Michel Gulpen. Security Consultant. Privacywetgeving

Transcriptie

1 Michel Gulpen Security Consultant Privacywetgeving

2 Sinds 1 januari 2016 is in Nederland nieuwe wetgeving in de vorm van de Meldplicht Datalekken van kracht. Ook uw organisatie, mits deze te maken heeft met het verwerken van persoonsgegevens, moet aan deze wetgeving voldoen. In dit whitepaper vindt u handige informatie omtrent de Meldplicht Datalekken, de Wet Bescherming Persoonsgegevens en de Algemene Verordening Gegevensbescherming. Inhoudsopgave Managementsamenvatting Inleiding 1. Wet Bescherming Persoonsgegevens 2. Meldplicht Datalekken 3. Algemene Verordening Gegevensbescherming 4. Implementatie 5. Beheer 6. Conclusie

3 Managementsamenvatting Met de invoering van de Meldplicht Datalekken sinds 1 januari 2016 worden organisaties gedwongen om maatregelen te nemen in de bedrijfsvoering ten aanzien van datalekken, mede gezien het feit dat management aansprakelijk is én om eventuele risico s uit te sluiten ten aanzien van boetes die kunnen worden opgelegd door de Autoriteit Persoonsgegevens. Deze boetes kunnen oplopen tot een maximum van Reden te meer waarom security, welke veelal gelinieerd is aan privacy waarborging, hoog op de agenda moet staan in elke organisatie. De Meldplicht Datalekken vindt zijn oorsprong in de Wet Bescherming Persoonsgegevens, die in het leven is geroepen om de privacy van Nederlandse burgers te waarborgen. Ook op Europees niveau worden maatregelen genomen. Medio mei 2018 zal de Algemene Verordening Persoonsgegevens van kracht gaan, wat inhoudt dat bedrijven die acteren binnen Europese lidstaten moeten voldoen aan een algemene set regels. Hetzelfde is overigens ook het geval voor bedrijven die zich buiten de EU bevinden, maar wel diensten aanbieden in de EU. De boetes die kunnen worden opgelegd volgens de Algemene Verordening Persoonsgegevens bedragen 20 miljoen of 4% van de totale jaar omzet. Daarnaast kent de Europese wetgeving de volgende eigenschappen: Privacy-by-Design dient te worden toegepast. Een individu heeft het recht om gegevens te laten aanpassen. Een individu heeft het recht om vergeten te worden. De wet beperkt het gebruik van automatische gegevensverwerking om bijvoorbeeld profilering mogelijk te maken. Een individu heeft recht op een notificatie bij gecompromitteerde gegevens. Een individu krijgt makkelijker toegang tot persoonsgegevens. Strengere eisen worden gesteld aan de opslag van gegevens buiten de EU. Een individu mag van het recht gebruik maken om data over te nemen naar een andere aanbieder. Om de veiligheid van privacygevoelige data te waarborgen dienen een aantal aspecten binnen de organisatie zijn gewaarborgd, waaronder: Beleid: Gedefinieerd vanuit topmanagement; geeft kaders en richtlijnen aan de organisatie. Requirements: Gedefinieerd met het oogpunt om invulling te geven aan de gestelde kaders van het beleid. Classificatie: Moet een baseline vormen en invulling geven aan de wensen en eisen die benodigd zijn voor het veiligstellen van data ten aanzien van vertrouwelijkheid, integriteit en beschikbaarheid. Procedures: Geven invulling en omkadering van het gedefinieerde beleid voor de eindgebruiker. Awareness: Training aan de eindgebruikers die verantwoordelijkheid hebben ten aanzien van privacygevoelige data. Om de bovenstaande beleidsplannen te kunnen onderhouden, is een beheerorganisatie nodig die technische hulpmiddelen ten aanzien van het beleid kan onderhouden en verbeteren. Hierbij moet men denken aan: 1

4 2 Goedkeuring van nieuw design. Interne procedures implementeren ten aanzien van privacygevoelige data. Aanstellen van Privacy Officier. Opstellen van Bewerkersovereenkomst. Implementatie van Risicomanagement.

5 Inleiding In Nederland is al geruime tijd wetgeving van kracht die de privacy van individuen moet beschermen. Sinds 2016 is door de Meldplicht Datalekken meer focus gerealiseerd ten aanzien van mogelijk gecompromitteerde privacy data nu eventuele overtredingen gehandhaafd worden. Nu bestuurders van een organisatie wettelijk aansprakelijk zijn voor een datalek van privacygevoelige data heeft de bescherming van persoonsgegevens behoorlijke groei doorgemaakt. Toch worstelen nog veel organisaties met de vraag hoe weerstand geboden kan worden tegen een datalek. Dit whitepaper biedt inzicht in de verschillende wetgevingen die van invloed zijn op uw organisatie. Denk bijvoorbeeld aan de Wet bescherming persoonsgegevens (Wbp), de Meldplicht Datalekken, maar ook de Algemene Verordening Gegevensbescherming (AVG) die is ingesteld door de Europese Unie en per mei 2018 gehandhaafd wordt. Daarnaast biedt dit whitepaper een inzicht in het inregelen van een (privacy)veilige organisatie alsmede het beheeraspect omtrent deze wetgevingen. Hierbij kan gedacht worden aan mitigerende maatregelen tegen risico s van een datalek of het melden van een datalek bij de Autoriteit Persoonsgegevens. 3

6 1. Wet Bescherming Persoonsgegevens De Wet bescherming persoonsgegevens (Wbp) (1) is van toepassing op elke vorm van het verwerken van persoonsgegevens. Het maakt voor de Wet dus niet uit of de persoonsgegevens op papier of digitaal zijn opgeslagen. Het verwerken van persoonsgegevens is een ruim begrip, dat onder meer het combineren, bewerken, opslaan, verkrijgen, doorgeven en zelfs de vernietiging van de gegevens omvat. Sinds 1 september 2011 is de Wbp van kracht in Nederland. Deze wet heeft als doel de privacy van Nederlandse burgers te beschermen. De Wbp is grotendeels gebaseerd op de Europese dataprotectierichtlijn, die recentelijk is vervangen door de Algemene Verordening Gegevensbescherming (AVG). De AVG stelt op Europees niveau richtlijnen op waar organisaties in de EU aan gebonden zijn. In Nederland worden deze richtlijnen gehandhaafd door de Autoriteit Persoonsgegevens (2). 1.1 Wat zijn persoonsgegevens? Een veel gehoorde vraag is: Wat zijn nu eigenlijk persoonsgegevens? In de Wbp wordt de volgende definitie gehanteerd: Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon zijn persoonsgegevens. Dat is nogal wat, zeker als je bedenkt dat elke bron van informatie die herleidbaar is naar een identificeerbaar natuurlijk persoon in de scope valt van deze wetgeving. Om hier iets meer context aan te geven, haal ik graag de volgende voorbeelden aan: Een database, met daarin informatie over welke bedrijven goederen aanleveren, is niet onderhevig aan de Wbp indien hier informatie in staat die niet te herleiden is aan een natuurlijk persoon. Een database, met daarin informatie over welke bedrijven goederen aanleveren én een contactpersoon inclusief telefoonnummer per bedrijf, is wel onderhevig aan de Wbp, aangezien de informatie in de database gegevens bevat van een natuurlijk persoon. Daarnaast is het zo dat informatie over de identiteit van een natuurlijk persoon, zoals godsdienst, geslacht, IQ, medische gegevens of salarisindicatie, ook onderhevig is aan de Wbp. Wat men nog wel eens vergeet, is dat indirecte informatie die herleidbaar is naar een natuurlijk persoon ook valt onder de Wbp. Dit geldt ook voor objectinformatie die herleidbaar is naar een persoon. De waarde van een auto is bijvoorbeeld wél een persoonsgegeven wanneer het verwerkt is in de administratie van een autoverzekeringsmaatschappij. Die waarde zegt immers iets over het inkomen van de eigenaar van die auto. In de prijslijst van een autodealer is de waarde weer geen persoonsgegeven. (1) (2) 4

7 2. Meldplicht Datalekken De Meldplicht Datalekken (3) heeft sinds 1 januari 2016 zijn intreden gemaakt. De wetgeving zorgt ervoor dat privacy als item op de boardagenda staat. Bestuurders van een organisatie kunnen aansprakelijk gesteld worden in het geval van (ernstige) nalatigheid. Organisaties kunnen in het geval van nalatigheid boetes opgelegd krijgen van maximaal Wanneer nalatigheid niet is geconstateerd, kan ook een bindende aanwijzing gegeven worden waarin corrigerende acties worden afgesproken. 2.1 Wat is een datalek? Een datalek is een beveiligingsincident waarin privacygevoelige informatie mogelijk is gecompromitteerd. Hiervan dient een melding gemaakt te worden bij de Autoriteit Persoonsgegevens. In de Meldplicht Datalekken is ook gedefinieerd dat zelfs bij het vermoeden van een datalek melding gemaakt dient te worden bij de Autoriteit Persoonsgegevens. Mocht deze melding later onterecht blijken, dan kan de melding altijd weer worden ingetrokken. 2.2 Melden aan betrokkene Indien bij een datalek zeer specifieke privacygevoelige data is gecompromitteerd én dit nadelige gevolgen kan hebben voor één of meerdere individuen, bijvoorbeeld in het geval van een gelekt sofinummer of wachtwoorden, dan dient de organisatie die persoon of personen hiervan te verwittigen, zodat zij zelf ook actie kunnen ondernemen, bijvoorbeeld het opnieuw instellen van een wachtwoord. 2.3 Uitzonderingen De Meldplicht Datalekken is niet van toepassing indien voor persoonlijke of huishoudelijke doeleinden persoonsgegevens worden bewaard. Daarnaast is het zo dat bij organisaties die een elektronische communicatiedienst verstrekken, bijvoorbeeld telecomproviders, twee meldplichten van kracht zijn: de Meldplicht Datalekken uit de Wbp én de Meldplicht Datalekken uit de Telecommunicatiewet. Indien een melding gemaakt wordt van een datalek bij de telecommunicatiewet dient ook de Autoriteit Persoonsgegevens hiervan op de hoogte gesteld te worden. In de wetgeving zijn maatregelen genomen om dubbele meldingen te voorkomen. Indien uw organisatie financiële diensten verleent, valt uw organisatie onder de Wet op het Financieel Toezicht en bent u niet verplicht om een melding te maken bij de Autoriteit Persoonsgegevens. Indien u toch een persoon wilt verwittigen, dan geschiedt dit op grond van de Zorgplicht die u als financiële onderneming heeft. Daarnaast is de Wet van Financieel Toezicht strikter dan de Wbp. 2.3 Wijziging in de wet Aangezien de Meldplicht Datalekken op 1 januari 2016 zijn intreden heeft gedaan, wordt kalenderjaar 2016 ook gezien als een evaluatiejaar. Zodoende is in de Wetgeving opgenomen dat in de loop van 2017 een update zal plaatsvinden van de Meldplicht Datalekken om de wetgeving te verfijnen. (3) 5

8 3. Algemene Verordening Gegevensbescherming De Meldplicht Datalekken is grotendeels gebaseerd op de Algemene Verordening Gegevensbescherming (4), die door de Europese Unie (EU) is opgesteld en medio mei 2018 zal worden ingevoerd. De Algemene Verordening Gegevensbescherming gaat ervoor zorgen dat binnen de EU een gegeneraliseerd niveau van gegevensbescherming ontstaat voor alle lidstaten en niet-lidstaten die diensten aanbieden in de EU. De verordening zal in Nederland gehandhaafd worden binnen de Autoriteit Persoonsgegevens. De Nederlandse regering heeft ervoor gekozen om de Meldplicht Datalekken in 2016 te introduceren om bedrijven voor te bereiden op deze Europese wetgeving in De Europese wetgeving kent een strikter karakter en kent onder meer de volgende eigenschappen: Privacy-by-design dient te worden toegepast. Een individu heeft het recht om gegevens te laten aanpassen. Een individu heeft het recht om vergeten te worden. de wet beperkt het gebruik van automatische gegevensverwerking om bijvoorbeeld profilering mogelijk te maken. Een individu heeft recht op een notificatie bij gecompromitteerde gegevens. Een individu krijgt makkelijker toegang tot persoonsgegevens. Strengere eisen worden gesteld aan de opslag van gegevens buiten de EU. Een individu mag van het recht gebruik maken om data over te nemen naar een andere aanbieder. Daarnaast zijn de boetes die bij een overtreding van de Wet van toepassing zijn hoger: tot 20 miljoen of 4% van de totale jaaromzet. (4) 6

9 4. Implementatie Aangezien de Meldplicht Datalekken en in de toekomst de Algemene Verordening Gegevensbescherming van (zullen) gaan en de risico s omtrent deze wetgevingen voor uw organisatie geminimaliseerd dienen te worden, is een gedegen aanpak nodig om de vereisten ten aanzien van deze wetgevingen succesvol te kunnen implementeren. Beleid Een succesvolle implementatie van de privacywetgevingen begint bij beleid. Beleid dient gedefinieerd te worden door het topmanagement, dat de kaders en principes aangeeft die in de organisatie van toepassing zijn. Het beleid moet zo gedefinieerd zijn dat deze toepasbaar is voor de gehele organisatie. Ook moet het duidelijk genoeg geformuleerd worden, zodat de kaders voor de gehele organisatie helder zijn. Deze kaders bepalen immers in grote mate de manier waarop binnen de organisatie met privacygevoelige informatie wordt omgegaan. Gezien informatiebeveiliging en privacy veel raakvlakken hebben, is het aan te raden om het beleid omtrent privacy te implementeren in het informatiebeveiligingsbeleid van de organisatie. Requirements Na het succesvol opstellen van het beleid is de volgende stap om requirements (vereisten) de definiëren. Deze vereisten zijn een resultaat van de volgende documenten: Wetgeving Organisatie Beleid Eventuele additionele compliance-eisen, bijvoorbeeld NEN7510 in de zorgsector of ISO27001 voor IT-diensten. De requirements definiëren de specifieke kaders waarin binnen de organisatie invulling gegeven wordt aan het beleidsdocument. De requirements moeten strikt genoeg zijn, zodat vanuit een technisch, organisatorisch en menselijk aspect het compromitteren van data gereduceerd wordt tot een voor de organisatie acceptabel niveau. Classificatie Dataclassificatie en infrastructuurclassificatie zijn essentieel voor het implementeren van een succesvol privacy-by-design principe, zoals deze gehanteerd dient te worden ten aanzien van de Algemene Verordening Gegevensbescherming. Zoals omschreven in het eerder gepubliceerde whitepaper Dataclassificatie van Security Consultant Michel Gulpen (5) dient bij het implementeren van een dataclassificatiemodel bepaald te worden wat de vereisten zijn ten aanzien van data-integriteit, vertrouwelijkheid en beschikbaarheid. Daarnaast dient een baseline gedefinieerd te zijn die voldoet aan het minimale veiligheidsaspect van privacygevoelige informatie. Infrastructuurclassificatie geeft invulling aan de minimale eisen ten aanzien van data in rest, data in transit en data in use. Door infrastructuurclassificatie en dataclassificatie te combineren kan de invulling van de minimale eisen die nodig zijn om het vereiste veiligheidsniveau te bereiken een sluitend geheel vormen. (5) 7

10 Procedures Om beleid, requirements en classificatie succesvol te implementeren, zijn procedures nodig. Deze dienen door de verschillende afdelingen in de organisatie gedefinieerd te worden. De specifieke afdelingen binnen de organisaties weten immers vaak beter dan het topmanagement hoe een bepaalde eis het beste kan landen in hun organisatiedeel. Daarnaast geven procedures het topmanagement de zekerheid dat werkzaamheden worden uitgevoerd volgends de principes die zijn gedefinieerd in het beleid. Security Awareness Als laatste stap in het implementatie proces dient men de gebruiker te trainen in de hantering van de procedures van de organisatie en dient de verantwoordelijkheid overgedragen te worden. Met verantwoordelijkheid wordt bedoeld dat men als eindgebruiker (die met privacy gevoelige informatie werkt) moet weten wat wel en niet mag en kan. De gedefinieerde procedures moeten hierin een leidraad vormen waardoor het compromitteren van gegevens wordt gereduceerd of uitgesloten. 8

11 5. Beheer De in hoofdstuk vier gedefinieerde implementatiestappen (beleid, requirements, classificatie, procedures en awareness) dienen uiteraard ook in beheer genomen te worden. De procedures waarin de omgang met privacygevoelige data zijn gedefinieerd, dienen door de organisatie in gebruik genomen te worden. Ook moet er een verbeter-/verandertraject geïmplementeerd worden, waarin eventuele informatiebeveiligingsproducten gedefinieerd dienen te worden. Enkele voorbeelden hiervan worden hieronder besproken. Goedkeuring design Indien een nieuw design gemaakt wordt voor een nieuwe infrastructuur dient in eerste instantie privacyby-design toegepast te worden. Dit principe dient getoetst te worden door een architect of andere instantie binnen de organisatie met kennis van de wensen en eisen die gesteld worden aan privacy-bydesign. Interne procedures ten aanzien van privacygevoelige data Enkele interne processen dienen gedefinieerd te worden bij de detectie van een (vermoedelijk) datalek: Melden van datalek bij Autoriteit Persoonsgegevens: Binnen de organisatie moet een procedure aanwezig zijn dat omschrijft hoe een (vermoedelijk) datalek intern gemeld dient te worden. Daarnaast moet binnen de organisatie duidelijk zijn wie er verantwoordelijk is/zijn om dit datalek te melden bij de Autoriteit Persoonsgegevens. De meldplicht stelt verplicht dat tussen het optreden van de datalek en het plaatsen van de melding bij de Autoriteit Persoonsgegevens niet meer dan 72 uur mag zitten. Melden van datalek bij individuen: Indien gecompromitteerde gegevens nadelige gevolgen kunnen hebben voor personen dient de organisatie deze betreffende personen te verwittigen. Voor dit communicatieproces dient eveneens een procedure ontwikkeld en geïmplementeerd te worden. Aanstellen van Privacy Officier De organisatie dient een bedrijfsorgaan (bestaande uit één of meerdere personen) aan te stellen dat verantwoordelijk is voor de privacywetgeving binnen de organisatie. Dit orgaan dient zorg te dragen voor de naleving van de geldende regelgeving omtrent privacy. Dit orgaan moet ook de autoriteit hebben om misstanden omtrent privacy binnen de organisatie aan de kaak te stellen. Technische maatregelen Om het verlies van privacygevoelige data te reduceren, kunnen enkele technische oplossingen geïmplementeerd worden. Hierbij kan gedacht worden aan: Data Lost Prevention Documentclassificatiesoftware Netwerksegmentatie Vulnerability Scanning 9

12 Deze maatregelen dienen wel in een juiste context geplaatst te worden wanneer de kosten moeten opwegen tegen het te reduceren risico. Zoals eerder vermeld definieert dataclassificatie een baseline in de te nemen maatregelen. Code of Conduct Niet alles is technisch af te dwingen. In een Code of Conduct moeten afspraken worden vastgelegd met de personen die binnen de organisatie privacygevoelige data kunnen benaderen. Hierin wordt procedureel vastgelegd wat een eindgebruiker wel of niet mag doen, zonder dat hier een technische oplossing aan ten grondslag ligt. Ook staan hierin de eventuele consequenties die gelden wanneer een gebruiker zich niet aan de regels houdt. Zonder consequenties hebben regels immers weinig nut. De Code of Conduct is het contract waarin de verantwoordelijkheden worden vastgelegd, maar de bewustwording van de eindgebruikers is misschien nog wel belangrijker. Met training en voorlichting moet het bedrijf de gebruikers erop wijzen hoe omgegaan moet worden met (privacygevoelige) data en wat de consequenties kunnen zijn als data in verkeerde handen komt. Pas als de medewerkers zich ook verantwoordelijk voelen voor de beveiliging van data kunnen alle beveiligingsmaatregelen goed werken. Bewerkersovereenkomst met externen Indien men persoonsgegevens door een leverancier laat verwerken, doet de organisatie er goed aan om een zogenaamde bewerkersovereenkomst af te sluiten met de leverancier. In deze bewerkersovereenkomst staat duidelijk aangegeven aan welke voorschriften de leverancier zich moet houden ten aanzien van de omgang en beveiliging van privacygevoelige informatie. De organisatie doet er verstandig aan om een sanctie op te nemen in een dergelijke overeenkomst, zodat men in het geval van gecompromitteerde dataschade door de leverancier genoeg poot heeft om op te staan. Wat men zich echter wel moet realiseren, is dat de reputatieschade aan de eigen organisatie vaak omvangrijker is dan het gedefinieerde boetebedrag. Risicomanagement Om zekerheid te bieden aan de juiste securitymaatregelen en het reduceren van het risiconiveau binnen de organisatie is het verstandig om het beleid regelmatig te testen op zwakheden middels een zogenaamde GAP-analyse. De organisatie doet er verstandig aan om een risicomanagementproces in te richten, zodat risico s binnen de organisatie gekanaliseerd kunnen worden aan het topmanagement en er gedegen besluitvorming plaats kan vinden. Enkele technische implementaties die het risicomanagement proces kunnen ondersteunen, zijn: Penetration Test (Pen-test): Een Pen-test biedt inzicht in de kwetsbaarheden van een organisatie wanneer een ongeautoriseerd individu moedwillig informatie probeert te compromitteren. Vulnerability Scan: Een geautomatiseerde scan waarmee kwetsbaarheden inzichtelijk gemaakt worden, zoals securitypatches die niet zijn geïnstalleerd, zwakke wachtwoorden en securitymaatregelen op een server die te kort schiet. 10

13 6. Conclusie Met de Meldplicht Datalekken en de Algemene Verordening Persoonsgegevens wordt de veiligheid van privacygevoelige data grondig onder de loep genomen. Bedrijven geattendeerd op het feit dat men een bepaalde mate van verantwoordelijkheid heeft ten aanzien van de veiligheid van deze data. Toch roept de Meldplicht Datalekken ook veel vragen op bij bedrijven, gezien de kaders van de wetgeving niet altijd even helder zijn. Vermoedelijk gaat hier met de revisie van de wetgeving in 2017 gelukkig verandering in komen. Organisaties dienen de Meldplicht Datalekken te zien als een normaal risico dat, indien aanwezig, in het reguliere risicomanagementproces afgevangen te worden. Als de impact ten aanzien van gecompromitteerde data groot is, dient een gedegen risicoanalyse overwogen te worden. Zelfs het niet melden van een datalek dient in deze een overwogen beslissing te zijn. Men moet dan echter wel in ogenschouw te nemen wat de mogelijke impact gaat zijn als het datalek wel ontdekt wordt. Compliance ten aanzien van de privacywetgeving kan worden afgedwongen door binnen de organisatie een raamwerk te introduceren. Dit raamwerk begint bij beleid, gevolgd door requirements, classificatie, procedures en user awareness. Ook dient een organisatie voldoende maatregelen te treffen ten aanzien van risicoreductie. Zodra het raamwerk is geïmplementeerd, wordt geadviseerd om een GAP-analyse uit te voeren en maatregelen te introduceren die deze GAPs aanvliegen. Met het oog op de Algemene Verordening Persoonsgegevens dient men aspecten als privacy-by-design en het recht om vergeten te worden nu al mee te nemen in nieuwe designvraagstukken. Organisaties worden daardoor gedwongen om met gestroomlijndere oplossingen te komen, waarbij security die gelinieerd is aan privacy vanaf de ontwerpfase in acht wordt genomen. Dit zorgt niet alleen voor een veiligere oplossing, maar reduceert ook de kosten voor de middellange en lange termijn. 11

14 Make your IT agile Over KEMBIT Andere tijden vragen om een andere benadering. Informatietechnologie moet u niet binden, maar moet juist meebewegen met die veranderingen. KEMBIT anticipeert op marktontwikkelingen en zet uw IT vraagstukken om in kansen voor uw business. Onze aanpak is erop gericht uw organisatie met behulp van onze IT expertise optimaal te laten presteren, nu en in de toekomst. Mede door de sterke focus op de inhoudelijke en persoonlijke ontwikkeling van onze circa 100 medewerkers, levert KEMBIT al sinds 1996 hoogwaardige IT-professionals en IToplossingen. Onze kennis en kunde zetten wij in voor een breed spectrum van organisaties, variërend van lokale MKB-bedrijven tot grote, landelijk opererende bedrijven en multinationals. KEMBIT bied haar diensten aan vanuit twee locaties, te weten: Kasteel Wijnandsrade en de High Tech Campus in Eindhoven. Onze vier disciplines: IT Services IT Applications IT Consultancy IT Knowledge Center Meer weten? Discussiëren over dit whitepaper? Neem contact met ons op via onderstaande gegevens of ga naar onze website. KEMBIT Kasteel Wijnandsrade Opfergeltstraat BW Wijnandsrade KEMBIT High Tech Campus High Tech Campus AE Eindhoven +31 (0) contactus@kembit.nl 12