Omgaan met incidenten en datalekken
Het doel van incidentmanagement is om verstoringen bij het verwerken van informatie snel en effectief te herkennen, vast te leggen en af te handelen. Incidenten zijn onverwachte gebeurtenissen of problemen die de normale werking van de ICT-omgeving verstoren. Een incident kan een datalektot gevolg hebben. Ook een datalek moet je daarom afhandelen volgens je incidentmanagementbeleid. Incidenten moet je oplossen zodat het onderwijs en ondersteunende werkprocessen door kunnen gaan.
Resultaat van dit deelproject
- Incidentmanagementbeleid is opgesteld en vastgesteld.
- Incidentmanagementproces is ingericht.
- Meldpunt incidenten en datalekken ingericht.
Normen bij dit deelproject
Oorzaken en gevolgen
Beveiligingsincidenten zijn incidenten waardoor de beschikbaarheid, vertrouwelijkheid of integriteit van informatie wordt verstoord. Er kunnen verschillende oorzaken ten grondslagDe (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang. liggen aan een incident. Denk aan (stroom)storingen, het ontbreken (of fout lopen) van een back-upEen reservekopie van gegevens, zodat bij beschadiging of verlies van gegevens herstel
kan plaatsvinden., het verlies van elektronische gegevensdragers of het achterlaten van een document bij een printer. Of aan phishing, virussen of DDos-aanvallen. Krijgt iemand toegang tot persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. zonder dat dit de bedoeling is als gevolg van een beveiligingsincident? Dan is er sprake van een datalekBij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident.. Ook het ongewenst vernietigenHet definitief verwijderen van gegevens, zodat de persoonsgegevens niet meer aanwezig of terug te halen zijn., verliezen, wijzigen of verstrekken aan derden van persoonsgegevens als gevolg van een beveiligingsincident valt onder een datalek.
Mogelijke gevolgen van een datalek
Een datalek kan leiden tot materiële en immateriële schade voor betrokkenenDe personen van wie persoonsgegevens worden verwerkt.. Voorbeelden hiervan zijn:
- Het verlies van controle over hun persoonsgegevens
- Het niet uit kunnen oefenen van rechten (recht op verwijdering of rectificatie).
- Discriminatie, identiteitsdiefstal of -fraude.
- Financiële verliezen.
- Ongedaan maken van pseudonimisering en reputatieschade.
Incident versus calamiteit
Is de impact van een incident heel erg groot? Dan spreken we van een calamiteit.
Bij een calamiteit zijn processen zodanig verstoord dat je school niet meer normaal kan functioneren. Bij een calamiteit treedt je crisismanagementplan in werking. Je werkt hieraan in het deelproject waarborgen van bedrijfscontinuïteit.
Wie doet wat
- De IBP’er stelt het incidentmanagementbeleid op.
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. stelt het incidentmanagementbeleid vast.
- De IBP’er, IT-incidentmanager of degene waar je binnen je school incidenten meldt zorgen ervoor dat het schoolbestuur en andere betrokkenen hun verantwoordelijkheden kennen en daarnaar kunnen handelen. Ook coördineren ze de uitvoering van de werkzaamheden.
- De IT-servicedesk of degene waar je binnen je school incidenten meldt, zorgt voor de vastlegging en bewaking van de incidenten.
- De ICT-beheerder of degene die het incident behandelt en de eventueel betrokken leveranciersAanbieders van ict- of leermiddelen., zorgen voor de inhoudelijke expertise en de oplossing van incidenten.
Aan de slag
Met het volgen van onderstaande stappen richt jij het incidentmanagementproces in voor jouw organisatie.
1. Stel een incidentmanagementbeleid op
Maak een incidentmanagementbeleid. Je kunt hiervoor gebruikmaken van het voorbeelddocument IBP-beleid. Deze kun je afstemmen op je eigen onderwijsinstelling. Het is uiteraard ook mogelijk om een los incidentmanagementbeleid op te stellen.
2. Richt een incidentmanagementproces in
Richt een incidentmanagementproces in. Hiervoor kun je gebruikmaken van het voorbeelddocument incidentmanagementproces. Je legt hierin onder andere vast hoe er melding gedaan moet worden bij een incident. Het is belangrijk dat het voor alle betrokkenen – gebruikers, docenten, leerlingen, leveranciers – duidelijk is waar zij incidenten kunnen melden en dat er een open cultuur is om te melden. Tegelijkertijd moet duidelijk zijn wie verantwoordelijk is voor het afhandelen van de incidentmeldingen.
3. Leg een register aan voor het vastleggen van incidenten
Gebruik een standaardwijze om incidenten en (cyber)beveiligingsincidenten vast te leggen en rapporteren. Je kunt hiervoor gebruikmaken van het template Register (beveiligings)incidenten en datalekken.
4. Richt een meldpunt in
Het bestuur of de ICT-coördinator stelt een meldpunt in waar medewerkers beveiligingsincidenten en datalekken kunnen melden. In de praktijk zal dit vaak een e-mailadres zijn waar melders naar toe kunnen mailen. Zorg ervoor dat het meldpunt ook buiten kantooruren meldingen over datalekken opvolgt. Meldingen kunnen ook van buiten je organisatie komen. Bijvoorbeeld via de mail, maar je kunt ook gebruikmaken van responsible disclosure formulieren. Maak hier afspraken over.
Let op: een datalek? Meld dit bij de AP!
Zijn er persoonsgegevens betrokken bij het incident en is er mogelijke schade voor betrokkenen? Dan moet je dit binnen 72 uur melden bij de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. (AP).
6. Rapporteer en evalueer
Van elk incident kun je leren. Spreek met betrokkenen en ga rapportages na. Zo is het mogelijk om bepaalde patronen in incidenten te ontdekken. Dit helpt bij het bepalen van maatregelen om incidenten in de toekomst te voorkomen en het incidentmanagementproces te verbeteren. Controleer minimaal jaarlijks of het incidentmanagementproces actueel is en de verantwoordelijkheden juist zijn belegd. Organiseer minstens één keer per jaar een crisisoefening.
Voorbeelddocumenten
Meer informatie
- Bekijk op de website van de Autoriteit Persoonsgegevens het stappenplan voor het melden van een datalek
- Bekijk het deelproject waarborgen van bedrijfscontinuïteit voor meer informatie over hoe je handelt bij incidenten die leiden tot een crisis.
- Bekijk het stappenplan crisisoefening organiseren op kennisnet.nl om te oefenen hoe je om kan gaan met incidenten.