Impact “Wet bescherming persoonsgegevens en meldplicht datalekken”

16 juni 2016

Joost Ale CEO Scope4mation

• Inzicht o.b.v. vragen• Aanpak• Maatregelen• Case• Q&A

2

Wet bescherming persoonsgegevens & meldplicht datalekken

1: Voorbereid op de Wet bescherming persoonsgegevens & Meldplicht datalekken?A. Ja (vrijwel alles op orde)B. Nee

3

Wet bescherming persoonsgegevens & meldplicht datalekken

2. Vanaf welke datum geldt de nieuwe wetgeving?A. 1 januari 2016B. 1 januari 2017

4

Wet bescherming persoonsgegevens & meldplicht datalekken

2. Vanaf welke datum geldt de nieuwe wetgeving?A. 1 januari 2016B. 1 januari 2017

5

Wet bescherming persoonsgegevens & meldplicht datalekken

3. Vanaf welke datum worden er boetes uitgedeeld?A. 1 januari 2016B. 1 januari 2017

6

Wet bescherming persoonsgegevens & meldplicht datalekken

3. Vanaf welke datum worden er boetes uitgedeeld?A. 1 januari 2016B. 1 januari 2017

7

Wet bescherming persoonsgegevens & meldplicht datalekken

4. Kan een boete direct opgelegd worden bij een datalek?A. JaB. Nee

8

Wet bescherming persoonsgegevens & meldplicht datalekken

4. Kan een boete direct opgelegd worden bij een datalek?A. JaB. Nee

9

Wet bescherming persoonsgegevens & meldplicht datalekken

5. Tot hoe hoog kan een boete oplopen voor “niet commerciële instellingen”?A. Maximaal € 500.000B. Meer dan € 500.000

10

Wet bescherming persoonsgegevens & meldplicht datalekken

5. Tot hoe hoog kan een boete oplopen voor “niet commerciële instellingen”?A. Maximaal € 500.000 (maximaal € 810.000 of 10% jaaromzet)B. Meer dan € 500.000

11

Wet bescherming persoonsgegevens & meldplicht datalekken

6. Wanneer moet u een melding van inbreuk op persoonlijke data doen bij de Autoriteit?A. Altijd indien inbreuk op persoonlijke data is gepleegdB. Alleen indien dit tot ernstige nadelige gevolgen voor de

bescherming van persoonsgegevens leidt

12

Wet bescherming persoonsgegevens & meldplicht datalekken

6. Wanneer moet u een melding van inbreuk op persoonlijke data doen bij de Autoriteit?A. Altijd indien inbreuk op persoonlijke data is gepleegdB. Alleen indien dit tot ernstige nadelige gevolgen voor de

bescherming van persoonsgegevens leidt

13

Wet bescherming persoonsgegevens & meldplicht datalekken

7. Moet u betrokkenpersonen over een datalek informeren?A. Ja, altijd B. Nee, alleen indien de inbreuk waarschijnlijk ongunstige

gevolgen zal hebben voor de persoonlijke levenssfeer

14

Wet bescherming persoonsgegevens & meldplicht datalekken

7. Moet u betrokkenpersonen over een datalek informeren?A. Ja, altijd B. Nee, alleen indien de inbreuk waarschijnlijk ongunstige

gevolgen zal hebben voor de persoonlijke levenssfeer

15

Wet bescherming persoonsgegevens & meldplicht datalekken

8. Diensten zijn door u uitbesteed en of u heeft Cloud-applicaties. A. U blijft altijd verantwoordelijk voor de persoonsgevoelige

dataB. Alleen indien u een sluitende “bewerkersovereenkomst”

heeft met uw dienstverlener of Cloud-applicatieleverancier ligt de verantwoordelijkheid bij hen

16

Wet bescherming persoonsgegevens & meldplicht datalekken

8. Diensten zijn door u uitbesteed en of u heeft Cloud-applicaties. A. U blijft altijd verantwoordelijk voor de persoonsgevoelige dataB. Alleen indien u een sluitende “bewerkersovereenkomst” heeft

met uw dienstverlener of Cloud-applicatieleverancier ligt de verantwoordelijkheid bij hen

17

Wet bescherming persoonsgegevens & meldplicht datalekken

Inzichten:1. Urgentie. Wetgeving is nu al van kracht.2. Boetes. Hoogte en risico’s indien geen afdoende maatregelen.3. Reputatie / imago schade4. Informatie / meldplicht kunnen nakomen5. Contractuele aspecten van outsourcing en cloud

18

Wet bescherming persoonsgegevens & meldplicht datalekken

Aanpak:1. Aanstellen / rol “Security Officer” en mandaat 2. Scope bepaling: Inventarisatie applicaties intern & Cloud3. In scope: Repository en veldlevel classificatie van data4. Bepalen van maatregelen en middelen naar classificatie5. Beleid, procedures en werkinstructies6. Kunnen sturen en verantwoorden (intern/extern)7. Certificering

19

Wet bescherming persoonsgegevens & meldplicht datalekken

Middelen:1. Afgeschermde repository t.b.v. inzicht, classificatie en

verantwoording2. Classificatie methodiek en oplossing3. Middelen om data te beschermen naar aard en omgeving:

- (mobiele)opslag, productie, niet-productie, Bi & Rapportages, data in transfer

- Versleuteling/encryptie, maskering/substitutie

20

Wet bescherming persoonsgegevens & meldplicht datalekken

Case “Grote financiële instelling”: Business case1. Voorsorteren op gegarandeerd veilig en geanonimiseerd

(commercieel) gebruik van data;- HO: Veilig kunnen exposen van statistieken en Bi gerelateerde data

2. Voorkomen van torenhoge boetes van de Autoriteit;- HO: idem als finances

3. Rating / waarde van de instelling verhogen.- HO: imago en aantrekkingskracht borgen

21

Wet bescherming persoonsgegevens & meldplicht datalekken

22

Wet bescherming persoonsgegevens & meldplicht datalekken

Case “Grote financiële instelling” Classificatie & verantwoording1. Scope4mation anonimiseringsplatform.2. Security profielen en extreem gedetailleerde logging. 3. Classificatie repository (vastlegging structuur, geen inhoudelijke data)4. Classificatie via DISS export en import functionaliteit 5. Visualisatie en logging van repository en wijzigingen6. Anonimiseren en beveiligen van data op basis van classificatie spelregels via platform

Wet bescherming persoonsgegevens & meldplicht datalekken

Case “Grote financiële instelling”: Beveiligen1. Creëren van consistente en anonieme substitutie van productiedata2. Data veilig bruikbaar voor testdomeinen, BI- en Rapportages,

commerciële- & marketingdoeleinden3. Consistent tussen databases en database platformen

- Zonder opslag van gevoelige brondata!4. Anonieme data niet terug te leiden naar brondata5. Geen user access naar gevoelige data

23

Wet bescherming persoonsgegevens & meldplicht datalekken

Case “Grote financiële instelling”: Methodes van beveiligen 1. Substitutie2. Maskering3. Waarde variatie4. Scrambling5. Encryptie

- Separate oplossing i.v.m. terugleidbaarheid

24

Wet bescherming persoonsgegevens & meldplicht datalekken

Vragen?

25

What is data masking?

Data masking (or data obfuscation) is a method of creating a structurally similar but inauthentic version of an organization's data that can be used for purposes such as software testing and user training. The purpose is to protect the actual data while having a functional substitute for occasions when the real data is not required.

26

5 Laws of data masking

1. Masking must not be reversible2. The results must be representative of the

source data3. Referential integrity must be maintained4. Only mask non-sensitive data if it can be used

to recreate sensitive data5. Masking must be a repeatable process

27

What is FDA?

• FDA stands for Fast Data Anonymizer• FDA is a solution from Scope4mation– Based upon Data Manager experience– To mask data according the streaming principles– Consistent and irreversible across the enterprise

• To be deployed for: – Single and heterogeneous DB environments– Local and enterprise wide– Testing-, reporting-, BI- and commercial use of anonymized data

28

Supported Masking Methods

• Substitution• Deletion• Variance (number, data)• Shuffle• Belgian national register number (Generate unique reference)• Masking options: random, relational, conditional and unique• Customer specific methods on request

29

Deployment Model: At-Source

30

Platform Management

• Central repository (support of single/multi instance setup, depending on segregation and performance requirements)

• Dataset management (interface, source and target datasets)• Sensitive data classification management• Substitution management (pick lists and key stores)• Schema Import• policy management: DISS (Data Item Specification Sheet)

import & export• Role based access (based on Active Directory) for Change, View,

Operator and Administrator role• Detailed logging on every aspect for full auditability and control

31

Technical Architecture

• Central server architecture (Windows)• Web front end (explorer, http/https)• Backend masking engine• Multicore & parallel processing • CommandLine activation for scheduling or batch integration– Including full logging, user roles and control

• Syslog Support• Interfaces– Flat File (all systems that are able to extract and upload files are

supported)– MCP DMSII (via Micro Focus DATABridge/DBE)– Oracle including automated DB Schema to Repository support

32

Functional features

• Bulk masking operations• Near-real-time transactional masking operations• Web Services and REST API (stubs) support• Support Masking proxy/broker functionality• Consistent and irreversible masking methods• Extremely fast and scalable

33

Performance

34

# Records Time 10M 25 sec20M 50 sec40M 100 sec80M 210 sec160M 450 sec

Performance Results2 CPU, 8 columns, 4 lookups

Key features

• Cross data source, cross technology relational masking • Extensive audit support– Sensitive data (classification, what, where, how) -> risk,

compliance and security assessment– Logging (what, when, who) -> proof of masking execution

• Dynamic field support– Reduce impact on database changes for masking (re-)run– Supports schema differences between source and target data sources

• Collaboration support (sensitive data definition and policy configuration via DISS)

• No user access to sensitive data

35