Security Hoe krijgt u grip op informatiebeveiliging?

Maat: px
Weergave met pagina beginnen:

Download "Security Hoe krijgt u grip op informatiebeveiliging?"

Transcriptie

1 Security Hoe krijgt u grip op informatiebeveiliging?

2 INHOUDSOPGAVE 1 INLEIDING WAT IS IT SECURITY? IT SECURITY BELEID BLOK HET IT OPERATIE EN AUDIT BLOK HET IT SECURITY OPTIMALISATIE BLOK WERKWIJZE IT SECURITY FUNNEL CYCLISCH MODEL MELDPLICHT DATALEKKEN EN IT SECURITY IMPACT SECURITY SECURITY QUICKSCAN SAMENVATTING Ictivity visie op IT Security 11 januari 2016 Pagina 2 van 12

3 1 Inleiding IT Security is tegenwoordig een belangrijk onderwerp. Beveiliging van informatie was uiteraard altijd al belangrijk. Toen IT werkplekken nog bestonden uit een PC of laptop was beveiliging echter nog overzichtelijk. De introductie van mobiele apparatuur zoals smartphones en tablets heeft dat fundamenteel veranderd. IT beheerders hebben definitief de technische grip op data- en informatiebeveiliging verloren. Dat wil zeggen: ze kunnen geen 100% beveiliging meer garanderen omdat ze niet weten en overzien welke data op welk apparaat op welke locatie staat. Dat impliceert dat gebruikers van de IT middelen een gedeelde verantwoordelijkheid voor IT security hebben en dat IT security beleid en de organisatie rondom IT security belangrijker zijn dan ooit. Gegevens beveiliging is voor minimaal 50% mensenwerk geworden. Tegelijkertijd zijn de eisen rondom gegevens beveiliging hoger dan ooit. Regelgeving vanuit de overheid (compliancy) groeit. Een mooi voorbeeld daarvan is meldplicht datalekken die in 2016 actief wordt. De gebruikersorganisatie krijgt steeds meer vrijheid op IT gebied en op hetzelfde moment dienen beheerders dus te voldoen aan steeds strengere beveiligingseisen. Een flinke uitdaging! Dit document bevat de visie van Ictivity op het gebied van gegevensbeveiliging en een antwoord op die uitdaging. Allereerst gaat het in op wat IT security nu precies inhoudt. Daarna is beschreven welke werkwijze Ictivity voorstaat om te zorgen voor technische en niet-technische maatregelen die zijn gebaseerd op organisatorische aspecten (beleid). Als laatste is aangegeven hoe de werkwijze past binnen de uitdagingen van de meldplicht datalekken en sluit het document af met een samenvatting. Ictivity visie op IT Security 11 januari 2016 Pagina 3 van 12

4 2 Wat is IT security? IT security is een breed begrip. Dat wil zeggen dat binnen de term heel veel aspecten en aandachtspunten opgesloten zijn. Met een technische bril op bestaat IT security uit maatregelen die voorkomen dat computers besmet raken met virussen en malware en dat hackers of onbevoegden toegang krijgen tot gegevens die niet voor hen bestemd zijn. IT security behelst echter veel meer dan dat. Naast technische aspecten zijn er ook organisatorische security aspecten. Daarbij gaat het vooral om beleidszaken en de manier waarop security maatregelen zijn belegd in een organisatie. Ictivity heeft een model ontwikkeld waarin alle aspecten, die te maken hebben met IT Security, zijn opgenomen. Het model is, van links naar rechts, opgebouwd uit drie blokken die ieder een gedeelte van de IT security maatregelen vertegenwoordigen. De blokken zijn in de volgende paragrafen verder uitgewerkt. Management en response audit Proces optimalisatie Risk assessment Externe security audit (netwerk) Externe security optimalisatie NEN/ISO Normeringen Strategisch/ tactisch beleid Vertaling van beleid naar operatie Interne security audit (netwerk) Interne security audit (Server en workspace) Interne security optimalisatie Server en workspace security optimalisatie Organisatie security awareness audit Training / Workshop(s) Cloud Security audit Technische projecten Cloud security optimalisatie IT Security beleid IT operatie en audits IT Security optimalisatie Ictivity visie op IT Security 11 januari 2016 Pagina 4 van 12

5 2.1 IT security beleid blok Het IT security beleid blok betreft beleidszaken die de basis leggen voor IT security in een bedrijf. In dat beleid is in algemene functionele termen gespecificeerd hoe een bedrijf of instelling met IT security omgaat. De input voor dit strategische beleid zijn van toepassing zijnde ISO/NEN normeringen en vigerende wet- en regelgeving. Voorbeelden hiervan zijn de normeringen voor overheid- en zorginstellingen (Overheid: BIR:2012 en ISO 27001/27002, Zorg: NEN 7510 en -7513). Voor andere bedrijven en instellingen kunnen andere normeringen van belang zijn (denk aan assurantiekantoren of handelsfirma s). Een periodiek uitgevoerde risk assessment is een logisch vervolg op het vastgestelde security beleid. Dit is een assessment waarin duidelijk wordt welke bedrijfsprocessen, bedrijfsinformatie, ICT componenten ed. van een bedrijf of instelling het belangrijkst zijn en waar dus de grootste risico s zitten (bv. Een core applicatie en/of een belangrijke database met bedrijfs- of klantgegevens). Uit de risk assessment resulteert een risicobehandelplan dat bestaat uit een geprioriteerde lijst met IT security controls. IT security controls zijn maatregelen die een bedrijf of instelling neemt om IT security risico s te minimaliseren. De maatregelen op de lijst zijn in algemene termen beschreven en bevatten geen details over firewalls, viruscanners et cetera. 2.2 Het IT operatie en audit blok In het IT operatie en audit blok bevinden zich audits (assessments) om te bekijken in welke mate de bestaande praktische (operationele) technische- en niet-technische security maatregelen voldoen om de controls in het beleid te implementeren. We onderscheiden daarbij de volgende scans en assessments: Scan / assessment Management en response audit Externe security audit (netwerk) Interne security audit (netwerk) Interne security audit (Server en workspace) Organisatie security awareness audit Cloud security scan Toelichting Dit betreft het management van de IT security maatregelen (organisatorisch) en de procedures die er zijn om snel te reageren op een besmetting of een aanval. Dit is een zogenaamde technische penetratie test waarbij van buiten het netwerk wordt gekeken waar zich kwetsbaarheden bevinden op connectivity gebied. Dit is een technische test waarbij van binnen in het netwerk wordt gekeken waar zich kwetsbaarheden bevinden op connectivity gebied. Dit betreft een test op de interne beveiliging van de serveren werkstationomgeving. Deze scan betreft het menselijke aspect van IT beveiliging en gaat over het gedrag van de medewerkers in een organisatie. De cloud security scan betreft een scan van alle onderdelen van een ICT omgeving die werken in de cloud. Ictivity visie op IT Security 11 januari 2016 Pagina 5 van 12

6 2.3 Het IT security optimalisatie blok Het IT Security optimalisatie blok, als laatste, bevat een aantal technische- en niet technische projecten (implementaties) om eventuele tekortkomingen die uit de security audits komen te corrigeren of leemtes in beveiliging aan te vullen. Scan / assessment Proces optimalisatie Externe security optimalisatie Interne security optimalisatie Server- en workspace security optimalisatie Training en workshops Cloud security optimalisatie Toelichting Het aanpassen van (ITIL) beheerprocessen om er voor te zorgen dat IT security organisatorisch goed belegd is. Dit betekent het aanwijzen van verantwoordelijken (bv. Security officer), het implementeren van procedures en het organiseren van een response team voor aanvallen en/of besmettingen. Het installeren en configureren van technische voorzieningen om de kwetsbaarheid van buiten het netwerk te vergroten (firewalls, security appliances etc.). Het installeren en configureren van technische voorzieningen en het (her)configureren van interne netwerkcomponenten om de kwetsbaarheid van de interne IT te verkleinen. Het aanpassen van toegangsrechten en policies op de serveromgeving en de werkplekomgeving om de kwetsbaarheid van de interne IT te verkleinen. Het organiseren van interne trainingen en workshops om te zorgen voor awareness en gedragsverandering bij interne IT gebruikers op het gebied van IT security. Het optimaliseren van de security van cloud producten. 2.4 Werkwijze IT security als geheel vormt als een ware een keten met schakels. De gehele keten is daarbij zo zwak als de zwakste schakel. Het is daarom van belang om de security van een ICT omgeving te bekijken op basis van álle aspecten of schakels. Als er één schakel wordt overgeslagen dan wordt de gehele keten zwak. IT beheer kan bijvoorbeeld alle technische voorzieningen perfect in orde maken, maar als een gebruiker besluit om zijn wachtwoord op het toetsenbord te schrijven, of data te bewaren op een onveilig apparaat dan gaat de beveiliging van die data op de helling. En er is niets wat IT daar op dat moment aan kan doen. De manier waarop gebruikers met IT middelen omgaan is dus bijvoorbeeld ook een bepalende schakel voor de IT security keten die we niet mogen overslaan. We mogen immers ook niet rondrijden in een auto zonder rijbewijs! In het security model op pagina 4 is met pijlen een werkwijze of werkrichting aangegeven. Deze pijlen duiden de volgorde aan waarin de verschillende blokken uit het model aanbod komen. Het model werkt altijd van globaal naar specifiek. Het volgende hoofdstuk gaat hier verder op in. Ictivity visie op IT Security 11 januari 2016 Pagina 6 van 12

7 3 IT Security Funnel In de praktijk wordt nogal eens de vergissing gemaakt om IT security maatregelen te implementeren met een technische insteek. Daarbij is er weinig of geen aandacht voor het definiëren van IT security beleid of organisatorische aspecten. Men heeft dan met name aandacht voor de technische aspecten in het IT security optimalisatie blok. Soms volgen ook een aantal audits, maar dan gaat het vaak met name om de technische audits op netwerk, server en werkstation gebied. Dat levert de volgende problemen op: Technische maatregelen zijn niet gebaseerd op vigerend beleid en hebben weinig of geen raakvlak met de organisatie. Er is dan ook geen aandacht voor de risico s (specifieke kwetsbaarheden van een organisatie). Het resultaat is dat de verkeerde onderdelen van een IT omgeving worden beveiligd en/of dat er kwetsbaarheden overblijven. Het organisatorische gedeelte van IT security wordt niet meegenomen. De technische maatregelen zijn wel geïmplementeerd, maar het onderhoud van die maatregelen niet. Daarnaast kan het zo zijn dat er geen procedures zijn als een besmetting of aanval plaatsvindt. Dat maakt de security maatregelen veel minder effectief dan zou kunnen. Doordat er geen goed onderhoud is groeit het aantal security lekken bovendien in de tijd. Er is geen aandacht voor het gedrag van medewerkers. Het is door onderzoek bekend dat minstens de helft van security gerelateerde problemen ontstaan door de manier waarop gebruikers met IT omgaan. Door alleen op techniek te focussen mist men dus een belangrijk aspect van IT security. Er blijven zo nog (grote) security risico s over. Om de hier beschreven problemen met IT security te voorkomen is het van belang is om van globaal naar specifiek te werken bij het implementeren van maatregelen. Zo ontstaan IT security maatregelen die zijn ingebed in organisatie beleid en worden álle IT security aspecten meegenomen. Het volgende trechtermodel voor IT security illustreert dit. Input Risk assessment / normeringen IT security beleid Maatregelen (technische) implementatie(s) Ictivity visie op IT Security 11 januari 2016 Pagina 7 van 12

8 De security funnel laat zien dat we van breed (globaal) naar smal (gedetailleerd) gaan. Dat gebeurt in de volgende volgorde: 1. Risico assessment en normeringen Eerst voeren we een risico assessment uit en kijken naar geldende normeringen (globaal). 2. Beleid definiëren Met behulp van het risico assessment en de geldende normeringen bepalen we IT security beleid. 3. Meten Op basis van het beleid meten we in de bestaande omgeving of de genomen maatregelen (technisch en organisatorisch) het beschreven beleid ondersteunen. 4. Maatregelen Als maatregelen ontbreken of niet passen in het beleid dan dienen we aanpassingen door te voeren. Deze aanpassingen implementeren we als laatste (details). Deze IT Security Funnel zorgt er voor dat we maatregelen nemen die passen bij de specifieke situatie van een bedrijf of instelling. Daarnaast zorgt het model er voor dat we geen aspecten omtrent IT security missen. We voorkomen verder dat er techniek om de techniek wordt geïnstalleerd die uiteindelijk niet goed bij een omgeving past. 3.1 Cyclisch model Het beschreven model is niet statisch maar cyclisch. Immers kunnen de uitgangspunten in een bedrijf of organisatie veranderen. Bijvoorbeeld door een fusie, een overname of het ontwikkelen van nieuwe dienstverlening. Het model dient dus met enige regelmaat (bv. Half-jaarlijks of jaarlijks) opnieuw te worden doorlopen om te zien of uitgangspunten zijn veranderd en of de beveiligingsmaatregelen nog wel aansluiten op hetgeen een bedrijf of organisatie vraagt. Ictivity visie op IT Security 11 januari 2016 Pagina 8 van 12

9 4 Meldplicht datalekken en IT security Binnen een paar jaar wordt de zogenaamde Europese privacy verordening van kracht. Dit is een verordening die direct, in alle lidstaten van de EU, geldig en actief wordt. Vooruitlopend op de verordening is door de eerste en tweede kamer een wetsvoorstel aangenomen die een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toevoegt aan de (bestaande) Wbp. Waarschijnlijk op 1 januari 2016 gaat deze zogenaamde meldplicht datalekken in. Op basis van de meldplicht datalekken moet de verantwoordelijke bij een datalek niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook bij de betrokkene (de persoon of personen waarvan gegevens zijn gelekt). Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. 4.1 Impact De nieuwe meldplicht datalekken kan een flinke impact hebben op de manier waarop bedrijven en instellingen omgaan met IT security. Dat komt mede doordat op het niet naleven van de meldplicht aanzienlijke boetes staan (maximaal ,- of 10 procent van de (wereldwijde) jaaromzet van de rechtspersoon)! In de nieuwe wet geldt een meldingsplicht voor 'inbreuk op de beveiliging die leidt tot een aanzienlijke kans op ernstige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens'. Dat is voor interpretatie vatbaar. Het is daardoor onduidelijk hoe we de nieuwe wet moeten interpreteren, terwijl deze wél actief wordt. De meldplicht datalekken geldt bijvoorbeeld ook voor een kwijtgeraakte USB stick of de verzending van waarin alle geadresseerden zichtbaar zijn. In een gemiddelde organisatie kunnen zomaar een paar honderd memorysticks in gebruik zijn. Hoe hou je gedetailleerd bij waar die allemaal blijven? En hoe controleer je of er misschien iemand per ongeluk een cc in een heeft gebruikt in plaats van een bcc? Dit is een flinke uitdaging en is praktisch erg lastig uitvoerbaar. Als laatste veranderen de verantwoordelijkheden van ICT partijen onder de nieuwe wet. Ook de zogenaamde bewerker, oftwel de partij die data voor de eigenaar (de verantwoordelijke) bewerkt of verwerkt, heeft verantwoordelijkheden. Denk hierbij ook aan SaaS providers die de data van klanten op hun systemen hebben. Wie van de partijen gaat de meldingen coördineren? En wie is dan waar verantwoordelijk voor? Er dient tussen de opdrachtgever en de bewerker een bewerkersovereenkomst te zijn waarin dit soort zaken zijn vastgelegd. 4.2 Security De nieuwe meldplicht datalekken vraagt dus om meer administratie en vooral om een veel betere controle op het gebruik van ICT middelen in een bedrijf of organisatie. Het Cbp kan naar aanleiding van een melding een audit doen of er passende technische en organisatorische beveiligingsmaatregelen zijn genomen. Wat precies passend is wordt door het Cbp bepaald. Het is daardoor lastig om hierop goed voorbereid te zijn. Ictivity visie op IT Security 11 januari 2016 Pagina 9 van 12

10 Het zal duidelijk zijn dat er een link is tussen de meldplicht en IT security. De maatregelen die we nemen voor de meldplicht hebben immers alles te maken met de technische en organisatorische maatregelen die we in het kader van IT security nemen. Voor de meldplicht datalekken zijn met name de volgende IT security aspecten van belang: Is er IT security beleid gedefinieerd? o Een IT security beleid dient gebaseerd te zijn op de specifieke kwetsbaarheden van een omgeving en geldende normeringen voor de branche. Algemeen gedefinieerd beleid biedt te weinig raakvlakken met de praktijk. Is het beleid vertaald naar de juiste maatregelen? o Zijn technische en organisatorische maatregelen gebaseerd op het beleid? Dit zorgt dat maatregelen worden genomen die specifieke kwetsbaarheden adresseren en voorkomt de implementatie van techniek om de techniek. Is, naast technische maatregelen, voldoende aandacht besteed aan organisatorische maatregelen? o Technische maatregelen zijn heel belangrijk, maar lossen tegelijkertijd maar 50% van de problematiek op. Technische maatregelen behoeven een geoliede organisatie die zorgt voor adequaat beheer. Als dat achterwege blijft verliezen de technische maatregelen geleidelijk hun effectiviteit. Is voldoende aandacht besteed aan de menskant van IT Security? o Minimaal 50% van IT Security bestaat uit menselijke en organisatorische aspecten. Menselijke fouten zorgen veelal voor de grootste rampen op security gebied, daarvan zijn voldoende voorbeelden. Security bewustwording en digivaardigheid zijn enorm belangrijk. Ictivity is ervan overtuigd dat het alleen mogelijk is om te voldoen aan de nieuwe meldplicht datalekken en de eisen op het gebied van beveiliging van persoonsgegevens als de gehele breedte van IT security in de aandacht is. Een keten is immers zo sterk als de zwakste schakel! Vergeet één schakel en de gehele keten is zwak, met alle gevolgen van dien! De werkwijze met betrekking tot IT security, die in dit document is beschreven, is dus uitstekend geschikt om ook de uitdagingen van de meldplicht datalekken onder controle te krijgen. Ictivity visie op IT Security 11 januari 2016 Pagina 10 van 12

11 5 Security quickscan Doordat IT security zo n groot aantal verschillende aspecten kent, vinden bedrijven en organisaties het vaak lastig om IT security als geheel te overzien. Wat hoort er allemaal bij? Slaan we niets over? Hoe compleet is onze aanpak? Om dit snel inzichtelijk te maken heeft Ictivity de IT security quickscan ontwikkeld, met als doel om de volgende vragen te beantwoorden: In hoeverre is aandacht besteed aan álle aspecten van IT Security? Waar zijn quick wins te behalen op IT Security gebied (functioneel, technisch en organisatorisch)? Wat zijn de volgende stappen voor het verder optimaliseren van IT Security? Wat is nodig om te kunnen voldoen aan de meldplicht datelekken? De Quickscan bestaat uit een viertal vragenlijsten die betrekking hebben op alle aspecten van IT Security en die een bedrijf of organisatie zelf zo volledig mogelijk invult. Op basis daarvan vindt een workshop plaats. De workshop en de vragenlijst vormen dan weer de basis voor een pragmatisch advies. De security quickscan heeft een aantal voordelen: De quickscan is zeer laagdrempelig. De quickscan kost maximaal anderhalve dag tijd, inclusief de workshop. Er is direct inzicht in de huidige stand van IT security in een bedrijf of instelling. Er is direct Inzicht in wat te doen met betrekking tot de meldplicht datalekken. Een overzicht van quick wins zorgt dat er snel winst te boeken is op security gebied. De IT Security Quickscan levert dus snel veel informatie op tegen een beperkte inspanning. Het is een zeer goed ijkpunt om te kunnen bepalen op welke security gebieden extra aandacht nodig is om alle schakels in de security keten te adresseren. Ictivity visie op IT Security 11 januari 2016 Pagina 11 van 12

12 6 Samenvatting Ictivity is van mening dat de enige goede aanpak voor IT security een integrale aanpak is. Dat wil zeggen dat álle aspecten van IT security, zowel de technische als niet-technische, meegenomen dienen te worden. De niet-technische maatregelen (organisatie, medewerkers, beleid) zijn daarbij minstens zo belangrijk, zo niet belangrijker, dan de technische maatregelen. Alleen als alle individuele schakels van de security keten sterk zijn, zal ook de gehele keten sterk zijn. Eén zwakke schakel is voldoende om bedrijfsgegevens kwetsbaar te maken voor technische problemen, hackers of gebruikersfouten. Daarnaast staat Ictivity een werkwijze voor die van globaal naar specifiek gaat bij het implementeren van maatregelen en die bovendien cyclisch is (periodiek herhaald wordt). Zo ontstaan IT security maatregelen die zijn ingebed in een organisatie (beleid) en worden álle IT security belangrijke aspecten meegenomen. Het voorkomt bijvoorbeeld dat we techniek om techniek implementeren zonder dat die techniek goed is ingebed in organisatorische eisen. Dat is iets dat te vaak gebeurt. De in dit document beschreven werkwijze past bovendien goed bij de uitdagingen van de nieuwe meldplicht datalekken die in 2016 actief wordt in Nederland. De meldplicht datalekken en IT security aspecten zijn onlosmakelijk verbonden. Een goed startpunt bij het aanpakken van IT security is de IT quickscan die Ictivity aanbiedt. Met behulp van de quickscan is er snel inzicht in welke security gebieden extra aandacht nodig hebben om de totale security keten sterk te maken. Ictivity is van mening dat omgaan met IT security zoals beschreven in deze whitepaper de beste garantie geeft voor een zo goed mogelijke gegevensbeveiliging. Ictivity visie op IT Security 11 januari 2016 Pagina 12 van 12

IT Security Een keten is zo sterk als de zwakste schakel.

IT Security Een keten is zo sterk als de zwakste schakel. IT Security Een keten is zo sterk als de zwakste schakel. René Voortwist ICT Adviseur Leg het mij uit en ik vergeet het. Laat het me zien en ik onthoud het misschien, maar betrek mij erbij en ik begrijp

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016 Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE FINANCIELE SECTOR

INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE FINANCIELE SECTOR INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE FINANCIELE SECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken.

Nadere informatie

Wet meldplicht datalekken

Wet meldplicht datalekken Wet meldplicht datalekken MKB Rotterdam Olaf van Haperen + 31 6 17 45 62 99 oh@kneppelhout.nl Introductie IE-IT specialisme Grootste afdeling van Rotterdam e.o. Technische ontwikkelingen = juridische ontwikkelingen

Nadere informatie

WET MELDPLICHT DATALEKKEN FACTSHEET

WET MELDPLICHT DATALEKKEN FACTSHEET WET MELDPLICHT DATALEKKEN FACTSHEET Wettekst De Wet Meldplicht Datalekken introduceert onder andere een meldplicht. Dit wordt geregeld in een nieuw artikel, artikel 34a Wbp dat uit 11 leden (onderdelen)

Nadere informatie

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Uw tandartspraktijk. Een goudmijn voor internetcriminelen Uw tandartspraktijk Een goudmijn voor internetcriminelen Wat gaan we doen? De digitale data-explosie Nieuwe privacywetgeving (a giant leap for mankind) Wat wilt u onze hacker vragen? Help! Uw praktijk

Nadere informatie

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u?

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Inleiding De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy

Nadere informatie

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Veilig mobiel werken. Workshop VIAG 7 oktober 2013 1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz Informatiebeveiliging: de juridische aspecten Anton Ekker juridisch adviseur Nictiz 20 september 2012 Onderwerpen beveiligingsplicht Wbp aandachtspunten implementatie IAM en BYOD wat te doen bij een datalek?

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

NEEM DE REGIE OVER INFORMATIEBEVEILIGING. ICT Waarborg Gecertificeerd

NEEM DE REGIE OVER INFORMATIEBEVEILIGING. ICT Waarborg Gecertificeerd NEEM DE REGIE OVER INFORMATIEBEVEILIGING ICT Waarborg Gecertificeerd AGENDA 10 MEI 2016 Introductie informatiebeveiliging Juridische Vereisten Informatiebeveiliging: Autoriteit persoonsgegevens = College

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken 04-11-2013 Bieneke Braat Alle rechten voorbehouden, niet openbaar maken zonder toestemming. 1 Legaltree: Advocatenkantoor

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016 Iets te melden? PON-seminar- Actualiteiten Privacy Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016 2 3 Waarom moet er gemeld worden? Transparantie en schadebeperking Bewustzijn Verhogen

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene

Nadere informatie

In vier stappen voldoen aan de meldplicht datalekken

In vier stappen voldoen aan de meldplicht datalekken In vier stappen voldoen aan de meldplicht datalekken dfg WHITEPAPER Datum ID Nummer 20 september 2012 12015 Auteur(s) mr. dr. A.H. (Anton) Ekker Samenvatting De Nederlandse overheid en de Europese Commissie

Nadere informatie

Impact van de meldplicht datalekken

Impact van de meldplicht datalekken Impact van de meldplicht datalekken Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens

Nadere informatie

Whitepaper: Online merkbeveiliging. Stationsplein EX Hilversum +31 (0)

Whitepaper: Online merkbeveiliging. Stationsplein EX Hilversum +31 (0) Whitepaper: Online merkbeveiliging Stationsplein 12-1 1211 EX Hilversum +31 (0) 35 531 1115 Bescherm je merk- en klantgegevens online Merkbescherming online doe je door jouw merk, productnamen en daarnaast

Nadere informatie

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN Helaas, 100% beveiliging bestaat niet. Kwetsbaarheden veranderen dagelijks en hackers zitten niet stil. Een datalek

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Meldplicht datalekken Thomas van Essen. 31 maart 2016 Meldplicht datalekken Thomas van Essen 31 maart 2016 Agenda Kort juridisch kader Bespreking aandachtspunten en mogelijke valkuilen Oplossingen Datalekken (I) Antoni van Leeuwenhoek 780 patiëntgegevens

Nadere informatie

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? Meldplicht datalekken Whitepaper Datalekken Augustus 2016 1 Begin 2016 is de Meldplicht Datalekken ingegaan. Het doel van de meldplicht

Nadere informatie

Datalekken in de mkb praktijk

Datalekken in de mkb praktijk Datalekken in de mkb praktijk Oktober 2016 2016 Koninklijke NBA Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt in enige vorm of

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Privacy in de eerstelijnspraktijk Checklist & tips

Privacy in de eerstelijnspraktijk Checklist & tips www.zorgvoorprivacy.nl info@zorgvoorprivacy.nl Privacy in de eerstelijnspraktijk Checklist & tips Zorg om privacy Het werk als zorgaanbieder verandert snel. Door automatisering en digitalisering kunnen

Nadere informatie

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Inhoudsopgave 1. Wet Bescherming Persoonsgegevens 2. Wat is een datalek? 3. Wanneer moet

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? 1 Onderwerpen Wat zegt de huidige wet en de komende Europese Privacy

Nadere informatie

Robert de Heer. IT Service Group. Cybercrime. Grote markt

Robert de Heer. IT Service Group. Cybercrime. Grote markt uw thema vandaag DE WET OP DATALEKKEN Robert de Heer IT Service Group Wakker worden! Security noodzaak voor u en uw bedrijf het geluid van ondernemers uw gastheer Pieter van Egmond Weet U Internet is de

Nadere informatie

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016 De meldplicht datalekken Aleid Wolfsen, Utrecht, 11 oktober 2016 Datalekken in het nieuws UWV lekt data 11.000 werkzoekenden door blunder met bijlage Geheime asieldossiers bij afval Persoonsgegevens Utrechters

Nadere informatie

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Kinderen van een jaar weten tegenwoordig al de weg op een tablet. De computer en het internet zijn niet

Nadere informatie

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox A Algemeen 1. Gegevens aanvrager Naam: Adres: Dochter- Bedrijven 50% aandel of meer: Heeft u een vestiging in de VS/ Canada Graag een opgave van uw activiteiten: Graag een opgave van uw website(s) : 2.

Nadere informatie

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken Op 1 januari 2016 treedt de Wet Meldplicht Datalekken in werking. Het CBP heeft op 21 september

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Information Security Management System ISMS ISO / NEN 7510

Information Security Management System ISMS ISO / NEN 7510 Information Security Management System ISMS ISO 27001 / NEN 7510 Uw (digitale) Informatie beveiligen 2 Uw (digitale) Informatie beveiligen Belang van uw patiënten Bescherming van uw onderneming Wettelijke

Nadere informatie

Wet Meldplicht Datalekken. Jeroen Terstegge

Wet Meldplicht Datalekken. Jeroen Terstegge Wet Meldplicht Datalekken Jeroen Terstegge Introduction Jeroen Terstegge, CIPP E/US Partner, Privacy Management Partners Voorzitter Privacy Commissie, VNO-NCW / MKB Nederland Bestuurslid, Vereniging Privacy

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

Informatie is overal: Heeft u er grip op?

Informatie is overal: Heeft u er grip op? Informatie is overal: Heeft u er grip op? Zowel implementatie als certificering Omdat onze auditors geregistreerd zijn bij de Nederlandse Orde van Register EDP-auditors (NOREA), kan Koenen en Co zowel

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

sociaal domein privacy impact assessment

sociaal domein privacy impact assessment compliance @ sociaal domein privacy impact assessment Matias Kruyen De urgentie Toezichtsarrangement AP significant uitgebreid Bestuursrechtelijke sancties van materieel belang Accountant materialiseert

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Melden van datalekken

Melden van datalekken Melden van datalekken Deze procedure voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wet bescherming persoonsgegevens (Wbp). Definities 1. Het kan gebeuren dat

Nadere informatie

Actualiteiten Privacy. NGB Extra

Actualiteiten Privacy. NGB Extra Actualiteiten Privacy NGB Extra April 2015 Wat heeft het wetsvoorstel meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP voor implicaties voor de praktijk? Wat is er recent veranderd

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl Aanscherping WBP Meldplicht datalekken Mr S.H. Katus, CIPM Partner sergej.katus@pmpartners.nl www.pmpartners.nl PMP in het kort Privacy Management Partners Het eerste DPO-bureau van Nederland Data Protection

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Privacy-AO voor een beveiliger Martin Romijn

Privacy-AO voor een beveiliger Martin Romijn Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de gegevensbescherming Security Officer Onderwerpen AO van Security Officer (SO) Kader Incidenten en vragen AO Functionaris Gegevensbescherming

Nadere informatie

Privacy Policy v Stone Internet Services bvba

Privacy Policy v Stone Internet Services bvba Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-

Nadere informatie

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Inkoopvoorwaarden

Nadere informatie

Deloitte privacy team Privacy dienstverlening. www.prepareforprivacy.nl

Deloitte privacy team Privacy dienstverlening. www.prepareforprivacy.nl Deloitte privacy team Privacy dienstverlening www.prepareforprivacy.nl Voorwoord Privacy staat al enige tijd in de schijnwerpers en zal in de nabije toekomst alleen maar belangrijker worden. Niet alleen

Nadere informatie

De impact van nieuwe privacyregels op payrolling

De impact van nieuwe privacyregels op payrolling @zwnne NATIONAAL PAYROLL CONGRES 2015 14 DECEMBER 2015 MEDIA PLAZA UTRECHT De impact van nieuwe privacyregels op payrolling prof. mr. Gerrit-Jan Zwenne de impact van de nieuwe privacywet meer beter erger

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Dit is een voorbeeld van een Bewerkersovereenkomst zoals gegenereerd met de Bewerkersovereenkomst generator van ICTRecht: https://ictrecht.nl/diensten/juridische-generatoren/bewerkersovereenkomstgenerator/

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

Uw praktijk en de Wet Bescherming Persoonsgegevens

Uw praktijk en de Wet Bescherming Persoonsgegevens Uw praktijk en de Wet Bescherming Persoonsgegevens FootFit Software 2016 1 1 INHOUD 2 Inleiding... 3 3 De Wet Bescherming Persoonsgegevens... 4 4 Meldplicht verwerking persoonsgegevens... 4 5 Beveiligingsmaatregelen...

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Meldplicht datalekken

Meldplicht datalekken Meldplicht datalekken Peter Westerveld Directeur en principal security consultant Sincerus consultancy Sincerus Cybermonitor Opgericht in 2004 20 medewerkers Informatiebeveiliging Zwolle en Enschede 15-02-16

Nadere informatie

onderzoek en privacy WAT ZEGT DE WET

onderzoek en privacy WAT ZEGT DE WET onderzoek en privacy WAT ZEGT DE WET masterclass research data management Maastricht 4 april 2014 presentatie van vandaag uitleg begrippenkader - privacy - juridisch huidige en toekomstige wet- en regelgeving

Nadere informatie

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering Informatiebeveiliging gemeenten KPN logische partner bij invoering en uitvoering 2 Informatiebeveiliging is en blijft een hot issue, want de digitalisering neemt nog steeds toe. Ook binnen gemeenten. Sinds

Nadere informatie

IMMA special Privacy. Amersfoort, 20 april 2016

IMMA special Privacy. Amersfoort, 20 april 2016 IMMA special Privacy Amersfoort, 20 april 2016 Iris Koetsenruijter: koetsenruijter@considerati.com, 06-28613217 Rob Mouris: rob.mouris@minienm.nl, 06-27061622 1 Opzet Special 09.30-09.45 Voorstelronde

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

Security Starts With Awareness

Security Starts With Awareness Security Starts With Awareness Think Secure Think Secure is in 2003 opgericht met het doel organisaties te ondersteunen met kennis en diensten die: 1.Het bewustzijn m.b.t. informatie- en ICT beveiliging

Nadere informatie

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging.

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging. Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging. Nick Pieters IT Security audits IT Security consulting & oplossingen IT Security trainer Human... nick@secure-it.be

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

MELDPLICHT DATALEKKEN

MELDPLICHT DATALEKKEN MELDPLICHT DATALEKKEN 2 WETSWIJZIGING Op 26 mei 2015 heeft EK wetsvoorstel voor de Wet meldplicht datalekken aangenomen. Sinds 1 januari 2016 in werking getreden: Nieuw in Wet bescherming persoonsgegevens

Nadere informatie

WET MELDPLICHT DATALEKKEN

WET MELDPLICHT DATALEKKEN WET MELDPLICHT DATALEKKEN Stand van zaken en vooruitblik: De WBP en de komende Europese verordening Ad Schaafsma Security Consultant bij Axians 1 EVEN VOORSTELLEN JURIST & IT ER INFRASTRUCTUREN IT SECURITY

Nadere informatie

Regeling meldplicht datalekken 2016

Regeling meldplicht datalekken 2016 Het dagelijks bestuur van Ferm Werk, Gelet op artikel 34a van de Wet bescherming persoonsgegevens, Besluit vast te stellen de hierna volgende Regeling meldplicht datalekken 2016 Artikel 1 Begripsomschrijvingen

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

Mirabeau Academy LEGAL COMPLIANCE & SECURITY Training

Mirabeau Academy LEGAL COMPLIANCE & SECURITY Training Mirabeau Academy LEGAL COMPLIANCE & SECURITY Training LEGAL COMPLIANCE & SECURITY Wet- en regelgeving bepaalt steeds nadrukkelijker de grenzen waarbinnen digitale dienstverlening zich mag bewegen. De regels

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

RISICO S VAN ALLE INFORMATIE

RISICO S VAN ALLE INFORMATIE iioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo iioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi

Nadere informatie

White paper User Based Computing. 14:45 u

White paper User Based Computing. 14:45 u 14:45 u White paper User Based Computing De wereld van ICT verandert snel. Komt uw bedrijf nog mee in de 21e eeuw? User Based Computing is de oplossing voor een organisatie van nu. Verlagen van complexiteit

Nadere informatie

Security in het MKB: Windows 10

Security in het MKB: Windows 10 Security in het MKB: De security uitdagingen en behoeften in het MKB Security in het MKB: De security uitdagingen en behoeften in het MKB Bedrijven zijn zich inmiddels bewust van de noodzaak om hun bedrijfsgegevens

Nadere informatie

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ````

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ```` Naar aanleiding van de recente onthullingen rondom de NSA, de Patriot act en PRISM is er veel onduidelijkheid voor organisaties of hun gegevens wel veilig en voldoende beschermd zijn. Op 1 januari 2016

Nadere informatie

Dienst Uitvoering Onderwijs (DUO)

Dienst Uitvoering Onderwijs (DUO) Dienst Uitvoering Onderwijs (DUO) Privacytoezicht in de praktijk Aramis Jean Pierre Functionaris gegevensbescherming (FG) DUO/OCW Aramis.jeanpierre@duo.nl Functionaris voor de gegevensbescherming (FG)

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie