Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer

2Privacy AO voor een informatiebeveiliger Onderwerpen n AO van Security Officer (SO) n Kader n Incidenten en vragen n AO Functionaris Gegevensbescherming (FG) n Kader n Incidenten en vragen n Gezamenlijke AO / documenten n Gezamenlijke aanpak n Samenvatting

3Privacy AO voor een informatiebeveiliger AO van SO - Kader n Beleidsdocumenten / Rapportage / “Evidence” n Risico-analyse n “Maatregel” verantwoording n Wetgeving, waar onder de Wbp n Raamwerken n Cobit n Code voor Informatiebeveiliging n Security management proces

4Privacy AO voor een informatiebeveiliger Beveiligingsmaatregelen BeschikbaarheidVertrouwelijkheid Beveiligingseisen INFORMATIEBEVEILIGING Technisch AO van SO – Aspect IB Integriteit Organisatorisch

5Privacy AO voor een informatiebeveiliger AO van SO - Incidenten en vragen n Incidenten: n Tentamenuitslagen op internet n Misbruik van mailing lists n Bestelling op naam van medewerker n Vragen: n Hoe beveilig ik de databaseserver? n Wat is de passwordlengte en -levensduur?

6Privacy AO voor een informatiebeveiliger AO van FG-p - Kader n De Wet bescherming persoonsgegevens n Privacyreglement personeel en studenten n Rolbeschrijving FG-p en betrokken collega’s n Ontwikkelde documenten n Meldingsformulier n Meldingenregister n Notitievel Wbp gesprek n Checklist gesprekken en onderwerpen n Jaarverslag n Promotiepresentatie

7Privacy AO voor een informatiebeveiliger AO van FG – Jaaractiviteiten Initiële activiteiten Volgen Ontwikkelingen

8Privacy AO voor een informatiebeveiliger AO van FG - Incidenten en vragen n Incidenten: n Tentamenuitslagen op internet n Misbruik van mailing lists n Bestelling op naam van medewerker n Vragen: n Mag database naar leverancier? n Wat toont Zoeken medewerker?

9Privacy AO voor een informatiebeveiliger Gezamenlijke documenten n (ICT) Gedragsregels n Bewerkersovereenkomst n Geheimhoudingsverklaring n Bewaartermijnen vs. vernietigingsplicht n Paragraaf beveiligingsmaatregelen op meldingsformulieren n Protocol en checklist cameratoezicht

10Privacy AO voor een informatiebeveiliger Bewerkersovereenkomst De betrokken partijen zullen: alle redelijke maatregelen nemen en in stand houden teneinde de geheimhouding van alle Vertrouwelijke Informatie te waarborgen; geen enkele Vertrouwelijke Informatie aan derden kenbaar maken zonder voorafgaande schriftelijke toestemming van de HU en alle redelijke maatregelen nemen om ervoor te zorgen dat ook diens personeel deze Vertrouwelijke Informatie niet aan derden kenbaar maakt; de Vertrouwelijke Informatie alleen gebruiken of kopiëren -en alle redelijke maatregelen nemen opdat zijn personeel de Vertrouwelijke Informatie alleen gebruikt of kopieert- ten behoeve van de nakoming van zijn verplichtingen aan de HU; de Vertrouwelijke Informatie verwijderen van haar systemen en eventuele door de HU aangeleverde informatiedragers aan de HU retourneren. De verplichtingen zullen ook na beëindiging van de werkzaamheden van kracht blijven.

11Privacy AO voor een informatiebeveiliger Bewerker is ASP: bepalingen 1. Er wordt een formele overeenkomst getekend tussen HU en leverancier betreffende de dienstverlening; 2. Leverancier tekent de geheimhoudingsverklaring, zeker indien het (standaard)contract wat mager is ten opzichte van beveiliging en vertrouwelijkheid; 3. Al het electronische verkeer (inclusief wachtwoord bij inloggen) wordt versleuteld verstuurd tussen werkstation van de gebruiker(s) en server. Dit zou geen bijzondere eis moeten zijn, aangezien het best practice is een webserver van een certificaat te voorzien en het verkeer https plaatsvindt. 4. De applicatie is alleen toegankelijk met een degelijk en persoonlijk wachtwoord voor de gebruiker (de HU standaard: minstens 8 tekens, ten minste 1 cijfer en 1 bijzonder teken). n Afspreken hoe de database na afloop van de werkzaamheden aan de HU beschikbaar gesteld wordt n Verkrijgen van enige zekerheid omtrent de lokale beveiliging van de data bij de leverancier.

12Privacy AO voor een informatiebeveiliger Geheimhoudingsverklaring

13Privacy AO voor een informatiebeveiliger Gezamenlijke documenten n Bewerkersovereenkomst n Geheimhoudingsverklaring n Bewaartermijnen vs. vernietigingsplicht n Paragraaf beveiligingsmaatregelen op meldingsformulieren n Protocol en checklist cameratoezicht

14Privacy AO voor een informatiebeveiliger Extract meldingsformulier

15Privacy AO voor een informatiebeveiliger Gezamenlijke aanpak n Beschikbaarheid privacy reglementen: n Privacyreglement Personeel n Privacyreglement Studenten n Bewaartermijnen in selectielijsten n FG-p en SO als intern toezichthouder; taken: n (Onderhouden meldingenregister) n Controlerende taak n Adviesfunctie

16Privacy AO voor een informatiebeveiliger Conclusie / Samenvatting n De Wbp is één van de normgevende wetten n De Wbp gaat ‘slechts’ over gestructureerde gegevensverzamelingen n Vertrouwelijkheid en privacy “praktisch” gelijk n SO en FG/privacy-functionaris werken aan het zelfde doel n Vooral rolverdeling belangrijk n SO en FG beide geen eigenaar van informatie

17Privacy AO voor een informatiebeveiliger Agenda privacy-promo n Het wettelijke kader n Highlights privacyreglementen n Top 7 tips n Acties?

18Privacy AO voor een informatiebeveiliger Top 7 tips 1. “Verwerk” alleen indien doelgebonden 2. Wijs betrokkenen op privacyreglementen 3. Help bij bewaking van verwerkingen volgens het reglement 4. Verstrekt geen gegevens aan derden 5. Bewaar niet langer dan toegestaan 6. Houdt je wachtwoord geheim 7. Werknemer: geheimhoudingsplicht volgens CAO. Hoe zit het met inhuurkrachten?)

19Privacy AO voor een informatiebeveiliger Meer informatie n Interessante algemene websites: n De verschillende security sites n n n Van de FG-p, Martin Romijn: n Via n Of direct: