerkersovereenkomst

• Ondersteuning bieden aan aankoper:• Controle van verwerkersovereenkomst en afwijkingen (Annex 1)• Controle dat de schriftelijke instructies juist zijn (Annex 2)• Controle van informatieveiligheid, samen met ICT (annex 3)• Controle van rechtmatige verwerking

• Advies geven indien controle problemen aantoont• Aanvullen van het register van verwerkingsactiviteiten

36

08-11-18

18

Moeilijkheden?!?

• Leverancier is niet voldoende op de hoogte van GDPR• Leverancier wil Zorgnet-Icuro addendum niet gebruiken• Leverancier geeft geen zicht op maatregelen weer• We ontvangen geen reactie van de tegenpartij• Discussies over bepalingen (bv. aansprakelijkheid)

37

Zorgnet-Icuro maakte modelbrieven op

38

A. Ontbreken van reactieB. Weigering om toegestuurd model te ondertekenen

08-11-18

19

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

BEPALINGEN VOOR MEDEWERKERS IN ARBEIDSREGLEMENT

40

Medewerkers & GDPR

40

De medewerkers van een voorziening zijn betrokkenen:• De werkgever dient dus ook transparante communicatie te

voorzien over haar verwerkingen en hun rechten:• Personeelsbeheer / beleid, loonadministratie• Toezicht, controle en bewaking

Anderzijds zijn onze medewerkers ook Bewerkers:• Zij vallen nl. onder het toezicht en gezag van de werkgever. • Zij verwerken persoonsgegevens en moeten dat correct doen.• Concrete naleving van plichten (bv. meld inbreuk, maatregelen)

Advies: neem deze zaken op in het arbeidsreglement.

08-11-18

20

41

Externe documenten

Arbeidsreglement

- Verwijzing naar het

verwerken van

persoonsgegevens door

de werkgever

Bijlage X: “Rechten medewerkers”

a. Verwerkingsverantwoordelijke

b. Verwerkingsdoelen

c. Categorieën persoonsgegevens

d. Categorieën ontvangers

e. Bewaartermijnen

f. Rechten

Proceduresa. Hoe inbreuk melden?

b. Patiëntenrechten

c. …

Specifieke reglementena. Reglement EBD

b. Gedragscode

informatiebeheerder

Beleidgegevensbescherming en

informatieveiligheid

Arbeidsreglement

Verwerking gegevens van personeelslid door werkgever

- Werkgever verwerkt

gegvens in kader

personeelsbeheer

Verwerking door personeelslid

- Gegevens van bewoners,

collega’s, huisartsen, …

worden verwerkt door het

personeelslid

Sancties- Algemene sanctieregeling

Bijlage X: “Verplichtingen medewerkers”

a. Verplichtingen personeelslid

b. Correct omgaan telecommunicatie

en ICT middelen

c. Monitoring en logging

41

Voorstel tot arbeidsreglement

42

Verwerking van persoonsgegevens door voorziening

08-11-18

21

43

Verwerking van persoonsgegevens door personeelslid

44

Bijlage: rechten medewerker

08-11-18

22

45

Bijlage: plichten medewerker

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

MODULE 8: OMGAAN MET DATALEKKEN / INBREUKENWat is een inbreuk, wat moet je doen en bij wie moet je het melden?

08-11-18

23

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DATALEKKEN: INLEIDING

Laptop kwijt

• Wat stond er op de laptop?• Was deze beveiligd?

48

08-11-18

24

Kwaad opzet

• Wie is verantwoordelijk?• Hoe moet je reageren?

49

Downtime

• Ongepland?• Gevolgen?• Datalek?

50

08-11-18

25

Wat is een datalek?

51

bron: Wikipedia (NL)

Wat is een datalekinbreuk i.v.m. persoonsgegevens?

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de

wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of

anderszins verwerkte gegevens.

bron: GDPR Artikel 4.12

52

08-11-18

26

Enkele interessante statistieken…Bron: Autoriteit Persoonsgegevens (NL)

53

47% “een verkeerde ontvanger”

54

08-11-18

27

42% datalekken betreft 1 persoonBron: Autoriteit Persoonsgegevens (NL)

55

Voornamelijk: administratieve identificatie en het rijksregisternummerBron: Autoriteit Persoonsgegevens (NL)

56

08-11-18

28

Zorgsector staat met 30% op nummer 1Bron: Autoriteit Persoonsgegevens (NL)

57

“Inbreuk op de beveiliging”

• Er gebeurt “iets”à Event

• Is het potentiëel een Security incident?

• Persoonsgegevens mee gemoeid? à Datalek

58

Event

SecurityIncident

Datalek

08-11-18

29

3x soorten inbreuk

• Confidentiality: Onbevoegde / accidentele openbaring van of toegang tot persoonsgegevens

• Integrity: Onbevoegde / accidentele wijziging

• Availability: Onbevoegde of accidenteel verlies van toegang tot of vernietiging van persoonsgegevens

59

Onbeschikbaarheid een breach?

• Passende maatregelen zijn ook:• Veerkracht van systemen• Binnen redelijke termijn beschikbaarheid herstellen

• Factoren:• Impact voor de betrokkenen?• Tijdelijk vs. Permanent• Gepland vs. Ongepland• Andere gevolgen? Vb. ransomware

• Conclusie: intern melden + case-by-case voor externe melding

60

08-11-18

30

Ransomware een datalek?

Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.De verantwoordelijke kan er bij ransom- of cryptowareniet van uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

https://autoriteitpersoonsgegevens.nl/nl/nieuws/datalek-door-ransomware-wat-moet-u-doen

61

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DATALEKKEN: INCIDENT MANAGEMENT

08-11-18

31

High level overzicht

63

Voorbereiding Detectie Identificatie Incident oplossen

Datalek vaststellen Risicobeoordeling Plan communicatie

“iets”Security Incident

Bewust! Meld aan GBA

Verwittig betrokkenen

Onderzoek

Aantoonbaarheid (Documentatie)

Afgesloten

derde medewerker

Verwerker betrokkene

Incident Register

Voorbereiding

• VWV en Verwerker nemen passende maatregelen die zorgen voor:• Adequate beveiliging van persoonsgegevens• Bescherming tegen ongeoorloofde of onrechtmatige verwerking• Bescherming tegen (accidenteel) verlies, vernietiging of schade• Detectie van inbreuken en melding = governance + incident response plan

• Informatieveiligheid: beleid, veiligheidsplan, bewustwording, …

Opgepast: datalek kan aantonen dat de maatregelen ontoereikend waren à belangrijk als men de sanctie bepaalt

64

Prepare Detect Identify Contain Eradicate Recover Lessons Learned

Datalekvaststellen Risicobeoordeling Plancommunicatie

EventSecurityIncident

Bewust! MeldaanGBA

Verwittigbetrokkenen

Onderzoek

Aantoonbaarheid (Documentatie)

IncidentManagement

DatalekMelding

Afgesloten

derde medewerker

Verwerker betrokkene

IncidentRegister

08-11-18

32

65

• Sanctie 30/10/2018• Portaal met

gezondheidsgegevens• Enkel beveiligd met

wachtwoord = onvoldoende• Passend = Multi-factor

authenticatie

66

08-11-18

33

Voorbereiding

67

Prepare Detect Identify Contain Eradicate Recover Lessons Learned

Datalekvaststellen Risicobeoordeling Plancommunicatie

EventSecurityIncident

Bewust! MeldaanGBA

Verwittigbetrokkenen

Onderzoek

Aantoonbaarheid (Documentatie)

IncidentManagement

DatalekMelding

Afgesloten

derde medewerker

Verwerker betrokkene

IncidentRegister

ID Actie1 Passende maatregelen nemen = Informatieveiligheid (beleid + plan + verslag)

2 Incidentbeheer en datalek procedure intern opstellen en goedkeuren

3 Taken en verantwoordelijheden vastleggen:- Rol van DPO t.o.v. het “incident response team”- Eventueel onderzoek naar oorzaak en verberpunten

4 Bepaal communicatiestromen, zowel intern als extern

5 Koppel met crisis / noodplan waar nodig

6 Afdwingen van incident melden via arbeidsreglement, regeling, overeenkomst

7 Kwaliteitscoördinatoren op de hoogte brengen

8 Evangelisering naar medewerkers

9 Dry-run oefening: test op snelheid, kwaliteit en vertrouwen

Incident Response Team?

68

Directie / RVBEindverantwoordelijke

Incident ResponseICT helpdesk +

Betrokken dienst

DPOAanspreekpunt, coordinator en

advies

+ uitgebreid team ad-hocICT leverancierCommunicatiedienstVerzekeraar…

08-11-18

34

Detectie

69

Prepare Detect Identify Contain Eradicate Recover Lessons Learned

Datalekvaststellen Risicobeoordeling Plancommunicatie

EventSecurityIncident

Bewust! MeldaanGBA

Verwittigbetrokkenen

Onderzoek

Aantoonbaarheid (Documentatie)

IncidentManagement

DatalekMelding

Afgesloten

derde medewerker

Verwerker betrokkene

IncidentRegister

ID Actie1 Voorzie detectiekanalen voor alle actoren:

A. Medewerkers (intern meldingsregister: ICT-tool versus iProva)B. Verwerkers (via formulier in overeenkoomst of via tool?)C. Betrokkene zelf (ombudsdienst, contactpunt, …)D. Derden? (bv. White hat hacker, pers, …)

2 Dwing af dat incidenten gemeld worden:A. Medewerkers à ArbeidsreglementB. Verwerkers à VerwerkersovereenkomstC. Betrokkenen en derden à Transparante oproep via privacy reglement

3 Evalueer eventuele automatische (IT)-detectie:- Endpoint security alarm geeft plots heel veel notificaties- Log files tonen heel wat rare problemen aan (bv. foutieve aanmeldpogingen)- …

Oplossen van het incident

• Paralel aan de datalek procedure werkt men aan de oplossing

• Nauw contact onderhouden met ICT en betrokken diensten• Belangrijk om een up-to-date status te hebben• Relevante info kan gecommuniceerd worden naar GBA / betrokkenen

• Bv. Opgelet: wijzig het wachtwoord

70

Prepare Detect Identify Contain Eradicate Recover Lessons Learned

Datalekvaststellen Risicobeoordeling Plancommunicatie

EventSecurityIncident

Bewust! MeldaanGBA

Verwittigbetrokkenen

Onderzoek

Aantoonbaarheid (Documentatie)

IncidentManagement

DatalekMelding

Afgesloten

derde medewerker

Verwerker betrokkene

IncidentRegister

08-11-18

35

Onderzoek 1: datalek?

71

Prepare Detect Identify Contain Eradicate Recover Lessons Learned

Datalekvaststellen Risicobeoordeling Plancommunicatie

EventSecurityIncident

Bewust! MeldaanGBA

Verwittigbetrokkenen

Onderzoek

Aantoonbaarheid (Documentatie)

IncidentManagement

DatalekMelding

Afgesloten

derde medewerker

Verwerker betrokkene

IncidentRegister

Wanneer ben je “bewust”?

• Je bent “bewust” indien er een redelijke mate van zekerheid is• Soms meteen duidelijk• Soms kort onderzoek nodig (“onbewust”)• Verplicht om zo snel mogelijk vaststelling te doen

• Verwerkers melden “zonder onredelijke vertraging” aan VWV en voeren zelf geen assessment uit. • Pas “bewust” bij ontvangst van melding.

• Niet elk datalek moet gemeld worden: Tweede analyse nodig naar de waarschijnlijke risico’s die het datalek met zich meebrengt.

72

Prepare Detect Identify Contain Eradicate Recover Lessons Learned

Datalekvaststellen Risicobeoordeling Plancommunicatie

EventSecurityIncident

Bewust! MeldaanGBA

Verwittigbetrokkenen

Onderzoek

Aantoonbaarheid (Documentatie)

IncidentManagement

DatalekMelding

Afgesloten

derde medewerker

Verwerker betrokkene

IncidentRegister

08-11-18

36

Ond. 2: Risicobeoordeling

Risico op rechten en vrijheden:• Gevaar voor lichamelijke, materiële of immateriële schade• Verlies van controle over hun persoonsgegevens• Beperking van hun rechten• Identiteitsdiefstal of –fraude• Financiële verliezen• Ongeoorloofde ongedaanmaking van pseudonimisering• Reputatieschade• Verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens• Aanzienlijk economisch of maatschappelijk nadeel• Recht op privacy• Vrije meningsuiting • Vrijheid van gedachte• Geweten en godsdienst• Discriminatie• vrijheid van beweging

73

Prepare Detect Identify Contain Eradicate Recover Lessons Learned

Datalekvaststellen Risicobeoordeling Plancommunicatie

EventSecurityIncident

Bewust! MeldaanGBA

Verwittigbetrokkenen

Onderzoek

Aantoonbaarheid (Documentatie)

IncidentManagement

DatalekMelding

Afgesloten

derde medewerker

Verwerker betrokkene

IncidentRegister

Het risico bepaalt of melding vereist is

74

Verwerkingsverantwoordelijke meldt zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden.

N o t i f i c a t i eGBA 2

De verwerkingsverantwoordelijke documenteert alle inbreuken in met inbegrip van de feiten, de gevolgen en de genomen corrigerende maatregelen.

R e g i s t r a t i eIntern register 1

Wanneer de inbreuk in verband met persoons- gegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoons- gegevens onverwijld mee.

C o m m u n i c a t i eBetrokkene 3

Inbreuk

08-11-18

37

Welke factoren spelen een rol? (ENISA)

• Context van verwerking (CV)• Gevoeligheid van persoonsgegevens en omvang• Speciale aard van de betrokkene (bv. Kind)• Speciale aard van de VWV (bv. Ziekenhuis)

• Gemak van identificatie (GI)• Bv. Patiëntnummers of op naam• Bv. Omkeren van pseudonimiseren

• Omstandigheden van datalek (OD)• Type datalek (C.I.A.)• Kwaad opzet

75

gewicht = CV x GI + OD

Hoe bereken je het gewicht van het risico?

76

08-11-18

38

Melden aan GBA?

• Enkel indien waarschijnlijk risico voor betrokkene, tenzij:• De gegevens al publiek beschikbaar waren en het geen nieuw risico vormt• Passende maatregelen getroffen werden die het risico teniet doen• Bv. Data was versleuteld via sterk algoritme en sleutels zijn veilig (“onbegrijpelijk”)• Kan veranderen = intern register belangrijk

• Zonder onredelijke vertraging meldt VWV binnen 72 uur• Na 72u kan mits verantwoording• Verwerker melden aan de VWV; VWV verantwoordelijk voor melding• Gezamenlijke VWV maken op voorhand afspraken

• Gefaseerd melden mogelijk (eerst melden + daarna details)• Meldingen bundelen indien zelfde type en periode• Niet gemeld of te laat gemeld: sanctie mogelijk

77

Prepare Detect Identify Contain Eradicate Recover Lessons Learned

Datalekvaststellen Risicobeoordeling Plancommunicatie

EventSecurityIncident

Bewust! MeldaanGBA

Verwittigbetrokkenen

Onderzoek

Aantoonbaarheid (Documentatie)

IncidentManagement

DatalekMelding

Afgesloten

derde medewerker

Verwerker betrokkene

IncidentRegister

https://www.gegevensbeschermingsautoriteit.be/melding-gegevenslekken-algemeen

Wat moet melding minstensbevatten?

• Aard van het datalek• Categorieën + aantal betrokkenen• Categorieën + aantal persoonsgegevens

• Contactgegevens DPO (of contactpersoon)

• Waarschijnlijke gevolgen van het datalek

• Genomen maatregelen om datalek aan tepakken en de gevolgen tegen te gaan

78

08-11-18

39

Melden aan betrokkenen?

• Indien waarschijnlijk hoog risico voor betrokkene, tenzij:• Gepaste maatregelen genomen voor datalek (bv. Encryptie)• Onmiddelijke acties kort na datalek• Tenzij gerechtvaardigde belang van gerechtelijk onderzoek (uitstel maar geen afstel,

cfr. Recital 88)

• ”Zonder onredelijke vertraging”• Vraag raad aan GBA: melden of niet en geschikte boodschap• GBA kan u verplichten melding te communiceren en sanctie geven• Gezamenlijke VWV maken op voorhand afspraken• Uitzonderlijk mogelijk om eerst de betrokkene te informeren• Individuele melding tenzij onevenredige inspanningen à openbare mededeling

79

Prepare Detect Identify Contain Eradicate Recover Lessons Learned

Datalekvaststellen Risicobeoordeling Plancommunicatie

EventSecurityIncident

Bewust! MeldaanGBA

Verwittigbetrokkenen

Onderzoek

Aantoonbaarheid (Documentatie)

IncidentManagement

DatalekMelding

Afgesloten

derde medewerker

Verwerker betrokkene

IncidentRegister

Wat moet mededeling bevatten?

80

• Wat?• Aard van het datalek• Contactgegevens DPO (of contactpersoon)• Waarschijnlijke gevolgen van het datalek• Genomen maatregelen om datalek aan te pakken en de

gevolgen tegen te gaan• Specifieke stappen om zichzelf te beschermen

(bv. “Wijzig nu uw wachtwoord”)

• Hoe? Toegewijde communicatie via (combinatie van) beste kanalen in juiste taal• Direct messaging (mail, sms, …)• Website banner, notifiatie• Advertentie in gedrukte media, interviews met pers, …

08-11-18

40

Onderzoek van het datalek

• De toezichthouder kan om extra informatie vragen• Inzage in het intern register• Meer details over datalek en omstandigheden• Inspectie (ter plaatse) mogelijk

• Eventueel een intern onderzoek

• Finaliseren = oorzaak + verbeterpunten (Prepare)

81

Prepare Detect Identify Contain Eradicate Recover Lessons Learned

Datalekvaststellen Risicobeoordeling Plancommunicatie

EventSecurityIncident

Bewust! MeldaanGBA

Verwittigbetrokkenen

Onderzoek

Aantoonbaarheid (Documentatie)

IncidentManagement

DatalekMelding

Afgesloten

derde medewerker

Verwerker betrokkene

IncidentRegister

Rol van DPO bij inbreuken

• Voorziening licht DPO in en houdt hem / haar op de hoogte

• Taken• Geraadpleegd worden (autoriteit, betrokkenen, intern)• Coördineren tussen verschillende instanties• Advies verlenen• Documenteren (incidentenregister, meldformulier autoriteit)

82

08-11-18

41

Aantoonbaarheid

• “De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren. ”

• Hoe?• Kwalitatief incident register (kan opgevraagd worden)• Duidelijke tijdslijn• Kritische beslissingen (bv. Waarom geen melding aan betrokkenen?)• Eventuele bewijsstukken (bv. Communicaties, logs, …)• Procedure incidentbeheer en datalekken• Jaarlijkse rapportering

83

Prepare Detect Identify Contain Eradicate Recover Lessons Learned

Datalekvaststellen Risicobeoordeling Plancommunicatie

EventSecurityIncident

Bewust! MeldaanGBA

Verwittigbetrokkenen

Onderzoek

Aantoonbaarheid (Documentatie)

IncidentManagement

DatalekMelding

Afgesloten

derde medewerker

Verwerker betrokkene

IncidentRegister

DemonstratieIncidentenregister

08-11-18

42

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DATALEKKEN: PROCEDURE

Gedragscode bijlage 12

86

08-11-18

43

White Wire procedure

87

DPO

+ o

nder

steu

ning

(bv.

