Beleid inzake beheer van incidenten met betrekking tot persoonsgegevens en inbreuken in verband met persoonsgegevens

Het beleid inzake beheer van incidenten met betrekking tot persoonsgegevens en inbreuken in verband met persoonsgegevens definieert hoe een organisatie incidenten met betrekking tot persoonsgegevens en inbreuken in verband met persoonsgegevens identificeert, meldt, triageert, beoordeelt, indamt, meedeelt, documenteert, afsluit en verbetert binnen het toepassingsgebied van het privacy-informatiemanagementsysteem. Het verklaarde doel is te waarborgen dat incidenten en inbreuken consistent, tijdig, rechtmatig, veilig en met bewijsmateriaal dat gereed is voor audits worden afgehandeld. Het beleid is van toepassing in contexten van verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker, en strekt zich uit tot systemen, toepassingen, diensten, processen, leveranciers, verwerkers, subverwerkers en derde partijen die persoonsgegevens binnen het PIMS-toepassingsgebied verwerken, opslaan, verzenden, ondersteunen, benaderen of anderszins beïnvloeden. Een centraal kenmerk van het beleid is het geïntegreerde bewijsmodel. REG10 — register van incidenten met betrekking tot persoonsgegevens en inbreuken in verband met persoonsgegevens is het primaire bewijsobject voor incident- en inbreukbeheer, terwijl ondersteunende registers context en traceerbaarheid bieden. REG01 ondersteunt context over reikwijdte, juridische, contractuele, sectorale, klant- en rapportageaspecten. REG02 koppelt betrokken verwerkingsactiviteiten, categorieën persoonsgegevens, categorieën betrokkenen, doelen en systemen. REG04 ondersteunt koppelingen met privacyrisico, DPIA en resterend privacyrisico. REG08 registreert interfaces voor incidenten met verwerkers, subverwerkers, klanten, leveranciers en derde partijen. REG09 wordt gebruikt wanneer incidenten grensoverschrijdende verwerking raken, REG11 ondersteunt bewijsmateriaal voor training en bekwaamheid, en REG12 legt audit, non-conformiteit, corrigerende maatregelen en bewijsmateriaal voor verbetering vast. Deze structuur helpt te waarborgen dat incidentregistraties niet losstaan van het bredere PIMS. Het beleid stelt gedetailleerde vereisten voor paraatheid, incidentintake, classificatie, datalekbeoordeling, indamming, herstel, kennisgeving, communicatie, bescherming van bewijsmateriaal en geleerde lessen. Vermoedelijke incidenten met betrekking tot persoonsgegevens moeten tijdig worden geregistreerd, waarbij elk gemeld of gedetecteerd vermoedelijk incident binnen één werkdag na ontvangst in REG10 wordt ingevoerd, of eerder wanneer kennisgevings- of klantrapportagetermijnen kunnen worden geactiveerd. Technische triage van security-events waarbij persoonsgegevens zijn betrokken, moet binnen 24 uur na detectie worden voltooid, en elke REG10-registratie moet binnen 24 uur na intake worden geclassificeerd als een gebeurtenis zonder persoonsgegevens, vermoedelijk incident met betrekking tot persoonsgegevens, bevestigd incident met betrekking tot persoonsgegevens of bevestigde inbreuk in verband met persoonsgegevens, tenzij de reden voor een classificatie in afwachting wordt gedocumenteerd. Voor datalekbeoordeling vereist het beleid identificatie van betrokken verwerkingsactiviteiten, categorieën persoonsgegevens, categorieën betrokkenen, systemen, verwerkers, subverwerkers, doorgiftelocaties en privacyrisico's voordat kennisgevingsbesluiten definitief worden gemaakt. Kennisgevings- en communicatieverplichtingen worden per rol gescheiden. Voor verwerkingsverantwoordelijken vereist het beleid gedocumenteerde besluiten over kennisgeving aan toezichthouders voor elke bevestigde inbreuk in verband met persoonsgegevens zonder onredelijke vertraging, waarbij kennisgeving, motivering voor niet-kennisgeving of motivering voor vertraging in REG10 wordt bewaard. Wanneer communicatie aan betrokkenen wordt geactiveerd, vereist het beleid dat inhoud, doelgroep, timing, leveringsmechanisme en goedkeuringsbewijsmateriaal worden geregistreerd. Voor verwerkers en subverwerkers vereist het beleid kennisgeving aan betrokken verwerkingsverantwoordelijken, klanten, upstream-verwerkers of goedgekeurde contractuele kanalen zonder onredelijke vertraging en binnen toepasselijke contractuele termijnen. Voor incidenten met hoge impact met betrekking tot persoonsgegevens vereist het ook evaluatie van juridische, sectorale, aan de financiële sector gerelateerde, cyberbeveiligings-, contractuele, klant- en dienstontvangergerelateerde rapportagetriggers waar van toepassing. Governance, meting en verbetering zijn in het proces ingebouwd. De Privacy Lead / PIMS-manager is eigenaar van het incident- en inbreukbeheerproces en moet waarborgen dat REG10 tot en met de afsluiting wordt onderhouden. De Incident Response Coordinator beheert intake, triage, indammingsworkflow, statusopvolging, afsluiting en geleerde lessen. Informatiebeveiliging leidt technisch onderzoek, indamming, uitroeiing, herstel, behoud van bewijsmateriaal en oorzaakanalyse wanneer systemen of beveiligingsmaatregelen betrokken zijn. Topmanagement ontvangt escalatie voor bevestigde incidenten met hoge impact met betrekking tot persoonsgegevens binnen 24 uur na classificatie en beoordeelt incidenten met hoge impact, meldingsplichtige inbreuken, achterstallige corrigerende maatregelen en wezenlijke impact tijdens directiebeoordeling. Metrieken omvatten incidentvolumes, timing van classificatie en indamming, tijdigheid van kennisgeving, ouderdom van corrigerende maatregelen, responsprestaties van derde partijen en voltooiing van oefeningen. Het beleid vereist ook jaarlijkse beoordeling, post-incident-evaluatie na incidenten met hoge impact of bevestigde inbreuken, en jaarlijkse interne-auditbeoordeling van de implementatie.