Retningslinjer for databrudd

Innledning

Denne policyen og planen har som mål å hjelpe Water2buy med å håndtere brudd på personopplysninger effektivt. Water2buy oppbevarer personopplysninger om våre brukere, ansatte, kunder, leverandører og andre individer for en rekke forretningsformål.

Water2buy er forpliktet ikke bare til lovens bokstav, men også til lovens ånd og legger en høy premie på korrekt, lovlig og rettferdig håndtering av alle personopplysninger, med respekt for alle juridiske rettigheter, personvern og tillit. enkeltpersoner som den handler med.

Et databrudd refererer vanligvis til uautorisert tilgang og henting av informasjon som kan omfatte bedrifts- og/eller personopplysninger. Datainnbrudd er generelt anerkjent som en av de mer kostbare sikkerhetsfeilene til organisasjoner. De kan føre til økonomiske tap, og føre til at forbrukere mister tilliten til Water2buy eller kundene våre.

Regelverket på tvers av de forskjellige jurisdiksjonene der Water2buy opererer, krever at Water2buy tar rimelige sikkerhetsordninger for å beskytte personopplysningene vi besitter eller kontrollerer, for å forhindre uautorisert tilgang, innsamling, bruk, avsløring eller lignende risikoer.

 

Omfang

Denne retningslinjene gjelder for alle ansatte. Du må være kjent med denne policyen og overholde vilkårene. Denne policyen supplerer våre andre retningslinjer knyttet til bruk av internett og e-post. Vi kan fra tid til annen supplere eller endre denne retningslinjen med ytterligere retningslinjer og retningslinjer. Eventuelle nye eller modifiserte retningslinjer vil bli sirkulert til ansatte før de vedtas.

Opplæring

Alle ansatte vil motta opplæring i denne retningslinjen. Nytt personale vil få opplæring som en del av introduksjonsprosessen. Videre opplæring vil bli gitt minst hvert år eller når det er en vesentlig endring i loven eller vår policy og prosedyre.

Opplæring gis gjennom et internt seminar og nettbasert opplæring på årlig basis, og dekker gjeldende lover knyttet til databeskyttelse, og Water2buys databeskyttelse og relaterte retningslinjer og prosedyrer.

Fullføring av opplæring er obligatorisk.

 

EU GENERELL FORORDNING FOR DATABESKYTTELSE (EU) 2016/679 (GDPR)

 

Forskriften gjelder også for organisasjoner basert utenfor EU hvis de samler inn eller behandler personopplysninger om innbyggere i EU.

 

I følge EU-kommisjonen er personopplysninger: «enhver informasjon knyttet til en person, enten den er relatert til hans eller hennes private, profesjonelle eller offentlige liv. Det kan være alt fra et navn, en hjemmeadresse, et bilde, en e-postadresse, bankdetaljer, innlegg på sosiale nettverksnettsteder, medisinsk informasjon eller en datamaskins IP-adresse.«

 

Personlige data

Water2buy definerer personopplysninger som den bredere av definisjonene i GDPR.

Water2buy definerer sensitive personopplysninger som den bredere av definisjonene i GDPR.

All bruk av sensitive personopplysninger skal kontrolleres strengt i samsvar med denne policyen.

Selv om noen data alltid vil være relatert til en person, kan det hende at andre data ikke alene er relatert til en person. Slike data vil ikke utgjøre personopplysninger med mindre de er knyttet til, eller laget for å relatere til, en bestemt person.

Generisk informasjon som ikke er relatert til en bestemt person, kan også utgjøre en del av en persons personopplysninger når den kombineres med personopplysninger eller annen informasjon for å gjøre det mulig å identifisere en person.

 

Aggregerte data er ikke personopplysninger.

Water2buy samler inn personopplysninger til to formål, for å identifisere og beskytte dataene gitt til oss av våre kunder, og for intern drift.

Personlig data for helsecoaching gjelder identifiserbare individuelle brukere og kan omfatte:

  • Brukerprofilinformasjon som fullt navn, adresse, mobiltelefonnummer og personlig e-postadresse;
  • Meldinger mellom brukere og vår kundeservice.

Personlig data vi samler inn for interne operasjonelle formål er relatert til identifiserbare individer som jobbsøkere, nåværende og tidligere ansatte, kontraktsansatte og andre ansatte, kunder, leverandører og markedsføringskontakter, og dataene som samles inn kan inkludere enkeltpersoners kontaktdetaljer, pedagogisk bakgrunn, økonomiske og lønnsdetaljer, detaljer om sertifikater og vitnemål, utdanning og ferdigheter, sivilstand, nasjonalitet, stillingstittel og CV.

 

Årsaker

Databrudd kan være forårsaket av ansatte, parter utenfor organisasjonen eller datasystemfeil.

 

Menneskelig feil
Årsakene til menneskelige feil inkluderer:

  • Tap av dataenheter (bærbare eller andre), datalagringsenheter eller papirposter som inneholder personlige data
  • Avsløre data til feil mottaker
  • Håndtering av data på en uautorisert måte (f.eks. nedlasting av en lokal kopi av personopplysninger)
  • Uautorisert tilgang eller avsløring av personopplysninger av ansatte (f.eks. deling av pålogging)
  • Feilaktig avhending av personopplysninger (f.eks.: harddisk, lagringsmedier eller papirdokumenter som inneholder personopplysninger som selges eller kastes før data er riktig slettet)

 

Ondsinnede aktiviteter
Ondsinnede årsaker inkluderer:

  • Hacking-hendelser / Ulovlig tilgang til databaser som inneholder personopplysninger
  • Hacking for å få tilgang til uautoriserte data via Coaching-appen eller API
  • Tyveri av dataenheter (bærbare eller andre), datalagringsenheter eller papirposter som inneholder personlige data
  • Svindel som lurer Water2buy-ansatte til å frigi personopplysninger om enkeltpersoner

 

Datamaskinfeil
Årsaker til datamaskinsystemfeil inkluderer:

  • Feil eller feil i Water2buy’-applikasjonen eller API
  • Svikt i skytjenester, skydatabehandling eller skylagringssikkerhet / autentisering / autorisasjonssystemer

 

Rapportering av brudd

Alle ansatte har en forpliktelse til å rapportere faktiske eller potensielle svikt i samsvar med databeskyttelse. Dette lar oss:

  • Undersøk feilen og iverksett tiltak om nødvendig
  • Oppretthold et register over samsvarsfeil
  • Varsle tilsynsmyndigheten om eventuelle overholdelsessvikt som er vesentlige enten i seg selv eller som en del av et mønster av feil

 

I henhold til GDPR er DPO juridisk forpliktet til å varsle tilsynsmyndigheten innen 72 timer etter databruddet (artikkel 33). Enkeltpersoner må varsles hvis det fastslås en negativ påvirkning (artikkel 34). I tillegg må Water2buy varsle eventuelle berørte kunder uten unødig forsinkelse etter å ha blitt oppmerksom på et brudd på personopplysninger (artikkel 33).

 

Men Water2buy trenger ikke å varsle de registrerte dersom anonymiserte data brytes. Spesifikt er det ikke nødvendig med varsling til registrerte personer dersom den behandlingsansvarlige har implementert pseudo-anonymiseringsteknikker som kryptering sammen med tilstrekkelige tekniske og organisatoriske beskyttelsestiltak for personopplysningene som er berørt av databruddet (artikkel 34).

 

Databrudd

Datainnbruddsteamet bør umiddelbart varsles om bekreftede eller mistenkte datainnbrudd.

Varselet skal inneholde følgende informasjon, der det er tilgjengelig:

  • Omfanget av datainnbruddet
  • Type og volum av personopplysninger involvert
  • Årsak eller mistenkt årsak til bruddet
  • Om bruddet er rettet
  • Tiltak og prosesser som organisasjonen hadde satt i verk på tidspunktet for bruddet
  • Informasjon om hvorvidt berørte personer om databruddet ble varslet og hvis ikke, når organisasjonen har til hensikt å gjøre det
  • Kontaktinformasjon til Water2buy-ansatte som tilsynsmyndigheten kan ha kontakt med for ytterligere informasjon eller avklaring

 

Hvis spesifikk informasjon om datainnbruddet ennå ikke er tilgjengelig, bør Water2buy sende en midlertidig melding som inneholder en kort beskrivelse av hendelsen.

Varsler gitt av organisasjoner eller mangel på varsling, samt hvorvidt organisasjoner har tilstrekkelige gjenopprettingsprosedyrer på plass, vil påvirke tilsynsmyndighetenes beslutning(er) om hvorvidt en organisasjon med rimelighet har beskyttet personopplysningene under dens kontroll eller besittelse.

 

Reagere på et databrudd

 

DATABRUDD ADMINISTRERINGSPLAN

Etter å ha blitt varslet om et (mistenkt eller bekreftet) datainnbrudd, bør datainnbruddsteamet umiddelbart aktivere datainnbruddet og responsplanen.

Water2buy’ håndtering og responsplan for datainnbrudd er:

  1. Bekreft bruddet
  2. Inneholde bruddet
  3. Vurder risiko og innvirkning
  4. Rapporter hendelsen
  5. Evaluer responsen og gjenopprettingen for å forhindre fremtidige brudd

 

BEkreft BRUDDET

Datainnbruddsteamet (DBT) bør handle så snart det er klar over et databrudd. Der det er mulig, bør den først bekrefte at databruddet har skjedd. Det kan være fornuftig for DBT å fortsette Behold bruddet på grunnlag av et ubekreftet rapportert databrudd, avhengig av sannsynligheten for alvorlighetsgraden av risikoen.

 

INNHOLD BRUDDET

DBT bør vurdere følgende tiltak for å begrense bruddet, der det er aktuelt:

  • Slå av det kompromitterte systemet som førte til databruddet.
  • Ta fast om det kan tas skritt for å gjenopprette tapte data og begrense eventuelle skader forårsaket av bruddet. (f.eks: ekstern deaktivering / sletting av en tapt notatbok som inneholder personopplysninger om enkeltpersoner.)
  • Forhindre ytterligere uautorisert tilgang til systemet.
  • Tilbakestill passord hvis kontoer og/eller passord har blitt kompromittert.
  • Isoler årsakene til databruddet i systemet, og endre tilgangsrettighetene til det kompromitterte systemet der det er aktuelt og fjern eksterne tilkoblinger til systemet.

 

Vurder RISIKO OG PÅVIRKNING

Å kjenne til risikoen og virkningen av datainnbrudd vil hjelpe Water2buy å avgjøre om det kan være alvorlige konsekvenser for berørte individer, samt trinnene som er nødvendige for å varsle de berørte individene.

 

Risiko og innvirkning på enkeltpersoner

  • Hvor mange mennesker ble berørt?
    Et høyere tall betyr kanskje ikke en høyere risiko, men å vurdere dette hjelper den generelle risikovurderingen.
  • Hvis personopplysninger ble brutt?
    Tilhører personopplysningene ansatte, kunder eller mindreårige? Ulike mennesker vil møte ulike nivåer av risiko som følge av tap av personopplysninger.
  • Hvilke typer personopplysninger var involvert?
    Dette vil bidra til å fastslå om det er risiko for omdømme, identitetstyveri, sikkerhet og/eller økonomisk tap for berørte personer.
  • Er det noen ytterligere tiltak på plass for å minimere virkningen av et datainnbrudd? f.eks.: En tapt enhet beskyttet av et sterkt passord eller kryptering kan redusere virkningen av et datainnbrudd.

 

Risiko og innvirkning på organisasjoner

  • Hva forårsaket datainnbruddet?
    Avgjøre hvordan bruddet oppsto (gjennom tyveri, ulykke, uautorisert tilgang osv.) vil bidra til å identifisere umiddelbare tiltak for å begrense bruddet og gjenopprette offentlig tillit til et produkt eller en tjeneste.
  • Når og hvor ofte skjedde bruddet?
    Å undersøke dette vil hjelpe Water2buy bedre å forstå arten av bruddet (f.g ondsinnet eller utilsiktet).
  • Hvem kan få tilgang til de kompromitterte personopplysningene?
    Dette vil finne ut hvordan de kompromitterte dataene kan brukes. Spesielt må berørte personer varsles dersom personopplysninger erverves av en uautorisert person.
  • Vil kompromitterte data påvirke transaksjoner med andre tredjeparter?
    Hvis du bestemmer dette, blir det lettere å identifisere om andre organisasjoner må varsles.

 

RAPPORTER HENDELSEN

Water2buy er juridisk pålagt å varsle berørte enkeltpersoner hvis deres personlige data har blitt brutt. Dette vil oppmuntre enkeltpersoner til å ta forebyggende tiltak for å redusere virkningen av datainnbruddet, og også hjelpe Water2buy med å gjenoppbygge forbrukernes tillit.

