Privacy is het nieuwe goud
1
Wat wordt er van u verwacht om het te beschermen?
LWV 2 februari 2016
2
Target Corporation
Target Corporation is een Amerikaanse winkelketen. Het bedrijf is in 1902
opgericht als Dayton Dry Goods en uitgegroeid tot de op één na grootste
winkelketen van de Verenigde Staten, na Wal-Mart.
Zijn cybersecurity of datalekken überhaupt issues voor u?
Zijn cybersecurity of datalekken überhaupt issues voor u?
3
Fazio Mechanical, a small heating and air conditioning firm in
Pennsylvania that worked with Target and had suffered its own
breach via malware delivered in an email. In that intrusion, the
thieves managed to steal the virtual private network credentials
that Fazio’s technicians used to remotely connect to Target’s
network.
4
the third party (Fazio) had deployed
Malwarebytes free edition (antimalware),
which doesn’t offer real-time protection
Zijn cybersecurity of datalekken überhaupt issues voor u?
5
Target to Settle Claims Over Data Breach
Retailer to pay Visa issuers up to $67 million, is working with MasterCard
on similar deal
Zijn cybersecurity of datalekken überhaupt issues voor u?
6
Heeft Cyber Security iets met privacy of datalekken te maken?
Nationaal Cyber Security Center (NCSC):
“Cyber Security is het vrij zijn van gevaar of schade veroorzaakt door
verstoring of uitval van ICT of misbruik van ICT.
Het gevaar of de schade door misbruik, verstoring of uitval kan
bestaan uit beperking van beschikbaarheid en betrouwbaarheid van
de ICT, schending van de vertrouwelijkheid van in ICT opgeslagen
informatie of schade aan de integriteit van die informatie.”
Cyber Security is daarmee direct te koppelen aan Datalekken en
Privacy Bescherming.
Zijn cybersecurity of datalekken überhaupt issues voor u?
7
Kaspersky Lap geeft aan dat mkb-ondernemingen het favoriete
doelwit zijn van hackers. Vorig jaar heeft 23% te maken gehad
met hackers en waren de herstelkosten gemiddeld 40K per
onderneming.
Zijn cybersecurity of datalekken überhaupt issues voor u?
Is cybersecurity of datalekken überhaubt een issue voor u?
8
19 januari 2016
Een hacker heeft in België een grote hoeveelheid
persoonsgegevens, die hij had gestolen bij dertien bedrijven, op
afgeschermde websites gezet. De hacker, die zich Rex Mundi
('koning van de wereld') noemt, stal de gegevens bij onder
andere de medische controledienst Mensura, pizzaketen
Domino's en online kredietverstrekker Buyway. Ook het
Nederlandse uitzendbureau Accord werd bestolen.
Zijn cybersecurity of datalekken überhaupt issues voor u?
9
19 januari 2016
Een hacker heeft in België een grote hoeveelheid
persoonsgegevens, die hij had gestolen bij dertien bedrijven, op
afgeschermde websites gezet. De hacker, die zich Rex Mundi
('koning van de wereld') noemt, stal de gegevens bij onder
andere de medische controledienst Mensura, pizzaketen
Domino's en online kredietverstrekker Buyway. Ook het
Nederlandse uitzendbureau Accord werd bestolen.
23 september 2015
Cybercriminelen die persoonsgegevens hebben gestolen, bieden
hun buit steeds goedkoper aan op internet. De prijzen zijn
gedaald omdat er steeds meer informatie te koop wordt
aangeboden.
De gemiddelde prijs voor gegevens van een persoon is gedaald
van 4 dollar vorig jaar tot 1 dollar dit jaar, blijkt uit een woensdag
gepubliceerd rapport van antivirusbedrijf Trend Micro.
Voor een dollar kan de naam, geboortedatum en het woonadres
en burgerservicenummer van een slachtoffer worden gekocht.
Daarmee kan gemakkelijk identiteitsfraude worden gepleegd.
Creditcardinformatie en bankgegevens worden voor ongeveer 25
dollar per stuk verhandeld.
Zijn cybersecurity of datalekken überhaupt issues voor u?
10
19 januari 2016
Een hacker heeft in België een grote hoeveelheid
persoonsgegevens, die hij had gestolen bij dertien bedrijven, op
afgeschermde websites gezet. De hacker, die zich Rex Mundi
('koning van de wereld') noemt, stal de gegevens bij onder
andere de medische controledienst Mensura, pizzaketen
Domino's en online kredietverstrekker Buyway. Ook het
Nederlandse uitzendbureau Accord werd bestolen.
23 september 2015
Cybercriminelen die persoonsgegevens hebben gestolen, bieden
hun buit steeds goedkoper aan op internet. De prijzen zijn
gedaald omdat er steeds meer informatie te koop wordt
aangeboden.
De gemiddelde prijs voor gegevens van een persoon is gedaald
van 4 dollar vorig jaar tot 1 dollar dit jaar, blijkt uit een woensdag
gepubliceerd rapport van antivirusbedrijf Trend Micro.
Voor een dollar kan de naam, geboortedatum en het woonadres
en burgerservicenummer van een slachtoffer worden gekocht.
Daarmee kan gemakkelijk identiteitsfraude worden gepleegd.
Creditcardinformatie en bankgegevens worden voor ongeveer 25
dollar per stuk verhandeld.
Criminelen blijven veel gebruik maken van netwerken in Nederland om cyberaanvallen te plegen. De servers verwerken veel
spam, phishing, botnets en andere digitale dreigingen. Nederland is zo geliefd bij criminelen, omdat de internetvoorzieningen hier
goed zijn. De verbindingen zijn snel en betrouwbaar, veel mensen zijn online en Amsterdam heeft een van de grootste
internetknooppunten ter wereld.
Zijn cybersecurity of datalekken überhaupt issues voor u?
11
19 januari 2016
Een hacker heeft in België een grote hoeveelheid
persoonsgegevens, die hij had gestolen bij dertien bedrijven, op
afgeschermde websites gezet. De hacker, die zich Rex Mundi
('koning van de wereld') noemt, stal de gegevens bij onder
andere de medische controledienst Mensura, pizzaketen
Domino's en online kredietverstrekker Buyway. Ook het
Nederlandse uitzendbureau Accord werd bestolen.
23 september 2015
Cybercriminelen die persoonsgegevens hebben gestolen, bieden
hun buit steeds goedkoper aan op internet. De prijzen zijn
gedaald omdat er steeds meer informatie te koop wordt
aangeboden.
De gemiddelde prijs voor gegevens van een persoon is gedaald
van 4 dollar vorig jaar tot 1 dollar dit jaar, blijkt uit een woensdag
gepubliceerd rapport van antivirusbedrijf Trend Micro.
Voor een dollar kan de naam, geboortedatum en het woonadres
en burgerservicenummer van een slachtoffer worden gekocht.
Daarmee kan gemakkelijk identiteitsfraude worden gepleegd.
Creditcardinformatie en bankgegevens worden voor ongeveer 25
dollar per stuk verhandeld.
Criminelen blijven veel gebruik maken van netwerken in Nederland om cyberaanvallen te plegen. De servers verwerken veel
spam, phishing, botnets en andere digitale dreigingen. Nederland is zo geliefd bij criminelen, omdat de internetvoorzieningen hier
goed zijn. De verbindingen zijn snel en betrouwbaar, veel mensen zijn online en Amsterdam heeft een van de grootste
internetknooppunten ter wereld.
Uit een brief van Minister Plasterk (2 april 2013)
komt naar voren dat is berekend dat in 2012
tussen de 670 en 870 duizend Nederlanders
slachteroffer zijn geweest van identiteitsfraude
en dat die gezamenlijk een schade hebben
gelden tussen de 400 en 500 miljoen euro.
Zijn cybersecurity of datalekken überhaupt issues voor u?
12
19 januari 2016
Een hacker heeft in België een grote hoeveelheid
persoonsgegevens, die hij had gestolen bij dertien bedrijven, op
afgeschermde websites gezet. De hacker, die zich Rex Mundi
('koning van de wereld') noemt, stal de gegevens bij onder
andere de medische controledienst Mensura, pizzaketen
Domino's en online kredietverstrekker Buyway. Ook het
Nederlandse uitzendbureau Accord werd bestolen.
23 september 2015
Cybercriminelen die persoonsgegevens hebben gestolen, bieden
hun buit steeds goedkoper aan op internet. De prijzen zijn
gedaald omdat er steeds meer informatie te koop wordt
aangeboden.
De gemiddelde prijs voor gegevens van een persoon is gedaald
van 4 dollar vorig jaar tot 1 dollar dit jaar, blijkt uit een woensdag
gepubliceerd rapport van antivirusbedrijf Trend Micro.
Voor een dollar kan de naam, geboortedatum en het woonadres
en burgerservicenummer van een slachtoffer worden gekocht.
Daarmee kan gemakkelijk identiteitsfraude worden gepleegd.
Creditcardinformatie en bankgegevens worden voor ongeveer 25
dollar per stuk verhandeld.
Criminelen blijven veel gebruik maken van netwerken in Nederland om cyberaanvallen te plegen. De servers verwerken veel
spam, phishing, botnets en andere digitale dreigingen. Nederland is zo geliefd bij criminelen, omdat de internetvoorzieningen hier
goed zijn. De verbindingen zijn snel en betrouwbaar, veel mensen zijn online en Amsterdam heeft een van de grootste
internetknooppunten ter wereld.
Uit een brief van Minister Plasterk (2 april 2013)
komt naar voren dat is berekend dat in 2012
tussen de 670 en 870 duizend Nederlanders
slachteroffer zijn geweest van identiteitsfraude
en dat die gezamenlijk een schade hebben
gelden tussen de 400 en 500 miljoen euro.
25 januari 2016
De gegevens van zeker 158.000 Nederlandse en
Belgische patiënten van het Sint Anna Ziekenhuis
in Geldrop en het Canisius-Wilhelmina Ziekenhuis
in Nijmegen zijn door een datalek ruim een maand
lang toegankelijk geweest voor onbevoegden.
Aangetoond is dat in ieder geval medische
dossiers van het Zwolse ziekenhuis Isala en het
Amphia Ziekenhuis in Breda scanklaar zijn
gemaakt door de gevangenis in Leuven. Dat
betekent dat gevangenen bijvoorbeeld nietjes uit
papieren dossiers verwijderden, om ze klaar te
maken voor een automatisch scanproces.
13
Als het een issue voor u is, kunt u er dan ook een kans van
maken?
Kan privacy (blijven) bestaan zonder innovatie te frustreren?
Ja zeker, maar dan dient privacy onderdeel
te zijn van je bedrijfsvoering, o.a.: • product/dienstontwikkeling (PET?)
• Inrichting en bewaking van bedrijfsprocessen
• Aansturing en beoordeling van je mensen
• Bepalen en monitoren van je doelstellingen.
Zijn cybersecurity of datalekken überhaupt issues voor u?
Zijn cybersecurity of datalekken überhaupt issues voor u?
14
Als het een issue voor u is, kunt u er dan ook een kans van
maken?
Kan privacy (blijven) bestaan zonder innovatie te frustreren?
Ja zeker, maar dan dient privacy onderdeel
te zijn van je bedrijfsvoering, o.a.: • product/dienstontwikkeling
• Inrichting en bewaking van bedrijfsprocessen
• Aansturing en beoordeling van je mensen
• Bepalen en monitoren van je doelstellingen.
Hoe kan je dat
aanpakken?
Maar hoe zou u dat kunnen aanpakken?
15
Drie belangrijke uitgangspunten:
1. Privacy wordt hygiëne factor omdat we anders teruggaan in
de tijd. Het is geen hype en geen trend.
2. Privacy is een multidisciplinair vraagstuk; juridische kennis,
kennis van (technische) informatiebeveiliging en data-analyse
kan noodzakelijk/wenselijk zijn.
3. Gedachtegang: van wet -> naar risicoanalyse -> naar
informatiebeveiligingstandaard -> naar
informatiebeveiligingsmaatregelen -> naar inbedding in
organisatie -> naar monitoring & verbetering (PDCA-cycle).
Maar hoe zou u dat kunnen aanpakken?
16
Drie belangrijke uitgangspunten:
1. Privacy wordt hygiëne factor omdat we anders terug gaan in
de tijd. Het is geen hype en geen trend.
2. Privacy is een multidisciplinair vraagstuk; juridische kennis,
kennis van (technische) informatiebeveiliging en data-analyse
kan noodzakelijk/wenselijk zijn.
3. Denklijn: van wet -> naar risicoanalyse -> naar
informatiebeveiligingstandaard -> naar
informatiebeveiligingsmaatregelen -> naar inbedding in
organisatie -> naar monitoring & verbetering (PDCA-cycle).
