Aucun produit dans le panier.

Protocole de notification des violations de données

Considérations:

  • Crystal Colloidals B.V. attache de l'importance à la sécurité de ses systèmes (électroniques) dans lesquels des données à caractère personnel sont stockées et traitées
  • il n'est cependant jamais possible d'éviter complètement qu'une violation de données se produise
  • Crystal Colloidals B.V. est tenue, en vertu du règlement général sur la protection des données (RGPD), de signaler les fuites de données (graves) à l'autorité chargée des données personnelles et aux parties concernées.
  • Crystal Colloidals B.V. souhaite se conformer à ses obligations légales
  • Crystal Colloidals B.V. a donc formulé une politique visant à agir de la manière la plus appropriée possible en cas de fuite de données inattendue

1 - Définition de la violation de données

Il y a violation de données lorsqu'une faille de sécurité se produit et entraîne accidentellement ou illégalement la destruction, la perte, l'altération ou la divulgation non autorisée de données transmises, stockées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

2 - Notification d'une violation de données par le responsable interne

  1. Crystal Colloidals B.V. a nommé un responsable interne de la violation des données qui est chargé de signaler une violation des données.
  2. Ce responsable est le département de gestion, dont le premier point de contact est Cade Howe, numéro de téléphone : 0475-785447 ; adresse électronique : info@crystal-colloidaal.nl , ci-après dénommé"responsable interne".

3 - Notification interne en cas de découverte d'une violation de données

  1. La personne qui découvre une fuite de données chez Crystal Colloidals B.V. le signale immédiatement à la personne responsable en interne.
  2. Si possible, la personne qui a découvert la violation de données s'assure simultanément que les données divulguées sont immédiatement supprimées à distance ou rendues inaccessibles.

4 - Enquête du gestionnaire interne

Le responsable interne examine, entre autres, les points suivants

  • si des données à caractère personnel ont été perdues ou pourraient être utilisées de manière illicite
  • qui ou quels services de l'organisation sont impliqués dans la violation de données
  • si un processeur est impliqué dans l'incident

5 - Lutter contre les violations de données

Le responsable interne mettra fin à la violation de données si cela est encore possible et prendra les mesures nécessaires pour lutter au mieux contre la violation de données.

6 - Déterminer les conséquences d'une violation de données

Le responsable interne examine les conséquences possibles de la violation de données en fonction de la nature et de l'étendue des données qui ont été divulguées et détermine quels peuvent être les effets négatifs pour les personnes concernées.

7 - Coopération pour la fourniture d'informations sur les violations de données

Le découvreur/notificateur de la violation de données offre toute sa coopération au responsable interne en répondant (par écrit) aux questions suivantes le plus rapidement et le mieux possible :

  • que s'est-il passé ? (description de l'incident)
  • S'agit-il d'un accident ou d'une intention malveillante (par exemple, des données piratées) ?
  • quand cela s'est-il produit ? (date et heure)
  • quand a-t-il été découvert ?
  • Quelles données (registres) ont été divulguées ?
  • les données sont-elles cryptées, et si oui, comment ?
  • Les données peuvent-elles être supprimées à distance ou rendues inaccessibles et, dans l'affirmative, cela a-t-il été fait ?
  • quelles sont les conséquences possibles pour les personnes concernées ?
  • quel(s) groupe(s) de personnes est/sont concerné(s) (par exemple, les élèves, les patients, les membres de la prime)
  • Combien de personnes ont été (approximativement) touchées par cette situation ?
  • Les données de personnes résidant dans d'autres pays de l'UE sont-elles également concernées par la violation de données ?
  • Des mesures techniques et/ou organisationnelles ont-elles déjà été mises en place à la suite de l'incident ?

8 - Disponibilité du personnel après la découverte d'une violation de données

Le responsable du service à l'origine de la fuite de données ainsi que la personne qui a découvert la fuite de données et toute personne qui, en raison de sa position ou de ses connaissances, est en mesure de prendre des mesures organisationnelles et/ou techniques pour limiter les conséquences de la fuite de données, se rendront disponibles pour consulter le responsable interne ou tout expert désigné par lui dans les premières 24 heures suivant la découverte de la fuite de données et, si nécessaire, pour exécuter les travaux ordonnés à la suite de la fuite de données.

9 - Décision sur la notification des violations de données

  1. Le responsable interne décide, dans les meilleurs délais et en tout état de cause dans les 60 heures suivant la découverte de la violation de données - que ce soit ou non en consultation avec le responsable du service auprès duquel la violation de données a été découverte et/ou les experts qu'il a désignés - si la violation de données doit être signalée à l'autorité chargée des données à caractère personnel et/ou aux personnes concernées.
  2. En principe, une fuite de données est toujours signalée à l'autorité chargée des données personnelles, sauf s'il est peu probable qu'elle présente un risque pour les droits et libertés des personnes concernées.
  3. Pour signaler une violation de données, il faut répondre aux questions décrites dans la section 7.
  4. Une fuite de données signalée à l'autorité chargée des données à caractère personnel sera également signalée aux personnes concernées si elle présente un risque élevé pour les droits et libertés des personnes physiques, à moins que des mesures appropriées n'aient été prises depuis lors pour écarter le risque élevé.

10 - Notification des violations de données à l'autorité chargée des données à caractère personnel et/ou aux personnes concernées

  1. Le cas échéant, le responsable interne veille à ce que l'autorité chargée des données à caractère personnel et/ou la ou les personne(s) concernée(s) soient informées.
  2. La notification est effectuée dès que possible après la découverte et au plus tard 72 heures après la découverte de la violation de données.
  3. Tout employé autre que le responsable interne n'est pas autorisé à signaler la violation (éventuelle) des données à l'autorité chargée des données à caractère personnel et/ou à la (aux) personne(s) concernée(s) elle-même(s).
  4. Si un employé n'est pas d'accord avec la décision du responsable interne de signaler ou non la violation de données à l'autorité chargée des données à caractère personnel et/ou à la (aux) personne(s) concernée(s), il peut faire part de ses griefs à la direction.
  5. Si on le lui demande, l'employé doit apporter toute sa coopération à la partie responsable afin d'informer les personnes concernées de la violation de données conformément à l'article 34 de la loi sur la protection des données (LVP).

11 - Conséquences de la notification des violations de données

  1. Si la violation de données a des conséquences négatives pour les personnes concernées, le responsable interne fera tout son possible pour minimiser ces conséquences.
  2. En fonction de la nature et de l'ampleur de la violation de données concernant les personnes concernées, le responsable interne détermine :
  • la manière dont les personnes concernées seront informées (y compris, dans tous les cas, les annonces faites concernant les types de données à caractère personnel concernées, les conséquences possibles, les mesures prises par Crystal Colloidals B.V. et la manière dont les personnes concernées peuvent elles-mêmes prévenir ou limiter les dommages)
  • les soins de suivi dont bénéficient les personnes impliquées
  • les actions nécessaires dans l'intérêt de l'organisation
  1. Si une violation de données s'est produite - qu'elle ait été signalée ou non - des mesures techniques et/ou organisationnelles adéquates seront prises dès que possible pour éviter que des violations de données similaires ne se reproduisent.

12 - Tenue d'un registre des violations de données

Le responsable interne tient un registre de toutes les violations de données, dans lequel il consigne tous les détails relatifs à la violation de données, tels que

  • une description de l'incident
  • la date et l'heure de la violation de données
  • la date et l'heure de la découverte de la violation de données
  • description du type de données à caractère personnel ayant fait l'objet d'une fuite
  • description de la ou des catégories de personnes concernées
  • description nombre de personnes impliquées (approximatif)
  • Les données de personnes résidant dans d'autres pays de l'UE ont-elles également fait l'objet d'une fuite ?
  • si l'incident a été signalé à l'autorité chargée des données à caractère personnel et, le cas échéant, la date et l'heure de la déclaration
  • si l'incident a été signalé aux personnes concernées et, dans l'affirmative, la date et l'heure de la déclaration
  • comment les personnes concernées ont été informées
  • les conséquences de la violation des données, en précisant si possible la date et l'heure
  • les mesures techniques et/ou organisationnelles prises à la suite de la violation des données, y compris la date et l'heure