Wat wordt er van u verwacht om het te beschermen? › activiteiten › versterkt › Cybercrime ›...

Privacy is het nieuwe goud

1

Wat wordt er van u verwacht om het te beschermen?

LWV 2 februari 2016

2

Target Corporation

Target Corporation is een Amerikaanse winkelketen. Het bedrijf is in 1902

opgericht als Dayton Dry Goods en uitgegroeid tot de op één na grootste

winkelketen van de Verenigde Staten, na Wal-Mart.

Zijn cybersecurity of datalekken überhaupt issues voor u?


3

Fazio Mechanical, a small heating and air conditioning firm in

Pennsylvania that worked with Target and had suffered its own

breach via malware delivered in an email. In that intrusion, the

thieves managed to steal the virtual private network credentials

that Fazio’s technicians used to remotely connect to Target’s

network.

http://krebsonsecurity.com/2014/02/email-attack-on-vendor-set-up-breach-at-target/

4

the third party (Fazio) had deployed

Malwarebytes free edition (antimalware),

which doesn’t offer real-time protection


5

Target to Settle Claims Over Data Breach

Retailer to pay Visa issuers up to $67 million, is working with MasterCard

on similar deal


6

Heeft Cyber Security iets met privacy of datalekken te maken?

Nationaal Cyber Security Center (NCSC):

“Cyber Security is het vrij zijn van gevaar of schade veroorzaakt door

verstoring of uitval van ICT of misbruik van ICT.

Het gevaar of de schade door misbruik, verstoring of uitval kan

bestaan uit beperking van beschikbaarheid en betrouwbaarheid van

de ICT, schending van de vertrouwelijkheid van in ICT opgeslagen

informatie of schade aan de integriteit van die informatie.”

Cyber Security is daarmee direct te koppelen aan Datalekken en

Privacy Bescherming.


7

Kaspersky Lap geeft aan dat mkb-ondernemingen het favoriete

doelwit zijn van hackers. Vorig jaar heeft 23% te maken gehad

met hackers en waren de herstelkosten gemiddeld 40K per

onderneming.


Is cybersecurity of datalekken überhaubt een issue voor u?

8

19 januari 2016

Een hacker heeft in België een grote hoeveelheid

persoonsgegevens, die hij had gestolen bij dertien bedrijven, op

afgeschermde websites gezet. De hacker, die zich Rex Mundi

('koning van de wereld') noemt, stal de gegevens bij onder

andere de medische controledienst Mensura, pizzaketen

Domino's en online kredietverstrekker Buyway. Ook het

Nederlandse uitzendbureau Accord werd bestolen.


9

19 januari 2016








23 september 2015

Cybercriminelen die persoonsgegevens hebben gestolen, bieden

hun buit steeds goedkoper aan op internet. De prijzen zijn

gedaald omdat er steeds meer informatie te koop wordt

aangeboden.

De gemiddelde prijs voor gegevens van een persoon is gedaald

van 4 dollar vorig jaar tot 1 dollar dit jaar, blijkt uit een woensdag

gepubliceerd rapport van antivirusbedrijf Trend Micro.

Voor een dollar kan de naam, geboortedatum en het woonadres

en burgerservicenummer van een slachtoffer worden gekocht.

Daarmee kan gemakkelijk identiteitsfraude worden gepleegd.

Creditcardinformatie en bankgegevens worden voor ongeveer 25

dollar per stuk verhandeld.

http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/follow-the-data


10

19 januari 2016








23 september 2015




aangeboden.









Criminelen blijven veel gebruik maken van netwerken in Nederland om cyberaanvallen te plegen. De servers verwerken veel

spam, phishing, botnets en andere digitale dreigingen. Nederland is zo geliefd bij criminelen, omdat de internetvoorzieningen hier

goed zijn. De verbindingen zijn snel en betrouwbaar, veel mensen zijn online en Amsterdam heeft een van de grootste

internetknooppunten ter wereld.



11

19 januari 2016








23 september 2015




aangeboden.













Uit een brief van Minister Plasterk (2 april 2013)

komt naar voren dat is berekend dat in 2012

tussen de 670 en 870 duizend Nederlanders

slachteroffer zijn geweest van identiteitsfraude

en dat die gezamenlijk een schade hebben

gelden tussen de 400 en 500 miljoen euro.



12

19 januari 2016








23 september 2015




aangeboden.













Uit een brief van Minister Plasterk (2 april 2013)

komt naar voren dat is berekend dat in 2012

tussen de 670 en 870 duizend Nederlanders

slachteroffer zijn geweest van identiteitsfraude

en dat die gezamenlijk een schade hebben

gelden tussen de 400 en 500 miljoen euro.

25 januari 2016

De gegevens van zeker 158.000 Nederlandse en

Belgische patiënten van het Sint Anna Ziekenhuis

in Geldrop en het Canisius-Wilhelmina Ziekenhuis

in Nijmegen zijn door een datalek ruim een maand

lang toegankelijk geweest voor onbevoegden.

Aangetoond is dat in ieder geval medische

dossiers van het Zwolse ziekenhuis Isala en het

Amphia Ziekenhuis in Breda scanklaar zijn

gemaakt door de gevangenis in Leuven. Dat

betekent dat gevangenen bijvoorbeeld nietjes uit

papieren dossiers verwijderden, om ze klaar te

maken voor een automatisch scanproces.


13

Als het een issue voor u is, kunt u er dan ook een kans van

maken?

Kan privacy (blijven) bestaan zonder innovatie te frustreren?

Ja zeker, maar dan dient privacy onderdeel

te zijn van je bedrijfsvoering, o.a.: • product/dienstontwikkeling (PET?)

• Inrichting en bewaking van bedrijfsprocessen

• Aansturing en beoordeling van je mensen

• Bepalen en monitoren van je doelstellingen.



14

Als het een issue voor u is, kunt u er dan ook een kans van

maken?

Kan privacy (blijven) bestaan zonder innovatie te frustreren?

Ja zeker, maar dan dient privacy onderdeel

te zijn van je bedrijfsvoering, o.a.: • product/dienstontwikkeling

• Inrichting en bewaking van bedrijfsprocessen

• Aansturing en beoordeling van je mensen

• Bepalen en monitoren van je doelstellingen.

Hoe kan je dat

aanpakken?

Maar hoe zou u dat kunnen aanpakken?

15

Drie belangrijke uitgangspunten:

1. Privacy wordt hygiëne factor omdat we anders teruggaan in

de tijd. Het is geen hype en geen trend.

2. Privacy is een multidisciplinair vraagstuk; juridische kennis,

kennis van (technische) informatiebeveiliging en data-analyse

kan noodzakelijk/wenselijk zijn.

3. Gedachtegang: van wet -> naar risicoanalyse -> naar

informatiebeveiligingstandaard -> naar

informatiebeveiligingsmaatregelen -> naar inbedding in

organisatie -> naar monitoring & verbetering (PDCA-cycle).


16

Drie belangrijke uitgangspunten:

1. Privacy wordt hygiëne factor omdat we anders terug gaan in

de tijd. Het is geen hype en geen trend.

2. Privacy is een multidisciplinair vraagstuk; juridische kennis,

kennis van (technische) informatiebeveiliging en data-analyse

kan noodzakelijk/wenselijk zijn.

3. Denklijn: van wet -> naar risicoanalyse -> naar

informatiebeveiligingstandaard -> naar

informatiebeveiligingsmaatregelen -> naar inbedding in

organisatie -> naar monitoring & verbetering (PDCA-cycle).

Wet

Risico

analyse

Standaard

Maatregelen

Inbedding

Bewaak

&

Verbeter

Voorbereiding

Plannen

Ontwikkeling detail

aanpak (modulair)

Onderzoek (per module)

Opstellen verbeterplan (per module)

Uitvoering Verbeter-

projectplan (per module)

Monitoren en Continue verbeteren

(per module)

Inzicht verkrijgen

Detail Inzicht verkrijgen

Plannning & scoping

Privacy Impact

Assessment

Cyber-security

Assessment

Compliance Check

Verzamelen van

informatie

Invullen vragenlijst(en)

Beoordelen impact en

maatregelen

Bespreken bevindingen met

management

Opstellen verslag

Opstellen concept-

verbeterplan

Afstemming en inbedding

Opstellen projectplan

Bespreking verbeter-

projectplan met Management

Opstellen concept-

implemen-tatie plan

Uitvoering conform plan

Overdracht van project- naar

lijnorganisatie

Opstellen monitoring raamwerk

Periodiek vullen

monitoring raamwerk

Periodiek rapporteren

aan Management


Stel vast of u überhaupt privacyrisico’s heeft door het uitvoeren van een ‘Privacy Impact Assessment’ (PIA)

19

• Een PIA is vrij beschikbaar (zie: www.allesoverdatalekken.nl)

• Zij heeft tot doel het blootleggen van privacyrisico’s en het

verminderen daarvan.

• De Autoriteit Persoonsgegevens gaat in het kader van de

zorgplicht er vanuit dat minimaal een PIA (“privacy effect

beoordeling”) is uitgevoerd. In de Algemene Verordening

Gegevensbescherming zullen verplichtingen hiervoor worden

opgenomen.

http://www.allesoverdatalekken.nl/

Wat zijn de stappen in een PIA proces?

20

1. Bepaal wie en hoe de PIA uitgevoerd moet

worden

2. Verzamel en bestudeer informatie

3. Vul de vragenlijst in

4. Beoordeel de impact en ontwikkel maatregelen

5. Stel het verslag op

6. Laat eventueel een onafhankelijke toets

uitvoeren


21


worden






uitvoeren

Privacy behoeft een multidisciplinaire

insteek


22


worden






uitvoeren

Denk hierbij aan:

- Welke gegevens, waar, wie?

- Wie is wanneer Verantwoordelijk of Bewerker

- Welke technologieën?

- Wie zijn betrokkenen?

- Wat is er al qua Informatiebeveiliging geregeld?


23


worden






uitvoeren

Risico factoren zijn o.a.: • Limitering van het verzamelen van gegevens;

• Gegevenskwaliteit;

• Doelbinding;

• Limitering van het gebruik van gegevens;.

• Beveiliging van gegevens;

• Transparantie, etc.

Impact o.a. op basis van aantasting waarden.: • Zelfstandigheid

• Bescherming tegen stigmatisering

• Gelijkheid

• Bewegingsvrijheid

• Ongestoord leven

• etc.


24


worden






uitvoeren

Maatregelen o.a..: • Algemeen: passende organisatorische en technische

Maatregelen: -> adequate informatiebeveiliging!

• Waarbij risico’s worden vermeden door bijvoorbeeld:

• Opslag gegevens bij individu i.p.v. organisatie

• Gebruik van anonieme gegevens of pseudoniemen

• (let op stand der techniek)

• Of risico’s worden verminderd door:

• Limitering van verzamelen/gebruik van gegevens;

• Waarborgen gegevenskwaliteit (controles);

• Beveiliging van gegevens (encryptie LTB)

• Doelbinding (evt. aan te passen na akkoord?)

• Transparantie (o.a. gedragscode,

certificeren verwerking)

• Invoeren van periodieke controle

Waar kunt u aan denken bij een verbeterplan?

25

• Het gaat niet alleen om u als Verantwoordelijke maar ook om

uw Bewerkers (en andersom)!

• Maak gebruik van één of meerdere beveiligingsstandaarden,

en kies daarbij de juiste. Zoals ISO 27001/27002, SoGP, CRF,

CCfECD, CobiT, ETZI ISO 27032.

Ik heb een datalek! Wat nu?

26

• Stel vast of het een datalek (doorbreking van de beveiliging) is in de zin van de

wet. “Kans op aanzienlijke nadelige gevolgen”:

• Aard van de gegevens: gevoelige aard (o.a. financiële situatie,

bijzondere gegevens, gebruikersnamen & wachtwoorden, die

kunnen leiden tot identiteitsfraude)

• Omvang van de gegevens (per persoon of veel personen).

• Meld het lek via webformulier bij Autoriteit Persoonsgegevens binnen 72 uur

na de ontdekking.

• Meld het lek aan de betrokkenen, behalve bij voldoende technische

bescherming (o.a. cryptografie), geen ongunstige gevolgen betrokkenen en

‘zwaarwegende redenen’ (b.v. ter bescherming van betrokkenen).

• Meld u niet en de AP is van mening dat dit onterecht is, kan dit, na bindende

aanwijzing, leiden tot een boete van de 6e categorie (820K).

• Bewaar de gegevens over de lek 1 – 3 jaar.

Alleen als er sprake is van overtreding van de Wbp die opzettelijk of het gevolg is

van ernstige verwijtbare nalatigheid, kan direct een boete worden opgelegd.

Als er geen sprake is van opzet of ernstige verwijtbare nalatigheid, volgt eerst

een bindende aanwijzing. Wordt deze niet adequaat opgevolgd kan een boete

volgen van de zesde categorie van art 23 van het Wetboek van Strafrecht

(820K).

Privacy is het nieuwe goud; 10 gouden tips!

27

1. Zorg dat u weet of, en zo ja, waar, u privacy (gevoelige)

informatie heeft.

2. Zorg dat alleen die mensen bij deze gegevens kunnen die ze

ook écht nodig hebben.

3. Zorg voor de juiste Bewerkersovereenkomst(en) (indien van

toepassing).

4. Zorg voor passende organisatorische en technische

maatregelen of pas gegevensverzameling en bewerking aan.

5. Zorg voor de juiste aantoonbaarheid van uw maatregelen en

de continue aandacht hiervoor.

6. Laat u periodiek door externen toetsen. De materie is vaak te

complex voor bijvoorbeeld 1 persoon binnen de organisatie.

7. Gebruik ‘Whitelisting’ desktop virusscan om Remote Access

Trojan (RAT) te detecteren.

8. Bij een datalek welke gemeld moet worden; melden.

Negatieve impact op veel vlakken is waarschijnlijk groter bij

niet melden.

Wat wordt er van u verwacht om het te beschermen? › activiteiten › versterkt › Cybercrime ›...

Documents

Transcript of Wat wordt er van u verwacht om het te beschermen? › activiteiten › versterkt › Cybercrime ›...