Belangrijke vragen die u moet stellen bij het opstellen van een plan voor het reageren op datalekken (deel I)

8 mei 2014

Zoals veel bedrijven uit eigen ervaring hebben geleerd, kunnen datalekken en beveiligingsincidenten op elk moment voorkomen en wanneer dat gebeurt, kunnen ze een organisatie snel lamleggen. Hoewel bedrijven vaak geen voorafgaande waarschuwing krijgen voordat een datalek zich voordoet, kunt u uw organisatie beter voorbereiden op de talloze problemen die zich voordoen in de nasleep van een datalek door middel van een doordachte planning vooraf. Een van de belangrijkste stappen: ontwikkel een plan voor het reageren op datalekken.

Goed opgestelde responsplannen voor beveiligingsinbreuken bieden een draaiboek dat een organisatie kan volgen wanneer zij kennis neemt van een daadwerkelijk of vermoedelijk beveiligingsincident of gegevensinbreuk. Het plan moet onder meer de volgende elementen bevatten:

Leden van het responsteam en contactgegevens
Procedures voor het analyseren en beperken van een mogelijke inbreuk op de gegevensbeveiliging
Communicatieplan dat rekening houdt met alle belanghebbenden van de organisatie (klanten, leveranciers, aandeelhouders, regelgevende instanties)
Plan voor het informeren van betrokken personen
Maatregelen die moeten worden genomen na een inbreuk op de gegevensbeveiliging
Externe bronnen (juridische dienstverleners, communicatie, IT-beveiliging/forensisch onderzoek en kredietbewakingsdiensten)
Informatie van kredietbureaus
Verzekeringsinformatie (indien van toepassing)

Bij het opstellen van een plan voor het reageren op beveiligingsinbreuken moet uw organisatie een breed scala aan vragen stellen over haar activiteiten om een plan op te stellen dat zoveel mogelijk potentiële problemen en scenario's omvat, terwijl de procedures die na een incident worden gebruikt, worden afgestemd op de cultuur, het bedrijf, het regelgevingsklimaat, de klantfilosofie en de risicotolerantie van de organisatie. We beginnen hier met een paar vragen, die in volgende berichten worden voortgezet:

Welke persoonlijke gegevens verzamelen we en van wie?

Persoonlijke informatie komt in alle soorten en maten voor en omvat alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon (werknemers, consumenten, patiënten, enz.). Voorbeelden van persoonlijke informatie zijn: de naam van een persoon, fysiek adres, telefoonnummer, e-mailadres, burgerservicenummer, creditcardnummers, rijbewijsnummers, paspoortnummers, andere ID-nummers (al dan niet gegenereerd door de organisatie), geboortedatum, spaarrekening, betaalrekening, verzekeringspolis of andere gezondheids- of financiële rekeningnummers of -informatie, beveiligingscodes, pincodes, wachtwoorden, gezondheids- of invaliditeitsinformatie, achtergrondcontroles van werknemers, inclusief kredietrapporten, en alle gegevens die zijn afgeleid van deze informatie en die betrekking hebben op een geïdentificeerde of identificeerbare consument.

Bij het opstellen van een responsplan is het van cruciaal belang om vast te stellen welke soorten persoonlijke gegevens door de organisatie worden verzameld en van wie deze gegevens worden verzameld. Vergeet bij het uitvoeren van deze analyse niet om zowel de persoonlijke gegevens van werknemers als die van externe doelgroepen in kaart te brengen.

Met deze informatie kunt u vervolgens bepalen waar de informatie wordt opgeslagen, in welke vorm deze wordt verzameld en bewaard (fysiek, elektronisch, enz.), wie er toegang toe heeft, hoe lang deze wordt bewaard en hoe deze wordt beveiligd.

Welke derde partijen verzamelen, raadplegen of gebruiken onze persoonlijke gegevens?

Een plan voor beveiligingsinbreuken moet niet alleen betrekking hebben op incidenten of inbreuken die intern plaatsvinden, maar moet ook voorzieningen bevatten voor inbreuken waarbij externe leveranciers betrokken zijn die zich bezighouden met het verzamelen, gebruiken en opslaan van de persoonlijke gegevens van de organisatie. Voor de hand liggende externe partijen zijn onder meer leveranciers van cloudopslag, datacenters, leveranciers van fysieke archiefopslag en externe partijen die verwerkings-, analyse- en andere gegevensgerichte diensten leveren.

Naast leveranciers die een belangrijke rol spelen bij de verwerking van persoonsgegevens, zijn er nog veel andere derde partijen die, hoewel ze gemakkelijk over het hoofd worden gezien, net zo belangrijk zijn om te identificeren. Een organisatie moet bijvoorbeeld consultants, aannemers en leveranciers identificeren die toegang hebben tot bedrijfssystemen (zelfs als ze ogenschijnlijk niet-gerelateerde diensten leveren, zoals marketing, grafisch ontwerp, boekhouding of juridische diensten). Evenzo moet de lijst alle leveranciers bevatten die toegang hebben tot fysieke infrastructuur die wordt gebruikt voor het verzamelen, opslaan of verwerken van gegevens, met inbegrip van leveranciers die systemen en andere computerhardware onderhouden of leveranciers die mobiele apparaten, tablets, medische apparatuur of andere soortgelijke systemen (zelfs HVAC-systemen) leveren en onderhouden.

In elk geval moet de organisatie ervoor zorgen dat zij met elke leverancier passende contractuele waarborgen heeft afgesproken om de informatie te beschermen, evenals duidelijke vereisten dat de leverancier de organisatie op de hoogte stelt als hij een inbreuk op of verband met de informatie ontdekt of vermoedt.

In komende berichten zullen we enkele aanvullende vragen over dit onderwerp stellen.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.

Populaire zoekopdrachten

Belangrijke vragen die u moet stellen bij het opstellen van een plan voor het reageren op datalekken (deel I)

Verwante inzichten

Personalizing Cancer Therapy For Complex Molecular Blueprints: Insights from the I-PREDICT Trial

New Year, New Massachusetts Paid Family and Medical Leave?

Illegal DEI? Understanding Compliance, Risk, and the Real Focus of Enforcement