6. Incidentprocedure privacy- en beveiligingsincidenten

Dit deel is een richtlijn over wanneer het kenmerk “Privacy en Beveiliging” (P&B) van toepassing is op een incident en hoe de ernst van een P&B incident wordt bepaald.

P&B is een aanvullend kenmerk dat een incident of calamiteit kan bezitten. Of bij een gemeld incident of calamiteit de eigenschap P&B wordt herkend, bepaalt (in eerste instantie) de medewerker van de servicedesk van de aanmeldende Suwinet-partij, die incidenten registreert en in behandeling neemt. Dit wordt afgestemd met de medewerker Service Support van de Suwidesk tijdens de kwalificatie van de call.

Definitie gebruikte termen

Privacy: de mate waarin persoonsgegevens zijn beschermd tegen het in handen vallen van onbevoegden.

Beveiliging: omvat de volgende deelgebieden:

  • Beschikbaarheid: de mate waarin een faciliteit beschikbaar is op momenten dat dit voor een ketenproces is gewenst en/of is afgesproken
  • Integriteit: de mate waarin de werking van processen en de gegevens zonder fouten zijn
  • Vertrouwelijkheid: de mate waarin processen en gegevens slechts beschikbaar zijn voor diegenen die daar recht op hebben, ook wel exclusiviteit genoemd.

Onderscheid tussen de P&B-aspecten bij de behandeling van incidenten

De afhandeling van incidenten en calamiteiten die uitsluitend betrekking hebben op het aspect Beschikbaarheid, wordt verzorgd door de standaard incidentafhandelingsprocedure aanvullende eisen worden er niet gesteld. Registratie met een extra kenmerk ‘P&B incident’ blijft voor deze incidenten wel noodzakelijk vanwege rapportage en sturingsdoeleinden.

Deze procedure richt zich dus op het P&B-incident of -calamiteit waarmee inbreuk op de vertrouwelijkheid, integriteit en/of de privacy plaats vindt.

Voorbeelden van vertrouwelijkheid-incidenten:

Personen of applicaties kunnen/konden  toegang krijgen tot beschermde faciliteiten en/of gegevens (zowel gegevens die beschermd zijn door een applicatie als gegevens op een beveiligde informatiedrager)  zonder dat zij daar recht op hadden, bijvoorbeeld:

  1. Aan een persoon of applicatie is een autorisatie en/of rol (toegangsrechten) gegeven zonder dat hiervoor toestemming is verleend door een bevoegd persoon (Hiervan is dus ook sprake wanneer van de ongeautoriseerde toegang geen gebruik is gemaakt);
  2. Een reeds geopende beschermde faciliteit of gegevens is/zijn voor onbevoegden beschikbaar (bijvoorbeeld op een onbewaakte terminal).
  3. De toegangsmiddelen (verkregen al dan niet met de medewerking van een andere geautoriseerde) (bijvoorbeeld username/password) worden gebruikt door een andere geautoriseerde (Dit geldt ook wanneer de overtreder dezelfde autorisatie bezit.)
  4. Autorisatiemechanismen worden omzeild, bijvoorbeeld:
    1. door het niet of onvoldoende functioneren van beveiligingsmechanismen;
    2. doordat de werkende beveiligingsmechanismen onvoldoende bescherming bieden;
    3. vanwege een succesvolle aanval door een hacker

Voorbeelden van privacy-incidenten:

Persoonsgegevens zijn of waren  beschikbaar voor personen voor wie deze niet zijn bedoeld (Hiervan is sprake, wanneer van deze beschikbaarheid geen gebruik is gemaakt), bijvoorbeeld vanwege:

  1. het verwerken van persoonsgegevens zonder dat daar een dossier aan ten grondslag ligt;
  2. de zichtbaarheid voor onbevoegden van persoonsgegevens op een beeldscherm of document op een onvoldoende bewaakte werkplek (De eisen aan de kwaliteit van de afsluiting, bescherming of bewaking hangt af van de gevoeligheid van de informatie; deze eisen moeten zijn vermeld in een ter plaatse geldend en bekend gemaakt document, bijvoorbeeld over documentclassificatie);
  3. het opbergen van documenten of onbeschermde gegevensdragers met persoonsgegevens in een onvoldoend bewaakte of afgesloten kast of lade;
  4. het opslaan van elektronische persoonsgegevens op een onvoldoend beschermd of bewaakt medium;
  5. het afdrukken van persoonsgegevens op een onvoldoend bewaakte printer of kopieerapparaat;
  6. het transport van documenten of onbeschermde gegevensdragers met persoonsgegevens op een onvoldoend beschermde

Verantwoordelijkheid voor beoordeling en afhandeling

Bij het beoordelen en het proces van afhandelen van beveiligingsincidenten hebben de security en privacy functionarissen van de betrokken organisaties een prominente rol. En zijn verantwoordelijk voor de coördinatie en afhandeling van incidenten.

Beoordeling P&B-Ernst

De ernst van het aspect P&B wordt beoordeeld op basis van de onderstaande tabel.

Ernst

Omschrijving per aspect

Licht

De schending blijft binnen de hieronder omschreven criteria:

Een schending van de privacy en/of de exclusiviteit was/is beperkt van omvang en kon/kan worden gecorrigeerd zonder dat de privacy van de betreffende personen hiervan schade ondervinden of hebben ondervonden (ls een persoon wiens privacy het betreft een klacht heeft ingediend die verband houdt met dit incident, dan is de ernst “Hoog”).

Een dergelijk incident heeft, vergeleken met niet-P&B incidenten, een afwijkende afhandeling nodig, gericht op het:

*       zo nodig opheffen van oorzaak van de gebeurtenis;

*       zo nodig herstellen van de schade;

*       starten van een wijziging ter voorkoming van een herhaling van de gebeurtenis De laatste actie mag pas worden overgeslagen als het risico van een herhaling gering is en de kosten en inspanning daarmee onevenredig hoog zijn. (Risico is het product van de kans dat het incident zich herhaalt en de schade die daarvan het gevolg kan zijn).

Hoog

De schending blijft binnen de omschreven criteria:

Een schending van de privacy en/of de exclusiviteit was/is van aanzienlijke omvang en kon/kan niet worden gecorrigeerd zonder dat de privacy van de betreffende personen hiervan schade ondervinden of hebben ondervonden of hiervoor een reëel risico lopen of liepen (Als een persoon wiens privacy het betreft een klacht heeft ingediend die verband houdt met dit incident, dan is de ernst minimaal “Hoog”).

Een dergelijk incident heeft, vergeleken met niet-P&B incidenten, een afwijkende afhandeling nodig, gericht op het zo spoedig mogelijk:

*       opheffen van de oorzaak van de gebeurtenis;

*       zonodig informeren van de betrokkenen;

*       herstellen van de schade;

*       starten van een wijziging ter voorkoming van een herhaling van de gebeurtenis

Zeer Hoog

=Calamiteit

De schending voldoet aan de volgende criteria:

Een schending van de privacy en/of beveiliging was/is van omvang zodanig dat deze de bedrijfsvoering van één of meerdere Suwi-partijen raakt, het ministerie raakt, of een publieke zaak wordt.

Een dergelijk incident escaleert naar de verantwoordelijke vergtegenwoordiger(s) van betrokken partijen.

Als is aangetoond dat de schadelijke werking van een P&B-calamiteit kan worden opgeheven door het uitschakelen van (een deel) van Suwinet, dan zal de Security Officer van het BKWI, in overleg met de betrokken Security Officers van de ketenpartijen en mogelijk met technisch deskundigen, hiertoe opdracht geven aan de Suwidesk.

De meldplicht datalekken geldt al sinds 2016. Onder de nieuwe Europese privacywet die sinds 25 mei 2018 geldt, de Algemene verordening gegevensbescherming (AVG), blijft de meldplicht datalekken bestaan. De Autoriteit Persoonsgegevens kan hoge boetes opleggen als organisaties zich niet houden aan de Wet Bescherming persoonsgegevens, waaronder het niet (tijdig) melden van datalekken.

De meldplicht en boetedreiging dwingt organisaties om naar de AP en naar de getroffen personen transparant te zijn over datalekken en om datalekken zo snel mogelijk te dichten. Datalekken

Een datalek gaat altijd over persoonsgegevens en niet over (gevoelige) bedrijfsinformatie. Bij een datalek is sprake van een ‘inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking’. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking.

Ook een vermoeden van datalek dient gemeld te worden aan de Autoriteit Persoonsgegevens. Als het vermoeden vals alarm blijkt te zijn kan de melding weer ingetrokken worden.

Procesgang

Als er een (vermoeden van een) datalek is, wordt dit als een prio 1 incident gemeld bij de Suwidesk. Bij een vermoeden van datalek wordt het partij eigen proces gevolgd en daarnaast de Suwidesk geïnformeerd. Dit dient zowel schriftelijk (per mail aan Suwidesk@bkwi.nl) en daarnaast ook verplicht telefonisch gemeld te worden. Dit in verband met de 72 uur termijn die staat voor de melding aan de Autoriteit Persoonsgegevens.

Bij de melding aan de Suwidesk wordt in elk geval het volgende aangegeven:

  • of er sprake is van een datalek
  • zo ja, of het een meldenswaardig datalek is
  • Van hoeveel personen is de data gelekt?
  • Welke persoonsgegevens zijn gelekt?
  • Wat is de oorzaak van het lek?
  • Is het lek onder controle?
  • Welke maatregelen zijn er (al) getroffen?

Verder volgt dit datalek het proces van incidentbeheer prio 1 met als enige verschil de mogelijke melding bij de Autoriteit Persoonsgegevens. Elke partij heeft zijn eigen verantwoordelijkheid bij het melden van een Datalek bij de Autoriteit Persoonsgegevens. Als bij BKWI een datalek geconstateerd door BKWI vindt deze melding plaats via UWV.