1. Home
  2. BELEID INZAKE GEGEVENSINBREUK

BELEID INZAKE GEGEVENSINBREUK

Inleiding

Volgens de General Data Protection Regulation (GDPR) moeten bepaalde inbreuken op persoonsgegevens worden gemeld aan de DPO en moeten in bepaalde omstandigheden de betrokkenen worden geïnformeerd.

Het doel van dit beleid is het schetsen van de interne procedure voor het rapporteren van inbreuken van Centrum voor functionele revalidatie vzw en ons interne en externe responsplan, en dit moet worden gelezen in samenhang met ons beleid voor gegevensbescherming.

Wat is een schending van persoonlijke gegevens?

Een inbreuk op persoonlijke gegevens is een “schending van de beveiliging die leidt tot de toevallige of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot overgedragen, opgeslagen of anderszins verwerkte persoonlijke gegevens”.

Een inbreuk is daarom een soort beveiligingsincident en er kunnen drie verschillende soorten inbreuken optreden:

  1. Schending van de vertrouwelijkheid – een toevallige of onbevoegde openbaarmaking van of toegang tot persoonlijke gegevens.
  2. Schending van de beschikbaarheid – een onbedoeld of onbevoegd verlies van toegang tot of vernietiging van persoonlijke gegevens.
  3. Schending van de integriteit – een toevallige of onbevoegde wijziging van persoonlijke gegevens.

Een inbreuk kan betrekking hebben op de vertrouwelijkheid, beschikbaarheid en integriteit van persoonlijke gegevens op hetzelfde moment, evenals op elke combinatie hiervan.

Een inbreuk op persoonlijke gegevens zou bijvoorbeeld het volgende omvatten:

  • persoonlijke gegevens die aan een onbevoegde persoon worden verstrekt, bijvoorbeeld een e-mail met persoonlijke gegevens die naar de verkeerde persoon wordt gestuurd.
  • een onbevoegd persoon die toegang heeft tot persoonlijke gegevens, bijvoorbeeld een personeelsbestand van een werknemer dat op ongepaste wijze wordt benaderd door een ander personeelslid als gevolg van een gebrek aan adequate interne controles.
  • een tijdelijk of permanent verlies van toegang tot persoonlijke gegevens, bijvoorbeeld wanneer de persoonlijke gegevens van een klant of klant gedurende een bepaalde periode niet beschikbaar zijn als gevolg van een systeemuitschakeling, stroomuitval, hardware- of softwarestoring, infectie door ransomware of virussen of een denial of service-aanval, als persoonlijke gegevens per ongeluk zijn verwijderd als gevolg van menselijke fouten of door een onbevoegde persoon of als de decodeersleutel voor veilig gecodeerde gegevens is kwijtgeraakt.

Deze lijst is niet volledig.

Melding aan de DPO

Niet alle inbreuken op persoonsgegevens hoeven aan de DPO te worden gemeld. De inbreuk hoeft alleen te worden gemeld als deze waarschijnlijk een risico voor de rechten en vrijheden van de betrokkenen zal opleveren, en dit moet door Centrum voor functionele revalidatie vzw per geval worden beoordeeld. Een inbreuk zal waarschijnlijk leiden tot een risico voor de rechten en vrijheden van de betrokkenen als dit bijvoorbeeld kan resulteren in:

  • verlies van controle over hun gegevens
  • beperking van hun rechten
  • discriminatie
  • identiteitsdiefstal
  • fraude
  • schade aan reputatie
  • financieel verlies
  • ongeautoriseerde omkering van pseudoniem
  • verlies van vertrouwelijkheid
  • elk ander belangrijk economisch of sociaal nadeel.

Wanneer een inbreuk rapporteerbaar is, moet Centrum voor functionele revalidatie vzw de DPO onverwijld en, waar mogelijk, uiterlijk 72 uur nadat het zich bewust is geworden van de inbreuk op de hoogte stellen. Als ons verslag te laat wordt ingediend, moet het ook de redenen voor onze vertraging uiteenzetten.

Onze kennisgeving moet ten minste omvatten:

  • een beschrijving van de aard van de inbreuk, inclusief, waar mogelijk, de categorieën en het geschatte aantal betrokkenen en de categorieën en het geschatte aantal betrokken records
  • De naam en contactgegevens van de CEO van Centrum voor functionele revalidatie vzw
  • een beschrijving van de waarschijnlijke gevolgen van de inbreuk
  • Een beschrijving van de maatregelen die Centrum voor functionele revalidatie vzw heeft genomen of zal nemen om de inbreuk aan te pakken en de mogelijke nadelige gevolgen ervan te verzachten.

We kunnen deze informatie in fasen verstrekken, zonder onnodige verdere vertraging, als ze niet allemaal tegelijkertijd kan worden verstrekt.

Het bewustzijn van de inbreuk doet zich voor wanneer we een redelijke mate van zekerheid hebben dat er een schending heeft plaatsgevonden. In sommige gevallen zal het vanaf het begin betrekkelijk duidelijk zijn dat er sprake is geweest van een schending. Wanneer echter niet duidelijk is of er al dan niet sprake is van een schending, We zullen een korte periode hebben om een eerste onderzoek uit te voeren nadat we voor het eerst geïnformeerd zijn over een mogelijke schending om met een redelijke mate van zekerheid vast te stellen of er al dan niet sprake is van een schending. Als we na dit korte eerste onderzoek vaststellen dat er een redelijke mate van waarschijnlijkheid is dat er sprake is van een schending, begint de 72 uur te lopen vanaf het moment van die ontdekking.

Communicatie met de betrokken betrokkenen

Wanneer de schending van persoonsgegevens waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van de betrokkenen, moet het bedrijf de inbreuk ook zonder onnodige vertraging, d.w.z. zo snel mogelijk, aan de betrokken betrokkenen meedelen. In heldere en duidelijke taal moeten we ze voorzien van:

  • een beschrijving van de aard van de inbreuk
  • De naam en contactgegevens van de CEO van Centrum voor functionele revalidatie vzw
  • een beschrijving van de waarschijnlijke gevolgen van de inbreuk
  • Een beschrijving van de maatregelen die Centrum voor functionele revalidatie vzw heeft genomen of zal nemen om de inbreuk aan te pakken en de mogelijke nadelige gevolgen ervan te verzachten.

We zullen er ook naar streven om de betrokkenen praktisch advies te geven over hoe ze zelf de schade kunnen beperken, bijvoorbeeld het annuleren van hun creditcards of het opnieuw instellen van hun wachtwoorden.

We zullen individueel, per e-mail, contact opnemen met de betrokkenen, tenzij het bedrijf hierdoor in onevenredige inspanning zou worden betrokken, zoals wanneer hun contactgegevens verloren zijn gegaan als gevolg van de inbreuk of niet bekend waren, in welk geval we een openbare mededeling zullen gebruiken, zoals een melding op onze website.

We hoeven de schending echter niet te melden aan de betrokkenen als:

  • we gepaste technische en organisatorische beschermingsmaatregelen hebben geïmplementeerd, en deze maatregelen zijn toegepast op de persoonsgegevens die door de inbreuk zijn getroffen, in het bijzonder die welke de persoonsgegevens onbegrijpelijk maken voor personen die niet gemachtigd zijn om toegang te krijgen tot deze gegevens, zoals geavanceerde encryptie, of
  • we verdere maatregelen hebben genomen die ervoor zorgen dat het grote risico voor de rechten en vrijheden van de betrokkenen niet langer zal bestaan.

Beoordelen van “risico” en “hoog risico”

Bij de beoordeling of een schending van persoonsgegevens leidt tot een risico of een hoog risico voor de rechten en vrijheden van de betrokkenen, zal het bedrijf rekening houden met de volgende criteria:

  • het soort inbreuk
  • de aard, gevoeligheid en omvang van de persoonlijke gegevens worden beïnvloed
  • eenvoudige identificatie van de betrokkenen – correct gecodeerde gegevens het is onwaarschijnlijk dat dit een risico oplevert als de decodering wordt uitgevoerd de sleutel werd niet gecompromitteerd in de breuk
  • de ernst van de gevolgen voor de betrokkenen
  • eventuele speciale kenmerken van de betrokkene
  • het aantal betrokkenen
  • Speciale kenmerken van de Vennootschap.

Data-breach-register

Centrum voor functionele revalidatie vzw zal een register bijhouden van alle inbreuken op persoonlijke gegevens, ongeacht of deze al dan niet aan de DPO kunnen worden gemeld. Het register bevat een record van:

  • de feiten met betrekking tot de inbreuk, waaronder de oorzaak van de inbreuk, wat er is gebeurd en welke persoonsgegevens zijn beïnvloed
  • de gevolgen van de inbreuk
  • de corrigerende maatregelen die we hebben genomen.

Procedure voor het rapporteren van inbreuken op gegevens

Als u weet of vermoedt dat er sprake is van een schending van persoonlijke gegevens, moet u zowel de zaakvoerder van Centrum voor functionele revalidatie vzw als de DPO onmiddellijk op de hoogte stellen. U dient ervoor te zorgen dat u alle bewijzen die u hebt met betrekking tot de inbreuk bewaart en u moet een schriftelijke verklaring overleggen waarin alle relevante informatie wordt uiteengezet die betrekking heeft op de daadwerkelijke of vermoede schending van persoonlijke gegevens, waaronder:

  • uw naam, functie en contactgegevens
  • de datum van de feitelijke of vermoede inbreuk
  • de datum waarop u de werkelijke of vermoede ontdekking hebt gedaan schending
  • de datum van uw verklaring
  • een samenvatting van de feiten met betrekking tot de feitelijke of vermoede inbreuk, inclusief de soorten en de hoeveelheid persoonlijke gegevens
  • wat volgens u de oorzaak van de werkelijkheid is of vermoedelijke inbreuk
  • of de feitelijke of vermoede schending nog steeds aan de gang is
  • wie volgens u kan worden beïnvloed door de feitelijke of vermoede inbreuk.

U moet dan het verdere advies van de CEO en DPO volgen. U mag nooit zelf proberen de feitelijke of vermoede schending te onderzoeken en u mag niet proberen de betrokken betrokkenen op de hoogte te stellen. Centrum voor functionele revalidatie vzw zal de feitelijke of vermoede schending van persoonsgegevens onderzoeken en beoordelen in overeenstemming met het hieronder beschreven actieplan en het Data Breach-team zal bepalen wie er geïnformeerd moet worden en hoe.

Responsplan

De CEO en/of de DPO van Centrum voor functionele revalidatie vzw zal een team samenstellen om de schending van persoonsgegevens te onderzoeken, te beheren en te reageren. Zij zullen dit team leiden. Het Data Breach-team zal dan:

  1. Een dringende voorlopige beoordeling maken van welke gegevens verloren zijn gegaan, waarom en hoe.
  2. Onmiddellijk stappen ondernemen om de inbreuk te beperken en verloren gegevens te herstellen.
  3. Een volledige en gedetailleerde beoordeling uitvoeren van de inbreuk.
  4. Het datalek registreren in het register voor gegevensinbreuk van Centrum voor functionele revalidatie vzw
  5. De DPO informeren waar de inbreuk waarschijnlijk zal leiden tot een risico voor de rechten en vrijheden van de betrokkenen.
  6. De betrokken informeren waar de inbreuk waarschijnlijk zal resulteren in een hoog risico voor hun rechten en vrijheden.
  7. Op de inbreuk reageren door verdere maatregelen te nemen om deze aan te pakken en de mogelijke nadelige gevolgen ervan te verzachten, en om toekomstige schendingen te voorkomen.

Versiedatum: 31/05/2022

Centrum voor functionele revalidatie vzw

Stationsstraat 409060 Zelzate

info@revalidatiecentrum.be +32 9 345 93 33

Openingsuren

ma:8u45 - 12u0012u45 - 17u00
di:8u45 - 12u0012u45 - 17u30
wo:8u45 - 12u1513u00 - 17u00
do:8u45 - 12u0012u45 - 17u00
vr:8u45 - 12u0012u45 - 17u00
Website door Heftig