Meldplicht datalekken

Transcriptie

1 Meldplicht datalekken Peter Westerveld Directeur en principal security consultant Sincerus consultancy Sincerus Cybermonitor Opgericht in medewerkers Informatiebeveiliging Zwolle en Enschede

2 Meldplicht datalekken Meldplicht bestaat al sinds 2012 in telecommunicatiewet Alleen voor telecom en ISP s Meldingen bij ACM Voorbeeld KPN hack Voorbeeld: KPN

3 Voorbeeld: KPN Opvallende zaken uit voorbeeld KPN: Niet (snel genoeg) gemeld. Geen persoonsgegevens op straat volgens KPN. Toch een boete omdat beveiliging niet voldoende op orde was Waar komt het vandaan? De grondwet

4 Waar komt het vandaan? Wet Bescherming Persoonsgegevens Waar komt het vandaan? Europese Algemene Verordening Gegevensbescherming Verwachting juni 2016 Vervangt NL WBP Bevat ook een meldplicht datalekken 2 jaar implementatietijd

5 Waar komt het vandaan? WBP artikel 34a: Meldplicht datalekken Wat is een persoonsgegeven? Naam, adres, woonplaats; Telefoonnummer; adres; Kenteken; Userid, accountnaam, IP-adres, MAC-adres; Logging gegevens; Bankgegevens

6 Bijzondere persoonsgegevens Gezondheid; Geaardheid; Geloof, ras; Strafrechtelijke gegevens; Lidmaatschap (vak)vereniging; Lidmaatschap politieke partij; BSN nummer datalekken? Eigenlijk een foute naam Inbreuk op beveiliging van persoonsgegevens Voorbeeld: 3 ziekenhuizen

7 Voorbeelden datalek Hack Hack Ransome ware Voorbeelden datalek

8 Hack Ransome ware Voorbeelden datalek Per abuis verstuurd via Hack Ransome ware Voorbeelden datalek Per abuis verstuurd via Gestolen/verloren laptop, USB-stick

9 Hack Ransome ware Voorbeelden datalek Per abuis verstuurd via Gestolen/verloren laptop, USB-stick Kwetsbare beveiliging Hack Ransome ware Voorbeelden datalek Per abuis verstuurd via Gestolen/verloren laptop, USB-stick Kwetsbare beveiliging Verloren geraakt dossier

10 Moeten wij er iets mee? Ja: Kans op bestuurlijke boete tot max ,- 5 stappen Stap 1: Persoonsgegevens? Verwerken wij persoonsgegevens? Waar? Wat? Waarom? Hoe vindt verwerking plaats? Binnenshuis Extern (datacenter of bij leverancier (SaaS))

11 Stap 2: Beleid en proces Stel beleid op Benoem Functionaris Gegevensbescherming (FG) Communiceer beleid intern én met extern Het beleid bevat in ieder geval: Geheimhoudingsplicht Recht om vergeten te worden Privacy by design Beschrijf en implementeer incidentbeheer proces Stap 3: Meten Privacy impact analyse Wat is de invloed van een bedrijfsproces of nieuw project op de persoonsgegevens? Risico analyse bedrijfsprocessen Waar zitten de kwetsbare plekken? Vertrouwelijkheid, integriteit, beschikbaarheid Security assessments (penetratietesten) Welke schade kan een kwaadwillende of malware aanrichten? Extern én intern

12 Stap 4: Maatregelen Technische en procedurele beveiligingsmaatregelen Bewerkersovereenkomst met leveranciers Je kunt alles uitbesteden behalve verantwoordelijkheid! Beveiligingsbewustzijn medewerkers Stap 5: Borging Met andere woorden: Zorg dat je weet wat er gebeurd! Logging Monitoring Evalueren

13 Incidentbeheer proces Patchen Herstellen, Schade beperken Nee Nee Beveiligingslek Beveiligings incident? Data lek? Melden AP Melden betrokkenen Zelf geconstateerd, Leverancier, buitenstaander Incident? Gecompromitteerd? Gegevens verloren, gestolen, gewijzigd? (Kans op) toegang tot persoonsgegevens? Zijn persoonsgegevens verloren, gestolen, gewijzigd? Meldloket datalekken Datalek van invloed op persoonlijke levenssfeer betrokkenen? datalekken.autoriteitpersoonsgegevens.nl Informatiebeveiliging Mensen Processen Techniek Borging

14 There are only two types of companies: those that have been hacked, and those that will be or do not now they are Director FBI: Robert Mueller Security hoort thuis in de directiekamer Utwente: Prof. dr. Pieter Hartel

15 Informatie Beleidsregels meldplicht datalekken: hcps://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf Boetebeleidsregels: hcps://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/ boetebeleidsregels_cbp_def_consultaieversie.pdf Peter Westerveld Sincerus consultancy / Cybermonitor Peter.westerveld@sincerus.nl M: