De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

1. Meldplicht Datalekken 12 mei 2016 Almelo Kees Hintzbergen IBD.

Verwante presentaties


Presentatie over: "1. Meldplicht Datalekken 12 mei 2016 Almelo Kees Hintzbergen IBD."— Transcript van de presentatie:

1 1

2 Meldplicht Datalekken 12 mei 2016 Almelo Kees Hintzbergen IBD

3 Onderwerpen 3 Introductie Waar gaat het over en wat is het Highlights Meldplicht Boetes Verantwoordelijke / bewerker Help een incident! Wanneer melden? Betrokkene informeren?

4 Doelen van de IBD 4

5 De IBD-dienstverlening strekt verder… 5

6  Helpdesk van de IBD De IBD heeft een Helpdesk, waar gemeenten al hun vragen over informatiebeveiliging kunnen stellen.  Website en Community Een website en community waar door en tussen gemeenten kennis en ervaring op informatie- beveiligingsvlak kunnen worden uitgewisseld.  Leveranciersonafhankelijk De IBD is leveranciersonafhankelijk en ondersteunt een ‘level playing field’ voor leveranciers actief in het gemeentelijk domein 6

7 Privacy ? 7 Zaanstad zet geheim document over IKEA online

8 Stelt u zich eens voor dat.... 8

9 Waar gaat het over? Privacy Jouw privacy, mijn privacy? Rechten betrokkene Wat zegt de Wbp Doelbinding Proportionaliteit Passende technische en organisatorische maatregelen Als het dan toch fout gaat 9

10 Privacy of toch niet? 10 Bron: https://www.security.nl/posting/430066/Gemeente+Hellendoorn+zet+bestand+met+priv%C3%A9gegevens+onlinehttps://www.security.nl/posting/430066/Gemeente+Hellendoorn+zet+bestand+met+priv%C3%A9gegevens+online Bron: https://www.security.nl/posting/459442/Tientallen+laptops+Belastingdienst+uit+callcenter+gestolenhttps://www.security.nl/posting/459442/Tientallen+laptops+Belastingdienst+uit+callcenter+gestolen Bron: https://www.security.nl/posting/463222/Harde+schijf+met+gegevens+781+kankerpati%C3%ABnten+gestolenhttps://www.security.nl/posting/463222/Harde+schijf+met+gegevens+781+kankerpati%C3%ABnten+gestolen Bron: https://www.security.nl/posting/463184/Zorgorganisatie+schond+privacy+werknemers+bij+ziekmeldingenhttps://www.security.nl/posting/463184/Zorgorganisatie+schond+privacy+werknemers+bij+ziekmeldingen Bron: https://www.security.nl/posting/463854/Priv%C3%A9gegevens+inwoners+Oegstgeest+en+Rotterdam+onlinehttps://www.security.nl/posting/463854/Priv%C3%A9gegevens+inwoners+Oegstgeest+en+Rotterdam+online Bron: https://www.security.nl/posting/465766/Rekenkamer%3A+Amsterdam+geeft+privacy+onvoldoende+aandachthttps://www.security.nl/posting/465766/Rekenkamer%3A+Amsterdam+geeft+privacy+onvoldoende+aandacht Bron: https://www.security.nl/posting/465759/AP+adviseert+fysiotherapeuten+over+beveiligen+contactformulierhttps://www.security.nl/posting/465759/AP+adviseert+fysiotherapeuten+over+beveiligen+contactformulier

11 Privacy of toch niet? 11

12 Beveiligingsincidenten 12 Kwijtgeraakte USB-stick; Gestolen laptop; Inbraak door een hacker; Malware besmetting; Brand in een datacentrum; Teveel vertellen aan niet rechthebbenden Laten meelezen op je beeldscherm Informatie opzoeken over een BN-er of buur Meer gegevens verzamelen dan nodig Langer gegevens bewaren

13 Wel of geen datalek? Beveiligingsincident: –kwijtraken van een USB-stick; –diefstal van een laptop; –inbraak door een hacker. Niet ieder beveiligingsincident is ook een datalek. Wanneer is het een datalek? Datalek: –Als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. 13

