9.30 Inleiding Datalekken Alf Moens, SURF Het draait allemaal om uw data, Jeroen Vermeulen, Websense

Transcriptie

1 Seminar Datalekken Agenda 9.30 Inleiding Datalekken Alf Moens, SURF Het draait allemaal om uw data, Jeroen Vermeulen, Websense Pauze De Symantec Strategie, Johan Celis, Symantec Databeveiliging op Bestandsniveau, Ruud Klaiber, Triangle Solutions Afsluiting Napraten met een broodje 1

2 Meldplicht Datalekken à à à à à à à à à à à à 1 JANUARI 2016 ß ß ß ß ß ß ß ß ß ß ß ß Alf Moens 2

3 Meldplicht datalekken: 1 januari 2016 Wat is een datalek? Wanneer moet je melden? Bij wie moet je melden? Wat moet je geregeld hebben? Stappenplan, zie surf.nl (thema beveiliging en privacy, Algemene Verordening Gegevensbescherming) 3

4 Datalekken naar 600 bezoekers congres met adressen zichtbaar Volledig personeelsbestand op Dropbox Prive tablet met bedrijfs raakt verloren Encrypted USB-schijf met alle studieresultaten van 2009 raakt verloren. En wat als het de enige kopie is? Het datacentrum raakt door brand verloren. Meldplicht datalekken Wat is een datalek? Beveiligingsincident waar persoonsgegevens bij zijn betrokken en waar onrechtmatige verwerking of verlies heeft plaatsgevonden. TOEZICHTHOUDER Melden als het lek (aanzienlijke kans op) erns4ge nadelige gevolgen hee7 voor de bescherming van persoonsgegevens BETROKKENE(N) Melden als het lek waarschijnlijk onguns4ge gevolgen zal hebben voor diens persoonlijke levenssfeer Hoofdregel: De verantwoordelijke oordeelt of een datalek gemeld moet worden Daarom van belang: Wie zijn de verantwoordelijken en wie zijn de bewerkers? Hoe te oordelen: Richtsnoeren van het CBP 4

5 Wat is een datalek? Wanneer is er sprake van een datalek? De verwerking van de persoonsgegevens valt onder de WBP. Een inbreuk op de beveiliging van persoonsgegevens moet ruim worden geduid. Dit betreft alle beveiligingsincidenten waarbij de bescherming van persoonsgegevens op enig moment is doorbroken waardoor de persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens. Bij een malware-besmetting moet u ervan uitgaan dat er sprake kan zijn van een datalek. Bepaalde typen malware doorzoeken de besmette apparatuur op waardevolle persoonsgegevens zoals e- mailadressen, gebruikersnamen en wachtwoorden en creditcardgegevens, om de gevonden gegevens vervolgens weg te sluizen naar een server die in handen is van de aanvaller. het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek Maar ook (in de ogen van CBP): Het ontoegankelijk maken van informatie Zijn de gegevens blootgesteld aan verlies of onrechtmatige verwerking? Bron: consultatieversie Cbp richtsnoer datalekken, oktober 2015 Data in het Onderwijs HORA informatiemodel 5

6 Peroonsgegevens in het onderwijs en onderzoek Studenten Identificerende gegevens Studieresultaten Bijzondere persoonsgegevens Medewerkers Identificerende gegevens Salarisadministratie Bijzondere persoonsgegevens Proefpersonen Identificerende gegevens Bijzondere persoonsgegevens Aanmelders/vooraanmelders Identificerende gegevens Bijzondere persoonsgegevens Relaties Leveranciers Alumni Bijzondere persoonsgegevens Gegevens over: - Godsdienst of levensovertuiging - Ras - Sexuele leven - Poltitieke gezindheid - Lidmaatschap vakvereniging - Gezondheid (medische gegevens) - Strafrechtelijke gegevens En BSN (ook in afgeleide vorm) Vuistregel: BSN mag je nooit gebruiken tenzij daar een specifieke wettelijke grondslag is. Vraag altijd: Waar staat in de wet dat dit mag? Bron: artikel 16 Wbp 6

7 Een datalek, wat dan? Algemene meldplicht Inhoud van de melding aan CBP EN aan betrokkenen: - Aard van de inbreuk - De instantie waar meer informatie over de inbreuk gekregen kan worden - De aanbevolen maatregelen om negatieve gevolgen van de inbreuk te beperken - De geconstateerde en de vermoedelijke gevolgen van de inbreuk - De maatregelen die zijn getroffen Uitzonderingen: - Passende technische maatregelen waardoor gegevens onbegrijpelijk en ontoegankelijk zijn - Of, wanneer noodzakelijk in het belang van de bescherming van de betrokkenen of van de rechten en vrijheden van anderen 7

8 Een goed begin is het halve werk Noodzakelijke voorbereidingen Voorbereiding (zou onderdeel moeten zijn van configuratie management/asset managenent) Breng in kaart welke systemen persoonsgegvens bevatten, en van welke categorie deze zijn Breng in kaart wie betrokken zijn bij het beheer Maak met externe beheerpartijen (ook datacenters) afspraken over het melden van datalekken Uitgangspunt is dat de verantwoordelijke meldt! Datalek? Door blikseminslag onstaan schijffouten. Deze schijffouten veroorzaken permanent data verlies. Er is geen Backup. 8

9 Is dit een datalek? Een security officer komt er achter dat een van de medewerkers het volledige personeelsbestand op Dropbox heeft staan? Is dit een datalek? Zo ja, waarom Zo nee, is er dan iets anders mis in het kader van de privacy wetgeving? Is dit een datalek? Na een grote congres worstelt een collega met het versturen van een bericht aan alle medewerkers voor de evaluatie. Per ongeluk stuurt hij het bericht uit met alle 800 adressen zichtbaar. Is dit een datalek? Welke acties raad je aan? 9

10 Is dit een datalek? Een medewerker is zijn prive smartphone kwijt geraakt. Deze gebruikte hij ook voor de zakelijke . Is dit een datalek? Is dit een datalek? Papieren dossiers 10

11 Wat kost een datalek? Boetes Gekoppeld aan boete categorieen Wetboek van Strafrecht Bestuurlijke boete van ten hoogste het bedrag van de geldboete van de zesde categorie WvS, per 1/1/ Bepalingen uit de Wbp hebben elk een boete categorie gekregen, per categorie is er een bandbreedte Basisboete en mogelijke verhoging en verlaging Laagste boete is 0 Bron: consultatieversie Cbp beleidsregels boetes, oktober 2015 Relevante factoren Aard en omvang van de overtreding Duur van de overtreding Impact van de overtreding op betrokkenen en/of de maatschappij Verwijtbaarheid: Opzet of verwijtbare nalatigheid Omstandigheden waaronder overtreding is gepleegd Financiele omstadigheden overtreder Bron: consultatieversie Cbp beleidsregels boetes, oktober

12 Verzwarende omstandigheden Boete verhogend: - Reeds eerder onherroepelijk een zelfde of vergelijkbare overtreding begaan (+50%) - Overtreder heeft onderzoek door Autoriteit Persoonsgevevens (AP/CBP) tegengewerkt - Niet nakomen bindende aanwijzing Bron: consultatieversie Cbp beleidsregels boetes, oktober 2015 Verlichtende omstandigheden Boeteverlagend: - Overtreder werkt beter mee dan wettelijk verplicht - Overtreding uit eigen beweging beeindigd voor of bij eerste bekendwording met het onderzoek van AP - Overtreder heeft uit eigen beweging betrokkenen schadeloos gesteld Bron: consultatieversie Cbp beleidsregels boetes, oktober

13 Boete bevoegdheid van het CBP Niet alleen voor datalekken Voor ALLE artikelen van de Wbp! Voorbeeld boetes Gebruik BSN - Verbod verwerking bijzonder persoonsgegevens - Regels geautomatiseerde indviduele besluiten - Doeleinden omschrijving - Doelbinding - Beveiligingsverplichting (art. 13) Informatieplichten, inzagerecht - Maximale bewaartermijn - Recht op verbetering - Verbod doorgifte naar land buiten EER - Niet melden - Beveiligingsverplichting (art. 13) Maximale vergoeding inzagerecht - Kennisgeving regels - Informatieplichten Behoorlijke en zorgvuldige gegevensverwerking (art. 6 Wbp) Telecomwet Telecomwet Wet politiegegevens Wet justitiele en strafvordelijke gegevens Bron: consultatieversie Cbp beleidsregels boetes, oktober

14 Afhandeling Datalekken Hoe komt melding binnen? - Zelf ontdekt - Melding door betrokkene - Melding door beheerpartij - Melding door toezichthouder - Melding door derde - Responsible Disclosure melding Analyse - Categoriseren - Impact voor betrokkenen inschatten - Mogelijke maatregelen om schade te beperken bij betrokkene - Onderzoek ook andere systemen Afhandeling - Veilig stellen gegevens - Zorgvuldig en tijdig - Gat dichten! - Repareer schade - Melden CBP/AP - Informeren betrokkenen - Eventueel onderzoek strafbare feiten - Structurele verbeteringen in gang zetten - Evaluatie Datalek: Subbewerkers Bewerkers en hulpleveranciers Toezichthoude r Betrokkene(n Subbewerkers Verantwoor delijke Bewerkers en hulpleveranciers Verantwoor delijke (Sub)bewerker Verantwoor delijke Verantwoor delijke Ontstaan datalek Registratie datalek Afhandelen datalek Melden datalek? 14

15 Stappenplan 1. Inventariseer welke (persoons)registraties je hebt 2. Inventariseer welke partijen daarbij betrokken zijn 3. Wijs intern verantwoordelijkheden aan 4. Maak procedures 5. Maak afspraken met leveranciers over - detecteren en rapporteren van een datalek - melden aan CBP 15

16 Max. 2 werkdagen na ontdekking Handreiking meldplicht datalekken: CBP: Diverse richtsnoeren - kopietje paspoort - onderwijskundig rapport - automatische kentekenherkenning - publicaties op internet - beveiliging persoonsgegevens - datalekken (concept) - boetebeleid (concept) Hoger Onderwijs Referentie Architectuur (HORA): h>p:// Privacy voorbeeld documenten: (Privacy Impact assessment, IST-inventarisatie, model privacy beleid) Referenties 16

17 Alf Moens Met dank aan Bart Bosma (SURFnet) Floortje Jorna (SURFnet) 17