1

Meldplicht

DatalekkenWat wordt er van u verwacht?Erik RemmelzwaalAlgemeen Directeur | @erikremmelzwaal

2

GoToWebinar

§ Vragen?

– Mondeling: Raise Hand

– Schriftelijk: Questions

3

Whitepaper

Download:https://dearbytes.com/wbp

Erik RemmelzwaalAlgemeen Directeur

Nandenie MoenielalSecurity Consultant

Robert van BuurenSecurity Architect

4

Hardcopy ophalen op InfoSec

§ 4 & 5 november§ Jaarbeurs Utrecht§ Stand B0136

§ (gratis) registrerenvia: dearbytes.com/nieuws/inschrijven-infosecurity-2015/

5

Achtergrond

§ 1 januari wetswijziging Wbp:– Meldplicht datalekken– Boetebevoegdheid++ (€ 810.000,=)

§ Wbp = NL versie van EU Privacy richtlijn dd1995 (95/46/EG)

§ Next step: EU Privacy verordening (EPV) dd ±dec. 2017 (General Data Protection Regulation)

6

Uitdaging§ Art 13 Wbp:

“De verantwoordelijke legt passende technischeen organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking”

§ Datalek = inbreuk op die beveiliging. Dus nietalleen vrijkomen van gegevens, maar ookonrechtmatige verwerking.

§ Wat is passend? à Richtsnoeren CBP

§ Let wel:“Richtsnoeren zijn niet bindend, maar leggen uit hoe het CBP bepaalde artikelen uit de Wbp toepast. Doet het CBP onderzoek naar de verwerking van persoonsgegevens, dan zijn de richtsnoeren daarbij het uitgangspunt.”

Richtsnoeren beveiliging van persoonsgegevens

(Consultatieversie) Richtsnoeren Meldplicht

datalekken

https://cbpweb.nl/nl/zelf-doen/richtsnoeren

7

High Level Oplossing1. Beleidskader2. Assessments3. Bewerkersovereenkomsten4. Beveiligingsbewustzijn5. Toegangsbeveiliging6. Security Monitoring7. Databescherming8. Incidentenbeheer9. Controle op naleving

8

1) Beleidskader§ Beleid gaat expliciet in op

beveiliging PG § Gedocumenteerd én

geïmplementeerd § Gecommuniceerd aan medewerkers

+ relevante externe partijen§ PDCA cyclus

– “Passend” = op basis van risicoanalyse– Privacy Raamwerk

§ Functionaris Gegevensbescherming(FG/DPO)– Kennis organisatie & wetgeving– Controlebevoegdheden– Ontslagbescherming– EPV: verplicht bij >250 mdw

9

2) Assessments§ Privacy Impact Assessment

(PIA)– Inzicht risico’s gegevensbewerking– Privacy-by-Design– Bij nieuwe of gewijzigde

diensten/producten– Wbp: verplichting rijksoverheid– EPV: verplichting voor allen

§ Risicoanalyse– Nodig tbv PDCA / Privacy

Raamwerk

PIA van NOREA

10

3) Bewerkersovereenkomst derden§ Bij uitbesteding van diensten/processen aan

derden (mbt persoonsgegevens)

§ Bijv: – Externe personeelsadministratie– Externe websitehosting– Marketing / Drukwerk

§ Afhankelijk van type bewerking:– Risicoanalyse op bewerker– “Right to Audit”

§ Ketenprocessen inventariseren.

§ Bewerker mag namens client melding bijCBP doen.

Voorbeeld Bewerkerovereenkomst van

IBD voor Gemeenten

11

4) Beveiligingsbewustzijn§ Kenbaar maken intern

beleid en procedures§ Medewerkers weten wat

van hen verwacht wordt§ Periodieke bijscholing,

mbt beveiligingpersoonsgegevens

§ E-Learning tbvaantoonbaarheid en meetbaarheid

12

5) Toegangsbeveiliging§ Need-to-Know & Need-to-Use

§ Fysiek:– Waar, wanneer, door wie?– Authenticatie & aurorisatie– Bijv. Gebouw, serverruimte, archiefkast, enz.– Ook: externe personen

§ Logisch:– Inventariseren datastromen– Scheiden van rollen– Formeel autorisatieproces bij

toegangsverzoek– Periodieke evaluatie autorisaties– Data classificatie & beveiligingsniveaus

13

6) Monitoring§ Beheer technische

kwetsbaarheden:– Vulnerability scanning

§ Logging & Controle– Activiteiten mbt PG in

logbestanden– En andere geb. zoals

ongeautoriseerd toegang / verstoringen leidend tot verminking/verlies

– Periodieke en actieve controle– Actie igv verdacht gedrag

14

6) Monitoring (vervolg)§ Genereren van Logs:

– Netwerkverkeer & computersystemen– Netwerk bijv. IDS / NGFW / DLP– Computer afhankelijk van applicaties

– Personeelsvolgsysteem? à WOR art 27

§ Opslaan van Logs:– Min. 1 jaar– SIEM: centralisatie / aggregatie / filtering

§ Beheren van Logs:– Security Operations

– Periodieke controle: meerdere keren per dag

– Evt ook buiten kantooruren

15

7) Data bescherming§ Validatie gegevensbewerking

– Invoer, interne verwerking en uitvoer– Applicaties zelf of aanvullende maatregelen– Bijv DLP of FIM

§ Encryptie– Kan meldplicht aan betrokkenen voorkomen!– “Sterke” encryptie à ENISA– Toekomstvast 10-50 jaar– Data-at-Rest vs Data-in-Motion

§ Remote Wiping– Kan meldplicht aan betrokkenen voorkomen!– Op afstand computersysteem opdracht geven data te

vernietigen– Moelijk: aantoonbaarheid

ENISA beoordeling encryptie standaarden 2014

16

8) Incidentenbeheer§ Aantoonbaar regelen:

1. Risicoinschatting2. Informering betrokkenen

& toezichthouder3. Geleerde lessen4. Igv juridisch vervolg:

verzamelingbewijsmateriaal

§ Meldingen (punt 2):– CBP– Betrokkenen

17

8) Incidentenbeheer (vervolg)§ Melding CBP:

– Datalek mbt persoonsgegevens– Uiterlijk 2e werkdag na detectie– Als (nog) NIET uit te sluiten is dat persoonsgegevens in

het spel zijn (omgekeerde bewijslast)– Bevat of betrokkenen zijn geinformeerd of wanneer dat

gebeurt

§ Melding betrokkenen:– Niet nodig als beveiligingsmaatregelen voldoende

bescherming bieden– Alleen nodig als lek (waarschijnlijk) ongunstige

gevolgen voor pers. Levenssfeer– Niet melden? à 3 jaar bewaarplicht Richtsnoeren Bijlage:

gegevens in de melding

18

9) Controle op naleving§ Woorden zijn niet genoeg:

effectiviteit maatregelenaantonen

§ Controle op:– Werking privacy raamwerk

(PDCA)– Werking getroffen

maatregelen– Werking van de PIA

§ CBP advies: minimaal 1x per jaar

19

Business voordelen§ Compliant met richtsnoeren (geen

garanties)§ Los van Wbp: inzicht en controle à

volwassenheid en weerbaarheid

§ Voorkomen van schade door digitaleincidenten

§ Concurrentiepositie in veeleisendemarkten tbv privacy & databescherming

§ Aantoonbare beveiliging cliënten & toezichthouders

§ Sterkere bewustwording van risico’s medewerkers en management

20

Waar te beginnen?DearBytes kan u helpen:§ Security Office (DSO)§ Security Operations Center

(DearSOC)

§ Organisatorisch: Quickscan§ Technisch: SMS

https://dearbytes.com/wbp

21

Einde…

Vragen?