DAG 4 INCIDENTEN EN CONTINUITEIT

Transcriptie

1 ///////////////////////////////////////// DAG 4 INCIDENTEN EN CONTINUITEIT /////////////////////////////////////////

2 PETER BERGHMANS ///////////////////////////////////////// Peter Berghmans Veiligheidsborger ewzc programma Helpt mee persoonsgegevens te beschermen Passie voor de zorgsector Liefde voor lesgeven Contact Linked in Data Protection Officer White Wire Docent Thomas More Docent Data Protection Institute ///////////////////////////////////////// Agentschap Zorg en Gezondheid 2

3 ///////////////////////////////////////// OVERZICHT VAN DE OPLEIDINGSDELEN Informatieveiligheid in de ouderenzorg /////////////////////////////////////////

4 DE SESSIES - OVERZICHT ///////////////////////////////////////// ///////////////////////////////////////// 4

5 SESSIE 1: INLEIDING INFORMATIEVEILIGHEID ///////////////////////////////////////// Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt - Het belang van informatieveiligheid in de zorgsector besproken (o.a. informatieveiligheid in de wetgeving, het ehealth platform en sectorcomité SZ/AG). - de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - Een veiligheidsbeleid en -plan toegelicht Praktische toepassing: - De cursist krijgt een bundel mee die kan gebruikt worden om het management van het WZC in te lichten (30 minuten presentatie). Elke cursist plant een presentatie voor het woonzorgcentrum - De cursist legt deel 1 van de beleidsnota voor aan de directie ter goedkeuring ///////////////////////////////////////// 5

6 SESSIE 2: COT EN MINIMALE VOORWAARDEN ///////////////////////////////////////// Objectief: 1. Begeleidingsmoment: van de presentaties voor het management en beleid informatieveiligheid 2. Tijdens deze sessie worden de basisvoorwaarden toegelicht om toe te treden tot systeem van COT: - Consent voor Belrai en Vitalink/eHealth - Procedure voor toegangsbeheer en de borging ervan - Logging van de activiteiten in het EBD - Omgang met medewerkers en derden Praktische toepassing: - De cursist krijgt enkele templates mee die betrekking hebben op bovenstaande onderwerpen. De cursist dient deze aan te passen aan de organisatie - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. - De cursist plant een eerste awareness sessie voor het personeel die wordt gegeven in de verschillende woonzorgcentra ///////////////////////////////////////// 6

7 DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS ///////////////////////////////////////// Objectief: 1. Reflectiemoment COT 2. Het doel van deze sessie is om toe te lichten welke de minimale technische veiligheidseisen zijn voor een ICT omgeving in de zorg. Het is niet de bedoeling om van de aanwezigen IT experten te maken. Ze dienen echter wel te begrijpen welke minimale vereisten de Privacycommissie op dit vlak eist. - Begrijpen welke veiligheidseisen op een werkstation op een verpleegpost is vereist - Begrijpen welke veiligheidsmaatregelen zijn vereist op een mobiel toestel - Weten hoe een server op een veilige manier kan worden voorzien - Begrijpen hoe een server veilig op internet kan worden gekoppeld - Begrijpen wat een veilige transmissie van gegevens betekent - Een impressie krijgen van maatregelen op het vlak van netwerkbeheer - Een begrip krijgen van het ehealth certificaat - Weten wat belangrijk is in de omgang met de ICT leverancier ///////////////////////////////////////// 7

8 DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS ///////////////////////////////////////// Praktische toepassing: - De cursist krijgt een checklist mee die een beeld geeft van de sterktes en zwaktes van de ICT omgeving en kan hiermee de ICT omgeving in kaart brengen. - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. ///////////////////////////////////////// 8

9 DEEL 4: VOORBEREIDEN OP INCIDENTEN/CONTINUÏTEIT ///////////////////////////////////////// Objectief: 1. Reflectiemoment (uitgebreid) van IT 2. Het doel van deze sessie is inzicht te krijgen in de maatregelen die de organisatie moet nemen om incidenten te voorkomen en desgevallend te beheren. We gaan hierbij in op de procedures voor backup van gegevens, de minimale hersteltijden en de noodprocedures. Ook de vraag Wat te doen bij een gegevenslek wordt behandeld. Praktische toepassing - De cursist krijgt een template mee voor het in kaart brengen van de backup procedure. Idem voor incidentmanagement - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. ///////////////////////////////////////// 9

