ICT Beraad 13 november 2015
November 2015 Peter van DIjk, IBD
De agenda • DigiD assessments en de nieuwe richtlijnen van het NCSC • Stand van zaken wetgeving m.b.t. Meldplicht Datalekken • Hosting websites overheid en ontwikkelingen Safe Harbour • Stand van zaken ENSIA • Jaarplan IBD 2016
2
Agenda Digid assessements Assessments Nieuwe Richtlijnen Ervaringen
3
Digid • NCSC heeft nieuwe richtlijn uitgebracht • BZK\Logius werken aan nieuw assessment gebaseerd op dit normenkader – Eerste oplevering december – IBD is een van de tegenlezers op het ontwerp
• Voor het lopend assessment jaar blijft de ‘oude’ norm van kracht.
4
Digid Assessments • Ervaringen uit de praktijk van dit moment?
5
Agenda Meldplicht datalekken algemeen
6
Privacy ?
7
Highlights meldplicht datalekken • •
•
•
• • •
Aangenomen op 26 mei is door de 1e kamer, invoering 1-1-2016 Inbreuken op beveiligingsmaatregelen die leiden tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens moeten door de verantwoordelijke onverwijld worden gemeld bij het College Bescherming Persoonsgegevens (CBP) Als de inbreuk waarschijnlijk ongunstige gevolgen heeft voor de betrokkene, moet ook de betrokkene worden geïnformeerd, tenzij de gegevens die gehackt zijn al voldoende versleuteld waren (en niet aannemelijk is dat die beveiliging doorbroken kan worden) In bewerkersovereenkomsten moeten afspraken worden gemaakt over de nakoming van alle verplichtingen rondom beveiligingsinbreuken, Het CBP wordt Autoriteit persoonsgegevens. Het CBP komt met nieuwe richtsnoeren om concrete invulling te geven. (openbare consultatie is gesloten !) Het CBP komt met een voorstel boetebedragen. (openbare consultatie loopt nog !)
Boetes…. • •
Het CBP krijgt de bevoegdheid om op andere overtredingen van de wet een boete op te leggen tot maximaal € 810.000. Die hogere boete mag echter alleen worden opgelegd nadat het CBP een bindende aanwijzing aan de overtreder heeft gegeven, tenzij de overtreding opzettelijk is begaan of het gevolg is van ernstige verwijtbare nalatigheid.
Voorbeelden: • •
• • • •
Te lang bewaren van persoonsgegevens, te veel persoonsgegevens vastleggen Het niet hebben van technische en organisatorische maatregelen met passend beveiligingsniveau (dit vereist vastleggen van alle BIG implementatie activiteiten en keuzes door het management, compliancy) Het niet melden van beveiligingsinbreuken (logging en detectie gevolgd door incident management proces) Het onjuist melden van incidenten, het niet vastleggen van incidenten (incident management proces) Het niet in kennis stellen van de betrokkene (onderzoek van alle privacy gerelateerde incidenten) Er zijn meer dan 30 gedragingen in de Wbp waar de hogere boete op van toepassing is. (dus niet alleen meldplicht)
Enkele bedreigingen als voorbeeld
• Onzorgvuldig / nalatig handelen met betrekking tot programmatuur door – Gebruikers – Beheerders, beheeractiviteiten – Leveranciers
• Ongeautoriseerde toegang tot informatiesysteem en gegevens • Incidenten met betrekking tot gegevens via: – Programmatuur – Personen
• Continuïteit, beschikbaarheid van de dienst 13
Agenda Safe Harbour
15
Wat is Safe Harbor • In de VS bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. – Daarom had de Europese Commissie (EC) over de VS een speciale beslissing genomen. In de VS is er alléén sprake van een passend beschermingsniveau bij organisaties die zich houden aan de zogeheten Safe Harbor Principes.
• Overeenkomst tussen Verenigde Staten en Europese Economische Ruimte (EER) om gegevens van Europese burgers te beschermen. – Wanneer bedrijven persoonsgegevens van haar gebruikers naar de Verenigde Staten (VS) doorgeeft en bewaart op servers die zich de VS bevinden.
Uitspraak Europees Hof van Justitie • Verklaart Safe Harbor-overeenkomst op 6 oktober 2015 ongeldig. • Hoofd reden: – De VS respecteert die Europese gegevens niet goed genoeg – De gegevens van Europese burgers zijn , indien gehost in de VS, toegankelijk voor de Amerikaanse overheid (zie onthullingen over de NSA)
Standpunt IBD tbv verdrag • Als gemeenten hosten: – Doe dit bij voorkeur binnen Europese Economische Ruimte. – Of anders; bij een partij die Safe Harbor-overeenkomst onderschrijft. – Of wees bewust van het risico dat je als gemeente loopt als geen van beide bovenstaande van toepassing is
• Maak in alle gevallen gebruikelijke en heldere afspraken rond informatieveiligheid
Wat verandert er agv uitspraak • Gemeenten zijn (mogelijk) niet compliant aan wetgeving.
– Bedrijven die nu met een beroep op de Safe Harborovereenkomst persoonsgegevens doorgeven aan de VS, werken in strijd met de wet. Deze bedrijven zijn gebonden aan de Europese privacywetgeving. – Dat is afwachten • het Cpb beraad zich nog over de juridische consequenties. • De Europese (privacytoezichthouders) onderzoeken op dit moment welke gevolgen de uitspraak van het Europees Hof van Justitie heeft voor doorgiftes van persoonsgegevens aan de VS op een andere juridische basis. • Dagelijks diverse initiatieven in de pers – Gemeenten die zaken doen met Safe Harbor partijen – Gemeenten die zaken doen buiten Safe Harbor partijen
• Voor gemeenten die hosten bij partijen binnen EER verandert er niets
Wat nu te doen • Binnen EER
– niets doen
• Buiten EER:
– Binnen Safe Harbor • overweeg migratie; wacht op uitspraken Cbp – Buiten Safe Harbor • overweeg migratie; maar dat vonden we sowieso al niet een slimme weg • Neem de huidige werkwijze voor doorgifte van persoonsgegevens aan de VS onder de loep en neem mogelijke privacyrisico’s weg.
• Lopend onderzoekje binnen VNG/KING; mogelijk uitbreiden via softwarecatalogus • Aanscherpen aanbestedingseisen gemeenten
U kunt wel clouddiensten afnemen, als u zich bewust bent van de risico’s en deze accepteert De gemeente is en blijft eindverantwoordelijk. 24
Agenda ENSIA
25
ENSIA – stand van zaken • Ontwerp van één zelfevaluatie vragenlijst over de BIG, BRP, PUN, DigiD, BAG, BGT en SUWI die op één moment wordt uitgevraagd. • Hiermee wordt niet alleen verticale verantwoording afgelegd maar kan ook het horizontale verantwoordingsproces worden ondersteund. • Vervolstappen: • Het inrichten van het toezichtsregime • Een uitvoeringstoets bij gemeenten • Eventueel uitwerken van aanpassingen in wet- en regelgeving • Implementatie bij departementen • Implementatie bij gemeenten 26
Agenda Jaarplan IBD
27
Activiteiten/resultaten IBD 2015 • Gemeenten nemen bewust hun verantwoordelijkheid aangesloten, melden incidenten, IBD gevraagd bij regionale bijeenkomsten • Gemeenten zijn actief aan de slag met de BIG 5 stappen implementatiemodel, hands-on regionale sessies • Gemeenten bundelen kennis, werken samen gezamenlijke BIG OP producten, community, expertgroepen (ook met leveranciers) • Incidenthandling en woordvoering (CERT) cryptolocker, phishing mails, ‘drive-by’ besmettingen, SUWINET-Inkijk misbruik door Cannock Chase, dataset van Ashley Madison, Safe Harbour, Meldplicht datalekken
28
Activiteiten/resultaten IBD 2015
• Gemeenten via IBD in Nationaal Respons Netwerk (NRN) Kennisdelen en resources uitwisselen in netwerk met CERT’S van Defensie, Onderwijs, Belastingdienst, ICT Crisis oefening in zomer 2015 • Leveranciersmanagement samenwerkingsafspraken in IBD addendum, eerste kwetsbaarheidswaarschuwing vanuit leverancier • Certificering IBD, Trusted Introducer • Verkenning uitbreiding doelgroepen Waterschappen en provinciën • Projecten Suwi, ENSIA, Uniforme ICT inkoopvoorwaarden, impactanalyse versnelde inplementatie internet- en emailstandaarden 29
Vraagstuk voor richting IBD Jaarplan 2016 • Tot 2015 gaf de propositie IBD uitgangspunten en randvoorwaarden • Focus IBD in 2015 op CERT, maar ook op BIG • IBD werd in 2015 regelmatig bevraagd op dienstverlening welke niet opgenomen is binnen ‘reguliere pakket’ • Visie voor 2016 en verder noodzakelijk om richting te bepalen • Benodigde expertise en bezetting op orde voor wat nu nodig is, maar is dit ook wat nodig is in 2016? 30
Scenario’s 2016 en verder 1. • • •
Doorgaan op het huidige pad BIG producten/implementatie ondersteuning in regionaal verband CERT Projecten (indien ruimte)
2. • • •
Uitbreiden dienstverlening Ondersteuning ‘Achter de voordeur’ bij BIG ‘Certificeren’ leveranciers en dienstverleners IB gerelateerde Privacy vraagstukken Consequentie: focus op BIG, past niet binnen budget, meer BIG/privacy consultants
3. Doelgroepen uitbreiden met andere (decentrale) overheidspartijen • IBD dienstverlening aanbieden aan andere overheids-doelgroepen (provincies, waterschappen, GR, (bijvoorbeeld) veiligheidsregio’s, omgevingsdiensten) Consequentie: focus op zowel CERT als op advies BIG, past niet binnen budget, meer incidenthandlers cq BIG consultants 32
Advies Adviesraad IBD
• Voor 2016: scenario 2, mogelijk daarna stappen naar scenario 3. • Een aantal punten ter uitbreiding van dienstverleningspakket van de IBD dienen mogelijk voorgelegd worden aan ALV in juni 2016
• Adviesraad heeft extra vergadering ingepland om met elkaar en aantal commissieleden in discussie te gaan over strategische opgave 2020 33
Basis voor Jaarplan IBD 2016 •
Helpdesk, incidenthandling, woordvoering 24*7 telefonische bereikbaarheid voor advies en ondersteuning. Incidentdetectie, incidentpreventie, incidentcoördinatie, woordvoering en leveranciersmanagement. Beperkt privacy gerelateerde vragen.
•
Advies/Verbinden ENSIA Architectuurboard GEMMA ISD Betrokkenheid bij BIO Omgevingswet Bijdragen aan IB gerelateerde bijeenkomsten binnen de keten
•
Kennisdelen/bewustwording zowel technisch inhoudelijk als op organisatorische aspecten (BIG) Via de reguliere kanalen bijdragen aan de zelfredzaamheid van gemeenten Bewustwording VNG breed
•
Focus in 2016: Sterk opdrachtgeverschap Door middel van leveranciersmanagement Bijdragen projecten DA 2020 (bijvoorbeeld uniforme inkoopvoorwaarden)
•
Verkenningen in 2016 Aansluiten gemeenschappelijke regelingen Behoefte en uitvoerbaarheid standaardisering/certificering dienstverleners/opleiders
34
Contactinformatie
[email protected] Bezoek ook www.ibdgemeenten.nl 36
