Policy för dataintrång – Water2Buy – Water Filtration Made Easy

Introduktion

Denna policy och plan syftar till att hjälpa Water2buy att hantera personuppgiftsöverträdelser effektivt. Water2buy lagrar personuppgifter om våra användare, anställda, kunder, leverantörer och andra individer för en mängd olika affärsändamål.

Water2buy förbinder sig inte bara till lagens bokstav utan också till lagens anda och lägger en hög premie på korrekt, laglig och rättvis hantering av alla personuppgifter, med respekt för lagliga rättigheter, integritet och förtroende för alla personer med vilka det handlar om.

Ett dataintrång hänvisar vanligtvis till obehörig åtkomst och hämtning av information som kan innehålla företags- och / eller personuppgifter. Dataintrång är allmänt erkända som ett av de dyrare säkerhetsfel som organisationer har. De kan leda till ekonomiska förluster och få konsumenter att förlora förtroendet för Water2buy eller våra kunder.

Reglerna i de olika jurisdiktioner där Water2buy verkar kräver att Water2buy gör rimliga säkerhetsarrangemang för att skydda de personuppgifter som vi har eller kontrollerar, för att förhindra obehörig åtkomst, insamling, användning, avslöjande eller liknande risker.

Omfattning

Denna policy gäller för all personal. Du måste känna till denna policy och följa dess villkor. Denna policy kompletterar våra andra policyer som rör internet- och e-postanvändning. Vi kan komplettera eller ändra denna policy med ytterligare policyer och riktlinjer då och då. Alla nya eller modifierade policyer kommer att skickas till personalen innan de antas.

Träning

All personal kommer att få utbildning om denna policy. Ny personal kommer att få utbildning som en del av introduktionsprocessen. Ytterligare utbildning kommer att ges minst varje år eller när det sker en väsentlig förändring av lagen eller vår policy och vårt förfarande.

Utbildningen tillhandahålls genom ett internt seminarium och onlineutbildning på årsbasis och täcker gällande lagar om dataskydd och Water2buys dataskydd och relaterade policyer och förfaranden.

Slutförandet av utbildningen är obligatoriskt.

EU: s ALLMÄNNA DATASKYDDSFÖRORDNING (EU) 2016/679 (GDPR)

Förordningen gäller också organisationer som är baserade utanför Europeiska unionen om de samlar in eller behandlar personuppgifter om EU-invånare.

Enligt Europeiska kommissionen är personuppgifter: ”all information som rör en enskild person, oavsett om det rör sig om hans eller hennes privata, yrkesmässiga eller offentliga liv. Det kan vara allt från ett namn, en hemadress, ett foto, en e-postadress , bankuppgifter, inlägg på webbplatser för sociala nätverk, medicinsk information eller datorns IP-adress. ”

Personlig information

Water2buy definierar personuppgifter som bredare av definitionerna i GDPR.

Water2buy definierar känsliga personuppgifter som bredare av definitionerna i GDPR.

All användning av känsliga personuppgifter ska kontrolleras strikt i enlighet med denna policy.

Medan vissa uppgifter alltid kommer att relatera till en individ, kan andra uppgifter inte i sig vara relaterade till en individ. Sådana uppgifter utgör inte personuppgifter om de inte är associerade med, eller görs relaterade till, en viss individ.

Generisk information som inte är relaterad till en viss individ kan också utgöra en del av en persons personuppgifter i kombination med personuppgifter eller annan information för att möjliggöra identifiering av en individ.

Samlade data är inte personuppgifter.

Water2buy samlar in personuppgifter för två syften för att identifiera och skydda den information som våra kunder har gett oss och för intern verksamhet.

Personuppgifter för hälsocoaching avser identifierbara enskilda användare och kan innefatta:

  • Användarprofilinformation såsom fullständigt namn, adress, mobilnummer och personlig e-postadress;
  • Meddelanden mellan användare och vår kundtjänst.

Personuppgifter som vi samlar in för interna operativa ändamål avser identifierbara individer såsom arbetssökande, nuvarande och tidigare anställda, kontrakt och annan personal, kunder, leverantörer och marknadsföringskontakter, och den insamlade informationen kan innehålla individers kontaktinformation, utbildning, ekonomi och lönedetaljer, detaljer om certifikat och examensbevis, utbildning och färdigheter, civilstånd, nationalitet, jobbtitel och CV.

Orsaker

Dataintrång kan orsakas av anställda, parter utanför organisationen eller datorsystemfel.

Mänskligt misstag
Människors fel orsaker inkluderar:

  • Förlust av datorenheter (bärbara eller på annat sätt), datalagringsenheter eller pappersposter som innehåller personuppgifter
  • Att avslöja data till fel mottagare
  • Hantering av data på ett obehörigt sätt (t.ex. nedladdning av en lokal kopia av personuppgifter)
  • Obehörig åtkomst eller avslöjande av personuppgifter av anställda (t.ex.: dela en inloggning)
  • Felaktigt avfallshantering av personuppgifter (t.ex.: hårddisk, lagringsmedia eller pappersdokument som innehåller personuppgifter som säljs eller kasseras innan data raderas ordentligt)

Skadliga aktiviteter
Skadliga orsaker inkluderar:

  • Hackincidenter / olaglig tillgång till databaser som innehåller personuppgifter
  • Hacking för att komma åt obehörig data via Coaching-appen eller API
  • Stöld av datoranordningar (bärbara eller på annat sätt), datalagringsenheter eller pappersposter som innehåller personuppgifter
  • Bedrägerier som lurar Water2buys personal att släppa personuppgifter om individer

Datorsystemfel
Datorsystemfel orsaker inkluderar:

  • Fel eller fel i Water2buy ’Application eller API
  • Fel på molntjänster, molntjänster eller säkerhets- / autentiserings- / auktoriseringssystem för molnlagring

Rapportering av överträdelser

Alla anställda har skyldighet att rapportera faktiska eller potentiella fel i dataskyddet. Detta gör att vi kan:

  • Undersök misslyckandet och vidta korrigerande åtgärder vid behov
  • Upprätthålla ett register över efterlevnadsfel
  • Meddela tillsynsmyndigheten om brister i efterlevnad som är väsentliga antingen i sin egen rätt eller som en del av ett misslyckande mönster

Enligt dataskyddsförordningen är dataskyddsombudet juridiskt skyldigt att meddela tillsynsmyndigheten inom 72 timmar efter dataintrånget (artikel 33). Individer måste meddelas om skadlig påverkan fastställs (artikel 34). Dessutom måste Water2buy meddela alla berörda kunder utan onödigt dröjsmål efter att ha fått kännedom om ett personuppgiftsbrott (artikel 33).

Water2buy behöver dock inte meddela de registrerade om anonymiserade uppgifter bryts. Specifikt krävs inte ett meddelande till de registrerade om den registeransvarige har implementerat pseudo-anonymiseringstekniker som kryptering tillsammans med adekvata tekniska och organisatoriska skyddsåtgärder för de personuppgifter som påverkas av dataintrånget (artikel 34).

Dataintrång

Dataöverträdelsesteamet bör omedelbart varnas om alla bekräftade eller misstänkta dataintrång.

Anmälan ska innehålla följande information, om tillgänglig:

  • Omfattningen av dataintrånget
  • Typ och volym av personuppgifter som är inblandade
  • Orsak eller misstänkt orsak till överträdelsen
  • Huruvida överträdelsen har rättats till
  • Åtgärder och processer som organisationen hade infört vid tidpunkten för överträdelsen
  • Information om huruvida berörda individer av dataintrånget har meddelats och om inte, när organisationen avser att göra det
  • Kontaktuppgifter för Water2buys personal som tillsynsmyndigheten kan kontakta för ytterligare information eller förtydligande

Om specifik information om dataintrånget ännu inte är tillgänglig, bör Water2buy skicka ett interimistiskt meddelande som innehåller en kort beskrivning av händelsen.

Meddelanden som gjorts av organisationer eller avsaknad av anmälan, liksom om organisationer har adekvata återställningsförfaranden, kommer att påverka tillsynsmyndigheternas beslut om huruvida en organisation rimligt har skyddat personuppgifterna under dess kontroll eller innehav.

Svara på ett dataintrång

PLAN FÖR DATABROSSHANTERING

Efter att ha meddelats om ett (misstänkt eller bekräftat) dataintrång, bör dataintrångsteamet omedelbart aktivera dataintrång och svarsplan.

Water2buys hanterings- och svarsplan för dataintrång är:

  1. Bekräfta överträdelsen
  2. Innehåll brottet
  3. Bedöma risker och effekter
  4. Rapportera incidenten
  5. Utvärdera svaret och återhämtningen för att förhindra framtida överträdelser

BEKRÄFTA BRÄDDET

Databrottsteamet (DBT) bör agera så snart det är medvetet om ett dataintrång. Om möjligt bör det först bekräfta att dataintrånget har inträffat. Det kan vara vettigt för DBT att fortsätta Innehåll överträdelsen på grundval av ett obekräftat rapporterat dataintrång, beroende på sannolikheten för allvarligheten av risken.

INNEHÅLL BRÄDDET

DBT bör överväga följande åtgärder för att behålla överträdelsen, i förekommande fall:

  • Stäng av det komprometterade systemet som ledde till dataintrånget.
  • Bestäm om åtgärder kan vidtas för att återställa förlorade data och begränsa eventuella skador orsakade av överträdelsen. (t.ex.: att inaktivera / rensa bort en borttappad anteckningsbok som innehåller personuppgifter om individer.)
  • Förhindra ytterligare obehörig åtkomst till systemet.
  • Återställ lösenord om konton och / eller lösenord har äventyrats.
  • Isolera orsakerna till dataintrånget i systemet, och i förekommande fall ändra åtkomsträttigheterna till det komprometterade systemet och ta bort externa anslutningar till systemet.

BEDÖMNING AV RISKER OCH KONSEKVENSER

Att känna till riskerna och effekterna av dataintrång hjälper Water2buy att avgöra om det kan få allvarliga konsekvenser för de drabbade individerna, samt de steg som är nödvändiga för att meddela de berörda individerna.

Risk och påverkan på individer

  • Hur många människor drabbades?
    Ett högre antal kan inte betyda en högre risk, men att bedöma detta hjälper den övergripande riskbedömningen.
  • Vems personuppgifter hade överträtts?
    Tillhör personuppgifterna anställda, kunder eller minderåriga? Olika människor kommer att möta varierande risknivåer som ett resultat av förlust av personuppgifter.
  • Vilka typer av personuppgifter var inblandade?
    Detta hjälper till att fastställa om det finns risk för rykte, identitetsstöld, säkerhet och / eller ekonomisk förlust av drabbade individer.
  • Finns det några ytterligare åtgärder för att minimera effekterna av ett dataintrång? t.ex.: en förlorad enhet som skyddas av ett starkt lösenord eller kryptering kan minska effekterna av ett dataintrång.

Risk och påverkan på organisationer

  • Vad orsakade dataintrånget?
    Att bestämma hur överträdelsen inträffade (genom stöld, olycka, obehörig åtkomst osv.) Hjälper dig att identifiera omedelbara åtgärder för att begränsa överträdelsen och återställa allmänhetens förtroende för en produkt eller tjänst.
  • När och hur ofta inträffade överträdelsen?
    Att undersöka detta kommer att hjälpa Water2buy att bättre förstå typen av intrång (t.ex. skadlig eller oavsiktlig).
  • Vem kan få tillgång till de komprometterade personuppgifterna?
    Detta kommer att fastställa hur de komprometterade uppgifterna kan användas. I synnerhet måste berörda personer meddelas om personuppgifter förvärvas av en obehörig person.
  • Kommer komprometterade uppgifter att påverka transaktioner med andra tredje parter?
    Att bestämma detta hjälper till att identifiera om andra organisationer behöver meddelas.

Rapportera händelsen

Water2buy är juridiskt skyldigt att meddela berörda personer om deras personuppgifter har brutits. Detta kommer att uppmuntra individer att vidta förebyggande åtgärder för att minska effekterna av dataintrånget, och även hjälpa Water2buy att återuppbygga konsumenternas förtroende.

Vem ska meddelas:

  • Meddela personer vars personuppgifter har äventyrats.
  • Meddela andra tredje parter som banker, kreditkortsföretag eller polisen, där det är relevant.
  • Meddela GDPR, särskilt om ett dataintrång involverar känsliga personuppgifter.
  • De berörda myndigheterna (t.ex. polis) bör underrättas om misstänkt brottslig verksamhet och bevis för utredning ska bevaras (t.ex. hackning, stöld eller obehörig systemåtkomst från en anställd.)

När ska jag meddela:

  • Meddela berörda personer omedelbart om ett dataintrång involverar känsliga personuppgifter. Detta gör att de kan vidta nödvändiga åtgärder tidigt för att undvika potentiellt missbruk av komprometterade data.
  • Meddela berörda personer när dataintrånget är löst

Hur man meddelar:

  • Använd de mest effektiva sätten att nå berörda individer, med hänsyn till hur brådskande situationen är och antalet individer som berörs (t.ex. medieutgåvor, sociala medier, mobila meddelanden, SMS, e-post, telefonsamtal).
  • Aviseringar ska vara enkla att förstå, specifika och ge tydliga instruktioner om vad individer kan göra för att skydda sig själva.

Vad du ska meddela:

  • Hur och när dataintrånget inträffade och vilka typer av personuppgifter som är inblandade i dataintrånget.
  • Vad Water2buy har gjort eller kommer att göra som svar på riskerna med dataintrånget.
  • Specifika fakta om dataintrånget där så är tillämpligt och åtgärder som individer kan vidta för att förhindra att data missbrukas eller missbrukas.
  • Kontaktuppgifter och hur berörda individer kan nå organisationen för ytterligare information eller hjälp (t.ex. hjälplinjenummer, e-postadresser eller webbplats).

UTVÄRDERA SVARET OCH ÅTERVINNINGEN FÖR ATT FÖRHINDRA FRAMTIDA SPÄNNINGAR

Efter att åtgärder har vidtagits för att lösa dataintrånget, bör Water2buy granska orsaken till intrånget och utvärdera om befintliga skydds- och förebyggande åtgärder och processer är tillräckliga för att förhindra att liknande intrång inträffar och i förekommande fall stoppa metoder som ledde till dataintrång.

Operativa och policyrelaterade frågor:

  • Gjordes revisioner av både fysiska och IT-relaterade säkerhetsåtgärder regelbundet?
  • Finns det processer som kan strömlinjeformas eller införas för att begränsa skadan om framtida överträdelser inträffar eller för att förhindra ett återfall?
  • Fanns det svagheter i befintliga säkerhetsåtgärder som användningen av föråldrad programvara och skyddsåtgärder, eller svagheter i användningen av bärbara lagringsenheter, nätverk eller anslutning till Internet?
  • Var metoderna för åtkomst och överföring av personuppgifter tillräckligt säkra, t.ex.: åtkomst begränsad till endast auktoriserad personal?
  • Bör supporttjänster från externa parter förbättras, såsom leverantörer och partners, för att bättre skydda personuppgifter?
  • Var leverantörernas och partnerns ansvar tydligt definierade i förhållande till hanteringen av personuppgifter?
  • Finns det behov av att utveckla nya dataintrångsscenarier?

Resursrelaterade problem:

  • Har tillräckliga resurser avsatts för att hantera dataintrånget?
  • Bör externa resurser anslås för att bättre hantera sådana incidenter?
  • Fick nyckelpersonalen tillräckliga resurser för att hantera händelsen?

Problem med anställda:

  • Var medarbetarna medvetna om säkerhetsrelaterade frågor?
  • Erbjöds utbildning om personuppgiftsskyddsfrågor och kompetenshantering?
  • Har anställda informerats om dataintrånget och inlärningspunkterna från händelsen?

Ledningsrelaterade problem:

  • Hur var ledningen involverad i hanteringen av dataintrånget?
  • Var det en tydlig ansvars- och kommunikationslinje under hanteringen av dataintrånget?

Övervakning

Alla måste följa denna policy.

Konsekvenser av att inte följa

Vi tar efterlevnad av denna policy på allvar. Bristande efterlevnad riskerar både dig och organisationen.

Betydelsen av denna policy innebär att underlåtenhet att uppfylla något krav kan leda till disciplinära åtgärder enligt våra förfaranden som kan leda till uppsägning.