Landelijk Congres IBP in het onderwijs

Slides:



Advertisements
Verwante presentaties
SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Advertisements

Mailoplossingen voor het onderwijs
Het opzetten van een kwaliteitssysteem
Hoofdstuk 7 Procesmanagement.
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Introductie OHSAS
Edukoppeling certificering
Informatiemanagement
“Kijken, denken en doen met voor risico”
SURF Juridisch normenkader cloudservices
Privacy en beveiliging
What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.
Project Architectuur en Beheer BI2-DT en Inf2-DT Module CMIPRJ25DT George Pluimakers en Jacques Wetzels Studiejaar 2011/2012 Opdracht 3.
Informatiebeveiliging in het onderwijs. Doel 1.Informeren over de rol van Edustandaard ten aanzien van informatiebeveiliging 2.Doorspreken over de rol.
Certificeringsschema
Informatiebeveiliging in het onderwijs. Doel Bespreken van…. Wat moet de rol van Edustandaard zijn ten aanzien van informatiebeveiliging binnen het onderwijs?
Start Inhoud introductie BiSL Informatiesysteem, gegeven Informatiebeleid Positionering: Beheer informatiesystemen BiSL als informatiearchitectuur.
Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
27 september 2006Doorlopende leerlijnen in de beroepskolom Doorlopende Leerlijnen in de Beroepskolom vo-mbo-hbo-wo Introductiebijeenkomst 27 September.
Certificering van assetmanagement
Doelstellingen, Implementatie en Ervaringen met Single Sign On.
‘t Steenbergen. Programma: uur inloop en informele gesprekken met elkaar uur Privacy en informatiebeveiliging zijn actuele en complexe.
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Optimalisering inhoudelijke opname en ontslaggegevens.
Contract- management Behoefte- management Transitie Testen Realisatie Ontwerp Require- ments man. Gebruikers- ondersteuning Educatie Monitoring Data- beheer.
HET CENTRALE SECURITY PLATFORM GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Bepalen verandermogelijkheden Bepalen veranderbehoefte Bepalen toekomstige computertechnologie Bepalen toekomstige bedrijfsprocessen Bepalen huidige “Gap”
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
Bepalen veranderbehoefte Bepalen toekomstige computertechnologie Bepalen toekomstige bedrijfsprocessen Bepalen huidige “Gap” Bepalen huidige computertechnologie.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Change support Tactisch support Strategisch support Management support Monitoring Educatie Management- informatie Data- beheer Behoefte- management Contract-
Gebruikers- ondersteuning Monitoring Data- beheer Management- informatie Change support Tactisch support Strategisch support Management support Behoefte-
Strategisch support Management support Strategie Tactisch support
Datacenter versus Cloud
Privacy… ook voor jou? Informatiebeveiliging en privacy in het mbo
Metriek stelsel Basis bijvoorbeeld 3 regels
Format Presentatie CISO aan gemeentebestuur
Privacy binnen de Drechtsteden
IBP voor dummies Job Vos (adviseur privacy)
Strategisch support Management support Strategie Tactisch support
Bescherming Persoonsgegevens
Strategisch support Management support Strategie Tactisch support
Privacy binnen de Drechtsteden
Masterclass IBP: informatiebeveiliging en privacy, lekker eenvoudig
Informatiebeveiliging en privacy Lekker. Eenvoudig.
INFORMATIEBEVEILIGING EN pRIVACY Borgesiusstichting
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
In 7 stappen uw organisatie klaar voor AVG
Risicoanalyse … waarom?
Ambassadeursnetwerk Jan Bartling, Leo Bakker 27 september 2017.
ZIVVER introductie implementatieaanpak
Algemene Verordening Gegevensbescherming youtube
Privacy en Leerplicht/RMC
Procesondersteuning binnen de sociale zekerheid
Lessons learned Naar regionale oncologienetwerken.
Privacy en Leerplicht/RMC
Risicoanalyse … waarom?
Hoofdstuk 8 Taakcluster Strategisch support
Privacy Wat moet je weten van de nieuwe privacyverordening
Privacy en bescherming persoonsgegevens 2018
Algemene verordening Gegevensbescherming AVG
Strategisch support Management support Strategie Tactisch support
het Naoberhuis Algemene Verordening Gegevensbescherming
IBP en AVG, wat moet wij er op school mee?
Risicoanalyse … waarom?
Privacy 0-meeting Deze rapportage is interactief gemaakt!
Transcript van de presentatie:

Landelijk Congres IBP in het onderwijs Woensdag 11 oktober 2017

Programma 10.00 Welkom 10.15 Autoriteit Persoonsgegevens 11.00 Koffiepauze 11.30 Convenant/certificeringsschema 12.00 UMC 12.30 Lunchpauze 13.30 Start sessieronde 1: De risicoanalyse DDoS-aanval AVG: wat verandert er? 14.45 Start sessieronde 2: 15.45 Borrel

Landelijk Congres IBP in het onderwijs Woensdag 11 oktober 2017

Wilbert Tomesen, vice voorzitter van de Autoriteit Persoonsgegevens

Pauze

Privacyconvenant en certificeringsschema Dirk Linden (CTO) en Job Vos (adviseur privacy)

Een veilige en betrouwbare onderwijsketen Veilig en verantwoord omgaan met persoonsgegevens is een gedeelde verantwoordelijkheid School LAS Website Foto’s … Overheid Leermiddelen

Wat moet ik regelen? Ik heb met mijn leveranciers afspraken gemaakt en vastgelegd over het gebruik van persoonsgegevens. Ik heb vastgesteld dat de juiste beveiligingsmaatregelen zijn genomen. En ik kan dat aantonen.

Sectorbrede afspraken over privacy (Edu-K)

Certificeringsschema Wat moet ik regelen? Ik heb met mijn leveranciers afspraken gemaakt en vastgelegd over het gebruik van persoonsgegevens. Ik heb vastgesteld dat de juiste beveiligingsmaatregelen zijn genomen. En ik kan dat aantonen. Privacyconvenant Certificeringsschema

Privacyconvenant Onderwijs

Inschakelen leverancier door school Verwerkingsverantwoordelijke (Wbp: verantwoordelijke) en vergeet de ouders niet Verwerker (Wbp: bewerker) Verwerkingsverantwoordelijke (Wbp: verantwoordelijke)

Privacyconvenant Digitale onderwijsmiddelen Afspraken over rolverdeling school-leverancier Afspraken over doeleinden  Welke persoonsgegevens worden er gebruikt Transparantie partijen over privacy  Gebruik model bewerkersovereenkomst: comply or explain

Model bewerkersovereenkomst Rolverdeling Doeleinden Beveiliging regelen is verplicht (beveiligingsbeleid) Afspraken datalekken: ook leverancier mág melden  Bijlage 1: privacybijsluiter Bijlage 2: beveiligingsbijlage Afwijken van het model moet uitzondering zijn Voldoet aan Wbp, straks in versie 3.0 aan de AVG

Hoe gebruik ik het convenant? 1 Is de leverancier aangesloten bij het privacyconvenant? Zo niet: vraag daar naar! 2 Leverancier vult de modelbewerkersovereenkomst en bijlagen in 3 Controleer of de overeenkomst klopt: wordt het model gebruikt en worden de juiste persoonsgegevens worden gebruikt 4 Teken de bewerkersovereenkomst en stuur terug 5 Komt de leverancier niet met een (getekende) bewerkersovereenkomst? Dan geen zaken doen! Is je leverancier niet aangesloten? Gebruik dan tóch het model!

Toekomstige ontwikkelingen Versie 3.0: compliant aan AVG. Concept gereed eind 2017, vastgesteld uiterlijk 3 februari 2018 Overgangsregeling versie 2.0 naar 3.0 Kom je er niet uit met je leverancier? Signaal naar de PO-Raad, VO-raad of Kennisnet (helpdesk IBP: ibp@kennisnet.nl) Werkgroep IBP sectorraden: samen toetsen van bewerkersovereenkomsten Privacyconvenant als sectorale norm Meer dan 190 leveranciers hebben al getekend!  Waar vind ik meer informatie? www.privacyvonvenant.nl

Certificeringsschema informatiebeveiliging en privacy ROSA

Hoe weet ik dat het veilig is? Ik weet om welke gegevens het gaat Ik weet wie bij deze gegevens mag Ik weet dat de minimale maatregelen zijn getroffen Ik kan dat eenvoudig zien

Certificeringsschema biedt transparantie Een eenvoudige rapportage laat zien: De informatiebeveiliging en privacy van de toepassing is recent en kritisch beoordeeld Maatregelen die de onderwijsketen ziet als ‘best practices’ zijn toegepast Deze rapportage geeft invulling aan de documentatieplicht van genomen maatregelen ter bescherming van de privacy zoals bedoeld in de AVG. Vertrouwelijkheid Maatregelen: ✓ ≈ Integriteit Maatregelen: ✓ ✗ Beschikbaarheid Maatregelen: Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean commodo Lorem ipsum dolor sit amet, consectetuer adipiscin Lorem ipsum adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean ligula ✓ ≈

Wat is het en kan ik er mee? Het is: een gezamenlijke afspraak tussen onderwijs en leveranciers een basis niveau van informatiebeveiligingsmaatregelen een gemeenschappelijke taal voor informatiebeveiliging (bijv: wat betekent ‘informatie is vertrouwelijk’, ‘integriteit is noodzakelijk’, ‘beschikbaarheid is belangrijk’ Ik kan er mee: De verklaring en rapportage opvragen bij de leverancier om na te gaan of de juiste beveiligingsmaatregelen zijn getroffen. Mij verantwoorden dat beveiligingsmaatregelen door de leverancier zijn getroffen

Hoe maakt een leverancier de rapportage? Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

Voorbereiding Voorbereiding Classificatie & risicoanalyse Verbeterplan Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

Voorbereiding Het procesdocument legt alle stappen in detail uit. Zie de documenten ‘Algemene beschrijving’ en ‘Proces’ op de webpagina van het certificeringsschema: https://www.edustandaard.nl/standaard_afspraken/certificeringsschema-informatiebeveiliging-en-privacy-rosa/

Classificatie & risicoanalyse Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

Classificatie & risicoanalyse Om de gegevens te classificeren is een spreadsheet gemaakt met vragen die je daarbij helpen. Zie het document ‘Classificatie’ op de webpagina van het certificeringsschema: https://www.edustandaard.nl/standaard_afspraken/certificeringsschema-informatiebeveiliging-en-privacy-rosa/

Voorbeelden van classificatie  Beschikbaarheid Bedenk welk proces (het onderwijsproces of een specifiek ondersteunend proces) de ict-toepassing ondersteunt. Vul aan de hand van onderstaande vragen een motivatie in en plaats een X in de bijbehorende kolom. Controleer vervolgens aan de hand van de toelichting of het niveau passend is.

Voorbeelden van classificatie  Beschikbaarheid Bedenk welk proces (het onderwijsproces of een specifiek ondersteunend proces) de ict-toepassing ondersteunt. Vul aan de hand van onderstaande vragen een motivatie in en plaats een X in de bijbehorende kolom. Controleer vervolgens aan de hand van de toelichting of het niveau passend is. Vragen Motivatie L M H Wat is de verwachtte belasting van de ict-toepassing? - Laag = weinig gelijktijdige gebruikers, weinig transacties (±1 per uur) - Midden = veel gelijktijdige gebruikers, normale hoeveelheid transacties (±10 per uur) - Hoog = veel gelijktijdige gebruikers, veel transacties (>100 per uur)   Wat is de langste periode dat de ict-toepassing niet beschikbaar mag zijn? - Laag = maximaal enkele dagen - Midden = maximaal een werkdag - Hoog = maximaal een aantal uur Gebruik door leraren is verspreid over de hele dag   ✗  Dagelijkse invoer is normaal, maar kan ook een dag later   ✗ 

Uitkomst van classificatie Vragen Motivatie L M H Wat is de verwachtte belasting van de ict-toepassing? - Laag = weinig gelijktijdige gebruikers, weinig transacties (±1 per uur) - Midden = veel gelijktijdige gebruikers, normale hoeveelheid transacties (±10 per uur) - Hoog = veel gelijktijdige gebruikers, veel transacties (>100 per uur)   Wat is de langste periode dat de ict-toepassing niet beschikbaar mag zijn? - Laag = maximaal enkele dagen - Midden = maximaal een werkdag - Hoog = maximaal een aantal uur Gebruik door leraren is verspreid over de hele dag   ✗  Dagelijkse invoer is normaal, maar kan ook een dag later   ✗   Beschikbaarheid – niveau 2 – midden Beschikbaarheid is belangrijk. Algeheel verlies of niet beschikbaar zijn van deze informatie gedurende een dag brengt merkbare schade toe aan de belangen van de instelling, haar medewerkers of haar studenten of klanten.

Toetsen van maatregelen Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

Toetsen van maatregelen Het toetsingskader bevat de maatregelen die worden gezien als ‘best practices’ waaraan je je eigen maatregelen kan toetsen. Zie het document ‘Toetsingskader’ op de webpagina van het certificeringsschema: https://www.edustandaard.nl/standaard_afspraken/certificeringsschema-informatiebeveiliging-en-privacy-rosa/

Voorbeelden van maatregelen Beschikbaarheid – niveau 2 – midden Overbelasting Er is regulering: maatregelen zijn aanwezig om onevenredige belasting per gebruiker te voorkomen of te reguleren middels load balancers of een soortgelijke oplossing. Er zijn maatregelen getroffen om overbelasting van het systeem te voorkomen, middels trafficshapers of soortgelijke oplossing. Business continuity Er is een 'Warm Standby' aanwezig: - redundant systeem - specifieke spare (active-passive) - local cluster of geo cluster - replicatie door mirroring Backup/ restore/ recovery Backup verplicht, minimaal dagelijks. Recovery test= 2x per jaar. RPO max= 1 dag. RTO max= 24 uur. Automatische online failover bij uitval van 1 node (session lost) Automatisch opnieuw opstarten van systeem (session lost, transaction lost)

Verbeterplan en rapportage Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

Verbeterplan en rapportage De rapportagetemplate maakt het makkelijk om de bevindingen vast te leggen. Zie het document ‘Toezicht’ op de webpagina van het certificeringsschema: https://www.edustandaard.nl/standaard_afspraken/certificeringsschema-informatiebeveiliging-en-privacy-rosa/

Comply or explain Omdat het certificeringsschema een baseline is, geldt voor alle maatregelen ’comply or explain’. Bij een afwijking kan de uitleg bijvoorbeeld zijn: Deze maatregel hebben we niet getroffen, … omdat dit risico voor deze toepassing niet relevant is, want: … maar er is een andere maatregel die hetzelfde of een betere bescherming biedt tegen het risico, namelijk: … maar de maatregel wordt binnenkort geïmplementeerd, namelijk: …

Bedankt voor uw aandacht! Dirk Linden (CTO) Job Vos (adviseur privacy) LinkedIN linden00 LinkedIN jobavos Twitter @jobavos www.poraad.nl www.vo-raad.nl www.kennisnet.nl

Informatieveiligheid en Privacy Landelijk Congres IBP in het Onderwijs 11 oktober 2017 Han van der Zee Bart van Rijn

Agenda Introductie Info. beveiliging & privacy in context Awareness 1 Introductie 2 Info. beveiliging & privacy in context 3 Awareness 4 Leerpunten en huidige acties 5 Vragen?

Introductie sprekers Han van der Zee Tot 1/9/2017 Functionaris voor de Gegevensbescherming UMC Utrecht Consultant, Interim ICT manager / CIO Voormalig hoogleraar Informatiemanagement UvT, Nijenrode hanvanderzee@gmail.com Bart van Rijn Sinds 1/9/2017 Functionaris voor de Gegevensbescherming UMC Utrecht Sinds 1/9/2017 Corporate Information Security Officer Voormalig (o.a.) Manager ICT Support en Beheer UMC Utrecht B.vanRijn@umcutrecht.nl

Introductie UMC Utrecht: Zorg, onderzoek, onderwijs In 2000 ontstaan uit een samenvoeging van: Academisch Ziekenhuis Utrecht Wilhelmina Kinderziekenhuis Medische Faculteit van de Universiteit Utrecht Kerncijfers: Financieel: 1,2 mln € - Verpleegdagen: 215,000 Medewerkers: 11,200 - Polibezoek: 130,000 Studenten: 3,700 - Publicaties: 2,500

UMC Utrecht organisatie

Informatiebeveiliging en Privacybescherming Stand van zaken UMC-Utrecht-breed  Ontwikkelstadium Houding van management Status van beveiliging Onbezorgd Beschouwt beveiliging als niet relevant en meer iets voor anderen Er is geen budget voor beveiligingsmaatregelen Onbekend Beschouwt beveiliging als bewaking en iets voor beveiligers Beveiliging heeft geen duidelijke positie in de organisatie. Oplossingen worden ad hoc gekozen Ontluikend Beschouwt beveiligingsproblemen als relevant en vindt specifieke aanpak nodig Beveiliging is een stafaangelegenheid Beheerst Beschouwt beveiliging als een verantwoordelijkheid van het lijnmanagement Beveiliging is een lijnmanagementaangelegenheid Professioneel Beschouwt beveiliging als een integraal onderdeel van de bedrijfsvoering  Beveiliging is een directieaangelegenheid en een continu aandachtspunt WAS IS WORDT Bron: Overbeek, 2006 - 5 stadia van informatiebeveiliging in een organisatie

Strategie, Architectuur en Informatie-beveiliging IB & PB Beleid Connecting U is de bedrijfsstrategie van het UMC Utrecht IT Connects is de ICT strategie van het UMC Utrecht PIA / Risico analyse IT Audit Pentest

Enterprise architectuur Specifieke domeinen en generieke aspecten als basis voor het architectuur- “bouw-werk” Het totaal is de Enterprise Architectuur, waarbij security, privacy en wet- en regelgeving integraal onderdeel vormen van de architectuur Enterprise Architectuur UMC Utrecht Bedrijfsprocessen Informatie / data Applicaties Zorg Onderzoek Onderwijs ICT Infrastructuur Bedrijfsvoering

IB & PB: 3 Lines of Defense RvT RvB Management divisie / directie 1e lijn 2e lijn 3e lijn IB PB FG Interne Audit Lijn mdw CISO

Ingerichte proces van informatiebeveiliging Naast het 3LoD model voor de organisatie-inrichting wordt gebruik gemaakt van de basisinrichting van het informatie-beveiligingproces (inclusief privacybescherming) uit de NEN7510 / ISO27001 (incl. PDCA cyclus). Plan Risicoanalyse Risico’s accepteren of Maatregelen voorstellen Do Ontwerp en financiering maatregelen Realisatie / implementatie maatregelen Check Monitoren realisatie maatregelen Monitoren effectiviteit maatregelen Act Opstellen verbeterplannen Operationele PDCA Tactische PDCA Strategische PDCA Vaststellen van algemeen beleidskader en “risk-appetite” RvB / CISO / FG Per 3 jaar Vaststellen informatie beveiligingsplan, beschikbaar stellen middelen, monitoren en rapporteren Divisies / Directies Per Jaar Regulier wijzigingenbeheer en projectmanagement. Cyber operations. Operations divisies/ directies Doorlopend niveau activiteiten wie frequentie

Awareness creëren

Awareness Presentaties Wet meldplicht datalekken – centraal en decentraal Week van de Security Voorbereiding AVG compliancy Project Veilig digitaal werken Safety cards, posters, intranet E-learning Centrale introductie nwe medewerkers Presentaties docenten, studenten Presentaties zorgverleners, onderzoekers Hoofdpagina Intranet Etc.

Wanneer een datalek? Persoonsgegevens in handen van onbevoegden Persoonsgegevens zijn ingezien/gebruikt door iemand die dat niet mocht Documenten of bestanden met persoonsgegevens zijn niet meer beschikbaar

Wanneer melden bij toezichthouder Kwalitatief bijzondere persoonsgegevens kan leiden tot stigmatisering/uitsluiting gebruikersnamen en wachtwoorden kan worden gebruikt voor identiteitsfraude Kwantitatief hoeveelheid gelekte persoonsgegevens per persoon aantal betrokkenen van wie er persoonsgegevens zijn gelekt

Wanneer melden bij betrokkene(n) Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad persoonsgegevens van gevoelige aard (bijvoorbeeld gezondheidsgegevens, studieresultaten, …) aantasting eer en goede naam fraude discriminatie Niet melden adequaat versleuteld zwaarwegende redenen om melding aan betrokkene achterwege te laten

Andere security –gerelateerde risico’s / mogelijke incidenten Bron: Cyberbedreigingsbeeld 2016: Sector Onderwijs & Onderzoek, SURF

Inhoud voorlichtingsronde medewerkers Wat is een datalek? Wat moet ik doen bij een datalek? Datalekken in het nieuws Wat zijn (bijzondere) persoonsgegevens? Hoe voorkom ik een datalek? Wat zijn beveiligings-incidenten? Bron: Beeldbank UMC Utrecht

Voorbeelden vragen medewerkers “Docenten kunnen op de netwerkschijf resultaten van studenten van collega docenten inzien. Is dit een datalek?” “Wat kan het UMC Utrecht allemaal van me zien als ik Mobile Device Management (MDM) op mijn privé/zakelijke smartphone installeer?” “Is het toegestaan om op je privé pc/laptop Outlook te installeren en daar je UMC-account aan te koppelen?” “Is het echt nodig dat ik altijd mijn pc vergrendel als ik wegloop? Ook al is het om een kop koffie te halen? Dat is toch niet te doen?”

Leerpunten voor de organisatie Dreigingen en risico’s Herkenbare voorbeelden Verschillende doelgroepen Inventariseer wat er speelt

Leerpunten voor de organisatie Benadruk wat wél mag Belang menselijke factor: Iedereen maakt fouten Maar ook systemen zijn niet 100% veilig Waar kan men terecht voor vragen en advies?

Huidige acties Decentrale IB&PB medewerkers scholen en begeleiden AVG-compliancy centraal en decentraal invoeren NEN7510 certificering centrale en decentrale ICT FAQ - uitbreiden en verfijnen Jaarlijks verplichte E-learning (Veilig Digitaal Werken) introduceren Herhaling, herhaling, herhaling: Medewerkers en klanten (patiënten, studenten) blijven voorlichten

Vragen?

Sessierondes Sessieronde 1 (13.30-14.30): De risicoanalyse: vanaf 28 mei verplicht, maar hoe pak ik het aan? Zaal: Ceciliakapel Van DDoS-aanval naar hackende leerling? Zaal: Hildegard AVG: wat verandert er en wat betekent dit voor mij? Zaal: Magdalena Sessieronde 2 (14.45-15.45): 15.45: Borrel Vervallen is: Digitalisatie van mijn instelling; hoe creëer ik draagvlak voor IBP? (Hollands Kroon) Zaal: Ceciliakapel. Daarom nu twee keer risicoanalyse

Pauze

Bedankt voor uw aandacht Voornaam Achternaam Functie E-mail: emailadres Twitter @twitteraccount