Beleid inzake datalekken
Inleiding
Dit beleid en dit plan zijn bedoeld om Water2buy te helpen inbreuken op persoonsgegevens effectief te beheren. Water2buy bewaart persoonlijke gegevens over onze gebruikers, werknemers, klanten, leveranciers en andere personen voor verschillende zakelijke doeleinden.
Water2buy houdt zich niet alleen aan de letter van de wet, maar ook aan de geest van de wet en hecht veel belang aan de juiste, wettige en eerlijke behandeling van alle persoonlijke gegevens, met respect voor de wettelijke rechten, privacy en vertrouwen van iedereen individuen met wie het te maken heeft.
Een datalek verwijst over het algemeen naar de ongeoorloofde toegang tot en het ophalen van informatie die bedrijfs- en/of persoonlijke gegevens kan bevatten. Datalekken worden algemeen erkend als een van de duurdere beveiligingsfouten van organisaties. Ze kunnen leiden tot financiële verliezen en ervoor zorgen dat consumenten het vertrouwen in Water2buy of onze klanten verliezen.
De regelgeving in de verschillende rechtsgebieden waarin Water2buy actief is, vereist dat Water2buy redelijke beveiligingsmaatregelen treft om de persoonlijke gegevens die we bezitten of beheren te beschermen, om ongeoorloofde toegang, verzameling, gebruik, openbaarmaking of soortgelijke risico's te voorkomen.
Reikwijdte
Dit beleid is van toepassing op al het personeel. U moet bekend zijn met dit beleid en de voorwaarden ervan naleven. Dit beleid vormt een aanvulling op ons andere beleid met betrekking tot internet- en e-mailgebruik. We kunnen dit beleid van tijd tot tijd aanvullen of wijzigen door aanvullend beleid en richtlijnen. Elk nieuw of gewijzigd beleid zal onder het personeel worden verspreid voordat het wordt aangenomen.
Training
Al het personeel krijgt training over dit beleid. Nieuwe medewerkers krijgen een opleiding als onderdeel van het introductieproces. Verdere training zal ten minste elk jaar worden gegeven of wanneer er een substantiële wijziging is in de wet of ons beleid en onze procedure.
Training wordt gegeven via een in-house seminar en online training op jaarbasis, en behandelt de toepasselijke wetten met betrekking tot gegevensbescherming, en de gegevensbescherming van Water2buy en gerelateerde beleidslijnen en procedures.
Afronding van de opleiding is verplicht.
EU ALGEMENE VERORDENING GEGEVENSBESCHERMING (EU) 2016/679 (AVG)
Verordening is ook van toepassing op organisaties die buiten de Europese Unie zijn gevestigd als zij persoonsgegevens van EU-ingezetenen verzamelen of verwerken.
Volgens de Europese Commissie zijn Persoonsgegevens: “alle informatie met betrekking tot een persoon, of het nu gaat om zijn of haar privé-, beroeps- of openbare leven. Dit kan van alles zijn, van een naam, een huisadres, een foto, een e-mailadres, bankgegevens, berichten op sociale netwerksites, medische informatie of het IP-adres van een computer. ”
Persoonlijke gegevens
Water2buy definieert Persoonsgegevens als de ruimere van de definities in de AVG.
Water2buy definieert Gevoelige Persoonsgegevens als de ruimere van de definities in de AVG.
Elk gebruik van gevoelige persoonlijke gegevens moet strikt worden gecontroleerd in overeenstemming met dit beleid.
Hoewel sommige gegevens altijd betrekking hebben op een persoon, hebben andere gegevens op zichzelf mogelijk geen betrekking op een persoon. Dergelijke gegevens zouden geen Persoonsgegevens zijn, tenzij ze verband houden met, of verband houden met, een bepaald individu.
Algemene informatie die geen betrekking heeft op een bepaald individu kan ook deel uitmaken van de Persoonsgegevens van een individu wanneer deze wordt gecombineerd met Persoonsgegevens of andere informatie om een individu te kunnen identificeren.
Geaggregeerde gegevens zijn geen persoonlijke gegevens.
Water2buy verzamelt persoonlijke gegevens voor twee doeleinden: om de gegevens die onze klanten ons verstrekken te identificeren en te beschermen, en voor interne operaties.
Persoonlijke gegevens voor gezondheidscoaching hebben betrekking op identificeerbare individuele gebruikers en kunnen het volgende omvatten:
- Informatie over het gebruikersprofiel, zoals volledige naam, adres, mobiel telefoonnummer en persoonlijk e-mailadres;
- Berichten tussen gebruikers en onze klantenservice.
