Beveiligingsincidenten

Meldingenprocedure

• Medewerkers (eventueel via een klant) melden informatiebeveiligingsgebeurtenissen en incidenten bij de ISMS verantwoordelijke. Deze is verantwoordelijk voor de afhandeling van de melding.

Beveiligingsincident

• Onder beveiligingsincident wordt verstaan: een gebeurtenis waarbij de mogelijkheid bestaat dat de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of informatieverwerkende systemen in gevaar is of kan komen.

Datalek

• Er is sprake van een datalek wanneer bij het beveiligingsincident persoonsgegevens verloren zijn gegaan of onrechtmatige verwerking niet is uit te sluiten.

• Hieronder valt ook ongeoorloofde of onbedoelde toegang, vernietiging, wijziging en tijdelijk of permanent verlies van controle over of toegang tot de persoonsgegevens.

• Datalekken met een hoog risico voor betrokkenen dienen binnen 72 uur te worden gemeld bij de Autoriteit Persoonsgegevens. Het gaat dan om persoonsgegevens van gevoelige aard of een datalek die kan leiden tot ernstige nadelige gevolgen voor betrokkenen.

• Een datalek hoeft niet te worden gemeld wanneer vooraf maatregelen zijn getroffen ter bescherming van de persoonsgegevens (bijvoorbeeld encryptie) en de gegevens nog intact zijn. Ook hoeft geen melding te worden gedaan wanneer de ontvanger betrouwbaar is (bijvoorbeeld er is sprake van een geheimhoudingsplicht, de ontvanger volgt instructies op met betrekking tot vernietiging van persoonsgegevens).

• Indien van toepassing wordt documentatie verzameld die nodig is voor bewijsvoering in een civiel of strafrechtelijk onderzoek, schadeclaims of toezicht vanuit de Autoriteit Persoonsgegevens. Documentatie kan o.a. bestaan uit bespreekverslagen, printscreens, e-mails, controle op logs, bevindingen van ICT-specialisten, processen verbaal.

Platform bugs

• Vanuit het platform kunnen ook Bugs worden gemeld. Een bug kan in relatie staan met een beveiligingsincident en dient dan ook apart gerapporteerd te worden.