MODULE 8 DATALEKKEN, AP EN FG - Voldoe gemakkelijk en snel aan de … · 2018. 3. 4. · In deze...

Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 1 -

DATALEKKEN, AP EN FG

MODULE 8


Wat is een datalek?

Een datalek is een “inbreuk in verband met persoonsgegevens”. We spreken van zo’n

inbreuk bij een onrechtmatige verwerking of het verlies van persoonsgegevens.

Van een onrechtmatige verwerking is sprake bij toegang en inzage door een onbevoegde

derde. Met andere woorden als een organisatie of persoon van wie het niet de bedoeling

was dat die de met de gegevens in aanraking zou komen, persoonsgegevens heeft

ingezien.

Er is sprake van verlies van persoonsgegevens als ze verwijdert of verloren zijn gegaan

en er geen back up beschikbaar is, waardoor de gegevens opnieuw van de betrokkene

ontvangen moeten worden.

Waarom zijn datalekken belangrijk om te melden?

Een datalek kan, als er niet snel genoeg en op een passende manier gehandeld wordt,

lichamelijke en/of (im)materiele schade voor de betrokkene veroorzaken.

In deze module behandelen we de vragen 34 t/m 36 en 38 t/m 40 van de Nul (0)

meting. We gaan in op:

• Ervaringen met datalekken

• Intern proces voor datalekken

• Bewustwording in de organisatie

• Onderzoek en afweging

• Melding AP

• FG (functionaris voor gegevensbescherming)

• Functie, positie en verantwoordelijkheden FG


Mogelijke gevolgen zijn onder andere verlies van controle over hun persoonsgegevens

of beperking van hun rechten, discriminatie, identiteitsdiefstal of –fraude, financiële

verliezen, ongeoorloofde ongedaan making van pseudonimisering, reputatieschade,

verlies van met beroepsgeheim beschermde persoonsgegevens of enig ander aanzienlijk

economisch of maatschappelijk nadeel voor een natuurlijk persoon.

Om de belangen en rechten van de betrokkene te beschermen moet een datalek

“onverwijld” of in ieder geval binnen 72 uur worden gemeld bij de Autoriteit

Persoonsgegevens. Als het niet lukt om binnen deze termijn een melding te doen van het

datalek, dan moet de melding zo snel mogelijk gedaan worden, met vermelding van de

reden waarom de termijn van 72 uur niet is gehaald.

Als binnen 72 uur nog alle informatie is verzameld om een volledige melding te doen of

als het incident nog onderzocht wordt, dan kan er ook een voorlopige melding bij de AP

gedaan worden. Deze voorlopige melding kan op een later tijdstip worden ingetrokken of

afgemaakt.

Moeten alle datalekken gemeld worden?

Datalekken moeten gemeld worden, tenzij het niet waarschijnlijk is dat het datalek een

risico inhoudt voor de rechten en vrijheden van de betrokkene.

Wel melden:

• Een groot aantal brieven is verkeerd bezorgd. Het is niet duidelijk of de brieven zijn

geopend en het is niet mogelijk om mitigerende maatregelen te nemen om de risico’s

te beperken.

• Door een fout in de online omgeving hebben klanten gegevens van andere klanten

kunnen inzien, waaronder financiële gegevens en BSN-nummer. Het is niet duidelijk

hoeveel klanten gegevens van andere klanten hebben ingezien.


Niet melden:

• Een brief met financiële gegevens is door de nieuwe bewoner van een woning

ontvangen en ongeopend aan de klant (oude bewoner) doorgestuurd.

• Door een update zijn de autorisatie beperkingen kort komen te vervallen waardoor

gegevens van klanten door meer collega’s in te zien waren dan noodzakelijk. Gelukkig

heeft iedere collega een geheimhoudingsclausule in zijn arbeidsovereenkomst en

omschrijft het personeelsbeleid duidelijk hoe er met persoonsgegevens van klanten

omgegaan moet worden, bijvoorbeeld ten aanzien van geheimhouding en dat

gegevens alleen op need-to-know basis gebruikt mogen worden.

Stap 1 Ervaring met datalekken

Op 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden. Vanaf dat

moment moest iedere organisatie al een proces hebben voor het opsporen, intern melden,

beoordelen, registreren en (eventueel voorlopig) melden van datalekken.

ACTIEPUNT

Bespreek wat jullie geleerd hebben van eventuele

datalekken en welke verbeteringen jullie hebben

doorgevoerd om het aantal incidenten te beperken.

Besteed aandacht aan wat goed ging en waar nog

verbeterpunten zijn.


Stap 2 Intern proces voor datalekken

Om ervoor te zorgen dat alle incidenten die misschien een datalek zijn ook op de juiste

manier behandeld worden, is het belangrijk om een goed en duidelijk proces te hebben

dat iedereen in de organisatie kent.

ACTIEPUNT

Ga met de projectgroep na hoe datalekken in de

organisatie gesignaleerd kunnen worden. Bellen klanten

jullie op om te melden dat er een brief door de buurman

is geopend? Of heeft een klantgegevens van een andere

klant ingezien via de website? Wat houdt de IT-afdeling

bij? Bedenk een aantal voorbeelden.

BELEID

Omschrijf in de privacy policy het proces voor het

opsporen, intern melden, beoordelen, registreren en

(eventueel voorlopig) melden van datalekken. Besteed

bij het opstellen van het proces aandacht aan de

volgende punten:

Checklist proces:

• Welke afdelingen ontdekken en melden een incident?

• Wie gaat het incident beoordelen?

• Wie is verantwoordelijk voor het verzamelen van extra informatie?

• Wie maakt de beoordeling of er sprake is van een datalek dat (voorlopig) gemeld

moet worden?

• Moet management akkoord geven voor het melden?


• Wie doet de (voorlopige) melding bij de AP?

• Wie doet de melding richting de betrokkene?

• Wie houdt het incidentenregister bij?

• Is er regelmatig een awareness training?

• Wordt management op de hoogte gebracht van de incidenten en meldingen?

• Wie controleert wanneer of het proces correct gevolgd wordt?

Stap 3 Bewustwording in de organisatie

Nadat er een proces op papier gezet is, moet dit proces binnen de organisatie bekend

gemaakt worden. Dit zorgt ervoor dat incidenten die misschien een datalek zijn bij de juiste

afdeling worden gemeld en kunnen worden onderzocht en afgehandeld.

BELEID

Zorg ervoor dat er aandacht is voor een regelmatige

training op het onderwerp voor alle afdelingen die met

persoonsgegevens werken. Maak in de privacy policy

een plan hoe jullie binnen de organisatie het proces

bekend maken en wanneer (met enige regelmaat)

trainingen over datalekken worden gegeven.

Stap 4 Onderzoek en afweging

In de vorige stappen is er een proces op papier gezet voor het intern melden van datalekken

en er is een plan gemaakt om de bewustwording binnen de organisatie te vergroten.

Om ervoor te zorgen dat er bij de interne melding genoeg informatie beschikbaar is voor

een eerste indruk over het incident, is het handig als er een vragenlijst is voor de melder

van het incident.


Maak een vragenlijst die binnen de organisatie ingevuld moet worden bij het melden van

een datalek. Besteed daar in ieder geval aandacht aan de volgende punten:

• Wat is er gebeurd?

• Wat voor gegevens zijn betrokken?

• Van hoeveel mensen zijn gegevens gelekt?

• Van wat voor mensen zijn er gegevens gelekt?

• Wanneer is het incident ontdekt?

• Wanneer heeft het incident plaatsgevonden?

• Wat zijn mogelijke gevolgen?

• Welke maatregelen zijn al getroffen om deze gevolgen te beperken?

• Met wie kan ik contact opnemen voor meer informatie?

Stap 5 Melding AP

Niet ieder datalek hoeft gemeld te worden bij de Autoriteit Persoonsgegevens. De Autoriteit

Persoonsgegevens heeft een loket voor het melden van datalekken. Door een vragenlijst

te beantwoorden kan een datalek gemeld worden. We verwachten dat de vragenlijst die

er nu is aangepast zal worden voor de nieuwe privacywetgeving.

Vanuit de nieuwe privacywetgeving moet in ieder geval de volgende informatie bij de

toezichthouder gemeld worden bij een datalek:

• Aard van de inbreuk (wat voor gegevens zijn er betrokken?)

• Omvang van de inbreuk (van hoeveel mensen zijn er gegevens betrokken?)

• Categorieën betrokkenen (om wiens gegevens gaat het?)

