Meldplicht datalekken



Vergelijkbare documenten
Help een datalek! Wat nu?

Protocol meldplicht datalekken

Algemene Verordening Gegevensbescherming Oude wijn in nieuwe zakken? Erwin Kemink ISMP Functionaris Gegevensbescherming

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Een nieuwe identiteit, voor je het weet heb je hem nodig! Anita van Nieuwenborg Kwartiermaker Privacydienstverlening KING

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Europese Privacy Verordening (EPV) Een wet met Tanden

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

PROTOCOL BEVEILIGINGSINCIDENTEN EN DATALEKKEN SKOSO

Stappenplan naar GDPR compliance

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Checklist Beveiliging Persoonsgegevens

Stappenplan naar GDPR compliance

Beleid en procedures meldpunt datalekken

Protocol datalekken Samenwerkingsverband ROOS VO

Protocol Beveiligingsincidenten en datalekken

Databeheer in de kerk

Plan

Persoonsgegevens van een overleden persoon vallen niet onder de AVG

In dit protocol is weergegeven hoe te handelen bij beveiligingsincidenten en datalekken. 2

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Procedure datalekken NoorderBasis

Algemene verordening gegevensbescherming (AVG)

Vita Zwaan, 16 november 2017

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Algemene Verordening Gegevensbescherming

PROCEDURE MELDPLICHT DATALEKKEN

Protocol meldplicht datalekken

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Raadsmededeling - Openbaar

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

Procedure Meldplicht Datalekken

Wat moet je weten over... privacy en passend onderwijs?

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Privacy in de afvalbranche

Meldplicht Datalekken

Waarom privacy een relevant thema is En wat u morgen kunt doen

WET MELDPLICHT DATALEKKEN FACTSHEET

Privacy Maturity Scan (PMS)

Juridische blik op: hacking en bescherming van persoonsgevens. Nieuwe wetgeving op komst!

Agenda. De AVG: wat nu?

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

WET MELDPLICHT DATALEKKEN

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Data Protection Officer

Procedure Melden beveiligingsincidenten

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Protocol informatiebeveiligingsincidenten en datalekken

Regeling datalekken StOVOG

Transcriptie:

Meldplicht datalekken Peter Westerveld Directeur en principal security consultant Sincerus consultancy Sincerus Cybermonitor Opgericht in 2004 20 medewerkers Informatiebeveiliging Zwolle en Enschede 15-02-16 2 1

Meldplicht datalekken Meldplicht bestaat al sinds 2012 in telecommunicatiewet Alleen voor telecom en ISP s Meldingen bij ACM Voorbeeld KPN hack 15-02-16 3 Voorbeeld: KPN 15-02-16 4 2

Voorbeeld: KPN Opvallende zaken uit voorbeeld KPN: Niet (snel genoeg) gemeld. Geen persoonsgegevens op straat volgens KPN. Toch een boete omdat beveiliging niet voldoende op orde was. 15-02-16 5 Waar komt het vandaan? De grondwet 15-02-16 6 3

Waar komt het vandaan? Wet Bescherming Persoonsgegevens 15-02-16 7 Waar komt het vandaan? Europese Algemene Verordening Gegevensbescherming Verwachting juni 2016 Vervangt NL WBP Bevat ook een meldplicht datalekken 2 jaar implementatietijd 16-02-16 8 4

Waar komt het vandaan? WBP artikel 34a: Meldplicht datalekken 15-02-16 9 Wat is een persoonsgegeven? Naam, adres, woonplaats; Telefoonnummer; E-mailadres; Kenteken; Userid, accountnaam, IP-adres, MAC-adres; Logging gegevens; Bankgegevens. 15-02-16 10 5

Bijzondere persoonsgegevens Gezondheid; Geaardheid; Geloof, ras; Strafrechtelijke gegevens; Lidmaatschap (vak)vereniging; Lidmaatschap politieke partij; BSN nummer. 15-02-16 11 datalekken? Eigenlijk een foute naam Inbreuk op beveiliging van persoonsgegevens Voorbeeld: 3 ziekenhuizen 15-02-16 12 6

Voorbeelden datalek Hack 16-02-16 13 Hack Ransome ware Voorbeelden datalek 16-02-16 14 7

Hack Ransome ware Voorbeelden datalek Per abuis verstuurd via e-mail 16-02-16 15 Hack Ransome ware Voorbeelden datalek Per abuis verstuurd via e-mail Gestolen/verloren laptop, USB-stick 16-02-16 16 8

Hack Ransome ware Voorbeelden datalek Per abuis verstuurd via e-mail Gestolen/verloren laptop, USB-stick Kwetsbare beveiliging 16-02-16 17 Hack Ransome ware Voorbeelden datalek Per abuis verstuurd via e-mail Gestolen/verloren laptop, USB-stick Kwetsbare beveiliging Verloren geraakt dossier 16-02-16 18 9

Moeten wij er iets mee? Ja: Kans op bestuurlijke boete tot max. 820.000,- 5 stappen 16-02-16 19 Stap 1: Persoonsgegevens? Verwerken wij persoonsgegevens? Waar? Wat? Waarom? Hoe vindt verwerking plaats? Binnenshuis Extern (datacenter of bij leverancier (SaaS)) 15-02-16 20 10

Stap 2: Beleid en proces Stel beleid op Benoem Functionaris Gegevensbescherming (FG) Communiceer beleid intern én met extern Het beleid bevat in ieder geval: Geheimhoudingsplicht Recht om vergeten te worden Privacy by design Beschrijf en implementeer incidentbeheer proces 15-02-16 21 Stap 3: Meten Privacy impact analyse Wat is de invloed van een bedrijfsproces of nieuw project op de persoonsgegevens? Risico analyse bedrijfsprocessen Waar zitten de kwetsbare plekken? Vertrouwelijkheid, integriteit, beschikbaarheid Security assessments (penetratietesten) Welke schade kan een kwaadwillende of malware aanrichten? Extern én intern 16-02-16 22 11

Stap 4: Maatregelen Technische en procedurele beveiligingsmaatregelen Bewerkersovereenkomst met leveranciers Je kunt alles uitbesteden behalve verantwoordelijkheid! Beveiligingsbewustzijn medewerkers 16-02-16 23 Stap 5: Borging Met andere woorden: Zorg dat je weet wat er gebeurd! Logging Monitoring Evalueren 15-02-16 24 12

Incidentbeheer proces Patchen Herstellen, Schade beperken Nee Nee Beveiligingslek Beveiligings incident? Data lek? Melden AP Melden betrokkenen Zelf geconstateerd, Leverancier, buitenstaander Incident? Gecompromitteerd? Gegevens verloren, gestolen, gewijzigd? (Kans op) toegang tot persoonsgegevens? Zijn persoonsgegevens verloren, gestolen, gewijzigd? Meldloket datalekken Datalek van invloed op persoonlijke levenssfeer betrokkenen? datalekken.autoriteitpersoonsgegevens.nl 16-02-16 25 Informatiebeveiliging Mensen Processen Techniek Borging 15-02-16 26 13

16-02-16 There are only two types of companies: those that have been hacked, and those that will be or do not now they are Director FBI: Robert Mueller 16-02-16 27 Security hoort thuis in de directiekamer Utwente: Prof. dr. Pieter Hartel 16-02-16 28 14

Informatie www.autoriteitpersoonsgegevens.nl Beleidsregels meldplicht datalekken: hcps://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf Boetebeleidsregels: hcps://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/ boetebeleidsregels_cbp_def_consultaieversie.pdf Peter Westerveld Sincerus consultancy / Cybermonitor www.sincerus.nl www.cybermonitor.nl Peter.westerveld@sincerus.nl M: 06 539 766 59 16-02-16 29 15

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback