Informatiebeveiliging bij het Nederlandse Rode Kruis. Martijn Herrmann, Chief Financial Officer 24 november 2016

Transcriptie

1 Informatiebeveiliging bij het Nederlandse Rode Kruis Martijn Herrmann, Chief Financial Officer 24 november 2016

2 Agenda Aanleiding Doelstellingen Scope en aanpak Stand van zaken november 2016 Aandachtspunten Informatiebeveiliging bij het Rode Kruis 24 november

3 Aanleiding en uitgangspunten Privacy- & Informatiebeveiliging (P&IB) Aanleiding/waarom: Wettelijke vereisten (Wet bescherming persoonsgegevens, EU-privacy verordening) Artikel 13 Wbp: passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen Erkenningsregeling Goede Doelen Toegenomen maatschappelijke aandacht mogelijke impact voor Rode Kruis Aanpak: risicomanagement én compliance Specifieke privacyregels: compliance Informatiebeveiligingsnormen (standaarden, richtlijnen) -> gebaseerd op risicomanagement Gegevens Persoons gegevens Bijzondere persoonsgegevens Informatiebeveiliging bij het Rode Kruis 24 november

4 Doelstellingen Risico s rond P&IB worden bewust aangepakt Zicht op risico s Bewuste keuzes/prioritering maatregelen, met risico-acceptatie Ook toekomstgericht, pro-actief Full compliance/voldoen aan geldende wet- en regelgeving Specifieke wetgeving: voldoen aan de wet Waar de wet vaag is.. handelen in de geest van de wet (duidelijke argumentatie) Ook toekomstgericht, pro-actief Gebruikers onderkennen belang P&IB en handelen ernaar Bewustzijn: gedrag en cultuur Vrijwilligers en beroepskrachten (andere programma s) Governancestructuur en uitvoering Informatiebeveiliging bij het Rode Kruis 24 november

5 Scope en aanpak (start) Beleid is beschreven Informatie-beveiliging Taken en verantwoordelijkheden Gebruikersreglement Diverse initiatieven al gestart Risico-analyse IT systemen Technische beveiligingsmaatregelen, Hacking as a Service (HaaS) Registratie verwerkingen persoonsgegevens Bewerkersovereenkomsten met leveranciers Versterking toegangsbeveiliging (wachtwoorden, toekenning / intrekking) Procedure datalekken => Maar geen totaalplan, te versnipperd en onvoldoende opvolging Informatiebeveiliging bij het Rode Kruis 24 november

6 Scope en aanpak (nu) 1. Risico s bewust aanpakken Risico-inventarisatie van systemen, implementeren maatregelen Risico-inventarisatie (ook nav privacy-wetgeving) van processen Risico-analyse, waaronder Privacy Impact Assessment Voorstel voor maatregelen, implementeren maatregelen Informatiemanagers, Privacy Officer, CFO, projectleider 2. Voldoen aan (privacy) wetgeving Invullen gegevensverwerkingen Nalopen gegevensverwerkingen Indienen gegevensverwerkingen bij AP Advies rond te nemen maatregelen per proces/gegevensverwerking Implementeren maatregelen (incl bewerkersovereenkomsten & proces datalekken) Privacy Officer, CFO, projectleider, informatiemanagers 3. Bewustwording Gebruikersreglement Voorstel: medewerker ondertekent appendix, doornemen tijdens aanstellingsgesprek Training P&O waarom doen we dit, wat wordt gevraagd Opleiding Bewustwordingssessies - leaflet (do s and don ts) E-learning module CFO, projectleider, informatiemanagers, manager P&O 4. Governance en uitvoering Beleid vastgesteld Eenmalige en structurele maatregelen: jaarplan opstellen Rollen en verantwoordelijkheden duiden (ook medewerkers, hoofden) Stuurgroep P&IB: sessies beleggen, agenda 2017 Werkgroep P&IB = informatiemanagersoverleg: coördineren uitvoering maatregelen Stuurgroep P&IB, projectleider, informatiemanagers Informatiebeveiliging bij het Rode Kruis 24 november

7 Stand van zaken november Risico s bewust aanpakken Risico-inventarisatie van systemen, implementeren maatregelen (gereed) Risico-inventarisatie (ook nav privacy-wetgeving) van processen (nu bezig) Risico-analyse, waaronder Privacy Impact Assessment Voorstel voor maatregelen, implementeren maatregelen Informatiemanagers, Privacy Officer, CFO, projectleider 2. Voldoen aan (privacy) wetgeving Invullen gegevensverwerkingen (groot gedeelte gedaan) Nalopen gegevensverwerkingen (gestart, nu bezig) Indienen gegevensverwerkingen bij AP Advies rond te nemen maatregelen per proces/gegevensverwerking Implementeren maatregelen (incl bewerkersovereenkomsten/datalekken) (gestart, nu bezig) Privacy Officer, CFO, projectleider, informatiemanagers 3. Bewustwording Gebruikersreglement Voorstel: medewerker ondertekent appendix, doornemen tijdens aanstellingsgesprek Training P&O waarom doen we dit, wat wordt gevraagd Opleiding Bewustwordingssessies - leaflet (do s and don ts) (gestart, nu bezig) E-learning module (aangeschaft) CFO, projectleider, informatiemanagers, manager P&O 4. Governance en uitvoering Beleid vastgesteld (gereed) Eenmalige en structurele maatregelen: jaarplan opstellen Rollen en verantwoordelijkheden duiden (ook medewerkers, hoofden) (gereed) Stuurgroep P&IB: sessies beleggen, agenda 2017 (gestart) Werkgroep P&IB = informatiemanagersoverleg: coördineren uitvoering maatregelen (ongoing) Stuurgroep P&IB, projectleider, informatiemanagers Informatiebeveiliging bij het Rode Kruis 24 november

8 Aandachtspunten Inhoud / scope Informatiebeveiliging is B, I & V (in theorie) Het is niet alleen techniek, integendeel.. Denk na over verschillende informatie in systemen Maar het gaat ook om gewone gebruikers (bv bestanden via , usb sticks, ) Aanpak project Doe het niet alleen Stel een projectleider aan, eventueel extern Maak een goede eerste selectie waar je mee gaat beginnen, niet alles tegelijk Alleen Veiligheid (V) of ook B&I? Ga er niet te procesmatig inzitten (blijf vanuit de inhoud denken) Spread the word => awareness bij alle gebruikers!! En daarna Beleg verantwoordelijkheid structureel (dit houdt niet meer op) Informatiebeveiliging bij het Rode Kruis 24 november