PROTOCOLE SIGNALER LES FUITES DE DONNÉES
PROTOCOLE SIGNALER LES FUITES DE DONNÉES
Considérations :
CalmActiva attache de l'importance à la bonne sécurité de ses systèmes (électroniques) dans lesquels les données personnelles sont stockées et traitées
Néanmoins, il ne peut jamais être complètement empêché qu'une violation de données se produise
CalmActiva est obligée, en vertu du règlement général sur la protection des données (RGPD) de signaler les fuites de données (graves) à l'autorité néerlandaise de protection des données et aux personnes concernées.
CalmActiva souhaite se conformer à ses obligations légales
CalmActiva a donc formulé une politique pour agir le plus adéquatement possible dans le cas improbable d'une violation de données
1 - Définition de violation de données
Une violation de données se produit lorsqu'il y a une violation de la sécurité qui conduit accidentellement ou illégalement à la destruction, la perte, l'altération ou la divulgation non autorisée ou l'accès aux données transmises, stockées ou autrement traitées.
2 - Responsables internes signalant des fuites de données
CalmActiva a nommé des contrôleurs internes des violations de données qui sont chargés de signaler une violation de données.
- 1. Ces personnes responsables sont : Dirk Verburg, numéro de téléphone : 0624523564 ; adresse e-mail : info@calmactiva.com. nl et s'il n'est pas joignable Yvo Langhoor, numéro de téléphone : 0650589123 ; Adresse e-mail : linfo@calmactiva.com, ci-après dénommée :‘responsable interne".
- Si possible, la personne qui a découvert la violation de données veille simultanément à ce que les données divulguées soient immédiatement effacées à distance ou rendues inaccessibles.
- Notification interne lorsqu'une violation de données est découverte
4 - Enquête par le manager interne
Le responsable interne examine, entre autres :
si les données personnelles ont été perdues ou peuvent être utilisées illégalement qui ou quels services au sein de l'organisation sont impliqués dans la violation de données ou si un sous-traitant est impliqué dans l'incident
5 - Lutte contre la violation de données
Le contrôleur interne arrêtera la violation de données si cela est encore possible et prendra également les mesures nécessaires pour lutter le plus efficacement possible contre la violation de données.
6 - Déterminer les conséquences d'une violation de données
Le contrôleur interne enquête sur les conséquences possibles de la violation de données sur la base de la nature et de l'étendue des données qui ont été divulguées et détermine quelles peuvent être les conséquences négatives pour les personnes concernées.
7 - Coopération dans la fourniture de données concernant la violation de données Le découvreur/signataire de la violation de données offre une pleine coopération au responsable interne en répondant aux questions suivantes le plus rapidement et le mieux possible (par écrit) :
- ce qui s'est passé (description de l'incident))
- est-ce arrivé par accident ou a-t-il été causé par une intention malveillante (pensez à des données piratées) quand est-ce arrivé (date et heure)p)
- quand a-t-il été découvert?
- quel type de données (registres) ont été divulgués les données sont-elles cryptées, et si oui commente?
- les données pourraient-elles être effacées à distance ou rendues inaccessibles, et si oui, quelles sont les conséquences possibles pour les personnes concernéesn?
- quel(s) groupe(s) de personnes est/sont concerné(s) par cela (par exemple : étudiants, patients, membres premium) combien de personnes sont (approximativement) affectées par celan?
- Existe-t-il également des données de personnes dans d'autres pays de l'UE touchés par la violation de données?
- des mesures techniques et/ou organisationnelles ont-elles été prises à la suite de l'incident?
8 - Disponibilité du personnel après découverte d'une violation de données
Le responsable du service auprès duquel la violation de données a eu lieu ainsi que le découvreur de la violation de données et toute personne qui, en fonction de sa position ou de ses connaissances, est en mesure de prendre des mesures organisationnelles et/ou techniques pour limiter les conséquences de la violation des données, adhérer à la 1ère Disponible 24 heures après la découverte de la violation de données de consultation avec la personne responsable interne ou des experts désignés par lui et pour accomplir le travail assigné à la suite de la violation de données si nécessaire.
9 - Décision sur la notification des violations de données
- Le responsable interne décidera dans les plus brefs délais, mais en tout état de cause dans les 60 heures suivant la découverte de la violation de données - que ce soit en consultation ou non avec le responsable du service à partir duquel la violation de données a été découverte et/ou des experts désignés par lui - si la violation des données doit être sont communiquées à l'autorité de protection des données néerlandais et / ou les personnes concernées.
- En principe, une violation de données est toujours signalée à l'Autorité néerlandaise de protection des données, sauf s'il est peu probable que la violation de données présente un risque pour les droits et libertés des personnes concernées.
- La notification de la violation de données est accompagnée d'une réponse aux questions telles que décrites dans la section 7.
- Une violation de données qui a été signalée à l'Autorité néerlandaise de protection des données est également signalée aux personnes concernées si elle présente un risque élevé pour les droits et libertés des personnes physiques, à moins que des mesures appropriées n'aient été prises entre-temps pour éviter ce risque élevé.
10 - Notification des fuites de données à l'Autorité néerlandaise de protection des données et/ou aux personnes concernées
- Si nécessaire, le contrôleur interne est chargé de signaler à l'autorité néerlandaise de protection des données et/ou à la ou aux personnes concernées.
- La notification doit être faite dès que possible après la découverte et au plus tard dans les 72 heures après la découverte de la violation de données.
- Tout employé autre que le contrôleur interne n'est pas autorisé à signaler la (éventuelle) violation de données à l'autorité néerlandaise de protection des données et/ou à la ou aux personnes concernées.
- Si un employé n'est pas d'accord avec la décision du contrôleur interne de signaler ou non la violation de données à l'Autorité néerlandaise de protection des données et/ou à la ou aux personnes concernées, il peut faire part de ses griefs à la direction.
Si cela lui est demandé, un employé coopérera pleinement avec le responsable du traitement afin de pouvoir informer les personnes concernées conformément à l'article 34 du RGPD de la violation de données.
5.
11 - Conséquences d'une notification de violation de données
Si la violation de données a des conséquences négatives pour les personnes concernées, le contrôleur interne mettra tout en œuvre pour limiter au maximum ces conséquences.
1.
- En fonction de la nature et de l'étendue de la violation de données pour les personnes concernées, le contrôleur interne détermine : comment les personnes concernées sont informées (y compris, dans tous les cas, des notifications sont faites indiquant quels types de données personnelles ont été affectées, quelles sont les conséquences possibles, quelles mesures Calma Activa prend et comment les sujets de données eux - mêmes peuvent prévenir ou limiter les dégâts)
quel suivi les personnes concernées reçoivent
quelles actions sont nécessaires dans l'intérêt de l'organisation
Si une violation de données s'est produite - qu'elle ait été signalée ou non - des mesures techniques et/ou organisationnelles adéquates seront prises dès que possible pour empêcher de futures fuites de données similaires.
3.
12 - Tenir des registres des fuites de données
Le contrôleur interne tient un registre de toutes les violations de données, dans lequel toutes les données entourant la violation de données sont enregistrées, telles que :
- une description de la date et de l'heure de l'incident de la violation de données
- date et heure de découverte de la violation de données?
- description du type de données personnelles divulguées
- description de la (des) catégorie(s) de personnes concernées
- description du nombre de personnes impliquées (approximatif)
- si les données de personnes dans d'autres pays de l'UE ont également été divulguées