Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

2.3 Acteren op inbreuken (Datalek)

2.3.1 Stroomschema

In AVG art. 4.12 staat de volgende definitie:

  • Inbreuk in verband met persoonsgegevens: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

In AVG art. 33.1 staat de belangrijkste verplichting:

  • Als er een datalek is geconstateerd en persoonsgegevens  "op straat liggen"dan dient u binnen 72 uur de AP hiervan op de hoogte te stellen.

Voor deze procedure  attenderen wij u op het ISO artikel  16 Beheer van informatiebeveiligingsincidenten.

 

 

2.3.2 Procesbeschrijving

Stap 1 Registreren melding

Een melding van een mogelijke inbreuk kan via allerlei kanalen binnenkomen. Ons advies is om alle ontvangen meldingen in een ticketsysteem vast te leggen, ook als na analyse de melding geen datalek betreft. Het ticketsysteem mag ook een éénvoudige Excell zijn.

In het stroomschema zijn drie soorten melders aangegeven:

  1. Melding afkomstig van de Verwerker
  2. Melding vanuit de eigen organisatie
  3. Melding vanuit een ander kanaal.

Hierna volgen voorbeelden:

Melding afkomstig van de Verwerker

  1. Dit betreft een incident ontstaan in het softwarepakket dan wel cloudomgeving van de IT-leverancier (Verwerker)

Melding vanuit de eigen Organisatie 

  1. het kwijt raken dan wel diefstal van een laptop, tablet, smartphone, USB stick of papieren dossiers
  2. de ruimte van de medewerker met daarin de fysieke persoonsdossiers heeft per ongeluk niet op slot gezeten voor een bepaalde periode;
  3. een medewerker heeft per ongeluk onbeheerd zijn laptop in zijn werkplek laten staan met daarop een memo-sticker met zijn inlognaam en wachtwoord;
  4. het verzenden door een medewerker van e-mail met vertrouwelijke gegevens aan de verkeerde ontvanger;
  5. het verzenden van een e-mail aan meerdere ontvangers die elkaars emailadressen niet kennen (zonder gebruik te maken van de bcc-optie);
  6. het crashen van een harde schijf met daarop persoonsgegevens;
  7. brand in een serverruimte of archiefruimte;
  8. het kopiëren, meenemen of bijvoorbeeld vernietigen van persoonsgegevens door personeel bijvoorbeeld uit onvrede over ontslag of als vriendendienst of als gevolg van chantage;
  9. phishing: het uitbuiten van menselijke kwetsbaarheden door hen onder valse voorwendselen persoonsgegevens te ontfutselen via mail of internet;

Melding vanuit een ander kanaal.

Vanuit allerlei mogelijke kanalen kunnen meldingen binnenkomen die serieus onderzocht dienen te worden, B.v.:

  1. via een Audit of PenTest
  2. via de organisatie of community van de gebruikte programmeertaal, database, operating system etc. Een software applicatie wat u via internet (in de cloud) kunt benaderen bestaat uit talloze onderdelen gemaakt door verschillende organisaties. Iedere dag verschijnt er wel een "patch" omdat er een nieuwe "Lek" is geconstateerd. Beoordeeld moet worden of dit "Lek" heeft geleid tot een inbreuk en of deze patch (met spoed) geinstalleerd moet worden

Tijdens het proces Registreren melding wordt het Registratie formulier Datalek intern ingevuld.  Er zijn vervolgens 2 belangrijke vragen:

  1. Zijn er Persoonsgegevens gelekt? Als dit niet zo is, dan kan de melding in het regulier beheer worden behandeld. 
  2. Is er een risico voor de rechten en vrijheden van betrokkenen?  Als dit niet zo is, dan kan de melding in het regulier beheer worden behandeld. 

 

Stap 2  Spoed calamiteit

In de crisisaanpak wordt een checklist afgewerkt van acties: 

  1. Belangrijk is dat de Verwerkersverantwoordelijke  en (indien van toepassing) de Verwerker ook in het weekend goed bereikbaar zijn. Afhankelijke van de omvang van de calamiteit kan er voor gekozen worden om een 24 uurs bezetting te creëren. De werktijden zijn minimaal:
  2. Ma. t/m Vr. van 9:00 tot 22:00
    Zaterdag van 9:00 tot 22:00
    Zondag van 9:00 tot 22.00
  3. indien zinvol zal de server (applicatie) tijdelijk off line gezet worden, bijv. om het lekken direct te laten stoppen,
  4. er wordt direct gestart met een onderzoeken wat de impact van een inbreuk is. De benodigde ICT experts  zullen ge-alloceerd worden
  5. in dit onderzoek worden de volgende aspecten meegenomen:
    • welke persoonsgegevens zijn gelekt?
    • hoeveel persoonsgegevens zijn gelekt?
    • wat is de oorzaak van het lek?
    • is er een tijdelijke “workaround” beschikbaar, opdat men zo snel mogelijk weer kan werken?
    • kan een eerste inschatting gemaakt worden hoe lang een oplossing gaat duren?
  6. de Verwerkersverantwoordelijke stelt de Directie op de hoogte van het incident. De Directie beoordeelt zelf of zij de afhandeling overlaat aan de Verwerkersverantwoordelijke alleen,
  7. de Verwerkersverantwoordelijke stelt binnen 72 uur de Autoriteit Persoonsgegevens op de hoogte van het lek, indien het daadwerkelijk een datalek blijkt te zijn en er risico op gevolgen voor Betrokkene zijn,
  8. de Verwerkersverantwoordelijke stelt de getroffen Betrokkenen op de hoogte van het lek.
  9. de Verwerkersverantwoordelijke  doet de aanmelding bij de AP, middels het verplichte formulier:  klik hier. Er is veel onduidelijkheid omtrent de starttijd:  de 72 uur grens gaat "in" als de Verwerkersverantwoordelijke op de hoogte is gesteld van de inbreuk

Stap 3 regulier beheer

Het regulier beheer moet opgezet zijn volgens de eisen van de ISO 27001 (=NEN 7510) of gelijkwaardig model. Dit betekent o.a. dat iedere melding en doorgevoerde maatregel periodiek ge-evalueerd  worden:  er mogen wel fouten worden gemaakt, maar de ISO is een model waarbij er permanent "geleerd" kan worden en verbeterde maatregelen door gevoerd kunnen worden 

 

 

Registratie formulier Datalek (intern)

 1

Datum tijd incident

dd-mm-eejj hh:mm

Dit betreft het tijdstip waarop de Verwerkersverantwoordelijke op de hoogte is gesteld van het incident

2

Omschrijving melding

Geef een samenvatting van het beveiligingslek / beveiligingsincident / datalek: wat is er gebeurd? Vermeld hier ook de naam van het betrokken systeem

3

Afkomst melding

Maak keuze uit:

  • van de Verwerker
  • via eigen constatering
  • via een Audit of PenTest
  • via een nieuwe ISO/NEN eis
  • via wijziging in wet en regelgeving
  • via leverancier
  • via ander kanaal

4

Zijn er persoonsgegevens gelekt?

  • Spoed calamiteit
  • Behandelen in regulier proces
  • Weet niet

5

Aantal Betrokkenen

Van hoeveel personen zijn de persoonsgegevens betrokken bij het beveiligingsincident? Geef a.u.b. een minimum en maximum aantal personen.

6

Categorieën

Welke typen persoonsgegevens zijn betrokken bij het beveiligingsincident?

7

Soort Betrokkene

Omschrijving groep personen om wiens gegevens het gaat. Geef aan of het gaat om medewerkersgegevens, gegevens van internetgebruikers. Bijzondere aandacht verdienen gegevens van een kwetsbare groepen personen, zoals kinderen.

8

Betrokkenen bekend?

Zijn de contactgegevens van de betrokken personen bekend? Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen we deze personen in dat geval bereiken.

9

Registers

Welke Registers (zie bijlage 1) zijn geraakt.

10

Oorzaak

Wat is de oorzaak van het beveiligingsincident? Heeft u een idee hoe het beveiligingsincident heeft kunnen ontstaan? Op welke datum of in welke periode heeft het beveiligingsincident plaats kunnen vinden? Geef dit a.u.b. zo specifiek mogelijk aan.

11

Beschrijving afhandeling




 

Status

  • nieuw
  • mee bezig
  • afgehandeld

 

Communicatie met Betrokkenen

(de volgende elementen moeten daarin verwerkt zijn

34.2, 33.3c  Er wordt een beschrijving in duidelijke tekst gemaakt om de aard van de inbreuk aan te geven
33.3b Naam en contactgegevens van de FG (of ander Persoon die de communicatie verzorgt
33.3.d Beschrijving van de maatregelen

  Vorige pagina      Index      Volgende pagina

Afdrukken