14 Highlights meldplicht datalekken Aangenomen op 26 mei is door de 1 e kamer, invoering Inbreuken op beveiligingsmaatregelen die leiden tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens moeten door de verantwoordelijke onverwijld worden gemeld bij de Autoriteit Persoonsgegevens (AP) Als de inbreuk waarschijnlijk ongunstige gevolgen heeft voor de betrokkene, moet ook de betrokkene worden geïnformeerd, tenzij de gegevens die gehackt zijn al voldoende versleuteld waren (en niet aannemelijk is dat die beveiliging doorbroken kan worden) In bewerkersovereenkomsten moeten afspraken worden gemaakt over de nakoming van alle verplichtingen rondom beveiligingsinbreuken, in het BIG voorbeeld is dit al opgenomen. Het CBP is Autoriteit Persoonsgegevens geworden.

15 Boetes…. Het AP heeft de bevoegdheid om op andere overtredingen van de wet een boete op te leggen tot maximaal € Die hogere boete mag echter alleen worden opgelegd nadat de AP een bindende aanwijzing aan de overtreder heeft gegeven, tenzij de overtreding opzettelijk is begaan of het gevolg is van ernstige verwijtbare nalatigheid. Voorbeelden: Te lang bewaren van persoonsgegevens, te veel persoonsgegevens vastleggen Het niet hebben van technische en organisatorische maatregelen met passend beveiligingsniveau (dit vereist vastleggen van alle BIG implementatie activiteiten en keuzes door het management, compliancy) Het niet melden van beveiligingsinbreuken (logging en detectie gevolgd door incident management proces) Het onjuist melden van incidenten, het niet vastleggen van incidenten (incident management proces) Het niet in kennis stellen van de betrokkene (onderzoek van alle privacy gerelateerde incidenten) Er zijn meer dan 50 gedragingen in de Wbp waar de hogere boete op van toepassing is. (dus niet alleen meldplicht)

16 16

17 Verantwoordelijke versus Bewerker Verantwoordelijke (artikel 1 sub d Wbp): –De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; Bewerker (artikel 1 sub d Wbp): –Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, dat wil zeggen overeenkomstig diens instructies en onder diens (uitdrukkelijke) verantwoordelijkheid. 17

18 Waar liggen de risico’s en verantwoordelijkheid voor invoering beveiligingsmaatregelen? 18 Al naar gelang het servicemodel liggen de risico’s meer of minder bij de gemeente, overigens staat dit los van de algehele verantwoordelijkheid (verantwoordelijke) en dus wie bepaald welke beveiligingsmaatregelen genomen moeten worden door de (cloud) leverancier in de rol van bewerker. Hoe meer richting de data wordt opgeschoven (IaaS -> PaaS -> SaaS) hoe meer verantwoordelijkheid voor beveiligingsmaatregelen er bij de (cloud) leverancier komt te liggen. (cloud) leverancier Gemeente IaaS PaaS SaaS InfraPlatformSoftwareProces

19 Verdeling maatregelen gemeente en (cloud) leverancier 19 (cloud) leveranciergemeente Afhankelijk van het gekozen (cloud) model verandert de toewijzing van de beveiligingsmaatregelen in: Inkoopvoorwaarden Contracten Service Level Agreements (SLAs) Bewerkersovereenkomst Maatregelen uit Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) of Risicoanalyse

20 Afspraken met Bewerker. De wet schrijft niet voor wat u precies met de bewerker af moet spreken. U moet in ieder geval denken aan het volgende: –Wordt u geïnformeerd over alle relevante incidenten? Hoe wordt u geïnformeerd over de incidenten? Wordt u tijdig geïnformeerd over de incidenten? Ontvangt u per incident alle informatie die u nodig heeft? Wordt u op de hoogte gehouden van eventuele nieuwe ontwikkelingen rond het incident, en van de maatregelen die worden getroffen om de gevolgen van het incident te beperken en herhaling te voorkomen? –Doet de bewerker zelf meldingen aan de Autoriteit Persoonsgegevens? 20

21 Incidentmanagement Response 21 Meldplicht Datalekken! Processtappen Identificatie Stel incident vast. Incident vastgesteld: Waarschuw betreffende instanties. Schade beperken en incident beoordelen Wijs ‘Incident Response-teamleider’ aan en stel ‘Incident Response Team’ samen. Beperk verdere schade. Beoordeel aard en omvang en stel de schade vast. Stel bewijsmateriaal veilig. Remediatie en herstel Neem maatregelen om de oorzaak te blokkeren of te verwijderen Voorkom verdere blootstelling van gevoelige gegevens Maak start om de bedrijfsprocessen te herstarten Zorg dat risico’s worden gemitigeerd. Kennisgeving Bepaal welke gegevens mogelijk zijn blootgesteld en stel getroffenen in kennis Informeer indien noodzakelijk andere overheidsinstanties, zoals IBD en/of politie. Is er een wettelijke verplicht een melding te doen naar andere instanties? Rapportage en evaluatie Identificeer lessen en bespreek deze met het team Rapporteer over het incident en genomen maatregelen. Rapporteer indien nodig intern en extern Pas het draaiboek aan.

22 Omgaan met een datalek 22 Stappenplan Identificatie Beoordeel ontvangen signaal: stel vast wat er mogelijk aan de hand is en welke acties nodig zijn. Stel op basis van de beoordeling een responseteam samen. Informeer proceseigenaar (operationeel eindverantwoordelijke voor het relevante proces of systeem) Bestrijd het datalek Als responseteam een voldoende duidelijk beeld heeft van het incident. Het responseteam kan de benodigde insluitende en schade beperkende maatregelen nemen. Bepaal de impact Onderzoek het datalek. Bepaal de impact op de betrokkenen en uw gemeente. Wie bepaalt die? Bepaal de meld- en herstelaanpak Een datalek wil je zo effectief en efficiënt mogelijk afhandelen: de juiste acties ondernemen, en niet meer acties dan nodig (goede risicoafweging) Meldaanpak: Stel vast of u moet (of wilt) melden / Bereid het melden voor / Doe de melding. Herstelaanpak: Verbeter informatiebeveiliging / Lever nazorg aan betrokkenen / Organisatiebelang. Meld het datalek Meld aan de Autoriteit Persoonsgegevens: (AP): Datalek melden? / Hoe melden? Meld aan de betrokkenen: Datalek melden? / Hoe melden? Meld aan overige partijen: Gemeenteraad / Medewerkers / Ketenpartners / Media / Verzekeraar Herstel Verbeter beveiliging van persoonsgegevens / Lever nazorg aan betrokkenen / Organisatiebelang (afleggen verantwoording en, indien van toepassing, het afhandelen van schadeclaims en boetes.)

23 Incidentmanagement Response 23 Meldplicht Datalekken! Processtappen Identificatie Stel incident vast. Incident vastgesteld: Waarschuw betreffende instanties. Schade beperken en incident beoordelen Wijs ‘Incident Response-teamleider’ aan en stel ‘Incident Response Team’ samen. Beperk verdere schade. Beoordeel aard en omvang en stel de schade vast. Stel bewijsmateriaal veilig. Remediatie en herstel Neem maatregelen om de oorzaak te blokkeren of te verwijderen Voorkom verdere blootstelling van gevoelige gegevens Maak start om de bedrijfsprocessen te herstarten Zorg dat risico’s worden gemitigeerd. Kennisgeving Bepaal welke gegevens mogelijk zijn blootgesteld en stel getroffenen in kennis Informeer indien noodzakelijk andere overheidsinstanties, zoals IBD en/of politie. Is er een wettelijke verplicht een melding te doen naar andere instanties? Rapportage en evaluatie Identificeer lessen en bespreek deze met het team Rapporteer over het incident en genomen maatregelen. Rapporteer indien nodig intern en extern Pas het draaiboek aan. Bepaal of het datalek onder de meldplicht Wbp valt, en indien ja: Informeer de Autoriteit Persoonsgegevens met een voorwaarschuwing.. Als blijkt dat er een meldplicht is voor een datalek, dan moet nu de volledige melding gedaan worden. (als de fatale termijn van 72 uur overschreden is, dan moet dat worden gemotiveerd).

