De impact van Cybercrime & GDPR
Agenda 1 2 3 GDPR in vogelvlucht Compliance Checker Waar te beginnen?
GDPR in vogelvlucht
Meldplicht datalekken 1+ jaar na intrede 01-01-2016: WBP en Meldplicht Nederland zet de toon Uitbreiding bestuurlijke boetebevoegdheid CBP is nu Autoriteit Persoonsgegevens (AP) Meldplicht voor datalekken van persoonsgegevens Geen boetes Bijna 5.700 meldingen Ruim 100 waarschuwingen
5.700 gemelde datalekken 2016 Overig 23% Gezondheid & welzijn 29% Vervoer 6% Informatie en communicatie - 10% Openbaar bestuur 15% Financiële dienstverlening 17%
2.300 gemelde datalekken 2017-Q1 3000 2500 2388 2000 1901 1500 1396 1491 1000 1061 500 0 Q1-16 Q2-16 Q3-16 Q4-16 Q1-17 Meldingen AP
Privacy is een grondrecht Digitalisering vormt inbreuk op privacy
Voor wie is de GDPR? U als organisatie (Verantwoordelijke) Cloud/Hosting Provider (Verwerker) IT Partner (Verwerker)
Impact van GDPR op organisaties Artikel 32 van de GDPR stelt dat: de verantwoordelijke organisatie de beveiliging van persoonsgegevens permanent moet garanderen
GDPR tijdlijn 2016 2017 2018 04 05 06 07 08 09 10 11 12 01 02 03 04 05 06 07 08 09 10 11 12 01 02 03 04 05 06 4 mei 2016 GDPR formeel aangenomen Nu 25 mei 2018 - GDPR wordt op gehandhaafd door alle EU lidstaten Voorbereidingstijd EU lidstaten bereiden zich voor Organisaties dienen compliant te worden
Stappenplan naar GDPR Inventariseer de stappen voor uw organisatie en begin op tijd.
Wat is de GDPR? GDPR = Algemene Verordening Gegevensbescherming (AVG) Aangenomen door Europees Parlement op 6 april 2016 Lidstaten EU moeten uiterlijk 25 mei 2018 de verordening invoeren
COMPLIANCE CHECKER
Compliance Checker rapport Hoe ver bent u? Wat kunt u nog organiseren? Beleid Organisatorische maatregelen Technische maatregelen
GDPR Compliance Checker 01 Heeft u een Privacy Policy?
Privacy Policy Het opstellen van een privacy policy is een eerste stap om te bepalen hoe uw organisatie om gaat met gevoelige gegevens en welke maatregelen uw organisatie heeft getroffen om gegevens te beschermen.
GDPR Compliance Checker 01 Heeft u een Privacy Policy? 02 Beschikt u over een procedure meldplicht datalekken?
Procedure Meldplicht datalekken Definieer verschil beveiligingsincident en datalek Registreer alle incidenten Meld een lek binnen 72 uur Bij lek risico-inschatting maken Voorbeelden van incidenten in kaart brengen
GDPR Compliance Checker 01 03 Heeft u een Privacy Policy? 02 Beschikt u over een procedure meldplicht datalekken? Houdt u een overzicht (register) bij van alle persoonsgegevens die onder uw verantwoordelijkheid worden verwerkt?
Register verantwoordelijke Vul dit formulier in voor alle verwerkingsactiviteiten die onder de verantwoordelijkheid van uw organisatie plaatsvinden Verwerkingsverantwoordelijke: [Naam en contactgegevens] Vertegenwoordiger van de verwerkingsverantwoordelijke: [Naam en contactgegevens] Functionaris voor gegevensbescherming: [Naam en contactgegevens] Algemeen Verplichte velden register volgens art. 30, lid 1 Verwerkingsdoeleinden betrokkenen persoonsgegevens ontvangers van derde land of Categorieën van Categorieën van Categorieën van Doorgifte aan een persoonsgegevens internationale organisatie? # Afdeling IT systeem Naam en contactgegevens gezamenlijke verwerkingsverant woordelijken (indien van toepassing) 1 Onderhoud Reparatieapp N.v.t. Verwerken van de aanvragen van bewoners voor reparaties van woningen Bewoners (categorie 2) Vertrouwelijke gegevens (categorie 2) Reparateur X (categorie 3) Documenten inzake de passende waarborgen (indien doorgifte conform art. 49, lid 1, tweede alinea) Beoogde termijn waarbinnen gegevens moeten worden gewist Nee N.v.t. Tot vijf jaar na beëindigen huurovereenkomst Beschrijving technisch beveiligings-maatrege 32, lid 1) - Sterke wachtwoorde - Versleuteling van geg - Firewall en netwerks staat in DMZ) - Two-factor authentic verbinding -... (etc.)
GDPR Compliance Checker 01 03 Heeft u een Privacy Policy? 02 Beschikt u over een procedure meldplicht datalekken? Houdt u een overzicht (register) bij van alle persoonsgegevens die onder uw verantwoordelijkheid worden verwerkt? 04 Is toegang tot persoonsgegevens binnen uw systemen ingericht volgens het need-to-know principe?
GDPR Compliance Checker 01 03 05 Heeft u een Privacy Policy? 02 Beschikt u over een procedure meldplicht datalekken? Houdt u een overzicht (register) bij van alle persoonsgegevens die onder uw verantwoordelijkheid worden verwerkt? 04 Is toegang tot persoonsgegevens binnen uw systemen ingericht volgens het need-to-know principe? Worden gevoelige gegevens versleuteld opgeslagen?
GDPR highlights op security Artikel 32 van de GDPR verplicht organisaties tot: Het treffen van passende organisatorische en technische maatregelen De beveiliging betreft de vertrouwelijkheid, integriteit en de beschikbaarheid van de verwerking van data Beveiligingsincidenten en datalekken tijdig detecteren en gevolgen minimaliseren voor betrokkenen Periodiek testen, beoordelen en evalueren van de beveiliging (bv. PIA)
Hoe nu verder?
The challenge In-control R e s o u r c e s Assesment Defensible Compliant Now Tomorrow 2018 Yesterday Time
Begin met de basis OWA Logging Mail / SMS wanneer nieuwe domain admin gebruiker is aangemaakt. Internal & External Vulnerability management Lockout policy en een alert wanneer een account gelocked is. Verhoog minimale wachtwoordlengte en gebruik wachtwoordzinnen. Gebruik encryptie.
Begin met de basis Blokkeer inactieve accounts Zorg dat men iemand heeft om mee te praten Leg uit waarom maatregelen genomen worden Maak gebruikers nooit local admin, geef hen aparte accounts Limiteer internet verbinding op servers, zowel inkomend als uitgaand. Blokkeer interne email vanaf extern adres. Vervang Antivirus en configureer Endpoint Security.