Privacy-AO voor een beveiliger Martin Romijn

Transcriptie

1 Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de gegevensbescherming Security Officer

2 Onderwerpen AO van Security Officer (SO) Kader Incidenten en vragen AO Functionaris Gegevensbescherming (FG) Kader Incidenten en vragen Gezamenlijke AO / documenten Gezamenlijke aanpak Samenvatting 2

3 AO van SO - Kader Beleidsdocumenten / Rapportage / Evidence Risico-analyse Maatregel verantwoording Wetgeving, waar onder de Wbp Raamwerken Cobit Code voor Informatiebeveiliging Security management proces 3

4 AO van SO Aspect IB INFORMATIEBEVEILIGING Beveiligingseisen Beschikbaarheid Integriteit Vertrouwelijkheid Beveiligingsmaatregelen Technisch Organisatorisch 4

5 AO van SO - Incidenten en vragen Incidenten: Tentamenuitslagen op internet Misbruik van mailing lists Bestelling op naam van medewerker Vragen: Hoe beveilig ik de databaseserver? Wat is de passwordlengte en -levensduur? 5

6 AO van FG-p - Kader De Wet bescherming persoonsgegevens Privacyreglement personeel en studenten Rolbeschrijving FG-p en betrokken collega s Ontwikkelde documenten Meldingsformulier Meldingenregister Notitievel Wbp gesprek Checklist gesprekken en onderwerpen Jaarverslag Promotiepresentatie 6

7 AO van FG Jaaractiviteiten Initiële activiteiten Volgen Ontwikkelingen 7

8 AO van FG - Incidenten en vragen Incidenten: Tentamenuitslagen op internet Misbruik van mailing lists Bestelling op naam van medewerker Vragen: Mag database naar leverancier? Wat toont Zoeken medewerker? 8

9 Gezamenlijke documenten (ICT) Gedragsregels Bewerkersovereenkomst Geheimhoudingsverklaring Bewaartermijnen vs. vernietigingsplicht Paragraaf beveiligingsmaatregelen op meldingsformulieren Protocol en checklist cameratoezicht 9

10 Bewerkersovereenkomst De betrokken partijen zullen: alle redelijke maatregelen nemen en in stand houden teneinde de geheimhouding van alle Vertrouwelijke Informatie te waarborgen; geen enkele Vertrouwelijke Informatie aan derden kenbaar maken zonder voorafgaande schriftelijke toestemming van de HU en alle redelijke maatregelen nemen om ervoor te zorgen dat ook diens personeel deze Vertrouwelijke Informatie niet aan derden kenbaar maakt; de Vertrouwelijke Informatie alleen gebruiken of kopiëren -en alle redelijke maatregelen nemen opdat zijn personeel de Vertrouwelijke Informatie alleen gebruikt of kopieert- ten behoeve van de nakoming van zijn verplichtingen aan de HU; de Vertrouwelijke Informatie verwijderen van haar systemen en eventuele door de HU aangeleverde informatiedragers aan de HU retourneren. De verplichtingen zullen ook na beëindiging van de werkzaamheden van kracht blijven. 10

11 Bewerker is ASP: bepalingen 1. Er wordt een formele overeenkomst getekend tussen HU en leverancier betreffende de dienstverlening; 2. Leverancier tekent de geheimhoudingsverklaring, zeker indien het (standaard)contract wat mager is ten opzichte van beveiliging en vertrouwelijkheid; 3. Al het electronische verkeer (inclusief wachtwoord bij inloggen) wordt versleuteld verstuurd tussen werkstation van de gebruiker(s) en server. Dit zou geen bijzondere eis moeten zijn, aangezien het best practice is een webserver van een certificaat te voorzien en het verkeer https plaatsvindt. 4. De applicatie is alleen toegankelijk met een degelijk en persoonlijk wachtwoord voor de gebruiker (de HU standaard: minstens 8 tekens, ten minste 1 cijfer en 1 bijzonder teken). Afspreken hoe de database na afloop van de werkzaamheden aan de HU beschikbaar gesteld wordt Verkrijgen van enige zekerheid omtrent de lokale beveiliging van de data bij de leverancier. 11

12 Geheimhoudingsverklaring 12

13 Gezamenlijke documenten Bewerkersovereenkomst Geheimhoudingsverklaring Bewaartermijnen vs. vernietigingsplicht Paragraaf beveiligingsmaatregelen op meldingsformulieren Protocol en checklist cameratoezicht 13

14 Extract meldingsformulier 14

15 Gezamenlijke aanpak Beschikbaarheid privacy reglementen: Privacyreglement Personeel Privacyreglement Studenten Bewaartermijnen in selectielijsten FG-p en SO als intern toezichthouder; taken: (Onderhouden meldingenregister) Controlerende taak Adviesfunctie 15

16 Conclusie / Samenvatting De Wbp is één van de normgevende wetten De Wbp gaat slechts over gestructureerde gegevensverzamelingen Vertrouwelijkheid en privacy praktisch gelijk SO en FG/privacy-functionaris werken aan het zelfde doel Vooral rolverdeling belangrijk SO en FG beide geen eigenaar van informatie 16

17 Agenda privacy-promo Het wettelijke kader Highlights privacyreglementen Top 7 tips Acties? 17

18 Top 7 tips 1. Verwerk alleen indien doelgebonden 2. Wijs betrokkenen op privacyreglementen 3. Help bij bewaking van verwerkingen volgens het reglement 4. Verstrekt geen gegevens aan derden 5. Bewaar niet langer dan toegestaan 6. Houdt je wachtwoord geheim 7. Werknemer: geheimhoudingsplicht volgens CAO. Hoe zit het met inhuurkrachten?) 18

19 Meer informatie Interessante algemene websites: De verschillende security sites Van de FG-p, Martin Romijn: Via Of direct: 19