Datalekken. Presenta(e Datalekken 9 juni 2016

Vergelijkbare documenten
Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Procedure meldplicht datalekken

Sta eens stil bij de Wet Meldplicht Datalekken

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Protocol meldplicht datalekken

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Protocol meldplicht datalekken

Procedure Melden beveiligingsincidenten

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Protocol datalekken Samenwerkingsverband ROOS VO

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Protocol Meldplicht Data-lekken

PROTOCOL. Vereniging van Gepensioneerden van de eenheid Den Haag

Procedure datalekken NoorderBasis

PROTOCOL. Onze vereniging

Checklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving

Regeling meldplicht datalekken 2016

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

ALGEMENE VERORDENING GEGEVENSBESCHERMING

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

E. Procedure datalekken

Privacy in de afvalbranche

Privacy en de meldplicht datalekken

Bijlage Gegevensverwerking. Artikel 1 - Definities

Privacyreglement Medewerkers Welzijn Stede Broec

Is uw onderneming privacy proof?

Help een datalek! Wat nu?

Chodsky Pes Club Nederland

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Algemene verordening gegevensbescherming

Privacy proof organisatie? Okkerse & Schop Advocaten biedt u een juridische Privacy QuickScan

PRIVACY GOED GEREGELD. Voorjaar 2018

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

Privacy Statement Libracoaching

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

WET MELDPLICHT DATALEKKEN FACTSHEET

PRIVACYREGLEMENT ANG Versie 1.0 Özlem Sahin & Tinka Versteeg. ANG, Montfoort, 01 oktober 2017 Kenmerk: ANG HRM

BLAD GEMEENSCHAPPELIJKE REGELING

AVG Algemeen PRIVACYREGLEMENT

Privacy in de afvalbranche Juridisch kader

Protocol meldplicht datalekken Voor financiële ondernemingen

VERWERKING VAN PERSOONSGEGEVENS

Checklist basisbeginselen privacyregelgeving

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Vandaag Zorgvernieuwing

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Degene op wie een Persoonsgegeven betrekking heeft. Dit kan de bewoner of diens naaste of gemachtigde zijn.

Melden van datalekken

Hengelsport Federatie Midden Nederland Frank Bosman

Privacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6

Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Wet Bescherming Persoonsgegevens Meldplicht Datalekken

SHK - Senioren Hollands

Wettelijke kaders voor de omgang met gegevens

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Beleid en procedures meldpunt datalekken

BEWERKERSOVEREENKOMST

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Privacyreglement Belangenvereniging Ede Noord

PRIVACYREGLEMENT. Voor leerlingen en medewerkers. Stichting Fioretti Teylingen

Privacy Ad Boumans

Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl

Privacy Reglement. 2 Definities. 3 Reikwijdte en doelstelling

Algemene Verordening Gegevensbescherming

1. Aanhef Dit reglement is voor STICHTING VLIETKINDEREN gevestigd aan de Bucaillestraat 6, 2273 CA te Voorburg

1. Begripsbepaling AVG Algemene verordening gegevensbescherming, of te wel de privacywetgeving. Persoonsgegevens Alle gegevens betreffende een

Presentatie ten behoeve van stichtingen en verenigingen. mogelijk gemaakt door Stichting De Slinger en Servicepunt Vrijwilligerswerk

Documentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN

: Privacyreglement Datum : 14 mei 2018 Versienummer : V1.0

REGLEMENT BESCHERMING PERSOONSGEGEVENS

Procedure melden beveiligingsincidenten en datalekken

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

Privacyreglement Auto huren op Curacao

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

Raadsmededeling - Openbaar

DE AVG IN EEN NOTENDOP. Maike van Zutphen Legal, Compliance & Privacy Officer

Privacyreglement Stichting Fonds Hartewensen Vastgesteld 30 november Privacyreglement Stichting Fonds Hartewensen

FACTSHEET DATALEK. Inleiding

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

Privacy Statement Sa4-zorg

PRIVACY REGLEMENT PCBO LEIDERDORP

Verwerkersovereenkomst Beyuna Beyuna Independent Sales Representative

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

FACTSHEET VERWERKINGSREGISTER

Privacy reglement. Pagina 1 van 9

gewoondoenreintegratie

Privacyreglement Financieel Bureau Brabant

Privacyreglement Trevianum Scholengroep

Wet meldplicht datalekken

Privacyreglement Mei 2018

Algemene verordening gegevensbescherming (AVG)

Privacyverklaring Therapeuten VVET

PROTOCOL MELDING DATALEKKEN

Transcriptie:

Datalekken

Voorgeschiedenis 1988: Wet persoonsregistraties (Wpr) 1995: Richtlijn 95/46EG beoogt: - bescherming van persoonsgegevens en garantie van vrij verkeer van persoonsgegevens tussen lidstaten 2001: Wet Bescherming Persoonsgegevens (Wbp) - vervanger van Wpr en uitwerking van richtlijn 01-01-2016: Wet meldplicht datalekken 04-05-2016: Publicatie Europese Algemene Verordening Gegevensbescherming in Publicatieblad EG; overgangsperiode: 2 jaar 25-05-2018: Datum inwerkingtreding/van toepassing Europese Algemene Verordening Gegevensbescherming (AVG)

Intensivering wetgeving Wbp lange tijd onbekend en onbemind Wbp werd (en wordt) lang niet altijd nageleefd wet hield geen gelijke pas met technologische ontwikkelingen beoogde veiligheidsniveau wordt niet gehaald sancties werden ontoereikend geacht betere naleving noodzakelijk daarom: artikel 34a Wbp en AVG

Waarom belangrijk voor particulieren? Datalekken kunnen leiden tot: (identiteits)fraude financiële schade chantage aantasting eer en goede naam misbruik van inloggegevens uw naam, geboortedatum, woonadres en BSN: uw creditcardinformatie en bankgegevens: per scan/kopie van paspoort, rijbewijs, bankrekening: Geen fantasie maar werkelijkheid Bron: rapport antivirusbedrijf Trend Micro 22-09-2015, Follow the data

Waarom belangrijk voor bedrijven? Datalekken kunnen leiden tot: verlies van reputatie verlies van klanten, toeleveranciers en ketenpartners verlies van bedrijfsgeheimen chantage financiële schade faillissement (bijv. Diginotar). Hyper-connected wereld, internet of things, industrie 4.0 niet meer vraag óf een bedrijf aangevallen wordt in cyberspace maar wannéér Internet Security Threat Report 2014: NL eerste plaats in Europa en top 5 mondiaal van bedrijven geraakt door een cyberaanval 2015: 23% van de MKB-bedrijven in Nederland gehackt

Boetes Wbp: tot 820.000,00 of 10% van de jaaromzet indien passender straf AVG: tot 20.000.000,00 of 4% wereldwijde omzet indien hoger

Verwerking pg alleen toegestaan als betrokkene ondubbelzinnig toestemming verleent noodzakelijk voor uitvoering overeenkomst (of voortraject) noodzakelijk voor nakoming wettelijke plicht of dringend eigen belang betrokkene (dringende noodzaak; leven of dood) gerechtvaardigd belang verantwoordelijke of derde, tenzij belang of fundamentele rechten van betrokkene prevaleert; belangenafweging geen rechtvaardigingsgrond voor verwerking pg, dan onrechtmatig

Verwerking Verwerking van persoonsgegevens: elke handeling met betrekking tot persoonsgegevens, waaronder: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen van gegevens omvat hele proces, van begin (verzamelen/verkrijgen) tot en met einde (vernietiging) niet limitatief, ook anonimiseren is verwerking

Persoonsgegeven Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Geen overleden personen en rechtspersonen; mensen van vlees en bloed. Direct herleidbaar Indirect herleidbaar Mogelijkheid tot herleiding Naam, adres, woonplaats? Telefoonnummer? Kenteken? Camerabeeld? Stemgeluid?

Bewerking Rolverdeling en hoedanigheden: A. Verantwoordelijke: degene die doel van en middelen voor verwerking pg vast stelt B. Bewerker: degene die ten behoeve van de verantwoordelijke pg verwerkt zonder aan diens rechtstreekse gezag onderworpen te zijn C. Betrokkene: degene van wie de pg verwerkt worden (natuurlijk persoon)

Bijzondere persoonsgegevens Verboden om bijzondere pg te bewerken, tenzij uitdrukkelijke toestemming of wettelijke uitzondering Bijzondere pg: godsdienst, ras, levensovertuiging, politieke gezindheid, gezondheid, seksuele voorkeur, lidmaatschap vakvereniging, strafrechtelijke gegevens of pg over onrechtmatig of hinderlijk gedrag

Beveiliging (art. 13 Wbp) verantwoordelijke heeft beveiligingsplicht voor pg dient passende technische en organisatorische maatregelen ten uitvoer te leggen om pg te beschermen tegen verlies of onrechtmatige verwerking maatregelen garanderen passend beveiligingsniveau mede gericht op voorkoming onnodige verzameling en verdere verwerking pg technische maatregelen organisatorische maatregelen

Uitbesteding en bewerkersovereenkomst Verantwoordelijke kan verwerking van pg uitbesteden aan derde. Bijvoorbeeld: - externe personeels- en salarisadministratie; - cloudopslag - arbodienst - klantenservice - externe ICT-dienstverlener De grote onbekende: de bewerkersovereenkomst Bij uitbesteding verwerking bewerkersovereenkomst wettelijk vereist (art. 14 Wbp) - doeleinden verwerking - verplichtingen bewerker - doorgifte van pg - meldplicht - beveiliging

Datalekken Wat is een datalek? Artikel 34a, lid 1 Wbp De verantwoordelijke stelt de Autoriteit Persoonsgegevens onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstig nadelige gevolgen dan wel ernstig nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Artikel 34a, lid 2 Wbp De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ernstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Artikel 34a, lid 6 Wbp Het tweede lid is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.

Soorten datalekken 1. Opzettelijke datalekken bewuste omzeiling van beveiligingsmaatregelen door hackers of eigen personeel, zoals door middel van: uitbuiten kwetsbaarheden in: - informatiesystemen (bekende veiligheidslekken in niet ge-update software, zwakke wachtwoorden) - webservers (SQL-injection) - menselijk gedrag (phishing, social engineering) - diefstal van niet beveiligde laptops, servers, tablets, mobieltjes, etc. - kopiëren, meenemen of aan derden verstrekken van vertrouwelijke gegevens

Soorten datalekken 2. Onopzettelijke datalekken niet doelbewust veroorzaakt, fout ligt in de mens of techniek Voorbeelden: - verlies niet beveiligde laptop, server, tablet, telefoon of USB-stick - verzenden van gegevens via onbeveiligde mail - rechtstreekse toegang tot onbeveiligde gegevens op servers of desktops of laptops of in dossierkasten - versturen pg aan verkeerde ontvanger - bericht aan meerdere ontvangers in cc in plaats van in bcc - crash van hard disk waardoor gegevens verloren raken

Oorzaken datalekken Bron: Ponemon Institute 2015 Menselijk falen 25% Moedwillig 46% Technisch falen 29%

Melden aan AP? Zijn er gevoelige persoonsgegevens gelekt? ja V nee Leidt het datalek tot (aanzienlijke kans op) ernstig nadelige gevolgen voor bescherming pg? ja > Je moet het datalek melden bij de AP V nee Je hoeft het datalek niet te melden bij de AP

Gevoelige persoonsgegevens zijn: Gevoelige persoonsgegevens godsdienst, ras, levensovertuiging, politieke gezindheid, gezondheid, seksuele voorkeur, lidmaatschap vakvereniging, strafrechtelijke gegevens of pg over onrechtmatig of hinderlijk gedrag Gegevens financiële en of economische situatie zoals: salaris, betalingsgegevens of (problematische) schulden Gegevens die kunnen leiden tot uitsluiting zoals: gokverslaving, school- werkprestaties, relatieproblemen Gebruikersnamen, wachtwoorden, andere inloggegevens Gegevens die kunnen leiden tot misbruik zoals: (identiteits)fraude, biometrische gegevens, kopieën ID en BSN Gegevens uit DNA-banken, met bijzondere wettelijk bepaalde geheimhoudingsplicht, beroepsgeheim ex artikel 9 lid 4 Wbp

Datalek op grond van Wbp? Niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als: 1. er pg in het geding zijn 2. pg blootgesteld zijn aan verlies of onrechtmatige verwerking (zekerheid of mogelijkheid) Geen datalek als: verlies of onrechtmatige verwerking pg kan worden uitgesloten Voorbeelden: per ongeluk gewiste database kan vanuit een complete en actuele back up weer opgebouwd worden. Geen verlies van pg. Logingegevens vallen in verkeerde handen maar na sluiting account en raadpleging logbestanden blijkt dat geen sprake is van onrechtmatige toegang tot pg. Geen schending van vertrouwelijkheid/ onrechtmatige verwerking

(Aanzienlijke kans op) ernstig nadelige gevolgen? Hamvraag: leiden aard en omvang van het datalek tot (een aanzienlijke kans op) ernstig nadelige gevolgen? Gevoelige gegevens: ja Grote aantallen betrokkenen of veel gegevens per betrokkene: ja ook bij datalek één persoon bestaat kans op ernstig nadelige gevolgen kwetsbare groepen malware, ransomeware en cryptoware datalek verondersteld

Melden aan betrokkenen? Waren de gegevens goed versleuteld of geanonimiseerd? V Heeft het datalek (waarschijnlijk) nadelige gevolgen voor de betrokkenen? V Heb je zwaarwegende redenen om het lek (nog) niet te melden? V nee ja nee Je moet het datalek melden aan de betrokkenen ja nee > Ja Je hoeft het datalek niet te melden aan betrokkenen

Melding aan de betrokkenen? goed genoeg versleuteld? op moment van inbreuk adequaat - toekomst vast - aantoonbaar juist toegepast - sleutel niet gelekt restrisco acceptabel zwaarwegende redenen om niet te melden: Voorbeelden AP: 1. kinderen die psychische hulp gezocht hebben buiten medeweten ouders 2. beursonderneming tijdens overname 3. niet willen frustreren onderzoek naar datalek

Europese Privacy Verordening (AVG) Belangrijkste veranderingen: 1. Verantwoordingsplicht verantwoordelijke moet aantonen dat gegevensverwerking: - rechtmatig, behoorlijk, transparant - doelgebonden - minimaal - juist - passend beveiligd tegen verlies/ onrechtmatige verwerking 2. Register van verwerkingsactiviteiten > 250 werknemers: V+B registratieplicht < 250 werknemers: niet, tenzij risico voor betrokkenen stelselmatige verwerking bijzondere pg

3. Burgers meer controle over pg: data portabiliteit right to be forgotten rectificatie, wissen, beperking pg 4. Meldplicht datalek: ook binnen 72 uur 5. Beveiliging: verantwoordelijke en bewerker dienen passende technische en organisatorische beveiligingsmaatregelen te nemen om op risico afgestemd beveiligingsniveau te waarborgen, waaronder - pseudonimisering en versleuteling pg - permanente beschikbaarheid vertrouwelijkheid en integriteit pg - vermogen beschikbaarheid/ toegang pg tijdig herstellen - procedure testen, beoordelen en evalueren beveiligingsmaatregelen

VRAGEN?

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback