Norm GB.02 Melding datalekken
De organisatie heeft een gestructureerd proces ingericht en gedocumenteerd voor het tijdig en volledig melden van datalekken aan de relevante partijen, inclusief de Autoriteit Persoonsgegevens (AP) en de betrokkenen.
Waarom is dit nodig?
Wordt geïnformeerd over een beveiligingsincident in je school? Dan moet je dit zo snel mogelijk beoordelen. Hierdoor ben je in staat om (potentiële) datalekken binnen de wettelijke termijn te melden bij de AP en leerlingen en medewerkers te informeren, zodat die eventueel maatregelen kunnen treffen. Door vooraf een proces in te richten, zorg je ervoor dat incidenten en datalekken op een juiste manier worden afgehandeld en geëvalueerd. Zo voorkom je herhaling.
1 Ad hoc
- Er is geen proces voor melden van datalekken aan de AP en betrokkenenDe personen van wie persoonsgegevens worden verwerkt..
- Er is geen duidelijkheid over wie verantwoordelijk is voor het melden van een datalekBij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident. aan de AP en betrokkenen.
- Er zijn geen vastgestelde tijdslijnen voor het melden van een datalek aan de AP en betrokkenen.
- Er is geen woordvoerder voor de communicatie over (mogelijke) datalekken met betrokkenen en/of media.
2 Herhaalbaar
- Er bestaat een Informeel proces voor het melden van datalekken aan de AP en betrokkenen, maar de implementatie en naleving zijn inconsistent.
- Verantwoordelijkheden voor het afhandelen en communiceren van datalekken zijn gedefinieerd, maar zijn niet altijd duidelijk voor alle betrokken partijen.
- De tijdslijnen waarbinnen datalekken worden gemeld zijn wisselend en er is geen vastgesteld proces voor het documenteren van de afhandeling van een datalek. Classificatie van de ernst (risicobeoordeling) van een datalek is afhankelijk van de betrokkenen.
3 Bepaald (streefniveau)
- Er is een gedetailleerd en gedocumenteerd proces voor het melden van datalekken aan de AP en betrokkenen, met daarin ten minste:
- Conceptberichten voor communicatie (onder anderen voor betrokkenen)
- Duidelijk gedefinieerde verantwoordelijkheden
- Documentatievereisten en tijdslijnen
- Er is een crisiscommunicatieplan voor datalekken met hoge impact.
- Het proces wordt consistent nageleefd.
4 Beheerst
Aanvullend op niveau 3:
- Het proces voor het melden van datalekken aan de AP en betrokkenen is volledig geïntegreerd in de organisatie, met consistente uitvoering en naleving.
- Het proces voor het melden van datalekken aan de AP en betrokkenen wordt periodiek geëvalueerd en, indien nodig, aangepast.
- Het crisiscommunicatieplan voor datalekken met hoge impact wordt periodiek geoefend, en indien nodig herzien.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Het proces voor het melden van datalekken aan de AP en betrokkenen is een standaard onderdeel van de bedrijfsvoering, wordt systematisch nageleefd en continu geëvalueerd en verbeterd.
- Het management wordt systematisch geïnformeerd over alle datalekken en genomen maatregelen.
- Er bestaat een hiërarchie (escalatieregels) voor escalatie naar de juiste managementniveaus.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Stel een proces op voor het melden van datalekken aan de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. en aan betrokkenen. Leg hierin vast welke informatie er nodig is om een volledige melding te kunnen doen en binnen welke termijn dit moet gebeuren en door wie.
- Meld datalekken tijdig bij de Autoriteit PersoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. en bij betrokkenen. Meld datalekken waarvan nog niet alle benodigde informatie bekend is als voorlopig bij de Autoriteit Persoonsgegevens. Deze voorlopige melding kan later worden aangevuld, aangepast of ingetrokken.
- Stel conceptberichten op voor de melding van datalekken aan betrokkenen.
- Stel een crisiscommunicatieplan op voor datalekken met veel impact.
Hulpmiddelen
Gerelateerde wetten en normen
Norm GB.02 Melding datalekken is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG) en de informatiebeveiligingsnormen.