LOKO kijkt continu vooruit zodat ICT voor u blijft werken

Transcriptie

1 LOKO kijkt continu vooruit zodat ICT voor u blijft werken

2 Security Programma 08:15 Inloop en start ontbijt Start ontbijtsessie en introductie door Ferry Schrijnewerkers Meldplicht datalekken door Niels Dutij en Daan Schippers van Datalekcentrum / Certafin 09:20 Korte koffiepauze Gevaren in de praktijk en oplossingen door Ferry Schrijnewerkers Vragen? Einde

3 Wie is LOKO De missie van LOKO Voor u als MKB bedrijf zijn wij een inspirerende dienstverlener en trotse experts in ons vakgebied. Digitaal vertalen wij naar begrijpelijke mensentaal. Waarde toevoegen aan onze klanten en medewerkers. ICT moet voor je werken, functioneel zijn en je uitdagen! Wij willen open en eerlijk communiceren en zijn gedreven en ondernemend om beter en efficiënter te worden. Wij hebben de ambitie om kansen en uitdagingen te vertalen naar concrete resultaten voor onze klanten en medewerkers. De visie van LOKO Het altijd en overal beschikbaar hebben van informatie op een veilige en gebruiksvriendelijke manier. Continu gedreven om informatiestromen te optimaliseren en een ultieme klant- en medewerkerstevredenheid te realiseren

4 oplossingen Infra Telefonie Bedrijfsprocessen

5 Datalekken Beveiliging van Data niet omdat het kan maar omdat het moet!! Anonieme voorbeelden: Maart 2016 t/m nu 63 relaties besmet met Cryptovirus / Ransomware Bedrijf betaalt 2 x ,= om eigen databestanden terug te krijgen 5 medewerkers kunnen 1,5 dag niet aan het werk ivm besmette computers

6 datalek centrum Meldplicht datalekken P R A K T I J K V O O R O N D E R N EMERS 1 5 JUNI 2017 DAAN SCHIPPERS N I E L S D U T I J

7 Wie zijn wij? Daan Schippers: Compliance & Privacy Officer (CIPP/E), partner Niels Dutij: Expert digitale privacy en datalekdeskundige (CIPP/e), partner

8 Snelle quiz Vraag 1: Krijgt u wel eens een USB-stick cadeau? Weet u wat erop staat?

9 Snelle quiz Vraag 2: Bent u wel eens printjes bij de printer vergeten?

10 Snelle quiz Vraag 3: Hoe (lang) bewaart u uw dossiers?

11 Een datalek zit in een klein hoekje.

12 Wat is privacy?

13 Wat is privacy? Zelf bepalen wie informatie over ons krijgt Mensenrecht Bescherming persoonlijke levenssfeer Gegevens over mensen: persoonsgegevens Misbruik/verlies persoonsgegevens is schadelijk

14 Wat zijn persoonsgegevens? Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene") Direct of indirect herleidbaar

15 Persoonsgegevens

16 Rollen Betrokkene Bepaalt doel en middelen Verwerkt namens verantwoordelijke Verantwoordelijke Bewerker

17 Meldschema datalek Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? Datalek 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? Melden aan Autoriteit Persoonsgegevens 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Melden aan betrokkene

18 Beveiligingsincident Iedere inbreuk op de beveiliging die zich daadwerkelijk heeft voorgedaan een kwijtgeraakte USB-stick; een gestolen laptop; een inbraak door een hacker; een malware-besmetting; een calamiteit zoals een brand in een datacentrum.

19 Meldschema datalek Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? Datalek 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? Melden aan Autoriteit Persoonsgegevens 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Melden aan betrokkene

20 Datalek Onrechtmatige verwerking Inzien, bekijken, opslaan, verwijderen, exporteren, etc. Verlies Verlies houdt in dat niemand de persoonsgegevens meer heeft. Dat wil zeggen dat er ook geen complete en actuele reservekopie van de persoonsgegevens meer is.

21 Meldschema datalek Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? Datalek 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? Melden aan Autoriteit Persoonsgegevens 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Melden aan betrokkene

22 Melden aan Autoriteit Persoonsgegevens Bij gegevens van gevoelige aard of (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming. Bijvoorbeeld: Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan ) kon komen. Een overheidsdatabase met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens.

23 72 uur! Melding door verantwoordelijke (!) Melding overwijld, maar binnen 72 uur, na ontdekking door de verantwoordelijke OF de bewerker Termijn start op het moment dat uzelf, of een bewerker, op de hoogte raakt van een beveiligingsincident dat mogelijk een datalek is. Maak goede afspraken met bewerkers!

24 Bewerkersoverkeenkomst Bevat rechten en plichten tussen verantwoordelijke en bewerker Essentieel voor datalekpreventie Op maat gemaakt Voorkomen is beter dan genezen

25 Meldschema datalek Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? Datalek 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? Melden aan Autoriteit Persoonsgegevens 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Melden aan betrokkene

26 Melden aan Betrokkene Niet ieder datalek hoeft gemeld te worden aan de betrokkene Is er adequate versleuteling gebruikt? Heeft het datalek ongunstige gevolgen voor betrokkenen? Zijn er zwaarwegende belangen om melding achterwege te laten?

27 Sancties Elke onrechtmatige verwerking van persoonsgegevens Nederlandse wet Per 1 januari 2016 van kracht Boete tot per overtreding of 10% van de jaaromzet Boete tot voor het niet melden van een datalek

28 Meldplicht meldingen, 15 per dag! onderzoeken 100 waarschuwingen Boetes, ze komen eraan! Meeste meldingen: gezondheids- en financiële sector Onderzoek: 80% MKB is zich nog NIET bewust van datalekken

29 Nieuwe verordening (EU) Inwerkingtreding: 25 mei 2018 Meer eisen aan bewerkersovereenkomst Verplichte Functionaris Gegevensbescherming (FG) Nog meer verplichtingen voor u

30 Actieplan preventie Datalekken Bewustwording 75% van de datalekken door menselijk handelen Bewustwordingstrainingen Ontwikkelen bewustzijn privacy bij medewerkers Herkenning en melding van datalekken door uw medewerkers

31 Actieplan preventie Datalekken Nulmeting Thermometerfunctie: waar staat mijn organisatie? Snel te realiseren Identificatie van potentiële problemen Statusrapportage

32 Actieplan preventie Datalekken Maatregelen na nulmeting Aanpakken geconstateerde zwakke punten Behoud geconstateerde sterke punten Ontwerpen en invoeren procedures en protocollen

33 Actieplan preventie Datalekken Privacy audit Ziet op bestaan en effectiviteit procedures en protocollen Grondig doorlichten van bedrijf op privacy gebied Kan ook na datalek Kan aanleiding zijn tot nieuwe maatregelen

34 Actieplan preventie Datalekken Calamiteitentelefoon 24 uur per dag, 7 dagen per week bereikbaar Snel contact met een datalekdeskundige Contact met communicatie- en beveiligingsexperts Oplossingen binnen handbereik Tel:

35 Certafin Datalekplan Bewust wording Calamiteitenhulp Audit INCIDENT! Nulmeting Maatregelen

36 Melden bij de AP? Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens.

37 Melden bij de AP? Een hacker heeft toegang gekregen tot de database van de voetbalvereniging van Zeewolde. Hij heeft toegang gekregen tot alle namen van leden van de voetbalvereniging.

38 Melden bij de AP? Een computer van een medewerker wordt met ransomware geconfronteerd. De gehele computer, inclusief toegang tot een groot klantenbestand, wordt geblokkeerd.

39 Melden bij de AP? Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd en wordt ongeopend retour gezonden.

40 datalek centrum Vragen? Wij helpen u graag! CERTAFIN B.V. INFO@CERTAFIN.COM

41 Gevaren in de praktijk Gevaren in de praktijk

42 Gevaren in de praktijk Password beveiliging Hoe veilig is jouw password? Wat kan een Hacker met jouw password? Kan ik jouw password kopen? Password scan 2-factor authenticatie, Google Password manager, LastPass

43 Gevaren in de praktijk AntiVirus software Wat doet deze software? Noodzakelijk, maar is het voldoende? Hoe omzeilen Hackers de virusscanner? Virussen in alle soorten en maten

44 Gevaren in de praktijk Website bezoek Bezoeken van een website is voldoende Drive by Openen Word document of PDF Phishing

45 Gevaren in de praktijk Exploits Exploits zijn fouten in software Professionele toolkits, online te koop Hacking is Big Business

46 Gevaren in de praktijk Praktijk TOP 5 1. Wachtwoorden op werkplekken en applicaties worden niet gewijzigd en/of zijn te makkelijk 2. Leveranciers hebben permanent toegang tot ICT systemen 3. Wifi toegang minder dicht als men denkt (bijv. camerabeveiliging) 4. Documentatie over rechten en rollen gebruikers ontbreekt 5. Er is geen beleid op het gebied van ICT gebruik aanwezig bij bedrijven

47 LOKO Security Audit LOKO Security Audit 1. Interview sessie met Management 2. Technische inventarisatie 3. Aanwezige procedures en interne bekendheid 4. Opstellen adviesrapport 5. Verbetervoorstel incl. budget opstellen 6. Adviesrapport en verbeterbudget bespreken met elkaar

48 LOKO Security Audit Investering LOKO Security Audit Tot 25 werkplekken 1.200,= 26 tot 50 werkplekken 2.000,= 51 tot 75 werkplekken 2.800,= 76 tot 100 werkplekken 3.600,= 101 werkplekken en meer op aanvraag

49 loko.beveiligmij.nl Link beveiligmij.nl

50 Awareness training Awareness training Klassikale training vanaf 175,= E-learning 49,= Per gebruiker

51 Gevaren in de praktijk Voorkomen is beter dan genezen Cybercriminaliteit levert Nederlandse bedrijven een jaarlijkse schadepost op van 10 miljard euro. Het gaat om het verlies van intellectueel eigendom, marktaandeel, schade door het vrijkomen van privacygevoelige data en domweg het verdwijnen van geld, aldus een studie van organisatieadviesbureau Deloitte die op 4 april 2016 verscheen

52 Gevaren in de praktijk

53 Vragen