ICT WaarborgGecertificeerd

NEEM DE REGIE OVER

INFORMATIEBEVEILIGING

AGENDA 10 MEI 2016

Introductie informatiebeveiliging

Juridische Vereisten Informatiebeveiliging:

Autoriteit persoonsgegevens = College bescherming persoonsgegevens

Wet bescherming persoonsgegevens

Meldplicht datalekken

Praktische Aanpak Informatiebeveiliging: hoe regel ik dit nu?

IT TRENDS & MOGELIJKE BEDREIGINGEN

Waar gaat het over?

Social Communication

Social collaborationSocial MediaMail

Cloud Services

Google DriveiCloudDropboxSaaS

Analytics Big Data

Internet shopping (Bol.com)

Wikipedia

Devices, Mobility

Smartphone, tabletEnd-user computing

IT TRENDS & MOGELIJKE BEDREIGINGEN |

PRIVACY & SECURITY IN DE DIGITALE ECONOMIE

Waarom moet je in beveiliging investeren?

Bescherming van informatie en systemen

is nodig voor bijvoorbeeld veilige

financiële transacties

Nieuwe wetswijziging voor de omgang met

privacygevoelige klantgegevens vanuit de

CBP en EU

Bescherming van uw identiteit en uw

vertrouwelijke klant- en bedrijfsgegevens

tegen fraude

PRIVACY & SECURITY IN DE DIGITALE ECONOMIE |

PRIVACY SECURITY CONTINUITY

CYBERCRIMINELEN RICHTEN ZICH OP BEDRIJVEN

1 op de 8 ondernemers is het slachtoffer van bedrijfscriminaliteit

| BREACH LEVEL INDEX 2015

MAIN CONCERN

Only 4% of the lost data was encrypted

| BREACH LEVEL INDEX 2015

Aantal datalekken in 2015: 1.673 totaal verloren bestanden 707.509.815In 2013-2014 lag de focus nog op financiele gegevens, zoals o.a. creditcards

In 2015: 53% van de datalekken betrof identiteits- en persoonsgegevens

In Nederland 540 gevallen van identiteitsfraude per dag…

22% van de datalekken vond plaats in de sector gezondheidszorg, daarmee verovert deze

sector de eerste plaats…

Van alle verlorengegane bestanden zijn 43% afkomstig van de overheid, ook dat levert een

eerste plaats op…

BRON: BREACHLEVELINDEX 2015, report

BREACHLEVELINDEX 2015 |

DATALEKKEN |

DEFINITIE VAN CYBERCRIMINELEN |

HOE GAAN WE HIER NU MEE OM?

Bewustwording beveiliging

AUTORIJDEN

1. AUTOGORDEL

2. AIRBAGS

3. BANDEN

4. BRANDSTOF

5. VERLICHTING

6. REMMEN

7. OLIE & KOELWATER

OMGANG BEVEILIGING |

DATEN

1. CONDOOM

2. STEVIGE PERSOONLIJKHEID

3. HELDER GESPREK

4. VOLDOENDE GELD

5. VERTROUWEN

6. VLUCHTWEG AANWEZIG

7. HET JUISTE DRANKJE

OF

INTERNETTEN

1. VIRUSSCANNER & FIREWALL

2. BACKUP & CALAMITEITENPLAN

3. OS & SOFTWARE UP-TO-DATE

4. NOTEER GEGEVENS APPARATEN

5. ROBUUST WACHTWOORD

6. BELEID VERWIJDEREN APPARATEN

7. KWALITEIT CLOUD PROVIDER

MAAR…

OMGANG BEVEILIGING |

HOE GAAT DATA VERLOREN?

Menselijke invloed en technologie

Hackers die actief het netwerk binnendringen om informatie te stelen ook via de cloud

Het onbewust en ongewild lekken van gegevens via browsersessies, email, USB sticks

Verlies of diefstal van apparaten

Het posten van berichten op sociale netwerksites

Het opslaan van gegevens op publieke cloud drives door medewerkers die bedrijfsgegevensop de mobiele telefoon willen raadplegen

Afgeschreven en afgedankte apparaten die worden verkocht of doorgegeven, waarvanaanwezige data niet goed is verwijderd

Het bewust lekken van data door medewerkers

HOE DATA VERLOREN GAAT |

"Door een menselijke fout is het bestand 33 dagen lang toegankelijk geweest voor onbevoegden", schrijft de raad van bestuur van het Sint Anna Ziekenhuis

| PANAMA PAPERS 2016

PANAMA PAPERS |

Waarom is IT Privacy & Security belangrijk ? |

AUTORITEIT PERSOONSGEGEVENS

WET BESCHERMING PERSOONSGEGEVENS, MELDPLICHT DATALEKKEN

AANSPRAKELIJKHEID & RISICO’S voorheen

• Artikel 49 Wbp aansprakelijkheid verantwoordelijke & bewerker• Benadeelde (=iemand die schade lijdt) heeft recht op schadevergoeding

(zowel materieel als immaterieel)• Verantwoordelijke is aansprakelijk• Bewerker aansprakelijk voor de schade die is ontstaan door de exacte

werkzaamheden van bewerker

• Strafrechtelijk aansprakelijk• Geldboete maximaal 4.500 EUR

• Actie CBP• Bestuurlijke boete opleggen maximaal 4.500 EUR• Altijd vooraf mogelijk overtreding ongedaan te maken

AANSPRAKELIJKHEID & RISICO’S NU

• Meldplicht datalekken• Verhoging boetebevoegdheid CBP• Boetes verhoogd tot 810.000 EUR of 10% van de omzet• Concept boetebeleidsregels

WANNEER IS WBP VAN TOEPASSING? – 1

• Juridisch kader• EU richtlijn 1995• Nieuwe EU wet maart 2014 > uitrol in EU unie• NL: Wet bescherming persoonsgegevens (Wbp)• Meldplicht datalekken 2015• Europese Verordening (2016?)

