Gemeentelijke Informatiebeveiliging & Privacybescherming: Een complexe uitdaging
|
|
- Myriam Segers
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Gemeentelijke Informatiebeveiliging & Privacybescherming: Een complexe uitdaging Ronald Paans Stef Schinagl Edward van Egmond Noordbeek & vrije Universiteit amsterdam File: PaansR Gemeente BIG IB&P Risk workshop 2015, Version: juni Phone
2 Programma INFORMATIEF EN INTERACTIEF 1. De uitdagingen voor de Gemeente Wat vinden B&W belangrijk? Budget voor IB&P? 2. Wet bescherming persoonsgegevens (Wbp) 3. Privacy Impact Assessment (Toetsmodel PIA Rijksdienst) 4. Meldplicht datalekken 5. Risico-appreciatie vanuit het oogpunt van het College van B&W Tonen wij een herkenbare plaat voor risico-erkenning en zal deze plaat bijdragen aan draagvlak? Centraal staan Informatiebeveiliging & Privacybescherming (IB&P) Baseline Informatiebeveiliging Gemeente (BIG) 2
3 De Gemeentelijke Context 3
4 Maatschappelijke Context OPGAVE VOOR GEMEENTEN Decentralisaties: de gemeente is het beste in staat om de burger integraal te bedienen als de meest nabije overheidslaag Integraal is niet vanuit afzonderlijke kolommen, domeinen of sectoren, maar met samenhang tussen verschillende vraagstukken en levensdomeinen als vertrekpunt voor de dienstverlening. Regeerakkoord kabinet Rutte II Eén gezin, één plan, één regisseur Decentralisaties in het sociale domein» Wet werken naar vermogen (WWnV), toeleiding naar werk» Algemene wet bijzondere ziektekosten (AWBZ)» Wet maatschappelijke ondersteuning (Wmo 2015)» Jeugdhulpverlening Dit vergt één budget en één verantwoordelijke van overheidszijde Einde aan vele langs elkaar heen werkende hulpverleners bij de ondersteuning van één gezin Maar hoe vult de gemeente dit in, met compliance aan wet- en regelgeving? 4
5 Archetypen 1 t/m 5 voor Gemeentelijke Informatievoorziening (Model VNG en KING) 1. Transitieproof (zoals het was) Bijstand Participatie wet Wmo 2015 Sociale Dienst Minima Jeugdzorg 2. Totaal Integraal (één loket) Participatiewet Wmo 2015 Schuldhulpverlening Minimabeleid Jeugdzorg 3. Geclusterd Integraal Bijstand Participatiewet Sociale Dienst Minima Wmo 2015 Jeugdzorg 4. Integraal in 2 de Instantie: Eerst 1 en dan groeien naar 2 5. Geclusterde Integraliteit Elders: Archetype 2 met daarachter andere instanties IB&P zorgen, zoals Concentratie gegevens, ontsluiting, eigendom van gegevens Privacy issues, derden etc. 5
6 Juridische Context Wetten en regelingen die van toepassing zijn (niet limitatief) Wet Bescherming Persoonsgegevens en Vrijstellingsbesluit Wet Bescherming Persoonsgegevens (Wbp) Wet Openbaarheid van Bestuur (WOB) Wet Computercriminaliteit II Comptabiliteitswet Archiefwet Wet Particuliere Beveiligingsorganisaties en Recherchebureaus (WBPR) Wet Veiligheidsonderzoeken (WVO) Wet Politiegegevens (Wpg) Ambtenarenwet Voorschrift Informatiebeveiliging Rijksdienst Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIRBI 2012) Beveiligingsvoorschrift 2005 (BVR) CAR-UWO PUN Algemene Rijksvoorwaarden bij ITovereenkomsten (ARBIT 2010) Kader Rijkstoegangsbeleid Uitgangspunten online communicatie rijksambtenaren Programma van Eisen PKI Overheid Code voor Informatiebeveiliging (ISO 27001:2005 en ISO 27002:2007) Telecommunication Infrastructure Standard for Data Centers (TIA-942) Wet SUWI Wet op de identificatieplicht Wet Elektronisch Bestuurlijk Verkeer (WEBV) Wet GBA en wet BRP Wet Werk en Bijstand Registratiewet Algemene wet bestuursrecht Richtlijnen van het NCSC Meldplicht Datalekken Bron: BIG Tactische Baseline 6
7 Digitaal 2017 Generieke Digitale Infrastructuur van de overheid (GDI) Regeerakkoord: Burgers en ondernemers doen uiterlijk in 2017 digitaal zaken met overheidsinstanties (Digitaal 2017) Wetsvoorstellen in voorbereiding Plateau 1: Algemene informatie staat online die nodig is om zaken digitaal af te handelen Plateau 2: Uitbreiden van het interactief digitaal zaken doen, voorzieningen zoals DigiD / eherkenning (later eid) en berichtenboxen Plateau 3: Digitaal 2017 (eind 2017). Burgers en bedrijven kunnen eenvoudig digitaal hun zaken regelen met de overheid. Minimaal is het digitaal aanvragen mogelijk. Vooringevulde formulieren voor de meest gebruikte producten Gewenste situatie per 2020: Burgers en bedrijven voeren de regie over hun zaken met de digitale overheid Bron: juni
8 Digitaal 2017 Bestaande wetgeving voor papieren aanvragen en beschikkingen wordt aangepast aan digitalisering Algemene wet bestuursrecht: Burgers en bedrijven krijgen het recht op elektronisch zakendoen Bekendmakingswet: Burgers en bedrijven moeten alle relevante overheidsinformatie digitaal kunnen raadplegen Wet Generieke Digitale Infrastructuur (WGDI) Eerste tranche regulering voor Overheid.nl, MijnOverheid.nl, Berichtenbox voor burgers, Ondernemersplein, Berichtenbox voor bedrijven en DigiD De verplichting tot aansluiten en gebruik wordt gefaseerd ingevoerd Tweede tranche waarschijnlijk regulering voor publieke eid middelen zoals enik, erijbewijs en evreemdelingenpas enik = elektronische Nederlandse Identiteitskaart 8
9 IB&P Context De IB&P onderwerpen, die op dit moment worden onderkend, zijn Inrichten Informatiebeveiliging Privacy Impact Assessment (PIA) Risicoanalyse (inclusief GAPanalyse) Dataclassificatie Beheer ICT-componenten Awareness informatiebeveiliging Meldplicht Datalekken en meldplicht Inbreuken op elektronische informatiesystemen Responsible Disclosure Authenticatie en Autorisatie (inclusief wachtwoorden, DigiD, eid) Inkopen / aanbesteden Secure Software Development Persoonsgegevens Medische gegevens Strafrechtelijke gegevens Testen met persoonsgegevens Delen gegevens met derden Tijdig verwijderen en vernietigen Mobiele apparaten waaronder Bring Your Own Device (BYOD) Communicatie & Opslag Telewerken Cloud Computing Big Data Bron: KING Handreiking Informatiebeveiliging 3D 9
10 IB&P ZORGEN (VNG en KING) Ieder cluster vergaart informatie per burger / huishouden, waardoor er meer privacygevoelige informatie op één (digitale) locatie komt Toegangsrechten binnen systemen en tot informatie: Wie (functie-type) mag waarom welke informatie zien? Auditlogging: Hoe controleren wij achteraf wie wat heeft ingezien, wanneer en voor welke taak? Welke informatieverwerking vindt plaats buiten de eigen organisatie? Hoe wisselen wij veilig informatie uit met derden? Welke informatie wordt opgeslagen bij derden? Hoe verwijdert en vernietigt men gecontroleerd na de vastgestelde tijd? Hoe wisselen diverse partijen verantwoordings-, stuur- en beleidsinformatie uit? Welke informatie anonimiseren? Zijn bestaande systemen hierop ingericht? Etc. 10
