Politik for databrud – Water2Buy – Water Filtration Made Easy

Introduktion

Denne politik og plan har til formål at hjælpe Water2buy med effektivt at håndtere brud på personoplysninger. Water2buy opbevarer personoplysninger om vores brugere, medarbejdere, kunder, leverandører og andre personer til en række forretningsformål.

Water2buy forpligter sig ikke kun til lovens bogstav, men også til ånden i loven og lægger en høj præmie på korrekt, lovlig og retfærdig behandling af alle personoplysninger under overholdelse af de juridiske rettigheder, privatlivets fred og tillid hos alle personer, med hvem det handler.

Et databrud henviser generelt til uautoriseret adgang og hentning af oplysninger, der kan omfatte virksomheds- og / eller personlige data. Databrud er generelt anerkendt som en af de dyrere sikkerhedssvigt i organisationer. De kan føre til økonomiske tab og få forbrugere til at miste tillid til Water2buy eller vores kunder.

Reglerne på tværs af de forskellige jurisdiktioner, hvor Water2buy opererer, kræver, at Water2buy træffer rimelige sikkerhedsarrangementer for at beskytte de personlige data, som vi besidder eller kontrollerer, for at forhindre uautoriseret adgang, indsamling, brug, videregivelse eller lignende risici.

Anvendelsesområde

Denne politik gælder for alt personale. Du skal være fortrolig med denne politik og overholde dens betingelser. Denne politik supplerer vores andre politikker vedrørende internet- og e-mail-brug. Vi kan supplere eller ændre denne politik med yderligere politikker og retningslinjer fra tid til anden. Enhver ny eller ændret politik vil blive sendt til personalet, inden den vedtages.

Uddannelse

Alt personale får uddannelse i denne politik. Nyt personale vil blive uddannet som en del af induktionsprocessen. Yderligere uddannelse vil blive givet mindst hvert år, eller når der er en væsentlig ændring i lovgivningen eller vores politik og procedure.

Uddannelse tilvejebringes gennem et internt seminar og online træning på årsbasis og dækker gældende love vedrørende databeskyttelse og Water2buy ‘databeskyttelse og relaterede politikker og procedurer.

Afslutning af uddannelse er obligatorisk.

EU-GENERELLE DATABESKYTTELSESFORORDNING (EU) 2016/679 (GDPR)

Forordningen finder også anvendelse på organisationer uden for EU, hvis de indsamler eller behandler personoplysninger om EU-borgere.

Ifølge Europa-Kommissionen er personoplysninger: “enhver information, der vedrører et individ, uanset om det vedrører hans eller hendes private, erhvervsmæssige eller offentlige liv. Det kan være alt fra et navn, en hjemmeadresse, et foto, en e-mail-adresse , bankoplysninger, indlæg på sociale netværkswebsteder, medicinske oplysninger eller en computers IP-adresse. ”

Personlig data

Water2buy definerer personoplysninger som bredere af definitionerne indeholdt i GDPR.

Water2buy definerer følsomme personoplysninger som den bredere af definitionerne indeholdt i GDPR.

Enhver brug af følsomme personoplysninger skal kontrolleres nøje i overensstemmelse med denne politik.

Mens nogle data altid vil vedrøre et individ, kan andre data muligvis ikke i sig selv vedrøre et individ. Sådanne data udgør ikke personoplysninger, medmindre de er knyttet til eller gjort til at relatere til en bestemt person.

Generiske oplysninger, der ikke vedrører en bestemt person, kan også udgøre en del af en persons personlige data, når de kombineres med personlige data eller andre oplysninger, der gør det muligt at identificere en person.

Samlede data er ikke personlige data.

Water2buy indsamler personoplysninger til to formål for at identificere og beskytte de data, som vores kunder har givet os, og til interne operationer.

Personlige data til sundhedscoaching vedrører identificerbare individuelle brugere og kan omfatte:

  • Brugerprofiloplysninger såsom fuldt navn, adresse, mobiltelefonnummer og personlig e-mail-adresse;
  • Beskeder mellem brugere og vores kundeservice.

Personoplysninger, vi indsamler til interne operationelle formål, vedrører identificerbare personer såsom jobansøgere, nuværende og tidligere ansatte, kontrakt og andet personale, klienter, leverandører og marketingkontakter, og de indsamlede data kan omfatte enkeltpersoners kontaktoplysninger, uddannelsesmæssige baggrund, økonomiske og lønoplysninger, detaljer om certifikater og eksamensbeviser, uddannelse og færdigheder, ægteskabelig status, nationalitet, jobtitel og CV.

Årsager

Databrud kan skyldes medarbejdere, parter uden for organisationen eller computersystemfejl.

Menneskelig fejl
Årsager til menneskelige fejl inkluderer:

  • Tab af computerenheder (bærbare eller på anden måde), datalagringsenheder eller papiroptegnelser, der indeholder personlige data
  • Videregivelse af data til en forkert modtager
  • Håndtering af data på en uautoriseret måde (f.eks. Download af en lokal kopi af personlige data)
  • Uautoriseret adgang eller videregivelse af personlige data af medarbejdere (f.eks. Deling af et login)
  • Forkert bortskaffelse af personlige data (f.eks. Harddisk, lagringsmedie eller papirdokumenter, der indeholder personlige data, der er solgt eller kasseret, før data slettes korrekt)

Ondsindede aktiviteter
Ondsindede årsager inkluderer:

  • Hacking-hændelser / ulovlig adgang til databaser, der indeholder personlige data
  • Hacking for at få adgang til uautoriserede data via Coaching App eller API
  • Tyveri af computerenheder (bærbare eller på anden måde), datalagringsenheder eller papiroptegnelser, der indeholder personlige data
  • Svindel, der narger Water2buys personale til at frigive personoplysninger om enkeltpersoner

Computersystemfejl
Årsager til computersystemfejl inkluderer:

  • Fejl eller fejl i Water2buy ‘Application eller API
  • Fejl i skytjenester, cloud computing eller cloud-opbevarings- / godkendelses- / autorisationssystemer

Rapportering af overtrædelser

Alle ansatte er forpligtet til at rapportere faktiske eller potentielle fejl i overensstemmelse med databeskyttelse. Dette giver os mulighed for at:

  • Undersøg svigtet, og tag om nødvendigt afhjælpende skridt
  • Oprette et register over overholdelsesfejl
  • Underret tilsynsmyndigheden om eventuelle overholdelsesfejl, der er væsentlige enten i deres egen ret eller som en del af et mønster af fejl

I henhold til GDPR er databeskyttelsesretten juridisk forpligtet til at underrette tilsynsmyndigheden inden for 72 timer efter databruddet (artikel 33). Enkeltpersoner skal underrettes, hvis skadelig påvirkning bestemmes (artikel 34). Derudover skal Water2buy underrette alle berørte kunder uden unødig forsinkelse efter at have fået kendskab til et brud på personoplysninger (artikel 33).

Water2buy behøver dog ikke at underrette de registrerede, hvis anonymiserede data overtrædes. Specifikt er meddelelsen til de registrerede ikke påkrævet, hvis den dataansvarlige har implementeret pseudo-anonymiseringsteknikker som kryptering sammen med passende tekniske og organisatoriske beskyttelsesforanstaltninger til de personoplysninger, der er berørt af databruddet (artikel 34).

Databrud

Dataovertrædelsesteamet skal straks gøres opmærksom på enhver bekræftet eller mistanke om databrud.

Meddelelsen bør indeholde følgende oplysninger, hvor de er tilgængelige:

  • Omfanget af databrud
  • Type og mængde af involverede personlige data
  • Årsag eller mistanke om årsag til overtrædelsen
  • Om overtrædelsen er rettet
  • Foranstaltninger og processer, som organisationen havde indført på tidspunktet for overtrædelsen
  • Oplysninger om, hvorvidt de berørte personer om databruddet blev underrettet, og hvis ikke, hvornår organisationen agter at gøre det
  • Kontaktoplysninger for Water2buy-medarbejdere, som tilsynsmyndigheden kan kontakte for yderligere information eller afklaring

Hvor specifik information om databruddet endnu ikke er tilgængelig, bør Water2buy sende en foreløbig anmeldelse indeholdende en kort beskrivelse af hændelsen.

Meddelelser fra organisationer eller manglende underretning, samt om organisationer har tilstrækkelige gendannelsesprocedurer på plads, vil påvirke tilsynsmyndighedernes beslutning (er) om, hvorvidt en organisation med rimelighed har beskyttet de personoplysninger, der er under dens kontrol eller besiddelse.

Svar på et databrud

PLAN FOR HÅNDTERING AF DATABREK

Efter at have fået besked om et (mistænkt eller bekræftet) databrud, skal Data Breach-teamet straks aktivere dataovertrædelsen og reaktionsplanen.

Water2buy ‘databeskyttelse og reaktionsplan er:

  1. Bekræft overtrædelsen
  2. Indeholder bruddet
  3. Vurdere risici og virkning
  4. Rapporter hændelsen
  5. Evaluer respons og genopretning for at forhindre fremtidige overtrædelser

BEKRÆFT BRYDEN

Dataovertrædelsesteamet (DBT) skal handle, så snart det er opmærksom på et databrud. Hvor det er muligt, skal det først bekræfte, at databruddet er sket. Det kan være fornuftigt, at DBT fortsætter Contain the Breach på basis af et ubekræftet rapporteret datalicens, afhængigt af sandsynligheden for, at risikoen er alvorlig.

INDEHOLD BRYDEN

DBT bør overveje følgende foranstaltninger til at indeholde overtrædelsen, hvor det er relevant:

  • Luk det kompromitterede system, der førte til databrud, ned.
  • Find ud af, om der kan tages skridt til at gendanne mistede data og begrænse skader forårsaget af overtrædelsen. (fx: deaktivering / sletning af en mistet notesbog, der indeholder personoplysninger om enkeltpersoner, eksternt).
  • Forhindre yderligere uautoriseret adgang til systemet.
  • Nulstil adgangskoder, hvis konti og / eller adgangskoder er kompromitteret.
  • Isolér årsagerne til databrud i systemet, og, hvor det er relevant, rediger adgangsrettighederne til det kompromitterede system og fjern eksterne forbindelser til systemet.

VURDERER RISICI OG KONSEKVENSER

At kende risiciene og virkningen af databrud vil hjælpe Water2buy med at afgøre, om der kan være alvorlige konsekvenser for berørte personer, samt de nødvendige skridt til at underrette de berørte personer.

Risiko og indvirkning på enkeltpersoner

  • Hvor mange mennesker blev ramt?
    Et højere antal betyder måske ikke en højere risiko, men at vurdere dette hjælper den samlede risikovurdering.
  • Hvis personoplysninger blev overtrådt?
    Tilhører de personlige oplysninger medarbejdere, kunder eller mindreårige? Forskellige mennesker vil have forskellige niveauer af risiko som følge af tab af personlige data.
  • Hvilke typer personoplysninger var involveret?
    Dette hjælper med at fastslå, om der er risiko for omdømme, identitetstyveri, sikkerhed og / eller økonomisk tab af berørte personer.
  • Er der yderligere foranstaltninger på plads for at minimere virkningen af et databrud? fx: en mistet enhed, der er beskyttet af en stærk adgangskode eller kryptering, kan reducere virkningen af et databrud.

Risiko og indvirkning på organisationer

  • Hvad forårsagede databruddet?
    Bestemmelse af, hvordan overtrædelsen opstod (gennem tyveri, ulykke, uautoriseret adgang osv.), Hjælper med at identificere øjeblikkelige skridt, der skal tages for at indeholde overtrædelsen og gendanne offentlighedens tillid til et produkt eller en tjeneste.
  • Hvornår og hvor ofte opstod overtrædelsen?
    Undersøgelse af dette vil hjælpe Water2buy bedre med at forstå brudets art (f.eks. Ondsindet eller utilsigtet).
  • Hvem kan få adgang til de kompromitterede personlige data?
    Dette vil fastslå, hvordan de kompromitterede data kunne bruges. Især skal berørte personer underrettes, hvis personoplysninger erhverves af en uautoriseret person.
  • Vil kompromitterede data påvirke transaktioner med andre tredjeparter?
    At bestemme dette hjælper med at identificere, om andre organisationer skal underrettes.

ANMELD Hændelsen

Water2buy er juridisk forpligtet til at underrette berørte personer, hvis deres personoplysninger er blevet overtrådt. Dette vil tilskynde enkeltpersoner til at træffe forebyggende foranstaltninger for at reducere virkningen af databrud og også hjælpe Water2buy med at genopbygge forbrugernes tillid.

Hvem skal meddeles:

  • Underret personer, hvis personlige data er kompromitteret.
  • Giv andre tredjeparter besked, såsom banker, kreditkortselskaber eller politiet, hvor det er relevant.
  • Underret GDPR, især hvis et databrud involverer følsomme personoplysninger.
  • De relevante myndigheder (f.eks. Politi) bør underrettes, hvis der mistænkes kriminel aktivitet, og bevis for undersøgelse skal bevares (f.eks. Hacking, tyveri eller uautoriseret systemadgang fra en medarbejder).

Hvornår skal meddeles:

  • Giv berørte personer straks besked, hvis et databrud involverer følsomme personoplysninger. Dette giver dem mulighed for at tage de nødvendige handlinger tidligt for at undgå potentielt misbrug af de kompromitterede data.
  • Giv berørte personer besked, når databruddet er løst

Sådan meddeles:

  • Brug de mest effektive måder at nå ud til berørte personer under hensyntagen til, hvor presserende situationen er og antallet af berørte personer (f.eks. Medieudgivelser, sociale medier, mobilbeskeder, SMS, e-mails, telefonopkald).
  • Meddelelser skal være enkle at forstå, specifikke og give klare instruktioner om, hvad enkeltpersoner kan gøre for at beskytte sig selv.

Hvad skal man meddele:

  • Hvordan og hvornår databruddet opstod, og hvilke typer personoplysninger der er involveret i databrudet.
  • Hvad Water2buy har gjort eller vil gøre som reaktion på de risici, som databruddet medfører.
  • Specifikke fakta om databrud, hvor det er relevant, og handlinger enkeltpersoner kan tage for at forhindre, at data misbruges eller misbruges.
  • Kontaktoplysninger og hvordan berørte enkeltpersoner kan nå ud til organisationen for yderligere information eller assistance (f.eks. Hjælpelinjenumre, e-mail-adresser eller websted).

EVALUER RESPONSEN OG GENDRIFTEN FOR AT FOREBYGGE FREMTIDIGE BREKER

Efter at der er taget skridt til at løse databruddet, bør Water2buy gennemgå årsagen til bruddet og vurdere, om eksisterende beskyttelses- og forebyggelsesforanstaltninger og -processer er tilstrækkelige til at forhindre lignende overtrædelser, og hvor det er relevant, sætte en stopper for praksis, der førte til databrud.

Operationelle og politiske relaterede problemer:

  • Blev der regelmæssigt foretaget revision af både fysiske og it-relaterede sikkerhedsforanstaltninger?
  • Er der processer, der kan strømline eller introduceres for at begrænse skaden, hvis fremtidige overtrædelser sker eller for at forhindre et tilbagefald?
  • Var der svagheder i eksisterende sikkerhedsforanstaltninger, såsom brugen af forældet software og beskyttelsesforanstaltninger, eller svagheder ved brugen af bærbare lagerenheder, netværk eller forbindelse til Internettet?
  • Var metoderne til at få adgang til og overføre personoplysninger tilstrækkeligt sikre, f.eks. Begrænset adgang til autoriseret personale?
  • Bør supporttjenester fra eksterne parter forbedres, såsom leverandører og partnere, for bedre at beskytte personlige data?
  • Blev leverandørers og partneres ansvar klart defineret i forhold til håndtering af personoplysninger?
  • Er der behov for at udvikle nye datasikkerhedsscenarier?

Ressourcerelaterede problemer:

  • Blev der tildelt tilstrækkelige ressourcer til at styre databruddet?
  • Bør der anvendes eksterne ressourcer til bedre styring af sådanne hændelser?
  • Fik nøglepersonalet tilstrækkelige ressourcer til at styre hændelsen?

Medarbejderrelaterede problemer:

  • Var medarbejderne opmærksomme på sikkerhedsrelaterede problemer?
  • Blev der undervisning i spørgsmål om beskyttelse af personlige oplysninger og hændelsesstyringsfærdigheder?
  • Blev medarbejdere informeret om databrud og læringspunkter fra hændelsen?

Ledelsesrelaterede problemer:

  • Hvordan var ledelsen involveret i styringen af databruddet?
  • Var der en klar linje med ansvar og kommunikation under håndteringen af databrudet?

Overvågning

Alle skal overholde denne politik.

Konsekvenser af manglende overholdelse

Vi tager overholdelse af denne politik meget alvorligt. Manglende overholdelse udsætter både dig og organisationen i fare.

Vigtigheden af denne politik betyder, at manglende overholdelse af ethvert krav kan føre til disciplinære handlinger under vores procedurer, som kan resultere i afskedigelse.