Bent u voorbereid op de meldplicht datalekken? Ir. J. (Jan) W. de Heer RE Parallel sessie Privacy Namens de kennisgroep P R I V A C Y van de NOREA
Datalekken realiteit 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 2
Wat we niet willen. 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 3
Agenda 1. ICT ontwikkeling versus Privacy 2. Warming up meldplicht 3. Recap wet meldplicht datalekken 4. Enkele consequenties AVG/GDPR 5. Hoe leren van datalekken 6. Ondersteuning vanuit de kennisgroep NOREA P R I V A C Y 7. Meer informatie en/of contact? 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 4
1. ICT ontwikkeling versus Privacy Privacy is onmisbaar voor het vertrouwen In de digitale samenleving Toename digitalisering: toepassing van sensoren en de ontwikkeling van het Internet of Things, steeds meer decentrale ICT - steeds meer koppelingen Onvoldoende bewustzijn voor het belang van privacy. Te vaak wordt privacy gezien als een struikelblok voor digitale innovatie (vb Big Data versus Privacy). Hoe kunnen we ervoor zorgen dat de bescherming van privacy wordt gezien als een (innovatieve) kans in plaats van een bedreiging? 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 5
1. ICT ontwikkelingen Cyber criminelen zitten niet stil - TU Delft professor Cybersecurity Michiel van Eeten 25 september j.l Spam berichten Versleutelen bestanden dus ook bestanden met persoonsgegevens Computable okt 2016 753.684 gebruikers geïnfecteerd wereldwijd met ransomware in 2015 gratis diensten vervolgens kwaadaardige software gepersonifieerde advertenties die je computer besmetten.. eigen computer wordt zelf zend -station van kwaadaardige berichten en software... 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 6
1. Groeiend aantal meldingen bij het AP Computable okt 2016:. 172 van de 390 gemeenten (44%) hebben zich gemeld voor een datalek. 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 7
1. AP legt last onder dwangsom op De Autoriteit Persoonsgegevens (AP) heeft een last onder dwangsom opgelegd aan Bluetrace. Uit onderzoek van de AP blijkt dat Bluetrace via wifitracking in strijd met de Wet bescherming persoonsgegevens (Wbp) locatiegegevens van winkelbezoekers en voorbijgangers verzamelt zonder hen hier goed over te informeren. Bovendien verzamelt en bewaart Bluetrace meer gegevens dan noodzakelijk is voor het in kaart brengen van bezoekersaantallen. Bluetrace heeft na het onderzoek maatregelen getroffen. Deze zijn echter onvoldoende om de overtredingen te beëindigen. (bron: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-legt-wifi-tracker-bluetrace-last-onder-dwangsom-op) 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 8
2. Warming up 1 5 Uw organisatie heeft procedures om een datalek te melden bij de Autoriteit Persoonsgegevens: A. Eens, u blijft staan B. Oneens, u mag zitten 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 9
2. Warming up 2 5 Uw organisatie heeft geautomatiseerde maatregelen - tooling om datalekken te detecteren: A. Eens, u blijft staan B. Oneens, u mag zitten 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 10
2. Warming up 3 5 Bij een datalek stelt uw organisatie een multidisciplinaire werkgroep samen om de impact en omvang van het datalek te onderzoeken: A. Eens, u blijft staan B. Oneens, u mag zitten 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 11
2. Warming up 4 5 Uw organisatie heeft communicatiebrieven templates - gereed om betrokkenen te informeren bij een datalek: A. Eens, u blijft staan B. Oneens, u mag zitten 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 12
2. Warming up 5 5 Uw organisatie houdt een overzicht - register- bij van alle datalekken die gemeld zijn aan de Autoriteit Persoonsgegevens: A. Eens, u blijft staan B. Oneens, u mag zitten 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 13
3. Recap - Meldplicht datalekken per 1 januari 2016 Verplicht een ernstig datalek melden bij de Autoriteit Persoonsgegevens (AP) Voor bedrijven, overheden en andere organisaties Uiterlijk binnen 72 uur na ontdekking = onverwijld In bepaalde gevallen ook aan betrokkenen Dataprotectie is een boardroom issue Boetes van max. 820.000,- of 10% van de jaaromzet van de rechtspersoon De Wet Meldplicht datalekken artikel 34 A Wbp - verplicht iedere organisatie Security maatregelen te nemen die nodig zijn om datalekken te herkennen, te voorkomen en de gevolgen ervan zoveel mogelijk te beperken - zie ook artikel 13 Wbp. 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 14
