Uniscape hecht belang aan de bescherming van persoonsgegevens, waaronder alle informatie waarmee een persoon geïdentificeerd kan worden. Datalekken vormen een ernstig risico en moeten waar mogelijk worden vermeden. In deze policy wordt uiteengezet wat u moet doen als er onverhoopt toch sprake is van een datalek bij Uniscape.
Persoonsgegevens
Waar in deze policy gesproken wordt over “persoonsgegevens” betekent dit alle informatie waarmee de identiteit van een persoon kan worden vastgesteld. Waar gesproken wordt over “verwerking” van persoonsgegevens, gaat het om onder meer verzamelen, gebruiken, opslaan en beveiligen van persoonsgegevens.
Wat is een datalek?
In het algemeen kan een datalek kan worden omschreven als een beveiligingsincident waardoor de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens wordt of is aangetast. Er is sprake van een datalek als persoonsgegevens verloren zijn gegaan, vernietigd, verminkt of gelekt, als iemand de gegevens onbevoegd inziet of doorgeeft, als gegevens per ongeluk worden gewist of vernietigd of als de gegevens ontoegankelijk worden gemaakt, bijvoorbeeld als ze worden versleuteld door ransomware.
Een aantal specifieke voorbeelden van datalekken zijn:
- Verzending van een e-mail aan een verkeerd adres;
- Het hacken van een computer, mobiele telefoon of software of een malware-aanval daarop;
- het openen van een ‘phishing’ e-mail;
- Verlies of diefstal van een mobiele telefoon waarop bedrijfsgegevens zijn opgeslagen;
- het per ongeluk wissen van een harde schijf dat het enige exemplaar van de gegevens van een persoon bevat, en waarvan geen back-up bestaat;
- verlies of diefstal van een laptop of USB-stick.
Na ontdekking, dient het (vermoedelijke) datalek intern gemeld te worden
Een vermoedelijk datalek moet onmiddellijkper e-mail worden gemeld aan info@uniscape.nl.
Daarnaast moet u het vermoede datalek melden aan uw leidinggevende en aan elke andere afdeling en/of persoon die daar mogelijk bij betrokken is of door geraakt kan worden. Indien u eventuele herstelacties kunt nemen, dient u dat direct te doen.
Beoordeling van een datalek en te ondernemen maatregelen
Na melding van het datalek wordt door juridische zaken vastgesteld of de betrokken gegevensbeschermingsautoriteiten gewaarschuwd moeten worden. Daarnaast moet worden vastgesteld of de betrokkenen van wie de persoonsgegevens door het datalek zijn getroffen moeten worden geïnformeerd en/of welke (andere) herstelactie(s) genomen moet worden. Daarbij dient het volgende stappenplan gevolgd te worden:
1. datalek wordt ontdekt
2. datalek wordt intern gemeld
3. acties die vervolgens tegelijk moeten plaatsvinden:
a. Neem alle herstelacties die nodig zijn
b. uitzoeken of de impact zodanig is dat melding bij de AP gedaan moet worden (evt. in overleg tussen juridische zaken en YUR)
i. indien wel melding: binnen 72 uur na ontdekken datalek
ii. indien geen melding: beargumenteer schriftelijk (intern) waarom geen melding noodzakelijk is
c. uitzoeken of de impact zodanig is dat betrokkenen geïnformeerd moeten worden (evt. in overleg tussen juridische zaken en YUR)
i. indien ja: standaard reactie opstellen voor betrokkenen
ii. indien nee: beargumenteer schriftelijk (intern) waarom geen informatie aan betrokkenen noodzakelijk is
4. vermeld het datalek en alle ins en outs in het datalekregister (incl. de evt. melding aan de AP en evt. de tekst van de melding aan betrokkenen)
Termijn voor het informeren van de gegevensbeschermingsautoriteiten
Indien het datalek gemeld moet worden aan de gegevensbeschermingsautoriteiten, dient dit binnen 72 uur na ontdekking ervan te geschieden.
Datalekkenregister
Uniscape houdt een datalekkenregister bij, waarin alle datalekken worden omschreven met de daarbij relevante informatie.
Niet naleving van deze policy
Niet-naleving van deze policy inzake datalekken kan leiden tot disciplinaire maatregelen.