Norm GB.02 Melding datalekken

De organisatie heeft een gestructureerd proces ingericht en gedocumenteerd voor het tijdig en volledig melden van datalekken aan de relevante partijen, inclusief de Autoriteit Persoonsgegevens (AP) en de betrokkenen.

Waarom is dit nodig?

Wordt geïnformeerd over een beveiligingsincident in je school? Dan moet je dit zo snel mogelijk beoordelen. Hierdoor ben je in staat om (potentiële) datalekken binnen de wettelijke termijn te melden bij de AP en leerlingen en medewerkers te informeren, zodat die eventueel maatregelen kunnen treffen. Door vooraf een proces in te richten, zorg je ervoor dat incidenten en datalekken op een juiste manier worden afgehandeld en geëvalueerd. Zo voorkom je herhaling.

1 Ad hoc

Er is geen proces voor melden van datalekken aan de AP en betrokkenenDe personen van wie persoonsgegevens worden verwerkt..
Er is geen duidelijkheid over wie verantwoordelijk is voor het melden van een datalekBij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident. aan de AP en betrokkenen.
Er zijn geen vastgestelde tijdslijnen voor het melden van een datalek aan de AP en betrokkenen.
Er is geen woordvoerder voor de communicatie over (mogelijke) datalekken met betrokkenen en/of media.

2 Herhaalbaar

Er bestaat een Informeel proces voor het melden van datalekken aan de AP en betrokkenen, maar de implementatie en naleving zijn inconsistent.
Verantwoordelijkheden voor het afhandelen en communiceren van datalekken zijn gedefinieerd, maar zijn niet altijd duidelijk voor alle betrokken partijen.
De tijdslijnen waarbinnen datalekken worden gemeld zijn wisselend en er is geen vastgesteld proces voor het documenteren van de afhandeling van een datalek. Classificatie van de ernst (risicobeoordeling) van een datalek is afhankelijk van de betrokkenen.

3 Bepaald (streefniveau)

Er is een gedetailleerd en gedocumenteerd proces voor het melden van datalekken aan de AP en betrokkenen, met daarin ten minste:
- Conceptberichten voor communicatie (onder anderen voor betrokkenen)
- Duidelijk gedefinieerde verantwoordelijkheden
- Documentatievereisten en tijdslijnen
Er is een crisiscommunicatieplan voor datalekken met hoge impact.
Het proces wordt consistent nageleefd.

4 Beheerst

Aanvullend op niveau 3:

Het proces voor het melden van datalekken aan de AP en betrokkenen is volledig geïntegreerd in de organisatie, met consistente uitvoering en naleving.
Het proces voor het melden van datalekken aan de AP en betrokkenen wordt periodiek geëvalueerd en, indien nodig, aangepast.
Het crisiscommunicatieplan voor datalekken met hoge impact wordt periodiek geoefend, en indien nodig herzien.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Het proces voor het melden van datalekken aan de AP en betrokkenen is een standaard onderdeel van de bedrijfsvoering, wordt systematisch nageleefd en continu geëvalueerd en verbeterd.
Het management wordt systematisch geïnformeerd over alle datalekken en genomen maatregelen.
Er bestaat een hiërarchie (escalatieregels) voor escalatie naar de juiste managementniveaus.

Voorbeelddocumenten

Gerelateerde wetten en normen

Norm GB.02 Melding datalekken is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG) en de informatiebeveiligingsnormen.

AVG

Informatiebeveiligingsnormen

Afdrukken