Meld een mogelijk incident meteen
Per ongeluk een cv naar een verkeerd mailadres gestuurd of je laptop in de trein vergeten: een datalek of beveiligingsincident zit in een klein hoekje. Door snel te handelen kunnen we de schade en gevolgen voor jouw privacy en die van de universiteit beperken. Meld een (vermoedelijk) incident daarom direct bij de ISSC Helpdesk. Wees een held en meld!
Bedrijfsinformatie en persoonsgegevens zijn waardevol en als organisatie moeten we er voorzichtig mee omgaan. Het is dus belangrijk dat je als medewerker van de universiteit niet alleen weet hoe je veilig met informatie omgaat, maar ook wat je moet doen bij een incident. Leer daarom incidenten te herkennen en hoe je het beste kunt handelen.
Wat is een beveiligingsincident of datalek?
Beveiligingsincident
Een beveiligingsincident is een inbreuk op de beveiliging van informatie. Denk aan een verloren USB-stick of een virus op je werklaptop. Hierdoor kan je bijvoorbeeld niet meer bij bepaalde informatie, maar anderen wel.
Meld een beveiligingsincident bij de ISSC Helpdesk zodra je het vermoedt of ontdekt. Het Security Office kan dan tijdig maatregelen treffen om het incident te verhelpen of te voorkomen. Zo kunnen we de (kans op) schade voor de organisatie beperken. Wees daarom een held en meld! Ook bij twijfel.
Datalek
Bij een datalek is er toegang tot persoonsgegevens zonder dat dit mag of de bedoeling is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo’n inbreuk valt onder een datalek.
Meld een (mogelijk) datalek meteen bij de ISSC Helpdesk. Het Privacy Office kan dan zo snel mogelijk maatregelen treffen om het datalek te verhelpen of te voorkomen, en de (kans op) schade voor de betrokkenen en de organisatie beperken. Daarnaast is de universiteit gebonden aan een wettelijke meldtermijn op basis van de AVG. Sommige datalekken moeten binnen 72 uur aan de Autoriteit Persoonsgegevens (de toezichthouder) en de getroffen betrokkenen worden gemeld. Wees daarom een held en meld! Ook bij twijfel.
Voorbeelden
Je laat een cv in de printer liggen
Voorafgaand aan een sollicitatiegesprek druk je het cv van de kandidaat af. Je laat een afdruk achter in de printer en een collega vindt het cv.
In dit geval is er sprake van een datalek. Je collega heeft per ongeluk de persoonsgegevens van de sollicitant kunnen inzien.
Je meldt dit datalek bij de ISSC Helpdesk. Vervolgens neemt het Privacy Office maatregelen zoals het vernietigen van het cv door deze in de shredder te doen. Het datalek wordt intern geregistreerd. Afhankelijk van het privacyrisico voor de sollicitant, wordt het ook gemeld bij de Autoriteit Persoonsgegevens en/of de sollicitant zelf.
Je vergeet je laptop in de trein
Je laat je werklaptop liggen in de trein. De laptop wordt niet meer teruggevonden.
In dit geval is er sprake van een beveiligingsincident. Staan er persoonsgegevens op de laptop? Dan is er óók sprake van een datalek. De laptop is beveiligd, dus het is onwaarschijnlijk dat iemand anders toegang heeft tot de informatie of persoonsgegevens. Toch moet je dit zo snel mogelijk melden.
Je meldt het incident bij de ISSC Helpdesk. Vervolgens neemt het Security en/of Privacy Office maatregelen zoals het wissen van de laptop op afstand. Zo zijn we ervan verzekerd dat de informatie en mogelijk de persoonsgegevens veilig blijven.
Een student krijgt de verkeerde cijferlijst
Een student ontvangt de cijferlijst van een medestudent in plaats van de eigen cijferlijst. De student meldt dit bij Student- en Onderwijszaken (SOZ).
In dit geval is er sprake van een datalek. De student heeft per ongeluk de persoonsgegevens van een andere student gezien. SOZ moet dit melden als datalek bij de ISSC Helpdesk.
Het Privacy Office kan dan samen met SOZ vervolgmaatregelen nemen. Bijvoorbeeld door de student te vragen om de lijst in te leveren (als deze fysiek is ontvangen), of het bestand en de e-mail te verwijderen (als dit digitaal is ontvangen). Dit datalek wordt intern geregistreerd. Afhankelijk van het privacyrisico voor de medestudent, wordt het ook gemeld bij de Autoriteit Persoonsgegevens en/of de medestudent zelf.
Durf te vragen
Heb je vragen over datalekken of beveiligingsincidenten? Stuur dan een bericht naar het Privacy of Security Office via privacy@bb.leidenuniv.nl of security@bb.leidenuniv.nl.