Dulliau Gweithredu: Rheoli achos a dybir sy'n torri diogelwch data

Rhaid i’r Brifysgol gymryd mesurau priodol yn erbyn prosesu data personol heb awdurdod neu’n anghyfreithlon, ac yn erbyn colli data personol drwy ddamwain, eu dinistrio neu eu difrodi.

Mae’r dulliau gweithredu hyn yn nodi sut bydd y Brifysgol yn rheoli achos y rhoddir gwybod iddynt a dybir sy’n torri diogelwch data.

Gall torri diogelwch data ddigwydd am nifer o resymau:

  • Colli data neu offer ar yr hyn y cedwir y data, neu ladrad o’r cyfryw bethau
  • Rheoliadau mynediad amhriodol sy’n caniatáu defnydd heb awdurdod
  • Methiant offer
  • Gwall dynol
  • Amgylchiadau na ragwelwyd, fel tân neu lifogydd
  • Ymosodiad hacio
  • Troseddau ‘blagio’ lle ceir gwybodaeth drwy dwyllo’r sefydliad sy’n ei dal

Wrth reoli unrhyw achos a dybir o dorri diogelwch data, bydd y Brifysgol yn cymryd pedwar cam eglur:

1.           Atal ac Adfer

2.           Asesu Risgiau

3.           Ystyried Hysbysiad Pellach

4.           Gwerthuso ac Ymateb

1.           Atal ac Adfer

 

Mae achosion a dybir sy’n torri diogelwch data yn gofyn am i’r Brifysgol ymchwilio i’r sefyllfa a’i hatal, a hefyd llunio cynllun adfer a fydd yn cynnwys, lle bo angen, unrhyw gyfyngiad ar ddifrod. 

Ar ôl cael gwybod am achos a dybir sy’n torri diogelwch data, bydd y Pennaeth Cydymffurfio yn cymryd camau i archwilio, a bydd yn gwneud y canlynol yn benodol:

  • Canfod pwy sydd angen cael gwybod am yr achos, a rhoi gwybod iddynt yr hyn y disgwylir iddynt ei wneud i gynorthwyo â’r ymarferiad atal. (Gall hyn gynnwys, er enghraifft, ynysu neu gau rhan o’r rhwydwaith a beryglwyd, cymryd camau i ganfod darn o offer sydd ar goll, neu newid y codau mynediad ar ddrws);
  • Canfod a oes unrhyw beth i’w wneud i adfer unrhyw golledion a chyfyngu’r difrod y gallai’r achos o dorri diogelwch data ei achosi;
  • Lle bo’n briodol, rhoi gwybod i’r heddlu.

2.           Asesu Risgiau

 

Cyn penderfynu pa gamau eraill sydd eu hangen ar wahân i’r rhai a gymerwyd i atal yr achos ar unwaith, bydd y Pennaeth Cydymffurfio, mewn ymgynghoriad â’r Uwch Swyddogion perthnasol, ar ran y Brifysgol, yn asesu’r risgiau a allai fod yn gysylltiedig â’r achos hwnnw.

Wrth asesu’r risgiau, yr elfen bwysicaf i’w hystyried yw asesiad o ganlyniadau anffafriol posibl i unigolion, pa mor ddifrifol neu sylweddol yw’r rhain a pha mor debygol ydynt o ddigwydd.

Wrth wneud yr asesiad hwn, caiff y ffactorau canlynol eu hystyried:

  • Pa fath o ddata sydd dan sylw?
  • Pa mor sensitif ydyw?
  • Os collwyd data neu os ydynt wedi cael eu lladrata, a oes unrhyw amddiffyniadau mewn grym megis amgryptio?
  • Beth sydd wedi digwydd i’r data?
  • Beth allai’r data ei ddweud wrth drydydd parti am yr unigolyn?
  • Data personol faint o unigolion yr effeithir arnynt gan yr achos?
  • Pwy yw’r unigolion y torrwyd diogelwch eu data?
  • Pa niwed allai ddod i’r unigolion hynny? A oes risgiau i ddiogelwch corfforol neu enw da, neu risg colled ariannol, neu gyfuniad o’r rhain ac elfennau eraill o’u bywyd?
  • A oes canlyniadau ehangach i’w hystyried, fel risg i iechyd y cyhoedd neu golli hyder y cyhoedd?

3.           Ystyried Hysbysiad Pellach

 

Wrth asesu a oes angen rhoi gwybod unrhyw un o’r unigolion yr effeithir arnynt, neu’r Awdurdodau Rheoliadol perthnasol ynghylch y torri diogelwch data, bydd y Pennaeth Cydymffurfio, ar ran y Brifysgol ac mewn ymgynghoriad ag Uwch Swyddogion perthnasol, yn ystyried y materion canlynol:

  • A oes unrhyw ofynion cyfreithiol neu gytundebol?
  • A all hysbysu helpu’r Brifysgol i gyflawni ei rhwymedigaethau diogelwch o ran y seithfed egwyddor gwarchod data?
  • A all hysbysu helpu’r unigolyn i reoli’r risgiau, er enghraifft, drwy ganslo cerdyn credyd neu newid cyfrinair?
  • Sut gellir gwneud hysbysu’n briodol ar gyfer grwpiau penodol o unigolion, er enghraifft, plant neu oedolion agored i niwed.
  • Pwy fydd y Brifysgol yn eu hysbysu, beth ddywedir wrthynt a sut y rhoddir y neges iddynt?
  • Pwy arall ddylid eu hysbysu, er enghraifft trydydd parti fel yr heddlu, yswirwyr, cyrdd proffesiynol, banc neu gwmnïau cardiau credyd.

4.           Gwerthuso ac Ymateb

 

Mae’r Brifysgol yn cydnabod ei bod yn bwysig nid yn unig i ymchwilio i achosion unrhyw dorri diogelwch data, ond hefyd gwerthuso effeithiolrwydd ymateb y Brifysgol iddynt.

Wrth werthuso achosion y torri diogelwch data, ac effeithiolrwydd ei ymateb i hynny, bydd y Pennaeth Cydymffurfio yn galw Grŵp Gwerthuso ynghyd gyda chyfansoddiad craidd yn cynnwys:

Aelod o’r Grŵp Tasg Cydymffurfio â’r Gyfraith (Cadeirydd)

Ymgynghorydd Cyfreithiol

Pennaeth Cydymffurfio

Penaethiaid Colegau perthnasol, Penaethiaid Adrannau Gwasanaethau Canolog a / neu Reolwyr Colegau a bennir gan natur y torri diogelwch data

Rheolwyr gweithredol perthnasol a bennir gan natur y torri diogelwch data.

Bydd y Grŵp Gwerthuso yn ystyried y prif faterion canlynol :-

  • A all y Brifysgol fodloni ei hun ei bod yn gwybod pa ddata personol a gedwir ac ymhle a sut cânt eu cadw? 
  • Mewn cysylltiad â data personol, beth ac ymhle mae’r risgiau mwyaf i’r sefydliad? Er enghraifft, ymhle cedwir data personol sensitif?
  • A yw’r risgiau’n gysylltiedig â rhannu neu ddatgelu data wedi eu nodi a’u rheoli’n addas?
  • Beth yw’r pwyntiau gwan posibl ym mesurau diogelwch presennol y Brifysgol – fel defnyddio dyfeisiadau storio cludadwy?
  • Sicrhau bod ymwybyddiaeth staff o faterion diogelwch yn cael ei fonitro, a llenwi unrhyw fylchau drwy hyfforddiant neu gyngor wedi’i addasu’n arbennig.

Ar ôl cwblhau eu hymchwiliad, dylai Cadeirydd y Grŵp Gwerthuso gyflwyno adroddiad llawn i’r Grŵp Tasg Cydymffurfio â’r Gyfraith yn ei gyfarfod nesaf, yn cynnwys unrhyw argymhellion allai gynnwys gweithredu yn unol â Threfn Disgyblu’r Brifysgol.