• Verder• CBP richtsnoeren• Artikel 29 Werkgroep opinies• Gedragscodes• Specifieke wetten (bv Telecommunicatiewet)

WANNEER IS WBP VAN TOEPASSING? – 2

• Definities• Persoonsgegeven• Betrokkene (Data Subject)• Verantwoordelijke (Controller)• Bewerker (Processor)

WANNEER IS WBP VAN TOEPASSING? – 3

• Wbp is van toepassing op de verwerking van persoonsgegevens

• VerwerkingElk geheel van handelingen met betrekking tot persoonsgegevens

• PersoonsgegevensAlle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon

WANNEER IS WBP VAN TOEPASSING? – 4

• Verwerking• verzamelen, vastleggen en ordenen• bewaren, bijwerken en wijzigen• opvragen, raadplegen, gebruiken• verstrekken door middel van doorzending• verspreiding of enige andere vorm van terbeschikkingstelling• samenbrengen, met elkaar in verband brengen• afschermen, uitwissen of vernietigen van gegevens

• Persoonsgegevens• NAW-gegevens / e-mailadres / telefoonnummer• IP-adres• Locatiedata• Foto’s

WANNEER IS WBP VAN TOEPASSING? – 5

• Bijzondere persoonsgegevens• Godsdienst of levensovertuiging• Ras• Politieke gezindheid• Gezondheid• Seksuele leven• Lidmaatschap van een vakbond• Strafrechtelijk verleden

• Gebruik van bijzondere persoonsgegevens niet toegestaan tenzij uitzondering in de wet

WANNEER IS WBP VAN TOEPASSING? – 7

• Betrokkenedegene op wie persoonsgegeven betrekking heeft

• Verantwoordelijkede partij die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt

• Bewerkerde partij aan wie de verantwoordelijke de verwerking van persoonsgegevens heeft uitbesteed

WAT MAG WEL EN WAT MAG NIET?

UITVOERIG IN DE WET BESCHREVEN VOOR BETROKKENE, VERANTWOORDELIJKE EN BEWERKER

WAT MAG WEL EN WAT MAG NIET?

Beveiliging

Passende technische en organisatorische maatregelen

MELDPLICHT DATALEKKEN – 1

• Ingangsdatum 1 januari 2016wijziging van Wbploopt vooruit op strengere Europese Privacy Verordening (2016-2017)

• College Bescherming Persoonsgegevens wordt “Autoriteit Persoonsgegevens”

• Verplichting tot melding datalekken binnen 72 uur

• Uitbreiding opleggen bestuurlijke boetes

MELDPLICHT DATALEKKEN – 2

Datalek?• Alle beveiligingsincidenten waardoor de bescherming op enig

moment is doorbroken• Waardoor de bescherming van persoonsgegevens op enig moment is

doorbroken• Waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige

verwerking

• Voorbeelden• Kwijtgeraakte usb-stick / gestolen laptop• Inbraak door hacker / malware-besmetting• Verzending van mail waarin gegevens van anderen zichtbaar zijn• Maar ook: calamiteit zoals brand• Per abuis wissen van een bestand

SAMENVATTING WET MELDPLICHT DATALEKKEN

• DE WET BESCHRIJFT VERSCHILLENDE DIMENSIES:• Organisatorische• Personele• Juridische• Omgevingsfactoren die van invloed zijn (klanten, relaties, partners)

• WAT MOET JE NU DOEN OM GEEN BOETE RISICO TE LOPEN?• Laat je adviseren door specialisten

PRAKTISCHE AANPAK INFORMATIEBEVEILIGING

SAMENVATTING

Managed ICT Privacy, Security & Continuity

ICT WaarborgGecertificeerd

NEEM DE REGIE OVER UW INFORMATIEBEVEILIGING

WAAROM?

PRIVACY

SECURITY

CONTINUITY

DIMENSIES

ORGANISATIE

TECHNISCH

MEDEWERKERS

JURIDISCH

HOE?

1 ADVIES

2 IMPLEMENTATIE

3 BEHEER

NEEM DE REGIE OVER UW INFORMATIEBEVEILIGING

Uw bedrijf valt onder de wet Meldplicht Datalekken. Dit betekent dat u verplicht bent technische-, organisatorische-, personele- en juridische maatregelen te treffen. Bij een datalek (waarbij persoonsgebonden gegevens zijn betrokken) dient u dit te melden en aan te tonen dat u deze maatregelen hebt genomen, anders riskeert u een boete.

Een praktische aanpak om dit risico binnen uw bedrijf in kaart te brengen is het laten uitvoeren van een risicoscan op de noodzakelijke organisatorische-, technische-, personele- en juridische aspecten. De uitkomst is een opsomming van mogelijke risico’s die uw bedrijf loopt. U kunt dan de juiste beslissingen nemen om deze praktisch op te lossen.

CONTACT

Jan Traas

06-22 26 19 10

jan.traas@emcs-it-services.nl

Wilma van de Meerakker

06-55 58 74 86

wilma@hetjuristencollectief.nl

Ed Muylkens

06-33 76 91 35

ed.muylkens@emcs-it-services.nl