• Naam van de DPO

• Waarschijnlijke gevolgen

• Maatregelen die getroffen zijn om de eventuele nadelige gevolgen te beperken


Stap 6 Melding betrokkene

Als een datalek waarschijnlijk een hoog risico inhoudt voor de betrokken personen, dan

moet het incident ook aan de betrokkenen gemeld worden. De betrokkene moet op een

duidelijke en eenvoudige manier geïnformeerd worden over de volgende onderwerpen:

• Een omschrijving van het incident

• De naam van de contactpersoon binnen de organisatie (bijvoorbeeld de DPO)

• De waarschijnlijke gevolgen van het datalek

• De maatregelen die de organisatie voorstelt en genomen heeft om de gevolgen te

beperken.

De betrokken personen hoeven niet geïnformeerd te worden als:

• De gegevens, bijvoorbeeld door versleuteling, niet door een derde kunnen worden

ingezien

• Er achteraf maatregelen genomen zijn om ervoor te zorgen dat het hoge risico zich

waarschijnlijk niet zal voordoen

• De mededeling een onevenredige inspanning zou zijn. In dit laatste geval moet er

een openbare mededeling gedaan worden waarbij de betrokken personen even

doeltreffend worden geïnformeerd.

Maak intern afspraken over:

• Wie controleert of de betrokkene geïnformeerd moeten worden

• Wie de melding bij de betrokkene zal verzorgen

• Of de mededeling nog gecontroleerd moet worden door management of een andere

afdeling

Stap 7 FG (functionaris voor gegevensbescherming)

Welke organisaties moeten een functionaris voor gegevensbescherming aanstellen? De

aanwijzing van een FG (functionaris voor gegevensbescherming) is verplicht:

• Voor overheidsinstanties of overheidsorganen;


• Bij regelmatige en stelselmatige observatie op grote schaal van betrokkenen als

kerntaak;

• Als op grote schaal bijzondere persoonsgegevens worden verwerkt (inclusief

strafrechtelijke veroordelingen en strafbare feiten) als kerntaak.

“Kerntaken” zijn de belangrijkste activiteiten voor het bereiken van de doelstellingen van

de organisatie. Bijvoorbeeld de verwerking van medische gegevens, zoals medische

dossiers van patiënten, is een kerntaak van een ziekenhuis.

Ondersteunende activiteiten zoals de uitbetaling van werknemers of standaard IT-

ondersteuning zijn voorbeelden van noodzakelijke ondersteuningsfuncties voor de

kerntaak of de hoofdactiviteit van de organisatie. Ook al zijn deze activiteiten noodzakelijk

of essentieel, ze zijn eerder als nevenfuncties dan een kerntaak.

De algemene verordening gegevensbescherming vertelt niet wat “op grote schaal” is,

maar de volgende factoren moeten in aanmerking genomen worden:

• Het aantal betrokkenen;

• De hoeveelheid (verschillende) gegevens;

• De duur van de gegevensverwerking

• De geografische omvang van de verwerkingsactiviteit

Hierna enkele voorbeelden van verwerking op grote schaal:

• Verwerking van patiëntgegevens door een ziekenhuis

• Verwerking van OV-reisgegevens van personen

• Verwerking van realtime geo-locatiegegevens van klanten voor analyses door een

daarin gespecialiseerde dienst

• Verwerking van klantgegevens door een verzekeringsmaatschappij of een bank

• Verwerking van persoonsgegevens voor gedrag gerelateerde reclame door een

zoekmachine

• Verwerking van gegevens (content, surfgedrag, locatie) via aanbieders van telefonie-

of internetdiensten


Hierna enkele voorbeelden van verwerkingen die niet als grootschalig worden beschouwd:

• Verwerking van patiëntgegevens door een individuele arts

• Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en

strafbare feiten door een individuele advocaat

De term “regelmatige en stelselmatige observatie” van betrokkenen wordt niet

omschreven in de algemene verordening gegevensbescherming, maar omvat alle

vormen van opsporing en profilering (op het internet), ook met het oog op gedrag

gerelateerde reclame. Overige voorbeelden zijn: een telecommunicatienetwerk beheren;

telecommunicatiediensten leveren; retargeting via e-mail; marketingactiviteiten op basis

van gegevens; profilering en scores toekennen met het oog op risicobeoordeling (bv.

voor toekenning van een kredietwaardigheidsscore, bepaling van verzekeringspremies,

fraudepreventie, detectie van witwaspraktijken); locatietracering, bv. via mobiele

apps; programma’s voor klantenbinding; gedrag gerelateerde publiciteit; monitoring

van gezondheids- en conditiegegevens via draagbare apparaten; gesloten tv-circuit;

gekoppelde apparaten bv. slimme meters, slimme wagens, enz.

