Norm GB.01 Datalekken detectie, classificatie en afhandeling
Waarom is dit nodig?
Scholen verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. veel (gevoelige) gegevens. Een datalekBij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident. kan aanzienlijke en ongewenste gevolgen hebben voor betrokkenenDe personen van wie persoonsgegevens worden verwerkt. en moet daarom tijdig en adequaat worden aangepakt. Een heldere en effectieve procedure is cruciaal voor een efficiënte en snelle afhandeling van datalekken. Dit minimaliseert de impact voor betrokkenen als leerlingen en medewerkers én voor jouw school. Het stelt daarnaast betrokkenen in staat om tijdig de nodige maatregelen te treffen. Door (beveiligings)incidenten en (potentiële) datalekken te registeren en structureel te evalueren, verminder je de kans op herhaling. Bovendien vergroot dit de bewustwording rond informatiebeveiliging en privacy.
Volwassenheidsniveaus
1 Ad hoc
- Er ontbreekt een (centraal) meldpunt voor (beveiligings)incidenten en (potentiële) datalekken dat toegankelijk is voor alle medewerkers, leerlingen en overige betrokkenen.
- Er is geen gestructureerd proces voor het detecteren, classificeren en afhandelen van datalekken.
- Er is niet duidelijk wanneer een (beveiligings)incident een datalek is.
- Incidenten worden afgehandeld op ad–hocbasis en worden niet geëvalueerd.
- Er is geen datalekkenregister.
2 Herhaalbaar
- Er is geen makkelijk vindbaar meldpunt voor (beveiligings)incidenten en (potentiële) datalekken voor alle medewerkers, leerlingen en overige betrokkenen, en/of het is niet gemakkelijk toegankelijk.
- Er is een informeel proces voor het detecteren, classificeren en afhandelen van datalekken, maar medewerkers zijn onvoldoende opgeleid om adequaat te reageren op incidenten waarbij persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. zijn betrokken.
- Classificatie van incidenten waarbij persoonsgegevens zijn betrokken op impact/risico voor betrokkenen is afhankelijk van de individuele medewerker die de classificatie uitvoert.
- Evaluatie van incidenten waarbij persoonsgegevens zijn betrokken wordt ad hoc uitgevoerd.
- Het datalekkenregister wordt ad hoc ingevuld.
3 Bepaald (streefniveau)
- Er is een makkelijk vindbaar en gemakkelijk toegankelijk meldpunt voor (beveiligings)incidenten en (potentiële) datalekken.
- Er is een gedetailleerd proces gedefinieerd en gedocumenteerd voor het detecteren, classificeren en afhandelen van datalekken. Het proces omvat ten minste:
- een beschrijving van rollen
- verantwoordelijkheden en contactpersonen
- detectie en identificatie van een datalek
- een risicobeoordeling/afwegingskader waar het al dan niet melden van een datalek onderdeel van is
- respons- en escalatie
- beheersing
- herstel
- evaluatie
- Incidenten worden systematisch geëvalueerd om verbeteringen te identificeren.
- De resultaten van de evaluaties worden met het management gedeeld.
4 Beheerst
Aanvullend op niveau 3:
- Het proces voor het detecteren, classificeren en afhandelen van datalekken wordt periodiek geëvalueerd om de effectiviteit ervan te waarborgen en indien nodig aangepast.
- De vindbaarheid van het privacy meldpunt wordt periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Het proces voor het detecteren, classificeren en afhandelen van datalekken is volledig geïntegreerd en er is een proactieve aanpak om mogelijke toekomstige incidenten te identificeren en te voorkomen.
- Verbeteringen die voortvloeien uit de evaluatie van datalekken worden snel en consequent geïmplementeerd.
- De resultaten van de evaluatie van datalekken worden gedeeld met het management en indien van toepassing binnen de gehele organisatie.
- Onderzoek of een opgetreden datalek ook bij andere verwerkingen kan optreden is onderdeel van evaluaties.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Zorg voor een goed toegankelijk meldpunt voor beveiligingsincidenten en – potentiële – datalekken dat ook buiten schooltijden bereikbaar is. Zorg ervoor dat alle medewerkers en verwerkers bekend zijn met dit meldpunt. Maak hierbij bijvoorbeeld gebruik van Model Responsible Disclosure voor medewerkers en Model Responsible Disclosure Leerlingen
- Stel een procedure op voor de detectie, beoordeling en afhandeling van datalekken.
- Pas de datalekkenprocedure consistent toe bij ieder beveiligingsincident.
- Documenteer ieder beveiligingsincident en datalek. Neem van ieder incident ten minste op: de feiten over het incident, de gevolgen ervan en de genomen maatregelen. Maak hiervoor gebruik van het model incidentenregister.
- Evalueer ieder incident en deel de resultaten van de evaluatie met de schoolleider en het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft..
Hulpmiddelen
Gerelateerde wetten en normen
Norm GB.01 Datalekken detectie, classificatie en afhandeling is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG) en aan informatiebeveiligingsnormen.