EWZCfin-Informatieveiligheidengegevensdeling · 2.Nota nemen van informatieveiligheidsbeleid/plan...
Transcript of EWZCfin-Informatieveiligheidengegevensdeling · 2.Nota nemen van informatieveiligheidsbeleid/plan...
08-11-18
1
EWZCfin - Informatieveiligheid en gegevensdelingOpleidingsdag 3: Omgaan met verwerkers, personeel en inbreuken.
Het team dat u zal begeleiden…
2
Bart van BuitenenDocent, GDPR, Informatieveiligheid
Kenny WillemsDocent, GDPR-implementatie Specialist
Support nodig?Privacy Helpdesk
Anne JansenCoördinator
Kernteam
Support
08-11-18
2
3
Lessenreeks: 3 sessies#1: Beleid + GDPR + informatieveiligheid #3 Omgang met verwerkers & datalekken#2 Verwerkingsregister, DPIA, Kennisgeving
1. Het opmaken van een beleid voor gegevensbescherming en informatieveiligheid
2. Overlopen van de richtsnoeren3. Functionaris vs consulent4. Overlopen van de belangrijkste
principes en definities van informatieveiligheid.
1. Beleid gegevensverwerking2. Nota nemen van
informatieveiligheidsbeleid/plan3. Eerste kennis van de GDPR
Activiteiten
Objectieven
1. Volledig verwerkingsregister2. Proces om verwerkingsregister
up-to-date te houden3. Toelichting DPIA4. Informatievoorziening en rechten
1. Alle facetten van het omgaan met verwerkers
2. Afsluiten verwerkersovereenkomsten3. Omgaan met datalekken4. Meldingen rond datalekken
1. Begrijpen van het wettelijk kader2. Het opmaken van een register van
verwerkingsactiviteiten3. Begrip inhoud en noodzaak van DPIA4. Voorbeeld van een DPIA5. Voorzien van informatie en inhoud6. Rechten van de betrokkene / patiënt
1. Overlopen verplichtingen verwerkers2. Voorbeeld overeenkomst3. Voorbeelden van datalekken4. Werken rond aanpak datalekken5. Overlopen van verschillende soorten
meldingen en wanneer ze gedaan moeten worden
4
Folluw-up taken sessie #2
Taak Status OPMVerwerkingsregister
Valideer de aangeleverde template en pas deze aan aan uw context Wees kritisch over uw verwerking t.o.v. template!
Voer een procedure voor periodiek onderhoud in Wie beheert het register? DPO? Wanneer herzien?
DPIA
Voer een procedure in voor DPIA en kies template
Bepaal eventuele kandidaten en plan uitvoering Werk zoveel mogelijk samenRechten van de betrokkene
Zorg voor een duidelijk privacy reglement en andere initiatieven Bv. brochure, mondelinge toelichting, …
Voorzie een duidelijke procedure voor het faciliteren van rechten Wie doet wat? Wanneer (niet)?
08-11-18
3
Praktische afspraken
7
Dagverloop
09u30 – 12u00: Sessie deel 110.30 – 10.40: Korte pauze
12u00 – 13u00: Broodjeslunch14.15 – 14.25: Korte pauze
13u00 – 15u30: Sessie deel 2
Data
Vlaams-Brabant• 26/09• 11/10• 25/10
Limburg• 27/09• 9/10
• 23/10
Oost-Vlaanderen• 28/09• 12/10• 25/10
Antwerpen• 3/10
• 17/10• 31/10
Oostende• 3/10
• 17/10• 31/10
Lesmateriaal online beschikbaar
Het lesmateriaal vindt u terug op
https://www.whitewire.be/templateswachtwoord: whiteWZCwire
Coördinator (afwezigheden, attesten, vragen)
Anne jansen: [email protected]
Agenda opleidingsdag 3
Module 7: Omgaan met Verwerkers en personeel
Module 8: Omgaan met datalekken / inbreuken
8
08-11-18
4
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
MODULE 7: OMGAAN MET VERWERKERS EN PERSONEELWanneer is men een Verwerker? Welke plichten zijn hier relevant?
Hoe gaan we om met ons eigen personeel?
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
VERWERKERS: HOE AAN DE SLAG MET DE OVEREENKOMST?