De WP29 interpreteert de term “regelmatig” op de volgende manier:

• Iets wat doorlopend of op specifieke ogenblikken gedurende een bepaalde periode

voorkomt;

• Terugkerend of repetitief op vaste tijdstippen;

• Iets wat zich constant of periodiek voordoet.

De WP29 interpreteert de term “stelselmatig” op de volgende manier:

• Iets wat zich volgens een systeem voordoet;

• Vooraf geregeld, georganiseerd of methodisch;

• Iets wat zich voordoet in het kader van een algemeen programma voor

gegevensverzameling;

• Iets wat wordt uitgevoerd in het kader van een strategie.


ACTIEPUNT

Bepaal met de projectgroep aan de hand van de

bovenstaande punten of de organisatie een FG

(functionaris voor gegevensbescherming) wil of moet

hebben. Ook als een FG niet verplicht is, kan een

organisatie er toch voor kiezen om een FG aan te stellen.

Maak een advies hierover en stuur dit ter goedkeuring

aan management.

Stap 8 Functie, positie en verantwoordelijkheden FG

De FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving

van de AVG. De FG wordt aangewezen op grond van zijn:

• Professionele kwaliteiten;

• Deskundigheid op het gebied van de privacywetgeving;

• De praktijk van gegevensbescherming;

• Zijn vermogen om zijn/haar taken te vervullen.

De relevante vaardigheden en deskundigheid omvatten:

• Expertise in nationale en Europese privacy wetten, met name een grondig inzicht in

de AVG;

• Inzicht in de uitgevoerde verwerkingen;

• Kennis van informatietechnologieën en gegevensbeveiliging;

• Kennis van de bedrijfstak en de organisatie;

• Vermogen om binnen de organisatie een cultuur van gegevensbescherming te

bevorderen.

De FG heeft in ieder geval de volgende taken:

• Informeren en adviseren over privacy(wetgeving);


• Toezien op naleving van de AVG en van het privacy beleid; inclusief de toewijzing

van verantwoordelijkheden;

• Bewustmaking en opleiding van het bij de verwerking betrokken personeel en de

betreffende audits;

• Advies verstrekken bij een DPIA;

• Met de toezichthoudende autoriteit samenwerken;

• Contactpunt voor de toezichthoudende autoriteit en alle betrokkenen.

ACTIEPUNT

Stel een functieprofiel op voor een FG in jouw organisatie

aan de hand van de hierboven genoemde punten. Ook

als een FG niet verplicht is, maar er toch wordt gekozen

om een FG aan te stellen, dan moet de FG aan dezelfde

eisen voldoen.

De FG moet over middelen beschikken om zijn/haar taken te kunnen uitvoeren, onder

andere:

• Actieve steun vanuit het hogere management;

• Voldoende beschikbare tijd;

• Adequate financiële middelen, infrastructuur (kantoren, faciliteiten, apparatuur) en

personeel waar van toepassing;

• Officiële bekendmaking bij personeel;

• Toegang alle ondersteuning, bijstand of informatie vanuit de organisatie;

• Opleidingsbudget.

Overige eisen:

• Onafhankelijk: Geen instructies met betrekking tot de uitoefening van de taken

• Geen ontslag of sancties voor de uitvoering van de taken

• Geen belangenconflict met andere mogelijke taken en verplichtingen


Stel een lijst met middelen die de FG nodig heeft om zijn of haar taak in jullie organisatie

goed uit te voeren. Mail het functieprofiel en de lijst ter goedkeuring aan hoger

management om management buy-in te krijgen.

Jullie zijn nu klaar met de inhoudelijke

stappen van module 8 Datalekken, AP en

DPO. Bekijk de aanpassingen die jullie

in de privacy policy hebben gemaakt

en bepaal of er nog aanvullingen of

aanpassingen nodig zijn.

MODULE 8 DATALEKKEN, AP EN FG - Voldoe gemakkelijk en snel aan de … · 2018. 3. 4. · In deze...

Documents

Transcript of MODULE 8 DATALEKKEN, AP EN FG - Voldoe gemakkelijk en snel aan de … · 2018. 3. 4. · In deze...