Registre des incidents de sécurité
Volgens de GDPR is een "inbreuk in verband met persoonsgegevens" elke inbreuk op de beveiliging die resulteert in de accidentele of onwettige vernietiging, het verlies, de wijziging, de ongeoorloofde bekendmaking of de ongeoorloofde toegang tot verzonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Het is extreem breed als een definitie.
Het risico van een cyberaanval betreft alle verwerkingsverantwoordelijken, grote spelers maar ook bedrijven van elke grootte en van welke aard dan ook.
De GDPR versterkt de vereisten voor gegevensbeveiliging, detectie en rapportage van beveiligingsinbreuken aanzienlijk. De GDPR standaardiseert de manier waarop gegevenscontrollers beveiligingskwetsbaarheden moeten bevatten, evenals de crisiscommunicatie die is aangenomen als reactie op de aanval.
Mode d'emploi pour les formulaires électroniques (e-forms) de l'Autorité de protection des données:
Verantwoordelijke voor de verwerking :
Contactpersoon voor het gegevenslek :
Telefoonnummer
Is de contactpersoon de consulent inzake informatiebeveiliging?
Vermeld de gegevens van de eventuele communicatieverantwoordelijke
Detectie van het gegevenslek :
Korte omschrijving van het gegevenslek
Datum van de alert veiligheid
Datum en tijdstip waarop het gegevenslek is vastgesteld
Persoon die het gegevenslek heeft vastgesteld
Wijze waarop het gegevenslek is vastgesteld
Oorzaak en bestaan van het gegevenslek
Oorzaak van het gegevenslek (Kruis één of meerdere vakjes aan)
Aangifte van gegevenslekken (Kruis één of meerdere vakjes aan)
Datum en tijdstip van afsluiten van het gegevenslek
Beschrijving van het gegevenslek en mogelijke gevolgen aard van de gegevenslek
(Kruis één of meerdere vakjes aan)
Welke gegevens zijn gelekt?
Wie heeft toegang tot de gegevens:
Omvang van het gegevenslek:
Hebben de gelekte persoonsgegevens betrekking op datasubjecten uit andere landen?
Betrokken behandeling
Gelieve de onderstaande vragenlijst zo accuraat als mogelijk in te vullen. De antwoorden kunnen steeds
gestaafd worden met aanvullende documenten. In enkele gevallen worden deze documenten expliciet opgevraagd.
Is de onderneming de verantwoordelijke voor de verwerking of verwerker van de verwerking(en) van persoonsgegevens?
Doel waarvoor de gegevens worden verwerkt
Aard van de verwerkte gegevens (Kruis één of meerdere vakjes aan)
Gevoelige gegevens (art. 6 Privacywet)
Grootte van de verwerking(en)
Aantal gelekte datarecords:
Aantal personen (datasubjecten):
Andere betrokken verwerkers of derden?
Zijn er verwerkers, andere derden betrokken bij het gegevenslek of verstrekken zij diensten of producten gerelateerd aan de het gegevenslek?
Beheer van het incident:
Bestaande technische en organisatorische maatregelen op het moment van het gegevenslek
Ondernomen acties (Kruis één of meerdere vakjes aan)
Geplande acties (Kruis één of meerdere vakjes aan)
Is logging beschikbaar?
Datum waarop de resultaten van het incidentonderzoek waarschijnlijk beschikbaar zijn:
Potentiële of effectieve risico's voor de datasubjecten naar aanleiding van het gegevenslek (Zie de handleiding om het risico te evalueren)
Welke technische en organisatorische maatregelen worden/zullen worden genomen om deze impact te beperken of te vermijden?
Indien het gegevenslek schade kan berokkenen aan de bescherming van persoonsgegevens of het privéleven,
welke technische en organisatorische maatregelen worden/zullen worden genomen om deze impact te beperken of te vermijden?