Beleid inzake gegevensinbreuk

Invoering

Dit beleid en plan is bedoeld om Water2buy te helpen bij het effectief beheren van inbreuken op persoonsgegevens. Water2buy bewaart Persoonsgegevens over onze gebruikers, werknemers, klanten, leveranciers en andere individuen voor verschillende zakelijke doeleinden.

Water2buy zet zich niet alleen in naar de letter van de wet, maar ook naar de geest van de wet en hecht hoge waarde aan de juiste, rechtmatige en eerlijke omgang met alle Persoonsgegevens, met respect voor de wettelijke rechten, privacy en het vertrouwen van alle personen met wie het behandelt.

Een datalek verwijst doorgaans naar de ongeautoriseerde toegang tot en het opvragen van informatie die bedrijfs- en / of persoonlijke gegevens kan bevatten. Datalekken worden algemeen erkend als een van de duurdere beveiligingsfouten van organisaties. Ze kunnen leiden tot financiële verliezen en ervoor zorgen dat consumenten het vertrouwen in Water2buy of onze klanten verliezen.

De regelgeving in de verschillende rechtsgebieden waarin Water2buy actief is, vereist dat Water2buy redelijke beveiligingsmaatregelen treft om de persoonlijke gegevens die we bezitten of beheren te beschermen, om ongeautoriseerde toegang, verzameling, gebruik, openbaarmaking of soortgelijke risico’s te voorkomen.

Reikwijdte

Dit beleid is van toepassing op al het personeel. U moet bekend zijn met dit beleid en de voorwaarden naleven. Dit beleid vormt een aanvulling op ons andere beleid met betrekking tot internet- en e-mailgebruik. We kunnen dit beleid van tijd tot tijd aanvullen of wijzigen met aanvullende beleidsregels en richtlijnen. Elk nieuw of gewijzigd beleid wordt onder het personeel verspreid voordat het wordt aangenomen.

Opleiding

Alle medewerkers krijgen training over dit beleid. Nieuw personeel zal worden opgeleid als onderdeel van het introductieproces. Minstens elk jaar of wanneer er een substantiële wijziging in de wet of ons beleid en onze procedure is, wordt er minimaal elk jaar bijscholing gegeven.

De training wordt gegeven via een intern seminarie en online training op jaarbasis, en behandelt de toepasselijke wetten met betrekking tot gegevensbescherming, en de gegevensbescherming van Water2buy en aanverwante beleidslijnen en procedures.

Afronding van de opleiding is verplicht.

EU ALGEMENE GEGEVENSBESCHERMINGSVERORDENING (EU) 2016/679 (AVG)

De verordening is ook van toepassing op organisaties die buiten de Europese Unie zijn gevestigd als zij persoonsgegevens van EU-ingezetenen verzamelen of verwerken.

Volgens de Europese Commissie zijn Persoonsgegevens: “alle informatie met betrekking tot een persoon, of deze nu betrekking heeft op zijn of haar privé-, professionele of openbare leven. Het kan van alles zijn, van een naam, een huisadres, een foto, een e-mailadres. , bankgegevens, berichten op sociale netwerksites, medische informatie of het IP-adres van een computer. ”

Persoonlijke gegevens

Water2buy definieert Persoonsgegevens als de ruimere definitie van de AVG.

Water2buy definieert Gevoelige Persoonsgegevens als de ruimere definitie van de AVG.

Elk gebruik van gevoelige persoonlijke gegevens moet strikt worden gecontroleerd in overeenstemming met dit beleid.

Hoewel sommige gegevens altijd betrekking hebben op een persoon, hebben andere gegevens mogelijk niet op zichzelf betrekking op een persoon. Dergelijke gegevens zouden geen Persoonsgegevens vormen, tenzij ze verband houden met of verband houden met een bepaalde persoon.

Generieke informatie die geen betrekking heeft op een bepaalde persoon, kan ook deel uitmaken van de persoonlijke gegevens van een persoon wanneer deze wordt gecombineerd met persoonlijke gegevens of andere informatie om een persoon te kunnen identificeren.

Geaggregeerde gegevens zijn geen persoonlijke gegevens.

Water2buy verzamelt Persoonsgegevens voor twee doeleinden, om de gegevens die onze klanten ons geven te identificeren en te beschermen, en voor interne operaties.

Persoonsgegevens voor gezondheidscoaching hebben betrekking op identificeerbare individuele gebruikers en kunnen bestaan uit:

Gebruikersprofielinformatie zoals volledige naam, adres, mobiel telefoonnummer en persoonlijk e-mailadres;
Berichten tussen gebruikers en onze klantenservice.

Persoonsgegevens die we verzamelen voor interne operationele doeleinden hebben betrekking op identificeerbare personen zoals sollicitanten, huidige en voormalige werknemers, contract- en ander personeel, klanten, leveranciers en marketingcontacten, en de verzamelde gegevens kunnen de contactgegevens van personen, opleiding, financiële en betalingsgegevens, gegevens van certificaten en diploma’s, opleiding en vaardigheden, burgerlijke staat, nationaliteit, functietitel en cv.

Oorzaken

Datalekken kunnen worden veroorzaakt door medewerkers, externe partijen of computersysteemfouten.

Menselijke fout
Oorzaken van menselijke fouten zijn onder meer:

Verlies van computerapparatuur (draagbaar of anderszins), gegevensopslagapparaten of papieren documenten die persoonlijke gegevens bevatten
Gegevens doorgeven aan een verkeerde ontvanger
Omgaan met gegevens op een ongeoorloofde manier (bijvoorbeeld: downloaden van een lokale kopie van persoonlijke gegevens)
Ongeautoriseerde toegang of openbaarmaking van persoonlijke gegevens door werknemers (bijvoorbeeld: een login delen)
Onjuiste verwijdering van persoonlijke gegevens (bijvoorbeeld: harde schijf, opslagmedia of papieren documenten met persoonlijke gegevens die worden verkocht of weggegooid voordat de gegevens correct zijn verwijderd)

Schadelijke activiteiten
Schadelijke oorzaken zijn onder meer:

Hacking-incidenten / Illegale toegang tot databases met persoonlijke gegevens
Hacken om toegang te krijgen tot ongeautoriseerde gegevens via de Coaching-app of API
Diefstal van computerapparatuur (draagbaar of anderszins), gegevensopslagapparaten of papieren documenten die persoonlijke gegevens bevatten
Scams die het personeel van Water2buy misleiden om persoonlijke gegevens van individuen vrij te geven

Computersysteemfout
Oorzaken van computersysteemfouten zijn onder meer:

Fouten of bugs in de Water2buy-applicatie of API
Uitval van clouddiensten, cloud computing of cloudopslagbeveiligings- / authenticatie- / autorisatiesystemen

Inbreuken melden

Alle personeelsleden zijn verplicht om feitelijke of potentiële tekortkomingen op het gebied van gegevensbescherming te melden. Dit stelt ons in staat om:

Onderzoek de storing en neem indien nodig corrigerende maatregelen
Houd een register bij van nalevingsfouten
Stel de toezichthoudende autoriteit op de hoogte van nalevingsfouten die materieel zijn, hetzij op zichzelf, hetzij als onderdeel van een patroon van mislukkingen

Op grond van de AVG is de FG wettelijk verplicht om de toezichthoudende autoriteit binnen 72 uur na het datalek op de hoogte te stellen (artikel 33). Individuen moeten worden aangemeld als een negatief effect wordt vastgesteld (artikel 34). Bovendien moet Water2buy alle betrokken klanten onverwijld op de hoogte stellen nadat zij kennis hebben genomen van een inbreuk in verband met persoonsgegevens (artikel 33).

Water2buy hoeft de betrokkenen echter niet op de hoogte te stellen als er geanonimiseerde gegevens worden gelekt. De kennisgeving aan betrokkenen is met name niet vereist als de gegevensbeheerder pseudo-anonimiseringstechnieken heeft geïmplementeerd, zoals versleuteling, samen met passende technische en organisatorische beschermingsmaatregelen voor de persoonsgegevens die door de datalek zijn getroffen (artikel 34).

Gegevenslek

Het Datalek-team moet onmiddellijk op de hoogte worden gebracht van elke bevestigde of vermoede datalek.

De kennisgeving moet de volgende informatie bevatten, indien beschikbaar:

Omvang van het datalek
Type en volume van de betrokken persoonsgegevens
Oorzaak of vermoedelijke oorzaak van de inbreuk
Of de overtreding is verholpen
Maatregelen en processen die de organisatie had ingevoerd op het moment van de inbreuk
Informatie over of getroffen personen van het datalek op de hoogte zijn gebracht en zo niet, wanneer de organisatie dit van plan is
Contactgegevens van Water2buy-medewerkers waarmee de toezichthouder contact kan opnemen voor meer informatie of verduidelijking

Indien specifieke informatie van het datalek nog niet beschikbaar is, dient Water2buy een tussentijdse melding te sturen met daarin een korte omschrijving van het incident.

Kennisgevingen door organisaties of het uitblijven van een kennisgeving, evenals of organisaties over adequate herstelprocedures beschikken, zullen van invloed zijn op de beslissing (en) van toezichthoudende autoriteiten over de vraag of een organisatie de persoonsgegevens onder haar controle of bezit redelijkerwijs heeft beschermd.

Reageren op een datalek

BEHEERSPLAN VOOR GEGEVENSINBREUK

Bij melding van een (vermoeden of bevestigde) datalek, dient het Datalek Team onmiddellijk het datalek & responsplan te activeren.

Het beheer- en reactieplan voor datalekken van Water2buy is:

Bevestig de schending
Bevatten de schending
Beoordeel risico’s en impact
Meld het incident
Evalueer de respons en het herstel om toekomstige inbreuken te voorkomen

BEVESTIG DE INBREUK

Het Datalek Team (DBT) dient te handelen zodra het op de hoogte is van een datalek. Waar mogelijk moet hij eerst bevestigen dat het datalek heeft plaatsgevonden. Het kan zinvol zijn dat de DBT doorgaat met Contain the Breach op basis van een niet-bevestigd gemeld datalek, afhankelijk van de waarschijnlijkheid van de ernst van het risico.

BEVAT DE INBREUK

De DBT moet de volgende maatregelen overwegen om de inbreuk te beperken, indien van toepassing:

Sluit het gecompromitteerde systeem af dat tot het datalek heeft geleid.
Stel vast of er stappen kunnen worden ondernomen om verloren gegevens te herstellen en eventuele schade als gevolg van de inbreuk te beperken. (bijvoorbeeld: op afstand uitschakelen / wissen van een kwijtgeraakte notebook met persoonlijke gegevens van individuen.)
Voorkom verdere ongeautoriseerde toegang tot het systeem.
Reset wachtwoorden als accounts en / of wachtwoorden zijn gecompromitteerd.
Isoleer de oorzaken van het datalek in het systeem en wijzig waar van toepassing de toegangsrechten tot het gecompromitteerde systeem en verwijder externe verbindingen met het systeem.

BEOORDEL RISICO’S EN EFFECTEN

Door de risico’s en impact van datalekken te kennen, kan Water2buy bepalen of er ernstige gevolgen kunnen zijn voor de getroffen personen, evenals de stappen die nodig zijn om de betrokken personen op de hoogte te stellen.

Risico’s en gevolgen voor personen

Hoeveel mensen zijn getroffen?
Een hoger aantal betekent misschien niet een hoger risico, maar het beoordelen hiervan helpt de algehele risicobeoordeling.
Wiens persoonlijke gegevens zijn geschonden?
Zijn de persoonsgegevens van werknemers, klanten of minderjarigen? Verschillende mensen zullen met verschillende risiconiveaus worden geconfronteerd als gevolg van het verlies van persoonlijke gegevens.
Om welke soorten persoonsgegevens ging het?
Dit zal helpen om vast te stellen of er risico’s zijn voor de reputatie, identiteitsdiefstal, veiligheid en / of financieel verlies van getroffen personen.
Zijn er aanvullende maatregelen getroffen om de impact van een datalek te minimaliseren? bijvoorbeeld: een kwijtgeraakt apparaat beschermd door een sterk wachtwoord of versleuteling kan de impact van een datalek verminderen.

Risico’s en gevolgen voor organisaties

Wat veroorzaakte het datalek?
Door vast te stellen hoe de inbreuk plaatsvond (door diefstal, ongeval, ongeoorloofde toegang, enz.), Kunnen onmiddellijk stappen worden ondernomen om de inbreuk te beperken en het vertrouwen van het publiek in een product of dienst te herstellen.
Wanneer en hoe vaak vond de inbreuk plaats?
Door dit te onderzoeken, zal Water2buy een beter inzicht krijgen in de aard van de inbreuk (bijvoorbeeld kwaadwillig of per ongeluk).
Wie kan er toegang krijgen tot de gecompromitteerde persoonlijke gegevens?
Dit zal nagaan hoe de gecompromitteerde gegevens kunnen worden gebruikt. In het bijzonder moeten de betrokken personen op de hoogte worden gebracht als persoonlijke gegevens worden verkregen door een onbevoegde persoon.
Hebben gecompromitteerde gegevens invloed op transacties met andere derde partijen?
Door dit te bepalen, kan worden vastgesteld of andere organisaties moeten worden geïnformeerd.

MELD HET INCIDENT

Water2buy is wettelijk verplicht om getroffen personen op de hoogte te stellen als hun persoonlijke gegevens zijn geschonden. Dit zal individuen aanmoedigen om preventieve maatregelen te nemen om de impact van het datalek te verminderen, en Water2buy zal ook helpen om het vertrouwen van de consument te herstellen.

Wie te informeren:

Breng personen op de hoogte van wie de persoonlijke gegevens zijn gecompromitteerd.
Breng andere derde partijen op de hoogte, zoals banken, creditcardmaatschappijen of de politie, indien relevant.
Breng de AVG op de hoogte, vooral als een datalek betrekking heeft op gevoelige persoonsgegevens.
De relevante autoriteiten (bijvoorbeeld: politie) moeten op de hoogte worden gebracht als criminele activiteiten worden vermoed en bewijs voor onderzoek moet worden bewaard (bijvoorbeeld: hacking, diefstal of onbevoegde toegang tot het systeem door een werknemer).

Wanneer melden:

Breng getroffen personen onmiddellijk op de hoogte als een datalek betrekking heeft op gevoelige persoonsgegevens. Hierdoor kunnen ze in een vroeg stadium de nodige maatregelen nemen om mogelijk misbruik van de gecompromitteerde gegevens te voorkomen.
Stel de getroffen personen op de hoogte wanneer het datalek is opgelost

Hoe te melden:

Gebruik de meest effectieve manieren om de getroffen personen te bereiken, rekening houdend met de urgentie van de situatie en het aantal getroffen personen (bijv. Persberichten, sociale media, mobiele berichten, sms, e-mails, telefoongesprekken).
Meldingen moeten eenvoudig te begrijpen en specifiek zijn en duidelijke instructies geven over wat individuen kunnen doen om zichzelf te beschermen.

Wat te melden:

Hoe en wanneer het datalek zich heeft voorgedaan en de soorten persoonsgegevens die bij het datalek betrokken zijn.

Wat Water2buy heeft gedaan of gaat doen naar aanleiding van de risico’s die het datalek met zich meebrengt.
Specifieke feiten over het datalek, indien van toepassing, en acties die individuen kunnen ondernemen om te voorkomen dat die gegevens worden misbruikt of misbruikt.
Contactgegevens en hoe getroffen personen de organisatie kunnen bereiken voor meer informatie of hulp (bijv. Hulplijnnummers, e-mailadressen of website).

EVALUEER DE REACTIE EN HET HERSTEL OM TOEKOMSTIGE INBREUKEN TE VOORKOMEN

Nadat stappen zijn ondernomen om het datalek op te lossen, dient Water2buy de oorzaak van het datalek te onderzoeken en te evalueren of de bestaande beschermings- en preventiemaatregelen en -processen voldoende zijn om soortgelijke inbreuken te voorkomen, en waar van toepassing een einde te maken aan praktijken die hebben geleid tot de inbreuk. gegevenslek.

Operationele en beleidsgerelateerde problemen:

Werden er regelmatig audits uitgevoerd op zowel fysieke als IT-gerelateerde beveiligingsmaatregelen?
Zijn er processen die kunnen worden gestroomlijnd of ingevoerd om de schade te beperken bij toekomstige inbreuken of om terugval te voorkomen?
Waren er zwakke punten in de bestaande beveiligingsmaatregelen, zoals het gebruik van verouderde software en beschermingsmaatregelen, of zwakke punten in het gebruik van draagbare opslagapparaten, netwerken of connectiviteit met internet?
Waren de methoden voor toegang tot en verzending van persoonsgegevens voldoende veilig, bijvoorbeeld: de toegang is beperkt tot alleen geautoriseerd personeel?
Moeten ondersteunende diensten van externe partijen worden verbeterd, zoals leveranciers en partners, om persoonlijke gegevens beter te beschermen?
Waren de verantwoordelijkheden van verkopers en partners duidelijk omschreven met betrekking tot de omgang met persoonsgegevens?
Is het nodig om nieuwe scenario’s voor datalekken te ontwikkelen?

Problemen met bronnen:

Zijn er voldoende middelen toegewezen om het datalek te beheren?

Moeten externe middelen worden ingeschakeld om dergelijke incidenten beter te beheren?
Kreeg sleutelpersoneel voldoende middelen om het incident te beheren?

Werknemersgerelateerde problemen:

Waren werknemers zich bewust van beveiligingsproblemen?
Is er training gegeven op het gebied van de bescherming van persoonsgegevens en vaardigheden op het gebied van incidentbeheer?
Zijn medewerkers geïnformeerd over het datalek en de leerpunten van het incident?

Managementgerelateerde problemen:

Hoe was het management betrokken bij het beheer van het datalek?
Was er een duidelijke verantwoordelijkheids- en communicatielijn tijdens het beheer van het datalek?

Toezicht houden

Iedereen moet dit beleid naleven.

Gevolgen van het niet naleven

We nemen de naleving van dit beleid zeer serieus. Het niet naleven hiervan brengt zowel u als de organisatie in gevaar.

Het belang van dit beleid betekent dat het niet naleven van enige vereiste kan leiden tot disciplinaire maatregelen volgens onze procedures die kunnen leiden tot ontslag.

Beleid inzake gegevensinbreuk

Deel uw locatie om door te gaan