11 Oplossingen, voorbeelden Procedurele oplossingen De Nationale Politie kende 10 jaar geleden een soortgelijke problematiek Dit is opgelost met speciale wetgeving, de Wet politiegegevens (Wpg) Veel aandacht voor classificatie en isolatie: Art 8 info = blauw, Art 9 info = recherche, Art 10 info = CIE+RID, Art 12 info = informant Verplicht autorisatiebeheer met autorisatieloketten etc. Technische oplossingen UWV heeft Sluitend Autorisatiebeheer ingericht, met strikte procedures en interne controle Gebaseerd op een centrale oplossing met een Autorisatie Beheer Systeem en geautomatiseerde Autorisatie Verschillen Analyse Randvoorwaarden bij Gemeenten Veel diverse legacy systemen, ombouwen of vernieuwen is kostbaar Ga er vanuit dat de huidige systemen nog een tijd moeten meegaan 11
12 Stelling: Gemeentelijk budget voor IB&P STELLING Het College van B&W geeft op basis van bovenstaande uitdagingen spontaan voldoende budget voor het inrichten van IB&P, conform de Architectuur voor Informatie Voorziening Sociaal Domein van VNG en KING (Archetypen 1 t/m 5) PRO B&W vinden IB&P heel belangrijk en volgen spontaan VNG en KING CONTRA De Gemeente zet haar prioriteit bij het inrichten van de lokale processen om de Participatiewet, WWnV, Wmo, jeugdhulpzorg etc. uit te kunnen voeren De Gemeente is niet van plan de architectuur van de applicaties te wijzigen conform de Archetypen AFWEGING Waarom wel of niet? 12
13 Privacybescherming 13
14 Wet bescherming persoonsgegevens (Wbp) Persoonsgegevens De Wet bescherming persoonsgegevens (Wbp) is van toepassing op gegevens betreffende geïdentificeerde of identificeerbare natuurlijke personen Er wordt speciale aandacht gegeven aan bijzondere persoonsgegevens, waarvoor verzwaarde regimes gelden Zorgen van de wetgever Datamining in privacygevoelige informatie Profiling: conclusies trekken over personen op basis van algoritmen en computerberekeningen Informatie komt in verkeerde handen of belandt op straat etc. Regel: Waardevoller, minder personen met toegang INFORMATIE Klasse 3: Vertrouwelijk Klasse 2: Privacy Klasse 1: Intern Klasse 0: Openbaar Medische dossiers, keuringen, strafrechtelijke informatie Persoonsgegevens en gevoelige informatie Niet bedoeld voor verspreiding Bedoeld voor het publieke domein 14
15 Wet bescherming persoonsgegevens (Wbp) Wbp Art 16. Bijzondere persoonsgegevens De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijk verleden en onrechtmatig of hinderlijk gedrag is verboden Behoudens voor zover de Gemeente zich bij de uitoefening van haar taken kan beroepen op een algemene of specifieke ontheffing op het verbod Wbp Art Vertrouwelijke gegevens Wettekst: De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat De verwerking van gegevens welke plaatsvinden onder bijzondere geheimhoudingsplichten, zoals het medisch beroepsgeheim of bij het gebruik van bijzondere opsporingsmiddelen, legt aan de Gemeente extra eisen op ten aanzien van de beveiliging Bijvoorbeeld op het gebied van isolatie en strikt autorisatiebeheer 15
16 Proportionaliteit en Subsidiariteit Bij het identificeren van de te verwerken persoonsgegevens dient rekening te worden gehouden met Proportionaliteit De inbreuk op privacy moet in balans moet zijn met het te behalen doel De vraag: is verwerking van deze persoonsgegevens nodig voor alle aspecten van het beleidsvoorstel? De oplossingen mogen niet verder gaan dan wat absoluut nodig is om het gewenste resultaat te bereiken Subsidiariteit Men zoekt de voor de betrokkene minst belastende weg om het te behalen doel te bereiken De vragen: is het alleen door middel van verwerking van deze persoonsgegevens mogelijk het gewenste beleidsmatige resultaat te bereiken? Zijn er alternatieven die niet of minder ingrijpend zijn voor de privacy? Indien alternatieven voor de verwerking van persoonsgegevens met hetzelfde beleidsmatige resultaat voorhanden zijn, moet daarvoor worden gekozen 16
17 Privacy Impact Analyse (Toetsmodel PIA Rijksdienst) De PIA wordt uitgevoerd bij de beoordeling van de effecten van nieuwe wet- en regelgeving en bij majeure wijzigingen op bestaande informatiesystemen, gegevensverzamelingen en de infrastructuur De PIA kent de volgende stappen 1. Stel de scope vast voor de analyse. De scope omvat a. De informatiesystemen, namelijk de functionaliteit b. De (deel)verzamelingen van de gegevens c. De relevante rollen binnen de informatiesystemen, namelijk hoe wordt de functionaliteit gebruikt d. De eigenaren 2. Definieer de basisinformatie, namelijk het type persoonsgegevens, het type verwerking, de noodzaak en de mogelijkheid tot gegevensminimalisering 3. Stel de doelbinding, koppeling aan andere systemen en gegevens, kwaliteit en profiling vast 4. Identificeer de betrokken instanties, informatiesystemen en verantwoordelijkheden 5. Beschrijft de vereisten voor beveiliging, bewaring en vernietiging 6. Beschrijf de processen voor transparantie en rechten van betrokkenen 17
18 Voorbeeld: Architectuur plattegrond voor een PIA SCOPE Melders en Aanvragers Ondersteuning en planning controles Webformulieren 1. Klachten 2. Meldingen 3. Verzoeken Invullen of aanvullen Database Opslag en gebruik Controleurs Call Center medewerkers Digitale formulieren? In kaart brengen Scope en decompositie Type en gevoeligheid van informatie Informatiestromen Gebruik van informatie Verspreiding naar andere partijen etc. Functioneel en Technisch Beheer Externe Partners 18
19 Wbp wordt AVG ROLLEN BIJ Wbp Functionaris voor de Gegevensbescherming (FG) is optioneel FG heeft directe lijn met een bestuurder FG mag contact opnemen met de Autoriteit Persoonsgegevens - AP (voorheen College Bescherming Persoonsgegevens CBP) Verandering door komende Europese ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Privacy Officer (PO) of FG wordt verplicht Gesprekken met de bestuurder moeten worden genotuleerd Notulen moeten worden geaudit Boetes mogelijk tot 100 miljoen of 5% van de omzet AFHANDELEN INCIDENTEN MET PRIVACY Formeel proces nodig Nieuwe aanpassing Wbp: Meldplicht Datalekken 19
20 Samenvatting wijzigingen door AVG Behalve de hoge boetes brengt de Europese AVG de volgende veranderingen Een intern privacybeleid is verplicht Een PO of FG is verplicht Privacy moet worden geïntegreerd als vast onderwerp binnen de bedrijfsvoering De werking van de maatregelen voor privacybescherming moet jaarlijks worden gecontroleerd De toepassing van Privacy Impact Assessments (PIA) wordt verplicht bij veranderingen in diensten en producten, processen en systemen Bij veranderingen moet worden voldaan aan de principes van Privacy by Design en Privacy by Default Gezien de implicaties van de verordening is een goede voorbereiding nodig PIA s helpen om de consequenties en risico s gestructureerd in beeld te brengen en vormen een goede start voor de voorbereiding 20
21 Meldplicht Datalekken 21
22 Meldplicht datalekken Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP Aangenomen door de Tweede Kamer op 10 februari 2015 Aangenomen door de Eerste Kamer op 26 mei 2015 (nog niet van kracht) Het voorstel betreft een wijziging van de Wbp en andere wetten in verband met de invoering van Een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens Uitbreiding van de bevoegdheid van het CBP om bij overtreding een bestuurlijke boete op te leggen» voor doorgifte aan niet-eu land» voor andere overtredingen, inclusief Meldplicht De onderstaande tabel is vooralsnog gebaseerd op het wetsvoorstel 22
23 Nr. Doel Normenkader voor de Meldplicht Norm Meldplicht datalekken De meldplicht betreft inbreuken op beveiligingsmaatregelen voor persoonsgegevens. De regering wil de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Wettelijke basis. Wbp, wijzigingen op de Artikelen 14, 34a, 51a en 66. MD.1. Informeren CBP De Gemeente stelt het CBP onverwijld in kennis van een inbreuk op de beveiliging, die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. MD.2. Informeren betrokkene De Gemeente stelt de betrokkene onverwijld in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 23
24 Nr. Normenkader voor de Meldplicht Norm MD.3. Informeren over de aard van de inbreuk De kennisgeving aan het CBP en de betrokkene omvat de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de maatregelen om de negatieve gevolgen van de inbreuk te beperken. MD.4. Informeren over de gevolgen De kennisgeving aan het CBP omvat een beschrijving van geconstateerde en vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de Gemeente heeft getroffen om deze gevolgen te verhelpen. MD.5. Zorgvuldige informatievoorziening De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd over de geconstateerde en de feitelijke gevolgen voor de verwerking van persoonsgegevens en de betrokkenen. MD.6. Registratie De Gemeente houdt een overzicht bij van iedere ernstige inbreuk, de feiten omtrent de aard van de inbreuk, en de tekst van de kennisgeving aan de betrokkene. 24
25 DISCUSSIE De Telegraaf, maandag 8 juni 2015, 17:57 Mijnpgb toont privégegevens AMSTERDAM - Pgb-houders kunnen soms persoonlijke gegevens inzien van zorgverleners die voor anderen werken. De Sociale Verzekeringsbank (SVB) heeft dossiers per ongeluk verkeerd gekoppeld, heeft de instantie bevestigd aan de NOS. De getoonde gegevens zijn adresgegevens, BSN-nummer, bankrekening, uurtarieven, betalingen en het type verleende zorg. Soms zijn ook zorgovereenkomsten in te zien. Het lek is de zoveelste smet op de toch al niet vlekkeloze reputatie van het persoonsgebonden budget. VRAAG Zou deze casus onder de Meldplicht Datalekken vallen? Zo ja, welke acties dient de organisatie uit te voeren? 25
26 Hoe om te gaan met de Wbp en Meldplicht, plus voorsorteren op de AVG? PREVENTIEVE ACTIES Organisatorische aspecten in kaart brengen, zoals PO en FG Uitvoeren PIA s voor de bestaande verwerkingen van persoonsgegevens Inrichten van een PIA-proces voor toekomstige veranderingen Zorgen voor een goede IB&P, conform de BIG Nulmeting via de Business IB&P Requirements Analyse (BIRA), gericht op informatiesystemen en gegevensverzamelingen Inrichten van een BIRA-proces voor toekomstige veranderingen Zorgen voor veilige websites Zorgen voor goed leveranciersmanagement, met Beveiliging Overeenkomst en Secure Software Development (SSD) REACTIEVE MAATREGELEN In feite, dat is wachten op de klap. Waar en wanneer die komt valt niet te voorspellen, hopelijk nooit Daarna snelle reactie conform de bovenstaande regels (de normen) En aantoonbaar maken dat de preventieve acties zijn uitgevoerd 26
27 Aandacht van Bestuurders voor IB&P 27
28 Waarde van Informatie Digitale informatie wordt binnen en buiten de overheid steeds waardevoller Dit zijn de Te Beschermen Belangen, oftewel Value at Risk De dreigingen nemen snel toe, zowel in omvang als in ernst Er zijn budgetten Informatiebeveiliging en Privacybescherming (IB&P), maar deze budgetten zijn eindig Veelal richt men alleen de brede minimale beveiliging in (conform BIG) Maar in feite moet men weten wat de Te Beschermen Belangen zijn en vaststellen waar de echte waarde zich bevindt Aan de hand van de echte waarde kunnen de juiste prioriteiten worden gezet bij het selecteren van de benodigde maatregelen Het motto van deze aanpak is Men kan geld voor IB&P-maatregelen maar één keer uitgeven. Daarom is het van belang dat geld te spenderen aan de meest effectieve maatregelen, namelijk de maatregelen die de echte waarde (TBB) echt beveiligen 28
29 Risicomanagement PROBLEEM De BIG stelt: werk vanuit een risicobenadering Maar geeft geen methode voor risicoanalyse Er zijn vele methoden, die op zich goed zijn, maar bottom-up werken en niet tot het gewenste effect leiden Wij presenteren een top-down benadering, plus een visueel middel om structuur aan te brengen 29
30 RISICOANALYSEMETHODE GESCHIEDENIS Er is een moderne classificatiemethode nodig om inzicht geven in de werkelijke waarde. Vervolgens wordt het risico bepaald Jaren 60, 70 en 80 Toonaangevende ontwikkelingen op wetenschappelijk gebied» De Bell-LaPadula, Biba en Clark-Wilson modellen» Vooral militair gericht, en gebaseerd op de toenmalige informatie Jaren 90 tot op heden Er is vooral voortgebouwd op de goede ideeën uit de jaren 70 en 80» ISO = BIG (best practice vanuit 80 )» US NIST SP en , en FIPS 199 en 200 (vooral gebaseerd op 80 ) Echter weinig principiële verbeteringen Jaren 2000 en verder De methodes geven nu onvoldoende inzicht in de risico s voor de moderne informatiewereld De informatie van nu is niet meer de informatie van toen Doel: Ontwikkel een moderne en herhaalbare methode, voortbouwend op het goede werk uit het verleden 30
31 Het model voor IT Audit van prof.drs. H.C. Kocks RA Requirements Systeemontwikkeling (SO) Specificeren, bouwen en testen van informatiesystemen OTAP-straat Gebruikersorganisatie (GO) Administratieve Organisatie en Interne Controle (AO/IC) Service Level Agreements Informatiesystemen Dienstverlening Verwerking- en Transportorganisatie (VTO) Productie-omgeving, datacenter Datacommunicatie 31
32 IT Services and their context User population (GO) Development Process (SO) Supplier Management Service Development & Maintenance Arch Reqs D-T-A-P Users and their processes FD TD Build Test Accep VALUE at RISK Web Applications Human Info Financial Info Things Info Functionality Applications INFORMATION Users and their processes Systems, sensors, machines etc. Our society Internet of Things Network Operating Centre Functional & Technical Support AV Infrastructure (VTO) Office Automation & Mobile Data DMZ Network (WAN and LAN s) IDS & IPS Application Middleware Access Control Operating System Hardware Data centres Internet Outer World Storage Storage Connections Partners 32
33 Drie Informatiestromen Waarom onderscheid tussen drie stromen van informatie? Voor iedere stroom zijn speciale maatregelen, geredeneerd vanuit het werkproces (Groepen van maatregelen zijn gereedschapskisten : Men laat geen loodgieter met een waterpomptang komen als de video-intercom defect is) HUMAN INFORMATION Gegenereerd door mensen en bedoeld om te worden begrepen door mensen Alles uit GBA, BAG, B dienst dossiers etc., bedoeld om de burger te helpen Maatregelen: Autorisatiebeheer, isolatie, versleutelen etc. FINANCIAL INFORMATION Financiële transacties, die men kan controleren met rekenformules Maatregelen: Functiescheiding, dubbele accordering, AO/IC, boekhoudregels etc. THINGS INFORMATION Verkeerslichten, elektronische publicatieborden, bruggen, sluizen, openbaar vervoer, nutsvoorzieningen, infrastructuur etc. Maatregelen: Real-time beschermen tegen hackers en digitale dreigingen etc. 33
34 NCSC: Actoren en dreigingen Actors (NCSC) Dreigingen Incidenten OWASP Fraude User population Development Process Supplier Management Service Development & Maintenance Arch Reqs D-T-A-P Users and their processes FD TD Build Test Accep VALUE at RISK Web Applications Human Info Financial Info Things Info Functionality Applications INFORMATION Users and their processes Systems, sensors, machines etc. Internet of Things Our society Dreigingen DDoS Buitenwereld Wantrouwen Misbruik Wijzigingen Fouten Storingen Network Operating Centre Functional & Technical Support AV Infrastructure Office Automation & Mobile Data DMZ Network (WAN and LAN s) IDS & IPS Application Middleware Access Control Operating System Hardware Data centres Internet Outer World Storage Storage Connections Partners Lekkage Etc. Slordigheid Wraak Actors (NCSC) 34
35 IB&P maatregelen STANDAARDEN Vele standaarden voor IB&P Deze bevatten vrijwel dezelfde maatregelen HET PROBLEEM Welke IB&P maatregel is in welke situatie van belang? Hoe herkent en erkent senior management dit belang? OPLOSSING Redeneer vanuit de risico s die herkenbaar zijn voor bestuurders De Kubus is alleen een denkmodel voor het aanbrengen van structuur, van boven naar beneden Wij lichten nu eerst de denkwerelden toe 35
36 Analyse Fotofinish 36
37 Verdraaide Organisaties en de Mythe van Beheersbaarheid De Systeemwereld De Leefwereld De Bedoeling Bron: Wouter Hart 37
38 De Gewenste Denkrichting De Systeemwereld De Leefwereld De Bedoeling Strategische risico s Tactische en operationele risico s Denkrichting BIG Waarom werkt dit zo niet? 38
39 1 De klassieke IT-Audit De Systeemwereld De Leefwereld De Bedoeling Begrijpbare taal voor elkaar Standaard werk voor de IT-auditor Een expert spreekt met een expert Audit 39
40 2 Een Nieuw Werkproces De Systeemwereld De Leefwereld De Bedoeling Denkrichting The Management System The director The manager The user The customer etc. Risicoparagraaf Hoe koppel je de boodschap terug aan de bestuurder binnen de context van de bedoeling? 40
41 3 De Huidige situatie De Bedoeling Denkrichting De Systeemwereld De Leefwereld The Management System The director The manager The user The customer etc. Dit is de klassieke fout van de beveiliger en IT-auditor De boodschap is niet in context van de Bedoeling Het landt niet bij de echte wereld Verkeerde risico s en verkeerde assen (vanuit Systeemwereld) 41
42 4 De Gewenste Audit in 2020 De Systeemwereld De Leefwereld Randvoorwaardelijk De Bedoeling Denkrichting The Management System The director The manager The user The customer etc. Dit is gewenst, maar dit lukt niet De groene mensen kunnen niet op papier zetten welke nonfunc zij nodig hebben De beveiliger kan dit niet zelf bedenken (begrijpt de bedoeling niet) Hiervoor is een middel nodig 42
43 5 Redeneren vanuit de Bedoeling De Systeemwereld De Leefwereld Randvoorwaardelijk Faciliterend De Bedoeling Denkrichting Dit is gewenst De lijnen moeten kloppen! Vanuit het denkpatroon van de bestuurder bepaalt men de risico s en de aanpak voor de maatregelen Voorstel VNG en KING: Chief Information Security Officer (CISO) 43
44 Stelling: Gemeentelijke Bedoeling STELLING Het College van B&W redeneert vanuit de Bedoeling van de Gemeente, namelijk Openbare Orde en Veiligheid, en het zorgen voor de burgers, zoals gezondheid en sociale zekerheid. PRO B&W willen rust en welzijn binnen de Gemeente MOGELIJKE RISICO S VANUIT DE BEDOELING Fraude en gesjoemel Schending van wet- en regelgeving, zoals de privacy VERTALEN NAAR IB&P MAATREGELEN Gegevensclassificatie, AO/IC, functiescheiding, autorisatiebeheer, veilige webportal, leveranciersmanagement etc. VRAAG Is dit een logische analyse vanuit de Bedoeling? 44
45 Risicoanalyse voor de BIG 45
46 De BIRA Business IB&P Impact Analyse (BIRA) Ontwikkeld bij het UWV De BIR / BIG vereist Scoping en decompositie Identificatie van de kroonjuwelen Vaststellen van de classificatie voor CIA Top-down definiëren of controleren van de IB&P maatregelen Vaststellen van het netto risico (namelijk nà het treffen van de IB&P maatregelen) Eventueel extra maatregelen voorstellen N.B. Bottom-up werken leidt niet tot begrip bij de bestuurders 46
47 Te Beschermen Belang De Leefwereld De Bedoeling 2. Classificatie van informatie en functionaliteit 1. Scope en decompositie (Te Beschermen Belang, Bruto risico) De Systeemwereld Output: Classificatie 47
48 De 27 gereedschapskisten met IB&P maatregelen A AU D A AU D Toolbox Human, Conf en Dispose : IB&P maatregelen (bijv. ISO 27001, BIG) voor afdanken media en vernietigen van informatie, conform de classificatie Toolbox Financial, Integrity en Acquire : IB&P maatregelen voor het verifiëren van de bron en authenticiteit van een transactie, conform de classificatie A AU D Dispose Access & Use (incl. Disseminate) Acquire 48
49 Risicoanalyse Kwetsbaarheden Dreigingen 3de dimensie. Analyse van dreigingen, onder de conditie van de maatregelen (voor 27 cellen) A AU D A A AU AU D D Netto risico voor informatie Dispose Access & Use (incl. Disseminate) Acquire 49
50 The Information Assurance Cube 2. Classificatie van informatie en functionaliteit 1. Scope en decompositie Te Beschermen Belang = Bruto risico 3. Toolkits: 27 dozen met IB&P maatregelen, gebaseerd op het type informatie en CIA Netto risico 50
51 Vertrouwelijkheid CLASSIFICATIE VOOR VERTROUWELIJKHEID Alle informatie in de dossiers en systemen moet zijn geclassificeerd Klasse 0: Publieke informatie Klasse 1: Interne informatie Klasse 2 Privacy gevoelig, men wil niet dat dit ongeautoriseerd wordt onthuld Wbp Art. 16: Ras, religie, geaardheid etc. Financiële transacties aan burgers ( hoeft de buurvrouw niet te weten ) Klasse 3: Wbp Art. 9.4: Medische informatie, bijv. van keuringsarts Strafrechtelijke informatie Bulkinformatie voor profiling Regel: Naarmate informatie waardevoller is, hebben minder personen toegang (isolatie, autorisatiebeheer, versleutelen) 51
52 Borgen van Vertrouwelijkheid Hoogwaardige en accurate informatie in een veilige omgeving Regels Niet naar boven lezen Niet naar beneden schrijven Isolatie tussen niveaus Combineer en valideer informatie, verrijken, verhogen van de waarde Veel laagwaardige informatie, soms niet accuraat, in een onveilige omgeving Dept of Defence Geen declassificatie van hoogwaardige informatie Verstrek alleen beperkte informatie die echt nodig is, zoals commando s (met gezond verstand) Bell LaPadula model: Verrijken van militaire informatie (Dit is de basis voor dataclassificatie volgens ISO 27001, BIG, VIR-BI etc.) 52
53 Het Bell LaPadula Model en privacy wetgeving A AU D Voorbeelden in de Wet politiegegevens (Wpg) A AU D A A AU AU D D Acquire, bijv.: Bronvermelding Valideren informatie of vernietigen Access and use, bijv.: 5 niveaus van vertrouwelijkheid Strikte regels voor eigenaarschap, toegang, isolatie, verspreiding etc. per niveau Disposal, bijv.: Na 5 jaar, de informatie wordt vergrendeld 5 jaar later, de informatie wordt op een gecontroleerde wijze vernietigd 53
54 Voorbeeld van een toolkit H, C, D A AU D Disposal, bijv.: Na 5 jaar, de informatie wordt vergrendeld 5 jaar later, de informatie wordt op een gecontroleerde wijze vernietigd D BIG maatregelen, bijv.: Veilig verwijderen van apparatuur 10.7 Behandeling van media (Geen maatregel voor tijdige vernietiging, die eis moet komen uit het werkproces) 54
55 Financiële integriteit De Gemeente heeft inkomsten en uitgaven Hoe voorkomt men fraude met transacties? SCHEIDING VAN HANDELINGEN De medewerker die een dossier of claim afhandelt, mag niet betrokken zijn bij de financiële transactie De medewerker die transacties klaarzet, mag niet betrokken zijn bij het accorderen De medewerker die accordeert, mag niet betrokken zijn bij het controleren of alle transacties goed en conform de regels zijn verlopen Etc. AUTORISATIEBEHEER Een medewerker mag alleen toegang hebben tot de functionaliteit en informatie die nodig is voor het uitvoeren van de functie Een leidinggevende accordeert de autorisaties en controleert die Een medewerker mag niet de eigen autorisaties kunnen veranderen 55
56 De originele tekening van het Clark-Wilson Integrity model (1987) Samenvatting van System Integrity Rules USERS E3: Authenticatie van gebruiker C1: IVP valideert CDI IVP Integrity Verification Procedure C5: TP valideert UDI Controlled Transaction CDI CDI LOG Uncontrolled Transaction UDI Systeem in bepaalde toestand TP Transaction Processor E2: Gebruiker is bevoegd voor TP C3: Scheiding van handelingen C2: TP zorgt voor veilige toestand CDI CDI LOG C4: TP schrijft log E4: Wijzigen van autorisatielijst alleen door Security Officer E1: CDIs alleen bewerken door bevoegde TP Clark-Wilson Model: Borgen integriteit van financiële transacties 56
57 Het Clark-Wilson Model en Financiële Transacties A AU D A AU D Clark-Wilson Integrity model A AU D C1 C5 USERS C2 E2 C3 E3 A AU D IVP CDI CDI LOG UDI TP CDI CDI LOG E4 System in some state E1 C4 57
WIFI CODE: Stuur SMS 79vu NAAR
WIFI CODE: Stuur SMS 79vu NAAR +31 6 5 128 7 129 Seminar programma 09:00 Ronald Paans, VU 09:15 Edo Roos Lindgreen, KPMG 09:50 Arthur de Groot, Deloitte en IIFC 10:30 Koffie 10:50 Peter Eimers, PwC Accountants
Nadere informatieGGM zkt prtnr (M/V) Status gegevensmanagement bij de Nederlandse gemeenten. 7 November 2016 Wim Stolk Expertgroep Gegevensmanagement Gemeenten
GGM zkt prtnr (M/V) Status gegevensmanagement bij de Nederlandse gemeenten 7 November 2016 Wim Stolk Expertgroep Gegevensmanagement Gemeenten Informatiesamenleving en Gegevensmanagement #informatieprofessional
Nadere informatieSecurity Operations Centre (SOC) for Information Assurance
Security Operations Centre () for Information Assurance Modelleren en meten van de effectiviteit Stef Schinagl vrije Universiteit amsterdam 10 december 2014 File: Vurore Presentatie Seminar 2014 12 10
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieMedische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!
Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze
Nadere informatieProtocol meldplicht datalekken
160235/1180 Protocol meldplicht datalekken Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij de
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatieAgenda. De AVG: wat nu?
De AVG: wat nu? 1 Agenda 1. Welke wetgeving kennen we? 2. Soorten gegevens 3. Uitgangspunten van de Wbp 4. Uitgangspunten AVG/GDPR 5. Verwerkersovereenkomsten 6. Uitwisselen van gegevens 7. Datalekken
Nadere informatieStappenplan Algemene Verordening Gegevensbescherming (AVG)
E: info@koornetwerk.nl I: www.koornetwerk.nl 1 januari 2018 A: Bartókstraat 4 6661 AT Elst The Netherlands Stappenplan Algemene Verordening Gegevensbescherming (AVG) Op 25 mei 2018 is de Algemene Verordening
Nadere informatieProtocol datalekken Samenwerkingsverband ROOS VO
1 Protocol datalekken Samenwerkingsverband ROOS VO. 3.02 Protocol datalekken is onderdeel van Handboek Informatie Beveiliging en Privacy SWV ROOS VO 2 Inhoud Inleiding... 3 Begrippenlijst... 4 1. Is de
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieAVG / GDPR en Onderwijs Algemene verordening gegevensbescherming General Data Protection Regulation
AVG / GDPR en Onderwijs Algemene verordening gegevensbescherming General Data Protection Regulation Ronald Paans Noordbeek 16 november 2017 File: AVG Presentatie Intergrip scholen 2017, Version: 1.00 ronald.paans@noordbeek.com
Nadere informatieCloud computing Helena Verhagen & Gert-Jan Kroese
Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg
Nadere informatiePrivacy wetgeving: Wat verandert er in 2018?
Privacy wetgeving: Wat verandert er in 2018? Werkgevers verwerken op grote schaal persoonsgegevens van hun werknemers. Vanaf mei 2018 moet elke organisatie voldoen aan de Algemene Verordening Gegevensbescherming
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy
Nadere informatieMeldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016
Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht
Nadere informatieHelp, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy
Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van
Nadere informatieWat moet je weten over... privacy en passend onderwijs?
Erik van Roekel Wat moet je weten over... privacy en passend onderwijs? Job Vos (adviseur privacy) 7 december 2017, Eindhoven Er is al langere tijd voor privacy in het onderwijs Aandacht voor privacy niet
Nadere informatieProtocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS
Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS Datum: 14-5-2018 Geactualiseerd en met instemming van de GMR (datum) door het CvB vastgesteld (datum) Inhoud Aanleiding... 3 Kader... 3 Afwegingen...
Nadere informatieAanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018
Aanpak AVG Rob Hendriks Hoofd ICT 23 januari 2018 - voorbereiding - aanpak - actiepunten - aandachtspunten agenda wat, maar niet hoe https://autoriteitpersoonsgegevens.nl 1. het AVG-team: directiesecretaris
Nadere informatieECIB/U201501573 Lbr. 15/079
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) betreft Privacy: de Europese Algemene Verordening Gegevensbescherming & de Meldplicht Datalekken
Nadere informatieGDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E
GDPR voor providers Woensdag 28 maart 2018 14.15-15.00 uur mr. Michelle Wijnant ICTRecht CIPP/E PROGRAMMA: GDPR MASTERCLASS Ontwikkeling privacywetgeving begrippen Rolverdeling beginselen AVG: 10 belangrijkste
Nadere informatieSamenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland
Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie
Nadere informatieonderzoek en privacy WAT ZEGT DE WET
onderzoek en privacy WAT ZEGT DE WET masterclass research data management Maastricht 4 april 2014 presentatie van vandaag uitleg begrippenkader - privacy - juridisch huidige en toekomstige wet- en regelgeving
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieDATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar
DATALEK PROTOCOL Versie 1.0. /08.2017. I.D. Wagenaar Op 1 januari 2016 is de meldplicht datalekken ingevoerd. Dit houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij
Nadere informatieWaarom privacy een relevant thema is En wat u morgen kunt doen
Waarom privacy een relevant thema is En wat u morgen kunt doen Voorstellen Frank van Vonderen audit, informatiebeveiliging & privacy Management Consultant Adviseur én in de modder 20 jaar in 5 stappen:
Nadere informatieProcedure meldplicht datalekken
Procedure meldplicht datalekken Gemeente Bunnik Versie : 2.0 Datum : april 2018 1 Inleiding Dit document omschrijft de procedure van de meldplicht datalekken Bij deze procedure horen twee bijlagen: IBD
Nadere informatieDatalekken (en privacy!)
Datalekken (en privacy!) Anita van Nieuwenborg Strategisch adviseur Privacy Gerard Heimans Adviseur Informatiebeveiliging 2 En wat is privacy? - Persoonlijke vrijheid - Recht op een persoonlijke levenssfeer
Nadere informatieBeleid en procedures meldpunt datalekken
Beleid en procedures meldpunt datalekken Versie juli 2016 Inhoud: Wetgeving en kaders 3 Stichting Baasis beleid en uitgangspunten 4 Procedure/proces meldpunt datalekken 5 2 Wetgeving en kaders Meldplicht
Nadere informatieProtocol Meldplicht Data-lekken
Protocol Meldplicht Data-lekken 1. Doel van het protocol De procedure meldplicht datelekken is opgesteld vanuit het document `De meldplicht data-lekken in de Wet Bescherming Persoonsgegevens (WbP). Het
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van
Nadere informatie25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink
Privacyrecht & de AVG 2 mei 2018 Rob Tijdink Koningstraat 27-2 T + 31 88 322 6000 info@daanlegal.nl 6811 DG Arnhem F + 31 88 322 6001 www.daanlegal.nl 25 mei a.s. een nieuwe privacyverordening Bron: Financieele
Nadere informatieNieuwe privacyregels: Eitje of zwarte zwaan?
1 Nieuwe privacyregels: Eitje of zwarte zwaan? Jaarvergadering Ledengroep Intern en Overheidsaccountants Nederlandse Beroepsorganisatie van Accountants Donderdag 14 september 2013 Wolter Karssenberg RE
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieCoöperatie Boer en Zorg b.a. Procedure meldplicht datalekken
Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken Versie: 1.02 d.d. 13-juni-2018 Inhoud 1.2 Doel en reikwijdte... 3 2. Procedure Datalek... 4 2.1 Melden incident bij FG... 4 2.1.1 Registratie...
Nadere informatieWet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken
Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken De Wbp is al sinds 1 september 2001 van kracht en bevat bepalingen omtrent het rechtmatig omgaan met persoonsgegevens. Op 1 januari
Nadere informatieSamen werken aan informatieveiligheid & Privacy. 9 november 2017 PvIB
Samen werken aan informatieveiligheid & Privacy 9 november 2017 PvIB Samenstelling CIP-Netwerk 1-9-17 De PDC in Context CIP-activiteiten en producten Weerbaarheid Herstelvermogen Bevorderen SAMEN DOEN
Nadere informatiePrivacybeleid gemeente Wierden
Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Binnen de gemeente Wierden wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk
Nadere informatieBoels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer
Boels Zanders De kracht van ambitie Privacy Implementatie van de AVG Rens Jan Kramer Rens Jan Kramer Advocaat Intellectuele eigendom, ICT, Media- en Reclamerecht +31 (0)88 30 40 149 +31 (0)6 46 18 67 23
Nadere informatiePrivacy in het jeugddomein
Privacy in het jeugddomein VNG-regiobijeenkomsten Jeugd 16-12-2016 Hans Versteeg, VNG Privacy in de actualiteit Calamiteiten Te weinig samenwerking en informatiedeling door professionals roep om meer regie
Nadere informatieLWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer
LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieBelangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene
Belangrijke begrippen Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene Grondslagen voor gegevensverwerking 1. Toestemming 2. Noodzakelijk voor uitvoering overeenkomst 3. Noodzakelijk
Nadere informatieSamen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen
AVG@JenV Samen werken aan privacy Special AVG voor itour 24 april 2018 Pieter de Groot & Henk-Jan van der Molen Wat eraan vooraf ging 1 van 2 Grondrecht 2 maart 1814 Privacy = het recht om met rust gelaten
Nadere informatieAlgemene Verordening Gegevensbescherming
Algemene Verordening Gegevensbescherming Stelling De Algemene Verordening Gegevensbescherming wijkt niet sterk af van de Wet Bescherming Persoonsgegevens. Toestemming Toestemming van betrokkene moet uitdrukkelijk
Nadere informatieINFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop
INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG 25 juni 2018 Paul Frencken Johan van Middelkoop GEBRUIKTE AFKORTINGEN Afkorting Betekenis AVG Algemene Verordening Gegevensbescherming (ook wel de privacy wetgeving)
Nadere informatiePLATFORM IZO 21 OKTOBER 2016
PLATFORM IZO 21 OKTOBER 2016 Wat is er aan de hand? Actualiteit, media, politiek Calamiteiten Te weinig samenwerking en informatiedeling door professionals roep om meer regie (Heerlen) Juridische kritiek
Nadere informatiePrivacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017
0 Privacy Officer De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017 Net2Legal Consultants (www.n2l.nl) schreuders@n2l.nl Net2legal Consultants 2016 Casus Vragen: Welke taken,
Nadere informatieGDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn
Even voorstellen Maarten de Rooij IT Business Professional, ACA IT-Solutions IT Consultant rol Analyse & advies Proces begeleiding Data privacy specialisme Tijdslijn Wet bescherming persoonsgegevens 1
Nadere informatieCompany statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7
Company statement Algemene verordening gegevensbescherming AVG Informatie voor professionele relaties (v2018.02) 1 / 7 Algemene verordening gegevensbescherming Inleiding Op 25 mei 2018 treedt de Algemene
Nadere informatieDe impact van Cybercrime & GDPR
De impact van Cybercrime & GDPR Agenda 1 2 3 GDPR in vogelvlucht Compliance Checker Waar te beginnen? GDPR in vogelvlucht Meldplicht datalekken 1+ jaar na intrede 01-01-2016: WBP en Meldplicht Nederland
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy
Nadere informatieDe Meldplicht Datalekken. mr. N. Falot 8 oktober 2015
De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy
Nadere informatieVita Zwaan, 16 november 2017
Vita Zwaan, 16 november 2017 1 Het bb-privacy team Christiaan Alberdingk Thijm Vita Zwaan Caroline de Vries Lex Keukens Silvia van Schaik Marieke Berghuis Oskar Mulder Esther Janssen 2 Inleiding privacyrecht
Nadere informatieVERWERKERS- OVEREENKOMST <NAAM BEDRIJF>
VERWERKERS- OVEREENKOMST Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen Versie: April 2019 5. Beoogd gebruik Product/dienst A is ontworpen
Nadere informatiePrivacy en Security AVGewogen beleid 29 november 2017
Benjamin Williams LLM, CIPP/E CIPM Privacy Management Partners benjamin.williams@pmpartners.nl www.pmpartners.nl Privacy en Security AVGewogen beleid 29 november 2017 Introductie Name: Benjamin Williams
Nadere informatieHandreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018
Handreiking Protocol informatiebeveiligingsincidenten en datalekken Stichting KBO Haarlem-Schoten Versie: 27 mei 2018 Bron: Dit document is gebaseerd op het Protocol informatiebeveiligingsincidenten en
Nadere informatiePlan 5 6-11 7 - 41-43 76-78
Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale
Nadere informatieHOE OMGAAN MET DE MELDPLICHT DATALEKKEN?
HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We
Nadere informatieRaadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding
Raadsbesluit Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/574466 1. Inleiding Aanleiding Privacy is een onderwerp dat de laatste jaren veel in de belangstelling staat. Data zijn hot en worden het
Nadere informatieVeilig mobiel werken. Workshop VIAG 7 oktober 2013
1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde
Nadere informatieProtocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)
Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG) betreffende procedures inzake de melding en afhandeling van inbreuken
Nadere informatiePrivacy statement ROM3D
Privacy statement ROM3D Dit is het Privacy Statement van Rom3D. Om je goed van dienst te zijn en om ons werk zo efficiënt en effectief mogelijk uit te voeren, verwerkt Rom3D jouw persoonsgegevens. Rom3D
Nadere informatieWettelijke kaders voor de omgang met gegevens
PRIVACY BELEID SPTV Namens SPTV wordt veel gewerkt met persoonsgegevens van (ex-) medewerkers. De persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren van de pensioenregelingen. De (ex-)
Nadere informatieGegevensbescherming/Privacy
Gegevensbescherming/Privacy Invoering AVG bij de SVB Hatice Dogan Functionaris Gegevensbescherming 17 mei 2018 Wat nu! 'Veel bedrijven voldoen nog niet aan nieuwe Europese privacywetgeving' Veel Nederlandse
Nadere informatieAlgemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017
Algemene Verordening Gegevensbescherming Alex Commandeur Den Haag 6 juni 2017 Vanaf 25 mei 2018 Algemene Verordening Gegevensbescherming Kern van de AVG Sterkere en uitgebreidere privacyrechten Meer verantwoordelijkheden
Nadere informatieDatalek dichten en voorkomen. 21 april 2017
Datalek dichten en voorkomen 21 april 2017 Wat zijn datalekken? Wettelijke definitie Wet Bescherming Persoonsgegevens: een inbreuk op de beveiliging, als bedoeld in artikel 13 Wbp moet worden gemeld.
Nadere informatieDE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO
DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO De Algemene verordening gegevensbescherming Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf
Nadere informatieRaadsmededeling - Openbaar
Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding
Nadere informatieVraag 1: Is er sprake van verwerking van persoonsgegevens?
Protocol datalekken Version: Versie 1.1, vastgesteld op 2 maart 2016 Status: Dwingende interne instructie Goede naleving door Holla van de Algemene verordening gegevensbescherming (AVG) is cruciaal. Dit
Nadere informatieBijlage Gegevensverwerking. Artikel 1 - Definities
Bijlage Gegevensverwerking Artikel 1 - Definities De namen en begrippen in deze Bijlage die met een hoofdletter worden geschreven, hebben de hiernavolgende betekenis: 1.1 Persoonsgegevens: alle informatie
Nadere informatieWerkwijze DGSenB voor rechtmatige en gestructureerde gegevensuitwisseling
Werkwijze DGSenB voor rechtmatige en gestructureerde gegevensuitwisseling Versie 1.0-1 juni 2017 Ten geleide Voorliggend document betreft een werkwijze voor rechtmatige en gestructureerde gegevensdeling;
Nadere informatieFactsheet DATALEKKEN COMPLIANT Managed Services
Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.
Nadere informatiePrivacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3
PRIVACYREGLEMENT Inhoudsopgave Voorwoord... 2 Privacybepalingen... 3 1. Begripsbepalingen... 3 2. Toepassingsgebied... 3 3. Doel van de verwerking van persoonsgegevens... 4 4. Verwerking van Persoonsgegevens...
Nadere informatieHelp een datalek! Wat nu?
Help een datalek! Wat nu? Een aantal ervaringen uit de praktijk Tonny Plas Adviseur informatie- en ibp-beleid voor schoolbesturen in het po en vo Aanleiding Op 1 januari 2016 is er een meldplicht datalekken
Nadere informatieWORKSHOP HOE BORG JIJ DE PRIVACY VAN JE KLANTEN?
WORKSHOP HOE BORG JIJ DE PRIVACY VAN JE KLANTEN? BVK VOORJAARSCONGRES 2016: GLUREN BIJ DE 3D BUREN MARTINE MIDDELVELD 12 MEI 2016 1 Stelling Privacy staat integraal werken in het sociaal domein in de weg
Nadere informatieEen nieuwe identiteit, voor je het weet heb je hem nodig! Anita van Nieuwenborg Kwartiermaker Privacydienstverlening KING
Een nieuwe identiteit, voor je het weet heb je hem nodig! Anita van Nieuwenborg Kwartiermaker Privacydienstverlening KING https://www.youtube.com/watch?v=z-we6vcoxbk Wat is privacy? Google: Privacy is
Nadere informatieAgenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht
(AVG) Introductie Peter van der Zwan Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht 10:15 AVG, hoe nu verder -
Nadere informatieMeldplicht datalekken
Meldplicht datalekken Peter Westerveld Directeur en principal security consultant Sincerus consultancy Sincerus Cybermonitor Opgericht in 2004 20 medewerkers Informatiebeveiliging Zwolle en Enschede 15-02-16
Nadere informatieWat moet je weten over... privacy en passend onderwijs?
Erik van Roekel Wat moet je weten over... privacy en passend onderwijs? Job Vos (adviseur privacy) 22 maart 2018, Doetinchem Hallo allemaal, wat fijn dat u er bent 2 Hallo allemaal, wat fijn dat u er bent
Nadere informatieProtocol Beveiligingsincidenten en datalekken
Protocol Beveiligingsincidenten en datalekken Petrus Canisius College Vastgesteld juli 2018 (18 6227b) CDO: 4 juni 2018 MR: 2 juli 2018 CDO: 4 juni 2018 MR: 2 juli 2018 Protocol beveiligingsincidenten
Nadere informatieDe AVG en de gevolgen voor de uitvoeringspraktijk
De AVG en de gevolgen voor de uitvoeringspraktijk mr. J.K. (Jennifer) Lanser Van den Bosch & Partners 9 oktober 2018 Per 25 mei 2018 de AVG Algemene verordening gegevensbescherming General Data Protection
Nadere informatieIMMA special Privacy. Amersfoort, 20 april 2016
IMMA special Privacy Amersfoort, 20 april 2016 Iris Koetsenruijter: koetsenruijter@considerati.com, 06-28613217 Rob Mouris: rob.mouris@minienm.nl, 06-27061622 1 Opzet Special 09.30-09.45 Voorstelronde
Nadere informatieDe bewerkersovereenkomst
De bewerkersovereenkomst Astrid Gobardhan Advocaat/Corporate Privacy Counsel Naspers April 2018 1 1 Inhoud Bewerkersovereenkomst Elementaire aandachtspunten PIA Elementaire aandachtspunten 2 BEWERKERSOVEREENKOMST
Nadere informatiePrivacyreglement In dit reglement geeft de HVZ aan op welke wijze zij omgaat met privacy en persoonsgegevens.
PRIVACYREGLEMENT VAN DE HISTORISCHE VERENIGING ZWARTSLUIS (Verder te noemen HVZ) Secretaris, De Zwanebloem 7, 8064 HK Zwartsluis. Inschrijving Kamer van Koophandel onder nummer 40062490. E-mail: info@historiezwartsluis.nl
Nadere informatiePrivacy & online. 9iC9I
Privacy & online https://www.youtube.com/watch?v=f7pyhn 9iC9I AVG en de gemeente Wat komt er op ons af? Daniël Bloemers 23 november 2017 Informatieveiligheid en de gemeente Privacy en het werk Waarom ibewust:
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieAnita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015
Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-
Nadere informatieDefinitieve versie d.d. 24 mei Privacybeleid
Definitieve versie d.d. 24 mei 2018 Privacybeleid Procedure: MT/DB besluit d.d. 24 mei 2018 INLEIDING Binnen Rentree wordt gewerkt met persoonsgegevens van huurders, medewerkers en (keten)partners. Persoonsgegevens
Nadere informatieAgenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017
Introductie Peter van der Zwan Douwe de Jong Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017 16:00 Handvatten Informatieveiligheid
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatiePRIVACYBELEID GEMEENTE ALMELO
PRIVACYBELEID GEMEENTE ALMELO 2018-2021 Gebaseerd op de Algemene Verordening Gegevensbescherming (AVG) Nota 02 Intern - 63102 Vastgesteld door GO dd. 07-02-2019 INHOUDSOPGAVE 1 INLEIDING 2 1.1 Algemeen
Nadere informatiePRIVACYBELEID CONVENIENT FASTGUIDE BV
PRIVACYBELEID CONVENIENT FASTGUIDE BV Datum: 22-05-2018 A. ALGEMEEN A.1. DOEL VAN DIT PRIVACYBELEID Dit privacy-beleid is bedoeld om een algemeen "raamwerk" te omschrijven voor hoe Convenient Fastguide
Nadere informatieGegevensuitwisseling en gegevensbescherming Wmo en AWBZ
Gegevensuitwisseling en gegevensbescherming Wmo en AWBZ Platform IZO 20 september 2013 Mr. P.L. Coté MBA Wie zijn wij? > Adviseurs voor bestuur, recht en ICT: privacybescherming identitymanagement taxonomieën
Nadere informatiePrivacy Scan VISD juni 2014. Antwoordcategorie Ja/Nee/ Onbekend
1 Governance Deze vragen geven inzicht in de te ondernemen acties met betrekking tot de governance en organisatie van privacy. Dit is afhankelijk van de lokale situatie vanaf 2015. Elke gemeente moet nadenken
Nadere informatieMeldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016
Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Inhoudsopgave 1. Wet Bescherming Persoonsgegevens 2. Wat is een datalek? 3. Wanneer moet
Nadere informatieProtocol meldplicht datalekken
Protocol meldplicht datalekken Dehlia Kracht B.V. Protocol meldplicht datalekken aan de Functionaris voor de Gegevensbescherming G r o e n e s t r a a t 2 9 4, 6 5 3 1 J C N i j m e g e n Inhoudsopgave
Nadere informatie