Datalekken (en privacy!)

Vergelijkbare documenten
Bas Nieuwesteeg Teamcoördinator IBD. Kick-off bijeenkomst aansluiten Belastingsamenwerkingen en ISD s IBD,

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Een nieuwe identiteit, voor je het weet heb je hem nodig! Anita van Nieuwenborg Kwartiermaker Privacydienstverlening KING

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart Anita van Nieuwenborg

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Regiobijeenkomst Aansluiten bij de IBD 2014

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

Aansluiten bij de IBD. Het stappenplan

AANSLUITEN BIJ DE IBD. Het stappenplan

Regiobijeenkomsten Aansluiten bij de IBD December 2013

AANSLUITEN BIJ DE IBD. Het stappenplan

AANSLUITEN BIJ DE IBD. Het stappenplan

IB Beleid Gegevens naar aanleiding van Incident regio bijeenkomsten Q2

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Versie Wijzigingen Datum 1.1 VNG Realisatie lay-out

E. Procedure datalekken

Procedure datalekken NoorderBasis

staat is om de AVG na te komen.

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Privacy ondersteuning VNG/KING/IBD

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Raadsmededeling - Openbaar

ECIB/U Lbr. 17/010

Datalek dichten en voorkomen. 21 april 2017

Procedure melden beveiligingsincidenten en datalekken

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene


Protocol Beveiligingsincidenten en datalekken

Algemeen privacybeleid gemeente Asten 2018

IBD DIENSTENPORTFOLIO. Uitgebreide beschrijving van de diensten van de IBD

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

Help een datalek! Wat nu?

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Privacybeleid gemeente Wierden

Cloud computing Helena Verhagen & Gert-Jan Kroese

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

PRIVACY STATEMENT KLANTEN LOOGMAN TANKEN EN WASSEN BV, LOOGMAN CARWASH BV, HOLLAND CARWASH BV, HUUREENBOX BV EN GOLFCENTRUM AMSTELDIJK BV.

Wettelijke kaders voor de omgang met gegevens

MELDPLICHT DATALEKKEN HOE STAAN WE ERVOOR?

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Introductie ICT-er met een brede blik

Belastingen en gegevens Hoe, wat, waar en waarom? Femke Salverda Hans Versteeg

PROTOCOL BEVEILIGINGSINCIDENTEN EN DATALEKKEN SKOSO

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

Laatst aangepast 1 oktober 2018

ECIB/U Lbr. 15/079

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Agenda. De AVG: wat nu?

Procedure meldplicht datalekken

Informatiebeveiliging en privacy. In kleine stapjes zonder grote woorden

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Algemene verordening gegevensbescherming

Datalekprotocol binnen Reto

Wat moet je weten over... privacy en passend onderwijs?

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

Algemene Verordening Gegevensbescherming (AVG)

Privacy & online. 9iC9I

VERWERKERSOVEREENKOMST VERSIE 01 OFFLINE. marketing innovators.com

Privacyverordening gemeente Utrecht. Utrecht.nl

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Algemene Verordening Gegevensbescherming

Privacy een ICT-ding? Juist niet!

Privacy statement. Wie zijn we? Wat mag je van ons verwachten? Wanneer verwerken we jouw persoonsgegevens? Wat doen we met jouw gegevens?

Privacybeleid Opleiding tot Psychosociaal Therapeut

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Privacy ontwikkelingen in het mbo Informatiebeveiliging en privacy in het mbo

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

Protocol informatiebeveiligingsincidenten en datalekken

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Protocol informatiebeveiligingsincidenten en datalekken VSNON

met jouw toestemming om de overeenkomst en/of gebruikersvoorwaarden die we met je zijn overeengekomen goed uit te kunnen voeren

Privacy in de afvalbranche

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Privacy Statement Rethmeier Executive Search BV

Privacy en de meldplicht datalekken

Meldplicht datalekken

Wat betekent de AVG voor jouw vereniging?

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Naam, adres, postcode, woonplaats van de cliënt(en) Geboortedatum van de cliënt(en) Telefoonnummer en van de cliënt(en)

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Wat moet je weten over... privacy en passend onderwijs?

Protocol informatiebeveiligingsincidenten en datalekken

Privacyverklaring. De Kleine Ambassade. Vijgensteeg 2, 3111 PT Schiedam, Nederland, Ingeschreven bij de Kamer van Koophandel onder nummer

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

A2 PROCEDURE MELDEN DATALEKKEN

Wat is Loos?, gevestigd aan de Gravenkasteel 2C 6028 RL te Gastel is aangewezen als verantwoordelijke voor de verwerking van persoonsgegevens.

Transcriptie:

Datalekken (en privacy!) Anita van Nieuwenborg Strategisch adviseur Privacy Gerard Heimans Adviseur Informatiebeveiliging 2

En wat is privacy? - Persoonlijke vrijheid - Recht op een persoonlijke levenssfeer - Bescherming van familie en gezinsleven - Bescherming van eigen woning - Recht van vertrouwelijke communicatie (telefoon, internet) - Recht om met rust gelaten te worden - Bescherming van persoonsgegevens!

Datalek We spreken van een datalek als persoonsgegevens van relaties of medewerkers zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder onrechtmatige verwerking valt onder andere het aanpassen en/of veranderen van persoonsgegevens en niet geautoriseerde toegang tot deze persoonsgegevens Onder verlies valt ook ransomware of een verkeerd geadresseerde mail Sinds 1-1-2016 is er een meldplicht!

Wettelijk Grondwet Iedereen heeft recht op rust en privacy. Je mag persoonlijke gegevens van iemand niet zomaar gebruiken. Iedereen heeft er recht op te zien wat er over hem is vastgelegd. WBP Bevat regels voor de verwerking van (bijzondere) persoonsgegevens Algemene Verordening Gegevensbescherming De Europese Privacy Wet, opvolger van de WBP Treedt in werking op 25 mei 2018

AVG - wat moet er gebeuren? - Aanstelling Functionaris Gegevensbescherming - De verwerking van persoonsgegevens registreren - Transparant en begrijpelijk privacybeleid opstellen - Processen inrichten voor uitvoering van rechten van betrokkene(n) - Recht om vergeten te worden - Recht op rectificatie - Recht van overdraagbaarheid van gegevens - Het uitvoeren van Privacy Impact Assessments (PIA) bij risicovolle verwerkingen - Bewerkersovereenkomsten met derden afsluiten - Privacy by Design/Default invoeren in de bedrijfsvoering. - In kaart brengen van verwerkingen door derden - Datalekprotocol opstellen Meer uitleg over de aankomende AVG: sessie Privacy in zaal 3 (woensdag 2)

Ik heb niets te verbergen?

Profiling

Vrijwillig delen Foto s Locatie Naam Leeftijd Vrienden

(Vereenvoudigd) Privacybeleid van Instagram

Dus waar ligt jouw grens. Niks mag Maar kun je dan je werk nog doen? Alles mag Maar zou je daar dan willen wonen?

De grens ligt in het midden 13

Het gebruik van persoonsgegevens op je werk - Hoe bewust ben jij van de gegevens van anderen die je gebruikt? - Welke persoonsgegevens van anderen draag jij bij je? (op je laptop of telefoon) Is het nou eigenlijk allemaal wel zo gevaarlijk? Persoonsgegevens worden niet doorverkocht aan andere partijen, en worden alleen gebruikt om ons werk te doen 14

Op naar de IBD Datalekken 15

De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning als het gaat om informatiebeveiliging I.s.m. het Nationaal Cyber Security Centrum (NCSC) Voor alle gemeenten Sinds 1-1-2013 actief Vanaf 1-1-2017 ook belastingsamenwerkingen 16

Doelen van de IBD De IBD heeft drie concrete doelen. Hierbij staat kennisontwikkeling, kennisdeling en kennisvermeerdering op het vlak van informatiebeveiliging bij gemeenten centraal: 1. Bewustzijn het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. Preventie, detectie en coördinatie het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. Projecten het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. 17

Het stappenplan Aansluiten bij de IBD Stap 1: Het aanstellen van een Algemene Contactpersoon Informatiebeveiliging (ACIB) Stap 2: Het aanstellen van een Vertrouwd Contactpersoon Informatiebeveiliging (VCIB) Stap 3: Het doorgeven van IP-adressen en URL s Stap 4: Het doorgeven van in gebruik zijnde hard- en software (gem. ICT-foto) 18

Incidentcoördinatie Waarom deze dienstverlening? Het doel is, in het geval van incidenten, het beperken van de technische-, financiële- en imagoschade voor gemeenten en het voorkomen van verspreiding van deze incidenten. Wat houdt deze dienstverlening in? Wanneer een incident zich bij één of meer gemeenten voordoet, adviseert de IBD de betreffende gemeenten over de technische en organisatorische afhandeling van incidenten De IBD assisteert met concreet advies en telefonische ondersteuning door ervaren incidentmanagers. Bij ernstige of complexe incidenten kan de IBD de hulp inroepen van het NCSC en/of gemeenten adviseren een marktpartij in te schakelen Welke incidenten? grootschalige verstoringen van bedrijfsnetwerken aanvallen door hackers DDoS-aanvallen virusbesmettingen WOB-verzoeken 19

Incidentcoördinatie: Crisiswoordvoering Waarom deze dienstverlening? Het onderwerp informatiebeveiliging ligt niet alleen onder een vergrootglas bij de overheid, maar ook in de media en bij de burger. Zeker ook met het oog op de decentralisatietendens richting gemeenten en de visie Digitale Overheid 2017 worden crisismanagement en crisiswoordvoering steeds belangrijker. Wat houdt crisiswoordvoering in geval van incidenten in? De media brengen inmiddels bijna wekelijks berichten over incidenten en crisissen. Voorbeelden van digitale fraude, uitlekken van persoonsgegevens, aanvallen op websites et cetera. Zeker wanneer incidenten en crisissen naar buiten komen, is het noodzakelijk om uw crisiswoordvoering goed te hebben belegd en ingericht. Grondregel voor crisiswoordvoering: het initiatief tot het beheersen en oplossen van een incident of crisis, begint met het nemen van het initiatief op communicatievlak. Crisiswoordvoering gaat hand in hand met crisismanagement: kijk wie je volgens het proces nog meer moet informeren. 20

IBD en gemeentelijke belastingen Veel incidenten Belastingsamenwerkingen Eigen verantwoordelijkheid voor beveiliging 21

Incidenten in 2016 22

23

Casus: Verloren Laptop Werknemer van dienstverlener meerdere gemeenten (WOZ) verliest laptop De laptop is onvoldoende beveiligd Geen backup beschikbaar van de laptop Onbekend welke gegevens op de laptop staan Niet uit te sluiten dat persoonsgegevens op het apparaat staan Niet uit te sluiten dat gegevens benaderbaar zijn of vernietigd zijn Gevolg: informeren inwoners en melding Autoriteit Persoonsgegevens 24

25 25 Gemeenten informeren inwoners

26

Media-aandacht 27

Politieke aandacht 28 28

Hoe had dit incident voorkomen kunnen worden? Algemene bewustwording Versleutelen harde schijf Alleen gegevens verstrekken die nodig zijn voor het betreffende proces Harde afspraken maken met je leverancier over beveiliging en privacy Bewerkersovereenkomst 29

Leerpunten andere belasting incidenten Output bestanden printservicebureau verschoven Mailen via onbeveiligde verbindingen Oude bestanden mailen Ten onrechte subjectgegevens meesturen Gewone ftp gebruiken ipv secure ftp BAG-WOZ bestanden misbruikt 30

Samen staan we sterk 31

Vragen? 32

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback