Security Hoe krijgt u grip op informatiebeveiliging?

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Security Hoe krijgt u grip op informatiebeveiliging?"

Transcriptie

1 Security Hoe krijgt u grip op informatiebeveiliging?

2 INHOUDSOPGAVE 1 INLEIDING WAT IS IT SECURITY? IT SECURITY BELEID BLOK HET IT OPERATIE EN AUDIT BLOK HET IT SECURITY OPTIMALISATIE BLOK WERKWIJZE IT SECURITY FUNNEL CYCLISCH MODEL MELDPLICHT DATALEKKEN EN IT SECURITY IMPACT SECURITY SECURITY QUICKSCAN SAMENVATTING Ictivity visie op IT Security 11 januari 2016 Pagina 2 van 12

3 1 Inleiding IT Security is tegenwoordig een belangrijk onderwerp. Beveiliging van informatie was uiteraard altijd al belangrijk. Toen IT werkplekken nog bestonden uit een PC of laptop was beveiliging echter nog overzichtelijk. De introductie van mobiele apparatuur zoals smartphones en tablets heeft dat fundamenteel veranderd. IT beheerders hebben definitief de technische grip op data- en informatiebeveiliging verloren. Dat wil zeggen: ze kunnen geen 100% beveiliging meer garanderen omdat ze niet weten en overzien welke data op welk apparaat op welke locatie staat. Dat impliceert dat gebruikers van de IT middelen een gedeelde verantwoordelijkheid voor IT security hebben en dat IT security beleid en de organisatie rondom IT security belangrijker zijn dan ooit. Gegevens beveiliging is voor minimaal 50% mensenwerk geworden. Tegelijkertijd zijn de eisen rondom gegevens beveiliging hoger dan ooit. Regelgeving vanuit de overheid (compliancy) groeit. Een mooi voorbeeld daarvan is meldplicht datalekken die in 2016 actief wordt. De gebruikersorganisatie krijgt steeds meer vrijheid op IT gebied en op hetzelfde moment dienen beheerders dus te voldoen aan steeds strengere beveiligingseisen. Een flinke uitdaging! Dit document bevat de visie van Ictivity op het gebied van gegevensbeveiliging en een antwoord op die uitdaging. Allereerst gaat het in op wat IT security nu precies inhoudt. Daarna is beschreven welke werkwijze Ictivity voorstaat om te zorgen voor technische en niet-technische maatregelen die zijn gebaseerd op organisatorische aspecten (beleid). Als laatste is aangegeven hoe de werkwijze past binnen de uitdagingen van de meldplicht datalekken en sluit het document af met een samenvatting. Ictivity visie op IT Security 11 januari 2016 Pagina 3 van 12

4 2 Wat is IT security? IT security is een breed begrip. Dat wil zeggen dat binnen de term heel veel aspecten en aandachtspunten opgesloten zijn. Met een technische bril op bestaat IT security uit maatregelen die voorkomen dat computers besmet raken met virussen en malware en dat hackers of onbevoegden toegang krijgen tot gegevens die niet voor hen bestemd zijn. IT security behelst echter veel meer dan dat. Naast technische aspecten zijn er ook organisatorische security aspecten. Daarbij gaat het vooral om beleidszaken en de manier waarop security maatregelen zijn belegd in een organisatie. Ictivity heeft een model ontwikkeld waarin alle aspecten, die te maken hebben met IT Security, zijn opgenomen. Het model is, van links naar rechts, opgebouwd uit drie blokken die ieder een gedeelte van de IT security maatregelen vertegenwoordigen. De blokken zijn in de volgende paragrafen verder uitgewerkt. Management en response audit Proces optimalisatie Risk assessment Externe security audit (netwerk) Externe security optimalisatie NEN/ISO Normeringen Strategisch/ tactisch beleid Vertaling van beleid naar operatie Interne security audit (netwerk) Interne security audit (Server en workspace) Interne security optimalisatie Server en workspace security optimalisatie Organisatie security awareness audit Training / Workshop(s) Cloud Security audit Technische projecten Cloud security optimalisatie IT Security beleid IT operatie en audits IT Security optimalisatie Ictivity visie op IT Security 11 januari 2016 Pagina 4 van 12

5 2.1 IT security beleid blok Het IT security beleid blok betreft beleidszaken die de basis leggen voor IT security in een bedrijf. In dat beleid is in algemene functionele termen gespecificeerd hoe een bedrijf of instelling met IT security omgaat. De input voor dit strategische beleid zijn van toepassing zijnde ISO/NEN normeringen en vigerende wet- en regelgeving. Voorbeelden hiervan zijn de normeringen voor overheid- en zorginstellingen (Overheid: BIR:2012 en ISO 27001/27002, Zorg: NEN 7510 en -7513). Voor andere bedrijven en instellingen kunnen andere normeringen van belang zijn (denk aan assurantiekantoren of handelsfirma s). Een periodiek uitgevoerde risk assessment is een logisch vervolg op het vastgestelde security beleid. Dit is een assessment waarin duidelijk wordt welke bedrijfsprocessen, bedrijfsinformatie, ICT componenten ed. van een bedrijf of instelling het belangrijkst zijn en waar dus de grootste risico s zitten (bv. Een core applicatie en/of een belangrijke database met bedrijfs- of klantgegevens). Uit de risk assessment resulteert een risicobehandelplan dat bestaat uit een geprioriteerde lijst met IT security controls. IT security controls zijn maatregelen die een bedrijf of instelling neemt om IT security risico s te minimaliseren. De maatregelen op de lijst zijn in algemene termen beschreven en bevatten geen details over firewalls, viruscanners et cetera. 2.2 Het IT operatie en audit blok In het IT operatie en audit blok bevinden zich audits (assessments) om te bekijken in welke mate de bestaande praktische (operationele) technische- en niet-technische security maatregelen voldoen om de controls in het beleid te implementeren. We onderscheiden daarbij de volgende scans en assessments: Scan / assessment Management en response audit Externe security audit (netwerk) Interne security audit (netwerk) Interne security audit (Server en workspace) Organisatie security awareness audit Cloud security scan Toelichting Dit betreft het management van de IT security maatregelen (organisatorisch) en de procedures die er zijn om snel te reageren op een besmetting of een aanval. Dit is een zogenaamde technische penetratie test waarbij van buiten het netwerk wordt gekeken waar zich kwetsbaarheden bevinden op connectivity gebied. Dit is een technische test waarbij van binnen in het netwerk wordt gekeken waar zich kwetsbaarheden bevinden op connectivity gebied. Dit betreft een test op de interne beveiliging van de serveren werkstationomgeving. Deze scan betreft het menselijke aspect van IT beveiliging en gaat over het gedrag van de medewerkers in een organisatie. De cloud security scan betreft een scan van alle onderdelen van een ICT omgeving die werken in de cloud. Ictivity visie op IT Security 11 januari 2016 Pagina 5 van 12

6 2.3 Het IT security optimalisatie blok Het IT Security optimalisatie blok, als laatste, bevat een aantal technische- en niet technische projecten (implementaties) om eventuele tekortkomingen die uit de security audits komen te corrigeren of leemtes in beveiliging aan te vullen. Scan / assessment Proces optimalisatie Externe security optimalisatie Interne security optimalisatie Server- en workspace security optimalisatie Training en workshops Cloud security optimalisatie Toelichting Het aanpassen van (ITIL) beheerprocessen om er voor te zorgen dat IT security organisatorisch goed belegd is. Dit betekent het aanwijzen van verantwoordelijken (bv. Security officer), het implementeren van procedures en het organiseren van een response team voor aanvallen en/of besmettingen. Het installeren en configureren van technische voorzieningen om de kwetsbaarheid van buiten het netwerk te vergroten (firewalls, security appliances etc.). Het installeren en configureren van technische voorzieningen en het (her)configureren van interne netwerkcomponenten om de kwetsbaarheid van de interne IT te verkleinen. Het aanpassen van toegangsrechten en policies op de serveromgeving en de werkplekomgeving om de kwetsbaarheid van de interne IT te verkleinen. Het organiseren van interne trainingen en workshops om te zorgen voor awareness en gedragsverandering bij interne IT gebruikers op het gebied van IT security. Het optimaliseren van de security van cloud producten. 2.4 Werkwijze IT security als geheel vormt als een ware een keten met schakels. De gehele keten is daarbij zo zwak als de zwakste schakel. Het is daarom van belang om de security van een ICT omgeving te bekijken op basis van álle aspecten of schakels. Als er één schakel wordt overgeslagen dan wordt de gehele keten zwak. IT beheer kan bijvoorbeeld alle technische voorzieningen perfect in orde maken, maar als een gebruiker besluit om zijn wachtwoord op het toetsenbord te schrijven, of data te bewaren op een onveilig apparaat dan gaat de beveiliging van die data op de helling. En er is niets wat IT daar op dat moment aan kan doen. De manier waarop gebruikers met IT middelen omgaan is dus bijvoorbeeld ook een bepalende schakel voor de IT security keten die we niet mogen overslaan. We mogen immers ook niet rondrijden in een auto zonder rijbewijs! In het security model op pagina 4 is met pijlen een werkwijze of werkrichting aangegeven. Deze pijlen duiden de volgorde aan waarin de verschillende blokken uit het model aanbod komen. Het model werkt altijd van globaal naar specifiek. Het volgende hoofdstuk gaat hier verder op in. Ictivity visie op IT Security 11 januari 2016 Pagina 6 van 12

7 3 IT Security Funnel In de praktijk wordt nogal eens de vergissing gemaakt om IT security maatregelen te implementeren met een technische insteek. Daarbij is er weinig of geen aandacht voor het definiëren van IT security beleid of organisatorische aspecten. Men heeft dan met name aandacht voor de technische aspecten in het IT security optimalisatie blok. Soms volgen ook een aantal audits, maar dan gaat het vaak met name om de technische audits op netwerk, server en werkstation gebied. Dat levert de volgende problemen op: Technische maatregelen zijn niet gebaseerd op vigerend beleid en hebben weinig of geen raakvlak met de organisatie. Er is dan ook geen aandacht voor de risico s (specifieke kwetsbaarheden van een organisatie). Het resultaat is dat de verkeerde onderdelen van een IT omgeving worden beveiligd en/of dat er kwetsbaarheden overblijven. Het organisatorische gedeelte van IT security wordt niet meegenomen. De technische maatregelen zijn wel geïmplementeerd, maar het onderhoud van die maatregelen niet. Daarnaast kan het zo zijn dat er geen procedures zijn als een besmetting of aanval plaatsvindt. Dat maakt de security maatregelen veel minder effectief dan zou kunnen. Doordat er geen goed onderhoud is groeit het aantal security lekken bovendien in de tijd. Er is geen aandacht voor het gedrag van medewerkers. Het is door onderzoek bekend dat minstens de helft van security gerelateerde problemen ontstaan door de manier waarop gebruikers met IT omgaan. Door alleen op techniek te focussen mist men dus een belangrijk aspect van IT security. Er blijven zo nog (grote) security risico s over. Om de hier beschreven problemen met IT security te voorkomen is het van belang is om van globaal naar specifiek te werken bij het implementeren van maatregelen. Zo ontstaan IT security maatregelen die zijn ingebed in organisatie beleid en worden álle IT security aspecten meegenomen. Het volgende trechtermodel voor IT security illustreert dit. Input Risk assessment / normeringen IT security beleid Maatregelen (technische) implementatie(s) Ictivity visie op IT Security 11 januari 2016 Pagina 7 van 12

8 De security funnel laat zien dat we van breed (globaal) naar smal (gedetailleerd) gaan. Dat gebeurt in de volgende volgorde: 1. Risico assessment en normeringen Eerst voeren we een risico assessment uit en kijken naar geldende normeringen (globaal). 2. Beleid definiëren Met behulp van het risico assessment en de geldende normeringen bepalen we IT security beleid. 3. Meten Op basis van het beleid meten we in de bestaande omgeving of de genomen maatregelen (technisch en organisatorisch) het beschreven beleid ondersteunen. 4. Maatregelen Als maatregelen ontbreken of niet passen in het beleid dan dienen we aanpassingen door te voeren. Deze aanpassingen implementeren we als laatste (details). Deze IT Security Funnel zorgt er voor dat we maatregelen nemen die passen bij de specifieke situatie van een bedrijf of instelling. Daarnaast zorgt het model er voor dat we geen aspecten omtrent IT security missen. We voorkomen verder dat er techniek om de techniek wordt geïnstalleerd die uiteindelijk niet goed bij een omgeving past. 3.1 Cyclisch model Het beschreven model is niet statisch maar cyclisch. Immers kunnen de uitgangspunten in een bedrijf of organisatie veranderen. Bijvoorbeeld door een fusie, een overname of het ontwikkelen van nieuwe dienstverlening. Het model dient dus met enige regelmaat (bv. Half-jaarlijks of jaarlijks) opnieuw te worden doorlopen om te zien of uitgangspunten zijn veranderd en of de beveiligingsmaatregelen nog wel aansluiten op hetgeen een bedrijf of organisatie vraagt. Ictivity visie op IT Security 11 januari 2016 Pagina 8 van 12

9 4 Meldplicht datalekken en IT security Binnen een paar jaar wordt de zogenaamde Europese privacy verordening van kracht. Dit is een verordening die direct, in alle lidstaten van de EU, geldig en actief wordt. Vooruitlopend op de verordening is door de eerste en tweede kamer een wetsvoorstel aangenomen die een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toevoegt aan de (bestaande) Wbp. Waarschijnlijk op 1 januari 2016 gaat deze zogenaamde meldplicht datalekken in. Op basis van de meldplicht datalekken moet de verantwoordelijke bij een datalek niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook bij de betrokkene (de persoon of personen waarvan gegevens zijn gelekt). Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. 4.1 Impact De nieuwe meldplicht datalekken kan een flinke impact hebben op de manier waarop bedrijven en instellingen omgaan met IT security. Dat komt mede doordat op het niet naleven van de meldplicht aanzienlijke boetes staan (maximaal ,- of 10 procent van de (wereldwijde) jaaromzet van de rechtspersoon)! In de nieuwe wet geldt een meldingsplicht voor 'inbreuk op de beveiliging die leidt tot een aanzienlijke kans op ernstige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens'. Dat is voor interpretatie vatbaar. Het is daardoor onduidelijk hoe we de nieuwe wet moeten interpreteren, terwijl deze wél actief wordt. De meldplicht datalekken geldt bijvoorbeeld ook voor een kwijtgeraakte USB stick of de verzending van waarin alle geadresseerden zichtbaar zijn. In een gemiddelde organisatie kunnen zomaar een paar honderd memorysticks in gebruik zijn. Hoe hou je gedetailleerd bij waar die allemaal blijven? En hoe controleer je of er misschien iemand per ongeluk een cc in een heeft gebruikt in plaats van een bcc? Dit is een flinke uitdaging en is praktisch erg lastig uitvoerbaar. Als laatste veranderen de verantwoordelijkheden van ICT partijen onder de nieuwe wet. Ook de zogenaamde bewerker, oftwel de partij die data voor de eigenaar (de verantwoordelijke) bewerkt of verwerkt, heeft verantwoordelijkheden. Denk hierbij ook aan SaaS providers die de data van klanten op hun systemen hebben. Wie van de partijen gaat de meldingen coördineren? En wie is dan waar verantwoordelijk voor? Er dient tussen de opdrachtgever en de bewerker een bewerkersovereenkomst te zijn waarin dit soort zaken zijn vastgelegd. 4.2 Security De nieuwe meldplicht datalekken vraagt dus om meer administratie en vooral om een veel betere controle op het gebruik van ICT middelen in een bedrijf of organisatie. Het Cbp kan naar aanleiding van een melding een audit doen of er passende technische en organisatorische beveiligingsmaatregelen zijn genomen. Wat precies passend is wordt door het Cbp bepaald. Het is daardoor lastig om hierop goed voorbereid te zijn. Ictivity visie op IT Security 11 januari 2016 Pagina 9 van 12

10 Het zal duidelijk zijn dat er een link is tussen de meldplicht en IT security. De maatregelen die we nemen voor de meldplicht hebben immers alles te maken met de technische en organisatorische maatregelen die we in het kader van IT security nemen. Voor de meldplicht datalekken zijn met name de volgende IT security aspecten van belang: Is er IT security beleid gedefinieerd? o Een IT security beleid dient gebaseerd te zijn op de specifieke kwetsbaarheden van een omgeving en geldende normeringen voor de branche. Algemeen gedefinieerd beleid biedt te weinig raakvlakken met de praktijk. Is het beleid vertaald naar de juiste maatregelen? o Zijn technische en organisatorische maatregelen gebaseerd op het beleid? Dit zorgt dat maatregelen worden genomen die specifieke kwetsbaarheden adresseren en voorkomt de implementatie van techniek om de techniek. Is, naast technische maatregelen, voldoende aandacht besteed aan organisatorische maatregelen? o Technische maatregelen zijn heel belangrijk, maar lossen tegelijkertijd maar 50% van de problematiek op. Technische maatregelen behoeven een geoliede organisatie die zorgt voor adequaat beheer. Als dat achterwege blijft verliezen de technische maatregelen geleidelijk hun effectiviteit. Is voldoende aandacht besteed aan de menskant van IT Security? o Minimaal 50% van IT Security bestaat uit menselijke en organisatorische aspecten. Menselijke fouten zorgen veelal voor de grootste rampen op security gebied, daarvan zijn voldoende voorbeelden. Security bewustwording en digivaardigheid zijn enorm belangrijk. Ictivity is ervan overtuigd dat het alleen mogelijk is om te voldoen aan de nieuwe meldplicht datalekken en de eisen op het gebied van beveiliging van persoonsgegevens als de gehele breedte van IT security in de aandacht is. Een keten is immers zo sterk als de zwakste schakel! Vergeet één schakel en de gehele keten is zwak, met alle gevolgen van dien! De werkwijze met betrekking tot IT security, die in dit document is beschreven, is dus uitstekend geschikt om ook de uitdagingen van de meldplicht datalekken onder controle te krijgen. Ictivity visie op IT Security 11 januari 2016 Pagina 10 van 12

11 5 Security quickscan Doordat IT security zo n groot aantal verschillende aspecten kent, vinden bedrijven en organisaties het vaak lastig om IT security als geheel te overzien. Wat hoort er allemaal bij? Slaan we niets over? Hoe compleet is onze aanpak? Om dit snel inzichtelijk te maken heeft Ictivity de IT security quickscan ontwikkeld, met als doel om de volgende vragen te beantwoorden: In hoeverre is aandacht besteed aan álle aspecten van IT Security? Waar zijn quick wins te behalen op IT Security gebied (functioneel, technisch en organisatorisch)? Wat zijn de volgende stappen voor het verder optimaliseren van IT Security? Wat is nodig om te kunnen voldoen aan de meldplicht datelekken? De Quickscan bestaat uit een viertal vragenlijsten die betrekking hebben op alle aspecten van IT Security en die een bedrijf of organisatie zelf zo volledig mogelijk invult. Op basis daarvan vindt een workshop plaats. De workshop en de vragenlijst vormen dan weer de basis voor een pragmatisch advies. De security quickscan heeft een aantal voordelen: De quickscan is zeer laagdrempelig. De quickscan kost maximaal anderhalve dag tijd, inclusief de workshop. Er is direct inzicht in de huidige stand van IT security in een bedrijf of instelling. Er is direct Inzicht in wat te doen met betrekking tot de meldplicht datalekken. Een overzicht van quick wins zorgt dat er snel winst te boeken is op security gebied. De IT Security Quickscan levert dus snel veel informatie op tegen een beperkte inspanning. Het is een zeer goed ijkpunt om te kunnen bepalen op welke security gebieden extra aandacht nodig is om alle schakels in de security keten te adresseren. Ictivity visie op IT Security 11 januari 2016 Pagina 11 van 12

12 6 Samenvatting Ictivity is van mening dat de enige goede aanpak voor IT security een integrale aanpak is. Dat wil zeggen dat álle aspecten van IT security, zowel de technische als niet-technische, meegenomen dienen te worden. De niet-technische maatregelen (organisatie, medewerkers, beleid) zijn daarbij minstens zo belangrijk, zo niet belangrijker, dan de technische maatregelen. Alleen als alle individuele schakels van de security keten sterk zijn, zal ook de gehele keten sterk zijn. Eén zwakke schakel is voldoende om bedrijfsgegevens kwetsbaar te maken voor technische problemen, hackers of gebruikersfouten. Daarnaast staat Ictivity een werkwijze voor die van globaal naar specifiek gaat bij het implementeren van maatregelen en die bovendien cyclisch is (periodiek herhaald wordt). Zo ontstaan IT security maatregelen die zijn ingebed in een organisatie (beleid) en worden álle IT security belangrijke aspecten meegenomen. Het voorkomt bijvoorbeeld dat we techniek om techniek implementeren zonder dat die techniek goed is ingebed in organisatorische eisen. Dat is iets dat te vaak gebeurt. De in dit document beschreven werkwijze past bovendien goed bij de uitdagingen van de nieuwe meldplicht datalekken die in 2016 actief wordt in Nederland. De meldplicht datalekken en IT security aspecten zijn onlosmakelijk verbonden. Een goed startpunt bij het aanpakken van IT security is de IT quickscan die Ictivity aanbiedt. Met behulp van de quickscan is er snel inzicht in welke security gebieden extra aandacht nodig hebben om de totale security keten sterk te maken. Ictivity is van mening dat omgaan met IT security zoals beschreven in deze whitepaper de beste garantie geeft voor een zo goed mogelijke gegevensbeveiliging. Ictivity visie op IT Security 11 januari 2016 Pagina 12 van 12

IT Security Een keten is zo sterk als de zwakste schakel.

IT Security Een keten is zo sterk als de zwakste schakel. IT Security Een keten is zo sterk als de zwakste schakel. René Voortwist ICT Adviseur Leg het mij uit en ik vergeet het. Laat het me zien en ik onthoud het misschien, maar betrek mij erbij en ik begrijp

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiliging En terugblik op informatiebeveiliging 2016 Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016 Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

WET MELDPLICHT DATALEKKEN FACTSHEET

WET MELDPLICHT DATALEKKEN FACTSHEET WET MELDPLICHT DATALEKKEN FACTSHEET Wettekst De Wet Meldplicht Datalekken introduceert onder andere een meldplicht. Dit wordt geregeld in een nieuw artikel, artikel 34a Wbp dat uit 11 leden (onderdelen)

Nadere informatie

Wet meldplicht datalekken

Wet meldplicht datalekken Wet meldplicht datalekken MKB Rotterdam Olaf van Haperen + 31 6 17 45 62 99 oh@kneppelhout.nl Introductie IE-IT specialisme Grootste afdeling van Rotterdam e.o. Technische ontwikkelingen = juridische ontwikkelingen

Nadere informatie

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE FINANCIELE SECTOR

INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE FINANCIELE SECTOR INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE FINANCIELE SECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken.

Nadere informatie

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Uw tandartspraktijk. Een goudmijn voor internetcriminelen Uw tandartspraktijk Een goudmijn voor internetcriminelen Wat gaan we doen? De digitale data-explosie Nieuwe privacywetgeving (a giant leap for mankind) Wat wilt u onze hacker vragen? Help! Uw praktijk

Nadere informatie

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u?

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Inleiding De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy

Nadere informatie

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Veilig mobiel werken. Workshop VIAG 7 oktober 2013 1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Verbeter je cybersecurity

Verbeter je cybersecurity Verbeter je cybersecurity Cybercrime Cybercrime, computercriminaliteit, digitale criminaliteit: verschillende termen voor misdaad die zich richt op computers of andere systemen zoals mobiele telefoons

Nadere informatie

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz Informatiebeveiliging: de juridische aspecten Anton Ekker juridisch adviseur Nictiz 20 september 2012 Onderwerpen beveiligingsplicht Wbp aandachtspunten implementatie IAM en BYOD wat te doen bij een datalek?

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Procedure melden beveiligingsincidenten en datalekken

Procedure melden beveiligingsincidenten en datalekken Procedure melden beveiligingsincidenten en datalekken Panta Rhei, stichting voor r.k., openbaar en algemeen bijzonder primair onderwijs Bestuursbureau Panta Rhei Bezoekadres: Overgoo 13, 2266 JZ Leidschendam

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

NEEM DE REGIE OVER INFORMATIEBEVEILIGING. ICT Waarborg Gecertificeerd

NEEM DE REGIE OVER INFORMATIEBEVEILIGING. ICT Waarborg Gecertificeerd NEEM DE REGIE OVER INFORMATIEBEVEILIGING ICT Waarborg Gecertificeerd AGENDA 10 MEI 2016 Introductie informatiebeveiliging Juridische Vereisten Informatiebeveiliging: Autoriteit persoonsgegevens = College

Nadere informatie

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken 04-11-2013 Bieneke Braat Alle rechten voorbehouden, niet openbaar maken zonder toestemming. 1 Legaltree: Advocatenkantoor

Nadere informatie

Help een datalek! Wat nu?

Help een datalek! Wat nu? Help een datalek! Wat nu? Een aantal ervaringen uit de praktijk Tonny Plas Adviseur informatie- en ibp-beleid voor schoolbesturen in het po en vo Aanleiding Op 1 januari 2016 is er een meldplicht datalekken

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016 Iets te melden? PON-seminar- Actualiteiten Privacy Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016 2 3 Waarom moet er gemeld worden? Transparantie en schadebeperking Bewustzijn Verhogen

Nadere informatie

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Meldplicht datalekken Thomas van Essen. 31 maart 2016 Meldplicht datalekken Thomas van Essen 31 maart 2016 Agenda Kort juridisch kader Bespreking aandachtspunten en mogelijke valkuilen Oplossingen Datalekken (I) Antoni van Leeuwenhoek 780 patiëntgegevens

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

In 10 stappen voorbereid op de AVG

In 10 stappen voorbereid op de AVG In 10 stappen voorbereid op de AVG 10 STAPPEN TER VOORBEREIDING OP DE ALGEMENE VERORDENING GEGEVENS BESCHERMING (AVG) Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing.

Nadere informatie

A2 PROCEDURE MELDEN DATALEKKEN

A2 PROCEDURE MELDEN DATALEKKEN A2 PROCEDURE MELDEN DATALEKKEN Deze procedure voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken.

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken De Wbp is al sinds 1 september 2001 van kracht en bevat bepalingen omtrent het rechtmatig omgaan met persoonsgegevens. Op 1 januari

Nadere informatie

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene

Nadere informatie

Impact van de meldplicht datalekken

Impact van de meldplicht datalekken Impact van de meldplicht datalekken Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens

Nadere informatie

In vier stappen voldoen aan de meldplicht datalekken

In vier stappen voldoen aan de meldplicht datalekken In vier stappen voldoen aan de meldplicht datalekken dfg WHITEPAPER Datum ID Nummer 20 september 2012 12015 Auteur(s) mr. dr. A.H. (Anton) Ekker Samenvatting De Nederlandse overheid en de Europese Commissie

Nadere informatie

Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager.

Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager. Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager 27 november 2013 Workshop Privacy en Security Issues voor de contractmanager

Nadere informatie

Zes KRACHTIGE NEN 7510 handvatten voor de Raad van Bestuur

Zes KRACHTIGE NEN 7510 handvatten voor de Raad van Bestuur Zes KRACHTIGE NEN 7510 handvatten voor de Raad van Bestuur WHITEPAPER Inhoud Bereid je voor op NEN 7510... 3 1. De manier van informatieverwerking verandert; (h)erken dit ook... 4 2. Ga slim om met verandering...

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Whitepaper: Online merkbeveiliging. Stationsplein EX Hilversum +31 (0)

Whitepaper: Online merkbeveiliging. Stationsplein EX Hilversum +31 (0) Whitepaper: Online merkbeveiliging Stationsplein 12-1 1211 EX Hilversum +31 (0) 35 531 1115 Bescherm je merk- en klantgegevens online Merkbescherming online doe je door jouw merk, productnamen en daarnaast

Nadere informatie

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen: RI&E Privacy Introductie Vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving (GDPR) gehandhaafd. Dit heeft belangrijke gevolgen voor het bedrijfsleven. Er is onder andere een meldplicht voor datalekken

Nadere informatie

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides - UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides - Mr. N.D.L (Nine) Bennink (2017) Is de meldplicht datalekken op mij van toepassing? Ja, bij iedere verwerking van persoonsgegevens o verwerking

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d. Data voorbeelden Wat precies? Focus AVG voor de retail Klantgegevens Personeelsgegevens NAW gegevens (ook social media), e.d. Koophistorie, creditcard gegevens, betaaldata, klachtregistratie, e.d. IP/MAC

Nadere informatie

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN Helaas, 100% beveiliging bestaat niet. Kwetsbaarheden veranderen dagelijks en hackers zitten niet stil. Een datalek

Nadere informatie

Datalekken in de mkb praktijk

Datalekken in de mkb praktijk Datalekken in de mkb praktijk Oktober 2016 2016 Koninklijke NBA Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt in enige vorm of

Nadere informatie

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? Meldplicht datalekken Whitepaper Datalekken Augustus 2016 1 Begin 2016 is de Meldplicht Datalekken ingegaan. Het doel van de meldplicht

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Robert de Heer. IT Service Group. Cybercrime. Grote markt

Robert de Heer. IT Service Group. Cybercrime. Grote markt uw thema vandaag DE WET OP DATALEKKEN Robert de Heer IT Service Group Wakker worden! Security noodzaak voor u en uw bedrijf het geluid van ondernemers uw gastheer Pieter van Egmond Weet U Internet is de

Nadere informatie

Data Protection Officer

Data Protection Officer Data Protection Officer Met ingang van 25 mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Een van de wijzigingen is het verplicht aanstellen van een Data Protection Officer.

Nadere informatie

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016 De meldplicht datalekken Aleid Wolfsen, Utrecht, 11 oktober 2016 Datalekken in het nieuws UWV lekt data 11.000 werkzoekenden door blunder met bijlage Geheime asieldossiers bij afval Persoonsgegevens Utrechters

Nadere informatie

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Inhoudsopgave 1. Wet Bescherming Persoonsgegevens 2. Wat is een datalek? 3. Wanneer moet

Nadere informatie

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? 1 Onderwerpen Wat zegt de huidige wet en de komende Europese Privacy

Nadere informatie

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Kinderen van een jaar weten tegenwoordig al de weg op een tablet. De computer en het internet zijn niet

Nadere informatie

WHITEPAPER GDPR 2018: Bent u voorbereid op de nieuwe Europese privacywetgeving?

WHITEPAPER GDPR 2018: Bent u voorbereid op de nieuwe Europese privacywetgeving? WHITEPAPER GDPR 2018: Bent u voorbereid op de nieuwe Europese privacywetgeving? 2 GDPR 2018: Bent u voorbereid op de nieuwe Europese privacywetgeving? De nieuwe Europese privacywet vereist grondige voorbereiding

Nadere informatie

Datalek dichten en voorkomen. 21 april 2017

Datalek dichten en voorkomen. 21 april 2017 Datalek dichten en voorkomen 21 april 2017 Wat zijn datalekken? Wettelijke definitie Wet Bescherming Persoonsgegevens: een inbreuk op de beveiliging, als bedoeld in artikel 13 Wbp moet worden gemeld.

Nadere informatie

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox A Algemeen 1. Gegevens aanvrager Naam: Adres: Dochter- Bedrijven 50% aandel of meer: Heeft u een vestiging in de VS/ Canada Graag een opgave van uw activiteiten: Graag een opgave van uw website(s) : 2.

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening? Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening? Inhoud 1. Introductie 2. Informatieveiligheid en privacy van alle kanten bedreigd 3. Het belang van privacy

Nadere informatie

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken Op 1 januari 2016 treedt de Wet Meldplicht Datalekken in werking. Het CBP heeft op 21 september

Nadere informatie

1. Bent u bekend met de uitzending van Nieuwsuur d.d over meer meldingen van datalekken door gemeenten?

1. Bent u bekend met de uitzending van Nieuwsuur d.d over meer meldingen van datalekken door gemeenten? Datum 27 juni 2017 Onderwerp Antwoord van het college op de vragen van het raadslid de heer Elissen, luidend Meer meldingen van datalekken door gemeenten BEANTWOORDING SCHRIFTELIJKE VRAGEN RIS296998 Het

Nadere informatie

Information Security Management System ISMS ISO / NEN 7510

Information Security Management System ISMS ISO / NEN 7510 Information Security Management System ISMS ISO 27001 / NEN 7510 Uw (digitale) Informatie beveiligen 2 Uw (digitale) Informatie beveiligen Belang van uw patiënten Bescherming van uw onderneming Wettelijke

Nadere informatie

CLOUDCOMPUTING (G)EEN W LKJE AAN DE LUCHT!

CLOUDCOMPUTING (G)EEN W LKJE AAN DE LUCHT! CLOUDCOMPUTING (G)EEN W LKJE AAN DE LUCHT! Vertrouwelijk: Informatieuitdezepresentatiemag nietgedeeldof gedistribueerd worden zonder toestemming van Unica Schutte ICT EVEN VOORSTELLEN Ed Staal Commercieel

Nadere informatie

Beveilig klanten, transformeer jezelf

Beveilig klanten, transformeer jezelf Beveilig klanten, transformeer jezelf Managed Services Providers Hacks, ransomware en datalekken zijn dagelijks in het nieuws. Bedrijven moeten in 2018 voldoen aan de Algemene Verordening Gegevensbescherming

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Deze bewerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die RSH ICT Managment, ingeschreven bij de Kamer van Koophandel onder nummer 59206543,

Nadere informatie

Privacy in de eerstelijnspraktijk Checklist & tips

Privacy in de eerstelijnspraktijk Checklist & tips www.zorgvoorprivacy.nl info@zorgvoorprivacy.nl Privacy in de eerstelijnspraktijk Checklist & tips Zorg om privacy Het werk als zorgaanbieder verandert snel. Door automatisering en digitalisering kunnen

Nadere informatie

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016 De Autoriteit Persoonsgegevens en de Meldplicht datalekken Alex Commandeur 18 mei 2016 Inhoud Autoriteit Persoonsgegevens Meldplicht datalekken: Wat is een datalek? Wanneer melden? Stand van zaken Autoriteit

Nadere informatie

Informatiebeveiliging gemeenten

Informatiebeveiliging gemeenten Informatiebeveiliging gemeenten Terreinverkenning in 4 stappen FAMO Congres: Bedrijfsvoering in het sociaal domein! Vlaardingen, 7 september 2016 Pieter Schraverus Sr. Manager Cyber Security Helmer Berkhoff

Nadere informatie

Voorkomen en melden van datalekken

Voorkomen en melden van datalekken Voorkomen en melden van datalekken Wat is een datalek? Een datalek is een ruim begrip. Er wordt gesproken over een datalek als iemand toegang heeft of kan krijgen tot persoonsgegevens terwijl dat niet

Nadere informatie

Wet Meldplicht Datalekken. Jeroen Terstegge

Wet Meldplicht Datalekken. Jeroen Terstegge Wet Meldplicht Datalekken Jeroen Terstegge Introduction Jeroen Terstegge, CIPP E/US Partner, Privacy Management Partners Voorzitter Privacy Commissie, VNO-NCW / MKB Nederland Bestuurslid, Vereniging Privacy

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

Informatie is overal: Heeft u er grip op?

Informatie is overal: Heeft u er grip op? Informatie is overal: Heeft u er grip op? Zowel implementatie als certificering Omdat onze auditors geregistreerd zijn bij de Nederlandse Orde van Register EDP-auditors (NOREA), kan Koenen en Co zowel

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

Meldplicht Datalekken en het MKB

Meldplicht Datalekken en het MKB Meldplicht Datalekken en het MKB Wat houdt de meldplicht in, hoe kun je eraan voldoen en welke technische oplossingen kun je inzetten. versie Q4 2016-2 Deze whitepaper wordt u aangeboden door SecureMe2.

Nadere informatie

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances? De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances? Hans van Impelen Privacyfunctionaris/ Functionaris voor de Gegevensbescherming (FG) De start in Utrecht

Nadere informatie

sociaal domein privacy impact assessment

sociaal domein privacy impact assessment compliance @ sociaal domein privacy impact assessment Matias Kruyen De urgentie Toezichtsarrangement AP significant uitgebreid Bestuursrechtelijke sancties van materieel belang Accountant materialiseert

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts) Dinsdag 13 december 2016, 16.00 18.00 uur Rowena van den Boogert (Eldermans Geerts) Nu: Richtlijn 95/46/EG Straks: Verordening 2016/679 Implementatiewet AVG en Veegwet AVG (beleidsneutrale implementatie)

Nadere informatie

Melden van datalekken

Melden van datalekken Melden van datalekken Deze procedure voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wet bescherming persoonsgegevens (Wbp). Definities 1. Het kan gebeuren dat

Nadere informatie

SpotOnMedics B.V. Informatieveiligheid en uw praktijk. U bent zelf verantwoordelijk

SpotOnMedics B.V. Informatieveiligheid en uw praktijk. U bent zelf verantwoordelijk SpotOnMedics B.V. Informatieveiligheid en uw praktijk U bent zelf verantwoordelijk Welkom Wilco Hamoen CTO SpotOnMedics Niels Rientjes Klant Succes Manager Onderwerpen van het webinar 1. Wat is informatieveiligheid

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Model Bewerkersovereenkomst Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Testmedia verwerkt Persoonsgegevens voor en in opdracht van de Klant. Testmedia

Nadere informatie

Databeheer in de kerk

Databeheer in de kerk 1 Databeheer in de kerk Het principe Per 1 januari 2016 is de Wet Datalekken ( ) van kracht. Organisaties die persoonsgegevens verwerken zijn verplicht om inbreuken op de beveiliging te melden. Het gaat

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl Aanscherping WBP Meldplicht datalekken Mr S.H. Katus, CIPM Partner sergej.katus@pmpartners.nl www.pmpartners.nl PMP in het kort Privacy Management Partners Het eerste DPO-bureau van Nederland Data Protection

Nadere informatie

Deloitte privacy team Privacy dienstverlening. www.prepareforprivacy.nl

Deloitte privacy team Privacy dienstverlening. www.prepareforprivacy.nl Deloitte privacy team Privacy dienstverlening www.prepareforprivacy.nl Voorwoord Privacy staat al enige tijd in de schijnwerpers en zal in de nabije toekomst alleen maar belangrijker worden. Niet alleen

Nadere informatie

Privacy-AO voor een beveiliger Martin Romijn

Privacy-AO voor een beveiliger Martin Romijn Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de gegevensbescherming Security Officer Onderwerpen AO van Security Officer (SO) Kader Incidenten en vragen AO Functionaris Gegevensbescherming

Nadere informatie

Privacy Policy v Stone Internet Services bvba

Privacy Policy v Stone Internet Services bvba Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

De Clercq Advocaten Notariaat

De Clercq Advocaten Notariaat De Clercq Advocaten Notariaat Oplossingen voor uw vraagstukken van morgen Whitepaper - Verwerken van klantgegevens: doe het goed! Franchisegevers en franchisenemers zullen zich ook aan de wettelijke privacyregels

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness

Nadere informatie

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie