Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling - Joost Ale -...

Impact “Wet bescherming persoonsgegevens en meldplicht datalekken”

16 juni 2016

Joost Ale CEO Scope4mation

• Inzicht o.b.v. vragen• Aanpak• Maatregelen• Case• Q&A

2

Wet bescherming persoonsgegevens & meldplicht datalekken

1: Voorbereid op de Wet bescherming persoonsgegevens & Meldplicht datalekken?A. Ja (vrijwel alles op orde)B. Nee

3


2. Vanaf welke datum geldt de nieuwe wetgeving?A. 1 januari 2016B. 1 januari 2017

4


2. Vanaf welke datum geldt de nieuwe wetgeving?A. 1 januari 2016B. 1 januari 2017

5


3. Vanaf welke datum worden er boetes uitgedeeld?A. 1 januari 2016B. 1 januari 2017

6


3. Vanaf welke datum worden er boetes uitgedeeld?A. 1 januari 2016B. 1 januari 2017

7


4. Kan een boete direct opgelegd worden bij een datalek?A. JaB. Nee

8


4. Kan een boete direct opgelegd worden bij een datalek?A. JaB. Nee

9


5. Tot hoe hoog kan een boete oplopen voor “niet commerciële instellingen”?A. Maximaal € 500.000B. Meer dan € 500.000

10


5. Tot hoe hoog kan een boete oplopen voor “niet commerciële instellingen”?A. Maximaal € 500.000 (maximaal € 810.000 of 10% jaaromzet)B. Meer dan € 500.000

11


6. Wanneer moet u een melding van inbreuk op persoonlijke data doen bij de Autoriteit?A. Altijd indien inbreuk op persoonlijke data is gepleegdB. Alleen indien dit tot ernstige nadelige gevolgen voor de

bescherming van persoonsgegevens leidt

12


6. Wanneer moet u een melding van inbreuk op persoonlijke data doen bij de Autoriteit?A. Altijd indien inbreuk op persoonlijke data is gepleegdB. Alleen indien dit tot ernstige nadelige gevolgen voor de

bescherming van persoonsgegevens leidt

13


7. Moet u betrokkenpersonen over een datalek informeren?A. Ja, altijd B. Nee, alleen indien de inbreuk waarschijnlijk ongunstige

gevolgen zal hebben voor de persoonlijke levenssfeer

14


7. Moet u betrokkenpersonen over een datalek informeren?A. Ja, altijd B. Nee, alleen indien de inbreuk waarschijnlijk ongunstige

gevolgen zal hebben voor de persoonlijke levenssfeer

15


8. Diensten zijn door u uitbesteed en of u heeft Cloud-applicaties. A. U blijft altijd verantwoordelijk voor de persoonsgevoelige

dataB. Alleen indien u een sluitende “bewerkersovereenkomst”

heeft met uw dienstverlener of Cloud-applicatieleverancier ligt de verantwoordelijkheid bij hen

16


8. Diensten zijn door u uitbesteed en of u heeft Cloud-applicaties. A. U blijft altijd verantwoordelijk voor de persoonsgevoelige dataB. Alleen indien u een sluitende “bewerkersovereenkomst” heeft

met uw dienstverlener of Cloud-applicatieleverancier ligt de verantwoordelijkheid bij hen

17


Inzichten:1. Urgentie. Wetgeving is nu al van kracht.2. Boetes. Hoogte en risico’s indien geen afdoende maatregelen.3. Reputatie / imago schade4. Informatie / meldplicht kunnen nakomen5. Contractuele aspecten van outsourcing en cloud

18


Aanpak:1. Aanstellen / rol “Security Officer” en mandaat 2. Scope bepaling: Inventarisatie applicaties intern & Cloud3. In scope: Repository en veldlevel classificatie van data4. Bepalen van maatregelen en middelen naar classificatie5. Beleid, procedures en werkinstructies6. Kunnen sturen en verantwoorden (intern/extern)7. Certificering

19


Middelen:1. Afgeschermde repository t.b.v. inzicht, classificatie en

verantwoording2. Classificatie methodiek en oplossing3. Middelen om data te beschermen naar aard en omgeving:

- (mobiele)opslag, productie, niet-productie, Bi & Rapportages, data in transfer

- Versleuteling/encryptie, maskering/substitutie

20


Case “Grote financiële instelling”: Business case1. Voorsorteren op gegarandeerd veilig en geanonimiseerd

(commercieel) gebruik van data;- HO: Veilig kunnen exposen van statistieken en Bi gerelateerde data

2. Voorkomen van torenhoge boetes van de Autoriteit;- HO: idem als finances

3. Rating / waarde van de instelling verhogen.- HO: imago en aantrekkingskracht borgen

21


22


Case “Grote financiële instelling” Classificatie & verantwoording1. Scope4mation anonimiseringsplatform.2. Security profielen en extreem gedetailleerde logging. 3. Classificatie repository (vastlegging structuur, geen inhoudelijke data)4. Classificatie via DISS export en import functionaliteit 5. Visualisatie en logging van repository en wijzigingen6. Anonimiseren en beveiligen van data op basis van classificatie spelregels via platform


Case “Grote financiële instelling”: Beveiligen1. Creëren van consistente en anonieme substitutie van productiedata2. Data veilig bruikbaar voor testdomeinen, BI- en Rapportages,

commerciële- & marketingdoeleinden3. Consistent tussen databases en database platformen

- Zonder opslag van gevoelige brondata!4. Anonieme data niet terug te leiden naar brondata5. Geen user access naar gevoelige data

23


Case “Grote financiële instelling”: Methodes van beveiligen 1. Substitutie2. Maskering3. Waarde variatie4. Scrambling5. Encryptie

- Separate oplossing i.v.m. terugleidbaarheid

24


Vragen?

25

What is data masking?

Data masking (or data obfuscation) is a method of creating a structurally similar but inauthentic version of an organization's data that can be used for purposes such as software testing and user training. The purpose is to protect the actual data while having a functional substitute for occasions when the real data is not required.

26

5 Laws of data masking

1. Masking must not be reversible2. The results must be representative of the

source data3. Referential integrity must be maintained4. Only mask non-sensitive data if it can be used

to recreate sensitive data5. Masking must be a repeatable process

27

What is FDA?

• FDA stands for Fast Data Anonymizer• FDA is a solution from Scope4mation– Based upon Data Manager experience– To mask data according the streaming principles– Consistent and irreversible across the enterprise

• To be deployed for: – Single and heterogeneous DB environments– Local and enterprise wide– Testing-, reporting-, BI- and commercial use of anonymized data

28

Supported Masking Methods

• Substitution• Deletion• Variance (number, data)• Shuffle• Belgian national register number (Generate unique reference)• Masking options: random, relational, conditional and unique• Customer specific methods on request

29

Deployment Model: At-Source

30

Platform Management

• Central repository (support of single/multi instance setup, depending on segregation and performance requirements)

• Dataset management (interface, source and target datasets)• Sensitive data classification management• Substitution management (pick lists and key stores)• Schema Import• policy management: DISS (Data Item Specification Sheet)

import & export• Role based access (based on Active Directory) for Change, View,

Operator and Administrator role• Detailed logging on every aspect for full auditability and control

31

Technical Architecture

• Central server architecture (Windows)• Web front end (explorer, http/https)• Backend masking engine• Multicore & parallel processing • CommandLine activation for scheduling or batch integration– Including full logging, user roles and control

• Syslog Support• Interfaces– Flat File (all systems that are able to extract and upload files are

supported)– MCP DMSII (via Micro Focus DATABridge/DBE)– Oracle including automated DB Schema to Repository support

32

Functional features

• Bulk masking operations• Near-real-time transactional masking operations• Web Services and REST API (stubs) support• Support Masking proxy/broker functionality• Consistent and irreversible masking methods• Extremely fast and scalable

33

Performance

34

# Records Time 10M 25 sec20M 50 sec40M 100 sec80M 210 sec160M 450 sec

Performance Results2 CPU, 8 columns, 4 lookups

http://www.google.be/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjbqr6niPLKAhUFYA4KHW3XB3UQjRwIBw&url=http://iappd.net/&psig=AFQjCNETnA37zV7de9hPYOxw7YPo9PK-hg&ust=1455360986516105

Key features

• Cross data source, cross technology relational masking • Extensive audit support– Sensitive data (classification, what, where, how) -> risk,

compliance and security assessment– Logging (what, when, who) -> proof of masking execution

• Dynamic field support– Reduce impact on database changes for masking (re-)run– Supports schema differences between source and target data sources

• Collaboration support (sensitive data definition and policy configuration via DISS)

• No user access to sensitive data

35

Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling - Joost Ale -...

Education

Transcript of Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling - Joost Ale -...