Privacy is het nieuwe goud

Transcriptie

1 Privacy is het nieuwe goud Wat wordt er van u verwacht om het te beschermen? LWV 2 februari

2 Zijn cybersecurity of datalekken überhaupt issues voor u? Target Corporation Target Corporation is een Amerikaanse winkelketen. Het bedrijf is in 1902 opgericht als Dayton Dry Goods en uitgegroeid tot de op één na grootste winkelketen van de Verenigde Staten, na Wal-Mart. 2

3 Zijn cybersecurity of datalekken überhaupt issues voor u? Fazio Mechanical, a small heating and air conditioning firm in Pennsylvania that worked with Target and had suffered its own breach via malware delivered in an . In that intrusion, the thieves managed to steal the virtual private network credentials that Fazio s technicians used to remotely connect to Target s network. 3

4 Zijn cybersecurity of datalekken überhaupt issues voor u? the third party (Fazio) had deployed Malwarebytes free edition (antimalware), which doesn t offer real-time protection 4

5 Zijn cybersecurity of datalekken überhaupt issues voor u? Target to Settle Claims Over Data Breach Retailer to pay Visa issuers up to $67 million, is working with MasterCard on similar deal 5

6 Zijn cybersecurity of datalekken überhaupt issues voor u? Heeft Cyber Security iets met privacy of datalekken te maken? Nationaal Cyber Security Center (NCSC): Cyber Security is het vrij zijn van gevaar of schade veroorzaakt door verstoring of uitval van ICT of misbruik van ICT. Het gevaar of de schade door misbruik, verstoring of uitval kan bestaan uit beperking van beschikbaarheid en betrouwbaarheid van de ICT, schending van de vertrouwelijkheid van in ICT opgeslagen informatie of schade aan de integriteit van die informatie. Cyber Security is daarmee direct te koppelen aan Datalekken en Privacy Bescherming. 6

7 Zijn cybersecurity of datalekken überhaupt issues voor u? Kaspersky Lap geeft aan dat mkb-ondernemingen het favoriete doelwit zijn van hackers. Vorig jaar heeft 23% te maken gehad met hackers en waren de herstelkosten gemiddeld 40K per onderneming. 7

8 Is cybersecurity of datalekken überhaubt een issue voor u? 19 januari 2016 Een hacker heeft in België een grote hoeveelheid persoonsgegevens, die hij had gestolen bij dertien bedrijven, op afgeschermde websites gezet. De hacker, die zich Rex Mundi ('koning van de wereld') noemt, stal de gegevens bij onder andere de medische controledienst Mensura, pizzaketen Domino's en online kredietverstrekker Buyway. Ook het Nederlandse uitzendbureau Accord werd bestolen. 8

9 Zijn cybersecurity of datalekken überhaupt issues voor u? 19 januari september 2015 Cybercriminelen Een die persoonsgegevens hacker heeft in België hebben een gestolen, grote hoeveelheid bieden hun buit steeds goedkoper persoonsgegevens, aan op internet. die hij De had prijzen gestolen zijn bij dertien bedrijven, op gedaald omdat er afgeschermde steeds meer informatie websites te gezet. koop wordt De hacker, die zich Rex Mundi aangeboden. ('koning van de wereld') noemt, stal de gegevens bij onder De gemiddelde prijs andere voor de gegevens medische van controledienst een persoon is Mensura, gedaald pizzaketen van 4 dollar vorig Domino's jaar tot 1 en dollar online dit jaar, kredietverstrekker blijkt uit een woensdag Buyway. Ook het gepubliceerd rapport Nederlandse van antivirusbedrijf uitzendbureau Trend Accord Micro. werd bestolen. Voor een dollar kan de naam, geboortedatum en het woonadres en burgerservicenummer van een slachtoffer worden gekocht. Daarmee kan gemakkelijk identiteitsfraude worden gepleegd. Creditcardinformatie en bankgegevens worden voor ongeveer 25 dollar per stuk verhandeld. 9

10 Zijn cybersecurity of datalekken überhaupt issues voor u? Criminelen blijven veel gebruik maken van netwerken in Nederland om cyberaanvallen te plegen. De servers verwerken veel spam, phishing, botnets en andere digitale dreigingen. Nederland is zo geliefd bij criminelen, omdat de internetvoorzieningen hier goed zijn. De verbindingen zijn snel en betrouwbaar, veel mensen zijn online en Amsterdam heeft een van de grootste internetknooppunten ter wereld. 19 januari september 2015 Cybercriminelen Een die persoonsgegevens hacker heeft in België hebben een gestolen, grote hoeveelheid bieden hun buit steeds goedkoper persoonsgegevens, aan op internet. die hij De had prijzen gestolen zijn bij dertien bedrijven, op gedaald omdat er afgeschermde steeds meer informatie websites te gezet. koop wordt De hacker, die zich Rex Mundi aangeboden. ('koning van de wereld') noemt, stal de gegevens bij onder De gemiddelde prijs andere voor de gegevens medische van controledienst een persoon is Mensura, gedaald pizzaketen van 4 dollar vorig Domino's jaar tot 1 en dollar online dit jaar, kredietverstrekker blijkt uit een woensdag Buyway. Ook het gepubliceerd rapport Nederlandse van antivirusbedrijf uitzendbureau Trend Accord Micro. werd bestolen. Voor een dollar kan de naam, geboortedatum en het woonadres en burgerservicenummer van een slachtoffer worden gekocht. Daarmee kan gemakkelijk identiteitsfraude worden gepleegd. Creditcardinformatie en bankgegevens worden voor ongeveer 25 dollar per stuk verhandeld. 10

11 Zijn cybersecurity of datalekken überhaupt issues voor u? Criminelen blijven veel gebruik maken van netwerken in Nederland om cyberaanvallen te plegen. De servers verwerken veel spam, phishing, botnets en andere digitale dreigingen. Nederland is zo geliefd bij criminelen, omdat de internetvoorzieningen hier goed zijn. De verbindingen zijn snel en betrouwbaar, veel mensen zijn online en Amsterdam heeft een van de grootste internetknooppunten ter wereld. 19 januari september 2015 Cybercriminelen Een die persoonsgegevens hacker heeft in België hebben een gestolen, grote hoeveelheid bieden hun buit steeds goedkoper persoonsgegevens, aan op internet. die hij De had prijzen gestolen zijn bij dertien bedrijven, op gedaald omdat er afgeschermde steeds meer informatie websites te gezet. koop wordt De hacker, die zich Rex Mundi aangeboden. ('koning van de wereld') noemt, stal de gegevens Uit een bij brief onder van Minister Plasterk (2 april 2013) De gemiddelde prijs andere voor de gegevens medische van controledienst een persoon is Mensura, gedaald komt pizzaketen naar voren dat is berekend dat in 2012 van 4 dollar vorig Domino's jaar tot 1 en dollar online dit jaar, kredietverstrekker blijkt uit een woensdag Buyway. tussen Ook de het 670 en 870 duizend Nederlanders gepubliceerd rapport Nederlandse van antivirusbedrijf uitzendbureau Trend Accord Micro. werd bestolen. slachteroffer zijn geweest van identiteitsfraude Voor een dollar kan de naam, geboortedatum en het woonadres en dat die gezamenlijk een schade hebben en burgerservicenummer van een slachtoffer worden gekocht. gelden tussen de 400 en 500 miljoen euro. Daarmee kan gemakkelijk identiteitsfraude worden gepleegd. Creditcardinformatie en bankgegevens worden voor ongeveer 25 dollar per stuk verhandeld. 11

12 Zijn cybersecurity of datalekken überhaupt issues voor u? Criminelen blijven veel gebruik maken van netwerken in Nederland om cyberaanvallen te plegen. De servers verwerken veel spam, phishing, botnets en andere digitale dreigingen. Nederland is zo geliefd bij criminelen, omdat de internetvoorzieningen hier goed zijn. De verbindingen zijn snel en betrouwbaar, veel mensen zijn online en Amsterdam heeft een van de grootste internetknooppunten ter wereld. 19 januari september 2015 Cybercriminelen Een die persoonsgegevens hacker heeft in België hebben een gestolen, grote hoeveelheid bieden persoonsgegevens, 25 januari 2016 hun buit steeds goedkoper aan op internet. die hij De had prijzen gestolen zijn bij dertien bedrijven, op gedaald omdat er afgeschermde De steeds gegevens meer informatie websites van zeker te gezet. koop wordt De hacker, Nederlandse die zich Rex en Mundi aangeboden. ('koning Belgische van de patiënten wereld') noemt, van het stal Sint de gegevens Anna Uit Ziekenhuis een bij brief onder van Minister Plasterk (2 april 2013) De gemiddelde prijs andere in Geldrop voor de gegevens medische en het van controledienst Canisius-Wilhelmina een persoon Mensura, gedaald komt pizzaketen Ziekenhuis naar voren dat is berekend dat in 2012 van 4 dollar vorig Domino's jaar tot 1 en dollar online dit jaar, kredietverstrekker blijkt uit een woensdag Buyway. tussen Ook de het 670 en 870 duizend Nederlanders gepubliceerd rapport in Nijmegen Nederlandse van antivirusbedrijf zijn door uitzendbureau Trend een Accord Micro. datalek ruim een maand werd bestolen. slachteroffer zijn geweest van identiteitsfraude Voor een dollar kan lang de naam, toegankelijk geboortedatum geweest en het voor woonadres onbevoegden. en dat die gezamenlijk een schade hebben en burgerservicenummer van een slachtoffer worden gekocht. gelden tussen de 400 en 500 miljoen euro. Daarmee kan gemakkelijk Aangetoond identiteitsfraude is dat in worden ieder gepleegd. geval medische Creditcardinformatie en bankgegevens worden voor ongeveer 25 dollar per stuk verhandeld. dossiers van het Zwolse ziekenhuis Isala en het Amphia Ziekenhuis in Breda scanklaar zijn gemaakt door de gevangenis in Leuven. Dat betekent dat gevangenen bijvoorbeeld nietjes uit papieren dossiers verwijderden, om ze klaar te maken voor een automatisch scanproces. 12

13 Zijn cybersecurity of datalekken überhaupt issues voor u? Als het een issue voor u is, kunt u er dan ook een kans van maken? Kan privacy (blijven) bestaan zonder innovatie te frustreren? Ja zeker, maar dan dient privacy onderdeel te zijn van je bedrijfsvoering, o.a.: product/dienstontwikkeling (PET?) Inrichting en bewaking van bedrijfsprocessen Aansturing en beoordeling van je mensen Bepalen en monitoren van je doelstellingen. 13

14 Zijn cybersecurity of datalekken überhaupt issues voor u? Als het een issue voor u is, kunt u er dan ook een kans van maken? Hoe kan je dat Kan privacy (blijven) bestaan zonder innovatie te frustreren? aanpakken? Ja zeker, maar dan dient privacy onderdeel te zijn van je bedrijfsvoering, o.a.: product/dienstontwikkeling Inrichting en bewaking van bedrijfsprocessen Aansturing en beoordeling van je mensen Bepalen en monitoren van je doelstellingen. 14

15 Maar hoe zou u dat kunnen aanpakken? Drie belangrijke uitgangspunten: 1. Privacy wordt hygiëne factor omdat we anders teruggaan in de tijd. Het is geen hype en geen trend. 2. Privacy is een multidisciplinair vraagstuk; juridische kennis, kennis van (technische) informatiebeveiliging en data-analyse kan noodzakelijk/wenselijk zijn. 3. Gedachtegang: van wet -> naar risicoanalyse -> naar informatiebeveiligingstandaard -> naar informatiebeveiligingsmaatregelen -> naar inbedding in organisatie -> naar monitoring & verbetering (PDCA-cycle). 15

16 Maar hoe zou u dat kunnen aanpakken? Wet Drie belangrijke uitgangspunten: 1. Privacy wordt hygiëne factor omdat we anders terug gaan in de tijd. Bewaak Het is geen hype en geen trend. Risico 2. Privacy & is een multidisciplinair vraagstuk; juridische kennis, kennis van (technische) informatiebeveiliging en data-analyse analyse kan noodzakelijk/wenselijk Verbeter zijn. 3. Denklijn: van wet -> naar risicoanalyse -> naar informatiebeveiligingstandaard -> naar informatiebeveiligingsmaatregelen -> naar inbedding in organisatie -> naar monitoring & verbetering (PDCA-cycle). Inbedding Maatregelen Standaard 16

17 Maar hoe zou u dat kunnen aanpakken? Voorbereiding Plannen Ontwikkeling detail aanpak (modulair) Onderzoek (per module) Opstellen verbeterplan (per module) Uitvoering Verbeterprojectplan (per module) Monitoren en Continue verbeteren (per module) Inzicht verkrijgen Detail Inzicht verkrijgen Plannning & scoping Privacy Impact Assessment Cybersecurity Assessment Compliance Check Verzamelen van informatie Invullen vragenlijst(en) Beoordelen impact en maatregelen Bespreken bevindingen met management Opstellen conceptverbeterplan Afstemming en inbedding Opstellen projectplan Bespreking verbeterprojectplan met Management Opstellen conceptimplementatie plan Uitvoering conform plan Overdracht van project- naar lijnorganisatie Opstellen monitoring raamwerk Periodiek vullen monitoring raamwerk Opstellen verslag Periodiek rapporteren aan Management

18 Maar hoe zou u dat kunnen aanpakken? Voorbereiding Plannen Ontwikkeling detail aanpak (modulair) Onderzoek (per module) Opstellen verbeterplan (per module) Uitvoering Verbeterprojectplan (per module) Monitoren en Continue verbeteren (per module) Inzicht verkrijgen Detail Inzicht verkrijgen Plannning & scoping Privacy Impact Assessment Cybersecurity Assessment Compliance Check Verzamelen van informatie Invullen vragenlijst(en) Beoordelen impact en maatregelen Bespreken bevindingen met management Opstellen conceptverbeterplan Afstemming en inbedding Opstellen projectplan Bespreking verbeterprojectplan met Management Opstellen conceptimplementatie plan Uitvoering conform plan Overdracht van project- naar lijnorganisatie Opstellen monitoring raamwerk Periodiek vullen monitoring raamwerk Opstellen verslag Periodiek rapporteren aan Management

19 Stel vast of u überhaupt privacyrisico s heeft door het uitvoeren van een Privacy Impact Assessment (PIA) Een PIA is vrij beschikbaar (zie: Zij heeft tot doel het blootleggen van privacyrisico s en het verminderen daarvan. De Autoriteit Persoonsgegevens gaat in het kader van de zorgplicht er vanuit dat minimaal een PIA ( privacy effect beoordeling ) is uitgevoerd. In de Algemene Verordening Gegevensbescherming zullen verplichtingen hiervoor worden opgenomen. 19

20 Wat zijn de stappen in een PIA proces? 1. Bepaal wie en hoe de PIA uitgevoerd moet worden 2. Verzamel en bestudeer informatie 3. Vul de vragenlijst in 4. Beoordeel de impact en ontwikkel maatregelen 5. Stel het verslag op 6. Laat eventueel een onafhankelijke toets uitvoeren 20

21 Wat zijn de stappen in een PIA proces? 1. Bepaal wie en hoe de PIA uitgevoerd moet worden Privacy behoeft een multidisciplinaire insteek 2. Verzamel en bestudeer informatie 3. Vul de vragenlijst in 4. Beoordeel de impact en ontwikkel maatregelen 5. Stel het verslag op 6. Laat eventueel een onafhankelijke toets uitvoeren 21

22 Wat zijn de stappen in een PIA proces? 1. Bepaal wie en hoe de PIA uitgevoerd moet worden 2. Verzamel en bestudeer informatie Denk hierbij aan: - Welke gegevens, waar, wie? - Wie is wanneer Verantwoordelijk of Bewerker - Welke technologieën? - Wie zijn betrokkenen? - Wat is er al qua Informatiebeveiliging geregeld? 3. Vul de vragenlijst in 4. Beoordeel de impact en ontwikkel maatregelen 5. Stel het verslag op 6. Laat eventueel een onafhankelijke toets uitvoeren 22

23 Wat zijn de stappen in een PIA proces? 1. Bepaal wie en hoe de PIA uitgevoerd moet worden 2. Verzamel en bestudeer informatie 3. Vul de vragenlijst in 4. Beoordeel de impact en ontwikkel maatregelen Risico factoren zijn o.a.: Limitering van het verzamelen van gegevens; Gegevenskwaliteit; Doelbinding; Limitering van het gebruik van gegevens;. Beveiliging van gegevens; Transparantie, etc. Impact o.a. op basis van aantasting waarden.: Zelfstandigheid Bescherming tegen stigmatisering Gelijkheid Bewegingsvrijheid Ongestoord leven etc. 5. Stel het verslag op 6. Laat eventueel een onafhankelijke toets uitvoeren 23

24 Wat zijn de stappen in een PIA proces? 1. Bepaal wie en hoe de PIA uitgevoerd moet worden 2. Verzamel en bestudeer informatie 3. Vul de vragenlijst in 4. Beoordeel de impact en ontwikkel maatregelen Maatregelen o.a..: Algemeen: passende organisatorische en technische Maatregelen: -> adequate informatiebeveiliging! Waarbij risico s worden vermeden door bijvoorbeeld: Opslag gegevens bij individu i.p.v. organisatie Gebruik van anonieme gegevens of pseudoniemen (let op stand der techniek) Of risico s worden verminderd door: Limitering van verzamelen/gebruik van gegevens; Waarborgen gegevenskwaliteit (controles); Beveiliging van gegevens (encryptie LTB) Doelbinding (evt. aan te passen na akkoord?) Transparantie (o.a. gedragscode, certificeren verwerking) Invoeren van periodieke controle 5. Stel het verslag op 6. Laat eventueel een onafhankelijke toets uitvoeren 24

25 Waar kunt u aan denken bij een verbeterplan? Het gaat niet alleen om u als Verantwoordelijke maar ook om uw Bewerkers (en andersom)! Maak gebruik van één of meerdere beveiligingsstandaarden, en kies daarbij de juiste. Zoals ISO 27001/27002, SoGP, CRF, CCfECD, CobiT, ETZI ISO

26 Ik heb een datalek! Wat nu? Stel vast of het een datalek (doorbreking van de beveiliging) is in de zin van de wet. Kans op aanzienlijke nadelige gevolgen : Aard van de gegevens: gevoelige aard (o.a. financiële situatie, bijzondere gegevens, gebruikersnamen & wachtwoorden, die kunnen leiden tot identiteitsfraude) Omvang van de gegevens (per persoon of veel personen). Meld het lek via webformulier bij Autoriteit Persoonsgegevens binnen 72 uur na de ontdekking. Meld het lek aan de betrokkenen, behalve bij voldoende technische bescherming (o.a. cryptografie), geen ongunstige gevolgen betrokkenen en zwaarwegende redenen (b.v. ter bescherming van betrokkenen). Meld u niet en de AP is van mening dat dit onterecht is, kan dit, na bindende aanwijzing, leiden tot een boete van de 6 e categorie (820K). Bewaar de gegevens over de lek 1 3 jaar. Alleen als er sprake is van overtreding van de Wbp die opzettelijk of het gevolg is van ernstige verwijtbare nalatigheid, kan direct een boete worden opgelegd. Als er geen sprake is van opzet of ernstige verwijtbare nalatigheid, volgt eerst een bindende aanwijzing. Wordt deze niet adequaat opgevolgd kan een boete volgen van de zesde categorie van art 23 van het Wetboek van Strafrecht (820K). 26

27 Privacy is het nieuwe goud; 10 gouden tips! 1. Zorg dat u weet of, en zo ja, waar, u privacy (gevoelige) informatie heeft. 2. Zorg dat alleen die mensen bij deze gegevens kunnen die ze ook écht nodig hebben. 3. Zorg voor de juiste Bewerkersovereenkomst(en) (indien van toepassing). 4. Zorg voor passende organisatorische en technische maatregelen of pas gegevensverzameling en bewerking aan. 5. Zorg voor de juiste aantoonbaarheid van uw maatregelen en de continue aandacht hiervoor. 6. Laat u periodiek door externen toetsen. De materie is vaak te complex voor bijvoorbeeld 1 persoon binnen de organisatie. 7. Gebruik Whitelisting desktop virusscan om Remote Access Trojan (RAT) te detecteren. 8. Bij een datalek welke gemeld moet worden; melden. Negatieve impact op veel vlakken is waarschijnlijk groter bij niet melden. 27