Webinar Meldplicht datalekken: Wat wordt er van u verwacht?
-
Upload
dearbytes -
Category
Technology
-
view
946 -
download
0
Transcript of Webinar Meldplicht datalekken: Wat wordt er van u verwacht?
![Page 1: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/1.jpg)
1
Meldplicht
DatalekkenWat wordt er van u verwacht?Erik RemmelzwaalAlgemeen Directeur | @erikremmelzwaal
![Page 2: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/2.jpg)
2
GoToWebinar
§ Vragen?
– Mondeling: Raise Hand
– Schriftelijk: Questions
![Page 3: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/3.jpg)
3
Whitepaper
Download:https://dearbytes.com/wbp
Erik RemmelzwaalAlgemeen Directeur
Nandenie MoenielalSecurity Consultant
Robert van BuurenSecurity Architect
![Page 4: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/4.jpg)
4
Hardcopy ophalen op InfoSec
§ 4 & 5 november§ Jaarbeurs Utrecht§ Stand B0136
§ (gratis) registrerenvia: dearbytes.com/nieuws/inschrijven-infosecurity-2015/
![Page 5: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/5.jpg)
5
Achtergrond
§ 1 januari wetswijziging Wbp:– Meldplicht datalekken– Boetebevoegdheid++ (€ 810.000,=)
§ Wbp = NL versie van EU Privacy richtlijn dd1995 (95/46/EG)
§ Next step: EU Privacy verordening (EPV) dd ±dec. 2017 (General Data Protection Regulation)
![Page 6: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/6.jpg)
6
Uitdaging§ Art 13 Wbp:
“De verantwoordelijke legt passende technischeen organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking”
§ Datalek = inbreuk op die beveiliging. Dus nietalleen vrijkomen van gegevens, maar ookonrechtmatige verwerking.
§ Wat is passend? à Richtsnoeren CBP
§ Let wel:“Richtsnoeren zijn niet bindend, maar leggen uit hoe het CBP bepaalde artikelen uit de Wbp toepast. Doet het CBP onderzoek naar de verwerking van persoonsgegevens, dan zijn de richtsnoeren daarbij het uitgangspunt.”
Richtsnoeren beveiliging van persoonsgegevens
(Consultatieversie) Richtsnoeren Meldplicht
datalekken
https://cbpweb.nl/nl/zelf-doen/richtsnoeren
![Page 7: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/7.jpg)
7
High Level Oplossing1. Beleidskader2. Assessments3. Bewerkersovereenkomsten4. Beveiligingsbewustzijn5. Toegangsbeveiliging6. Security Monitoring7. Databescherming8. Incidentenbeheer9. Controle op naleving
![Page 8: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/8.jpg)
8
1) Beleidskader§ Beleid gaat expliciet in op
beveiliging PG § Gedocumenteerd én
geïmplementeerd § Gecommuniceerd aan medewerkers
+ relevante externe partijen§ PDCA cyclus
– “Passend” = op basis van risicoanalyse– Privacy Raamwerk
§ Functionaris Gegevensbescherming(FG/DPO)– Kennis organisatie & wetgeving– Controlebevoegdheden– Ontslagbescherming– EPV: verplicht bij >250 mdw
![Page 9: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/9.jpg)
9
2) Assessments§ Privacy Impact Assessment
(PIA)– Inzicht risico’s gegevensbewerking– Privacy-by-Design– Bij nieuwe of gewijzigde
diensten/producten– Wbp: verplichting rijksoverheid– EPV: verplichting voor allen
§ Risicoanalyse– Nodig tbv PDCA / Privacy
Raamwerk
PIA van NOREA
![Page 10: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/10.jpg)
10
3) Bewerkersovereenkomst derden§ Bij uitbesteding van diensten/processen aan
derden (mbt persoonsgegevens)
§ Bijv: – Externe personeelsadministratie– Externe websitehosting– Marketing / Drukwerk
§ Afhankelijk van type bewerking:– Risicoanalyse op bewerker– “Right to Audit”
§ Ketenprocessen inventariseren.
§ Bewerker mag namens client melding bijCBP doen.
Voorbeeld Bewerkerovereenkomst van
IBD voor Gemeenten
![Page 11: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/11.jpg)
11
4) Beveiligingsbewustzijn§ Kenbaar maken intern
beleid en procedures§ Medewerkers weten wat
van hen verwacht wordt§ Periodieke bijscholing,
mbt beveiligingpersoonsgegevens
§ E-Learning tbvaantoonbaarheid en meetbaarheid
![Page 12: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/12.jpg)
12
5) Toegangsbeveiliging§ Need-to-Know & Need-to-Use
§ Fysiek:– Waar, wanneer, door wie?– Authenticatie & aurorisatie– Bijv. Gebouw, serverruimte, archiefkast, enz.– Ook: externe personen
§ Logisch:– Inventariseren datastromen– Scheiden van rollen– Formeel autorisatieproces bij
toegangsverzoek– Periodieke evaluatie autorisaties– Data classificatie & beveiligingsniveaus
![Page 13: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/13.jpg)
13
6) Monitoring§ Beheer technische
kwetsbaarheden:– Vulnerability scanning
§ Logging & Controle– Activiteiten mbt PG in
logbestanden– En andere geb. zoals
ongeautoriseerd toegang / verstoringen leidend tot verminking/verlies
– Periodieke en actieve controle– Actie igv verdacht gedrag
![Page 14: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/14.jpg)
14
6) Monitoring (vervolg)§ Genereren van Logs:
– Netwerkverkeer & computersystemen– Netwerk bijv. IDS / NGFW / DLP– Computer afhankelijk van applicaties
– Personeelsvolgsysteem? à WOR art 27
§ Opslaan van Logs:– Min. 1 jaar– SIEM: centralisatie / aggregatie / filtering
§ Beheren van Logs:– Security Operations
– Periodieke controle: meerdere keren per dag
– Evt ook buiten kantooruren
![Page 15: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/15.jpg)
15
7) Data bescherming§ Validatie gegevensbewerking
– Invoer, interne verwerking en uitvoer– Applicaties zelf of aanvullende maatregelen– Bijv DLP of FIM
§ Encryptie– Kan meldplicht aan betrokkenen voorkomen!– “Sterke” encryptie à ENISA– Toekomstvast 10-50 jaar– Data-at-Rest vs Data-in-Motion
§ Remote Wiping– Kan meldplicht aan betrokkenen voorkomen!– Op afstand computersysteem opdracht geven data te
vernietigen– Moelijk: aantoonbaarheid
ENISA beoordeling encryptie standaarden 2014
![Page 16: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/16.jpg)
16
8) Incidentenbeheer§ Aantoonbaar regelen:
1. Risicoinschatting2. Informering betrokkenen
& toezichthouder3. Geleerde lessen4. Igv juridisch vervolg:
verzamelingbewijsmateriaal
§ Meldingen (punt 2):– CBP– Betrokkenen
![Page 17: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/17.jpg)
17
8) Incidentenbeheer (vervolg)§ Melding CBP:
– Datalek mbt persoonsgegevens– Uiterlijk 2e werkdag na detectie– Als (nog) NIET uit te sluiten is dat persoonsgegevens in
het spel zijn (omgekeerde bewijslast)– Bevat of betrokkenen zijn geinformeerd of wanneer dat
gebeurt
§ Melding betrokkenen:– Niet nodig als beveiligingsmaatregelen voldoende
bescherming bieden– Alleen nodig als lek (waarschijnlijk) ongunstige
gevolgen voor pers. Levenssfeer– Niet melden? à 3 jaar bewaarplicht Richtsnoeren Bijlage:
gegevens in de melding
![Page 18: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/18.jpg)
18
9) Controle op naleving§ Woorden zijn niet genoeg:
effectiviteit maatregelenaantonen
§ Controle op:– Werking privacy raamwerk
(PDCA)– Werking getroffen
maatregelen– Werking van de PIA
§ CBP advies: minimaal 1x per jaar
![Page 19: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/19.jpg)
19
Business voordelen§ Compliant met richtsnoeren (geen
garanties)§ Los van Wbp: inzicht en controle à
volwassenheid en weerbaarheid
§ Voorkomen van schade door digitaleincidenten
§ Concurrentiepositie in veeleisendemarkten tbv privacy & databescherming
§ Aantoonbare beveiliging cliënten & toezichthouders
§ Sterkere bewustwording van risico’s medewerkers en management
![Page 20: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/20.jpg)
20
Waar te beginnen?DearBytes kan u helpen:§ Security Office (DSO)§ Security Operations Center
(DearSOC)
§ Organisatorisch: Quickscan§ Technisch: SMS
https://dearbytes.com/wbp
![Page 21: Webinar Meldplicht datalekken: Wat wordt er van u verwacht?](https://reader031.fdocuments.net/reader031/viewer/2022030316/587679a61a28ab1b158b45f5/html5/thumbnails/21.jpg)
21
Einde…
Vragen?