Raadsmededeling - Openbaar
Nummer Datum B&W datum Beh. ambtenaar Portefeuillehouder Onderwerp
: : : : : :
54/2016 22 maart 2016 22 maart 2016 Annelies te Booij G. Berghoef Meldplicht datalekken
Aanleiding Op 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) uitgebreid met een meldplicht voor datalekken. Bij gelegenheid van deze wijziging van de Wbp heeft de Autoriteit Persoonsgegevens (AP) de bevoegdheid gekregen om hoge boetes op te leggen. De meldplicht ziet toe op de beveiliging van persoonsgegevens tegen verlies en onrechtmatige verwerking. Het juist toepassen van de ‘Meldplicht datalekken’ beperkt het risico op het opleggen van een last onder bestuursdwang door de AP, ter handhaving van het bepaalde in de Wbp. Om deze meldplicht goed in de organisatie in te bedden is een procedure ‘Melding datalekken’ opgesteld, deze wordt u hierbij ter kennisneming aangeboden. Inhoud mededeling De gemeente Aalten verwerkt in haar dienstverlenings- en bedrijfsvoeringsprocessen een omvangrijke hoeveelheid persoonsgegevens, niet alleen van burgers maar ook van medewerkers. Op de meeste verwerkingen van persoonsgegevens is de Wet bescherming persoonsgegevens (Wbp) van toepassing. Artikel 13 van de Wbp bepaalt dat de verantwoordelijke voor de verwerking van persoonsgegevens, meestal het college van b&w of de burgemeester (dit is afhankelijk van wie verantwoordelijk is voor het proces), passende technische en organisatorische maatregelen treft om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er ook op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. De gemeente Aalten neemt de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als uitgangspunt voor de te treffen maatregelen. De getroffen maatregelen bieden nooit honderd procent garantie dat de beveiliging niet kan worden doorbroken. Om, in het geval van een beveiligingsincident, de gevolgen voor betrokkene(n) zoveel mogelijk te beperken, is de wet ‘Meldingplicht datalekken’ in het leven geroepen. Ook beperkt het juist toepassen van de ‘Melding datalekken’ het risico op het opleggen van een last onder bestuursdwang door de AP, ter handhaving van het bepaalde in de Wbp.
De volgende stukken zijn voor u bijgevoegd: - Procedure ‘Melding datalekken’
De volgende stukken zijn voor u ter inzage gelegd:
Archiefexemplaar
o.g.v. de Wbp
Auteur Annelies te Booij Functie Privacyfunctionaris Datum 7 januari 2016 Versienummer 1.0
PROCEDURE
Melden datalekken
PROCEDURE;
Melden van datalekken
Melden van datalekken _____________________________________________________________________________________________ Informatiebeveiliging & Privacy: melden van datalekken na beveiligingsincident o.g.v. de Wet bescherming persoonsgegevens (Wbp) Deze procedure voorziet in een gestructureerde wijze voor het vaststellen en melden van datalekken.
Definities en omschrijving _____________________________________________________________________________________________
Beveiligingsincident: een inbreuk op de beveiliging van persoonsgegevens, bedoeld in artikel 13 van de Wet bescherming persoonsgegevens (Wbp).
Datalek: beveiligingsincident dat ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens of leidt tot een aanzienlijke kans hierop.
Melding: kennisgeving van een datalek aan de Autoriteit Persoonsgegevens (AP) en/of aan de betrokkene(n).
Inleiding _____________________________________________________________________________________________ De gemeente Aalten verwerkt in haar dienstverlenings- en bedrijfsvoeringsprocessen een omvangrijke hoeveelheid persoonsgegevens, niet alleen van burgers maar ook van medewerkers. Op de meeste verwerkingen van persoonsgegevens is de Wbp van toepassing. Artikel 13 van de Wbp bepaalt dat de verantwoordelijke voor de verwerking van persoonsgegevens, meestal het college van b&w of de burgemeester, passende technische en organisatorische maatregelen treft om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er ook op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Voor de gemeente Aalten is de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) het uitgangspunt voor de te treffen maatregelen. De getroffen maatregelen bieden nooit honderd procent garantie dat de beveiliging niet kan worden doorbroken. Een doorbreking van de beveiliging is op zichzelf geen datalek. Er is pas sprake van een datalek als de doorbreking: 1. óf nadelige gevolgen heeft voor de privacy van de betrokkene; 2. óf leidt tot een aanzienlijke kans op nadelige gevolgen voor de privacy van de betrokkene. Een inbreuk op de beveiliging van persoonsgegevens moet ruim worden geduid. Dit betreft alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken waardoor de persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens. Het is daarbij niet van belang of de verantwoordelijke passende beveiligingsmaatregelen had getroffen of niet. Voorbeelden van beveiligingsincidenten zijn:
een kwijtgeraakte USB-stick, iphone, ipad etc.
2-5
Gemeente Aalten
PROCEDURE;
Melden van datalekken
een gestolen laptop, iPhone, iPad;
inbraak door een hacker;
verzending van een externe e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden;
een malware-besmetting (Malware is software die gebruikt wordt om computersystemen te verstoren,
gevoelige informatie te verzamelen of toegang te krijgen tot computersystemen);
een calamiteit zoals brand in een datacentrum.
Melding bij de Autoriteit Persoonsgegevens (AP) _____________________________________________________________________________________________ Indien er sprake is van een ’datalek’, dan moet dit binnen 72 uur nadat het beveiligingsincident aan de verantwoordelijke bekend is gemaakt, gemeld worden bij de AP (en in bepaalde gevallen ook bij de betrokkene(n)). Voor een melding geldt dat er sprake moet zijn van het 'lekken van data' én dat het lekken een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot verwerkte persoonsgegevens tot gevolg heeft. Het is dus niet zo dat een enkele tekortkoming of kwetsbaarheid in de beveiliging een melding aan de AP tot gevolg moet hebben. Als de gegevens op de verloren USB-stick of op de gestolen laptop zijn versleuteld, is in principe geen onrechtmatige toegang mogelijk. Dat is wel het geval als een WMO-medewerker een laptop verliest met daarop onversleutelde gegevens van de klant met wie een keukentafelgesprek is gevoerd. Als redelijkerwijs niet is uit te sluiten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid of mogelijk kan leiden, dan moet het datalek worden gemeld aan de AP uiterlijk op de tweede werkdag na ontdekking van het incident.
Melding aan de betrokkene _____________________________________________________________________________________________ Volgens de Wbp stelt de verantwoordelijke de betrokkene direct in kennis van de inbreuk op de beveiliging als die inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De verantwoordelijke moet daarbij een inschatting maken. Ongunstige gevolgen zijn er al snel als een onbevoegde kennis heeft kunnen nemen van de zogenaamde bijzondere gegevens. Dit betreft onder meer medische gegevens, strafrechtgegevens, seksuele leven, godsdienst en levensovertuiging. Deze gegevens zijn privacygevoeliger dan gegevens als naam en geboortedatum en kunnen bij verlies of misbruik ernstige gevolgen hebben voor de betrokkene. In dergelijke gevallen dient de verantwoordelijke de betrokkene in kennis te stellen van het datalek.
Taken, verantwoordelijkheden en bevoegdheden __________________________________________________________
De afdelingshoofden zorgen er voor dat het thema ‘melding datalekken’ voldoende aandacht krijgt, bijvoorbeeld in het werkoverleg of de terugkoppelingen.
3-5
Gemeente Aalten
PROCEDURE;
Melden van datalekken
De privacybeheerder is verantwoordelijk voor de actualiteit van deze procedure, de bekendmaking en het in kennis stellen c.q. instrueren van de medewerkers;
Iedere medewerker die direct of indirect kennis draagt of krijgt van een beveiligingsincident, is verplicht dit direct te melden aan het verantwoordelijke afdelingshoofd en de Information Security Officer (ISO);
De Information Security Officer (ISO) is verantwoordelijk voor onderzoek en rapportage naar aanleiding van beveiligingsincident;
De privacybeheerder is verantwoordelijk voor de advisering van het betrokken afdelingshoofd, eventueel het MT en het bestuur over de mogelijke gevolgen van een beveiligingsincident voor de privacy van de betrokkene;
Het verantwoordelijke afdelingshoofd verleent alle medewerking aan het onderzoek en is verantwoordelijk voor het ondernemen van preventieve en repressieve beveiligingsacties;
De privacybeheerder is de aangewezen contactpersoon met de AP en daarmee verantwoordelijk voor: o
de melding aan de AP en aan betrokkene;
o
de communicatie met de AP en betrokkenen naar aanleiding van de meldingen.
De afdelingshoofden zorgen er voor dat het thema ‘melding datalekken’ voldoende aandacht krijgt, bijvoorbeeld in het werkoverleg of de terugkoppelingen.
Uitvoering _____________________________________________________________________________________________
1. De medewerker die direct of indirect kennis draagt of krijgt van een beveiligingsincident meldt dit direct aan de Information Security Officer (ISO) en het verantwoordelijke afdelingshoofd. 2. De Information Security Officer (ISO) en de privacybeheerder en zo nodig de beveiligingsbeheerder van het specifieke vakgebied, onderzoeken het beveiligingsincident. Hierbij is aandacht voor de volgende aspecten: a. wat is de aard van het beveiligingsincident; b. wat is de oorzaak dat dit beveiligingsincident heeft plaatsgevonden; c.
is er sprake van het niet nakomen van of een tekortkoming in de beveiligingsprocedures;
d. is er sprake van verwijtbaar handelen en door wie. 3. De Information Security Officer (ISO) maakt van het beveiligingsincident een verslag. Het verslag bevat in ieder geval de volgende informatie: a. plaats in de organisatie waar het beveiligingsincident zich heeft voorgedaan; b. op welk informatiesysteem of persoonsgegevens verwerkend proces het beveiligingsincident betrekking heeft; c.
een beschrijving van het beveiligingsincident;
d. opgave van de categorieën van personen waarvan de (bijzondere) persoonsgegevens betrokken zijn in het beveiligingsincident; e. inzicht in de getroffen maatregelen die genomen zijn om eventuele gevolgen te beperken; f.
4-5
inzicht in de getroffen maatregelen om dergelijke beveiligingsincidenten in de toekomst te voorkomen.
Gemeente Aalten
PROCEDURE;
Melden van datalekken
4. De privacybeheerder beoordeelt of het beveiligingsincident ernstige nadelige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene(n) en adviseert management en bestuur over het doen van de meldingen aan de AP en aan de betrokkene(n); 5. Bestuur en management besluiten over het al dan niet doen van een melding; 6. De privacybeheerder doet namens het verantwoordelijke afdelingshoofd de melding aan de AP en aan de betrokkene(n); 7. De privacybeheerder is aanspreekpunt voor de AP en voorziet de AP voor zover noodzakelijk van nadere toelichting; 8. Eventuele aanwijzingen van de AP worden vastgelegd en opgevolgd; 9. De Information Security Officer (ISO) legt een dossier aan van het beveiligingsincident en registreert dit in de beveiligingsincidentregistratie; 10. De Information Security Officer (ISO) informeert de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) over incidenten die gevolgen kunnen hebben voor andere verantwoordelijken.
Interne controle / bijstelling procedure _____________________________________________________________________________________________
De Information Security Officer (ISO) analyseert de ontvangen meldingen van een jaar, en stelt een verbeterplan of -advies op. Dit plan of advies wordt opgenomen in de jaarlijks uit te brengen managementrapportage.
De Information Security Officer (ISO) beoordeelt een keer per jaar of de procedure en de uitvoering nog met elkaar in overeenstemming zijn. Indien deze niet met elkaar overeenkomen wordt beoordeeld of de procedure geactualiseerd moet worden of dat medewerkers geïnstrueerd moeten worden op een juiste toepassing van de procedure.
Communicatie ___________________________________________________________________________________________ -
Artikel op intranet / raadsnet met extra aandacht voor gebruik en beveiliging van iPhone / iPad en bij remote werken
-
5-5
Procedure ‘Melding datalekken’ permanent op intranet / raadsnet
Gemeente Aalten
