NEEM DE REGIE OVER INFORMATIEBEVEILIGINGopencoffeegbl.nl/wp-content/uploads/2017/02/oc-1.pdf · In...
Transcript of NEEM DE REGIE OVER INFORMATIEBEVEILIGINGopencoffeegbl.nl/wp-content/uploads/2017/02/oc-1.pdf · In...
AGENDA 10 MEI 2016
Introductie informatiebeveiliging
Juridische Vereisten Informatiebeveiliging:
Autoriteit persoonsgegevens = College bescherming persoonsgegevens
Wet bescherming persoonsgegevens
Meldplicht datalekken
Praktische Aanpak Informatiebeveiliging: hoe regel ik dit nu?
Social Communication
Social collaborationSocial MediaMail
Cloud Services
Google DriveiCloudDropboxSaaS
Analytics Big Data
Internet shopping (Bol.com)
Wikipedia
Devices, Mobility
Smartphone, tabletEnd-user computing
IT TRENDS & MOGELIJKE BEDREIGINGEN |
Bescherming van informatie en systemen
is nodig voor bijvoorbeeld veilige
financiële transacties
Nieuwe wetswijziging voor de omgang met
privacygevoelige klantgegevens vanuit de
CBP en EU
Bescherming van uw identiteit en uw
vertrouwelijke klant- en bedrijfsgegevens
tegen fraude
PRIVACY & SECURITY IN DE DIGITALE ECONOMIE |
PRIVACY SECURITY CONTINUITY
CYBERCRIMINELEN RICHTEN ZICH OP BEDRIJVEN
1 op de 8 ondernemers is het slachtoffer van bedrijfscriminaliteit
Aantal datalekken in 2015: 1.673 totaal verloren bestanden 707.509.815In 2013-2014 lag de focus nog op financiele gegevens, zoals o.a. creditcards
In 2015: 53% van de datalekken betrof identiteits- en persoonsgegevens
In Nederland 540 gevallen van identiteitsfraude per dag…
22% van de datalekken vond plaats in de sector gezondheidszorg, daarmee verovert deze
sector de eerste plaats…
Van alle verlorengegane bestanden zijn 43% afkomstig van de overheid, ook dat levert een
eerste plaats op…
BRON: BREACHLEVELINDEX 2015, report
BREACHLEVELINDEX 2015 |
AUTORIJDEN
1. AUTOGORDEL
2. AIRBAGS
3. BANDEN
4. BRANDSTOF
5. VERLICHTING
6. REMMEN
7. OLIE & KOELWATER
OMGANG BEVEILIGING |
DATEN
1. CONDOOM
2. STEVIGE PERSOONLIJKHEID
3. HELDER GESPREK
4. VOLDOENDE GELD
5. VERTROUWEN
6. VLUCHTWEG AANWEZIG
7. HET JUISTE DRANKJE
OF
INTERNETTEN
1. VIRUSSCANNER & FIREWALL
2. BACKUP & CALAMITEITENPLAN
3. OS & SOFTWARE UP-TO-DATE
4. NOTEER GEGEVENS APPARATEN
5. ROBUUST WACHTWOORD
6. BELEID VERWIJDEREN APPARATEN
7. KWALITEIT CLOUD PROVIDER
MAAR…
OMGANG BEVEILIGING |
Hackers die actief het netwerk binnendringen om informatie te stelen ook via de cloud
Het onbewust en ongewild lekken van gegevens via browsersessies, email, USB sticks
Verlies of diefstal van apparaten
Het posten van berichten op sociale netwerksites
Het opslaan van gegevens op publieke cloud drives door medewerkers die bedrijfsgegevensop de mobiele telefoon willen raadplegen
Afgeschreven en afgedankte apparaten die worden verkocht of doorgegeven, waarvanaanwezige data niet goed is verwijderd
Het bewust lekken van data door medewerkers
HOE DATA VERLOREN GAAT |
"Door een menselijke fout is het bestand 33 dagen lang toegankelijk geweest voor onbevoegden", schrijft de raad van bestuur van het Sint Anna Ziekenhuis
AANSPRAKELIJKHEID & RISICO’S voorheen
• Artikel 49 Wbp aansprakelijkheid verantwoordelijke & bewerker• Benadeelde (=iemand die schade lijdt) heeft recht op schadevergoeding
(zowel materieel als immaterieel)• Verantwoordelijke is aansprakelijk• Bewerker aansprakelijk voor de schade die is ontstaan door de exacte
werkzaamheden van bewerker
• Strafrechtelijk aansprakelijk• Geldboete maximaal 4.500 EUR
• Actie CBP• Bestuurlijke boete opleggen maximaal 4.500 EUR• Altijd vooraf mogelijk overtreding ongedaan te maken
AANSPRAKELIJKHEID & RISICO’S NU
• Meldplicht datalekken• Verhoging boetebevoegdheid CBP• Boetes verhoogd tot 810.000 EUR of 10% van de omzet• Concept boetebeleidsregels
WANNEER IS WBP VAN TOEPASSING? – 1
• Juridisch kader• EU richtlijn 1995• Nieuwe EU wet maart 2014 > uitrol in EU unie• NL: Wet bescherming persoonsgegevens (Wbp)• Meldplicht datalekken 2015• Europese Verordening (2016?)
• Verder• CBP richtsnoeren• Artikel 29 Werkgroep opinies• Gedragscodes• Specifieke wetten (bv Telecommunicatiewet)
WANNEER IS WBP VAN TOEPASSING? – 2
• Definities• Persoonsgegeven• Betrokkene (Data Subject)• Verantwoordelijke (Controller)• Bewerker (Processor)
WANNEER IS WBP VAN TOEPASSING? – 3
• Wbp is van toepassing op de verwerking van persoonsgegevens
• VerwerkingElk geheel van handelingen met betrekking tot persoonsgegevens
• PersoonsgegevensAlle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon
WANNEER IS WBP VAN TOEPASSING? – 4
• Verwerking• verzamelen, vastleggen en ordenen• bewaren, bijwerken en wijzigen• opvragen, raadplegen, gebruiken• verstrekken door middel van doorzending• verspreiding of enige andere vorm van terbeschikkingstelling• samenbrengen, met elkaar in verband brengen• afschermen, uitwissen of vernietigen van gegevens
• Persoonsgegevens• NAW-gegevens / e-mailadres / telefoonnummer• IP-adres• Locatiedata• Foto’s
WANNEER IS WBP VAN TOEPASSING? – 5
• Bijzondere persoonsgegevens• Godsdienst of levensovertuiging• Ras• Politieke gezindheid• Gezondheid• Seksuele leven• Lidmaatschap van een vakbond• Strafrechtelijk verleden
• Gebruik van bijzondere persoonsgegevens niet toegestaan tenzij uitzondering in de wet
WANNEER IS WBP VAN TOEPASSING? – 7
• Betrokkenedegene op wie persoonsgegeven betrekking heeft
• Verantwoordelijkede partij die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt
• Bewerkerde partij aan wie de verantwoordelijke de verwerking van persoonsgegevens heeft uitbesteed
WAT MAG WEL EN WAT MAG NIET?
UITVOERIG IN DE WET BESCHREVEN VOOR BETROKKENE, VERANTWOORDELIJKE EN BEWERKER
MELDPLICHT DATALEKKEN – 1
• Ingangsdatum 1 januari 2016wijziging van Wbploopt vooruit op strengere Europese Privacy Verordening (2016-2017)
• College Bescherming Persoonsgegevens wordt “Autoriteit Persoonsgegevens”
• Verplichting tot melding datalekken binnen 72 uur
• Uitbreiding opleggen bestuurlijke boetes
MELDPLICHT DATALEKKEN – 2
Datalek?• Alle beveiligingsincidenten waardoor de bescherming op enig
moment is doorbroken• Waardoor de bescherming van persoonsgegevens op enig moment is
doorbroken• Waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige
verwerking
• Voorbeelden• Kwijtgeraakte usb-stick / gestolen laptop• Inbraak door hacker / malware-besmetting• Verzending van mail waarin gegevens van anderen zichtbaar zijn• Maar ook: calamiteit zoals brand• Per abuis wissen van een bestand
SAMENVATTING WET MELDPLICHT DATALEKKEN
• DE WET BESCHRIJFT VERSCHILLENDE DIMENSIES:• Organisatorische• Personele• Juridische• Omgevingsfactoren die van invloed zijn (klanten, relaties, partners)
• WAT MOET JE NU DOEN OM GEEN BOETE RISICO TE LOPEN?• Laat je adviseren door specialisten
Managed ICT Privacy, Security & Continuity
ICT WaarborgGecertificeerd
NEEM DE REGIE OVER UW INFORMATIEBEVEILIGING
WAAROM?
PRIVACY
SECURITY
CONTINUITY
DIMENSIES
ORGANISATIE
TECHNISCH
MEDEWERKERS
JURIDISCH
HOE?
1 ADVIES
2 IMPLEMENTATIE
3 BEHEER
NEEM DE REGIE OVER UW INFORMATIEBEVEILIGING
Uw bedrijf valt onder de wet Meldplicht Datalekken. Dit betekent dat u verplicht bent technische-, organisatorische-, personele- en juridische maatregelen te treffen. Bij een datalek (waarbij persoonsgebonden gegevens zijn betrokken) dient u dit te melden en aan te tonen dat u deze maatregelen hebt genomen, anders riskeert u een boete.
Een praktische aanpak om dit risico binnen uw bedrijf in kaart te brengen is het laten uitvoeren van een risicoscan op de noodzakelijke organisatorische-, technische-, personele- en juridische aspecten. De uitkomst is een opsomming van mogelijke risico’s die uw bedrijf loopt. U kunt dan de juiste beslissingen nemen om deze praktisch op te lossen.
CONTACT
Jan Traas
06-22 26 19 10
Wilma van de Meerakker
06-55 58 74 86
Ed Muylkens
06-33 76 91 35