08-11-18
5
Verwerkings-Verantwoordelijke
Verwerker Bewerker
Hoedanigheid dient bepaald te worden
11
Bepaalt (gezamenlijk) doel en middelenvan de verwerking
Verwerktten behoeve van
de VWV
Verwerktonder rechtstreeks gezagvan VWV (term Zorgnet)
12
Overzicht
Verwerkingsverantwoordelijke BewerkerVerwerker
Bepaalt (gezamenlijk)
doel en middelen
Verwerkt ten behoeve van de VWV en
uitsluitend in opdracht van VWV
op basis van schriftelijke instructies
PositieVerwerkt onder rechtstreeks gezag
van de Verwerkingsverantwoordelijke
JA, register van VWV JA, register van VerwerkerVerwerkingsregister NEEN
JA, bij grootschalige verwerking van
bijzondere categorie gegevens
Ja, bij grootschalige verwerking van
bijzondere categorie gegevens
Data Protection Officer
(DPO)NEEN
JA Bijstand verlenen aan VWVData Protection Impact Assessment NEEN
Afspraak met gezamenlijke VWV
+ Verwerkersovereenkomst met
Verwerker + Arbeidsovereenkomst
met Bewerker
Met verwerkingsverantwoordelijke
+ met eventuele subverwerkerContract
(Minstens contractuele
vertrouwelijkheid + uitoefening in
opdracht van VWV)
JA, aan GBA en Betrokkene Aan VWV + bijstand verlenenMelding datalek (Melding aan VWV
contractueel te bepalen)
JA JAAdministratieve geldboete NEEN
JA Bijstand verlenen aan VWVRechten van de betrokkene NEEN (interne procedure)
JA, voor schade veroorzaakt door
inbreuk op Verordening (hoofdelijk)
JA, voor schending van plichten VW
conform GDPR of contract met VWV
(hoofdelijk); ook voor subverwerker
Burgerlijke aansprakelijkheid(Contractueel te bepalen
of conform wetgeving)
JA JA + bijstand aan VWVMedewerking t.a.v. GBA NEEN
Globaal overzicht plichten
08-11-18
6
13
Onafhankelijke VWV? Gezamenlijk? Verwerker?
• Vaak een discussie…• Adviezen geven richting en voorbeelden• WP29 advies• ICO (Britse privacycommissie) advies
• Wat denken jullie?A. Externe preventiedienst?B. Sociaal secretariaat?C. Stagiair onder toezicht van een stagebegeleider?
13
14
Voorbeeld: Sociaal secretariaat
14
08-11-18
7
DemonstratieHoedanigheid checklist
Statuut huisarts• WZC en arts hebben
beiden plicht tot dossier• Doel en middelen veelal
bepaald door beiden• Onderlinge afspraken
worden opgenomen in reglement
16
08-11-18
8
Statuut CRA
• “Het hangt ervan af”• Gezamenlijk indien beiden
inspraak hebben in doel en middelen.• Verwerker indien er geen ruimte
is voor inspraak en er sprake is van een instructie door het WZC.
17
Niet-medische dienstverleners?
18
08-11-18
9
Verwerkersovereenkomst
19
Verantwoordelijke Verwerker
Plicht van WZC m.b.t. een Verwerker
• Uitsluitend beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen
• Een verwerkersvereenkomst (“addendum”) bekomen
20
08-11-18
10
Wat staat er in het addendum?Algemeen• Onderwerp en duur van verwerking• Aard en doel van verwerking• Categorie persoonsgegevens en betrokkenen• De rechten en verplichtingen van de Verantwoordelijke
Specifiek• Schriftelijke instructies• Afspraken internationale doorgiften• Vertrouwelijkheidsclausule• Veiligheidsmaatregelen• Voorwaarden subverwerkers• Bijstandsplicht (o.a. maatregelen, inbreuken en DPIA)• Informatieverstrekking over verplichtingen, audit en inspectie• Handeling na einde contract
Checklist
Checklist bevat voorbeeld bepalingen
22
08-11-18
11
23
24
Addendum door Zorgnet-Icuro
08-11-18
12
4 annexen van het addendum
25
26
A1: Afwijkingen
08-11-18
13
27
A2: Instructies
28
A3: Vragenlijst informatieveiligheid
08-11-18
14
29
A4: Meldformulier inbreuken
Hoe praktisch omgaan bij aankoop?
30
“Niet alleen een kwestie van documenten, maar zeker ookvan vragen stellen, overleg en discussie”
08-11-18
15
Algemene flow
31
Partij B (bv. Verwerker) vult overeenomst in en stuurt deze terug
Invullen
Onderhandeling over overeenkomst (samen met directie en DPO)
Voorziening & Verwerker
Publicatie overeenkomst
Zorgnet/Icuro
Partij A (bv. de voorziening) spreekt partij B aan (bv Verwerker).
Initiatief nemen
1. Publicatie 3. Invullen
2. Instructie
4. OnderhandelClose deal
GDPR Contracting
Praktisch stap 1: identificeer uw Verwerkers
1. Identificeer de Verwerkers uit het lijstje van leveranciers2. Koppel de Verwerkers aan een prioriteit, bv. via deze criteria:
a. Strategisch belang (bv. Het bewonersdossier is top prioriteit)b. Worden enkel administratief of ook gevoelige gegevens verwerkt?c. Gaat het om veel gegevens of eerder minimaal?d. Is er sprake van een cloud toepassing?e. Kan men de gegevens vanop afstand benaderen?
32
08-11-18
16
Praktisch stap 2: Plan de onderhandeling
• Een voorstel zou kunnen zijn:
33
Type ActiePrioriteit 1 Stuur proactief een verzoek a.d.h.v. Zorgnet-Icuro addendum.
Prioriteit 2 Plan het uitsturen / onderhandelen van de overeenkomst in de tijd.Bv. elke maand spreken we 4 verwerkers aan vanop het lijstje
Prioriteit 3Indien men zelf nog niet aanstuurt op een verwerkersovereenkomst, kan je deze eventueel meenemen bij de volgende herziening van het basiscontract
Praktisch stap 3: Ga de onderhandeling aan
• Voor elke nieuwe Verwerker = meteen een addendum• Indien de Verwerker proactief een overeenkomst opstuurt =
voorziening gaat de onderhandeling aan
• Werk zoveel mogelijk samen: ongetwijfeld komen veel van jullie leveranciers overeen. Spreek ze eventueel aan in groepom meer gewicht in de schaal te leggen.
34
08-11-18
17
Wat met de “kleine zelfstandige”?
• Er is een voorstel uitgewerkt voor consultants:• Korter• Geen annexen
• Kan gebruikt worden voor zelfstandigen:• Logo, ergo, kine, …
35
De rol van de DPO bij verwerkersovereenkomst
• Ondersteuning bieden aan aankoper:• Controle van verwerkersovereenkomst en afwijkingen (Annex 1)• Controle dat de schriftelijke instructies juist zijn (Annex 2)• Controle van informatieveiligheid, samen met ICT (annex 3)• Controle van rechtmatige verwerking
• Advies geven indien controle problemen aantoont• Aanvullen van het register van verwerkingsactiviteiten
36
08-11-18
18
Moeilijkheden?!?
• Leverancier is niet voldoende op de hoogte van GDPR• Leverancier wil Zorgnet-Icuro addendum niet gebruiken• Leverancier geeft geen zicht op maatregelen weer• We ontvangen geen reactie van de tegenpartij• Discussies over bepalingen (bv. aansprakelijkheid)
37
Zorgnet-Icuro maakte modelbrieven op
38
A. Ontbreken van reactieB. Weigering om toegestuurd model te ondertekenen
08-11-18
19
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
BEPALINGEN VOOR MEDEWERKERS IN ARBEIDSREGLEMENT
40
Medewerkers & GDPR
40
De medewerkers van een voorziening zijn betrokkenen:• De werkgever dient dus ook transparante communicatie te
voorzien over haar verwerkingen en hun rechten:• Personeelsbeheer / beleid, loonadministratie• Toezicht, controle en bewaking
Anderzijds zijn onze medewerkers ook Bewerkers:• Zij vallen nl. onder het toezicht en gezag van de werkgever. • Zij verwerken persoonsgegevens en moeten dat correct doen.• Concrete naleving van plichten (bv. meld inbreuk, maatregelen)
Advies: neem deze zaken op in het arbeidsreglement.
08-11-18
20
41
Externe documenten
Arbeidsreglement
- Verwijzing naar het
verwerken van
persoonsgegevens door
de werkgever
Bijlage X: “Rechten medewerkers”
a. Verwerkingsverantwoordelijke
b. Verwerkingsdoelen
c. Categorieën persoonsgegevens
d. Categorieën ontvangers
e. Bewaartermijnen
f. Rechten
Proceduresa. Hoe inbreuk melden?
b. Patiëntenrechten
c. …
Specifieke reglementena. Reglement EBD
b. Gedragscode
informatiebeheerder
Beleidgegevensbescherming en
informatieveiligheid
Arbeidsreglement
Verwerking gegevens van personeelslid door werkgever
- Werkgever verwerkt
gegvens in kader
personeelsbeheer
Verwerking door personeelslid
- Gegevens van bewoners,
collega’s, huisartsen, …
worden verwerkt door het
personeelslid
Sancties- Algemene sanctieregeling
Bijlage X: “Verplichtingen medewerkers”
a. Verplichtingen personeelslid
b. Correct omgaan telecommunicatie
en ICT middelen
c. Monitoring en logging
41
Voorstel tot arbeidsreglement
42
Verwerking van persoonsgegevens door voorziening
08-11-18
21
43
Verwerking van persoonsgegevens door personeelslid
44
Bijlage: rechten medewerker
08-11-18
22
45
Bijlage: plichten medewerker
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
MODULE 8: OMGAAN MET DATALEKKEN / INBREUKENWat is een inbreuk, wat moet je doen en bij wie moet je het melden?
08-11-18
23
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DATALEKKEN: INLEIDING
Laptop kwijt
• Wat stond er op de laptop?• Was deze beveiligd?
48
08-11-18
24
Kwaad opzet
• Wie is verantwoordelijk?• Hoe moet je reageren?
49
Downtime
• Ongepland?• Gevolgen?• Datalek?
50
08-11-18
25
Wat is een datalek?
51
bron: Wikipedia (NL)
Wat is een datalekinbreuk i.v.m. persoonsgegevens?
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de
wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of
anderszins verwerkte gegevens.
bron: GDPR Artikel 4.12
52
08-11-18
26
Enkele interessante statistieken…Bron: Autoriteit Persoonsgegevens (NL)
53
47% “een verkeerde ontvanger”
54
08-11-18
27
42% datalekken betreft 1 persoonBron: Autoriteit Persoonsgegevens (NL)
55
Voornamelijk: administratieve identificatie en het rijksregisternummerBron: Autoriteit Persoonsgegevens (NL)
56
08-11-18
28
Zorgsector staat met 30% op nummer 1Bron: Autoriteit Persoonsgegevens (NL)
57
“Inbreuk op de beveiliging”
• Er gebeurt “iets”à Event
• Is het potentiëel een Security incident?
• Persoonsgegevens mee gemoeid? à Datalek
58
Event
SecurityIncident
Datalek
08-11-18
29
3x soorten inbreuk
• Confidentiality: Onbevoegde / accidentele openbaring van of toegang tot persoonsgegevens
• Integrity: Onbevoegde / accidentele wijziging
• Availability: Onbevoegde of accidenteel verlies van toegang tot of vernietiging van persoonsgegevens
59
Onbeschikbaarheid een breach?
• Passende maatregelen zijn ook:• Veerkracht van systemen• Binnen redelijke termijn beschikbaarheid herstellen
• Factoren:• Impact voor de betrokkenen?• Tijdelijk vs. Permanent• Gepland vs. Ongepland• Andere gevolgen? Vb. ransomware
• Conclusie: intern melden + case-by-case voor externe melding
60
08-11-18
30
Ransomware een datalek?
Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.De verantwoordelijke kan er bij ransom- of cryptowareniet van uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/datalek-door-ransomware-wat-moet-u-doen
61
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DATALEKKEN: INCIDENT MANAGEMENT
08-11-18
31
High level overzicht
63
Voorbereiding Detectie Identificatie Incident oplossen
Datalek vaststellen Risicobeoordeling Plan communicatie
“iets”Security Incident
Bewust! Meld aan GBA
Verwittig betrokkenen
Onderzoek
Aantoonbaarheid (Documentatie)
Afgesloten
derde medewerker
Verwerker betrokkene
Incident Register
Voorbereiding
• VWV en Verwerker nemen passende maatregelen die zorgen voor:• Adequate beveiliging van persoonsgegevens• Bescherming tegen ongeoorloofde of onrechtmatige verwerking• Bescherming tegen (accidenteel) verlies, vernietiging of schade• Detectie van inbreuken en melding = governance + incident response plan
• Informatieveiligheid: beleid, veiligheidsplan, bewustwording, …
Opgepast: datalek kan aantonen dat de maatregelen ontoereikend waren à belangrijk als men de sanctie bepaalt
64
Prepare Detect Identify Contain Eradicate Recover Lessons Learned
Datalekvaststellen Risicobeoordeling Plancommunicatie
EventSecurityIncident
Bewust! MeldaanGBA
Verwittigbetrokkenen
Onderzoek
Aantoonbaarheid (Documentatie)
IncidentManagement
DatalekMelding
Afgesloten
derde medewerker
Verwerker betrokkene
IncidentRegister
08-11-18
32
65
• Sanctie 30/10/2018• Portaal met
gezondheidsgegevens• Enkel beveiligd met
wachtwoord = onvoldoende• Passend = Multi-factor
authenticatie
66
08-11-18
33
Voorbereiding
67
Prepare Detect Identify Contain Eradicate Recover Lessons Learned
Datalekvaststellen Risicobeoordeling Plancommunicatie
EventSecurityIncident
Bewust! MeldaanGBA
Verwittigbetrokkenen
Onderzoek
Aantoonbaarheid (Documentatie)
IncidentManagement
DatalekMelding
Afgesloten
derde medewerker
Verwerker betrokkene
IncidentRegister
ID Actie1 Passende maatregelen nemen = Informatieveiligheid (beleid + plan + verslag)
2 Incidentbeheer en datalek procedure intern opstellen en goedkeuren
3 Taken en verantwoordelijheden vastleggen:- Rol van DPO t.o.v. het “incident response team”- Eventueel onderzoek naar oorzaak en verberpunten
4 Bepaal communicatiestromen, zowel intern als extern
5 Koppel met crisis / noodplan waar nodig
6 Afdwingen van incident melden via arbeidsreglement, regeling, overeenkomst
7 Kwaliteitscoördinatoren op de hoogte brengen
8 Evangelisering naar medewerkers
9 Dry-run oefening: test op snelheid, kwaliteit en vertrouwen
Incident Response Team?
68
Directie / RVBEindverantwoordelijke
Incident ResponseICT helpdesk +
Betrokken dienst
DPOAanspreekpunt, coordinator en
advies
+ uitgebreid team ad-hocICT leverancierCommunicatiedienstVerzekeraar…
08-11-18
34
Detectie
69
Prepare Detect Identify Contain Eradicate Recover Lessons Learned
Datalekvaststellen Risicobeoordeling Plancommunicatie
EventSecurityIncident
Bewust! MeldaanGBA
Verwittigbetrokkenen
Onderzoek
Aantoonbaarheid (Documentatie)
IncidentManagement
DatalekMelding
Afgesloten
derde medewerker
Verwerker betrokkene
IncidentRegister
ID Actie1 Voorzie detectiekanalen voor alle actoren:
A. Medewerkers (intern meldingsregister: ICT-tool versus iProva)B. Verwerkers (via formulier in overeenkoomst of via tool?)C. Betrokkene zelf (ombudsdienst, contactpunt, …)D. Derden? (bv. White hat hacker, pers, …)
2 Dwing af dat incidenten gemeld worden:A. Medewerkers à ArbeidsreglementB. Verwerkers à VerwerkersovereenkomstC. Betrokkenen en derden à Transparante oproep via privacy reglement
3 Evalueer eventuele automatische (IT)-detectie:- Endpoint security alarm geeft plots heel veel notificaties- Log files tonen heel wat rare problemen aan (bv. foutieve aanmeldpogingen)- …
Oplossen van het incident
• Paralel aan de datalek procedure werkt men aan de oplossing
• Nauw contact onderhouden met ICT en betrokken diensten• Belangrijk om een up-to-date status te hebben• Relevante info kan gecommuniceerd worden naar GBA / betrokkenen
• Bv. Opgelet: wijzig het wachtwoord
70
Prepare Detect Identify Contain Eradicate Recover Lessons Learned
Datalekvaststellen Risicobeoordeling Plancommunicatie
EventSecurityIncident
Bewust! MeldaanGBA
Verwittigbetrokkenen
Onderzoek
Aantoonbaarheid (Documentatie)
IncidentManagement
DatalekMelding
Afgesloten
derde medewerker
Verwerker betrokkene
IncidentRegister
08-11-18
35
Onderzoek 1: datalek?
71
Prepare Detect Identify Contain Eradicate Recover Lessons Learned
Datalekvaststellen Risicobeoordeling Plancommunicatie
EventSecurityIncident
Bewust! MeldaanGBA
Verwittigbetrokkenen
Onderzoek
Aantoonbaarheid (Documentatie)
IncidentManagement
DatalekMelding
Afgesloten
derde medewerker
Verwerker betrokkene
IncidentRegister
Wanneer ben je “bewust”?
• Je bent “bewust” indien er een redelijke mate van zekerheid is• Soms meteen duidelijk• Soms kort onderzoek nodig (“onbewust”)• Verplicht om zo snel mogelijk vaststelling te doen
• Verwerkers melden “zonder onredelijke vertraging” aan VWV en voeren zelf geen assessment uit. • Pas “bewust” bij ontvangst van melding.
• Niet elk datalek moet gemeld worden: Tweede analyse nodig naar de waarschijnlijke risico’s die het datalek met zich meebrengt.
72
Prepare Detect Identify Contain Eradicate Recover Lessons Learned
Datalekvaststellen Risicobeoordeling Plancommunicatie
EventSecurityIncident
Bewust! MeldaanGBA
Verwittigbetrokkenen
Onderzoek
Aantoonbaarheid (Documentatie)
IncidentManagement
DatalekMelding
Afgesloten
derde medewerker
Verwerker betrokkene
IncidentRegister
08-11-18
36
Ond. 2: Risicobeoordeling
Risico op rechten en vrijheden:• Gevaar voor lichamelijke, materiële of immateriële schade• Verlies van controle over hun persoonsgegevens• Beperking van hun rechten• Identiteitsdiefstal of –fraude• Financiële verliezen• Ongeoorloofde ongedaanmaking van pseudonimisering• Reputatieschade• Verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens• Aanzienlijk economisch of maatschappelijk nadeel• Recht op privacy• Vrije meningsuiting • Vrijheid van gedachte• Geweten en godsdienst• Discriminatie• vrijheid van beweging
73
Prepare Detect Identify Contain Eradicate Recover Lessons Learned
Datalekvaststellen Risicobeoordeling Plancommunicatie
EventSecurityIncident
Bewust! MeldaanGBA
Verwittigbetrokkenen
Onderzoek
Aantoonbaarheid (Documentatie)
IncidentManagement
DatalekMelding
Afgesloten
derde medewerker
Verwerker betrokkene
IncidentRegister
Het risico bepaalt of melding vereist is
74
Verwerkingsverantwoordelijke meldt zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden.
N o t i f i c a t i eGBA 2
De verwerkingsverantwoordelijke documenteert alle inbreuken in met inbegrip van de feiten, de gevolgen en de genomen corrigerende maatregelen.
R e g i s t r a t i eIntern register 1
Wanneer de inbreuk in verband met persoons- gegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoons- gegevens onverwijld mee.
C o m m u n i c a t i eBetrokkene 3
Inbreuk
08-11-18
37
Welke factoren spelen een rol? (ENISA)
• Context van verwerking (CV)• Gevoeligheid van persoonsgegevens en omvang• Speciale aard van de betrokkene (bv. Kind)• Speciale aard van de VWV (bv. Ziekenhuis)
• Gemak van identificatie (GI)• Bv. Patiëntnummers of op naam• Bv. Omkeren van pseudonimiseren
• Omstandigheden van datalek (OD)• Type datalek (C.I.A.)• Kwaad opzet
75
gewicht = CV x GI + OD
Hoe bereken je het gewicht van het risico?
76
08-11-18
38
Melden aan GBA?
• Enkel indien waarschijnlijk risico voor betrokkene, tenzij:• De gegevens al publiek beschikbaar waren en het geen nieuw risico vormt• Passende maatregelen getroffen werden die het risico teniet doen• Bv. Data was versleuteld via sterk algoritme en sleutels zijn veilig (“onbegrijpelijk”)• Kan veranderen = intern register belangrijk
• Zonder onredelijke vertraging meldt VWV binnen 72 uur• Na 72u kan mits verantwoording• Verwerker melden aan de VWV; VWV verantwoordelijk voor melding• Gezamenlijke VWV maken op voorhand afspraken
• Gefaseerd melden mogelijk (eerst melden + daarna details)• Meldingen bundelen indien zelfde type en periode• Niet gemeld of te laat gemeld: sanctie mogelijk
77
Prepare Detect Identify Contain Eradicate Recover Lessons Learned
Datalekvaststellen Risicobeoordeling Plancommunicatie
EventSecurityIncident
Bewust! MeldaanGBA
Verwittigbetrokkenen
Onderzoek
Aantoonbaarheid (Documentatie)
IncidentManagement
DatalekMelding
Afgesloten
derde medewerker
Verwerker betrokkene
IncidentRegister
https://www.gegevensbeschermingsautoriteit.be/melding-gegevenslekken-algemeen
Wat moet melding minstensbevatten?
• Aard van het datalek• Categorieën + aantal betrokkenen• Categorieën + aantal persoonsgegevens
• Contactgegevens DPO (of contactpersoon)
• Waarschijnlijke gevolgen van het datalek
• Genomen maatregelen om datalek aan tepakken en de gevolgen tegen te gaan
78
08-11-18
39
Melden aan betrokkenen?
• Indien waarschijnlijk hoog risico voor betrokkene, tenzij:• Gepaste maatregelen genomen voor datalek (bv. Encryptie)• Onmiddelijke acties kort na datalek• Tenzij gerechtvaardigde belang van gerechtelijk onderzoek (uitstel maar geen afstel,
cfr. Recital 88)
• ”Zonder onredelijke vertraging”• Vraag raad aan GBA: melden of niet en geschikte boodschap• GBA kan u verplichten melding te communiceren en sanctie geven• Gezamenlijke VWV maken op voorhand afspraken• Uitzonderlijk mogelijk om eerst de betrokkene te informeren• Individuele melding tenzij onevenredige inspanningen à openbare mededeling
79
Prepare Detect Identify Contain Eradicate Recover Lessons Learned
Datalekvaststellen Risicobeoordeling Plancommunicatie
EventSecurityIncident
Bewust! MeldaanGBA
Verwittigbetrokkenen
Onderzoek
Aantoonbaarheid (Documentatie)
IncidentManagement
DatalekMelding
Afgesloten
derde medewerker
Verwerker betrokkene
IncidentRegister
Wat moet mededeling bevatten?
80
• Wat?• Aard van het datalek• Contactgegevens DPO (of contactpersoon)• Waarschijnlijke gevolgen van het datalek• Genomen maatregelen om datalek aan te pakken en de
gevolgen tegen te gaan• Specifieke stappen om zichzelf te beschermen
(bv. “Wijzig nu uw wachtwoord”)
• Hoe? Toegewijde communicatie via (combinatie van) beste kanalen in juiste taal• Direct messaging (mail, sms, …)• Website banner, notifiatie• Advertentie in gedrukte media, interviews met pers, …
08-11-18
40
Onderzoek van het datalek
• De toezichthouder kan om extra informatie vragen• Inzage in het intern register• Meer details over datalek en omstandigheden• Inspectie (ter plaatse) mogelijk
• Eventueel een intern onderzoek
• Finaliseren = oorzaak + verbeterpunten (Prepare)
81
Prepare Detect Identify Contain Eradicate Recover Lessons Learned
Datalekvaststellen Risicobeoordeling Plancommunicatie
EventSecurityIncident
Bewust! MeldaanGBA
Verwittigbetrokkenen
Onderzoek
Aantoonbaarheid (Documentatie)
IncidentManagement
DatalekMelding
Afgesloten
derde medewerker
Verwerker betrokkene
IncidentRegister
Rol van DPO bij inbreuken
• Voorziening licht DPO in en houdt hem / haar op de hoogte
• Taken• Geraadpleegd worden (autoriteit, betrokkenen, intern)• Coördineren tussen verschillende instanties• Advies verlenen• Documenteren (incidentenregister, meldformulier autoriteit)
82
08-11-18
41
Aantoonbaarheid
• “De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren. ”
• Hoe?• Kwalitatief incident register (kan opgevraagd worden)• Duidelijke tijdslijn• Kritische beslissingen (bv. Waarom geen melding aan betrokkenen?)• Eventuele bewijsstukken (bv. Communicaties, logs, …)• Procedure incidentbeheer en datalekken• Jaarlijkse rapportering
83
Prepare Detect Identify Contain Eradicate Recover Lessons Learned
Datalekvaststellen Risicobeoordeling Plancommunicatie
EventSecurityIncident
Bewust! MeldaanGBA
Verwittigbetrokkenen
Onderzoek
Aantoonbaarheid (Documentatie)
IncidentManagement
DatalekMelding
Afgesloten
derde medewerker
Verwerker betrokkene
IncidentRegister
DemonstratieIncidentenregister
08-11-18
42
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DATALEKKEN: PROCEDURE
Gedragscode bijlage 12
86
08-11-18
43
White Wire procedure
87
DPO
+ o
nder
steu
ning
(bv.
