Het Nationaal Cyber Security Centrum (NCSC) hecht veel belang aan privacy. Wij gaan daarom zorgvuldig om met persoonsgegevens en zorgen ervoor dat onze verwerkingen voldoen aan geldende wet- en regelgeving.
In overeenstemming met de (Uitvoeringswet) Algemene verordening gegevensbescherming (Uavg of Avg) hanteert het NCSC in ieder geval de volgende uitgangspunten:
- het NCSC verwerkt persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen;
- het NCSC verwerkt niet meer persoonsgegevens dan noodzakelijk is;
- de verwerking vindt plaats op een wijze waarbij de inbreuk op privacy zo klein mogelijk blijft;
- de persoonsgegevens worden niet langer bewaard dan noodzakelijk.
Privacyverklaring
Het NCSC is onderdeel van het Ministerie van Justitie en Veiligheid. In deze privacyverklaring leest u hoe het ministerie omgaat met persoonsgegevens. In onderstaande toelichting vindt u specifieke informatie over de verwerking van persoonsgegevens bij het NCSC. Deze toelichting is van kracht per 1 juli 2019.
Grondslag verwerking persoonsgegevens
Het NCSC verwerkt persoonsgegevens in de uitvoering van zijn wettelijke taken. De grondslag voor deze verwerkingen is artikel 6, eerste lid, onder e Avg, een taak van algemeen belang. Deze taak is uitgewerkt in artikel 3 van de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Onder de Wbni heeft het NCSC de taak om organisaties binnen de rijksoverheid en vitale private aanbieders te informeren en adviseren over dreigingen en incidenten voor hun informatiesystemen. Het NCSC staat deze partijen bij in het treffen van maatregelen in geval van dergelijke incidenten. Het NCSC voert daarvoor analyses en technisch onderzoek uit. Het doel is voorkomen van het uitvallen van de beschikbaarheid of verlies van integriteit van elektronische informatiesystemen van genoemde partijen en om de digitale weerbaarheid van de Nederlandse samenleving te versterken.
Verstrekking van persoonsgegevens aan derden
Op grond van de Wbni deelt het NCSC gegevens met rijksoverheidsorganisaties en vitale private aanbieders. Het gaat vooral om dreigingsinformatie, die bijvoorbeeld een IP-adres van een aanvaller kan bevatten.
Het NCSC kan ook persoonsgegevens verstrekken aan anderen, ter verdere versterking van de digitale weerbaarheid van de Nederlandse samenleving. Deze verstrekking aan anderen is om hen te informeren of adviseren over dreigingen en incidenten met betrekking tot de netwerk- en informatiesystemen van rijksoverheidsorganisaties of vitale private aanbieders.
Ter voorkoming van nadelige maatschappelijke gevolgen kan het NCSC in bepaalde gevallen ook persoonsgegevens delen die betrekking hebben op netwerk- en informatiesystemen van andere organisaties. Het NCSC mag gegevens delen met een beperkte kring van derden. Bijvoorbeeld e-mailadressen die door een ICT-inbreuk kwetsbaar zijn geworden.
Beveiliging en bewaartermijnen
De gegevens die het NCSC verwerkt, worden door passende maatregelen beveiligd om misbruik te voorkomen. Al onze processen zijn ingericht om te waarborgen dat het NCSC aan de eerder genoemde voorwaarden kan voldoen. De medewerkers van het NCSC zijn ook gebonden aan de geheimhoudingsplicht van artikel 272 van het Wetboek van Strafrecht en artikel 2:5 Awb.
Het NCSC bewaart persoonsgegevens zolang als nodig voor het doel waarvoor ze verzameld zijn, of op grond van de archiefwet is vereist, en niet langer dan wettelijk is toegestaan.
Rechten
U heeft een aantal rechten, zoals het inzage- en correctierecht. Voor de uitoefening van deze rechten kunt u zich wenden tot de privacyofficer van het NCSC. Uiterlijk binnen een maand (eventueel te verlengen tot drie maanden) kunt u een reactie op uw verzoek tegemoet zien.
Contact over privacystatement
Voor algemene informatie of vragen over de toepassing van de Avg kunt u zich wenden tot de Functionaris voor de Gegevensbescherming van het Ministerie van Justitie en Veiligheid via het e-mailadres fg@minjenv.nl.
Wanneer u het niet eens bent met de wijze waarop het NCSC uw gegevens verwerkt of op uw verzoek(en) reageert, kunt u een klacht indienen bij de Autoriteit Persoonsgegevens.
Voor specifieke vragen over het NCSC en het uitoefenen van uw rechten, kunt u contact opnemen met de privacyofficer van het NCSC.