Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?
1
Onderwerpen
• Wat zegt de huidige wet en de komende Europese Privacy Verordening • Wat zegt de autoriteit met betrekking tot uitbesteding naar cloud provider. • Welke maatregelen dienen dan genomen te worden en door wie?
2
Is cybersecurity of zijn datalekken überhaupt issues voor het MKB? Target Corporation Target Corporation is een Amerikaanse winkelketen. Het bedrijf is in 1902 opgericht als Dayton Dry Goods en uitgegroeid tot de op één na grootste
.
winkelketen van de Verenigde Staten, na Wal-Mart
Fazio Mechanical, a small heating and air conditioning firm in Pennsylvania that worked with Target and had suffered its own breach via malware delivered in an email. In that intrusion, the thieves managed to steal the virtual private network credentials that Fazio’s technicians used to remotely connect to Target’s network. the third party (Fazio) had deployed Malwarebytes free edition (antimalware), which doesn’t offer real-time protection
Target to Settle Claims Over Data Breach Retailer to pay Visa issuers up to $67 million, is working with MasterCard on similar deal
3
Meldplicht datalekken • Sinds 1 januari 2016 van kracht
• Melden binnen 72 klokuren • Volgend jaar: Algemene Privacy Verordening EU: verdere aanscherping; o.a.
• PIA, • Functionaris Gegevenbescherming bij > 250 werknemers of 5000 vw per jaar,
• nog hogere boetes (4- 5% van de omzet) 4
Plichten verantwoordelijke?
6 belangrijke plichten: 1. Zorgvuldige verwerking 2. Informatieplicht 3. Meldingsplicht 4. Corrigeren 5. Beveiliging-> “passende organisatorische en technische maatregelen” 6. bewerkersovereenkomst
5
Wat is een datalek? “Een inbreuk op de beveiliging, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.”
6
Wanneer moet ik melden bij AP & wat is ‘ernstig’? • - Gegevens van gevoelige aard • - Leiden aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen.
7
Wanneer moet ik de betrokkenen wel/niet informeren? •
- Bieden technische beschermingsmaatregelen die u heeft genomen voldoende bescherming om de melding aan de betrokkene
achterwege te kunnen laten? •
- Zal het datalek waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene?
•
- Zijn er zwaarwegende redenen om de melding aan de betrokkene achterwege te laten?
8
Kan privacy (blijven) bestaan zonder innovatie te frustreren?
9
Kan privacy (blijven) bestaan zonder innovatie te frustreren?
Ja zeker, maar dan dient privacy onderdeel te zijn van je bedrijfsvoering, o.a.: • • • •
product/dienstontwikkeling (PET?) Inrichting en bewaking van bedrijfsprocessen Aansturing en beoordeling van je mensen Bepalen en monitoren van je doelstellingen.
10
Maar hoe zou u dat kunnen aanpakken? Drie belangrijke uitgangspunten: 1. Privacy wordt hygiëne factor omdat we anders teruggaan in de tijd. Het is geen hype en geen trend. 2. Privacy is een multidisciplinair vraagstuk; juridische kennis, kennis van (technische) informatiebeveiliging en data-analyse kan noodzakelijk/wenselijk zijn. 3. Gedachtegang: van wet -> naar risicoanalyse -> naar informatiebeveiligingstandaard -> naar informatiebeveiligingsmaatregelen -> naar inbedding in organisatie -> naar monitoring & verbetering (PDCA-cycle).
11
Wat wanneer je diensten uit de cloud afneemt? Eisen bewerkersovereenkomst (bron AP n.a.v. datalek bij digitalisering dossiers) Een bewerkersovereenkomst moet aan een aantal minimumeisen voldoen: • De overeenkomst moet specifiek gaan over de gegevensverwerking door de bewerker. • De verplichtingen moeten over en weer duidelijk zijn vastgelegd in de overeenkomst: • het soort gegevens, • de doeleinden van de verwerking, • de duur van de opslag en beveiligingsmaatregelen moeten er bijvoorbeeld gedetailleerd in zijn opgenomen. • In de overeenkomst moet staan hoe de verantwoordelijke kan toezien op de naleving van de waarborgen. • De overeenkomst moet een geheimhoudingsplicht bevatten voor de bewerker en zijn personeel. • Als er sprake is van subbewerkerschap, moeten ook daarover bepalingen in de overeenkomst worden opgenomen.
12
Wat kan je dan helpen; objectieve waarborgen? 1. ISAE 3402 verklaring 2. ZekerOnline Certificaat 3. SOC 2/3 verklaring 4. ISO 27001/27002
13
Privacy is het nieuwe goud; 7 gouden tips! 1. Zorg dat u weet of, en zo ja, waar, u privacy (gevoelige) informatie heeft. 2. Zorg dat alleen die mensen bij deze gegevens kunnen die ze ook écht nodig hebben. 3. Zorg voor de juiste Bewerkersovereenkomst(en) (indien van toepassing). 4. Zorg voor passende organisatorische en technische maatregelen of pas gegevensverzameling en bewerking aan. 5. Zorg voor de juiste aantoonbaarheid van uw maatregelen en de continue aandacht hiervoor. 6. Laat u periodiek door externen toetsen. De materie is vaak te complex voor bijvoorbeeld 1 persoon binnen de organisatie. 7. Bij een datalek welke gemeld moet worden; melden. Negatieve impact op veel vlakken is waarschijnlijk groter bij niet melden.
14
