NEEM DE REGIE OVER INFORMATIEBEVEILIGING. ICT Waarborg Gecertificeerd

Transcriptie

1 NEEM DE REGIE OVER INFORMATIEBEVEILIGING ICT Waarborg Gecertificeerd

2 AGENDA 10 MEI 2016 Introductie informatiebeveiliging Juridische Vereisten Informatiebeveiliging: Autoriteit persoonsgegevens = College bescherming persoonsgegevens Wet bescherming persoonsgegevens Meldplicht datalekken Praktische Aanpak Informatiebeveiliging: hoe regel ik dit nu?

3 IT TRENDS & MOGELIJKE BEDREIGINGEN Waar gaat het over?

4 Devices, Mobility Smartphone, tablet End-user computing Social Communication Social collaboration Social Media Mail Analytics Big Data Internet shopping (Bol.com) Wikipedia Cloud Services Google Drive icloud Dropbox SaaS IT TRENDS & MOGELIJKE BEDREIGINGEN

5 PRIVACY & SECURITY IN DE DIGITALE ECONOMIE Waarom moet je in beveiliging investeren?

6 PRIVACY SECURITY CONTINUITY Bescherming van uw identiteit en uw vertrouwelijke klant- en bedrijfsgegevens tegen fraude Bescherming van informatie en systemen is nodig voor bijvoorbeeld veilige financiële transacties Nieuwe wetswijziging voor de omgang met privacygevoelige klantgegevens vanuit de CBP en EU PRIVACY & SECURITY IN DE DIGITALE ECONOMIE

7 CYBERCRIMINELEN RICHTEN ZICH OP BEDRIJVEN 1 op de 8 ondernemers is het slachtoffer van bedrijfscriminaliteit

8 BREACH LEVEL INDEX 2015

9 MAIN CONCERN Only 4% of the lost data was encrypted BREACH LEVEL INDEX 2015

10 Aantal datalekken in 2015: totaal verloren bestanden In lag de focus nog op financiele gegevens, zoals o.a. creditcards In 2015: 53% van de datalekken betrof identiteits- en persoonsgegevens In Nederland 540 gevallen van identiteitsfraude per dag 22% van de datalekken vond plaats in de sector gezondheidszorg, daarmee verovert deze sector de eerste plaats Van alle verlorengegane bestanden zijn43% afkomstig van de overheid, ook dat levert een eerste plaats op BRON: BREACHLEVELINDEX 2015, report BREACHLEVELINDEX 2015

11 DATALEKKEN

12 DEFINITIE VAN CYBERCRIMINELEN

13 HOE GAAN WE HIER NU MEE OM? Bewustwording beveiliging

14 AUTORIJDEN DATEN 1. AUTOGORDEL 2. AIRBAGS 3. BANDEN 4. BRANDSTOF 5. VERLICHTING 6. REMMEN 7. OLIE & KOELWATER OF 1. CONDOOM 2. STEVIGE PERSOONLIJKHEID 3. HELDER GESPREK 4. VOLDOENDE GELD 5. VERTROUWEN 6. VLUCHTWEG AANWEZIG 7. HET JUISTE DRANKJE OMGANG BEVEILIGING

15 MAAR INTERNETTEN 1. VIRUSSCANNER & FIREWALL 2. BACKUP & CALAMITEITENPLAN 3. OS & SOFTWARE UP-TO-DATE 4. NOTEER GEGEVENS APPARATEN 5. ROBUUST WACHTWOORD 6. BELEID VERWIJDEREN APPARATEN 7. KWALITEIT CLOUD PROVIDER OMGANG BEVEILIGING

16 HOE GAAT DATA VERLOREN? Menselijke invloed en technologie

17 Hackers die actief het netwerk binnendringen om informatie te stelen ook via de cloud Het onbewust en ongewild lekken van gegevens via browsersessies, , USB sticks Verlies of diefstal van apparaten Het posten van berichten op sociale netwerksites Het opslaan van gegevens op publieke cloud drives door medewerkers die bedrijfsgegevens op de mobiele telefoon willen raadplegen Afgeschreven en afgedankte apparaten die worden verkocht of doorgegeven, waarvan aanwezige data niet goed is verwijderd Het bewust lekken van data door medewerkers HOE DATA VERLOREN GAAT

18 "Door een menselijke fout is het bestand 33 dagen lang toegankelijk geweest voor onbevoegden", schrijft de raad van bestuur van het Sint Anna Ziekenhuis

19 PANAMA PAPERS 2016

20 PANAMA PAPERS

21 Waarom is IT Privacy & Security belangrijk?

22 AUTORITEIT PERSOONSGEGEVENS WET BESCHERMING PERSOONSGEGEVENS, MELDPLICHT DATALEKKEN

23 AANSPRAKELIJKHEID & RISICO S voorheen Artikel 49 Wbp aansprakelijkheid verantwoordelijke & bewerker Benadeelde (=iemand die schade lijdt) heeft recht op schadevergoeding (zowel materieel als immaterieel) Verantwoordelijke is aansprakelijk Bewerker aansprakelijk voor de schade die is ontstaan door de exacte werkzaamheden van bewerker Strafrechtelijk aansprakelijk Geldboete maximaal EUR Actie CBP Bestuurlijke boete opleggen maximaal EUR Altijd vooraf mogelijk overtreding ongedaan te maken

24 AANSPRAKELIJKHEID & RISICO S NU Meldplicht datalekken Verhoging boetebevoegdheid CBP Boetes verhoogd tot EUR of 10% van de omzet Concept boetebeleidsregels

25

26 WANNEER IS WBP VAN TOEPASSING? 1 Juridisch kader EU richtlijn 1995 Nieuwe EU wet maart 2014 > uitrol in EU unie NL: Wet bescherming persoonsgegevens (Wbp) Meldplicht datalekken 2015 Europese Verordening (2016?) Verder CBP richtsnoeren Artikel 29 Werkgroep opinies Gedragscodes Specifieke wetten (bv Telecommunicatiewet)

27 WANNEER IS WBP VAN TOEPASSING? 2 Definities Persoonsgegeven Betrokkene (Data Subject) Verantwoordelijke (Controller) Bewerker (Processor)

28 WANNEER IS WBP VAN TOEPASSING? 3 Wbp is van toepassing op de verwerking van persoonsgegevens Verwerking Elk geheel van handelingen met betrekking tot persoonsgegevens Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon

29 WANNEER IS WBP VAN TOEPASSING? 4 Verwerking verzamelen, vastleggen en ordenen bewaren, bijwerken en wijzigen opvragen, raadplegen, gebruiken verstrekken door middel van doorzending verspreiding of enige andere vorm van terbeschikkingstelling samenbrengen, met elkaar in verband brengen afschermen, uitwissen of vernietigen van gegevens Persoonsgegevens NAW-gegevens / adres / telefoonnummer IP-adres Locatiedata Foto s

30 WANNEER IS WBP VAN TOEPASSING? 5 Bijzondere persoonsgegevens Godsdienst of levensovertuiging Ras Politieke gezindheid Gezondheid Seksuele leven Lidmaatschap van een vakbond Strafrechtelijk verleden Gebruik van bijzondere persoonsgegevens niet toegestaan tenzij uitzondering in de wet

31 WANNEER IS WBP VAN TOEPASSING? 7 Betrokkene degene op wie persoonsgegeven betrekking heeft Verantwoordelijke de partij die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt Bewerker de partij aan wie de verantwoordelijke de verwerking van persoonsgegevens heeft uitbesteed

32 WAT MAG WEL EN WAT MAG NIET? UITVOERIG IN DE WET BESCHREVEN VOOR BETROKKENE, VERANTWOORDELIJKE EN BEWERKER

33 WAT MAG WEL EN WAT MAG NIET? Beveiliging Passende technische en organisatorische maatregelen

34 MELDPLICHT DATALEKKEN 1 Ingangsdatum 1 januari 2016 wijziging van Wbp loopt vooruit op strengere Europese Privacy Verordening ( ) College Bescherming Persoonsgegevens wordt Autoriteit Persoonsgegevens Verplichting tot melding datalekken binnen 72 uur Uitbreiding opleggen bestuurlijke boetes

35 MELDPLICHT DATALEKKEN 2 Datalek? Alle beveiligingsincidenten waardoor de bescherming op enig moment is doorbroken Waardoor de bescherming van persoonsgegevens op enig moment is doorbroken Waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking Voorbeelden Kwijtgeraakte usb-stick / gestolen laptop Inbraak door hacker / malware-besmetting Verzending van mail waarin gegevens van anderen zichtbaar zijn Maar ook: calamiteit zoals brand Per abuis wissen van een bestand

36 SAMENVATTING WET MELDPLICHT DATALEKKEN DE WET BESCHRIJFT VERSCHILLENDE DIMENSIES: Organisatorische Personele Juridische Omgevingsfactoren die van invloed zijn (klanten, relaties, partners) WAT MOET JE NU DOEN OM GEEN BOETE RISICO TE LOPEN? Laat je adviseren door specialisten

37 PRAKTISCHE AANPAK INFORMATIEBEVEILIGING SAMENVATTING

38 NEEM DE REGIE OVER UW INFORMATIEBEVEILIGING Managed ICT Privacy, Security & Continuity WAAROM? DIMENSIES HOE? PRIVACY SECURITY CONTINUITY ORGANISATIE TECHNISCH MEDEWERKERS JURIDISCH 1 ADVIES 2 IMPLEMENTATIE 3 BEHEER ICT Waarborg Gecertificeerd

39 Uw bedrijf valt onder de wet Meldplicht Datalekken. Dit betekent dat u verplicht bent technische-, organisatorische-, personele- en juridische maatregelen te treffen. Bij een datalek (waarbij persoonsgebonden gegevens zijn betrokken) dient u dit te melden en aan te tonen dat u deze maatregelen hebt genomen, anders riskeert u een boete. NEEM DE REGIE OVER UW INFORMATIEBEVEILIGING Een praktische aanpak om dit risico binnen uw bedrijf in kaart te brengen is het laten uitvoeren van een risicoscan op de noodzakelijke organisatorische-, technische-, personele- en juridische aspecten. De uitkomst is een opsomming van mogelijke risico s die uw bedrijf loopt. U kunt dan de juiste beslissingen nemen om deze praktisch op te lossen.

40 CONTACT Jan Traas Wilma van de Meerakker Ed Muylkens