PROTOKOLLBERICHTERSTATTUNG DATENLECKS

PROTOKOLLBERICHTERSTATTUNG DATENLECKS

Überlegungen:

CalmActiva legt Wert auf die angemessene Sicherheit seiner (elektronischen) Systeme, in denen personenbezogene Daten gespeichert und verarbeitet werden

Trotzdem kann nie vollständig verhindert werden, dass es zu einer Datenschutzverletzung kommt

CalmActiva ist gemäß der Datenschutz-Grundverordnung (DSGVO) verpflichtet, (schwerwiegende) Datenlecks der niederländischen Datenschutzbehörde und den betroffenen Personen zu melden.

CalmActiva möchte seinen gesetzlichen Verpflichtungen nachkommen

CalmActiva hat daher eine Richtlinie formuliert, um im unwahrscheinlichen Fall einer Datenschutzverletzung so angemessen wie möglich zu handeln

1 – Definition von Datenschutzverletzungen

Eine Datenschutzverletzung liegt vor, wenn eine Sicherheitsverletzung vorliegt, die versehentlich oder unrechtmäßig zur Zerstörung, zum Verlust, zur Änderung oder zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete Daten führt.

2 - Interne Verantwortliche, die Datenlecks melden

CalmActiva hat interne Verantwortliche für Datenschutzverletzungen ernannt, die für die Meldung einer Datenschutzverletzung verantwortlich sind.

  1. 1.Diese verantwortlichen Personen sind: Dirk Verburg, Telefonnummer: 0624523564; E-Mail-Adresse: info@calmactiva.com. nl und falls er nicht erreichbar ist Yvo Langhoor, Telefonnummer: 0650589123; E-Mail-Adresse: linfo@calmactiva.com, im Folgenden bezeichnet als:‘interner Verantwortlicher".
  2. Wenn möglich, sorgt die Person, die die Datenschutzverletzung entdeckt hat, gleichzeitig dafür, dass die durchgesickerten Daten unverzüglich aus der Ferne gelöscht oder unzugänglich gemacht werden.
  3. Interne Benachrichtigung, wenn eine Datenschutzverletzung entdeckt wird
Wer bei CalmActiva eine Datenpanne entdeckt, meldet dies umgehend dem internen Verantwortlichen, gleichzeitig sorgt die Person, die die Datenpanne entdeckt hat, dafür, dass die durchgesickerten Daten umgehend aus der Ferne gelöscht oder unzugänglich gemacht werden.

4 - Untersuchung durch den internen Manager

Der interne Verantwortliche prüft unter anderem:

ob personenbezogene Daten verloren gegangen sind oder unrechtmäßig verwendet werden können wer oder welche Abteilungen innerhalb der Organisation an der Datenschutzverletzung beteiligt sind oder ob ein Auftragsverarbeiter an dem Vorfall beteiligt ist

5 - Bekämpfung von Datenschutzverletzungen

Der interne Verantwortliche wird die Datenschutzverletzung einstellen, sofern dies noch möglich ist, und auch die erforderlichen Maßnahmen ergreifen, um die Datenschutzverletzung so effektiv wie möglich zu bekämpfen.

6 - Ermittlung der Folgen einer Datenschutzverletzung

Der interne Verantwortliche untersucht die möglichen Folgen der Datenschutzverletzung anhand von Art und Umfang der durchgesickerten Daten und stellt fest, welche nachteiligen Folgen für die betroffenen Personen entstehen können.

7 - Zusammenarbeit bei der Bereitstellung von Daten bezüglich der Datenschutzverletzung Der Entdecker/Melder der Datenschutzverletzung bietet dem internen Verantwortlichen volle Zusammenarbeit an, indem er die folgenden Fragen so schnell und so gut wie möglich (schriftlich) beantwortet:

  • was ist passiert (Beschreibung des Vorfalls))
  • ist es zufällig passiert oder wurde es durch böswillige Absicht verursacht (denken Sie an gehackte Daten) wann ist es passiert (Datum und Uhrzeit)p)
  • wann wurde es entdeckt?
  • Welche Art von Daten (Registern) wurden durchgesickert, werden die Daten verschlüsselt und wenn ja wie?e?
  • könnten die Daten aus der Ferne gelöscht oder unzugänglich gemacht werden und wenn ja, was sind die möglichen Folgen für die Beteiligten?n?
  • welche Personengruppe(n) ist/sind davon betroffen (zum Beispiel: Studierende, Patienten, Premium-Mitglieder) wie viele Personen sind (ungefähr) davon betroffenn?
  • Gibt es auch Daten von Personen in anderen EU-Ländern, die von der Datenschutzverletzung betroffen sind??
  • wurden aufgrund des Vorfalls technische und/oder organisatorische Maßnahmen ergriffen?

8 - Verfügbarkeit des Personals nach Entdeckung einer Datenschutzverletzung

Der Verantwortliche der Abteilung, von der aus die Datenschutzverletzung stattgefunden hat, sowie der Entdecker der Datenschutzverletzung und jede Person, die aufgrund ihrer Position oder ihres Wissens in der Lage ist, organisatorische und/oder technische Maßnahmen zu ergreifen, um die Folgen der Verletzung Daten, an den ersten Verfügbar 24 Stunden nach der Entdeckung der Datenschutzverletzung für die Konsultation mit der internen verantwortliche Person oder die von ihm benannten Sachverständigen und für die Durchführung übertragenen Arbeiten als Folge der Datenschutzverletzung , wenn nötig.

9 - Entscheidung über die Meldung von Datenschutzverletzungen

  1. Der interne Verantwortliche entscheidet so schnell wie möglich, in jedem Fall jedoch innerhalb von 60 Stunden nach Entdeckung der Datenschutzverletzung – in Absprache mit dem Verantwortlichen der Abteilung, aus der die Datenschutzverletzung aufgedeckt wurde, und/oder von ihm benannten Experten - ob die Daten Verletzung sollte die niederländische Datenschutzbehörde gemeldet werden und / oder die betroffenen Personen.
  2. Grundsätzlich wird eine Datenschutzverletzung immer der niederländischen Datenschutzbehörde gemeldet, es sei denn, es ist unwahrscheinlich, dass die Datenschutzverletzung ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
  3. Die Benachrichtigung über die Datenschutzverletzung wird von einer Beantwortung der in Abschnitt 7 beschriebenen Fragen begleitet.
  4. Eine der niederländischen Datenschutzbehörde gemeldete Datenschutzverletzung wird auch den betroffenen Personen gemeldet, wenn sie ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, es sei denn, es wurden zwischenzeitlich geeignete Maßnahmen zur Abwendung des hohen Risikos getroffen.

10 - Meldung von Datenlecks an die niederländische Datenschutzbehörde und/oder betroffene Personen

  1. Falls erforderlich, ist der interne Verantwortliche für die Meldung an die niederländische Datenschutzbehörde und/oder die betroffene(n) Person(en) verantwortlich.
  2. Die Benachrichtigung muss so schnell wie möglich nach der Entdeckung und spätestens innerhalb von 72 Stunden nach der Entdeckung der Datenschutzverletzung erfolgen.
  3. Jedem anderen Mitarbeiter als dem internen Verantwortlichen ist es nicht gestattet, die (mögliche) Datenschutzverletzung der niederländischen Datenschutzbehörde und/oder der/den betroffenen Person(en) zu melden.
  4. Wenn ein Mitarbeiter mit der Entscheidung des internen Verantwortlichen nicht einverstanden ist, die Datenschutzverletzung der niederländischen Datenschutzbehörde und/oder der/den betroffenen Person(en) zu melden, kann er seine Beschwerden der Geschäftsleitung melden.

Auf Verlangen wird ein Mitarbeiter vollumfänglich mit dem Verantwortlichen kooperieren, um betroffene Personen gem. Art. 34 DSGVO über die Datenschutzverletzung informieren zu können.

5.

11 - Folgen der Benachrichtigung über Datenschutzverletzungen

Wenn die Datenschutzverletzung negative Folgen für die Beteiligten hat, wird der interne Verantwortliche alles tun, um diese Folgen so weit wie möglich zu begrenzen.

1.

  1. Je nach Art und Umfang der Datenschutzverletzung für betroffene Personen legt der interne Verantwortliche fest, wie die betroffenen Personen informiert werden (in jedem Fall einschließlich der Benachrichtigungen darüber, welche Arten von personenbezogenen Daten betroffen sind, welche möglichen Folgen dies hat, welche Maßnahmen? Calma Activa nimmt und wie die betroffenen Personen können sich verhindern oder den Schaden begrenzen)

welche Nachsorge erhalten die Beteiligten

welche Maßnahmen im Interesse der Organisation notwendig sind

Im Falle einer Datenschutzverletzung – unabhängig davon, ob diese gemeldet wurde oder nicht – werden so schnell wie möglich angemessene technische und/oder organisatorische Maßnahmen ergriffen, um zukünftige ähnliche Datenlecks zu verhindern.

3.

12 - Aufzeichnungen über Datenlecks führen

Der interne Verantwortliche führt ein Register aller Datenschutzverletzungen, in dem alle Daten im Zusammenhang mit der Datenschutzverletzung registriert werden, wie zum Beispiel:

  • eine Beschreibung des Datums und der Uhrzeit des Vorfalls der Datenschutzverletzung
  • Datum und Uhrzeit der Entdeckung der Datenschutzverletzung?
  • Beschreibung der Art der durchgesickerten personenbezogenen Daten
  • Beschreibung der Kategorie(n) betroffener Personen
  • Beschreibung der Anzahl der beteiligten Personen (ungefähr)
  • ob auch Daten von Personen in anderen EU-Ländern durchgesickert sind