: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Transcriptie

1 : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

2 Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen (Privacy Impact Assessment) Beoordelen hiermee samenhangende informatiebeveiligingsrisico s ten behoeve van het prioriteren van te nemen beheersmaatregelen Deel 2 Bepalen af te dekken risico s Bepalen beheersmaatregelen en te aanvaarden resterende risico s (verantwoorden) Vaststellen informatiebeveiligingsbeleid (Plan, Do, Check, Act cyclus) Algemene Verordening Gegevensbescherming (AVG) belangrijkste wijzigingen 2

3 3

4 6 Organisatie van informatiebeveiliging 6.1 Interne organisatie 6.2 Externe partijen 7 Beheer van bedrijfsmiddelen 7.1 Verantwoordelijkheid voor bedrijfsmiddelen 7.2 Classificatie van informatie 8 Personeel 8.1 Voorafgaand aan het dienstverband 8.2 Tijdens het dienstverband 8.3 Beëindiging of wijziging van dienstverband 9 Fysieke beveiliging en beveiliging van de omgeving 9.1 Beveiligde ruimten 9.2 Beveiliging van apparatuur 10 Beheer van communicatie- en bedieningsprocessen 10.1 Bedieningsprocedures en verantwoordelijkheden 10.2 Beheer van de dienstverlening door een derde partij 10.3 Systeemplanning en -acceptatie 10.4 Bescherming tegen kwaadaardige programmatuur 10.5 Back-up en herstel 10.6 Beheer van netwerkbeveiliging 10.7 Behandeling van media 10.8 Uitwisseling van informatie 10.9 Diensten voor e-commerce Controle 4

5 6 Organisatie van informatiebeveiliging 6.1 Interne organisatie 6.2 Externe partijen 6 Organisatie van informatiebeveiliging 6.1 Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Coördinatie van informatiebeveiliging Toewijzing van verantwoordelijkheden voor informatiebeveiliging Goedkeuringsproces voor middelen voor de informatievoorziening Geheimhoudingsovereenkomst Contact met overheidsinstanties Contact met speciale belangengroepen Onafhankelijke beoordeling van informatiebeveiliging 6.2 Externe partijen Identificatie van risico's die betrekking hebben op externe partijen Beveiliging in de omgang met klanten Beveiliging in overeenkomsten met een derde partij Beheersmaatregel Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd. Beheersmaatregel In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of informatievoorziening van de organisatie, of toevoeging van producten of diensten aan informatievoorziening waarbij sprake is van toegang, behoren alle relevante beveiligingseisen te zijn opgenomen. 5

6 Wet Bescherming Persoonsgegevens (Wbp) 6

7 7

8 Het is uw taak als verantwoordelijke er voor te zorgen dat de bewerker: zelf voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen u in staat stelt om aan de wettelijke plichten te voldoen (artikel 14, Wbp). 8

9 Beleidsregels meldplicht datalekken 2.2. Waarover moet ik afspraken maken met de bewerker? Wet schrijft niet voor wat met de bewerker af moet worden gesproken. U moet in ieder geval denken aan het volgende: Gaat de bewerker u daadwerkelijk informeren over alle relevante incidenten? Gaat de bewerker eventueel zelf meldingen doen aan de Autoriteit Persoonsgegevens? Ontvangt u per incident alle informatie die u nodig heeft? Hoe gaat de bewerker u informeren over de incidenten? Wordt u tijdig geïnformeerd over de incidenten? Wordt u op de hoogte gehouden van eventuele nieuwe ontwikkelingen rond het incident, en van de maatregelen die de bewerker treft om aan zijn kant de gevolgen van het incident te beperken en herhaling te voorkomen? Kunt u vaststellen dat u daadwerkelijk op de hoogte wordt gesteld van alle relevante incidenten, en dat de verstrekte informatie klopt? 9

10 11 Toegangsbeveiliging 11.1 Bedrijfseisen ten aanzien van toegangsbeheersing 11.2 Beheer van toegangsrechten van gebruikers 11.3 Verantwoordelijkheden van gebruikers 11.4 Toegangsbeheersing voor netwerken 11.5 Toegangsbeveiliging voor besturingssystemen 11.6 Toegangsbeheersing voor toepassingen en informatie 11.7 Draagbare computers en telewerken 12 Verwerving, ontw. en onderh.van informatiesystemen 12.1 Beveiligingseisen voor informatiesystemen 12.2 Correcte verwerking in toepassingen 12.3 Cryptografische beheersmaatregelen 12.4 Beveiliging van systeembestanden 12.5 Beveiliging bij ontwikkelings- en ondersteuningsprocessen 12.6 Beheer van technische kwetsbaarheden 13 Beheer van informatiebeveiligingsincidenten 13.1 Rapportage beveiligingsgebeurtenissen & zwakke plekken 13.2 Beheer van beveiligingsincidenten en -verbeteringen 14 Bedrijfscontinuïteitsbeheer 14.1 Informatiebeveiligingsaspecten bedrijfscontinuïteitsbeheer 15 Naleving 15.1 Naleving van wettelijke voorschriften 15.2 Naleving beveiligingsbeleid -normen en techniek 15.3 Overwegingen bij audits van informatiesystemen 10

11 Informatiebeveiligingsbeleid (ISMS) 11

12 Gewicht documentatieplicht neemt toe met AVG 12

13 13