Datarisico s. Jos Kuhl Risk Management Consultant / Adviseur Datarisico Oktober 2017

Vergelijkbare documenten
DATAHACKING HALLOWEEN EVENT

WELKOM BIJ DEZE PRESENTATIE. Omgaan met informatierisico s. 16 april 2015

1. Inhoudsopgave.

CYBER?! WAAR HEBBEN WE HET EIGENLIJK OVER? WELKE RISICO S LOPEN BEDRIJVEN?

KENNISMAKEN MET ONS TURIEN & CO. ASSURADEUREN BJÖRN JALVING

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Cyber en Data Risks. BusinessCare & Insurance Risico- en verzuimmanagement

1. Inhoudsopgave.

1. Inhoudsopgave. huninkdorgelo.nl

1. Inhoudsopgave.

1. Inhoudsopgave.

1. Inhoudsopgave.

Cyber en Data Risks DATAVERZEKERING.NL ONDERDEEL VAN T&W TILBURG

1. Inhoudsopgave.

1. Inhoudsopgave. gloudemansadviesgroep.nl

1. Inhoudsopgave. 2

Cyber en Data Risks. Brochure Perrée & Partners

100% veilig bestaat niet

Agenda. De AVG: wat nu?

Cyber en Data Risks. Brochure Eikelenboom & Plücker Adviesgroep BV

ALLIANZ CYBERVERZEKERING

Parallelsessie Cyber Security

Cyber Risk Management

Cyber en Data Risks. Brochure Leemans Assurantie Adviseurs

Algemene Verordening Gegevensbescherming

CyberEdge MARKETING COMMUNICATION. Bescherm uw bedrijf tegen cyberrisico s

Bijlage: Verwerkersovereenkomst

Bijlage: Verwerkersovereenkomst

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

Privacy wetgeving: Wat verandert er in 2018?

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Verwerkersovereenkomst

Verwerkersovereenkomst, versie Mei 2018

Bijlage: Verwerkersovereenkomst

Cyber en Data Risks. Brochure Het Financiële Huis

FidAZ KENAC 19 FEBRUARI 2015

100% veilig bestaat niet

Cursus Privacy & AVG Sport Support. 16 april 2018 Haarlem

2. De besloten vennootschap 123webshop, kantoorhoudende te () aan, hierbij rechtsgeldig vertegenwoordigd door, hierna te noemen: Verwerker

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Verwerkersovereenkomst

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

Meijers Introduc9e. Samen op weg naar con-nuïteit

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

AVG. Security awareness & ICT beveiliging

datarisico s digitaal bezit onder controle

Verwerkersovereenkomst

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

Verwerkersovereenkomst

Cyber en Data Risks. Alles wat u moet weten om over cyberrisico s te adviseren

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Plan

Verwerkersovereenkomst INTRAMED ONLINE

versie: januari 2018 Voor de digitale economie 1.

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Verwerkersovereenkomst

De gevolgen van de AVG

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Procedure datalekken NoorderBasis

staat is om de AVG na te komen.

1AFSPRAAK.NL 1KAPPER.NL 1BEAUTYAFSPRAAK.NL

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Verwerkersovereenkomst

Verwerkersovereenkomst

Help een datalek! Wat nu?

VERWERKERSOVEREENKOMST. tussen. Verwerkingsverantwoordelijke INFOGROEN SOFTWARE B.V.

Verwerkersovereenkomst Alphamega

Bijlage Gegevensverwerking. Artikel 1 - Definities

VERWERKING PERSOONSGEGEVENS Stichting RotterdamRibRally

Privacy Policy Sport- en Beweegkliniek

Verwerkersvoorwaarden versie 1.02

Factsheet Bewerkersovereenkomst

Verwerkersovereenkomst

Is jouw digitale buur (m/v) ook te vertrouwen? René van Etten en Richard Klein

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Protocol meldplicht datalekken

De Algemene Verordening Gegevensbescherming

Verwerkersovereenkomst

Verwerkersovereenkomst AVG (Algemene Verordening Gegevensbescherming)

Databeheer in de kerk

GDPR, wat betekent deze nieuwe privacywet voor jou?'

Cyberrisico s in de mobiliteitssector CyberClear by Hiscox. 3 oktober 2018

Copyright. De presentatie betreft geen advies en daaraan kunnen geen rechten worden ontleend.

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Chubb Cyber Enterprise Risk Management (ERM)

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

DATA WIE KIJKT NAAR UW WANNEER U NIET KIJKT? DATA RISKS BY HISCOX

PRIVACYBELEID KINDERTUIN

Privacy statement Arch Football

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

Vandaag Zorgvernieuwing

Privacy Policy. P a g i n a 1 van 7

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

INTERN PRIVACYBELEID M.A.G. Wijshoff. 1. Inleiding

Patiënten dossier & dataveiligheid Europese Privacy Verordening + ISO / NEN 7510

Transcriptie:

Datarisico s Jos Kuhl Risk Management Consultant / Adviseur Datarisico s @Meeus Oktober 2017

Even voorstellen Jos Kuhl Risk Management Consultant / Adviseur Datarisico s \\ Verder met Meeùs 2

Cybercrime: wat heb je nodig? + = \\ Verder met Meeùs 3

Ontwikkelingen in de wereld x x \\ Verder met Meeùs 4

Ontwikkelingen Geen haven meer zonder WiFi Veilige omgeving x x \\ Verder met Meeùs 5

Cyberaanvallen Ongrijpbaar Vaak geen specifiek doelwit Aangeboden as a service Innovatieve sector 91% bedrijven inmiddels getroffen door vorm van cybercrime 90% van data is laatste 2 jaar geproduceerd Dringt door in alle facetten van (productie) proces binnen bedrijven Impact gelijk aan brand? \\ Verder met Meeùs 6

Cyberjargon DDOS (Distributed Denial Of Service attack) Malware Phishing Spear phishing Botnet Ransomware \\ Verder met Meeùs 7

Van: Coen Mom [mailto:coen.mom@umg-nl.net] Verzonden: maandag 5 september 2016 10:23 Aan: Willemsen, Arto <arto.willemsen@umg.nl> Onderwerp: Betaling Beste Arto, Kun je vandaag een internationale betaling verwerken? Groet, Coen. Verstuurd vanaf mijn iphone From: Willemsen, Arto <arto.willemsen@umg.nl> Sent: Monday, September 5, 2016 10:25:38 AM To: Coen Mom Subject: RE: Betaling Als ik snel de details krijg wel. \\ Verder met Meeùs 8

Van: Coen Mom [mailto:coen.mom@umg-nl.net] Verzonden: maandag 5 september 2016 10:30 Aan: Willemsen, Arto <arto.willemsen@umg.nl> Onderwerp: Re: Betaling Beste Arto, Zie hieronder voor een betaling van 86.147,00 en e-mail mij een kopie van de bevestiging wanneer deze gereed is. BULGARIAN AMERICAN CREDIT BANK (BACB) SOFIA BULGARIA BENEFICIARY : XXXXXX IBAN EUR: XXXXXXXX BIC : BGUSBGSF From: Coen Mom <coen.mom@umg-nl.net> Sent: maandag, september 5, 2016 11:49 Subject: Re: Betaling To: Willemsen, Arto <arto.willemsen@umg.nl> Hoi Arto, Is de betaling afgerond? Groet, Coen. Verstuurd vanaf mijn iphone Groet, Coen. Verstuurd vanaf mijn iphone \\ Verder met Meeùs 9

Schades Schadevoorbeelden Meeùs: Telefooncentrale bedrijf gehacked 13,000 schade, website uit de lucht Update te laat uitgevoerd, gemeente besmet met ransomware Machinefabriek, data gegijzeld, 8 bitcoin losgeld Installatiebedrijf, data gegijzeld, website uit de lucht 2,5 bitcoin losgeld Slagerij 2e keer ransomware besmetting, oorzaak terugkerende cybercrimineel ICT bedrijf gehacked, Incident Response Plan verzekeraar komt in actie Glastuinbouwbedrijf gehacked, oogst mislukt forse bedrijfsschade Bouwbedrijf verspreid via website virus naar klanten, gevolgen nog onbekend Intellectueel eigendom lekt, drukkerij aansprakelijk Boze medewerker past data aan, wist data stuurt door naar concurrent Vrijdagmiddag: groothandelsrelatie gehacked, alles ligt stil \\ Verder met Meeùs 10

Wetgeving

Wet Meldplicht Datalekken Voor commerciële instellingen en (semi-) overheid Binnen 72 uur melden bij falen van technische en organisatorische beveiliging met kans op verlies of onrechtmatige verwerking van persoonsgegevens Aard en vermoedelijke omvang van het datalek, inspanningen om de schade te herstellen en raadgevingen aan publiek en klanten Bewerkersovereenkomsten Boete maximaal 820.000,00 (eerst aanwijzing!!) Centraal in de wet is accountability (Ben je in control?) Van tell me, naar show me, prove me Bestuurder is hoofdelijk aansprakelijk \\ Verder met Meeùs 12

Wet Meldplicht Datalekken \\ Verder met Meeùs 13

Algemene Verordening Gegevensbescherming(AVG) Implementatie 25 mei 2018 Meer plichten voor werkgevers/ondernemers Meer rechten voor individuen Doelstelling: verbetering en versterking van privacy rechten van personen recht te verwijderen / vergeten te worden recht standaard format / overdragen / inzage, correctie, bezwaar Uniforme Europese regels Iedereen mag instanties aanspreken op naleving AVG Geldt ook voor ZZP-ers, MKB-érs (afspraken met klanten, telefoonnummers, personeelsinfo) Gevolgen marketing: bellen of post mag, digitaal alleen met toestemming en transparant zonder kleine lettertjes met mogelijkheid om af te melden \\ Verder met Meeùs 14

Europese Privacy Verordening (AVG) Meer verantwoordelijkheden voor organisaties (doel: bewijzen ben je in control) Ben je in control? Hoe kom je in control? Zijn je processen op orde? Mogelijk verplicht: Aanstelling Functionaris Gegevensbescherming Mogelijk verplicht Privacy Impact Analyse Verplichte verwerkersovereenkomsten met verwerkers Hoge boetes: 10 miljoen euro / 2% wereldwijde omzet. Bij ernstige gevallen 20 miljoen euro / 4% wereldwijde omzet AP, bij boetes geen kwantum korting Advies: maak impact analyse voor je bedrijf! \\ Verder met Meeùs 15

Europese Privacy Verordening (AVG) \\ Verder met Meeùs 16

Bewerkersovereenkomst Tot 25 mei 2018 Omschrijving diensten, verwerkingen toegang, handelingen Betrouwbaarheidseisen Inhoud en frequentie beveiligingsrapportages \\ Verder met Meeùs 17

Bewerkersovereenkomst Vanaf 25 mei 2018 Onderwerp en duur van de verwerking Aard en doel van de verwerking Categorieën van de betrokkenen Rechten en verplichtingen van de verwerkingsverantwoordelijke Schriftelijke instructies m.b.t. tot doorgifte van gegevens Wettelijke en niet-wettelijke geheimhoudsingsverplichtingen Beveiligingsmaatregelen Verplichtingen inzake subverwerkers en/of doorzetverplichting \\ Verder met Meeùs 18

Bewerkersovereenkomst Vanaf 25 mei 2018 Bijstand verlenen bij verzoeken uitoefening rechten betrokkenen Bijstand verlenen bij inbreuken beveiliging (lees: datalekken) Bijstand verlenen bij Privacy Impact Assessment en voorafgaande raadpleging van de toezichthouder Wissen of terugbezorgen van persoonsgegevens na afloop van de verwerkingsdiensten Informatieplicht en auditrecht \\ Verder met Meeùs 19

Datarisico s beperken

3 meest gestelde vragen 1.Wat is mijn verantwoordelijkheid? 2.Waar kan ik op worden aangesproken? 3.Is mijn huidige risicomanagement afdoende? \\ Verder met Meeùs 21

Ondernemer/Bestuurder verantwoordelijk voor menselijk handelen \\ Verder met Meeùs 22

Bestuurder is hoofdelijk aansprakelijk Juridische kosten Melden lek (AP) Contact benadeelden Continuïteit Kosten van specialisten Imagoschade Boete \\ Verder met Meeùs 23

Risico s verminderen door: Organisatorisch ICT Personeel \\ Verder met Meeùs 24

Bescherming: organisatorisch Onderwerp directietafel: aandacht! Protocol Wet Meldplicht Datalekken / Beleid (wie trekt gele hesje aan?) Correcte bewerkersovereenkomsten met derden Afspraken over wachtwoorden, thuiswerken, social media, clean desk, Borgen gemaakte afspraken Voorbeeldgedrag management Weet wat je moet beschermen, waar het is opgeslagen en wie toegang heeft Toegangsbeleid Wat doe je als het gebeurd? Incident Response Plan opstellen \\ Verder met Meeùs 25

Bescherming: ICT Contractuele afspraken met leveranciers bij uitval systemen en datalekken Patchmanagement (correctie van programmatuur) Logging Anti-software up-to-date (anti-virus/-spam/-phishing/-spy-ware/-spoofing) Next generation firewall Wifi scheiding bedrijfsnetwerk en gasten Gebruik encryptie Gebruik VPN Protocollen (wachtwoorden, usb-sticks, thuiswerken, tablets) Hackers uitnodigen (Responsible disclosure) Pen test \\ Verder met Meeùs 26

Bescherming: personeel Voor aanstelling: origineel cv bevestigen en VOG Arbeidsovereenkomst aanpassen Awareness training personeel Beleid over gedrag en omgang met privacygegevens Vertaling naar functioneringsgesprekken of beoordelingen Onderwerp werkoverleg / interne uitingen Voorbeeldgedrag en communicatie Exit procedure vertrekkend personeel Social engineering onderzoek \\ Verder met Meeùs 27

Oplossing Verzekeren

Cyberrisico s en huidige verzekeringen Dekking van bestaande verzekeringen? \\ Verder met Meeùs 29

Bescherming door verzekeren \\ Verder met Meeùs 30

Incident Hoe te handelen respons plan bij een (voorbeeld) incident \\ Verder met Meeùs 31

Welke dekking biedt een verzekering? EIGEN SCHADE (first party) 1. Data inbreuk Kosten eigen ICTérs / Forensisch ICT onderzoek Kosten externe deskundigen melden inbreuk (juridisch, communicatie betrokkenen, meldplicht, callcenter etc.) Kosten crisismanagement en PR 2. Cyber business interruption Optioneel kan ook niet online omzet veroorzaakt door de hack verzekerd worden 3. Hacker schade Kosten herstel website, intranet, netwerk, computersysteem, programma s of data 4. Cyber afpersing Kosten en vergoedingen van onderzoek, assistentie en eventueel betaald losgeld \\ Verder met Meeùs 32

Welke dekking biedt een verzekering? AANSPRAKELIJKHEID (third party) 1. Privacy aansprakelijkheid De gevolgen van gestolen privacygevoelige gegevens - Kosten van onderzoek - Claims van individuele personen - Schending geheimhoudingsplicht - Boetes opgelegd door toezichthouders 2. Cyber aansprakelijkheid Schade die ontstaat als een website of e-mail onbedoeld een auteursrecht schendt, laster verspreidt of een virus bevat. \\ Verder met Meeùs 33

100% veilig bestaat niet \\ Verder met Meeùs 34

Foute boel en dan? \\ Verder met Meeùs 35

Vragen Ben je in control? 1. Welke data heb je in huis en waar? 2. Welke persoonsgegevens heb je in huis? 3. Van welke data ben je echt van afhankelijk en hoe is dit beveiligd? 4. Wat doe je aan (awareness) trainingen voor het personeel? 5. Zijn er procedures/protocollen opgesteld 6. Heb je een plan als het mis gaat? Wat gebeurd er bij een lek? 7. Is dit onderwerp een terugkerend agendapunt bij de directie? \\ Verder met Meeùs 36

Risico is perceptie \\ Verder met Meeùs 37

Dank voor uw aandacht!

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback