Dateverletzungspolitik

Aféierung

Dës Politik a Plang zielt Water2buy ze hëllefen d'Verstéiss vu perséinlechen Dateschutz effektiv ze managen. Water2buy hält perséinlech Donnéeën iwwer eis Benotzer, Mataarbechter, Clienten, Fournisseuren an aner Individuen fir eng Vielfalt vu Geschäftszwecker.

Water2buy engagéiert sech net nëmmen zum Bréif vum Gesetz, mee och zum Geescht vum Gesetz a setzt eng héich Prime op de korrekten, gesetzlechen a fairen Ëmgang mat all perséinlechen Donnéeën, respektéiert déi gesetzlech Rechter, Privatsphär a Vertrauen vun all Persounen mat deenen et handelt.

En Dateverletzung bezitt sech allgemeng op den onerlaabten Zougang an d'Erhuelung vun Informatioun, déi Firmen- an / oder perséinlech Daten enthalen. Dateverletzungen ginn allgemeng als ee vun de méi deier Sécherheetsfehler vun Organisatiounen unerkannt. Si kënnen zu finanzielle Verloschter féieren, a verursaache Konsumenten Vertrauen an Water2buy oder eise Clienten ze verléieren.

D'Reglementer iwwer déi verschidde Jurisdiktiounen an deenen Water2buy operéiert erfuerdert Water2buy fir raisonnabel Sécherheetsarrangementer ze maachen fir déi perséinlech Donnéeën ze schützen déi mir besëtzen oder kontrolléieren, fir onerlaabten Zougang, Sammlung, Notzung, Verëffentlechung oder ähnlech Risiken ze vermeiden.

 

Ëmfang

Dës Politik gëllt fir all Personal. Dir musst mat dëser Politik vertraut sinn a seng Konditioune respektéieren. Dës Politik ergänzt eis aner Politiken betreffend Internet an E-Mail Benotzung. Mir kënnen dës Politik duerch zousätzlech Politiken a Richtlinnen vun Zäit zu Zäit ergänzen oder änneren. All nei oder geännert Politik gëtt un d'Personal zirkuléiert ier se ugeholl ginn.

Formatioun

All Personal kritt Training iwwer dës Politik. Neit Personal kritt Training als Deel vum Induktiounsprozess. Weiderbildung gëtt op d'mannst all Joer oder wann et eng substantiell Ännerung vum Gesetz oder eiser Politik a Prozedur ass.

Training gëtt duerch en internen Seminar an Online Training op jährlecher Basis zur Verfügung gestallt, an deckt déi applicabel Gesetzer betreffend Dateschutz, a Water2buy 'Dateschutz a verbonne Politiken a Prozeduren.

Ofschloss vun der Formatioun ass obligatoresch.

 

EU GENERAL DATAPROTECTION REGULATION (EU) 2016/679 (GDPR)

 

D'Regulatioun gëlt och fir Organisatiounen, déi ausserhalb vun der Europäescher Unioun baséieren, wa se perséinlech Donnéeë vun EU-Awunner sammelen oder veraarbecht.

 

Laut der Europäescher Kommissioun, Perséinlech Donnéeën sinn: "All Informatioun betreffend eng Persoun, egal ob et zu sengem oder hirem privaten, berufflechen oder ëffentleche Liewen ass. Et kann alles vun engem Numm sinn, eng Heemadress, eng Foto, eng E-Mailadress, Bankdetailer, Posts op sozialen Netzwierk Websäiten, medizinesch Informatioun oder d'IP Adress vun engem Computer. "

 

Perséinlech Donnéeën

Water2buy definéiert Perséinlech Donnéeën als déi breet vun den Definitiounen, déi am GDPR enthale sinn.

Water2buy definéiert sensibel perséinlech Donnéeën als déi breet vun den Definitiounen am GDPR.

All Notzung vu sensiblen perséinlechen Donnéeën soll strikt kontrolléiert ginn am Aklang mat dëser Politik.

Während e puer Donnéeën ëmmer op en Individuum bezéien, kënnen aner Donnéeën net eleng op en Individuum bezéien. Esou Donnéeë géife keng perséinlech Donnéeën ausmaachen, ausser et ass mat engem bestëmmten Individuum verbonnen oder gemaach fir ze bezéien.

Generesch Informatioun déi net mat engem bestëmmten Individuum bezunn ass, kann och en Deel vun de perséinlechen Donnéeën vun engem Individuum bilden wann se kombinéiert mat Perséinlechen Donnéeën oder aner Informatioune fir en Individuum z'identifizéieren.

 

Aggregéiert Donnéeën si keng perséinlech Donnéeën.

Water2buy sammelt Perséinlech Daten fir zwee Zwecker, fir d'Donnéeën ze identifizéieren an ze schützen, déi eis vun eise Clienten ginn, a fir intern Operatiounen.

Perséinlech Donnéeën fir Gesondheet Coaching bezéie sech op identifizéierend individuell Benotzer a kënnen enthalen:

  • Benotzerprofilinformatioun wéi Vollnumm, Adress, Handysnummer a perséinlech E-Mailadress;
  • Messagen tëscht Benotzer an eisem Clientsservice.

Perséinlech Donnéeën, déi mir fir intern operationell Zwecker sammelen, bezéie sech op identifizéierbar Individuen wéi Jobbewerber, aktuell a fréier Mataarbechter, Kontrakt an aner Mataarbechter, Clienten, Fournisseuren a Marketingkontakter, an d'Date gesammelt kënne Kontaktdetailer vun Individuen enthalen, pädagogesch Hannergrond, finanziell a bezuelen Detailer, Detailer vun Certificaten an Diplomer, Ausbildung a Kompetenzen, Etat Civil, Nationalitéit, Aarbecht Titel, an CV.

 

Ursaachen

Dateverletzungen kënnen duerch Mataarbechter verursaacht ginn, Parteien extern vun der Organisatioun oder Computersystemfehler.

 

Mënschefehler
Mënschefehler Ursaachen enthalen:

  • Verléiere vu Rechengeräter (portabel oder soss), Datenspeichergeräter oder Pabeierrecords mat perséinlechen Donnéeën
  • Daten un engem falschen Empfänger verëffentlechen
  • Daten op eng net autoriséiert Manéier behandelen (zB: eng lokal Kopie vu perséinlechen Donnéeën eroflueden)
  • Onerlaabten Zougang oder Verëffentlechung vu perséinlechen Donnéeë vu Mataarbechter (zB: Deele vun engem Login)
  • Ongerecht Entsuergung vu perséinlechen Donnéeën (zB: Festplack, Späichermedien oder Pabeierdokumenter mat perséinlechen Donnéeën verkaaft oder verworf ier d'Daten richteg geläscht ginn)

 

Béiswëlleg Aktivitéiten
Béiswëlleg Ursaachen enthalen:

  • Hacking Tëschefäll / Illegalen Zougang zu Datenbanken mat perséinlechen Donnéeën
  • Hacking fir Zougang zu onerlaabten Daten iwwer d'Coaching App oder API
  • Déifstall vu Rechengeräter (portabel oder soss), Datespäichergeräter oder Pabeierrecords mat perséinlechen Donnéeën
  • Scams déi Water2buy Personal trickéieren fir perséinlech Donnéeën vun Individuen ze verëffentlechen

 

Computersystemfehler
Computersystemfehler Ursaachen enthalen:

  • Feeler oder Bugs an der Water2buy' Applikatioun, oder API
  • Feele vu Cloud Servicer, Cloud Computing oder Cloud Storage Sécherheet / Authentifikatioun / Autorisatioun Systemer

 

Verstéiss mellen

All Membere vum Personal hunn eng Verpflichtung fir aktuell oder potenziell Dateschutzkonformitéitsfehler ze mellen. Dëst erlaabt eis:

  • Untersuchen den Echec an huelt remediéiert Schrëtt wann néideg
  • E Register vun Konformitéitsfehler behalen
  • Notéiert d'Iwwerwaachungsautoritéit iwwer all Konformitéitsfehler déi materiell sinn entweder an hirem eegene Recht oder als Deel vun engem Muster vu Feeler

 

Ënnert dem GDPR ass den DPO gesetzlech verpflicht d'Opsiichtsautoritéit bannent 72 Stonnen no der Dateverletzung z'informéieren (Artikel 33). Eenzelne musse matgedeelt ginn, wann en negativen Impakt festgestallt gëtt (Artikel 34). Zousätzlech muss Water2buy all betraffe Clienten ouni onnéideg Verspéidung matdeelen nodeems se vun enger perséinlecher Dateverletzung bewosst ginn (Artikel 33).

 

Wéi och ëmmer, Water2buy muss d'Datensujeten net informéieren wann anonymiséiert Donnéeën verletzt ginn. Besonnesch ass d'Notiz un den Datebedeelegten net erfuerderlech wann den Datekontroller Pseudo-Anonymiséierungstechnike wéi Verschlësselung zesumme mat adäquate techneschen an organisatoresche Schutzmoossnamen op déi perséinlech Donnéeën, déi vun der Dateverletzung betraff sinn, ëmgesat huet (Artikel 34).

 

Dateverletzung

D'Dateverletzung Team soll direkt vun all bestätegt oder verdächtegt Dateverletzung alarméiert ginn.

D'Notifikatioun soll déi folgend Informatioun enthalen, wa verfügbar:

  • Ausmooss vun der Dateverletzung
  • Typ a Volumen vu perséinlechen Donnéeën involvéiert
  • Ursaach oder verdächtegt Ursaach vum Verstouss
  • Ob de Verstouss korrigéiert gouf
  • Moossnamen a Prozesser, déi d'Organisatioun zum Zäitpunkt vun der Verstouss gesat huet
  • Informatioun iwwer ob betraff Persoune vun der Dateverletzung matgedeelt goufen a wann net, wéini d'Organisatioun wëlles dat ze maachen
  • Kontaktdetailer vum Water2buy-Personal mat deenen d'Opsiichtsautoritéit sech fir weider Informatioun oder Erklärung ka mellen

 

Wou spezifesch Informatioun vum Dateverletzung nach net verfügbar ass, sollt Water2buy eng Tëschenzäit Notifikatioun schécken, déi eng kuerz Beschreiwung vum Tëschefall enthält.

Notifikatiounen vun Organisatiounen gemaach oder de Mangel un Notifikatioun, souwéi ob Organisatiounen adäquat Erhuelungsprozeduren op der Plaz hunn, beaflossen d'Entscheedung(en) vun der Iwwerwaachungsautoritéiten iwwer ob eng Organisatioun déi perséinlech Donnéeën ënner hirer Kontroll oder Besëtz raisonnabel geschützt huet.

 

Reaktioun op eng Dateverletzung

 

DATABREACH MANAGEMENT PLAN

Beim Notifikatioun vun enger (verdächteger oder bestätegter) Dateverletzung, sollt d'Dateverletzung Team direkt den Dateverletzung & Äntwertplang aktivéieren.

Water2buy' Dateverletzungsmanagement an Äntwertplang ass:

  1. Confirméiert de Verstouss
  2. D'Verletzung enthalen
  3. Risiken an Impakt bewäerten
  4. Meld den Tëschefall
  5. Evaluéiert d'Äntwert & Erhuelung fir zukünfteg Verstéiss ze vermeiden

 

DEN BREACH BESTÉIEREN

D'Dateverletzung Team (DBT) sollt handelen soubal et vun enger Dateverletzung bewosst ass. Wann et méiglech ass, sollt et als éischt bestätegen datt d'Dateverletzung geschitt ass. Et kann Sënn maachen fir den DBT weiderzeféieren Contain the Breach op Basis vun engem onbestätegt gemellt Datebroch, ofhängeg vun der Wahrscheinlechkeet vun der Gravitéit vum Risiko.

 

DEN BREACH INHALT

Den DBT soll déi folgend Moossname berücksichtegen fir de Verstouss ze enthalen, wa relevant:

  • Schalt de kompromittéierte System aus, deen zu der Dateverletzung gefouert huet.
  • Etabléiert ob Schrëtt kënne geholl ginn fir verluer Donnéeën ze recuperéieren an all Schued ze limitéieren deen duerch d'Verletzung verursaacht gëtt. (zB: Ofstand auszeschalten / wëschen e verluerene Notizbuch mat perséinlechen Donnéeën vun Individuen. )
  • Verhënnert weider onerlaabten Zougang zum System.
  • Passwierder zrécksetzen wann Konten an/oder Passwierder kompromittéiert goufen.
  • Isoléiert d'Ursaachen vun der Dateverletzung am System, a wann et zoutrëfft, d'Zougängsrechter op de kompromittéierte System änneren an extern Verbindunge mam System ewechhuelen.

 

RISKEN AN IMPAKT bewäerten

Wësse vun de Risiken an den Impakt vun Dateverletzungen hëlleft Water2buy festzestellen, ob et eescht Konsequenze fir betraff Persoune kéinte sinn, souwéi d'Schrëtt noutwendeg fir déi betraffe Persounen z'informéieren.

 

Risiko an Impakt op Eenzelpersounen

  • Wéi vill Leit ware betraff?
    Eng méi héich Zuel bedeit vläicht net e méi héije Risiko, awer d'Bewäertung vun dësem hëlleft allgemeng Risikobewäertung.
  • Wien seng perséinlech Donnéeë goufe verletzt?
    Héiert déi perséinlech Donnéeën u Mataarbechter, Clienten oder Mannerjäreger? Verschidde Leit kréie variéierend Risikoniveauen als Resultat vun engem Verloscht vu perséinlechen Donnéeën.
  • Wéi eng Zort vu perséinlechen Donnéeën waren involvéiert?
    Dëst hëlleft festzestellen, ob et Risiko fir Ruff, Identitéitsklau, Sécherheet an/oder finanzielle Verloscht vu betraffene Leit besteet.
  • All zousätzlech Moossnamen op der Plaz fir den Impakt vun enger Dateverletzung ze minimiséieren? zB: e verluerene Gerät geschützt mat engem staarke Passwuert oder Verschlësselung kéint den Impakt vun enger Dateverletzung reduzéieren.

 

Risiko an Impakt op Organisatiounen

  • Wat huet den Dateverletzung verursaacht?
    Bestëmmung wéi de Verstouss geschitt ass (duerch Déifstall, Accident, onerlaabten Zougang, asw. ) hëlleft direkt Schrëtt z'identifizéieren fir de Verstouss ze enthalen an d'ëffentlech Vertrauen an e Produkt oder Service ze restauréieren.
  • Wéini a wéi dacks ass de Verstouss geschitt?
    Dëst ënnersicht hëlleft Water2buy d'Natur vun der Verstouss besser ze verstoen (z. g béiswëlleg oder zoufälleg).
  • Wien kéint Zougang zu de kompromittéierten perséinlechen Donnéeë kréien?
    Dëst wäert feststellen wéi déi kompromittéiert Donnéeë benotzt kënne ginn. Besonnesch betraff Persoune musse matgedeelt ginn, wa perséinlech Donnéeë vun enger net autoriséierter Persoun erfaasst ginn.
  • Gëtt kompromittéiert Donnéeën Transaktioune mat all aner Drëttubidder beaflossen?
    Dëst ze bestëmmen hëlleft z'identifizéieren ob aner Organisatioune musse matgedeelt ginn.

 

MELD DEN Tëschefall

Water2buy ass gesetzlech erfuerderlech fir betraffe Leit z'informéieren wann hir perséinlech Donnéeë verletzt goufen. Dëst wäert Individuen encouragéieren präventiv Moossnamen ze huelen fir den Impakt vun der Dateverletzung ze reduzéieren, an och Water2buy hëllefen d'Vertrauen vum Konsument opzebauen.

Wien ze notéieren:

  • Informéiert Persounen deenen hir perséinlech Donnéeën kompromittéiert goufen.
  • Aner Drëttpersoune wéi Banken, Kreditkaartfirmen oder d'Police informéieren, wa relevant.
  • GDPR notéieren besonnesch wann eng Dateverletzung sensibel perséinlech Donnéeën involvéiert.
  • Déi zoustänneg Autoritéiten (zB: Police) solle matgedeelt ginn wann kriminell Aktivitéit verdächtegt ass a Beweiser fir Enquête solle bewahrt ginn (zB Hacking, Vol oder onerlaabten Systemzougang vun engem Employé. )

 

Wéini Notifikatioun:

  • Betraffen Individuen direkt informéieren wann eng Dateverletzung sensibel perséinlech Donnéeën involvéiert. Dëst erlaabt hinnen déi néideg Aktiounen fréi ze huelen fir potenziell Mëssbrauch vun de kompromittéierten Donnéeën ze vermeiden.
  • Betraffene Leit informéieren wann d'Dateverletzung geléist ass

 

Wéi Notifikatioun:

  • Benotzt déi effektivste Weeër fir betraff Persounen z'erreechen, andeems Dir d'Urgence vun der Situatioun an d'Zuel vun den betraffenen Individuen berücksichtegt (z. g Medienreleases, Social Media, Mobile Messagerie, SMS, E-Mailen, Telefonsuriff).
  • Notifikatioune sollen einfach ze verstoen, spezifesch sinn a kloer Instruktiounen ubidden iwwer wat Eenzelne maache kënnen fir sech selwer ze schützen.

 

Wat Notifikatioun:

  • Wéi a wéini d'Dateverletzung geschitt ass, an d'Zorte vu perséinlechen Donnéeën déi an der Dateverletzung involvéiert sinn.
  • Wat Water2buy gemaach huet oder wäert maachen an Äntwert op d'Risiken, déi duerch d'Dateverletzung entstoen.
  • Spezifesch Fakten iwwer d'Dateverletzung, wou zoutrëfft, an d'Aktiounen déi eenzel kënnen huelen fir ze verhënneren datt dës Donnéeën mëssbraucht oder mëssbraucht ginn.
  • Kontaktdetailer a wéi betraff Persoune kënnen d'Organisatioun erreechen fir weider Informatioun oder Hëllef (z. g Helpline Zuelen, E-Mail Adressen oder Websäit).

 

EVALUÉIERT D'RESPONS & RECOVERY FIR ZE FUTURE BREACHEN TE PRIVEREN

Nodeems Schrëtt geholl gi sinn fir d'Dateverletzung ze léisen, sollt Water2buy d'Ursaach vum Verstouss iwwerpréiwen an evaluéieren ob existent Schutz- a Präventiounsmoossnamen a Prozesser genuch sinn fir ähnlech Verstéiss ze verhënneren, a wa relevant Praktiken ophalen déi zu der Dateverletzung gefouert.

 

Operationell a Politik-Zesummenhang Themen:

  • Warn Auditen regelméisseg iwwer kierperlech an IT-relatéiert Sécherheetsmoossname gemaach?
  • Ginn et Prozesser déi rationaliséiert oder agefouert kënne ginn fir de Schued ze limitéieren wann zukünfteg Verstéiss geschitt oder e Réckwee ze verhënneren?
  • War et Schwächen an existéierende Sécherheetsmoossnamen wéi d'Benotzung vun aler Software a Schutzmoossnamen, oder Schwächten an der Notzung vun portable Späichergeräter, Netzwierker oder Konnektivitéit zum Internet?
  • Waren d'Methoden fir Zougang an Iwwerdroung vu perséinlechen Donnéeën genuch sécher, zB: Zougang nëmmen un autoriséiert Personal limitéiert?
  • Sollt Ënnerstëtzungsservicer vun externe Parteien verbessert ginn, wéi Ubidder a Partner, fir perséinlech Donnéeë besser ze schützen?
  • Waren d'Verantwortung vun de Verkeefer a Partner kloer definéiert par rapport zum Ëmgank mat perséinlechen Donnéeën?
  • Gëtt et e Besoin fir nei Szenarie fir Dateverletzung z'entwéckelen?

Ressource-Zesummenhang Themen:

  • War genuch Ressourcen zougewisen fir d'Dateverletzung ze managen?
  • Sollt extern Ressourcen engagéiert ginn fir esou Tëschefäll besser ze geréieren?
  • Gitt Schlësselpersonal genuch Ressourcen kritt fir den Tëschefall ze managen?

 

Employé Zesummenhang Problemer:

  • Wunnen d'Mataarbechter sech iwwer Sécherheetsproblemer bewosst?
  • War Training iwwer perséinlech Dateschutz Themen an Tëschefallmanagement Fäegkeeten ugebueden?
  • Warn d'Mataarbechter iwwer den Dateverletzung informéiert an d'Léierpunkte vum Tëschefall?

 

Gestiounsrelatéiert Themen:

  • Wéi war d'Gestioun an der Gestioun vun der Dateverletzung involvéiert?
  •  War et eng kloer Linn vu Verantwortung a Kommunikatioun wärend der Gestioun vun der Dateverletzung?

 

Iwwerwaachung

Jiddereen muss dës Politik beobachten.

Konsequenze vun net nozekommen

Mir huelen d'Konformitéit mat dëser Politik ganz eescht. Versoe vun der Konformitéit bréngt Iech an d'Organisatioun a Gefor.

D'Wichtegkeet vun dëser Politik bedeit datt d'Versoen vun all Fuerderung zu Disziplinaraktiounen ënner eise Prozedure féieren kann, wat zu Entloossung féiere kann.