IT-ve
rant
woo
rdel
ijke)
Mel
der
1. Meld interne inbreuk
Security inbreuk?
4. Melding aan GBA
6. Melding aan Betrokkenen
7. Optioneel:Intern onderzoek
3. Licht DPO
2. Doorlichting inbreuk
Start: Mogelijke inbreuk
wordt gedetecteerd…
Persoons-gegevens?
neen
ja
ja
neen
Hoog risico?
5. Vraag GBA om advies
Meldingnodig? neen
ja
twijfelja
neen
8. Slotbespreking
10. Sluit inbreuk af
9. Formuleren van verbetermaatregelen
Fase 1: Melding Fase 2: Beoordelen van de inbreuk en vervullen van meldplicht Fase 3: Afsluiten van inbreuk
Stap Titel1 Meld inbreuk2 Doorlichting inbreuk
3Licht DPO in (optioneel: en start Incident Response Team)
4 Melding aan GBA
5Vraag GBA om advies rond betrokkene
6 Melding aan betrokkenen7 Optioneel: intern onderzoek8 Slotbespreking9 Formuleren van verbetermaatregelen
10 Sluit inbreuk af
DemonstratieProcedure voor inbreuken
08-11-18
44
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DATALEKKEN: TIPS & TODO’S
Gratis assistentie via CERT.BE
90
CERT.BE?Melding van cyberveiligheidsincidenten (inbraak netwerk, botnet, phishing, DDOS,….)Niet verplicht maar sterk aanbevolen!Volledig gratis assistentie
Contacthttps://www.cert.be/nl/[email protected] (versleutelde communicatie mogelijk)+32 (0)2 501 05 60 (enkel in noodgevallen tussen 08:00 uur - 17:00 uur)
Melding ≠ Klacht (lokale politie)
08-11-18
45
Opdrachten sessie #3
92
Taak Status OPMOmgang met Verwerkers
Breng uw Verwerkers in kaart via een overzicht en bepaal de prioriteit
Spreek proactief de belangrijkste Verwerkers aan met het sjabloon van Zorgnet-Icuro Zie sjabloon Zorgnet-Icuro verwerkersovereenkomst
Evalueer inkomende verwerkersovereenkomsten a.d.h.v. de checklist en onderhandel waar nodigPlan de onderhandeling met elke Verwerker Bv. Binnekort contract herziening, behandel 1
overeenkomst per maand, …Omgang met personeelValideer de aanpassingen aan het arbeidsreglement en stel het voor Zie sjabloon White Wire
Volg de goedkeuringscyclus op van het arbeidsreglement
Datalekken / inbreuken
Voorzie binnen de organisatie een meldpunt voor incidenten Bv. Mail naar DPO, formulier op intranet, ticket tool, …
Koppel het meldpunt aan een procedure Zie sjabloonLeg een intern incidentenregister aan Zie sjabloonMaak iedereen bewust van de procedure en het meldpunt Zorg dat men het effectief zal gebruiken
Vragen? Contacteer ons!
93
Bart van BuitenenDocent, GDPR, Informatieveiligheid
Kenny WillemsDocent, GDPR-implementatie Specialist
Support nodig?Privacy Helpdesk
Anne JansenCoördinator
Kernteam
Support