IT-ve

rant

woo

rdel

ijke)

Mel

der

1. Meld interne inbreuk

Security inbreuk?

4. Melding aan GBA

6. Melding aan Betrokkenen

7. Optioneel:Intern onderzoek

3. Licht DPO

2. Doorlichting inbreuk

Start: Mogelijke inbreuk

wordt gedetecteerd…

Persoons-gegevens?

neen

ja

ja

neen

Hoog risico?

5. Vraag GBA om advies

Meldingnodig? neen

ja

twijfelja

neen

8. Slotbespreking

10. Sluit inbreuk af

9. Formuleren van verbetermaatregelen

Fase 1: Melding Fase 2: Beoordelen van de inbreuk en vervullen van meldplicht Fase 3: Afsluiten van inbreuk

Stap Titel1 Meld inbreuk2 Doorlichting inbreuk

3Licht DPO in (optioneel: en start Incident Response Team)

4 Melding aan GBA

5Vraag GBA om advies rond betrokkene

6 Melding aan betrokkenen7 Optioneel: intern onderzoek8 Slotbespreking9 Formuleren van verbetermaatregelen

10 Sluit inbreuk af

DemonstratieProcedure voor inbreuken

08-11-18

44

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DATALEKKEN: TIPS & TODO’S

Gratis assistentie via CERT.BE

90

CERT.BE?Melding van cyberveiligheidsincidenten (inbraak netwerk, botnet, phishing, DDOS,….)Niet verplicht maar sterk aanbevolen!Volledig gratis assistentie

Contacthttps://www.cert.be/nl/een-incident-melden.htmlcert@cert.be (versleutelde communicatie mogelijk)+32 (0)2 501 05 60 (enkel in noodgevallen tussen 08:00 uur - 17:00 uur)

Melding ≠ Klacht (lokale politie)

08-11-18

45

Opdrachten sessie #3

92

Taak Status OPMOmgang met Verwerkers

Breng uw Verwerkers in kaart via een overzicht en bepaal de prioriteit

Spreek proactief de belangrijkste Verwerkers aan met het sjabloon van Zorgnet-Icuro Zie sjabloon Zorgnet-Icuro verwerkersovereenkomst

Evalueer inkomende verwerkersovereenkomsten a.d.h.v. de checklist en onderhandel waar nodigPlan de onderhandeling met elke Verwerker Bv. Binnekort contract herziening, behandel 1

overeenkomst per maand, …Omgang met personeelValideer de aanpassingen aan het arbeidsreglement en stel het voor Zie sjabloon White Wire

Volg de goedkeuringscyclus op van het arbeidsreglement

Datalekken / inbreuken

Voorzie binnen de organisatie een meldpunt voor incidenten Bv. Mail naar DPO, formulier op intranet, ticket tool, …

Koppel het meldpunt aan een procedure Zie sjabloonLeg een intern incidentenregister aan Zie sjabloonMaak iedereen bewust van de procedure en het meldpunt Zorg dat men het effectief zal gebruiken

Vragen? Contacteer ons!

93

Bart van BuitenenDocent, GDPR, Informatieveiligheid

bart@whitewire.be

Kenny WillemsDocent, GDPR-implementatie Specialist

kenny.willems@whitewire.be

Support nodig?Privacy Helpdesk

support@privacyhelpdesk.be

Anne JansenCoördinator

planning@whitewire.be

Kernteam

Support

08-11-18

46

Vragenronde

94P.S: Vragen over de zorgkastoepassing?financieringouderenzorg@zorg-en-gezondheid.be