Privacybeleid Stichting Connect2Trust

Principe

1. De effectiviteit van het privacy beleid staat of valt met kennis en de bereidheid zich aan het privacy beleid te conformeren. Gelet op de professionele achtergrond van de deelnemers en de rol die zijn spelen in het werkveld mag worden verwacht dat men zorgvuldig met vertrouwelijke informatie – dus ook met persoonsgegevens – omgaat.
2. Verwerking van persoonsgegevens is geen kernactiviteit van de Stichting Connect2Trust, maar om ieder misverstand over wat (niet) kan en mag te voorkomen en om volledig te voldoen aan wettelijke eisen is in dit document het privacy beleid voor de Stichting Connect2Trust geformaliseerd. (Aspirant) deelnemers worden bij toetreding tot nadrukkelijk op dit privacy beleid gewezen en het privacy beleid is samengevat in een privacyverklaring voor een breed publiek.

 

Rechten van betrokkenen; Stichting Connect2Trust als verwerkersverantwoordelijke

Principe

De Stichting Connect2Trust neemt verantwoordelijkheid voor het zorgvuldig en veilig verzamelen, verwerken en bewaren van persoonsgegevens van deelnemers en andere betrokkenen. Wanneer betrokken hun wettelijke rechten – zoals het recht op informatie, inzage, correctie of verwijdering -uitoefenen zal Stichting Connect2Trus dit conform wet- en regelgeving faciliteren.

Uitvoering

De ‘betrokkenen’ kunnen hun rechten uitoefenen door contact op te nemen met de voorzitter en/of secretaris van de Stichting Connect2Trust die de aanvraag dan af (laten) handelen.

 

Rechten van betrokkenen; Stichting Connect2Trust als verwerker

Principe

1. De Stichting Connect2Trust heeft objectief kenbaar tot taak om haar deelnemende organisaties te informeren, alsmede met haar deelnemende organisaties te kijken naar mogelijkheden om organisaties binnen hun ketens, regionaal en/of (cross)sectoraal te informeren op het gebied van cyber security. Het uitvoeren van deze taak vereist een registratie van persoonsgegevens, in het bijzonder de contactgegevens van vertegenwoordigers van haar deelnemers en technische persoonsgegevens zoals email- en/of IP-adressen. Tenzij anders gesteld omvat de term persoonsgegevens hierna zowel contactgegevens als technische gegevens.
2. De Stichting Connect2Trust neemt voor deze persoonsgegevens verantwoordelijkheid voor het zorgvuldig en veilig verzamelen, verwerken en bewaren van persoonsgegevens. Wanneer betrokkenen hun recht op informatie, inzage, correctie of verwijdering uitoefenen en met betrekking tot deze verzameling (persoons)gegevens faciliteert De Stichting Connect2Trust conform wet -en regelgeving. Betrokkenen worden – wanneer relevant – ook verwezen naar privacyverklaring.
3. De Stichting Connect2Trust zal gegevens ontvangen van het derde partijen waaronder het Nationaal Cyber Security Centrum (NCSC). In sommige gevallen kunnen deze gegevens herleidbaar zijn naar personen. De Stichting Connect2Trust verwerkt deze persoonsgegevens op basis van de grondslag ‘gerechtvaardigd belang’, zoals omschreven in artikel 6 lid 1 sub f AVG. De verwerking van deze persoonsgegevens dient, voor zover die strikt noodzakelijk en evenredig is met het oog op cyberweerbaarheid, een gerechtvaardigd belang van Stichting Connect2Trust, omdat de Stichting Connect2Trust haar doelgroep-organisaties op basis van deze informatie informeert over (potentiele) dreigingen, kwetsbaarheden of incidenten.

Uitvoering

De ‘Betrokkenen’ kunnen hun rechten uitoefenen door contact op te nemen met de voorzitter en/of secretaris van de Stichting Connect2Trust, die de aanvraag dan af (laten) handelen.

 

Overzicht verwerkingen

Principe

1. De Stichting Connect2Trust maakt de (structurele) verwerking van persoonsgegevens inzichtelijk in een verwerkingsregister. Het gaat daarbij primair om de zakelijke contactgegevens van deelnemers. Bij structurele verwerking van technische persoonsgegevens die in sommige gevallen herleidbaar kunnen zijn naar individuele personen zullen deze worden opgenomen in het verwerkingsregister.
2. Bij iedere verwerking van persoonsgegevens geldt dat uitsluitend strikt noodzakelijke persoonsgegevens worden verwerkt met een zo kort mogelijke bewaartermijn.
3. Niet-noodzakelijke persoonsgegevens die de Stichting Connect2Trust ontvangt van derden die mogelijk herleidbaar kunnen zijn naar individuele personen die geen betrekking hebben op de eigen deelnemers zullen binnen één maand na ontvangst worden verwijderd.

Maatregelen

In het register wordt minimaal bijgehouden: Proces, proceseigenaar, omschrijving persoonsgegevens, classificatie, bewaartermijn (retentie), doel van de verwerking, ontvangers van de informatie, gegevensuitwisseling met derde partijen, derde landen (wanneer van toepassing), passende waarborgen, risico’s en maatregelen en of er wel/niet een gegevensbescherming effectbeoordeling (DPIA) is uitgevoerd.

 

DPIA

Principe & maatregelen

De Stichting Connect2Trust voert als dat wettelijk vereist is of toegevoegde waarde heeft (risicomanagement) een Gegevensbeschermingseffectbeoordeling (=DPIA, Data Protectie Impact Assessment) uit op verwerkingen van persoonsgegevens waarvoor De Stichting Connect2Trust verantwoordelijk is.

 

Privacy-by-Design & Privacy-by-Default

Principe & maatregelen

De Stichting Connect2Trust hanteert Privacy-by-Design en Privacy-by-Default bij de opzet en inzet van systemen waarmee persoonsgegevens worden verwerkt.

Instructies

De deelnemers die systemen inkopen, bouwen en/of leveren zijn zich bewust van de eisen die de AVG stelt en borgen deze kennis en functionaliteit in de relevante systemen.

 

Functionaris voor Gegevensbescherming

Principe

Gelet op de zeer beperkte omvang van de activiteiten rond verwerking van persoonsgegevens maakt De Stichting Connect2Trust geen gebruik van de mogelijkheid om (vrijwillig) een Functionaris voor Gegevensbescherming (FG) aan te stellen. Gelet op de professionele achtergrond van de deelnemers is voldoende kennis aanwezig en worden de – wanneer relevant – activiteiten rond bescherming van persoonsgegevens door de voorzitter en/of secretaris van De Stichting Connect2Trust gecoördineerd. Inbegrepen eventuele contacten met de Autoriteit Persoonsgegevens of andere belanghebbenden.

 

Meldplicht Datalekken

Principe

De Stichting Connect2Trust neemt de verantwoordelijkheid om datalekken op de juiste manier af te handelen.

Maatregelen

De Stichting Connect2Trust registreert een (vermoedelijke) datalek altijd en indien relevant wordt door de voorzitter, vice-voorzitter en/of secretaris van De Stichting Connect2Trust melding gedaan bij de bij de Autoriteit Persoonsgegevens en de betrokken persoon (of personen).

Instructies

Derden en de deelnemers melden een (vermoedelijk) datalek bij de voorzitter en/of secretaris van De Stichting Connect2Trust (contactgegevens zijn opgenomen in de Privacyverklaring).

 

 

Verwerkersovereenkomsten

Principe

1. De Stichting Connect2Trust verwerkt uitsluitend persoonsgegevens van deelnemers indien absoluut noodzakelijk. Er is geen sprake van verwerkersovereenkomsten met leveranciers of afnemers; wel maakt de Stichting Connect2Trust heldere afspraken bij mogelijk ad hoc gebruik van persoonsgegevens met relevante betrokkenen/partijen.
2. Als er onverhoopt toch sprake is van (structurele) verwerking van persoonsgegevens leggen we de afspraken daarover vast in een verwerkersovereenkomst. De verwerkersovereenkomst is een juridisch document en zal op hetzelfde juridische niveau en door dezelfde juridische entiteit worden afgesloten als het contract.
3. De Stichting Connect2Trust deelt persoonsgegevens alleen met derden als dit absoluut noodzakelijk is voor het uitvoeren van de met u afgesloten overeenkomst en om te voldoen aan eventuele wettelijke verplichtingen. Iedere derde partij zal worden getoetst op een rechtmatige grondslag voor het omgaan met deze persoonsgegevens en iedere deelnemer wordt geïnformeerd met welke derde partij(en) deze gegevens worden gedeeld. In overige gevallen verstrekt de Stichting Connect2Trust uitsluitend uw persoonsgegevens aan andere partijen indien u hiervoor nadrukkelijk toestemming hebt gegeven. Wij zullen deze informatie uitsluitend verstrekken aan derden waarvan wij een adequaat niveau van beveiliging en vertrouwelijkheid van uw gegevens kunnen verwachten.

Maatregelen

In gevallen zoals genoemd onder paragraaf 9.1 is altijd goedkeuring van het bestuur van de Stichting Connect2Trust vereist. Als dat nodig is zullen deze (juridisch) advies inwinnen bij specialisten.

 

Grondslagen

Principe

1. De Stichting Connect2Trust informeert deelnemers en andere relaties waar (hun) persoonsgegevens voor gevraagd en gebruikt worden. Door middel van ondertekening van het – door iedere deelnemer individueel – ondertekende acceptatieformulier in de lidmaatschapsrichtlijnen, wordt toestemming verleend aan de Stichting Connect2Trust voor het registeren van de zakelijke contactgegevens. Ook wordt daarmee expliciet toestemming gegeven aan Connect2Trust voor het tijdelijk registeren van IP-adressen welke op basis van vrijwilligheid door de deelnemers aan Connect2Trust wordt verstrekt.
2. De Stichting Connect2Trust zal mogelijk technische persoonsgegevens (zoals email- en/of IP-adressen) ontvangen van haar deelnemers of externe partijen zoals het NCSC die in sommige gevallen herleidbaar kunnen zijn naar individuele personen. Het gaat altijd om ad hoc verwerkingen, gerechtvaardigd door het te dienen belang, namelijk cyberweerbaarheid, door betrokkenen te informeren over (potentiele) dreigingen, kwetsbaarheden of incidenten.

Maatregelen

1. Om ervoor te zorgen dat De Stichting Connect2Trust op de juiste manier omgaat met de wettelijke grondslag m.b.t. de verwerking van persoonsgegevens zijn ten behoeve van de registratie van contactgegevens de volgende maatregelen genomen:

• Afspraken rondom wettelijke grondslag leggen we vast; in het verwerkingsregister is te vinden welke grondslag wordt gebruikt.
• Wanneer toestemming door een betrokkenen wordt ingetrokken, dan zal het proces in paragraaf 2 of 3 in gang worden gezet.

2. Om ervoor te zorgen dat De Stichting Connect2Trust op de juiste manier omgaat met de wettelijke grondslag m.b.t. het opslaan van technische persoonsgegevens, zijn de volgende maatregelen genomen:
3. De Stichting Connect2Trust zal haar deelnemers zoveel mogelijk in staat stellen haar eigen technische persoonsgegevens op te voeren en te beheren. Ook kan de deelnemer haar eigen technische persoonsgegevens verwijderen tijdens of bij beëindiging van het lidmaatschap;
4. De Stichting Connect2Trust zal technische persoonsgegevens die herleidbaar zijn naar de verstrekte informatie door deelnemers van de Stichting Connect2Trust uitsluitend opslaan gedurende de lidmaatschapstermijn van een deelnemers. Deze gegevens zullen binnen maximaal één maand na beëindiging van het lidmaatschap worden verwijderd indien dit nog niet zelf door de deelnemer is gebeurd;
5. De Stichting Connect2Trust kan door bevoegde (inter)nationale bevoegde instanties worden gevraagd, doch nimmer verplicht, om ook slachtoffers te informeren aan de hand van technische persoonsgegevens niet herleidbaar zijn naar verstrekte informatie door deelnemers van de Stichting Connect2Trust;
6. In alle gevallen anders dan hiervoor onder lid 2 van Artikel 10.2 is beschreven onder B en C, zal de Stichting Connect2Trust technische persoonsgegevens die niet herleidbaar zijn naar verstrekte informatie door deelnemers van de Stichting Connect2Trust verwijderen binnen een vastgestelde retentieperiode. Deze periode wordt, binnen de wettelijke grenzen, door de deelnemers gezamenlijk met de Stichting Connect2Trust overeengekomen op basis van de benodigde tijd voor onderzoek door de deelnemers naar mogelijke relevantie van de ontvangen technische persoonsgegevens met inachtneming van een zo kort mogelijke bewaartermijn. De maximale bewaartermijn bedraagt 18 maanden na ontvangst.

Instructies

Als deelnemer van De Stichting Connect2Trust te maken krijgen met een verwerking van persoonsgegevens die uitsluitend gebaseerd is op toestemming van betrokkenen, is altijd goedkeuring van de voorzitter en/of secretaris vereist.

 

Woordvoering

Principe

De voorzitter, vice-voorzitter en/of secretaris zijn verantwoordelijk voor woordvoering rond incidenten of ongewenste situaties waar bescherming persoonsgegevens door Stichting Connect2Trust een rol speelt zodat materiele en immateriële schade (imago) voor De Stichting Connect2Trust en derde partijen tot een minimum beperkt dan wel voorkomen kan worden.

Maatregelen

1. Om voorbereid te zijn op een succesvolle (crisis)woordvoering in het geval van een incident worden de volgende maatregelen getroffen:

• Benoemen woordvoerder; eventueel namens de voorzitter / vicevoorzitter / secretaris;
• Als derde partijen betrokken zijn wordt één woordvoerder aangewezen, die namens alle partijen de externe communicatie verzorgt.

2. Direct voorafgaand aan de woordvoering over een specifiek incident worden de woordvoeringslijn en de kernboodschap bepaald en de direct betrokken/deelnemers Stichting Connect2Trust geïnformeerd. Deelnemers die worden benaderd door derde partijen om uitspraken over het incident te doen verwijzen altijd naar de woordvoerder of nemen contact op met de woordvoerder.