Dataintrångspolicy

Introduktion

Denna policy och plan syftar till att hjälpa Water2buy att effektivt hantera intrång i personuppgifter. Water2buy innehar personuppgifter om våra användare, anställda, kunder, leverantörer och andra individer för en mängd olika affärsändamål.

Water2buy är engagerad inte bara till lagens bokstav utan också till lagens anda och lägger en hög premie på korrekt, laglig och rättvis hantering av alla personuppgifter, med respekt för allas lagliga rättigheter, integritet och förtroende personer som det handlar om.

Ett dataintrång hänvisar i allmänhet till obehörig åtkomst och hämtning av information som kan innefatta företags- och/eller personuppgifter. Dataintrång är allmänt erkända som ett av de dyrare säkerhetsfelen hos organisationer. De kan leda till ekonomiska förluster och få konsumenter att tappa förtroendet för Water2buy eller våra kunder.

Reglerna över de olika jurisdiktionerna där Water2buy verkar kräver att Water2buy vidtar rimliga säkerhetsarrangemang för att skydda de personuppgifter som vi besitter eller kontrollerar, för att förhindra obehörig åtkomst, insamling, användning, avslöjande eller liknande risker.

 

Omfattning

Denna policy gäller för all personal. Du måste vara bekant med denna policy och följa dess villkor. Denna policy kompletterar våra andra policyer som rör internet- och e-postanvändning. Vi kan komma att komplettera eller ändra denna policy med ytterligare policyer och riktlinjer från tid till annan. Alla nya eller ändrade policyer kommer att cirkuleras till personalen innan de antas.

Träning

All personal kommer att få utbildning i denna policy. Ny personal kommer att få utbildning som en del av introduktionsprocessen. Vidareutbildning kommer att tillhandahållas minst varje år eller närhelst det sker en väsentlig förändring av lagen eller vår policy och procedur.

Utbildning ges genom ett internt seminarium och onlineutbildning på årsbasis, och täcker tillämpliga lagar som rör dataskydd, och Water2buys dataskydd och relaterade policyer och procedurer.

Utbildning är obligatoriskt.

 

EU:s ALLMÄNNA DATASKYDDSFÖRORDNING (EU) 2016/679 (GDPR)

 

Reglering gäller även organisationer baserade utanför Europeiska unionen om de samlar in eller behandlar personuppgifter om EU-medborgare.

 

Enligt Europeiska kommissionen är personuppgifter: ”all information som rör en individ, oavsett om den hänför sig till hans eller hennes privata, yrkesmässiga eller offentliga liv. Det kan vara allt från ett namn, en hemadress, ett foto, en e-postadress, bankuppgifter, inlägg på sociala nätverkswebbplatser, medicinsk information eller en dators IP-adress. "

 

Personliga uppgifter

Water2buy definierar personuppgifter som den bredare av definitionerna i GDPR.

Water2buy definierar känsliga personuppgifter som den bredare av definitionerna i GDPR.

All användning av känsliga personuppgifter ska kontrolleras strikt i enlighet med denna policy.

Medan vissa uppgifter alltid kommer att hänföra sig till en individ, kanske andra uppgifter i sig inte hänför sig till en individ. Sådana uppgifter skulle inte utgöra personuppgifter såvida de inte är förknippade med eller görs för att relatera till en viss individ.

Generisk information som inte relaterar till en viss individ kan också utgöra en del av en individs personuppgifter när den kombineras med personuppgifter eller annan information för att en individ ska kunna identifieras.

 

Aggregerade data är inte personuppgifter.

Water2buy samlar in personuppgifter för två syften, för att identifiera och skydda de uppgifter som ges till oss av våra kunder, och för intern verksamhet.

Personliga data för hälsocoaching avser identifierbara individuella användare och kan inkludera:

  • Användarprofilinformation som fullständigt namn, adress, mobiltelefonnummer och personlig e-postadress;
  • Meddelanden mellan användare och vår kundtjänst.

Personliga uppgifter som vi samlar in för interna operativa syften avser identifierbara individer såsom arbetssökande, nuvarande och tidigare anställda, kontraktsanställda och annan personal, kunder, leverantörer och marknadsföringskontakter, och de insamlade uppgifterna kan innefatta individers kontaktuppgifter, utbildning bakgrund, ekonomiska och löneuppgifter, detaljer om certifikat och diplom, utbildning och färdigheter, civilstånd, nationalitet, jobbtitel och CV.

 

Orsaker

Dataintrång kan orsakas av anställda, parter utanför organisationen eller datorsystemfel.

 

Human Error
Human Error orsaker inkluderar:

  • Förlust av datorenheter (bärbara eller på annat sätt), datalagringsenheter eller pappersregister som innehåller personuppgifter
  • Avslöja data till fel mottagare
  • Hantera data på ett obehörigt sätt (t.ex. ladda ner en lokal kopia av personuppgifter)
  • Obehörig åtkomst eller avslöjande av personuppgifter av anställda (t.ex. dela en inloggning)
  • Okorrekt kassering av personuppgifter (t.ex. hårddisk, lagringsmedia eller pappersdokument som innehåller personuppgifter som säljs eller kasseras innan data raderas korrekt)

 

Skadliga aktiviteter
Skadliga orsaker inkluderar:

  • Hackingincidenter / Olaglig åtkomst till databaser som innehåller personuppgifter
  • Hackning för att komma åt obehörig data via Coaching-appen eller API
  • Stöld av datorenheter (bärbara eller på annat sätt), datalagringsenheter eller pappersregister som innehåller personuppgifter
  • Bedrägerier som lurar Water2buys personal att släppa personlig information om individer

 

Datorsystemfel
Orsaker till datorsystemfel inkluderar:

  • Fel eller buggar i Water2buy’-applikationen eller API
  • Fel i molntjänster, molnberäkning eller molnlagringssäkerhet / autentisering / auktoriseringssystem

 

Rapportera överträdelser

Alla anställda har en skyldighet att rapportera faktiska eller potentiella brister i efterlevnad av dataskydd. Detta tillåter oss att:

  • Undersök felet och vidta åtgärder vid behov
  • Upprätthålla ett register över efterlevnadsfel
  • Meddela tillsynsmyndigheten om eventuella efterlevnadsfel som är väsentliga antingen i sig själva eller som en del av ett mönster av fel

 

I enlighet med GDPR är dataskyddsombudet juridiskt skyldigt att meddela tillsynsmyndigheten inom 72 timmar efter dataintrånget (artikel 33). Individer måste underrättas om negativ påverkan fastställs (artikel 34). Dessutom måste Water2buy underrätta alla berörda kunder utan onödigt dröjsmål efter att ha fått kännedom om ett personuppgiftsintrång (artikel 33).

 

Men Water2buy behöver inte meddela de registrerade om anonymiserad data bryter mot. Specifikt krävs inte meddelande till registrerade om den personuppgiftsansvarige har implementerat pseudo-anonymiseringstekniker som kryptering tillsammans med adekvata tekniska och organisatoriska skyddsåtgärder för de personuppgifter som påverkas av dataintrånget (artikel 34).

 

Dataintrång

Dataintrångsteamet bör omedelbart underrättas om alla bekräftade eller misstänkta dataintrång.

Meddelandet bör innehålla följande information, där den är tillgänglig:

  • Omfattningen av dataintrånget
  • Typ och volym av personuppgifter som är involverade
  • Orsak eller misstänkt orsak till intrånget
  • Om överträdelsen har åtgärdats
  • Åtgärder och processer som organisationen hade infört vid tidpunkten för överträdelsen
  • Information om huruvida drabbade individer av dataintrånget underrättades och om inte, när organisationen avser att göra det
  • Kontaktuppgifter till Water2buys personal som tillsynsmyndigheten kan ha kontakt med för ytterligare information eller förtydligande

 

Där specifik information om dataintrånget ännu inte är tillgänglig bör Water2buy skicka ett interimsmeddelande som innehåller en kort beskrivning av incidenten.

Meddelanden gjorda av organisationer eller bristen på underrättelse, såväl som om organisationer har lämpliga återvinningsförfaranden på plats, kommer att påverka tillsynsmyndigheternas beslut om huruvida en organisation rimligen har skyddat personuppgifterna under dess kontroll eller besittning.

 

Svara på ett dataintrång

 

PLAN FÖR HANTERING AV DATABROTT

Efter att ha underrättats om ett (misstänkt eller bekräftat) dataintrång, bör dataintrångsteamet omedelbart aktivera dataintrångs- och åtgärdsplanen.

Water2buys dataintrångshantering och åtgärdsplan är:

  1. Bekräfta intrånget
  2. Innehålla intrånget
  3. Bedöm risker och effekter
  4. Rapportera incidenten
  5. Utvärdera responsen och återhämtningen för att förhindra framtida intrång

 

BEKRÄFTA BROTTET

Dataintrångsteamet (DBT) bör agera så snart det blir medvetet om ett dataintrång. Om möjligt bör den först bekräfta att dataintrånget har inträffat. Det kan vara vettigt för DBT att fortsätta Contain the Breach på grundval av ett obekräftat rapporterat dataintrång, beroende på sannolikheten för riskens svårighetsgrad.

 

INHÅLL BROTTET

DBT bör överväga följande åtgärder för att begränsa överträdelsen, där så är tillämpligt:

  • Stäng av det komprometterade systemet som ledde till dataintrånget.
  • Ta reda på om åtgärder kan vidtas för att återställa förlorad data och begränsa eventuella skador som orsakas av intrånget. (t.ex.: fjärrinaktivera / torka bort en förlorad anteckningsbok som innehåller personliga uppgifter om individer. )
  • Förhindra ytterligare obehörig åtkomst till systemet.
  • Återställ lösenord om konton och/eller lösenord har äventyrats.
  • Isolera orsakerna till dataintrånget i systemet och ändra i tillämpliga fall åtkomsträttigheterna till det komprometterade systemet och ta bort externa anslutningar till systemet.

 

BEDÖM RISKER OCH PÅVERKAN

Att känna till riskerna och effekterna av dataintrång kommer att hjälpa Water2buy att avgöra om det kan bli allvarliga konsekvenser för drabbade individer, samt de steg som krävs för att meddela de berörda individerna.

 

Risk och påverkan på individer

  • Hur många människor påverkades?
    Ett högre antal betyder kanske inte en högre risk, men att bedöma detta hjälper till att bedöma den övergripande risken.
  • Vems personuppgifter hade kränkts?
    Tillhör personuppgifterna anställda, kunder eller minderåriga? Olika människor kommer att möta olika risknivåer som ett resultat av förlust av personuppgifter.
  • Vilka typer av personuppgifter var inblandade?
    Detta kommer att hjälpa till att fastställa om det finns risker för rykte, identitetsstöld, säkerhet och/eller ekonomisk förlust för drabbade individer.
  • Några ytterligare åtgärder på plats för att minimera effekten av ett dataintrång? t.ex.: en förlorad enhet skyddad av ett starkt lösenord eller kryptering kan minska effekten av ett dataintrång.

 

Risk och påverkan på organisationer

  • Vad orsakade dataintrånget?
    Bestämma hur intrånget inträffade (genom stöld, olycka, obehörig åtkomst, etc. ) kommer att hjälpa till att identifiera omedelbara åtgärder för att begränsa intrånget och återställa allmänhetens förtroende för en produkt eller tjänst.
  • När och hur ofta inträffade intrånget?
    Att undersöka detta hjälper Water2buy att bättre förstå överträdelsens natur (t.ex. g skadlig eller oavsiktlig).
  • Vem kan få tillgång till de komprometterade personuppgifterna?
    Detta kommer att fastställa hur de komprometterade uppgifterna kan användas. I synnerhet ska berörda personer underrättas om personuppgifter förvärvas av en obehörig person.
  • Kommer komprometterade data att påverka transaktioner med andra tredje parter?
    Att fastställa detta hjälper till att identifiera om andra organisationer behöver meddelas.

 

RAPPORTERA HÄNDELSEN

Water2buy är lagligt skyldig att meddela berörda individer om deras personuppgifter har brutits. Detta kommer att uppmuntra individer att vidta förebyggande åtgärder för att minska effekten av dataintrånget, och även hjälpa Water2buy att återuppbygga konsumenternas förtroende.

Vem ska meddelas:

  • Meddela individer vars personuppgifter har äventyrats.
  • Meddela andra tredje parter som banker, kreditkortsföretag eller polisen, där det är relevant.
  • Meddela GDPR särskilt om ett dataintrång involverar känsliga personuppgifter.
  • De relevanta myndigheterna (t.ex. polisen) bör underrättas om brottslig verksamhet misstänks och bevis för utredning bör bevaras (t.ex. hacking, stöld eller obehörig åtkomst till systemet av en anställd. )

 

När ska du meddela:

  • Meddela berörda individer omedelbart om ett dataintrång involverar känsliga personuppgifter. Detta gör att de kan vidta nödvändiga åtgärder tidigt för att undvika potentiellt missbruk av den komprometterade informationen.
  • Meddela berörda personer när dataintrånget är åtgärdat

 

Så här meddelas:

  • Använd de mest effektiva sätten för att nå ut till drabbade individer, med hänsyn till hur brådskande situationen är och antalet individer som drabbas (t. g mediareleaser, sociala medier, mobilmeddelanden, SMS, e-post, telefonsamtal).
  • Meddelanden ska vara enkla att förstå, specifika och ge tydliga instruktioner om vad individer kan göra för att skydda sig själva.

 

Vad du ska meddela:

  • Hur och när dataintrånget inträffade och vilka typer av personuppgifter som är involverade i dataintrånget.
  • Vad Water2buy har gjort eller kommer att göra som svar på de risker som dataintrånget medför.
  • Särskilda fakta om dataintrånget där tillämpligt, och åtgärder som individer kan vidta för att förhindra att data missbrukas eller missbrukas.
  • Kontaktuppgifter och hur berörda individer kan nå organisationen för ytterligare information eller hjälp (t. g hjälptelefonnummer, e-postadresser eller webbplats).

 

UTVÄRDERA SVARET OCH ÅTERHÄMTNING FÖR ATT FÖRHINDRA FRAMTIDA BROTT

Efter att åtgärder har vidtagits för att lösa dataintrånget bör Water2buy granska orsaken till intrånget och utvärdera om befintliga skydds- och förebyggande åtgärder och processer är tillräckliga för att förhindra att liknande intrång inträffar, och i förekommande fall sätta stopp för praxis som ledde till dataintrånget.

 

Operations- och policyrelaterade frågor:

  • Gjorde revisioner regelbundet av både fysiska och IT-relaterade säkerhetsåtgärder?
  • Finns det processer som kan effektiviseras eller införas för att begränsa skadan om framtida intrång inträffar eller för att förhindra ett återfall?
  • Finns det svagheter i befintliga säkerhetsåtgärder som användningen av föråldrad programvara och skyddsåtgärder, eller svagheter i användningen av bärbara lagringsenheter, nätverk eller anslutning till Internet?
  • Var metoderna för att komma åt och överföra personuppgifter tillräckligt säkra, t.ex.: åtkomst begränsad till endast behörig personal?
  • Bör supporttjänster från externa parter förbättras, såsom leverantörer och partners, för att bättre skydda personuppgifter?
  • Var leverantörers och partners ansvar tydligt definierade i förhållande till hanteringen av personuppgifter?
  • Finns det ett behov av att utveckla nya scenarier för dataintrång?

Resursrelaterade problem:

  • Blev tillräckliga resurser tilldelade för att hantera dataintrånget?
  • Bör externa resurser anlitas för att bättre hantera sådana incidenter?
  • Fick nyckelpersonal tillräckliga resurser för att hantera incidenten?

 

Anställda relaterade frågor:

  • Var anställda medvetna om säkerhetsrelaterade problem?
  • Erhölls utbildning i frågor om skydd av personuppgifter och färdigheter i incidenthantering?
  • Informerades anställda om dataintrånget och lärdomarna från incidenten?

 

Management-relaterade frågor:

  • Hur var ledningen involverad i hanteringen av dataintrånget?
  •  Finns det en tydlig ansvars- och kommunikationslinje under hanteringen av dataintrånget?

 

Övervakning

Alla måste följa denna policy.

Konsekvenser av underlåtenhet att följa

Vi tar efterlevnaden av denna policy på största allvar. Underlåtenhet att följa efterlevnaden utsätter både dig och organisationen för risker.

Viktigheten av denna policy innebär att underlåtenhet att följa några krav kan leda till disciplinära åtgärder enligt våra procedurer som kan leda till uppsägning.