10 DEEL 5: WRAP UP: EEN STAP VERDER ///////////////////////////////////////// Objectief: 1. Reflectiemoment van Incident- en continuïteitsbeheer 2. Het doel van deze sessie is om de lessons learned toe te lichten, maar ook om het vervolgtraject te behandelen: naast de behandelde procedures, elke moeten in de toekomst nog verder worden ontwikkeld? Praktische toepassing - Dit is het einde van het traject. Er zijn geen opdrachten meer ///////////////////////////////////////// 10

11 PRAKTISCHE AFSPRAKEN ///////////////////////////////////////// > Elke deelnemer krijgt een attest van deelname > Verloop van de opleiding 09u30 12u00: sessie deel 1 - Broodjeslunch 13u00 15u30: sessie deel 2 > Opdrachten tussen de sessies helpen bij de implementatie > Slides: check steeds versiedatum! > In de presentatie staan hyperlinks Onderlijnde woorden Figuren ///////////////////////////////////////// 11

12 ///////////////////////////////////////// DAG 4 INCIDENTEN EN CONTINUITEIT Voorbeelden van informatieveiligheidsincidenten /////////////////////////////////////////

13 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// ///////////////////////////////////////// 13

14 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// ///////////////////////////////////////// 14

15 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// ///////////////////////////////////////// 15

16 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// ///////////////////////////////////////// 16

17 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// ///////////////////////////////////////// 17

18 ///////////////////////////////////////// DAG 4 INCIDENTEN EN CONTINUITEIT Incident management: omgaan met een incident /////////////////////////////////////////

19 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Rollen en verantwoordelijkheden Wie moet op de hoogte gebracht worden? Wie pakt het op? ///////////////////////////////////////// 19

20 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Omgaan met een incident Detecteren Identificeren Impact beperken Oplossen Activiteiten na het incident ///////////////////////////////////////// 20

21 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Detecteren Monitoring en detectie: alerts, dashboards, mededelingen Medewerkers moeten op de hoogte zijn van hun verantwoordelijkheden Maak kenbaar dat men bij jou / de VC moet melden en hoe Informatie Meldingformulieren Mail templates Ticketing systeem ///////////////////////////////////////// 21

22 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Identificeren Wat is er aan de hand? Heeft een incident effectief plaats gevonden? Wat is de impact op de organisatie? Wat is de impact op persoonsgegevens? Vernietiging? Verlies? Misbruik? Ongeoorloofde verstrekking of toegang? Escaleren? ///////////////////////////////////////// 22

23 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Identificeren Classificatie matrix: urgentie en impact ///////////////////////////////////////// 23

24 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Identificeren Classificatie matrix: urgentie en impact ///////////////////////////////////////// 24

25 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Identificeren Identificeren van kritieke incidenten niet evident, voorbeeld: Een deel van de data communicatie ligt plat Belangrijke databases zijn corrupt Ransomware breidt zich uit in het netwerk Gevoelige persoonsgegevens zijn staan op een publiek forum ///////////////////////////////////////// 25

26 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Identificeren Eigenschappen van kritieke incidenten: Een groot aantal gebruikers of enkele belangrijke gebruikerskunnen mogelijk geen gebruik maken van diensten of systemen. Een aantal systemen die belangrijk zijn voor de uitvoering van kerntaken van het WZC zijn niet beschikbaar of onbruikbaar De kosten (inclusief gevolgschade) voor gebruikers / bewoners of voor het WZC zijn aanzienlijk of kunnen aanzienlijk worden. Het incident leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Het WZC zou reputatieschade kunnen oplopen of een boete kunnen krijgen ///////////////////////////////////////// 26

27 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Impact beperken Welk acties kun je onmiddellijk / snel nemen? B.v.: Geinfecteerde systemen afkoppelen van netwerk Slotenmaker in geval van inbraak Tijdelijk afsluiten lokaal / locatie Voorzien reserve toestel Inschakelen backup systeem Communicatie? ///////////////////////////////////////// 27

28 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Oplossen Prioriteit Wie heb je nodig? Wat heb je nodig? Let op: als VC / DPO ga je zelf meestal niet rechtstreeks betrokken zijn bij het oplossen van een incident maar ondersteun je rond de coordinatie en rapportage / vastlegging. ///////////////////////////////////////// 28

29 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Activiteiten na het incident Rapporteren Wat was de gebeurtenis? Wie heeft de feiten vastgesteld? Wanneer heeft de gebeurtenis plaatsgevonden? Wanneer is de gebeurtenis vastgesteld? Hoe werd het vastgesteld? Wat was de oorzaak? ///////////////////////////////////////// 29

30 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Activiteiten na het incident Evalueren: gelet op het incident, wat kunnen we hier uit leren? Welke maatregelen kunnen worden genomen om het incident te voorkomen? Tijdens het behandelen van het incident, wat had er beter gekund? ///////////////////////////////////////// 30

31 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Incident 1: Dienstverlener: gegevens ziekenhuizen op internet Incident 2: Ziekenhuis: diefstal laptop met patientgegevens Incident 3: Datalek in website leidt tot gegevenslek Incident 4: Gerichte aanval via phishing mail Belgcaom techies Incident 5: Internet onbeschikbaar wegens storing Telenet Detecteren, identificeren, impact beperken, oplossen, rapportering en evaluatie Oefening: Aanpak incident management gaan toepassen op de getoonde voorbeelden. Oefening 2: Stel dit incident doet zich morgen binnen jouw organisatie voor, hoe zou men er in de huidige situatie mee omgaan? Welke lessen zijn daar uit te trekken? ///////////////////////////////////////// 31

32 ///////////////////////////////////////// DAG 4 INCIDENTEN EN CONTINUITEIT Meldingsplicht uit de GDPR / AVG /////////////////////////////////////////

33 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Wat is een datalek in de GDPR / AVG? (definitie) Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens Dus alles dat de vertrouwelijkheid, integriteit of beschikbaarheid van de persoonsgegevens die verwerkt worden in gevaar kunnen brengen ///////////////////////////////////////// 33

34 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Hoe kenbaar maken? Verantwoordelijke informeert DPA zonder onredelijke vertraging en indien mogelijk binnen de 72 uur, anders motiveren waarom later Verwerker informeert Verantwoordelijke Formulier Privacycommissie: ///////////////////////////////////////// 34

35 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Wat kenbaar maken? - Aard van de inbreuk - Categorieën persoonsgegevens - Aantal betrokkenen - Naam DPO/contactpersoon - Gevolgen - Beperkende maatregelen Daarnaast geldt ook een documentatieplicht! ///////////////////////////////////////// 35

36 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Hoe kenbaar maken aan betrokkene? - Verantwoordelijke informeert betrokkene - Wanneer de inbreuk een grote inbreuk is op de privacy van de betrokkene behalve indien - Passende technische maatregelen - Wanneer maatregelen zijn genomen om de impact alsnog te beperken - onevenredig veel moeite publiek - Kan door DPA worden opgelegd. ///////////////////////////////////////// 36

37 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Hoe kenbaar maken aan betrokkene? - Verstaanbare, duidelijke taal - Aard van de inbreuk - Naam DPO/contactpersoon - Gevolgen - Mitigerende maatregelen ///////////////////////////////////////// 37

38 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Communicatie bij een incident Community/ Hacker Bewoner FCCU Journalisten DPA Public fora / Social networks DPO Data Processor Intern (IT, medew, ) ///////////////////////////////////////// 38

39 MOGELIJKE MELDINGSTECHNIEKEN ONDER GDPR ///////////////////////////////////////// Context van de data (DPC Data Processing Context) Risico op identificatie (EI Ease of Identification) Omstandigheden van de gegevenslek (CB Circumstances Breach) ///////////////////////////////////////// 39

40 ///////////////////////////////////////// DAG 4 INCIDENTEN EN CONTINUITEIT Continuïteitsbeheer /////////////////////////////////////////

41 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Continuïteitsbeheer ///////////////////////////////////////// 41

42 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Continuïteitsbeheer Garanderen van de beschikbaarheid persoonsgegevens i.h.k.v. de vereiste dienstverlening Dan dient eerst die dienstverlening op punt te staan: - Een onveilige, slecht functionerende dienstverlening met uitstekend continuïteitsbeheer is omgekeerde volgorde - Continuïteitsbeheer heeft zijn plaats in het veiligheidsplan, maar in eerste instantie is er ander werk ///////////////////////////////////////// 42

43 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Continuïteitsbeheer, of BCM (Business Continuity Management) Bedrijfscontinuïteitsmanagement (BCM) kan gedefinieerd worden als het beheersproces dat risico s identificeert en beperkt, de mogelijke impact van een onderbreking van een (tijds)kritiek bedrijfsproces en ondersteunende systeem minimaliseert met als ultieme doel het tijdig herstellen van de kritische bedrijfsprocessen ///////////////////////////////////////// 43

44 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Voorbeeld aanpak continuïteit: Fase I: Project management en initiatie Fase II: Business impact analyse Fase III: Recovery strategieën Fase IV: Plan, ontwerp, ontwikkel Fase V: Implementeer Fase VI: Testen Fase VII: Onderhoud en sensibilisering Noot: afhankelijk van framework (SANS, BCI, ISC2, etc.) meer of minder fases, maar is overal algemeen zelfde onderwerpen, alleen andere indeling ///////////////////////////////////////// 44

45 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Om kritische bedrijfsprocessen te onderkennen moeten die vastgesteld zijn, daarna gebeurt een risico analyse. Praktisch: welke vragen te beantwoorden? Welke zijn onze kritische bedrijfsprocessen / kerntaken? Intake van bewoners, bieden van hulpverlening, beheren van dossiers, doorsturen van informatie uit die dossiers naar bevoegde instanties,... Onderverdeling naar b.v. kritisch (moet binnen 48u hersteld zijn) essentieel (binnen 14 dagen) en noodzakelijk (binnen 40 dagen) Wat is er minimaal nodig om deze processen te laten functioneren? Welke hardware, welke mensen, wanneer is het proces niet meer mogelijk? Welke risico s tav voorgaande zien wij als voorziening? b.v. het risico dat proces X pas binnen 3 dagen weer operationeel is omdat men dan pas weer aan de server kan ///////////////////////////////////////// 45

46 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// De risico s zijn in kaart gebracht, mogelijke risico strategieën: Accepteren: risico is in kaart gebracht, gevolgen zijn bekend en men besluit het risico te accepteren Ontwijken: men besluit een risico uit te sluiten door b.v. een bepaalde locatie te sluiten en het samenhangende risico te verwijderen Overdragen: het risico wordt overgedragen aan een andere partij door b.v. verzekering af te sluiten Beheersen: er worden interne maatregelen genomen om het geconstateerde risico te beperken ///////////////////////////////////////// 46

47 DEEL 4: INCIDENTEN EN CONTINUÏTEIT ///////////////////////////////////////// Bedenk voor de genoemde voorbeelden de mogelijke wijzen om om te gaan met het risico op basis van de 4 mogelijke strategiën: Accepteren Ontwijken Overdragen Beheersen ///////////////////////////////////////// 47

48 OPDRACHT ///////////////////////////////////////// Maak een werkpostfiche voor de verpleegafdeling met als doel: wat te doen bij een uitval van de ICT voorzieningen. Vraag 1: Welke ICT diensten hebben een impact op de werking van de verpleegpost? Vraag 2: Welke problemen kunnen zich voordoen? Vraag 3: Welke oplossingen voorzie je? en hoe dit inbedden in de organisatie? ///////////////////////////////////////// 48

49 ///////////////////////////////////////// DAG 4 INCIDENTEN EN CONTINUITEIT NIS directive /////////////////////////////////////////

50 OUTLINE NIS DIRECTIVE ///////////////////////////////////////// Doel: Richtlijn ter standaardisering van minimale beveiliging binnen bepaalde industrieën en sectoren Toepassing: Essentiële diensten/digitale dienstverleners (vb AWS, Azure, search engines, ) Kernboodschap: Verplichte melding van incidenten aan CSIRT Mogelijkheid om een audit te ontvangen over Veiligheidsstatus en de documentatie van veiligheidsbeleid Bewijs dat security policies correct zijn geïmplementeerd Resultaten van audits (self assessment) voorleggen Opmerking: In nationale wetgeving tegen mei 2018 ///////////////////////////////////////// 50

51 OVERZICHT DATALEKKEN IN BELGIË ///////////////////////////////////////// > ///////////////////////////////////////// 51

52 MOGELIJKE KOPPELING ///////////////////////////////////////// > Cyber security verzekeringen helpen zowel bij de preventie als het oplossen van een cyber security probleem. ///////////////////////////////////////// 52

53 ///////////////////////////////////////// DAG 4 INCIDENTEN EN CONTINUITEIT Impact analyse voor de verwerking van persoonsgegevens /////////////////////////////////////////

54 GOOD READING STUFF ///////////////////////////////////////// > ///////////////////////////////////////// 54

55 OVER EEN DPIA ///////////////////////////////////////// Doel: Specifieke waarschijnlijkheid/ernst risico s beoordelen Wat beoordelen? De geplande maatregelen om de geïdentifceerde risico s te beperken, de persoonsgegevens te beschermen aan te tonen dat aan deze verordening is voldaan Door wie? Verantwoordelijke verwerking op advies van DPO (indien aangesteld) ///////////////////////////////////////// 55

56 WANNEER UIT TE VOEREN? ///////////////////////////////////////// wanneer verwerking gebruik maakt van biometrie ter identificatie betrokkenen; wanneer de verwerking gebruik maakt van genetische gegevens; persoonsgegevens ingezameld bij derden dienstverlening te weigeren/stoppen financiële solvabiliteit van de betrokkene te beoordelen Risicoprofiel betrokkene opmaken in kader dienstverlening aan de betrokkene Inbreuk op persoonsgegevens zou fysieke gezondheid van de betrokkene in gedrang brengen Verwerking financiële/gevoelige persoonsgegevens die (her)gebruikt worden voor doeleinde andere dan degene waarvoor ze werden ingezameld, tenzij Toestemming Noodzakelijk is voor wettelijke verplichting ///////////////////////////////////////// 56

57 WANNEER UIT TE VOEREN? ///////////////////////////////////////// Persoonsgegevens zullen door verwerking ter beschikking worden gesteld aan grote groep Persoonlijke aspecten worden geëvalueerd (zie eerder, economische situatie, gezondheid, ) Profiling op grote schaal Grootschalige verwerking persoonsgegevens kinderenvoor andere dan oorspronkelijke doeleinden Meerdere verwerkingsverantwoordelijken zijn van plan een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele sector, of een segment daarvan, of voor een gangbare horizontale activiteit en waarbij gebruik gemaakt wordt van gevoelige gegevens; De kennis, prestaties, vaardigheden of mentale gezondheidstoestand van leerlingen registeren en de evolutie ervan op te volgen, met name aan de hand van leerlingvolgsystemen, ongeacht of deze leerlingen zich in het primair, secundair, tertiair of universitair onderwijs bevinden. ///////////////////////////////////////// 57

58 WAT STAAT ER IN EEN DPIA? ///////////////////////////////////////// Beschrijving verwerking en verwerkingsdoel Noodzaak/evenredigheid in functie van doelen Risico s op rechten en vrijheden Maatregelen ///////////////////////////////////////// 58

59 MOGELIJKE RISICO S ///////////////////////////////////////// Risico Onduidelijke finaliteit Te veel gegevens verzamelen Verwerking is niet transparant Combinatie van gegevensbronne n Toelichting Er is geen duidelijke definitie waarom de data wordt verzameld vb ter verbetering van de producten Vb naast het aanbieden van een betalingsdienst ook het koopprofiel bewaren Vb Digitale TV verzamelt gegevens over voice commando s maar het is niet duidelijk hoe de klant zijn privacy rechten kan uitoefenen Vb Facebook gebruikt whattsapp info, Google gebruikt info van de NEST thermostaat ///////////////////////////////////////// 59

60 MOGELIJKE RISICO S ///////////////////////////////////////// Risico Ongeldige toestemming In het geheim informatie verzamelen De onmogelijkhei d om toegang te geven tot de data Toelichting Vb een garantie van een TV toestel geldt enkel nadat het toestel is geregistreerd. Bij de registratie worden ook kijkgegevens vrijgegeven Vb Info doorsturen de overdracht van debug informatie in een besturingssysteem Vb Je maakt gebruik van een cloud dienst waarbij je de rechten van de betrokkene niet kan doen gelden (je kan als vvdv de gegevens niet opvragen) ///////////////////////////////////////// 60

61 MOGELIJKE RISICO S ///////////////////////////////////////// Risico Toelichting Geen mogelijkheid recht op verzet Geen transparantie in beslissingen Problemen met toegangsbehee r Authenticatieproblemen Vb loper kan niet deelnemen zonder het dragen van een RFID tag De onmogelijkheid om toelichting te geven bij het verwerkingsalgoritme Alles of niks toegang in onderliggende software Vb geen toegangsbeheer in de black box van de wagen ///////////////////////////////////////// 61

62 MOGELIJKE RISICO S ///////////////////////////////////////// Risico Toelichting Geen mogelijkheid recht op verzet Geen transparantie in beslissingen Problemen met toegangsbehee r Authenticatieproblemen Vb loper kan niet deelnemen zonder het dragen van een RFID tag De onmogelijkheid om toelichting te geven bij het verwerkingsalgoritme Alles of niks toegang in onderliggende software Vb geen toegangsbeheer in de black box van de wagen ///////////////////////////////////////// 62

63 OEFENING ///////////////////////////////////////// > Wat zijn specifieke risico s in uw WZC? ///////////////////////////////////////// 63

64 BCM VS DRP GEFASEERDE AANPAK ///////////////////////////////////////// Mobiel data center ///////////////////////////////////////// 13/06/17 backup, storage, virtualization 64

65 BCM VS DRP GEFASEERDE AANPAK ///////////////////////////////////////// Mobiel office center ///////////////////////////////////////// 13/06/17 backup, storage, virtualization 65

66 ///////////////////////////////////////// EINDE /////////////////////////////////////////