Post on 15-Apr-2017
1
Meldplicht
DatalekkenWat wordt er van u verwacht?Erik RemmelzwaalAlgemeen Directeur | @erikremmelzwaal
2
GoToWebinar
§ Vragen?
– Mondeling: Raise Hand
– Schriftelijk: Questions
3
Whitepaper
Download:https://dearbytes.com/wbp
Erik RemmelzwaalAlgemeen Directeur
Nandenie MoenielalSecurity Consultant
Robert van BuurenSecurity Architect
4
Hardcopy ophalen op InfoSec
§ 4 & 5 november§ Jaarbeurs Utrecht§ Stand B0136
§ (gratis) registrerenvia: dearbytes.com/nieuws/inschrijven-infosecurity-2015/
5
Achtergrond
§ 1 januari wetswijziging Wbp:– Meldplicht datalekken– Boetebevoegdheid++ (€ 810.000,=)
§ Wbp = NL versie van EU Privacy richtlijn dd1995 (95/46/EG)
§ Next step: EU Privacy verordening (EPV) dd ±dec. 2017 (General Data Protection Regulation)
6
Uitdaging§ Art 13 Wbp:
“De verantwoordelijke legt passende technischeen organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking”
§ Datalek = inbreuk op die beveiliging. Dus nietalleen vrijkomen van gegevens, maar ookonrechtmatige verwerking.
§ Wat is passend? à Richtsnoeren CBP
§ Let wel:“Richtsnoeren zijn niet bindend, maar leggen uit hoe het CBP bepaalde artikelen uit de Wbp toepast. Doet het CBP onderzoek naar de verwerking van persoonsgegevens, dan zijn de richtsnoeren daarbij het uitgangspunt.”
Richtsnoeren beveiliging van persoonsgegevens
(Consultatieversie) Richtsnoeren Meldplicht
datalekken
https://cbpweb.nl/nl/zelf-doen/richtsnoeren
7
High Level Oplossing1. Beleidskader2. Assessments3. Bewerkersovereenkomsten4. Beveiligingsbewustzijn5. Toegangsbeveiliging6. Security Monitoring7. Databescherming8. Incidentenbeheer9. Controle op naleving
8
1) Beleidskader§ Beleid gaat expliciet in op
beveiliging PG § Gedocumenteerd én
geïmplementeerd § Gecommuniceerd aan medewerkers
+ relevante externe partijen§ PDCA cyclus
– “Passend” = op basis van risicoanalyse– Privacy Raamwerk
§ Functionaris Gegevensbescherming(FG/DPO)– Kennis organisatie & wetgeving– Controlebevoegdheden– Ontslagbescherming– EPV: verplicht bij >250 mdw
9
2) Assessments§ Privacy Impact Assessment
(PIA)– Inzicht risico’s gegevensbewerking– Privacy-by-Design– Bij nieuwe of gewijzigde
diensten/producten– Wbp: verplichting rijksoverheid– EPV: verplichting voor allen
§ Risicoanalyse– Nodig tbv PDCA / Privacy
Raamwerk
PIA van NOREA
10
3) Bewerkersovereenkomst derden§ Bij uitbesteding van diensten/processen aan
derden (mbt persoonsgegevens)
§ Bijv: – Externe personeelsadministratie– Externe websitehosting– Marketing / Drukwerk
§ Afhankelijk van type bewerking:– Risicoanalyse op bewerker– “Right to Audit”
§ Ketenprocessen inventariseren.
§ Bewerker mag namens client melding bijCBP doen.
Voorbeeld Bewerkerovereenkomst van
IBD voor Gemeenten
11
4) Beveiligingsbewustzijn§ Kenbaar maken intern
beleid en procedures§ Medewerkers weten wat
van hen verwacht wordt§ Periodieke bijscholing,
mbt beveiligingpersoonsgegevens
§ E-Learning tbvaantoonbaarheid en meetbaarheid
12
5) Toegangsbeveiliging§ Need-to-Know & Need-to-Use
§ Fysiek:– Waar, wanneer, door wie?– Authenticatie & aurorisatie– Bijv. Gebouw, serverruimte, archiefkast, enz.– Ook: externe personen
§ Logisch:– Inventariseren datastromen– Scheiden van rollen– Formeel autorisatieproces bij
toegangsverzoek– Periodieke evaluatie autorisaties– Data classificatie & beveiligingsniveaus
13
6) Monitoring§ Beheer technische
kwetsbaarheden:– Vulnerability scanning
§ Logging & Controle– Activiteiten mbt PG in
logbestanden– En andere geb. zoals
ongeautoriseerd toegang / verstoringen leidend tot verminking/verlies
– Periodieke en actieve controle– Actie igv verdacht gedrag
14
6) Monitoring (vervolg)§ Genereren van Logs:
– Netwerkverkeer & computersystemen– Netwerk bijv. IDS / NGFW / DLP– Computer afhankelijk van applicaties
– Personeelsvolgsysteem? à WOR art 27
§ Opslaan van Logs:– Min. 1 jaar– SIEM: centralisatie / aggregatie / filtering
§ Beheren van Logs:– Security Operations
– Periodieke controle: meerdere keren per dag
– Evt ook buiten kantooruren
15
7) Data bescherming§ Validatie gegevensbewerking
– Invoer, interne verwerking en uitvoer– Applicaties zelf of aanvullende maatregelen– Bijv DLP of FIM
§ Encryptie– Kan meldplicht aan betrokkenen voorkomen!– “Sterke” encryptie à ENISA– Toekomstvast 10-50 jaar– Data-at-Rest vs Data-in-Motion
§ Remote Wiping– Kan meldplicht aan betrokkenen voorkomen!– Op afstand computersysteem opdracht geven data te
vernietigen– Moelijk: aantoonbaarheid
ENISA beoordeling encryptie standaarden 2014
16
8) Incidentenbeheer§ Aantoonbaar regelen:
1. Risicoinschatting2. Informering betrokkenen
& toezichthouder3. Geleerde lessen4. Igv juridisch vervolg:
verzamelingbewijsmateriaal
§ Meldingen (punt 2):– CBP– Betrokkenen
17
8) Incidentenbeheer (vervolg)§ Melding CBP:
– Datalek mbt persoonsgegevens– Uiterlijk 2e werkdag na detectie– Als (nog) NIET uit te sluiten is dat persoonsgegevens in
het spel zijn (omgekeerde bewijslast)– Bevat of betrokkenen zijn geinformeerd of wanneer dat
gebeurt
§ Melding betrokkenen:– Niet nodig als beveiligingsmaatregelen voldoende
bescherming bieden– Alleen nodig als lek (waarschijnlijk) ongunstige
gevolgen voor pers. Levenssfeer– Niet melden? à 3 jaar bewaarplicht Richtsnoeren Bijlage:
gegevens in de melding
18
9) Controle op naleving§ Woorden zijn niet genoeg:
effectiviteit maatregelenaantonen
§ Controle op:– Werking privacy raamwerk
(PDCA)– Werking getroffen
maatregelen– Werking van de PIA
§ CBP advies: minimaal 1x per jaar
19
Business voordelen§ Compliant met richtsnoeren (geen
garanties)§ Los van Wbp: inzicht en controle à
volwassenheid en weerbaarheid
§ Voorkomen van schade door digitaleincidenten
§ Concurrentiepositie in veeleisendemarkten tbv privacy & databescherming
§ Aantoonbare beveiliging cliënten & toezichthouders
§ Sterkere bewustwording van risico’s medewerkers en management
20
Waar te beginnen?DearBytes kan u helpen:§ Security Office (DSO)§ Security Operations Center
(DearSOC)
§ Organisatorisch: Quickscan§ Technisch: SMS
https://dearbytes.com/wbp
21
Einde…
Vragen?