Datalekken (en privacy!) Anita van Nieuwenborg Strategisch adviseur Privacy Gerard Heimans Adviseur Informatiebeveiliging 2
En wat is privacy? - Persoonlijke vrijheid - Recht op een persoonlijke levenssfeer - Bescherming van familie en gezinsleven - Bescherming van eigen woning - Recht van vertrouwelijke communicatie (telefoon, internet) - Recht om met rust gelaten te worden - Bescherming van persoonsgegevens!
Datalek We spreken van een datalek als persoonsgegevens van relaties of medewerkers zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder onrechtmatige verwerking valt onder andere het aanpassen en/of veranderen van persoonsgegevens en niet geautoriseerde toegang tot deze persoonsgegevens Onder verlies valt ook ransomware of een verkeerd geadresseerde mail Sinds 1-1-2016 is er een meldplicht!
Wettelijk Grondwet Iedereen heeft recht op rust en privacy. Je mag persoonlijke gegevens van iemand niet zomaar gebruiken. Iedereen heeft er recht op te zien wat er over hem is vastgelegd. WBP Bevat regels voor de verwerking van (bijzondere) persoonsgegevens Algemene Verordening Gegevensbescherming De Europese Privacy Wet, opvolger van de WBP Treedt in werking op 25 mei 2018
AVG - wat moet er gebeuren? - Aanstelling Functionaris Gegevensbescherming - De verwerking van persoonsgegevens registreren - Transparant en begrijpelijk privacybeleid opstellen - Processen inrichten voor uitvoering van rechten van betrokkene(n) - Recht om vergeten te worden - Recht op rectificatie - Recht van overdraagbaarheid van gegevens - Het uitvoeren van Privacy Impact Assessments (PIA) bij risicovolle verwerkingen - Bewerkersovereenkomsten met derden afsluiten - Privacy by Design/Default invoeren in de bedrijfsvoering. - In kaart brengen van verwerkingen door derden - Datalekprotocol opstellen Meer uitleg over de aankomende AVG: sessie Privacy in zaal 3 (woensdag 2)
Ik heb niets te verbergen?
Profiling
Vrijwillig delen Foto s Locatie Naam Leeftijd Vrienden
(Vereenvoudigd) Privacybeleid van Instagram
Dus waar ligt jouw grens. Niks mag Maar kun je dan je werk nog doen? Alles mag Maar zou je daar dan willen wonen?
De grens ligt in het midden 13
Het gebruik van persoonsgegevens op je werk - Hoe bewust ben jij van de gegevens van anderen die je gebruikt? - Welke persoonsgegevens van anderen draag jij bij je? (op je laptop of telefoon) Is het nou eigenlijk allemaal wel zo gevaarlijk? Persoonsgegevens worden niet doorverkocht aan andere partijen, en worden alleen gebruikt om ons werk te doen 14
Op naar de IBD Datalekken 15
De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning als het gaat om informatiebeveiliging I.s.m. het Nationaal Cyber Security Centrum (NCSC) Voor alle gemeenten Sinds 1-1-2013 actief Vanaf 1-1-2017 ook belastingsamenwerkingen 16
Doelen van de IBD De IBD heeft drie concrete doelen. Hierbij staat kennisontwikkeling, kennisdeling en kennisvermeerdering op het vlak van informatiebeveiliging bij gemeenten centraal: 1. Bewustzijn het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. Preventie, detectie en coördinatie het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. Projecten het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. 17
Het stappenplan Aansluiten bij de IBD Stap 1: Het aanstellen van een Algemene Contactpersoon Informatiebeveiliging (ACIB) Stap 2: Het aanstellen van een Vertrouwd Contactpersoon Informatiebeveiliging (VCIB) Stap 3: Het doorgeven van IP-adressen en URL s Stap 4: Het doorgeven van in gebruik zijnde hard- en software (gem. ICT-foto) 18
Incidentcoördinatie Waarom deze dienstverlening? Het doel is, in het geval van incidenten, het beperken van de technische-, financiële- en imagoschade voor gemeenten en het voorkomen van verspreiding van deze incidenten. Wat houdt deze dienstverlening in? Wanneer een incident zich bij één of meer gemeenten voordoet, adviseert de IBD de betreffende gemeenten over de technische en organisatorische afhandeling van incidenten De IBD assisteert met concreet advies en telefonische ondersteuning door ervaren incidentmanagers. Bij ernstige of complexe incidenten kan de IBD de hulp inroepen van het NCSC en/of gemeenten adviseren een marktpartij in te schakelen Welke incidenten? grootschalige verstoringen van bedrijfsnetwerken aanvallen door hackers DDoS-aanvallen virusbesmettingen WOB-verzoeken 19
Incidentcoördinatie: Crisiswoordvoering Waarom deze dienstverlening? Het onderwerp informatiebeveiliging ligt niet alleen onder een vergrootglas bij de overheid, maar ook in de media en bij de burger. Zeker ook met het oog op de decentralisatietendens richting gemeenten en de visie Digitale Overheid 2017 worden crisismanagement en crisiswoordvoering steeds belangrijker. Wat houdt crisiswoordvoering in geval van incidenten in? De media brengen inmiddels bijna wekelijks berichten over incidenten en crisissen. Voorbeelden van digitale fraude, uitlekken van persoonsgegevens, aanvallen op websites et cetera. Zeker wanneer incidenten en crisissen naar buiten komen, is het noodzakelijk om uw crisiswoordvoering goed te hebben belegd en ingericht. Grondregel voor crisiswoordvoering: het initiatief tot het beheersen en oplossen van een incident of crisis, begint met het nemen van het initiatief op communicatievlak. Crisiswoordvoering gaat hand in hand met crisismanagement: kijk wie je volgens het proces nog meer moet informeren. 20
IBD en gemeentelijke belastingen Veel incidenten Belastingsamenwerkingen Eigen verantwoordelijkheid voor beveiliging 21
Incidenten in 2016 22
23
Casus: Verloren Laptop Werknemer van dienstverlener meerdere gemeenten (WOZ) verliest laptop De laptop is onvoldoende beveiligd Geen backup beschikbaar van de laptop Onbekend welke gegevens op de laptop staan Niet uit te sluiten dat persoonsgegevens op het apparaat staan Niet uit te sluiten dat gegevens benaderbaar zijn of vernietigd zijn Gevolg: informeren inwoners en melding Autoriteit Persoonsgegevens 24
25 25 Gemeenten informeren inwoners
26
Media-aandacht 27
Politieke aandacht 28 28
Hoe had dit incident voorkomen kunnen worden? Algemene bewustwording Versleutelen harde schijf Alleen gegevens verstrekken die nodig zijn voor het betreffende proces Harde afspraken maken met je leverancier over beveiliging en privacy Bewerkersovereenkomst 29
Leerpunten andere belasting incidenten Output bestanden printservicebureau verschoven Mailen via onbeveiligde verbindingen Oude bestanden mailen Ten onrechte subjectgegevens meesturen Gewone ftp gebruiken ipv secure ftp BAG-WOZ bestanden misbruikt 30
Samen staan we sterk 31
Vragen? 32