Hvem skal varsle:

  • Varsle enkeltpersoner hvis personlige data har blitt kompromittert.
  • Varsle andre tredjeparter som banker, kredittkortselskaper eller politiet, der det er relevant.
  • Varsle GDPR, spesielt hvis et databrudd involverer sensitive personopplysninger.
  • De relevante myndighetene (f.eks: politiet) bør varsles hvis det er mistanke om kriminell aktivitet og bevis for etterforskning bør bevares (f.eks. hacking, tyveri eller uautorisert systemtilgang av en ansatt.)

 

Når du skal varsle:

  • Varsle berørte enkeltpersoner umiddelbart hvis et databrudd involverer sensitive personopplysninger. Dette lar dem ta nødvendige tiltak tidlig for å unngå potensielt misbruk av de kompromitterte dataene.
  • Varsle berørte personer når databruddet er løst

 

Hvordan varsle:

  • Bruk de mest effektive måtene å nå ut til berørte individer, og ta i betraktning hvor haster situasjonen er og antall berørte individer (f.g mediemeldinger, sosiale medier, mobilmeldinger, SMS, e-post, telefonsamtaler).
  • Varsler skal være enkle å forstå, spesifikke og gi klare instruksjoner om hva enkeltpersoner kan gjøre for å beskytte seg selv.

 

Hva du skal varsle:

  • Hvordan og når databruddet skjedde, og hvilke typer personopplysninger som er involvert i databruddet.
  • Hva Water2buy har gjort eller vil gjøre som svar på risikoen forårsaket av databruddet.
  • Spesifikke fakta om databruddet der det er aktuelt, og handlinger enkeltpersoner kan iverksette for å forhindre at dataene blir misbrukt eller misbrukt.
  • Kontaktdetaljer og hvordan berørte personer kan nå organisasjonen for ytterligere informasjon eller assistanse (f.g hjelpetelefonnumre, e-postadresser eller nettsted).

 

VURDER SVARET OG GENOPPRETNING FOR Å FORHINDRE FREMTIDIGE BRUDD

Etter at skritt er tatt for å løse databruddet, bør Water2buy gjennomgå årsaken til bruddet og vurdere om eksisterende beskyttelses- og forebyggingstiltak og prosesser er tilstrekkelige til å forhindre at lignende brudd oppstår, og der det er aktuelt sette en stopper for praksis som førte til datainnbruddet.

 

Operasjons- og policyrelaterte problemer:

  • Var det regelmessig utført revisjoner av både fysiske og IT-relaterte sikkerhetstiltak?
  • Finnes det prosesser som kan strømlinjeformes eller introduseres for å begrense skaden hvis fremtidige brudd skjer eller for å forhindre tilbakefall?
  • Var det svakheter i eksisterende sikkerhetstiltak som bruk av utdatert programvare og beskyttelsestiltak, eller svakheter ved bruk av bærbare lagringsenheter, nettverk eller tilkobling til Internett?
  • Var metodene for tilgang til og overføring av personopplysninger tilstrekkelig sikre, f.eks.: tilgang begrenset til kun autorisert personell?
  • Bør støttetjenester fra eksterne parter forbedres, for eksempel leverandører og partnere, for bedre å beskytte personopplysninger?
  • Var ansvaret til leverandører og partnere klart definert i forhold til håndtering av personopplysninger?
  • Er det behov for å utvikle nye scenarier for datainnbrudd?

Ressursrelaterte problemer:

  • Ble tilstrekkelige ressurser tildelt for å håndtere datainnbruddet?
  • Bør eksterne ressurser engasjeres for å bedre håndtere slike hendelser?
  • Fikk nøkkelpersonell tilstrekkelige ressurser til å håndtere hendelsen?

 

Ansattrelaterte problemer:

  • Var ansatte klar over sikkerhetsrelaterte problemer?
  • Var det gitt opplæring i spørsmål om beskyttelse av personopplysninger og ferdigheter i hendelseshåndtering?
  • Ble ansatte informert om datainnbruddet og læringspunktene fra hendelsen?

 

Administrasjonsrelaterte problemer:

  • Hvordan var ledelsen involvert i håndteringen av datainnbruddet?
  •  Var det en klar linje for ansvar og kommunikasjon under håndteringen av datainnbruddet?

 

Overvåking

Alle må overholde disse retningslinjene.

Konsekvenser av manglende overholdelse

Vi tar overholdelse av disse retningslinjene svært alvorlig. Manglende etterlevelse setter både deg og organisasjonen i fare.

Betydningen av disse retningslinjene betyr at manglende overholdelse av ethvert krav kan føre til disiplinærtiltak i henhold til våre prosedyrer som kan resultere i oppsigelse.