Werkprogramma Meldplicht Datalekken

Vergelijkbare documenten
S E C U R I T Y C O N G R E S D A T A I N T H E F U T U R E Bent u voorbereid op de meldplicht datalekken?

Meldplicht Datalekken

Werkprogramma Meldplicht Datalekken. Handreiking

PROCEDURE MELDPLICHT DATALEKKEN

Procedure Meldplicht Datalekken

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Procedure meldplicht datalekken

MELDPLICHT DATALEKKEN HOE STAAN WE ERVOOR?

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Meldplicht Datalekken

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

Stappenplan naar GDPR compliance

Protocol Beveiligingsincidenten en datalekken

De grootste veranderingen in hoofdlijnen

Impact van de meldplicht datalekken

Handvatten bij de implementatie van de AVG

Stappenplan naar GDPR compliance

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

staat is om de AVG na te komen.

checklist in 10 stappen voorbereid op de AVG. human forward.

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

1. Bedrijfsnaam:... Gevestigd te:... Straatnaam, huisnummer:... Vertegenwoordigd door dhr. / mevr... Functie:... adres:...

Privacy Maturity Scan (PMS)

Gegevensverzameling en gegevensverwerking

Protocol Meldplicht Datalekken

Wet meldplicht datalekken

Gegevensverwerking. Artikel 1 - Definities

Sta eens stil bij de Wet Meldplicht Datalekken

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

Protocol datalekken Samenwerkingsverband ROOS VO

Protocol meldplicht datalekken

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Meldplicht Datalekken

Raadsmededeling - Openbaar

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Privacy in de afvalbranche

Protocol datalekken voor Fidé Hypotheken & Verzekeringen

In 10 stappen voorbereid op de AVG

WET MELDPLICHT DATALEKKEN FACTSHEET

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Wet Meldplicht Datalekken. Jeroen Terstegge

Procedure beveiligingsincident en weging meldplicht datalek

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Veranderingen privacy wet- en regelgeving

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Algemene verordening gegevensbescherming

Wat betekent de AVG voor jouw vereniging?

In dit protocol is weergegeven hoe te handelen bij beveiligingsincidenten en datalekken. 2

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

27 maart 2014 Advocaat mr. Eva N.M. Visser. Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk

Cloud computing Helena Verhagen & Gert-Jan Kroese

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

E. Procedure datalekken

A2 PROCEDURE MELDEN DATALEKKEN

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Procedure datalekken NoorderBasis

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

De impact van Cybercrime & GDPR

Stichting Pensioenfonds voor Dierenartsen

4 APRIL 2018 DE WEG NAAR DE AVG - RENS GOUDSMIT ONDERNEMERSVERENIGING VOORSCHOTEN ONDERNEMEND WASSENAAR

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Bijlage Gegevensverwerking. Artikel 1 - Definities

PRIVACY GOED GEREGELD. Voorjaar 2018

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken PCPO Barendrecht en Ridderkerk

PRIVACY & DATALEKKEN

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

De bewerkersovereenkomst

Is uw bibliotheek klaar voor de nieuwe privacywetgeving?

Protocol informatiebeveiligingsincidenten en datalekken

Protocol meldplicht datalekken

Verwerkersovereenkomst

PROTOCOL BEVEILIGINGSINCIDENTEN EN DATALEKKEN SKOSO

Protocol Meldplicht Data-lekken

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Protocol meldplicht datalekken

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

FACTSHEET DATALEK. Inleiding

BLAD GEMEENSCHAPPELIJKE REGELING

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

STANDAARD VERWERKERS- OVEREENKOMST

Procedure Meldplicht Datalekken & Veiligheidsincidenten gemeente Geertruidenberg

Transcriptie:

Werkprogramma Meldplicht Datalekken Anticiperen op 25 mei 2018 Ir. J(an) W. de Heer RE Lid van de kennisgroep P R I V A C Y van de NOREA Senior Business Consultant KPN, afd. Security Integration Advisory 22 november 2017

Kennisgroep NOREA P R I V A C Y samenstelling drs. A.J. Biesheuvel RE RA drs. Jaap Boukens RE RA CGEIT Auke Geerts RE ir. Jan de Heer RE Dennis van Heijst Ruud Kerssens RE Wolter Karssenberg RE RI Maurice Koetsier Erik Konig Peter van der Knaap RE RA Erik Pothast RE RO Jeroen van PuijenbroekRE mr.drs.jan Roodnat RE RA Rina Steenkamp RE Maurice Steffin mr. Wouter Bas van der Vegt RE 2

Wat we niet willen of toch wel!? 3

Datalek onzorgvuldig handelen 4

Datalek Infomatiebeveiliging 5

Agenda 1. Datalekken: breach level index 2. Groeiend aantal meldingen bij het AP 3. Nederland koploper: vanaf 1 januari 2016 meldplicht datalekken Wbp 4. Impact van de AVG op de meldplicht datalekken 5. Werkprogramma Meldplicht Datalekken 6. Vervolg Werkprogramma Meldplicht Datalekken 7. Meer informatie en/of contact? Backup extra informatie meldplicht datalekken 6

1. Datalekken: breach level index - 18 november 2017 Bron: breachlevelindex.com 7

1. Datalekken: breach level index 10 december 2015 Bron: presentatie Meldplicht Datalekken 8

2. Groeiend aantal meldingen bij het AP 9

2. Groeiend aantal meldingen bij het AP 10

2. Groeiend aantal meldingen bij het AP type meldingen - bron AP 11

3. Nederland koploper - vanaf 1 januari 2016 meldplicht datalekken - Wbp Verplicht een ernstig datalek melden bij de Autoriteit Persoonsgegevens (AP) Voor bedrijven, overheden en andere organisaties Uiterlijk binnen 72 uur na ontdekking = onverwijld In bepaalde gevallen ook aan betrokkenen Dataprotectie is een boardroom issue Boetes van max. 820.000,- of 10% van de jaaromzet van de rechtspersoon De meldplicht datalekken artikel 34 A Wbp - verplicht iedere organisatie Security maatregelen te nemen die nodig zijn om datalekken te herkennen, te voorkomen en de gevolgen ervan zoveel mogelijk te beperken - zie ook artikel 13 Wbp 12

3. Beleidsregels van Autoriteit Persoonsgegevens (AP) Organisaties moeten zelf meldplichtigheid bepalen Beleidsregels geven hulp Beleidsregels zijn principle based - eigen afweging - invulling essentieel Schema s voor het maken van afwegingen Veel voorbeelden Datum 8 december 2015 13

3. Schema voor het maken van de juiste afweging Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp); Beleidsregels voor toepassing van artikel 34a van de Wbp 8 december 2015. 14

3. Beleidsregels: inhoud 15

3. Passende beveiligingsmaatregelen Risk based Risk based beveiligingsmaatregelen Bepaal eerst kroonjuwelen ICT Assets Risk based scoping: Van B(usiness) I(impact) Analyse BIA PIA 16

3. Passende beveiligingsmaatregelen houdt ook rekening met CyberSecurity KPN - Security Operating Center Hilversum Risk based bepalen van ICT assets die (real time) monitoring behoeven Vroegtijdige detectie van Cyber aanvallen - (soms) voorkomen van datalekken Continue en beheerde monitoring van uw ICT-infrastructuur en kritieke bedrijfsprocessen - 7 * 24 uur Vulnerability management Pen testing Incident response en forensics Zie ook: NOREA kennisgroep CyberSecurity 17

4. Impact van de AVG op de meldplicht datalekken - Art. 33 Artikel 33: Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit Sub art. 1 Inbreuk melden op persoonsgegevens aan toezichthouder onverwijld (binnen 72 uur). Kennisgeven is niet vereist indien het onwaarschijnlijk is dat inbreuk zal leiden tot hoog risico. Etc. Sub art. 2: De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens Sub art. 5: De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. De documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren. Let op Wbp vergelijking: de protocolplicht in de Wbp heeft alleen betrekking op de aan de AP gemelde datalekken Conclusie: 1. Inbreuk melden aan toezichthouder, indien inbreuk zal leiden tot hoog risico 2. Verwerker moet de verwerkingsverantwoordelijke informeren 3. Registratieplicht van inbreuken is geïntensiveerd 18

4. Impact van de AVG op de meldplicht datalekken - Art. 34 Artikel 34: Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene Sub art. 1: Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee Let op: Wbp vergelijking: Artikel 34 a (meldplicht datalekken) Sub art. 2: De verantwoordelijke stelt de betrokkene onverwijld in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer Conclusie: 1. Volgens de AVG hoeven betrokkenen doorgaans minder snel te worden geïnformeerd over een datalek dan volgens de Wbp (artikel 34 a) het geval is 19

5. Werkprogramma Meldplicht Datalekken Doelstelling: Het bepalen van de status aangaande de implementatie van de Meldplicht Datalekken In samenhang met een aantal kern artikelen uit de Wbp: - art. 13: beveiliging, art. 14: bewerker, art. 34a: meldplicht datalekken Doelgroep: IT Auditors die organisaties ondersteunen inzake de beveiliging van persoonsgegevens en de meldplicht Ook bruikbaar voor security officers, privacy officers en functionarissen gegevensbescherming Context: Wbp - met vooruit blik naar de AVG AVG is vastgesteld in mei 2016, handhaving vanaf 25 mei 2018 20

5. Relatie met de PIA Norea Privacy Impact Assessment Doelstelling PIA: Bepaling van privacyrisico s (en reducerende maatregelen) in een vroeg stadium op een gestructureerde manier. Risico's inzake de meldplicht zijn ook opgenomen Doelstelling werkprogramma Meldplicht Datalekken : Bepaling van de mate waarin de meldplicht datalekken is geïmplementeerd (in samenhang met een aantal beveiligingsmaatregelen) 21

5. Werkprogramma Meldplicht Datalakken INVENTARISATIE Wbp art 1 t/m 4,14 Inventarisatie Stel vast of persoonsgegevens worden verwerkt worden bepaal of de Wbp van toepassing is Bepaal bewerkerovereenkomsten intern extern, bepaal verantwoordelijke & bewerker beschrijvingen is melding proces correct? Bepaal overzicht van verwerkingen, aard & locatie (intern danwel extern) en gevoeligheid Onderzoek proces beschrijvingen onderzoek waarborgen tav meldplicht datalekken (wie doet melding, proces van verwerkingen) Stel vast of er in de afgelopen periode door de bewerker beveiligingsincidenten, datalekken zijn gemeld aan de verantwoordelijke en het AP 22

5. Werkprogramma Meldplicht Datalekken PREVENTIE en DETECTIE Wbp art. 13 Preventie Onderzoek of passende technische en organisatorische maatregelen zijn getroffen tegen verlies of enige vorm van rechtmatige verwerking Onderzoek Privacy beleid onderzoek samenhang met Security beleid Onderzoek of risicoanalyse is uitgevoerd wel of geen PIA uitgevoerd Bepaal aanwezigheid van continuïteits-maatregelen Bepaal of encryptie hashing remote wipe maatregelen aanwezig zijn Bepaal aanwezigheid van incident management proces - crisismanagement proces- waarin aantoonbaar de meldplicht naar AP en betrokkene is verwerkt Stel vast of van of van alle geregistreerde beveiligingsincidenten is bepaald of sprake is van een datalek Stel vast of dat na een datalek afdoende maatregelen zijn getroffen om herhaling te voorkomen Stel vast dat alle meldenswaardige datalekken in de afgelopen periode zijn gemeld aan de AP. Detectie Bepaal of monitoring maatregelen aanwezig zijn Bepaal of vulnerability management, pentesten, intrusion detection wordt uitgevoerd, onderzoek de aanwezigheid van real time monitoring maatregelen ivm tijdige detectie van datalekken 23

5. Werkprogramma Meldplicht Datalekken RESPONS Wbp art. 34 a Respons Stel vast of er een procedure is waarin gemotiveerd kan worden aangegeven wanneer een datalek wordt gemeld aan het AP danwel aan betrokkene Stel vast of procedure aanwezig is voor het volledig en tijdig melden van datalekken aan het AP Stel vast of procedure aanwezig is voor het volledig en tijdig melden van datalekken aan betrokkenen Stel vast of er een procedure is gericht op het administreren van datalekken die onder de meldplicht vallen. Stel bewaartermijn van de administratie van datalekken vast - minimaal 3 jaar Stel vast of er een overzicht bestaat van alle datalekken Stel vast of minimaal eenmaal per jaar het datalek alsnog aan de betrokkenen moet worden gemeld Stel vast of datalekken tijdig en juist zijn gemeld aan het AP Stel vast of datalekken tijdig en juist zijn gemeld aan betrokkene 24

6. Vervolg Werkprogramma Meldplicht Datalekken Indien de gevolgen van de AVG voldoende helder zijn zal het werkprogramma Meldplicht Datalekken worden aangepast De Europese privacytoezichthouders (de ARTICLE 29 DATA PROTECTION WORKING PARTY) hebben in oktober 2017 guidelines gepubliceerd over de meldplicht datalekken onder de AVG Zie Guidelines on Personal data breach notification under Regulation 2016/679, adopted on Adopted on 3 October 2017 NOTE. Deze guidelines zijn nog niet definitief, maar staan open voor publieke consultatie Vervolg Beleidsregels voor toepassing artikel 34 A van de Wbp monitoren bij de AP 25

7. Meer informatie en/of contact? Ir. J. (Jan) W. de Heer RE Projectmanager Kwaliteit en Vaktechnische Communicatie Telefoon: + 31 (0)20 3010380 GSM: +31 (0)6 5370 7516 E-mail: j.deheer@norea.nl Antonio Vivaldistraat 2-8 1083 HP AMSTERDAM Postbus 7984 1008 AD AMSTERDAM Web: www.norea.nl 26

Backup extra informatie meldplicht datalekken - Wbp gerelateerd NOREA 2015

2. Beleidsregels: is het een datalek? O p z e t t e l i j k datalek Beveiligingslek in niet geupdate software Uitbuiten van kwetsbaarheden via social engineering - phishing Hacker breekt in op een systeem met een personeelsbestand Fysieke diefstal van onbeveiligde laptop, server O n o p z e t t e l i j k e datalek Verlies van laptop, server, tablet, usb stick Verzenden gegevens via onbeveiligde e-mail of bestandsoverdracht Verzenden van E-mails aan verkeerde ontvanger Technisch probleem harddisk crash met gegevensverlies tot gevolg Brand in Datacenter Zoekraken van identiteitsbewijs 28

2. Beleidsregels: melden aan Autoriteit persoonsgegevens? 29

2. Beleidsregels: melden aan de betrokkene? N i e t melden aan betrokkene bij: Indien gelekte persoonsgegevens onleesbaar zijn ; Voorbeelden: toepassing encryptie danwel hashing, danwel remote wipe (op afstand kunnen verwijderen van gegevens). Conform sterke encryptie conform ENISA (European Union Agency for Network and Information Security) Wel van belang is dat niemand de gegevens heeft kunnen inzien. De bewijslast ligt bij U. W E L melden aan betrokkene bij: Indien datalek gegevens uit de persoonlijke levensfeer bevat zoals geloof, gezondheid, sexe etc. Indien datalek waarschijnlijk ongunstige gevolgen heeft voor privéleven van de personen van wie de gegevens zijn gelekt - ook melden aan het AP Ongunstige gevolgen bijvoorbeeld bij: Identiteitsfraude Discriminatie reputatieschade 30

2. Melden ingeval bewerkersovereenkomsten Opletten met het volgende: Rollen: Wie is de Verantwoordelijke Wie is de Bewerker Wie is de Betrokkene Laat de Verantwoordelijke bij voorkeur- de melding doen bij de AP Regel informatie voorziening met de Bewerker NB: Wet geeft ruimte voor wie doet de melding van een datalek 31

2. Meldplicht: wat melden? Aan Autoriteit persoonsgegevens èn betrokkenen: Aard inbreuk Vindplaats nadere informatie Aanbevolen maatregelen Aan Autoriteit persoonsgegevens: Gevolgen Maatregelen Aan betrokkenen: Alle andere noodzakelijke informatie 32

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback