Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling - Joost Ale -...
Transcript of Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling - Joost Ale -...
Impact “Wet bescherming persoonsgegevens en meldplicht datalekken”
16 juni 2016
Joost Ale CEO Scope4mation
• Inzicht o.b.v. vragen• Aanpak• Maatregelen• Case• Q&A
2
Wet bescherming persoonsgegevens & meldplicht datalekken
1: Voorbereid op de Wet bescherming persoonsgegevens & Meldplicht datalekken?A. Ja (vrijwel alles op orde)B. Nee
3
Wet bescherming persoonsgegevens & meldplicht datalekken
2. Vanaf welke datum geldt de nieuwe wetgeving?A. 1 januari 2016B. 1 januari 2017
4
Wet bescherming persoonsgegevens & meldplicht datalekken
2. Vanaf welke datum geldt de nieuwe wetgeving?A. 1 januari 2016B. 1 januari 2017
5
Wet bescherming persoonsgegevens & meldplicht datalekken
3. Vanaf welke datum worden er boetes uitgedeeld?A. 1 januari 2016B. 1 januari 2017
6
Wet bescherming persoonsgegevens & meldplicht datalekken
3. Vanaf welke datum worden er boetes uitgedeeld?A. 1 januari 2016B. 1 januari 2017
7
Wet bescherming persoonsgegevens & meldplicht datalekken
4. Kan een boete direct opgelegd worden bij een datalek?A. JaB. Nee
8
Wet bescherming persoonsgegevens & meldplicht datalekken
4. Kan een boete direct opgelegd worden bij een datalek?A. JaB. Nee
9
Wet bescherming persoonsgegevens & meldplicht datalekken
5. Tot hoe hoog kan een boete oplopen voor “niet commerciële instellingen”?A. Maximaal € 500.000B. Meer dan € 500.000
10
Wet bescherming persoonsgegevens & meldplicht datalekken
5. Tot hoe hoog kan een boete oplopen voor “niet commerciële instellingen”?A. Maximaal € 500.000 (maximaal € 810.000 of 10% jaaromzet)B. Meer dan € 500.000
11
Wet bescherming persoonsgegevens & meldplicht datalekken
6. Wanneer moet u een melding van inbreuk op persoonlijke data doen bij de Autoriteit?A. Altijd indien inbreuk op persoonlijke data is gepleegdB. Alleen indien dit tot ernstige nadelige gevolgen voor de
bescherming van persoonsgegevens leidt
12
Wet bescherming persoonsgegevens & meldplicht datalekken
6. Wanneer moet u een melding van inbreuk op persoonlijke data doen bij de Autoriteit?A. Altijd indien inbreuk op persoonlijke data is gepleegdB. Alleen indien dit tot ernstige nadelige gevolgen voor de
bescherming van persoonsgegevens leidt
13
Wet bescherming persoonsgegevens & meldplicht datalekken
7. Moet u betrokkenpersonen over een datalek informeren?A. Ja, altijd B. Nee, alleen indien de inbreuk waarschijnlijk ongunstige
gevolgen zal hebben voor de persoonlijke levenssfeer
14
Wet bescherming persoonsgegevens & meldplicht datalekken
7. Moet u betrokkenpersonen over een datalek informeren?A. Ja, altijd B. Nee, alleen indien de inbreuk waarschijnlijk ongunstige
gevolgen zal hebben voor de persoonlijke levenssfeer
15
Wet bescherming persoonsgegevens & meldplicht datalekken
8. Diensten zijn door u uitbesteed en of u heeft Cloud-applicaties. A. U blijft altijd verantwoordelijk voor de persoonsgevoelige
dataB. Alleen indien u een sluitende “bewerkersovereenkomst”
heeft met uw dienstverlener of Cloud-applicatieleverancier ligt de verantwoordelijkheid bij hen
16
Wet bescherming persoonsgegevens & meldplicht datalekken
8. Diensten zijn door u uitbesteed en of u heeft Cloud-applicaties. A. U blijft altijd verantwoordelijk voor de persoonsgevoelige dataB. Alleen indien u een sluitende “bewerkersovereenkomst” heeft
met uw dienstverlener of Cloud-applicatieleverancier ligt de verantwoordelijkheid bij hen
17
Wet bescherming persoonsgegevens & meldplicht datalekken
Inzichten:1. Urgentie. Wetgeving is nu al van kracht.2. Boetes. Hoogte en risico’s indien geen afdoende maatregelen.3. Reputatie / imago schade4. Informatie / meldplicht kunnen nakomen5. Contractuele aspecten van outsourcing en cloud
18
Wet bescherming persoonsgegevens & meldplicht datalekken
Aanpak:1. Aanstellen / rol “Security Officer” en mandaat 2. Scope bepaling: Inventarisatie applicaties intern & Cloud3. In scope: Repository en veldlevel classificatie van data4. Bepalen van maatregelen en middelen naar classificatie5. Beleid, procedures en werkinstructies6. Kunnen sturen en verantwoorden (intern/extern)7. Certificering
19
Wet bescherming persoonsgegevens & meldplicht datalekken
Middelen:1. Afgeschermde repository t.b.v. inzicht, classificatie en
verantwoording2. Classificatie methodiek en oplossing3. Middelen om data te beschermen naar aard en omgeving:
- (mobiele)opslag, productie, niet-productie, Bi & Rapportages, data in transfer
- Versleuteling/encryptie, maskering/substitutie
20
Wet bescherming persoonsgegevens & meldplicht datalekken
Case “Grote financiële instelling”: Business case1. Voorsorteren op gegarandeerd veilig en geanonimiseerd
(commercieel) gebruik van data;- HO: Veilig kunnen exposen van statistieken en Bi gerelateerde data
2. Voorkomen van torenhoge boetes van de Autoriteit;- HO: idem als finances
3. Rating / waarde van de instelling verhogen.- HO: imago en aantrekkingskracht borgen
21
Wet bescherming persoonsgegevens & meldplicht datalekken
22
Wet bescherming persoonsgegevens & meldplicht datalekken
Case “Grote financiële instelling” Classificatie & verantwoording1. Scope4mation anonimiseringsplatform.2. Security profielen en extreem gedetailleerde logging. 3. Classificatie repository (vastlegging structuur, geen inhoudelijke data)4. Classificatie via DISS export en import functionaliteit 5. Visualisatie en logging van repository en wijzigingen6. Anonimiseren en beveiligen van data op basis van classificatie spelregels via platform
Wet bescherming persoonsgegevens & meldplicht datalekken
Case “Grote financiële instelling”: Beveiligen1. Creëren van consistente en anonieme substitutie van productiedata2. Data veilig bruikbaar voor testdomeinen, BI- en Rapportages,
commerciële- & marketingdoeleinden3. Consistent tussen databases en database platformen
- Zonder opslag van gevoelige brondata!4. Anonieme data niet terug te leiden naar brondata5. Geen user access naar gevoelige data
23
Wet bescherming persoonsgegevens & meldplicht datalekken
Case “Grote financiële instelling”: Methodes van beveiligen 1. Substitutie2. Maskering3. Waarde variatie4. Scrambling5. Encryptie
- Separate oplossing i.v.m. terugleidbaarheid
24
Wet bescherming persoonsgegevens & meldplicht datalekken
Vragen?
25
What is data masking?
Data masking (or data obfuscation) is a method of creating a structurally similar but inauthentic version of an organization's data that can be used for purposes such as software testing and user training. The purpose is to protect the actual data while having a functional substitute for occasions when the real data is not required.
26
5 Laws of data masking
1. Masking must not be reversible2. The results must be representative of the
source data3. Referential integrity must be maintained4. Only mask non-sensitive data if it can be used
to recreate sensitive data5. Masking must be a repeatable process
27
What is FDA?
• FDA stands for Fast Data Anonymizer• FDA is a solution from Scope4mation– Based upon Data Manager experience– To mask data according the streaming principles– Consistent and irreversible across the enterprise
• To be deployed for: – Single and heterogeneous DB environments– Local and enterprise wide– Testing-, reporting-, BI- and commercial use of anonymized data
28
Supported Masking Methods
• Substitution• Deletion• Variance (number, data)• Shuffle• Belgian national register number (Generate unique reference)• Masking options: random, relational, conditional and unique• Customer specific methods on request
29
Deployment Model: At-Source
30
Platform Management
• Central repository (support of single/multi instance setup, depending on segregation and performance requirements)
• Dataset management (interface, source and target datasets)• Sensitive data classification management• Substitution management (pick lists and key stores)• Schema Import• policy management: DISS (Data Item Specification Sheet)
import & export• Role based access (based on Active Directory) for Change, View,
Operator and Administrator role• Detailed logging on every aspect for full auditability and control
31
Technical Architecture
• Central server architecture (Windows)• Web front end (explorer, http/https)• Backend masking engine• Multicore & parallel processing • CommandLine activation for scheduling or batch integration– Including full logging, user roles and control
• Syslog Support• Interfaces– Flat File (all systems that are able to extract and upload files are
supported)– MCP DMSII (via Micro Focus DATABridge/DBE)– Oracle including automated DB Schema to Repository support
32
Functional features
• Bulk masking operations• Near-real-time transactional masking operations• Web Services and REST API (stubs) support• Support Masking proxy/broker functionality• Consistent and irreversible masking methods• Extremely fast and scalable
33
Performance
34
# Records Time 10M 25 sec20M 50 sec40M 100 sec80M 210 sec160M 450 sec
Performance Results2 CPU, 8 columns, 4 lookups
Key features
• Cross data source, cross technology relational masking • Extensive audit support– Sensitive data (classification, what, where, how) -> risk,
compliance and security assessment– Logging (what, when, who) -> proof of masking execution
• Dynamic field support– Reduce impact on database changes for masking (re-)run– Supports schema differences between source and target data sources
• Collaboration support (sensitive data definition and policy configuration via DISS)
• No user access to sensitive data
35