Proces melden van beveiligingsincident of datalek

Dit document beschrijft de stappen die binnen uw organisatie moeten worden genomen bij een beveilgiginsincident, een vermoedelijk datalek en een datalek dat valt onder de Wet Meldplicht Datalekken. 

DEFINITIES

  1. Betrokkene: diegene wiens persoonsgegevens zijn betrokken bij een datalek, vaak zijn dit klanten maar
    dit kunnen ook medewerkers van uw organisatie zijn.
  2. Verwerkingsverantwoordelijke: organisatie welke verantwoordelijk is voor de gehele verwerking van
    persoonsgegevens. In dit geval is dat uw organisatie.
  3. Verwerker: diegene die ten behoeve van uw organisatie-persoonsgegevens verwerkt, zonder
    rechtstreeks onder het gezag van uw organisatie te staan. Bijvoorbeeld: U neemt clouddiensten af van
    Microsoft, hierin worden persoonsgegevens van medewerkers en klanten opgeslagen. Microsoft is in dit
    geval een Verwerker.
  4. Beveiligingsincident of vermoedelijk datalek: een gebeurtenis of situatie waarbij inbreuk is gemaakt op
    de beveiliging van persoonsgegevens.
  5. Datalek: een Beveilgingsincident waarbij persoonsgegevens zijn blootgesteld (geweest) aan verlies of
    onrechtmatige verwerking. Bijvoorbeeld: een verloren USB-stick met daarop een Excel bestand met
    persoonsgegevens, een hacker die onze personeelsbestand hackt.
  6. Persoonsgegevens: elk gegeven over een geïdentificeerde of identificeerbare natuurlijk persoon.
    Voorbeelden van persoonsgegevens zijn: naam, adres, woonplaats, telefoonnummers van (ex)
    werknemers, klanten en leveranciers (zolang het natuurlijke personen betreft). Ook verkoopgegevens
    van klanten, inkoopgegevens van leveranciers, salarissen en andere gegevens uit het
    personeelsdossier van (ex) werknemers. Ook persoonsgegevens zijn telefoonnummer,
    kentekennummer en Burgerservicenummer.
  7. Functionaris Gegevensbescherming: toezichthouder binnen uw organisatie met betrekking tot de
    toepassing en naleving van de Algemene Verordening Gegevensbescherming en de daaronder
    vallende Meldplicht Datalekken. Heeft u een geregistreerd FG'er van VTM dan betreft dit de medewerker van
    VTM welke deze rol voor uw organisatie invult.

Doelgroep

Alle medewerkers van uw organisatie en alle Verwerkers van uw organisatie zijn aan deze regeling onderworpen indien u een geregistreerd FG'er van VTM heeft.

Hoe kan een beveiliging incident of datalek ontstaan?

Beveiligingsincidenten of Datalekken kunnen ontstaan door menselijk falen:
 Wachtwoorden opschrijven en rondom de werkplek bewaren, waardoor deze misbruikt kunnen worden;
 Delen van persoonlijke wachtwoorden met collega’s en/of externen;
 Diefstal en/of verlies van USB-stick/laptop/tablet/smartphone met informatie over de medewerkers van de
organisatie of persoonsgegevens van klanten;
 Verlies van uitgeprinte (fysieke) facturen, lijsten met persoonsgegevens;
 Versturen van post naar een verkeerd adres;
 Versturen van (massa) e-mail met iedereen in de cc i.p.v. de BCC (waardoor alle e- mailadressen zichtbaar zijn);

Moedwillig handelen van mensen buiten de organisatie:
 Verspreiden van virussen/ malware;
 Hacken van een applicatie, database en/ of netwerk.

Moedwillig handelen van mensen binnen de organisatie:
 Collega die zich onheus bejegend voelt en uit rancune handelt;
 Collega die met opzet informatie aan derden verspreid;

Technisch falen
 Het niet meer beschikbaar zijn van programma’s en/ of applicaties;
 Uitval van systemen;
 Brand/ wateroverlast in de serverparken waardoor onze systemen niet meer bereikbaar zijn.

WAT BETEKENT DIT VOOR MIJ?

Zodra je een vermoeden hebt van een Beveiliginsincident of daadwerkelijk een Datalek constateert, meld dit dan direct telefonisch bij VTM via de 24 x 7 telefoonnummer én via de klantportal van VTM. Ook bij twijfel geldt: altijd VTM inlichten. VTM zal samen met de Functionaris Gegevensbescherming de melding vervolgens afhandelen.
Je kunt vanzelfsprekend de situatie bespreken met een directe collega of met je leidinggevende. Het is in geen geval toegestaan om over de situatie met derden buiten de organisatie te spreken.

PROCES MELDEN BEVEILIGINGSINCIDENT OF DATALEK

Melden

Alle (vermoedens van) beveiligingsincidenten en datalekken moeten direct worden gemeld aan VTM. De melding kan door iedere medewerker en iedere Verwerker worden gedaan. De melding kan ook door een extern persoon worden gedaan bij de Functionaris Gegevensbescherming van uw organsiatie. De melding moet direct, dus bij voorkeur telefonisch worden gedaan bij VTM en vervolgens schriftelijk worden vastgelegd. Ook buiten kantoortijden dient bij (vermoeden van) een datalek onverwijld een melding plaats te vinden bij de VTM, in dit geval dientt de melding altijd telefonisch gedaan te worden, eventueel gecombineerd met een melding via de portal.

Meldings mogelijkheden:

  • Melden via de klantportal ( https://portal.vtmgroep.nl )
  • Melden via 24/7 nummer: 085-4890973

Vastlegging melding

VTM legt onder andere het volgende vast van een melding:

  • naam van de melder;
  • datum en tijd van de melding;
  • aard van de inbreuk (is er aanmerkelijk risico op verlies of onrechtmatige verwerking?);
  • en voor zover op dat moment al bekend:
  • welke persoonsgegevens vallen onder de melding;
  • om welk aantal en / of welke gegevensrecords gaat het;
  • welke (groepen) personen zijn betrokken bij de melding;welke maatregelen zijn of worden door de melder getroffen;
  • welke gevolgen zijn er volgens de melder voor de betrokkenen;
  • de contactpersoon voor de melding.

De FG houdt een register bij van alle meldingen en daaruit voortvloeiende analyse, acties en getroffen maatregelen.

Eerste analyse

De FG beoordeelt de melding aan de hand van de volgende stappen:

  • Is er sprake van een inbreuk op de beveiliging?
  • Zijn bij de inbreuk persoonsgegevens verloren gegaan?
  • Kan redelijkerwijs uitgesloten worden dat er persoonsgegevens onrechtmatig zijn verwerkt?
  • Is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens?

Melding bij Autoriteit Persoonsgegevens

Indien sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor een persoon, dan dient het datalek direct (binnen 72 uur) gemeld te worden aan de Autoriteit Persoonsgegevens. Is dit niet het geval, dan vindt alleen registratie van de melding plaats door de FG. De melding bij de Autoriteit Persoonsgegevens wordt door de FG afgehandeld.

Melden bij betrokkene(n)

De FG beoordeelt van elke melding of op basis van de AVG/ Wet  meldplicht Datalekken het datalek gemeld dient te worden bij de betrokkene en draagt zorg voor deze melding.

Vervolg

De FG rapporteert aan de Directie elke melding. In deze rapportage meldt de FG de oorzaak van het datalek en de maatregelen die getroffen zijn. De directie legt jaarlijks verantwoording af over de ontvangen meldingen aan de aandeelhouders van uw organisatie in het kader van deze regeling. Daartoe overlegt de FG jaarlijks uiterlijk op 31 december, of op elke datum dat de Directie daarom verzoekt, het actuele Incidentenregister.

VRAGEN?

Mocht je vragen hebben naar aanleiding van dit protocol, dan kan contact worden opgenomen met 0174-527320, per mail via servicedesk@vtmgroep.nl of een ticket worden aangemeld via https://portal.vtmgroep.nl .

Terug naar overzicht

Deel dit artikel via: