Privacy is het nieuwe goud

Privacy is het nieuwe goud Wat wordt er van u verwacht om het te beschermen? LWV 2 februari 2016

1

Zijn cybersecurity of datalekken überhaupt issues voor u?

Target Corporation Target Corporation is een Amerikaanse winkelketen. Het bedrijf is in 1902 opgericht als Dayton Dry Goods en uitgegroeid tot de op één na grootste winkelketen van de Verenigde Staten, na Wal-Mart

.

2


Fazio Mechanical, a small heating and air conditioning firm in Pennsylvania that worked with Target and had suffered its own breach via malware delivered in an email. In that intrusion, the thieves managed to steal the virtual private network credentials that Fazio’s technicians used to remotely connect to Target’s network.

3


the third party (Fazio) had deployed Malwarebytes free edition (antimalware), which doesn’t offer real-time protection

4


Target to Settle Claims Over Data Breach Retailer to pay Visa issuers up to $67 on similar deal

million, is working with MasterCard

5


Heeft Cyber Security iets met privacy of datalekken te maken? Nationaal Cyber Security Center (NCSC): “Cyber Security is het vrij zijn van gevaar of schade veroorzaakt door verstoring of uitval van ICT of misbruik van ICT. Het gevaar of de schade door misbruik, verstoring of uitval kan bestaan uit beperking van beschikbaarheid en betrouwbaarheid van de ICT, schending van de vertrouwelijkheid van in ICT opgeslagen informatie of schade aan de integriteit van die informatie.” Cyber Security is daarmee direct te koppelen aan Datalekken en Privacy Bescherming. 6


Kaspersky Lap geeft aan dat mkb-ondernemingen het favoriete doelwit zijn van hackers. Vorig jaar heeft 23% te maken gehad met hackers en waren de herstelkosten gemiddeld 40K per onderneming.

7

Is cybersecurity of datalekken überhaubt een issue voor u?

19 januari 2016 Een hacker heeft in België een grote hoeveelheid persoonsgegevens, die hij had gestolen bij dertien bedrijven, op afgeschermde websites gezet. De hacker, die zich Rex Mundi ('koning van de wereld') noemt, stal de gegevens bij onder andere de medische controledienst Mensura, pizzaketen Domino's en online kredietverstrekker Buyway. Ook het Nederlandse uitzendbureau Accord werd bestolen.

8


19 januari 2016

23 september 2015 hacker heeft in België een grote hoeveelheid CybercriminelenEen die persoonsgegevens hebben gestolen, bieden persoonsgegevens, die hij gestolen hun buit steeds goedkoper aan op internet. Dehad prijzen zijn bij dertien bedrijven, op afgeschermde websitestegezet. De hacker, die zich Rex Mundi gedaald omdat er steeds meer informatie koop wordt aangeboden. ('koning van de wereld') noemt, stal de gegevens bij onder andere medische De gemiddelde prijs voorde gegevens vancontroledienst een persoon is Mensura, gedaald pizzaketen van 4 dollar vorigDomino's jaar tot 1 en dollar dit jaar, blijkt uit een woensdag online kredietverstrekker Buyway. Ook het gepubliceerd rapport van antivirusbedrijf Trend Micro. Nederlandse uitzendbureau Accord werd bestolen. Voor een dollar kan de naam, geboortedatum en het woonadres en burgerservicenummer van een slachtoffer worden gekocht. Daarmee kan gemakkelijk identiteitsfraude worden gepleegd. Creditcardinformatie en bankgegevens worden voor ongeveer 25 dollar per stuk verhandeld.

9

Zijn cybersecurity of datalekken überhaupt issues voor u? Criminelen blijven veel gebruik maken van netwerken in Nederland om cyberaanvallen te plegen. De servers verwerken veel spam, phishing, botnets en andere digitale dreigingen. Nederland is zo geliefd bij criminelen, omdat de internetvoorzieningen hier goed zijn. De verbindingen zijn snel en betrouwbaar, veel mensen zijn online en Amsterdam heeft een van de grootste internetknooppunten ter wereld. 19 januari 2016

23 september 2015 hacker heeft in België een grote hoeveelheid CybercriminelenEen die persoonsgegevens hebben gestolen, bieden persoonsgegevens, die hij gestolen hun buit steeds goedkoper aan op internet. Dehad prijzen zijn bij dertien bedrijven, op afgeschermde websitestegezet. De hacker, die zich Rex Mundi gedaald omdat er steeds meer informatie koop wordt aangeboden. ('koning van de wereld') noemt, stal de gegevens bij onder andere medische De gemiddelde prijs voorde gegevens vancontroledienst een persoon is Mensura, gedaald pizzaketen van 4 dollar vorigDomino's jaar tot 1 en dollar dit jaar, blijkt uit een woensdag online kredietverstrekker Buyway. Ook het gepubliceerd rapport van antivirusbedrijf Trend Micro. Nederlandse uitzendbureau Accord werd bestolen. Voor een dollar kan de naam, geboortedatum en het woonadres en burgerservicenummer van een slachtoffer worden gekocht. Daarmee kan gemakkelijk identiteitsfraude worden gepleegd. Creditcardinformatie en bankgegevens worden voor ongeveer 25 dollar per stuk verhandeld.

10


23 september 2015 hacker heeft in België een grote hoeveelheid CybercriminelenEen die persoonsgegevens hebben gestolen, bieden persoonsgegevens, die hij gestolen hun buit steeds goedkoper aan op internet. Dehad prijzen zijn bij dertien bedrijven, op afgeschermde websitestegezet. De hacker, die zich Rex Mundi gedaald omdat er steeds meer informatie koop wordt bijbrief onder Uit een van Minister Plasterk (2 april 2013) aangeboden. ('koning van de wereld') noemt, stal de gegevens andere medische pizzaketen naar voren dat is berekend dat in 2012 De gemiddelde prijs voorde gegevens vancontroledienst een persoon is Mensura, gedaaldkomt van 4 dollar vorigDomino's jaar tot 1 en dollar dit jaar, blijkt uit een woensdag online kredietverstrekker Buyway. Ookde het tussen 670 en 870 duizend Nederlanders gepubliceerd rapport van antivirusbedrijf Trend Micro. Nederlandse uitzendbureau Accord werd bestolen. slachteroffer zijn geweest van identiteitsfraude Voor een dollar kan de naam, geboortedatum en het woonadresen dat die gezamenlijk een schade hebben en burgerservicenummer van een slachtoffer worden gekocht. gelden tussen de 400 en 500 miljoen euro. Daarmee kan gemakkelijk identiteitsfraude worden gepleegd. Creditcardinformatie en bankgegevens worden voor ongeveer 25 dollar per stuk verhandeld.

11


23 september 2015 hacker heeft in België een grote hoeveelheid CybercriminelenEen die persoonsgegevens hebben gestolen, bieden 25 januari 2016 persoonsgegevens, die hij gestolen hun buit steeds goedkoper aan op internet. Dehad prijzen zijn bij dertien bedrijven, op De gegevens van zeker Nederlandse afgeschermde websites De hacker, die zich Rex en Mundi gedaald omdat er steeds meer informatie tegezet. koop158.000 wordt van de wereld') noemt, stal de gegevens bijbrief onder UitZiekenhuis een van Minister Plasterk (2 april 2013) aangeboden. ('koning Belgische patiënten van het Sint Anna andere de medische controledienst Mensura, pizzaketen komt naar voren De gemiddelde prijs voor gegevens van een persoon is gedaald in Geldrop en het Canisius-Wilhelmina Ziekenhuis dat is berekend dat in 2012 van 4 dollar vorigDomino's jaar tot 1 en dollar dit jaar, blijkt uit een woensdag online Buyway. Ookde het tussen 670 en 870 duizend Nederlanders in Nijmegen zijn kredietverstrekker door een datalek ruim een maand gepubliceerd rapport van antivirusbedrijf Trend Micro. Nederlandse uitzendbureau Accord werd bestolen. slachteroffer zijn geweest van identiteitsfraude lang toegankelijk geweest voor onbevoegden. Voor een dollar kan de naam, geboortedatum en het woonadres en dat die gezamenlijk een schade hebben en burgerservicenummer van een slachtoffer worden gekocht. gelden tussen de 400 en 500 miljoen euro. Daarmee kan gemakkelijk identiteitsfraude Aangetoond is dat inworden ieder gepleegd. geval medische Creditcardinformatie en bankgegevens worden voor ongeveer 25 dossiers van het Zwolse ziekenhuis Isala en het dollar per stuk verhandeld.

Amphia Ziekenhuis in Breda scanklaar zijn gemaakt door de gevangenis in Leuven. Dat betekent dat gevangenen bijvoorbeeld nietjes uit papieren dossiers verwijderden, om ze klaar te maken voor een automatisch scanproces. 12


Als het een issue voor u is, kunt u er dan ook een kans van maken?

Kan privacy (blijven) bestaan zonder innovatie te frustreren?

Ja zeker, maar dan dient privacy onderdeel te zijn van je bedrijfsvoering, o.a.: • • • •

product/dienstontwikkeling (PET?) Inrichting en bewaking van bedrijfsprocessen Aansturing en beoordeling van je mensen Bepalen en monitoren van je doelstellingen.

13


Als het een issue voor u is, kunt u er dan ook een kans van maken?

Hoe kan je dat Kan privacy (blijven) bestaan zonder innovatie te frustreren? aanpakken? Ja zeker, maar dan dient privacy onderdeel te zijn van je bedrijfsvoering, o.a.: • • • •

product/dienstontwikkeling Inrichting en bewaking van bedrijfsprocessen Aansturing en beoordeling van je mensen Bepalen en monitoren van je doelstellingen.

14

Maar hoe zou u dat kunnen aanpakken? Drie belangrijke uitgangspunten: 1. Privacy wordt hygiëne factor omdat we anders teruggaan in de tijd. Het is geen hype en geen trend. 2. Privacy is een multidisciplinair vraagstuk; juridische kennis, kennis van (technische) informatiebeveiliging en data-analyse kan noodzakelijk/wenselijk zijn. 3. Gedachtegang: van wet -> naar risicoanalyse -> naar informatiebeveiligingstandaard -> naar informatiebeveiligingsmaatregelen -> naar inbedding in organisatie -> naar monitoring & verbetering (PDCA-cycle).

15

Maar hoe zou u dat kunnen aanpakken? Drie belangrijke uitgangspunten: Wet 1. Privacy wordt hygiëne factor omdat we anders terug gaan in Bewaak de tijd. Het is geen hype en geen trend. Risico 2. Privacy kennis, & is een multidisciplinair vraagstuk; juridische analyse kennis van (technische) informatiebeveiliging en data-analyse Verbeter kan noodzakelijk/wenselijk zijn. 3. Denklijn: van wet -> naar risicoanalyse -> naar informatiebeveiligingstandaard -> naar informatiebeveiligingsmaatregelen -> naar inbedding in organisatie -> naar monitoring & verbetering (PDCA-cycle).

Inbedding

Standaard Maatregelen 16

Maar hoe zou u dat kunnen aanpakken? Ontwikkeling detail aanpak (modulair)

Onderzoek (per module)

Opstellen verbeterplan (per module)

Detail Inzicht verkrijgen

Privacy Impact Assessment

Verzamelen van informatie

Opstellen conceptverbeterplan

Plannning & scoping

Cybersecurity Assessment

Invullen vragenlijst(en)

Afstemming en inbedding

Compliance Check

Beoordelen impact en maatregelen

Opstellen projectplan

Bespreken bevindingen met management

Bespreking verbeterprojectplan met Management

Voorbereiding

Plannen

Inzicht verkrijgen

Opstellen verslag

Uitvoering Verbeterprojectplan (per module)

Monitoren en Continue verbeteren (per module)

Opstellen conceptimplementatie plan

Overdracht van project- naar lijnorganisatie

Uitvoering conform plan

Opstellen monitoring raamwerk

Periodiek vullen monitoring raamwerk Periodiek rapporteren aan Management

Maar hoe zou u dat kunnen aanpakken? Ontwikkeling detail aanpak (modulair)

Onderzoek (per module)

Opstellen verbeterplan (per module)

Detail Inzicht verkrijgen

Privacy Impact Assessment

Verzamelen van informatie

Opstellen conceptverbeterplan

Plannning & scoping

Cybersecurity Assessment

Invullen vragenlijst(en)

Afstemming en inbedding

Compliance Check

Beoordelen impact en maatregelen

Opstellen projectplan

Bespreken bevindingen met management

Bespreking verbeterprojectplan met Management

Voorbereiding

Plannen

Inzicht verkrijgen

Opstellen verslag

Uitvoering Verbeterprojectplan (per module)

Monitoren en Continue verbeteren (per module)

Opstellen conceptimplementatie plan

Overdracht van project- naar lijnorganisatie

Uitvoering conform plan

Opstellen monitoring raamwerk

Periodiek vullen monitoring raamwerk Periodiek rapporteren aan Management

Stel vast of u überhaupt privacyrisico’s heeft door het uitvoeren van een ‘Privacy Impact Assessment’ (PIA) • Een PIA is vrij beschikbaar (zie: www.allesoverdatalekken.nl) • Zij heeft tot doel het blootleggen van privacyrisico’s en het verminderen daarvan. • De Autoriteit Persoonsgegevens gaat in het kader van de zorgplicht er vanuit dat minimaal een PIA (“privacy effect beoordeling”) is uitgevoerd. In de Algemene Verordening Gegevensbescherming zullen verplichtingen hiervoor worden opgenomen.

19

Wat zijn de stappen in een PIA proces? 1. Bepaal wie en hoe de PIA uitgevoerd moet worden

2. Verzamel en bestudeer informatie

3. Vul de vragenlijst in

4. Beoordeel de impact en ontwikkel maatregelen

5. Stel het verslag op

6. Laat eventueel een onafhankelijke toets uitvoeren

20

Wat zijn de stappen in een PIA proces? Privacy behoeft een multidisciplinaire insteek

1. Bepaal wie en hoe de PIA uitgevoerd moet worden






21


Denk hierbij aan: - Welke gegevens, waar, wie? - Wie is wanneer Verantwoordelijk of Bewerker - Welke technologieën? - Wie zijn betrokkenen? - Wat is er al qua Informatiebeveiliging geregeld?






22


Risico factoren zijn o.a.: • • • • • •


Limitering van het verzamelen van gegevens; Gegevenskwaliteit; Doelbinding; Limitering van het gebruik van gegevens;. Beveiliging van gegevens; Transparantie, etc.

Impact o.a. op basis van aantasting waarden.:


• • • • • •


Zelfstandigheid Bescherming tegen stigmatisering Gelijkheid Bewegingsvrijheid Ongestoord leven etc.



23


Maatregelen o.a..: • Algemeen: passende organisatorische en technische Maatregelen: -> adequate informatiebeveiliging! • Waarbij risico’s worden vermeden door bijvoorbeeld: • Opslag gegevens bij individu i.p.v. organisatie • Gebruik van anonieme gegevens of pseudoniemen • (let op stand der techniek) • Of risico’s worden verminderd door: • Limitering van verzamelen/gebruik van gegevens; • Waarborgen gegevenskwaliteit (controles); • Beveiliging van gegevens (encryptie LTB) • Doelbinding (evt. aan te passen na akkoord?) • Transparantie (o.a. gedragscode, certificeren verwerking) • Invoeren van periodieke controle






24

Waar kunt u aan denken bij een verbeterplan? • Het gaat niet alleen om u als Verantwoordelijke maar ook om uw Bewerkers (en andersom)! • Maak gebruik van één of meerdere beveiligingsstandaarden, en kies daarbij de juiste. Zoals ISO 27001/27002, SoGP, CRF, CCfECD, CobiT, ETZI ISO 27032.

25

Ik heb een datalek! Wat nu? •

Stel vast of het een datalek (doorbreking van de beveiliging) is in de zin van de wet. “Kans op aanzienlijke nadelige gevolgen”: • Aard van de gegevens: gevoelige aard (o.a. financiële situatie, bijzondere gegevens, gebruikersnamen & wachtwoorden, die kunnen leiden tot identiteitsfraude) • Omvang van de gegevens (per persoon of veel personen). • Meld het lek via webformulier bij Autoriteit Persoonsgegevens binnen 72 uur na de ontdekking. • Meld het lek aan de betrokkenen, behalve bij voldoende technische bescherming (o.a. cryptografie), geen ongunstige gevolgen betrokkenen en ‘zwaarwegende redenen’ (b.v. ter bescherming van betrokkenen). • Meld u niet en de AP is van mening dat dit onterecht is, kan dit, na bindende aanwijzing, leiden tot een boete van de 6e categorie (820K). • Bewaar de gegevens over de lek 1 – 3 jaar. Alleen als er sprake is van overtreding van de Wbp die opzettelijk of het gevolg is van ernstige verwijtbare nalatigheid, kan direct een boete worden opgelegd. Als er geen sprake is van opzet of ernstige verwijtbare nalatigheid, volgt eerst een bindende aanwijzing. Wordt deze niet adequaat opgevolgd kan een boete volgen van de zesde categorie van art 23 van het Wetboek van Strafrecht (820K). 26

Privacy is het nieuwe goud; 10 gouden tips! 1. Zorg dat u weet of, en zo ja, waar, u privacy (gevoelige) informatie heeft. 2. Zorg dat alleen die mensen bij deze gegevens kunnen die ze ook écht nodig hebben. 3. Zorg voor de juiste Bewerkersovereenkomst(en) (indien van toepassing). 4. Zorg voor passende organisatorische en technische maatregelen of pas gegevensverzameling en bewerking aan. 5. Zorg voor de juiste aantoonbaarheid van uw maatregelen en de continue aandacht hiervoor. 6. Laat u periodiek door externen toetsen. De materie is vaak te complex voor bijvoorbeeld 1 persoon binnen de organisatie. 7. Gebruik ‘Whitelisting’ desktop virusscan om Remote Access Trojan (RAT) te detecteren. 8. Bij een datalek welke gemeld moet worden; melden. Negatieve impact op veel vlakken is waarschijnlijk groter bij niet melden. 27

Privacy is het nieuwe goud

Recommend Documents