Persoonsgegevens die we verzamelen voor interne operationele doeleinden hebben betrekking op identificeerbare personen zoals sollicitanten, huidige en voormalige werknemers, contract- en ander personeel, klanten, leveranciers en marketingcontacten, en de verzamelde gegevens kunnen contactgegevens van individuen, educatieve achtergrond, financiële en salarisgegevens, details van certificaten en diploma's, opleiding en vaardigheden, burgerlijke staat, nationaliteit, functietitel en CV.
Oorzaken
Datalekken kunnen worden veroorzaakt door werknemers, externe partijen of computersysteemfouten.
Menselijke fout
Oorzaken van menselijke fouten zijn:
- Verlies van computerapparatuur (draagbaar of anderszins), gegevensopslagapparatuur of papieren dossiers met persoonlijke gegevens
- Gegevens bekendmaken aan een verkeerde ontvanger
- Ongeautoriseerd omgaan met gegevens (bijv.: een lokale kopie van persoonlijke gegevens downloaden)
- Ongeautoriseerde toegang tot of openbaarmaking van persoonlijke gegevens door werknemers (bijv.: een login delen)
- Onjuiste verwijdering van persoonlijke gegevens (bijv.: harde schijf, opslagmedia of papieren documenten met persoonlijke gegevens die zijn verkocht of weggegooid voordat de gegevens correct zijn verwijderd)
Kwaadaardige activiteiten
Kwaadaardige oorzaken zijn onder andere:
- Hackincidenten / Illegale toegang tot databases met persoonsgegevens
- Hacken om toegang te krijgen tot ongeautoriseerde gegevens via de Coaching App of API
- Diefstal van computerapparatuur (draagbaar of anderszins), gegevensopslagapparaten of papieren dossiers met persoonlijke gegevens
- Oplichting die het personeel van Water2buy verleidt tot het vrijgeven van persoonlijke gegevens van individuen
Computersysteemfout
Oorzaken van computersysteemfouten zijn:
- Fouten of bugs in de Water2buy-applicatie of API
- Storing van cloudservices, cloudcomputing of cloudopslagbeveiligings-/authenticatie-/autorisatiesystemen
Schendingen melden
Alle personeelsleden zijn verplicht om feitelijke of potentiële tekortkomingen in de naleving van gegevensbescherming te melden. Dit stelt ons in staat om:
- Onderzoek de storing en onderneem indien nodig herstelmaatregelen
- Houd een register bij van nalevingsfouten
- De toezichthoudende autoriteit op de hoogte stellen van tekortkomingen in de naleving die op zichzelf staand of deel uitmaken van een patroon van tekortkomingen
Onder de AVG is de functionaris voor gegevensbescherming wettelijk verplicht om de toezichthoudende autoriteit binnen 72 uur na het datalek op de hoogte te stellen (artikel 33). Individuen moeten op de hoogte worden gebracht als er nadelige gevolgen worden vastgesteld (artikel 34). Bovendien moet Water2buy alle getroffen klanten zonder onnodige vertraging op de hoogte stellen nadat ze kennis hebben genomen van een inbreuk in verband met persoonsgegevens (artikel 33).
Water2buy hoeft de betrokkenen echter niet op de hoogte te stellen als geanonimiseerde gegevens zijn geschonden. Met name is de kennisgeving aan de betrokkenen niet vereist als de verwerkingsverantwoordelijke pseudo-anonimiseringstechnieken zoals encryptie heeft geïmplementeerd, samen met adequate technische en organisatorische beschermingsmaatregelen voor de persoonsgegevens waarop het datalek betrekking heeft (artikel 34).
Gegevenslek
Het team voor datalekken moet onmiddellijk op de hoogte worden gebracht van elke bevestigde of vermoede datalek.
De melding moet de volgende informatie bevatten, indien beschikbaar:
- Omvang van het datalek
- Type en volume betrokken persoonsgegevens
- Oorzaak of vermoedelijke oorzaak van de inbreuk
- Of de inbreuk is verholpen
- Maatregelen en processen die de organisatie had ingevoerd op het moment van de inbreuk
- Informatie over of getroffen personen van het datalek op de hoogte zijn gebracht en zo niet, wanneer de organisatie van plan is dit te doen
- Contactgegevens van Water2buy-medewerkers met wie de toezichthoudende autoriteit contact kan onderhouden voor meer informatie of verduidelijking
Indien specifieke informatie over het datalek nog niet beschikbaar is, dient Water2buy een tussentijdse melding te sturen met daarin een korte omschrijving van het incident.
Meldingen van organisaties of het ontbreken van een melding, evenals of organisaties over adequate herstelprocedures beschikken, zullen van invloed zijn op de beslissing(en) van toezichthoudende autoriteiten over de vraag of een organisatie de persoonsgegevens die zij beheert of in haar bezit heeft redelijkerwijs heeft beschermd.
Reageren op een datalek
PLAN VOOR HET BEHEER VAN DATABREEK
Nadat het op de hoogte is gebracht van een (vermoedelijke of bevestigde) datalek, moet het Datalek-team onmiddellijk het datalek- en responsplan activeren.
Het beheer- en reactieplan van Water2buy voor datalekken is:
- Bevestig de inbreuk
- Beperk de inbreuk
- Beoordeel risico's en impact
- Meld het incident
- Evalueer de respons en het herstel om toekomstige inbreuken te voorkomen
BEVESTIG DE INBREUK
Het Data Breach Team (DBT) moet optreden zodra het op de hoogte is van een datalek. Waar mogelijk moet het eerst bevestigen dat het datalek heeft plaatsgevonden. Afhankelijk van de waarschijnlijkheid van de ernst van het risico kan het zinvol zijn dat de DBT doorgaat met het indammen van de Inbreuk op basis van een onbevestigd gemeld datalek.
BEGIN DE INBREUK
De DBT moet, indien van toepassing, de volgende maatregelen overwegen om de inbreuk te beperken:
- Sluit het gecompromitteerde systeem af dat tot het datalek heeft geleid.
- Bepaal of er stappen kunnen worden ondernomen om verloren gegevens te herstellen en eventuele schade als gevolg van de inbreuk te beperken. (bijv.: het op afstand uitschakelen/wissen van een verloren notitieboekje met persoonlijke gegevens van personen. )
- Voorkom verdere ongeoorloofde toegang tot het systeem.
- Reset wachtwoorden als accounts en/of wachtwoorden zijn aangetast.
- Isoleer de oorzaken van het datalek in het systeem en wijzig waar van toepassing de toegangsrechten tot het gecompromitteerde systeem en verwijder externe verbindingen met het systeem.
RISICO'S EN IMPACT BEOORDELEN
Kennis van de risico's en impact van datalekken zal Water2buy helpen bepalen of er ernstige gevolgen kunnen zijn voor de getroffen personen, evenals de stappen die nodig zijn om de getroffen personen op de hoogte te stellen.
Risico en impact op individuen
- Hoeveel mensen werden getroffen?
Een hoger aantal betekent misschien niet een hoger risico, maar een beoordeling hiervan helpt bij de algemene risicobeoordeling. - Wiens persoonlijke gegevens zijn geschonden?
Behoren de persoonlijke gegevens toe aan werknemers, klanten of minderjarigen? Verschillende mensen lopen verschillende risico's als gevolg van het verlies van persoonlijke gegevens. - Welke soorten persoonlijke gegevens waren erbij betrokken?
Dit zal helpen om vast te stellen of er risico's zijn voor de reputatie, identiteitsdiefstal, veiligheid en/of financieel verlies van getroffen personen. - Zijn er aanvullende maatregelen getroffen om de impact van een datalek te minimaliseren? bijvoorbeeld: een kwijtgeraakt apparaat beschermd door een sterk wachtwoord of encryptie kan de impact van een datalek verminderen.
Risico en impact op organisaties
- Wat veroorzaakte het datalek?
Bepalen hoe het datalek plaatsvond (door diefstal, ongeval, ongeoorloofde toegang, etc. ) zal helpen bij het identificeren van onmiddellijke stappen die moeten worden genomen om de inbreuk in te dammen en het vertrouwen van het publiek in een product of dienst te herstellen. - Wanneer en hoe vaak vond de inbreuk plaats?
Door dit te onderzoeken, kan Water2buy de aard van de inbreuk beter begrijpen (bijv. G kwaadwillig of per ongeluk). - Wie zou toegang kunnen krijgen tot de gecompromitteerde persoonlijke gegevens?
Hiermee wordt bepaald hoe de gecompromitteerde gegevens kunnen worden gebruikt. In het bijzonder moeten getroffen personen op de hoogte worden gebracht als persoonsgegevens door een onbevoegde persoon zijn verkregen. - Zullen gecompromitteerde gegevens transacties met andere derde partijen beïnvloeden?
Door dit vast te stellen, kan worden vastgesteld of andere organisaties op de hoogte moeten worden gesteld.
MELD HET INCIDENT
Water2buy is wettelijk verplicht om getroffen personen op de hoogte te stellen als hun persoonlijke gegevens zijn geschonden. Dit zal individuen aanmoedigen om preventieve maatregelen te nemen om de impact van het datalek te verminderen en Water2buy helpen het vertrouwen van de consument te herstellen.
Wie te informeren:
- Maak personen op de hoogte van wie de persoonlijke gegevens zijn aangetast.
- Waar relevant andere derde partijen zoals banken, creditcardmaatschappijen of de politie op de hoogte stellen.
- Breng de AVG in het bijzonder op de hoogte als bij een datalek gevoelige persoonsgegevens betrokken zijn.
- De relevante autoriteiten (bijv. politie) moeten op de hoogte worden gebracht als criminele activiteiten worden vermoed en bewijsmateriaal voor onderzoek moet worden bewaard (bijv.: hacking, diefstal of ongeoorloofde toegang tot het systeem door een werknemer). )
Wanneer te melden:
- Stel de getroffen personen onmiddellijk op de hoogte als een datalek betrekking heeft op gevoelige persoonlijke gegevens. Hierdoor kunnen ze vroegtijdig de nodige maatregelen nemen om mogelijk misbruik van de gecompromitteerde gegevens te voorkomen.
- Getroffen personen informeren wanneer het datalek is opgelost
Hoe te melden:
- Gebruik de meest effectieve manieren om getroffen personen te bereiken, rekening houdend met de urgentie van de situatie en het aantal getroffen personen (bijv. G persberichten, sociale media, mobiele berichten, sms, e-mails, telefoontjes).
- Meldingen moeten eenvoudig te begrijpen en specifiek zijn en duidelijke instructies bevatten over wat individuen kunnen doen om zichzelf te beschermen.
Wat te melden:
- Hoe en wanneer het datalek plaatsvond, en de soorten persoonsgegevens die betrokken zijn bij het datalek.
- Wat Water2buy heeft gedaan of gaat doen als reactie op de risico's die het datalek met zich meebrengt.
- Specifieke feiten over het datalek, indien van toepassing, en maatregelen die individuen kunnen nemen om misbruik van die gegevens te voorkomen.
- Contactgegevens en hoe getroffen personen de organisatie kunnen bereiken voor meer informatie of hulp (bijv. G hulplijnnummers, e-mailadressen of website).
EVALUEER DE REACTIE & HERSTEL OM TOEKOMSTIGE INBREUKKEN TE VOORKOMEN
Nadat er stappen zijn ondernomen om het datalek op te lossen, moet Water2buy de oorzaak van het datalek beoordelen en evalueren of de bestaande beschermings- en preventiemaatregelen en -processen voldoende zijn om soortgelijke inbreuken te voorkomen, en waar van toepassing een einde maken aan praktijken die leidde tot het datalek.
Operationele en beleidsgerelateerde problemen:
- Werden er regelmatig audits uitgevoerd op zowel fysieke als IT-gerelateerde beveiligingsmaatregelen?
- Zijn er processen die kunnen worden gestroomlijnd of geïntroduceerd om de schade te beperken als er in de toekomst inbreuken plaatsvinden of om een terugval te voorkomen?
- Waren er zwakke punten in bestaande beveiligingsmaatregelen, zoals het gebruik van verouderde software en beveiligingsmaatregelen, of zwakke punten in het gebruik van draagbare opslagapparaten, netwerken of connectiviteit met internet?
- Waren de methoden voor toegang tot en verzending van persoonlijke gegevens voldoende veilig, bijv.: toegang beperkt tot alleen geautoriseerd personeel?
- Moeten ondersteunende diensten van externe partijen worden verbeterd, zoals verkopers en partners, om persoonlijke gegevens beter te beschermen?
- Werden de verantwoordelijkheden van verkopers en partners duidelijk omschreven met betrekking tot de omgang met persoonsgegevens?
- Is het nodig om nieuwe scenario's voor datalekken te ontwikkelen?
Resource-gerelateerde problemen:
- Werden er voldoende middelen toegewezen om het datalek te beheren?
- Moeten externe bronnen worden ingeschakeld om dergelijke incidenten beter te beheren?
- Kreeg het sleutelpersoneel voldoende middelen om het incident te beheren?
Werknemersgerelateerde problemen:
- Werden werknemers op de hoogte van beveiligingsgerelateerde problemen?
- Is er training gegeven op het gebied van de bescherming van persoonsgegevens en vaardigheden op het gebied van incidentbeheer?
- Werden de werknemers op de hoogte gebracht van het datalek en de leerpunten van het incident?
Managementgerelateerde problemen:
- Hoe was het management betrokken bij het beheer van het datalek?
- Was er een duidelijke verantwoordelijkheids- en communicatielijn tijdens het beheer van het datalek?
Bewaking
Iedereen dient zich aan dit beleid te houden.
Gevolgen van niet-naleving
We nemen de naleving van dit beleid zeer serieus. Het niet naleven brengt zowel u als de organisatie in gevaar.
Het belang van dit beleid betekent dat het niet naleven van enige vereiste kan leiden tot disciplinaire maatregelen volgens onze procedures, wat kan leiden tot ontslag.