MODULE 8 DATALEKKEN, AP EN FG - Voldoe gemakkelijk en snel aan de … · 2018. 3. 4. · In deze...
Transcript of MODULE 8 DATALEKKEN, AP EN FG - Voldoe gemakkelijk en snel aan de … · 2018. 3. 4. · In deze...
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 1 -
DATALEKKEN, AP EN FG
MODULE 8
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 2 -
Wat is een datalek?
Een datalek is een “inbreuk in verband met persoonsgegevens”. We spreken van zo’n
inbreuk bij een onrechtmatige verwerking of het verlies van persoonsgegevens.
Van een onrechtmatige verwerking is sprake bij toegang en inzage door een onbevoegde
derde. Met andere woorden als een organisatie of persoon van wie het niet de bedoeling
was dat die de met de gegevens in aanraking zou komen, persoonsgegevens heeft
ingezien.
Er is sprake van verlies van persoonsgegevens als ze verwijdert of verloren zijn gegaan
en er geen back up beschikbaar is, waardoor de gegevens opnieuw van de betrokkene
ontvangen moeten worden.
Waarom zijn datalekken belangrijk om te melden?
Een datalek kan, als er niet snel genoeg en op een passende manier gehandeld wordt,
lichamelijke en/of (im)materiele schade voor de betrokkene veroorzaken.
In deze module behandelen we de vragen 34 t/m 36 en 38 t/m 40 van de Nul (0)
meting. We gaan in op:
• Ervaringen met datalekken
• Intern proces voor datalekken
• Bewustwording in de organisatie
• Onderzoek en afweging
• Melding AP
• FG (functionaris voor gegevensbescherming)
• Functie, positie en verantwoordelijkheden FG
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 3 -
Mogelijke gevolgen zijn onder andere verlies van controle over hun persoonsgegevens
of beperking van hun rechten, discriminatie, identiteitsdiefstal of –fraude, financiële
verliezen, ongeoorloofde ongedaan making van pseudonimisering, reputatieschade,
verlies van met beroepsgeheim beschermde persoonsgegevens of enig ander aanzienlijk
economisch of maatschappelijk nadeel voor een natuurlijk persoon.
Om de belangen en rechten van de betrokkene te beschermen moet een datalek
“onverwijld” of in ieder geval binnen 72 uur worden gemeld bij de Autoriteit
Persoonsgegevens. Als het niet lukt om binnen deze termijn een melding te doen van het
datalek, dan moet de melding zo snel mogelijk gedaan worden, met vermelding van de
reden waarom de termijn van 72 uur niet is gehaald.
Als binnen 72 uur nog alle informatie is verzameld om een volledige melding te doen of
als het incident nog onderzocht wordt, dan kan er ook een voorlopige melding bij de AP
gedaan worden. Deze voorlopige melding kan op een later tijdstip worden ingetrokken of
afgemaakt.
Moeten alle datalekken gemeld worden?
Datalekken moeten gemeld worden, tenzij het niet waarschijnlijk is dat het datalek een
risico inhoudt voor de rechten en vrijheden van de betrokkene.
Wel melden:
• Een groot aantal brieven is verkeerd bezorgd. Het is niet duidelijk of de brieven zijn
geopend en het is niet mogelijk om mitigerende maatregelen te nemen om de risico’s
te beperken.
• Door een fout in de online omgeving hebben klanten gegevens van andere klanten
kunnen inzien, waaronder financiële gegevens en BSN-nummer. Het is niet duidelijk
hoeveel klanten gegevens van andere klanten hebben ingezien.
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 4 -
Niet melden:
• Een brief met financiële gegevens is door de nieuwe bewoner van een woning
ontvangen en ongeopend aan de klant (oude bewoner) doorgestuurd.
• Door een update zijn de autorisatie beperkingen kort komen te vervallen waardoor
gegevens van klanten door meer collega’s in te zien waren dan noodzakelijk. Gelukkig
heeft iedere collega een geheimhoudingsclausule in zijn arbeidsovereenkomst en
omschrijft het personeelsbeleid duidelijk hoe er met persoonsgegevens van klanten
omgegaan moet worden, bijvoorbeeld ten aanzien van geheimhouding en dat
gegevens alleen op need-to-know basis gebruikt mogen worden.
Stap 1 Ervaring met datalekken
Op 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden. Vanaf dat
moment moest iedere organisatie al een proces hebben voor het opsporen, intern melden,
beoordelen, registreren en (eventueel voorlopig) melden van datalekken.
ACTIEPUNT
Bespreek wat jullie geleerd hebben van eventuele
datalekken en welke verbeteringen jullie hebben
doorgevoerd om het aantal incidenten te beperken.
Besteed aandacht aan wat goed ging en waar nog
verbeterpunten zijn.
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 5 -
Stap 2 Intern proces voor datalekken
Om ervoor te zorgen dat alle incidenten die misschien een datalek zijn ook op de juiste
manier behandeld worden, is het belangrijk om een goed en duidelijk proces te hebben
dat iedereen in de organisatie kent.
ACTIEPUNT
Ga met de projectgroep na hoe datalekken in de
organisatie gesignaleerd kunnen worden. Bellen klanten
jullie op om te melden dat er een brief door de buurman
is geopend? Of heeft een klantgegevens van een andere
klant ingezien via de website? Wat houdt de IT-afdeling
bij? Bedenk een aantal voorbeelden.
BELEID
Omschrijf in de privacy policy het proces voor het
opsporen, intern melden, beoordelen, registreren en
(eventueel voorlopig) melden van datalekken. Besteed
bij het opstellen van het proces aandacht aan de
volgende punten:
Checklist proces:
• Welke afdelingen ontdekken en melden een incident?
• Wie gaat het incident beoordelen?
• Wie is verantwoordelijk voor het verzamelen van extra informatie?
• Wie maakt de beoordeling of er sprake is van een datalek dat (voorlopig) gemeld
moet worden?
• Moet management akkoord geven voor het melden?
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 6 -
• Wie doet de (voorlopige) melding bij de AP?
• Wie doet de melding richting de betrokkene?
• Wie houdt het incidentenregister bij?
• Is er regelmatig een awareness training?
• Wordt management op de hoogte gebracht van de incidenten en meldingen?
• Wie controleert wanneer of het proces correct gevolgd wordt?
Stap 3 Bewustwording in de organisatie
Nadat er een proces op papier gezet is, moet dit proces binnen de organisatie bekend
gemaakt worden. Dit zorgt ervoor dat incidenten die misschien een datalek zijn bij de juiste
afdeling worden gemeld en kunnen worden onderzocht en afgehandeld.
BELEID
Zorg ervoor dat er aandacht is voor een regelmatige
training op het onderwerp voor alle afdelingen die met
persoonsgegevens werken. Maak in de privacy policy
een plan hoe jullie binnen de organisatie het proces
bekend maken en wanneer (met enige regelmaat)
trainingen over datalekken worden gegeven.
Stap 4 Onderzoek en afweging
In de vorige stappen is er een proces op papier gezet voor het intern melden van datalekken
en er is een plan gemaakt om de bewustwording binnen de organisatie te vergroten.
Om ervoor te zorgen dat er bij de interne melding genoeg informatie beschikbaar is voor
een eerste indruk over het incident, is het handig als er een vragenlijst is voor de melder
van het incident.
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 7 -
Maak een vragenlijst die binnen de organisatie ingevuld moet worden bij het melden van
een datalek. Besteed daar in ieder geval aandacht aan de volgende punten:
• Wat is er gebeurd?
• Wat voor gegevens zijn betrokken?
• Van hoeveel mensen zijn gegevens gelekt?
• Van wat voor mensen zijn er gegevens gelekt?
• Wanneer is het incident ontdekt?
• Wanneer heeft het incident plaatsgevonden?
• Wat zijn mogelijke gevolgen?
• Welke maatregelen zijn al getroffen om deze gevolgen te beperken?
• Met wie kan ik contact opnemen voor meer informatie?
Stap 5 Melding AP
Niet ieder datalek hoeft gemeld te worden bij de Autoriteit Persoonsgegevens. De Autoriteit
Persoonsgegevens heeft een loket voor het melden van datalekken. Door een vragenlijst
te beantwoorden kan een datalek gemeld worden. We verwachten dat de vragenlijst die
er nu is aangepast zal worden voor de nieuwe privacywetgeving.
Vanuit de nieuwe privacywetgeving moet in ieder geval de volgende informatie bij de
toezichthouder gemeld worden bij een datalek:
• Aard van de inbreuk (wat voor gegevens zijn er betrokken?)
• Omvang van de inbreuk (van hoeveel mensen zijn er gegevens betrokken?)
• Categorieën betrokkenen (om wiens gegevens gaat het?)
• Naam van de DPO
• Waarschijnlijke gevolgen
• Maatregelen die getroffen zijn om de eventuele nadelige gevolgen te beperken
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 8 -
Stap 6 Melding betrokkene
Als een datalek waarschijnlijk een hoog risico inhoudt voor de betrokken personen, dan
moet het incident ook aan de betrokkenen gemeld worden. De betrokkene moet op een
duidelijke en eenvoudige manier geïnformeerd worden over de volgende onderwerpen:
• Een omschrijving van het incident
• De naam van de contactpersoon binnen de organisatie (bijvoorbeeld de DPO)
• De waarschijnlijke gevolgen van het datalek
• De maatregelen die de organisatie voorstelt en genomen heeft om de gevolgen te
beperken.
De betrokken personen hoeven niet geïnformeerd te worden als:
• De gegevens, bijvoorbeeld door versleuteling, niet door een derde kunnen worden
ingezien
• Er achteraf maatregelen genomen zijn om ervoor te zorgen dat het hoge risico zich
waarschijnlijk niet zal voordoen
• De mededeling een onevenredige inspanning zou zijn. In dit laatste geval moet er
een openbare mededeling gedaan worden waarbij de betrokken personen even
doeltreffend worden geïnformeerd.
Maak intern afspraken over:
• Wie controleert of de betrokkene geïnformeerd moeten worden
• Wie de melding bij de betrokkene zal verzorgen
• Of de mededeling nog gecontroleerd moet worden door management of een andere
afdeling
Stap 7 FG (functionaris voor gegevensbescherming)
Welke organisaties moeten een functionaris voor gegevensbescherming aanstellen? De
aanwijzing van een FG (functionaris voor gegevensbescherming) is verplicht:
• Voor overheidsinstanties of overheidsorganen;
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 9 -
• Bij regelmatige en stelselmatige observatie op grote schaal van betrokkenen als
kerntaak;
• Als op grote schaal bijzondere persoonsgegevens worden verwerkt (inclusief
strafrechtelijke veroordelingen en strafbare feiten) als kerntaak.
“Kerntaken” zijn de belangrijkste activiteiten voor het bereiken van de doelstellingen van
de organisatie. Bijvoorbeeld de verwerking van medische gegevens, zoals medische
dossiers van patiënten, is een kerntaak van een ziekenhuis.
Ondersteunende activiteiten zoals de uitbetaling van werknemers of standaard IT-
ondersteuning zijn voorbeelden van noodzakelijke ondersteuningsfuncties voor de
kerntaak of de hoofdactiviteit van de organisatie. Ook al zijn deze activiteiten noodzakelijk
of essentieel, ze zijn eerder als nevenfuncties dan een kerntaak.
De algemene verordening gegevensbescherming vertelt niet wat “op grote schaal” is,
maar de volgende factoren moeten in aanmerking genomen worden:
• Het aantal betrokkenen;
• De hoeveelheid (verschillende) gegevens;
• De duur van de gegevensverwerking
• De geografische omvang van de verwerkingsactiviteit
Hierna enkele voorbeelden van verwerking op grote schaal:
• Verwerking van patiëntgegevens door een ziekenhuis
• Verwerking van OV-reisgegevens van personen
• Verwerking van realtime geo-locatiegegevens van klanten voor analyses door een
daarin gespecialiseerde dienst
• Verwerking van klantgegevens door een verzekeringsmaatschappij of een bank
• Verwerking van persoonsgegevens voor gedrag gerelateerde reclame door een
zoekmachine
• Verwerking van gegevens (content, surfgedrag, locatie) via aanbieders van telefonie-
of internetdiensten
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 10 -
Hierna enkele voorbeelden van verwerkingen die niet als grootschalig worden beschouwd:
• Verwerking van patiëntgegevens door een individuele arts
• Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en
strafbare feiten door een individuele advocaat
De term “regelmatige en stelselmatige observatie” van betrokkenen wordt niet
omschreven in de algemene verordening gegevensbescherming, maar omvat alle
vormen van opsporing en profilering (op het internet), ook met het oog op gedrag
gerelateerde reclame. Overige voorbeelden zijn: een telecommunicatienetwerk beheren;
telecommunicatiediensten leveren; retargeting via e-mail; marketingactiviteiten op basis
van gegevens; profilering en scores toekennen met het oog op risicobeoordeling (bv.
voor toekenning van een kredietwaardigheidsscore, bepaling van verzekeringspremies,
fraudepreventie, detectie van witwaspraktijken); locatietracering, bv. via mobiele
apps; programma’s voor klantenbinding; gedrag gerelateerde publiciteit; monitoring
van gezondheids- en conditiegegevens via draagbare apparaten; gesloten tv-circuit;
gekoppelde apparaten bv. slimme meters, slimme wagens, enz.
De WP29 interpreteert de term “regelmatig” op de volgende manier:
• Iets wat doorlopend of op specifieke ogenblikken gedurende een bepaalde periode
voorkomt;
• Terugkerend of repetitief op vaste tijdstippen;
• Iets wat zich constant of periodiek voordoet.
De WP29 interpreteert de term “stelselmatig” op de volgende manier:
• Iets wat zich volgens een systeem voordoet;
• Vooraf geregeld, georganiseerd of methodisch;
• Iets wat zich voordoet in het kader van een algemeen programma voor
gegevensverzameling;
• Iets wat wordt uitgevoerd in het kader van een strategie.
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 11 -
ACTIEPUNT
Bepaal met de projectgroep aan de hand van de
bovenstaande punten of de organisatie een FG
(functionaris voor gegevensbescherming) wil of moet
hebben. Ook als een FG niet verplicht is, kan een
organisatie er toch voor kiezen om een FG aan te stellen.
Maak een advies hierover en stuur dit ter goedkeuring
aan management.
Stap 8 Functie, positie en verantwoordelijkheden FG
De FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving
van de AVG. De FG wordt aangewezen op grond van zijn:
• Professionele kwaliteiten;
• Deskundigheid op het gebied van de privacywetgeving;
• De praktijk van gegevensbescherming;
• Zijn vermogen om zijn/haar taken te vervullen.
De relevante vaardigheden en deskundigheid omvatten:
• Expertise in nationale en Europese privacy wetten, met name een grondig inzicht in
de AVG;
• Inzicht in de uitgevoerde verwerkingen;
• Kennis van informatietechnologieën en gegevensbeveiliging;
• Kennis van de bedrijfstak en de organisatie;
• Vermogen om binnen de organisatie een cultuur van gegevensbescherming te
bevorderen.
De FG heeft in ieder geval de volgende taken:
• Informeren en adviseren over privacy(wetgeving);
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 12 -
• Toezien op naleving van de AVG en van het privacy beleid; inclusief de toewijzing
van verantwoordelijkheden;
• Bewustmaking en opleiding van het bij de verwerking betrokken personeel en de
betreffende audits;
• Advies verstrekken bij een DPIA;
• Met de toezichthoudende autoriteit samenwerken;
• Contactpunt voor de toezichthoudende autoriteit en alle betrokkenen.
ACTIEPUNT
Stel een functieprofiel op voor een FG in jouw organisatie
aan de hand van de hierboven genoemde punten. Ook
als een FG niet verplicht is, maar er toch wordt gekozen
om een FG aan te stellen, dan moet de FG aan dezelfde
eisen voldoen.
De FG moet over middelen beschikken om zijn/haar taken te kunnen uitvoeren, onder
andere:
• Actieve steun vanuit het hogere management;
• Voldoende beschikbare tijd;
• Adequate financiële middelen, infrastructuur (kantoren, faciliteiten, apparatuur) en
personeel waar van toepassing;
• Officiële bekendmaking bij personeel;
• Toegang alle ondersteuning, bijstand of informatie vanuit de organisatie;
• Opleidingsbudget.
Overige eisen:
• Onafhankelijk: Geen instructies met betrekking tot de uitoefening van de taken
• Geen ontslag of sancties voor de uitvoering van de taken
• Geen belangenconflict met andere mogelijke taken en verplichtingen
Pix |& Evi Privacy Solutions | E-mail: [email protected] | tel: +31 (0) 6 207 917 55 | www.pix-evi.nl - 13 -
Stel een lijst met middelen die de FG nodig heeft om zijn of haar taak in jullie organisatie
goed uit te voeren. Mail het functieprofiel en de lijst ter goedkeuring aan hoger
management om management buy-in te krijgen.
Jullie zijn nu klaar met de inhoudelijke
stappen van module 8 Datalekken, AP en
DPO. Bekijk de aanpassingen die jullie
in de privacy policy hebben gemaakt
en bepaal of er nog aanvullingen of
aanpassingen nodig zijn.