3. Beleidsregels van Autoriteit Persoonsgegevens (AP) Organisaties moeten zelf meldplichtigheid bepalen Beleidsregels geven hulp Beleidsregels zijn principle based - eigen afweging - invulling essentieel Schema s voor het maken van afwegingen Veel voorbeelden 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 15
3. Schema voor het maken van de juiste afweging Bron: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp); Beleidsregels voor toepassing van artikel 34a van de Wbp 8 december 2015. 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 16
3. Meldplicht: wanneer is het een datalek? Inbreuk op de wettelijk verplichte beveiliging Beveiliging: passende maatregelen die persoonsgegevens beveiligen tegen: Verlies Onrechtmatige verwerking Kenmerkend voor inbreuk op de beveiliging: Daadwerkelijk gevolgen voor persoonsgegevens, of Niet redelijkerwijs uit te sluiten dat gegevens onrechtmatig zijn verwerkt, en Repressieve en herstelmaatregelen niet voldoende om gevolgen weg te nemen Inbreuk op beveiliging onafhankelijk van of passende maatregelen zijn getroffen Voorbeelden van een datalek zijn: een hack, een verloren laptop of USB stick met persoonsgegevens of het verlies van persoonsgegevens zonder beschikbare back up. 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 17
3. Beleidsregels schema s 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 18
3. Beleidsregels: is het een datalek? O p z e t t e l i j k datalek Beveiligingslek in niet geupdate software Uitbuiten van kwetsbaarheden via social engineering - phishing Hacker breekt in op een systeem met een personeelsbestand Fysieke diefstal van onbeveiligde laptop, server O n o p z e t t e l i j k e datalek Verlies van laptop, server, tablet, usb stick Verzenden gegevens via onbeveiligde e-mail of bestandsoverdracht Verzenden van E-mails aan verkeerde ontvanger Technisch probleem harddisk crash met gegevensverlies tot gevolg Brand in Datacenter Zoekraken van identiteitsbewijs 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 19
3. Beleidsregels: melden aan de Autoriteit Persoonsgegevens 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 20
3. Beleidsregels: melden aan de betrokkene N i e t melden aan betrokkene bij: Indien gelekte persoonsgegevens onleesbaar zijn ; Voorbeelden: toepassing encryptie danwel hashing, danwel remote wipe (op afstand kunnen verwijderen van gegevens). Conform sterke encryptie conform ENISA (European Union Agency for Network and Information Security) Wel van belang is dat niemand de gegevens heeft kunnen inzien. De bewijslast ligt bij U. W E L melden bij: Indien datalek gegevens uit de persoonlijke levensfeer bevat zoals geloof, gezondheid, sexe etc. Indien datalek waarschijnlijk ongunstige gevolgen heeft voor privéleven van de personen van wie de gegevens zijn gelekt - ook melden aan het AP Ongunstige gevolgen bijvoorbeeld bij: Identiteitsfraude Discriminatie reputatieschade 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 21
3. Melden ingeval bewerkersovereenkomsten Opletten met het volgende: Rollen: Wie is de Verantwoordelijke Wie is de Bewerker Wie is de Betrokkene Laat de Verantwoordelijke bij voorkeur- de melding doen bij de AP Regel informatie voorziening met de Bewerker NB: Wet geeft ruimte voor wie doet de melding van een datalek 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 22
3. Passende beveiligingsmaatregelen - algemeen Risk based beveiligingsmaatregelen Bepaal eerst kroonjuwelen ICT Assets Risk based scoping: Van B(usiness) I(impact) Analyse BIA PIA 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 23
3. Passende beveiligingsmaatregelen CyberSecurity KPN - Security Operating Center Hilversum Risk based bepalen van ICT assets die (real time) monitoring behoeven Vroegtijdige detectie van Cyber aanvallen - (soms) voorkomen van datalekken Continue en beheerde monitoring van uw ICT-infrastructuur en kritieke bedrijfsprocessen - 7 * 24 uur Vulnerability management Pen testing Incident response en forensics Zie ook: NOREA kennisgroep CyberSecurity 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 24
4. Enkele consequenties van de AVG-GDPR per 25 mei 2018 Nieuwe functie: DPO Data Protection Officer soms verplicht (intern) toezicht door DPO onafhankelijk Accountability - principe op eigen kracht in control Privacy Assurance wordt een must (interne en externe audits) DPIA: Data Protection Impact Assessment geeft focus Privacy By Design en by default Vroegtijdig starten bij privacy ontwikkel projecten Door alle ontwikkel fases rekening houden met privacy (doelbinding, dataminimalisatie PIA resultaten etc.) Onder Architectuur Multi disciplinair: - business, security, privacy, maar ook ethiek 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 25
5. Hoe leren van datalekken? Idee: Geanonimiseerde database meldpunt - van datalekken - 1 van de voorstellen 14 sept j.l bij het CIP (Centrum Informatiebeveiliging en Privacybescherming) bijeenkomst van de Practitioner Community Privacybescherming Wie neemt initiatief!? Innovatieve Round tables: bespreken van uitdagingen rond Privacy bescherming learnings tav Security & Privacy baselines 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 26
6. Kennisgroep NOREA P R I V A C Y samenstelling drs. André Biesheuvel RE RA drs. Jaap Boukens RE RA CGEIT Auke Geerts RE ir. Jan de Heer RE mr. Joyce de Jong Ruud Kerssens RE Wolter Karssenberg RE RI (woordvoerder) Maurice Koetsier Erik Konig Peter van der Knaap RE RA Erik Pothast RE RO mr.drs. Jan Roodnat RE RA (voorzitter) Rina Steenkamp RE Maurice Steffin mr.wouter Bas van der Vegt RE 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 27
6. Kennisgroep NOREA P R I V A C Y actueel Privacy Impact Assessment (PIA) Ontwikkeling van pre PIA Quick Scan inherente risico s bepalen rondom verwerking persoonsgegevens Analyse om te bepalen of een uitvoeriger PIA assessment noodzakelijk is PIA 2.0 PIA in lijn brengen met de AVG/GDPR - ingaand op 25 mei 2018 Assessment tool Wet Meldplicht Datalekken (WMD) in ontwikkeling Voor het bepalen in welke mate de Wet Meldplicht Datalekken is geïmplementeerd - inclusief match met kern artikelen uit de WBP Ter ondersteuning (1) Auditors (intern-extern) en (2) ook voor Self Assessments 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 28
6. Assessment tool Wet Meldplicht Datalekken (WMD) INVENTARISATIE Wbp artikel 1 t/m 4, 14 Inventarisatie Stel vast of persoonsgegevens worden verwerkt worden bepaal of de Wbp van toepassing is Bepaal bewerkerovereenkomsten intern extern, bepaal verantwoordelijke & bewerker beschrijvingen is melding proces correct Bepaal overzicht van verwerkingen, aard & locatie (intern danwel extern) en gevoeligheid Onderzoek proces beschrijvingen onderzoek waarborgen tav meldplicht datalekken Stel vast of er in de afgelopen periode door de bewerker beveiligiingsincidenten, datalekken zijn gemeld aan de verantwoordelijke PREVENTIE en DETECTIE Wbp artikel 13 Preventie Onderzoek of passende technische en organisatorische maatregelen zijn getroffen tegen verlies of enige vorm van rechtmatige verwerking Onderzoek Privacy beleid onderzoek samenhang met Security beleid Onderzoek of risicoanalyse is uitgevoerd wel of geen PIA uitgevoerd Bepaal aanwezigheid van continuïteits-maatregelen Bepaal of encryptie hashing remote wipe maatregelen aanwezig zijn Bepaal aanwezigheid van incident management proces - crisismanagement proces- waarin aantoonbaar de meldplicht naar AP en betrokkene is verwerkt Stel vast of van of van alle geregistreerde beveiligingsincidenten is bepaald of sprake is van een datalek Stel vast of dat na een datalek afdoende maatregelen zijn getroffen om herhaling te voorkomen Detectie Bepaal of monitoring maatregelen aanwezig zijn Bepaal of vulnerability management, pentesten, intrusion detection wordt uitgevoerd, onderzoek de aanwezigheid van real time monitoring maatregelen ivm tijdige detectie van datalekken 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 29
6. Assessment tool Wet Meldplicht Datalekken (WMD) vervolg RESPONS Wbp - artikel 34a Respons Stel vast of er een procedure is waarin gemotiveerd kan worden aangegeven wanneer een datalek wordt gemeld aan het AP danwel aan betrokkene Stel vast of procedure aanwezig is voor het volledig en tijdig melden van datalekken aan het AP Stel vast of procedure aanwezig is voor het volledig en tijdig melden van datalekken aan betrokkenen Stel vast of er een procedure is gericht op het administreren van datalekken die onder de meldplicht vallen. Stel bewaartermijn van de administratie van datalekken vast - minimaal 3 jaar Stel vast of er een overzicht bestaat van alle datalekken Stel vast of minimaal eenmaal per jaar het datalek alsnog aan de betrokkenen moet worden gemeld. Stel vast of datalekken tijdig (vanaf 1-1-2016) en juist zijn gemeld aan het AP Stel vast of datalekken tijdig (vanaf 1-1-2016) en juist zijn gemeld aan betrokkene 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 30
7. Meer informatie en/of contact? Ir. J. (Jan) W. de Heer RE Projectmanager Kwaliteit en Vaktechnische Communicatie Telefoon: + 31 (0)20 3010380 GSM: +31 (0)6 5370 7516 E-mail: j.deheer@norea.nl Antonio Vivaldistraat 2-8 1083 HP AMSTERDAM Postbus 7984 1008 AD AMSTERDAM Web: www.norea.nl 12-10-2016 Bent u voorbereid op de meldplicht datalekken? Jan de Heer, namens de kennis groep Privacy van de NOREA 31