Werkprogramma Meldplicht Datalekken

Transcriptie

1 Werkprogramma Meldplicht Datalekken Anticiperen op 25 mei 2018 Ir. J(an) W. de Heer RE Lid van de kennisgroep P R I V A C Y van de NOREA Senior Business Consultant KPN, afd. Security Integration Advisory 22 november 2017

2 Kennisgroep NOREA P R I V A C Y samenstelling drs. A.J. Biesheuvel RE RA drs. Jaap Boukens RE RA CGEIT Auke Geerts RE ir. Jan de Heer RE Dennis van Heijst Ruud Kerssens RE Wolter Karssenberg RE RI Maurice Koetsier Erik Konig Peter van der Knaap RE RA Erik Pothast RE RO Jeroen van PuijenbroekRE mr.drs.jan Roodnat RE RA Rina Steenkamp RE Maurice Steffin mr. Wouter Bas van der Vegt RE 2

3 Wat we niet willen of toch wel!? 3

4 Datalek onzorgvuldig handelen 4

5 Datalek Infomatiebeveiliging 5

6 Agenda 1. Datalekken: breach level index 2. Groeiend aantal meldingen bij het AP 3. Nederland koploper: vanaf 1 januari 2016 meldplicht datalekken Wbp 4. Impact van de AVG op de meldplicht datalekken 5. Werkprogramma Meldplicht Datalekken 6. Vervolg Werkprogramma Meldplicht Datalekken 7. Meer informatie en/of contact? Backup extra informatie meldplicht datalekken 6

7 1. Datalekken: breach level index - 18 november 2017 Bron: breachlevelindex.com 7

8 1. Datalekken: breach level index 10 december 2015 Bron: presentatie Meldplicht Datalekken 8

9 2. Groeiend aantal meldingen bij het AP 9

10 2. Groeiend aantal meldingen bij het AP 10

11 2. Groeiend aantal meldingen bij het AP type meldingen - bron AP 11

12 3. Nederland koploper - vanaf 1 januari 2016 meldplicht datalekken - Wbp Verplicht een ernstig datalek melden bij de Autoriteit Persoonsgegevens (AP) Voor bedrijven, overheden en andere organisaties Uiterlijk binnen 72 uur na ontdekking = onverwijld In bepaalde gevallen ook aan betrokkenen Dataprotectie is een boardroom issue Boetes van max ,- of 10% van de jaaromzet van de rechtspersoon De meldplicht datalekken artikel 34 A Wbp - verplicht iedere organisatie Security maatregelen te nemen die nodig zijn om datalekken te herkennen, te voorkomen en de gevolgen ervan zoveel mogelijk te beperken - zie ook artikel 13 Wbp 12

13 3. Beleidsregels van Autoriteit Persoonsgegevens (AP) Organisaties moeten zelf meldplichtigheid bepalen Beleidsregels geven hulp Beleidsregels zijn principle based - eigen afweging - invulling essentieel Schema s voor het maken van afwegingen Veel voorbeelden Datum 8 december

14 3. Schema voor het maken van de juiste afweging Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp); Beleidsregels voor toepassing van artikel 34a van de Wbp 8 december

15 3. Beleidsregels: inhoud 15

16 3. Passende beveiligingsmaatregelen Risk based Risk based beveiligingsmaatregelen Bepaal eerst kroonjuwelen ICT Assets Risk based scoping: Van B(usiness) I(impact) Analyse BIA PIA 16

17 3. Passende beveiligingsmaatregelen houdt ook rekening met CyberSecurity KPN - Security Operating Center Hilversum Risk based bepalen van ICT assets die (real time) monitoring behoeven Vroegtijdige detectie van Cyber aanvallen - (soms) voorkomen van datalekken Continue en beheerde monitoring van uw ICT-infrastructuur en kritieke bedrijfsprocessen - 7 * 24 uur Vulnerability management Pen testing Incident response en forensics Zie ook: NOREA kennisgroep CyberSecurity 17

18 4. Impact van de AVG op de meldplicht datalekken - Art. 33 Artikel 33: Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit Sub art. 1 Inbreuk melden op persoonsgegevens aan toezichthouder onverwijld (binnen 72 uur). Kennisgeven is niet vereist indien het onwaarschijnlijk is dat inbreuk zal leiden tot hoog risico. Etc. Sub art. 2: De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens Sub art. 5: De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. De documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren. Let op Wbp vergelijking: de protocolplicht in de Wbp heeft alleen betrekking op de aan de AP gemelde datalekken Conclusie: 1. Inbreuk melden aan toezichthouder, indien inbreuk zal leiden tot hoog risico 2. Verwerker moet de verwerkingsverantwoordelijke informeren 3. Registratieplicht van inbreuken is geïntensiveerd 18

19 4. Impact van de AVG op de meldplicht datalekken - Art. 34 Artikel 34: Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene Sub art. 1: Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee Let op: Wbp vergelijking: Artikel 34 a (meldplicht datalekken) Sub art. 2: De verantwoordelijke stelt de betrokkene onverwijld in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer Conclusie: 1. Volgens de AVG hoeven betrokkenen doorgaans minder snel te worden geïnformeerd over een datalek dan volgens de Wbp (artikel 34 a) het geval is 19

20 5. Werkprogramma Meldplicht Datalekken Doelstelling: Het bepalen van de status aangaande de implementatie van de Meldplicht Datalekken In samenhang met een aantal kern artikelen uit de Wbp: - art. 13: beveiliging, art. 14: bewerker, art. 34a: meldplicht datalekken Doelgroep: IT Auditors die organisaties ondersteunen inzake de beveiliging van persoonsgegevens en de meldplicht Ook bruikbaar voor security officers, privacy officers en functionarissen gegevensbescherming Context: Wbp - met vooruit blik naar de AVG AVG is vastgesteld in mei 2016, handhaving vanaf 25 mei

21 5. Relatie met de PIA Norea Privacy Impact Assessment Doelstelling PIA: Bepaling van privacyrisico s (en reducerende maatregelen) in een vroeg stadium op een gestructureerde manier. Risico's inzake de meldplicht zijn ook opgenomen Doelstelling werkprogramma Meldplicht Datalekken : Bepaling van de mate waarin de meldplicht datalekken is geïmplementeerd (in samenhang met een aantal beveiligingsmaatregelen) 21

22 5. Werkprogramma Meldplicht Datalakken INVENTARISATIE Wbp art 1 t/m 4,14 Inventarisatie Stel vast of persoonsgegevens worden verwerkt worden bepaal of de Wbp van toepassing is Bepaal bewerkerovereenkomsten intern extern, bepaal verantwoordelijke & bewerker beschrijvingen is melding proces correct? Bepaal overzicht van verwerkingen, aard & locatie (intern danwel extern) en gevoeligheid Onderzoek proces beschrijvingen onderzoek waarborgen tav meldplicht datalekken (wie doet melding, proces van verwerkingen) Stel vast of er in de afgelopen periode door de bewerker beveiligingsincidenten, datalekken zijn gemeld aan de verantwoordelijke en het AP 22

23 5. Werkprogramma Meldplicht Datalekken PREVENTIE en DETECTIE Wbp art. 13 Preventie Onderzoek of passende technische en organisatorische maatregelen zijn getroffen tegen verlies of enige vorm van rechtmatige verwerking Onderzoek Privacy beleid onderzoek samenhang met Security beleid Onderzoek of risicoanalyse is uitgevoerd wel of geen PIA uitgevoerd Bepaal aanwezigheid van continuïteits-maatregelen Bepaal of encryptie hashing remote wipe maatregelen aanwezig zijn Bepaal aanwezigheid van incident management proces - crisismanagement proces- waarin aantoonbaar de meldplicht naar AP en betrokkene is verwerkt Stel vast of van of van alle geregistreerde beveiligingsincidenten is bepaald of sprake is van een datalek Stel vast of dat na een datalek afdoende maatregelen zijn getroffen om herhaling te voorkomen Stel vast dat alle meldenswaardige datalekken in de afgelopen periode zijn gemeld aan de AP. Detectie Bepaal of monitoring maatregelen aanwezig zijn Bepaal of vulnerability management, pentesten, intrusion detection wordt uitgevoerd, onderzoek de aanwezigheid van real time monitoring maatregelen ivm tijdige detectie van datalekken 23

24 5. Werkprogramma Meldplicht Datalekken RESPONS Wbp art. 34 a Respons Stel vast of er een procedure is waarin gemotiveerd kan worden aangegeven wanneer een datalek wordt gemeld aan het AP danwel aan betrokkene Stel vast of procedure aanwezig is voor het volledig en tijdig melden van datalekken aan het AP Stel vast of procedure aanwezig is voor het volledig en tijdig melden van datalekken aan betrokkenen Stel vast of er een procedure is gericht op het administreren van datalekken die onder de meldplicht vallen. Stel bewaartermijn van de administratie van datalekken vast - minimaal 3 jaar Stel vast of er een overzicht bestaat van alle datalekken Stel vast of minimaal eenmaal per jaar het datalek alsnog aan de betrokkenen moet worden gemeld Stel vast of datalekken tijdig en juist zijn gemeld aan het AP Stel vast of datalekken tijdig en juist zijn gemeld aan betrokkene 24

25 6. Vervolg Werkprogramma Meldplicht Datalekken Indien de gevolgen van de AVG voldoende helder zijn zal het werkprogramma Meldplicht Datalekken worden aangepast De Europese privacytoezichthouders (de ARTICLE 29 DATA PROTECTION WORKING PARTY) hebben in oktober 2017 guidelines gepubliceerd over de meldplicht datalekken onder de AVG Zie Guidelines on Personal data breach notification under Regulation 2016/679, adopted on Adopted on 3 October 2017 NOTE. Deze guidelines zijn nog niet definitief, maar staan open voor publieke consultatie Vervolg Beleidsregels voor toepassing artikel 34 A van de Wbp monitoren bij de AP 25

26 7. Meer informatie en/of contact? Ir. J. (Jan) W. de Heer RE Projectmanager Kwaliteit en Vaktechnische Communicatie Telefoon: + 31 (0) GSM: +31 (0) j.deheer@norea.nl Antonio Vivaldistraat HP AMSTERDAM Postbus AD AMSTERDAM Web: 26

27 Backup extra informatie meldplicht datalekken - Wbp gerelateerd NOREA 2015

28 2. Beleidsregels: is het een datalek? O p z e t t e l i j k datalek Beveiligingslek in niet geupdate software Uitbuiten van kwetsbaarheden via social engineering - phishing Hacker breekt in op een systeem met een personeelsbestand Fysieke diefstal van onbeveiligde laptop, server O n o p z e t t e l i j k e datalek Verlies van laptop, server, tablet, usb stick Verzenden gegevens via onbeveiligde of bestandsoverdracht Verzenden van s aan verkeerde ontvanger Technisch probleem harddisk crash met gegevensverlies tot gevolg Brand in Datacenter Zoekraken van identiteitsbewijs 28

29 2. Beleidsregels: melden aan Autoriteit persoonsgegevens? 29

30 2. Beleidsregels: melden aan de betrokkene? N i e t melden aan betrokkene bij: Indien gelekte persoonsgegevens onleesbaar zijn ; Voorbeelden: toepassing encryptie danwel hashing, danwel remote wipe (op afstand kunnen verwijderen van gegevens). Conform sterke encryptie conform ENISA (European Union Agency for Network and Information Security) Wel van belang is dat niemand de gegevens heeft kunnen inzien. De bewijslast ligt bij U. W E L melden aan betrokkene bij: Indien datalek gegevens uit de persoonlijke levensfeer bevat zoals geloof, gezondheid, sexe etc. Indien datalek waarschijnlijk ongunstige gevolgen heeft voor privéleven van de personen van wie de gegevens zijn gelekt - ook melden aan het AP Ongunstige gevolgen bijvoorbeeld bij: Identiteitsfraude Discriminatie reputatieschade 30

31 2. Melden ingeval bewerkersovereenkomsten Opletten met het volgende: Rollen: Wie is de Verantwoordelijke Wie is de Bewerker Wie is de Betrokkene Laat de Verantwoordelijke bij voorkeur- de melding doen bij de AP Regel informatie voorziening met de Bewerker NB: Wet geeft ruimte voor wie doet de melding van een datalek 31

32 2. Meldplicht: wat melden? Aan Autoriteit persoonsgegevens èn betrokkenen: Aard inbreuk Vindplaats nadere informatie Aanbevolen maatregelen Aan Autoriteit persoonsgegevens: Gevolgen Maatregelen Aan betrokkenen: Alle andere noodzakelijke informatie 32