Privacy-AO voor een beveiliger Martin Romijn

Privacy-AO voor een beveiliger Martin Romijn

Functionaris voor de gegevensbescherming Security Officer

Onderwerpen n

AO van Security Officer (SO) n n

n

AO Functionaris Gegevensbescherming (FG) n n

n n n

Kader Incidenten en vragen Kader Incidenten en vragen

Gezamenlijke AO / documenten Gezamenlijke aanpak Samenvatting Privacy AO voor een informatiebeveiliger

2

AO van SO - Kader n n n

n n

Beleidsdocumenten / Rapportage / “Evidence” Risico-analyse “Maatregel” verantwoording Wetgeving, waar onder de Wbp Raamwerken n n

n

Cobit Code voor Informatiebeveiliging

Security management proces Privacy AO voor een informatiebeveiliger

3

AO van SO – Aspect IB

INFORMATIEBEVEILIGING Beveiligingseisen Beschikbaarheid

Integriteit

Vertrouwelijkheid

Beveiligingsmaatregelen Technisch

Organisatorisch Privacy AO voor een informatiebeveiliger

4

AO van SO - Incidenten en vragen n

Incidenten: n n n

n

Tentamenuitslagen op internet Misbruik van mailing lists Bestelling op naam van medewerker

Vragen: n n

Hoe beveilig ik de databaseserver? Wat is de passwordlengte en -levensduur?

Privacy AO voor een informatiebeveiliger

5

AO van FG-p - Kader n

De Wet bescherming persoonsgegevens

n

Privacyreglement personeel en studenten Rolbeschrijving FG-p en betrokken collega’s Ontwikkelde documenten

n n

n n n n n n

Meldingsformulier Meldingenregister Notitievel Wbp gesprek Checklist gesprekken en onderwerpen Jaarverslag Promotiepresentatie Privacy AO voor een informatiebeveiliger

6

AO van FG – Jaaractiviteiten Initiële activiteiten

Volgen Ontwikkelingen

Privacy AO voor een informatiebeveiliger

7

AO van FG - Incidenten en vragen n

Incidenten: n n n

n

Tentamenuitslagen op internet Misbruik van mailing lists Bestelling op naam van medewerker

Vragen: n n

Mag database naar leverancier? Wat toont Zoeken medewerker?

Privacy AO voor een informatiebeveiliger

8

Gezamenlijke documenten n n n n n

n

(ICT) Gedragsregels Bewerkersovereenkomst Geheimhoudingsverklaring Bewaartermijnen vs. vernietigingsplicht Paragraaf beveiligingsmaatregelen op meldingsformulieren Protocol en checklist cameratoezicht

Privacy AO voor een informatiebeveiliger

9

Bewerkersovereenkomst De betrokken partijen zullen: • alle redelijke maatregelen nemen en in stand houden teneinde de geheimhouding van alle Vertrouwelijke Informatie te waarborgen; • geen enkele Vertrouwelijke Informatie aan derden kenbaar maken zonder voorafgaande schriftelijke toestemming van de HU en alle redelijke maatregelen nemen om ervoor te zorgen dat ook diens personeel deze Vertrouwelijke Informatie niet aan derden kenbaar maakt; • de Vertrouwelijke Informatie alleen gebruiken of kopiëren -en alle redelijke maatregelen nemen opdat zijn personeel de Vertrouwelijke Informatie alleen gebruikt of kopieert- ten behoeve van de nakoming van zijn verplichtingen aan de HU; • de Vertrouwelijke Informatie verwijderen van haar systemen en eventuele door de HU aangeleverde informatiedragers aan de HU retourneren. De verplichtingen zullen ook na beëindiging van de werkzaamheden van kracht blijven. Privacy AO voor een informatiebeveiliger 10

Bewerker is ASP: bepalingen 1. Er wordt een formele overeenkomst getekend tussen HU en leverancier betreffende de dienstverlening; 2. Leverancier tekent de geheimhoudingsverklaring, zeker indien het (standaard)contract wat mager is ten opzichte van beveiliging en vertrouwelijkheid; 3. Al het electronische verkeer (inclusief wachtwoord bij inloggen) wordt versleuteld verstuurd tussen werkstation van de gebruiker(s) en server. Dit zou geen bijzondere eis moeten zijn, aangezien het best practice is een webserver van een certificaat te voorzien en het verkeer https plaatsvindt. 4. De applicatie is alleen toegankelijk met een degelijk en persoonlijk wachtwoord voor de gebruiker (de HU standaard: minstens 8 tekens, ten minste 1 cijfer en 1 bijzonder teken). n

n

Afspreken hoe de database na afloop van de werkzaamheden aan de HU beschikbaar gesteld wordt Verkrijgen van enige zekerheid omtrent de lokale beveiliging van de data bij de leverancier. Privacy AO voor een informatiebeveiliger 11

Geheimhoudingsverklaring

Privacy AO voor een informatiebeveiliger

12

Gezamenlijke documenten n n n n

n

Bewerkersovereenkomst Geheimhoudingsverklaring Bewaartermijnen vs. vernietigingsplicht Paragraaf beveiligingsmaatregelen op meldingsformulieren Protocol en checklist cameratoezicht

Privacy AO voor een informatiebeveiliger

13

Extract meldingsformulier

Privacy AO voor een informatiebeveiliger

14

Gezamenlijke aanpak n

Beschikbaarheid privacy reglementen: n n n

n

Privacyreglement Personeel Privacyreglement Studenten Bewaartermijnen in selectielijsten

FG-p en SO als intern toezichthouder; taken: n n n

(Onderhouden meldingenregister) Controlerende taak Adviesfunctie

Privacy AO voor een informatiebeveiliger

15

Conclusie / Samenvatting n n

n n

n n

De Wbp is één van de normgevende wetten De Wbp gaat ‘slechts’ over gestructureerde gegevensverzamelingen Vertrouwelijkheid en privacy “praktisch” gelijk SO en FG/privacy-functionaris werken aan het zelfde doel Vooral rolverdeling belangrijk SO en FG beide geen eigenaar van informatie Privacy AO voor een informatiebeveiliger

16

Agenda privacy-promo n n n n

Het wettelijke kader Highlights privacyreglementen Top 7 tips Acties?

Privacy AO voor een informatiebeveiliger

17

Top 7 tips 1. 2. 3. 4. 5. 6. 7.

“Verwerk” alleen indien doelgebonden Wijs betrokkenen op privacyreglementen Help bij bewaking van verwerkingen volgens het reglement Verstrekt geen gegevens aan derden Bewaar niet langer dan toegestaan Houdt je wachtwoord geheim Werknemer: geheimhoudingsplicht volgens CAO. Hoe zit het met inhuurkrachten?)

Privacy AO voor een informatiebeveiliger

18

Meer informatie n

Interessante algemene websites: n n n

n

De verschillende security sites www.justitie.nl www.cbpweb.nl

Van de FG-p, Martin Romijn: n n

Via [email protected] Of direct: [email protected]

Privacy AO voor een informatiebeveiliger

19