24 Tips om je als gemeente te wapenen tegen datalekken (1/2) 1.Benoem een verantwoordelijk gegevenseigenaar Inventariseer de gegevenseigenaren. Als voor bepaalde gegevens nog geen eigenaar bekend is dient hiervoor een verantwoordelijke eigenaar benoemd te worden. Een van de verantwoordelijkheden is het selecteren van maatregelen om de gegevens te beschermen. 2.Voer de baselinetoets BIG uit / Voer dataclassificatie uit En vervolg deze met een risicoanalyse en een Privacy Impact Assessment (PIA) en implementeer de maatregelen. 3.Benoem een verantwoordelijk functionaris gegevensbescherming Stel een Chief Information Security Officer (CISO) en/of een functionaris gegevensbescherming aan en leg hun verantwoordelijkheden vast. Maak ook afspraken over hun rol in geval van een datalek. 4.Maak medewerkers bewust van de risico’s Zorg voor bewustwording bij medewerkers. Ook zij dienen te weten wat datalekken zijn, hoe de incidentprocedures werken en wat de gevolgen kunnen zijn van een datalek voor de gemeente. 5.Pas bestaande bewerkersovereenkomst indien noodzakelijk aan Controleer of de huidige bewerkersovereenkomst zijn voorzien van artikelen in verband met de Meldplicht datalekken. 24

25 Tips om je als gemeente te wapenen tegen datalekken (2/2) 6.Maak beleid rondom incidenten Richt een incidentmanagementproces in om ervoor te zorgen dat bij incidenten tijdig en doeltreffend kan worden gehandeld. Dit zorgt ervoor dat datalekken ook daadwerkelijk opgemerkt worden. 7.Maak beleid rondom datalekken Neem hierin criteria op voor het beoordelen van datalekken. 8.Leg alles goed vast Documenteer alles zorgvuldig, zodat u kunt aantonen dat u werkt in overeenstemming met de geldende wet- en regelgeving. 9.Stel een crisiscommunicatieplan op Een crisiscommunicatieplan op te stellen voor dit soort incidenten, zeker als u de zaak niet op orde heeft of als reputatieschade voor u zeer ernstige gevolgen kan hebben. Neem hierin ook mee hoe u betrokkenen gaat informeren bij een datalek en hoe u omgaat met signalen uit de buitenwereld over mogelijke datalekken. 10.Gebruik encryptie Maak gebruik van encryptie van persoonsgegevens om te voorkomen dat bij een datalek de gegevens kunnen worden gelezen door een derde. 25

26 IBD Producten 26

27 Vragen 27

28 Contactinformatie 28 Bezoek ook

29 29

30 Wel / geen datalek? Een database met persoonsgegevens is vernietigd als gevolg van een menselijke fout van een systeembeheerder. Van de database is een complete, actuele back-up beschikbaar, op basis waarvan de database direct weer wordt opgebouwd. 30 Aangezien u over een complete en actuele reservekopie van de gegevens beschikt, is er geen sprake van een datalek. X

31 Wel / geen datalek? Een werknemer geeft aan een derde de gebruikersnaam en het wachtwoord die toegang geven tot alle klantgegevens van alle klanten van het bedrijf waar hij werkt. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de derde geen toegang meer heeft. Daarna onderzoekt het bedrijf of de derde daadwerkelijk toegang heeft gezocht tot de klantgegevens. Bij dit onderzoek maakt het bedrijf gebruik van logbestanden, waarin per gebruikersnaam is vastgelegd welke acties er op welk tijdstip zijn uitgevoerd met welke klantgegevens. 31 X Als op basis van de logbestanden redelijkerwijs kan worden uitgesloten dat er door middel van het betreffende account toegang is verkregen tot de klantgegevens, dan is er uitsluitend sprake van een beveiligingslek en niet van een datalek.

32 Meldplicht datalekken wel of niet van toepassing? Een organisatie die in Frankrijk is gevestigd en die geen vestiging in Nederland heeft, laat persoonsgegevens bewerken door een bedrijf in Nederland. 32 X Aangezien de verantwoordelijke voor de verwerking in een ander Europees land is gevestigd, is de Wbp niet van toepassing op de verwerking.

33 Meldplicht datalekken wel of niet van toepassing? Een organisatie die in Nederland is gevestigd, laat persoonsgegevens bewerken door een bedrijf in Frankrijk. De persoonsgegevens bevinden zich op een server in Frankrijk. 33 Als onbevoegden zich toegang verschaffen tot deze gegevens, dan valt dit onder de meldplicht datalekken onder de Wbp en dan moet dit door de Nederlandse verantwoordelijke worden gemeld aan de Autoriteit Persoonsgegevens.

34 Wel of niet melden bij Autoriteit Persoonsgegevens? Intern wordt binnen een Gemeentelijke Gezondheidsdienst (GGD) gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens van burgers zijn ingezien door onbevoegden. 34

35 Wel of niet melden bij Autoriteit Persoonsgegevens? Een journalistiek programma confronteert een gemeente met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van medewerkers op de server van de gemeente door onbevoegden zijn ingezien. 35

36 Wel of niet melden bij Autoriteit Persoonsgegevens? Een medewerker verliest een laptop met onversleutelde, financiële gegevens van burgers. 36

37 Wel of niet melden bij Autoriteit Persoonsgegevens? Een gemeente krijgt te maken met een hack waarbij gegevens van burgers en wachtwoorden zijn ontvreemd. 37

38 Wel of niet melden bij Autoriteit Persoonsgegevens? Een database van de gemeente met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. 38

39 Wel of niet melden bij Autoriteit Persoonsgegevens? Vier laptops zijn gestolen bij een sociaal wijkteam. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kwetsbare burgers. 39

40 Wel of niet melden bij Autoriteit Persoonsgegevens? Bij een zorgaanbieder zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met gevoelige gegevens worden ingezien. 40

41 Wel of niet melden bij Autoriteit Persoonsgegevens? Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden. 41 X

42 Wel of niet melden bij Autoriteit Persoonsgegevens? Een medewerker laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar. 42 X

43 Kwetsbare groepen Een hacker weet op de website van een buurthuis door middel van SQL-injectie een bestand te bemachtigen met daarin de namen en e- mailadressen van een twintigtal abonnees op een elektronische nieuwsbrief. De nieuwsbrief richt zich op buurtbewoners van 65 jaar en ouder die bij het buurthuis een cursus volgen om vertrouwd te raken met het gebruik van computers en het internet. 43 De aard van de doelgroep leidt hier tot extra risico's voor de betrokkenen. Gezien de onervarenheid van de betrokkenen met digitale communicatie bestaat er een aanzienlijk risico dat zij in zullen gaan op pogingen tot phishing of oplichting.

44 Wel of niet melden aan betrokkenen Een medewerker geeft aan een derde de gebruikersnaam en het wachtwoord dat toegang geeft tot alle gegevens van alle klanten van het bedrijf waar hij werkt. Het gaat onder meer om namen, adressen, adressen, telefoonnummers, toegangs- en andere identificatiegegevens (gebruikersnamen, gehashte wachtwoorden en klantnummers) en versleutelde betaalgegevens (waaronder rekeningnummers en creditcardgegevens). 44 Om twee redenen moet de verantwoordelijke dit datalek melden aan de betrokkene: slechts een deel van de persoonsgegevens is versleuteld (de wachtwoorden en de betaalgegevens); de betaalgegevens zijn weliswaar versleuteld opgeslagen, maar als de derde met de verstrekte gegevens inlogt krijgt hij via de gebruikersinterface toegang tot de onversleutelde gegevens. Om twee redenen moet de verantwoordelijke dit datalek melden aan de betrokkene: slechts een deel van de persoonsgegevens is versleuteld (de wachtwoorden en de betaalgegevens); de betaalgegevens zijn weliswaar versleuteld opgeslagen, maar als de derde met de verstrekte gegevens inlogt krijgt hij via de gebruikersinterface toegang tot de onversleutelde gegevens.


Download ppt "1. Meldplicht Datalekken 12 mei 2016 Almelo Kees Hintzbergen IBD."

Verwante presentaties


Ads door Google