Wet
Risico
analyse
Standaard
Maatregelen
Inbedding
Bewaak
&
Verbeter
Voorbereiding
Plannen
Ontwikkeling detail
aanpak (modulair)
Onderzoek (per module)
Opstellen verbeterplan (per module)
Uitvoering Verbeter-
projectplan (per module)
Monitoren en Continue verbeteren
(per module)
Inzicht verkrijgen
Detail Inzicht verkrijgen
Plannning & scoping
Privacy Impact
Assessment
Cyber-security
Assessment
Compliance Check
Verzamelen van
informatie
Invullen vragenlijst(en)
Beoordelen impact en
maatregelen
Bespreken bevindingen met
management
Opstellen verslag
Opstellen concept-
verbeterplan
Afstemming en inbedding
Opstellen projectplan
Bespreking verbeter-
projectplan met Management
Opstellen concept-
implemen-tatie plan
Uitvoering conform plan
Overdracht van project- naar
lijnorganisatie
Opstellen monitoring raamwerk
Periodiek vullen
monitoring raamwerk
Periodiek rapporteren
aan Management
Maar hoe zou u dat kunnen aanpakken?
Voorbereiding
Plannen
Ontwikkeling detail
aanpak (modulair)
Onderzoek (per module)
Opstellen verbeterplan (per module)
Uitvoering Verbeter-
projectplan (per module)
Monitoren en Continue verbeteren
(per module)
Inzicht verkrijgen
Detail Inzicht verkrijgen
Plannning & scoping
Privacy Impact
Assessment
Cyber-security
Assessment
Compliance Check
Verzamelen van
informatie
Invullen vragenlijst(en)
Beoordelen impact en
maatregelen
Bespreken bevindingen met
management
Opstellen verslag
Opstellen concept-
verbeterplan
Afstemming en inbedding
Opstellen projectplan
Bespreking verbeter-
projectplan met Management
Opstellen concept-
implemen-tatie plan
Uitvoering conform plan
Overdracht van project- naar
lijnorganisatie
Opstellen monitoring raamwerk
Periodiek vullen
monitoring raamwerk
Periodiek rapporteren
aan Management
Maar hoe zou u dat kunnen aanpakken?
Stel vast of u überhaupt privacyrisico’s heeft door het uitvoeren van een ‘Privacy Impact Assessment’ (PIA)
19
• Een PIA is vrij beschikbaar (zie: www.allesoverdatalekken.nl)
• Zij heeft tot doel het blootleggen van privacyrisico’s en het
verminderen daarvan.
• De Autoriteit Persoonsgegevens gaat in het kader van de
zorgplicht er vanuit dat minimaal een PIA (“privacy effect
beoordeling”) is uitgevoerd. In de Algemene Verordening
Gegevensbescherming zullen verplichtingen hiervoor worden
opgenomen.
Wat zijn de stappen in een PIA proces?
20
1. Bepaal wie en hoe de PIA uitgevoerd moet
worden
2. Verzamel en bestudeer informatie
3. Vul de vragenlijst in
4. Beoordeel de impact en ontwikkel maatregelen
5. Stel het verslag op
6. Laat eventueel een onafhankelijke toets
uitvoeren
Wat zijn de stappen in een PIA proces?
21
1. Bepaal wie en hoe de PIA uitgevoerd moet
worden
2. Verzamel en bestudeer informatie
3. Vul de vragenlijst in
4. Beoordeel de impact en ontwikkel maatregelen
5. Stel het verslag op
6. Laat eventueel een onafhankelijke toets
uitvoeren
Privacy behoeft een multidisciplinaire
insteek
Wat zijn de stappen in een PIA proces?
22
1. Bepaal wie en hoe de PIA uitgevoerd moet
worden
2. Verzamel en bestudeer informatie
3. Vul de vragenlijst in
4. Beoordeel de impact en ontwikkel maatregelen
5. Stel het verslag op
6. Laat eventueel een onafhankelijke toets
uitvoeren
Denk hierbij aan:
- Welke gegevens, waar, wie?
- Wie is wanneer Verantwoordelijk of Bewerker
- Welke technologieën?
- Wie zijn betrokkenen?
- Wat is er al qua Informatiebeveiliging geregeld?
Wat zijn de stappen in een PIA proces?
23
1. Bepaal wie en hoe de PIA uitgevoerd moet
worden
2. Verzamel en bestudeer informatie
3. Vul de vragenlijst in
4. Beoordeel de impact en ontwikkel maatregelen
5. Stel het verslag op
6. Laat eventueel een onafhankelijke toets
uitvoeren
Risico factoren zijn o.a.: • Limitering van het verzamelen van gegevens;
• Gegevenskwaliteit;
• Doelbinding;
• Limitering van het gebruik van gegevens;.
• Beveiliging van gegevens;
• Transparantie, etc.
Impact o.a. op basis van aantasting waarden.: • Zelfstandigheid
• Bescherming tegen stigmatisering
• Gelijkheid
• Bewegingsvrijheid
• Ongestoord leven
• etc.
Wat zijn de stappen in een PIA proces?
24
1. Bepaal wie en hoe de PIA uitgevoerd moet
worden
2. Verzamel en bestudeer informatie
3. Vul de vragenlijst in
4. Beoordeel de impact en ontwikkel maatregelen
5. Stel het verslag op
6. Laat eventueel een onafhankelijke toets
uitvoeren
Maatregelen o.a..: • Algemeen: passende organisatorische en technische
Maatregelen: -> adequate informatiebeveiliging!
• Waarbij risico’s worden vermeden door bijvoorbeeld:
• Opslag gegevens bij individu i.p.v. organisatie
• Gebruik van anonieme gegevens of pseudoniemen
• (let op stand der techniek)
• Of risico’s worden verminderd door:
• Limitering van verzamelen/gebruik van gegevens;
• Waarborgen gegevenskwaliteit (controles);
• Beveiliging van gegevens (encryptie LTB)
• Doelbinding (evt. aan te passen na akkoord?)
• Transparantie (o.a. gedragscode,
certificeren verwerking)
• Invoeren van periodieke controle
Waar kunt u aan denken bij een verbeterplan?
25
• Het gaat niet alleen om u als Verantwoordelijke maar ook om
uw Bewerkers (en andersom)!
• Maak gebruik van één of meerdere beveiligingsstandaarden,
en kies daarbij de juiste. Zoals ISO 27001/27002, SoGP, CRF,
CCfECD, CobiT, ETZI ISO 27032.
Ik heb een datalek! Wat nu?
26
• Stel vast of het een datalek (doorbreking van de beveiliging) is in de zin van de
wet. “Kans op aanzienlijke nadelige gevolgen”:
• Aard van de gegevens: gevoelige aard (o.a. financiële situatie,
bijzondere gegevens, gebruikersnamen & wachtwoorden, die
kunnen leiden tot identiteitsfraude)
• Omvang van de gegevens (per persoon of veel personen).
• Meld het lek via webformulier bij Autoriteit Persoonsgegevens binnen 72 uur
na de ontdekking.
• Meld het lek aan de betrokkenen, behalve bij voldoende technische
bescherming (o.a. cryptografie), geen ongunstige gevolgen betrokkenen en
‘zwaarwegende redenen’ (b.v. ter bescherming van betrokkenen).
• Meld u niet en de AP is van mening dat dit onterecht is, kan dit, na bindende
aanwijzing, leiden tot een boete van de 6e categorie (820K).
• Bewaar de gegevens over de lek 1 – 3 jaar.
Alleen als er sprake is van overtreding van de Wbp die opzettelijk of het gevolg is
van ernstige verwijtbare nalatigheid, kan direct een boete worden opgelegd.
Als er geen sprake is van opzet of ernstige verwijtbare nalatigheid, volgt eerst
een bindende aanwijzing. Wordt deze niet adequaat opgevolgd kan een boete
volgen van de zesde categorie van art 23 van het Wetboek van Strafrecht
(820K).
Privacy is het nieuwe goud; 10 gouden tips!
27
1. Zorg dat u weet of, en zo ja, waar, u privacy (gevoelige)
informatie heeft.
2. Zorg dat alleen die mensen bij deze gegevens kunnen die ze
ook écht nodig hebben.
3. Zorg voor de juiste Bewerkersovereenkomst(en) (indien van
toepassing).
4. Zorg voor passende organisatorische en technische
maatregelen of pas gegevensverzameling en bewerking aan.
5. Zorg voor de juiste aantoonbaarheid van uw maatregelen en
de continue aandacht hiervoor.
6. Laat u periodiek door externen toetsen. De materie is vaak te
complex voor bijvoorbeeld 1 persoon binnen de organisatie.
7. Gebruik ‘Whitelisting’ desktop virusscan om Remote Access
Trojan (RAT) te detecteren.
8. Bij een datalek welke gemeld moet worden; melden.
Negatieve impact op veel vlakken is waarschijnlijk groter bij
niet melden.
Top Related