Omgang met datalekken binnen Het Handje: verschil tussen versies

Uit Handje Wiki
Naar navigatie springen Naar zoeken springen
← Oudere bewerking
VisueelWikitekst
Editor (overleg | bijdragen)
beheerders, writer
200 bewerkingen
Geen bewerkingssamenvatting
 
(5 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 1: Regel 1:
=== '''Achtergrond''' ===
=== '''Achtergrond''' ===
Binnen Het Handje vinden we de bescherming van persoonsgegevens van het grootste belang. In het geval van een datalek, dienen alle medewerkers zich bewust te zijn van de juiste stappen om het incident aan te pakken. Hier volgen gedetailleerde instructies om ervoor te zorgen dat datalekken correct worden behandeld en gemeld.
Binnen Het Handje vinden we de bescherming van persoonsgegevens van het grootste belang. In het geval van een '''datalek''', dienen alle medewerkers zich bewust te zijn van de juiste stappen om het incident aan te pakken. Hier volgen gedetailleerde instructies om ervoor te zorgen dat datalekken correct worden behandeld en gemeld.


=== '''Definitie van een Datalek''' ===
=== '''Definitie van een Datalek''' ===
Een datalek wordt in de Algemene verordening gegevensbescherming (AVG) een 'inbreuk in verband met persoonsgegevens' genoemd. Een inbreuk in verband met persoonsgegevens ontstaat bij een inbreuk op de beveiliging (voorbeeld: het laten liggen van een laptop op een onbeheerde plaats) die leidt tot het verlies, ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Een datalek vereist dus dat er niet alleen een inbreuk op de beveiliging heeft plaatsgevonden, maar ook dat hierbij persoonsgegevens betrokken zijn.  
Een datalek wordt in de Algemene verordening gegevensbescherming (AVG) een 'inbreuk in verband met persoonsgegevens' genoemd. Een inbreuk in verband met persoonsgegevens ontstaat bij een inbreuk op de beveiliging (voorbeeld: het laten liggen van een laptop op een onbeheerde plaats) die leidt tot het verlies, ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Een datalek vereist dus dat er niet alleen een inbreuk op de beveiliging heeft plaatsgevonden, maar ook dat hierbij persoonsgegevens betrokken zijn.  


Meer informatie over wat een datalek is, of wil je voorbeelden van datalekken? Check dan: [[Datalekken]].
Meer informatie over wat een datalek is, of wil je voorbeelden van datalekken? Raadpleeg dan de pagina [[Datalekken]].


=== '''Stappen bij een beveiligingsincident en datalek''' ===
=== '''Stappen bij een beveiligingsincident en datalek''' ===
Heb je te maken met een beveiligingsincident en datalek? Registreer het incident dan altijd in RegiServ. Ook bij twijfel of je wel te maken hebt met een beveiligingsincident of datalek. De reden hiervoor is dat we liever het zekere voor het onzekere nemen. Ook kan het zomaar zijn dat een incident wat nu (nog) geen datalek is, zich alsnog ontwikkelt in een datalek (voorbeeld: een beveiligde laptop die is blijven liggen op een onbeheerde plaats, waarop ingebroken wordt ondanks de genomen beveiligingsmaatregelen).
Heb je te maken met een beveiligingsincident en datalek? Registreer het incident dan <u>altijd</u> in RegiServ. Ook bij twijfel of je wel te maken hebt met een beveiligingsincident of datalek. De reden hiervoor is dat we liever het zekere voor het onzekere nemen. Ook kan het zomaar zijn dat een incident wat nu (nog) geen datalek is, zich alsnog ontwikkelt in een datalek (voorbeeld: een beveiligde laptop die is blijven liggen op een onbeheerde plaats, waarop ingebroken wordt ondanks de genomen beveiligingsmaatregelen). De registratie in RegiServ dient daarnaast als wettelijk verplichte interne registratie van een eventueel datalek.
# ''Onmiddellijke Actie:''
 
#* Zo snel mogelijk het datalek oplossen.
Vervolgens zijn de volgende acties enorm belangrijk wanneer een incident geregistreerd is:
# ''De registratie in RegiServ controleren (door privacyaanspreekpunten) en hierbij:''
#* Geconstateerde datalek(ken) oplossen.
#* Maatregelen treffen om herhaling te voorkomen.
#* Maatregelen treffen om herhaling te voorkomen.
# ''Administratieve Handelingen:''
# ''Administratieve Handelingen:''
#* Intern elk datalek registreren in het datalekregister.
#* De melding in RegiServ aanpassen en updaten bij nieuwe of aangepaste informatie.
#* In geval van een risico voor de betrokkene(n), het datalek melden bij de Autoriteit Persoonsgegevens.
#* In geval van <u>een risico</u> voor de betrokkene(n), het datalek melden bij de Autoriteit Persoonsgegevens.
#* In geval van een hoog risico voor de betrokkene(n), het datalek ook melden aan de betrokkene(n).
#* In geval van een <u>hoog risico</u> voor de betrokkene(n), het datalek ook melden aan de betrokkene(n).
Meer informatie over hoe bepaald wordt of er een risico is voor de betrokkene(n) en hoe hoog dat risico is? Raadpleeg dan de pagina [[Datalekken]].


=== '''Informatie in het Datalekregister''' ===
=== '''Informatie en registratie in RegiServ''' ===
* Omschrijving van het datalek.
Om zo snel en passend mogelijk actie te kunnen ondernemen op een eventueel datalek, is het van belang dat de juiste informatie wordt opgenomen in RegiServ bij het doen van een melding. Probeer daarom in ieder geval de volgende informatie op te nemen wanneer je een incident meldt/registreert in RegiServ:
* Categorieën persoonsgegevens en betrokkenen.
* Omschrijving van het incident (en datalek).
* Mogelijke gevolgen.
* Wanneer van toepassing: categorieën persoonsgegevens en betrokkenen.
* Partijen betrokken bij het datalek.
* Wanneer duidelijk: mogelijke gevolgen.
* Melding aan Autoriteit Persoonsgegevens en betrokkenen (wel/niet).
* Partijen betrokken bij het incident en het (mogelijke) datalek.
* Wanneer van toepassing: de genomen maatregelen om het incident (of datalek) te verhelpen.
Na het doen van de interne registratie is het aan de privacyaanspreekpunten binnen Het Handje om met zekerheid te bepalen of:


=== '''Bijhouden van het Datalekregister''' ===
* het gaat om een datalek;
* Verschillende mogelijkheden zijn beschikbaar, zoals een Excel-sheet, online tools via JuriBlox of Privacy Verified.
* er een melding gemaakt dient te worden aan de Autoriteit Persoonsgegevens (bij risico);
* er eveneens een melding gemaakt dient te worden aan de betrokkene(n) (bij hoog risico).


=== '''Melden aan de Autoriteit Persoonsgegevens''' ===
=== '''Melden aan de Autoriteit Persoonsgegevens''' ===
* Niet elk datalek hoeft gemeld te worden. Alleen als er sprake is van een risico voor de rechten en vrijheden van betrokkenen.
* Niet elk datalek hoeft gemeld te worden. Alleen als er sprake is van een risico voor de rechten en vrijheden van betrokkenen.
* Melden moet zo snel mogelijk, uiterlijk binnen 72 uur na ontdekking, via de website van de Autoriteit Persoonsgegevens.
* Melden moet zo snel mogelijk, uiterlijk binnen '''72 uur''' na ontdekking, via de website van de Autoriteit Persoonsgegevens.
'''Let op''': bovenstaande stappen worden doorlopen door het privacyaanspreekpunt. Een melding wordt nooit op eigen initiatief gedaan door andere personen.


=== '''Melden aan Betrokkenen''' ===
=== '''Melden aan Betrokkenen''' ===
* Bij een hoog risico voor betrokkenen, onmiddellijk melden aan de toezichthouder en betrokkenen.
* Bij een hoog risico voor betrokkenen, onmiddellijk melden aan de toezichthouder en betrokkenen.
* Informeer betrokkenen schriftelijk (per e-mail of brief).
* Informeer betrokkenen schriftelijk (per e-mail of brief).
'''Let op''': bovenstaande stappen worden doorlopen door het privacyaanspreekpunt. Een melding wordt nooit op eigen initiatief gedaan door andere personen.


=== '''Verantwoordelijkheid''' ===
=== '''Verantwoordelijkheid''' ===
Alle medewerkers van Het Handje hebben de verantwoordelijkheid om zich bewust te zijn van deze instructies en ze nauwgezet te volgen in geval van een datalek. Bij vragen of onduidelijkheden, neem direct contact op met de afdeling gegevensbescherming.
Alle medewerkers van Het Handje hebben de verantwoordelijkheid om zich bewust te zijn van deze instructies en ze nauwgezet te volgen in geval van een incident wat (mogelijk) leidt tot een datalek. Bij vragen of onduidelijkheden, neem direct contact op met een van de privacyaanspreekpunten.


Bedankt voor jullie toewijding aan de bescherming van persoonsgegevens bij Het Handje. Samen zorgen we voor een veilige digitale omgeving.
Bedankt voor jullie toewijding aan de bescherming van persoonsgegevens bij Het Handje. Samen zorgen we voor een veilige digitale omgeving!

Huidige versie van 17 nov 2024 om 16:09

Achtergrond

Binnen Het Handje vinden we de bescherming van persoonsgegevens van het grootste belang. In het geval van een datalek, dienen alle medewerkers zich bewust te zijn van de juiste stappen om het incident aan te pakken. Hier volgen gedetailleerde instructies om ervoor te zorgen dat datalekken correct worden behandeld en gemeld.

Definitie van een Datalek

Een datalek wordt in de Algemene verordening gegevensbescherming (AVG) een 'inbreuk in verband met persoonsgegevens' genoemd. Een inbreuk in verband met persoonsgegevens ontstaat bij een inbreuk op de beveiliging (voorbeeld: het laten liggen van een laptop op een onbeheerde plaats) die leidt tot het verlies, ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Een datalek vereist dus dat er niet alleen een inbreuk op de beveiliging heeft plaatsgevonden, maar ook dat hierbij persoonsgegevens betrokken zijn.

Meer informatie over wat een datalek is, of wil je voorbeelden van datalekken? Raadpleeg dan de pagina Datalekken.

Stappen bij een beveiligingsincident en datalek

Heb je te maken met een beveiligingsincident en datalek? Registreer het incident dan altijd in RegiServ. Ook bij twijfel of je wel te maken hebt met een beveiligingsincident of datalek. De reden hiervoor is dat we liever het zekere voor het onzekere nemen. Ook kan het zomaar zijn dat een incident wat nu (nog) geen datalek is, zich alsnog ontwikkelt in een datalek (voorbeeld: een beveiligde laptop die is blijven liggen op een onbeheerde plaats, waarop ingebroken wordt ondanks de genomen beveiligingsmaatregelen). De registratie in RegiServ dient daarnaast als wettelijk verplichte interne registratie van een eventueel datalek.

Vervolgens zijn de volgende acties enorm belangrijk wanneer een incident geregistreerd is:

  1. De registratie in RegiServ controleren (door privacyaanspreekpunten) en hierbij:
    • Geconstateerde datalek(ken) oplossen.
    • Maatregelen treffen om herhaling te voorkomen.
  2. Administratieve Handelingen:
    • De melding in RegiServ aanpassen en updaten bij nieuwe of aangepaste informatie.
    • In geval van een risico voor de betrokkene(n), het datalek melden bij de Autoriteit Persoonsgegevens.
    • In geval van een hoog risico voor de betrokkene(n), het datalek ook melden aan de betrokkene(n).

Meer informatie over hoe bepaald wordt of er een risico is voor de betrokkene(n) en hoe hoog dat risico is? Raadpleeg dan de pagina Datalekken.

Informatie en registratie in RegiServ

Om zo snel en passend mogelijk actie te kunnen ondernemen op een eventueel datalek, is het van belang dat de juiste informatie wordt opgenomen in RegiServ bij het doen van een melding. Probeer daarom in ieder geval de volgende informatie op te nemen wanneer je een incident meldt/registreert in RegiServ:

  • Omschrijving van het incident (en datalek).
  • Wanneer van toepassing: categorieën persoonsgegevens en betrokkenen.
  • Wanneer duidelijk: mogelijke gevolgen.
  • Partijen betrokken bij het incident en het (mogelijke) datalek.
  • Wanneer van toepassing: de genomen maatregelen om het incident (of datalek) te verhelpen.

Na het doen van de interne registratie is het aan de privacyaanspreekpunten binnen Het Handje om met zekerheid te bepalen of:

  • het gaat om een datalek;
  • er een melding gemaakt dient te worden aan de Autoriteit Persoonsgegevens (bij risico);
  • er eveneens een melding gemaakt dient te worden aan de betrokkene(n) (bij hoog risico).

Melden aan de Autoriteit Persoonsgegevens

  • Niet elk datalek hoeft gemeld te worden. Alleen als er sprake is van een risico voor de rechten en vrijheden van betrokkenen.
  • Melden moet zo snel mogelijk, uiterlijk binnen 72 uur na ontdekking, via de website van de Autoriteit Persoonsgegevens.

Let op: bovenstaande stappen worden doorlopen door het privacyaanspreekpunt. Een melding wordt nooit op eigen initiatief gedaan door andere personen.

Melden aan Betrokkenen

  • Bij een hoog risico voor betrokkenen, onmiddellijk melden aan de toezichthouder en betrokkenen.
  • Informeer betrokkenen schriftelijk (per e-mail of brief).

Let op: bovenstaande stappen worden doorlopen door het privacyaanspreekpunt. Een melding wordt nooit op eigen initiatief gedaan door andere personen.

Verantwoordelijkheid

Alle medewerkers van Het Handje hebben de verantwoordelijkheid om zich bewust te zijn van deze instructies en ze nauwgezet te volgen in geval van een incident wat (mogelijk) leidt tot een datalek. Bij vragen of onduidelijkheden, neem direct contact op met een van de privacyaanspreekpunten.

Bedankt voor jullie toewijding aan de bescherming van persoonsgegevens bij Het Handje. Samen zorgen we voor een veilige digitale omgeving!

Overgenomen van "https://www.nietsaanhethandje.nl/index.php?title=Omgang_met_datalekken_binnen_Het_Handje&oldid=422"