dag 4 – incidenten en continuiteit · incident 4: gerichte aanval via phishing mail belgcaom...

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DAG 4 – INCIDENTEN EN CONTINUITEIT

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Agentschap Zorg en Gezondheid

PETER BERGHMANS

Peter Berghmans

Contact

Linked in

2

› Veiligheidsborger eWZC programma › Helpt mee persoonsgegevens te beschermen › Passie voor de zorgsector › Liefde voor lesgeven

› [email protected] › 0475951516

› Data Protection Officer White Wire › Docent Thomas More › Docent Data Protection Institute

› https://be.linkedin.com/in/peter-berghmans-96841241

13.06.2017

https://be.linkedin.com/in/peter-berghmans-96841241

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

OVERZICHT VAN DE OPLEIDINGSDELENInformatieveiligheid in de ouderenzorg

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


DE SESSIES - OVERZICHT

13.06.2017 4

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


SESSIE 1: INLEIDING INFORMATIEVEILIGHEID

Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt - Het belang van informatieveiligheid in de zorgsector besproken (o.a.

informatieveiligheid in de wetgeving, het eHealth platform en sectorcomité SZ/AG).

- de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - Een veiligheidsbeleid en -plan toegelicht

Praktische toepassing: - De cursist krijgt een bundel mee die kan gebruikt worden om het

management van het WZC in te lichten (30 minuten presentatie). Elke cursist plant een presentatie voor het woonzorgcentrum

- De cursist legt deel 1 van de beleidsnota voor aan de directie ter goedkeuring

13.06.2017 5

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


SESSIE 2: COT EN MINIMALE VOORWAARDEN

Objectief: 1. Begeleidingsmoment: van de presentaties voor het management en beleid informatieveiligheid 2. Tijdens deze sessie worden de basisvoorwaarden toegelicht om toe te treden tot systeem van COT: - Consent voor Belrai en Vitalink/eHealth - Procedure voor toegangsbeheer en de borging ervan - Logging van de activiteiten in het EBD - Omgang met medewerkers en derden

Praktische toepassing: - De cursist krijgt enkele templates mee die betrekking hebben op bovenstaande

onderwerpen. De cursist dient deze aan te passen aan de organisatie - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te

worden opgenomen in het beleidshandboek. - De cursist plant een eerste awareness sessie voor het personeel die wordt gegeven

in de verschillende woonzorgcentra

13.06.2017 6

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS

Objectief: 1. Reflectiemoment COT 2. Het doel van deze sessie is om toe te lichten welke de minimale

technische veiligheidseisen zijn voor een ICT omgeving in de zorg. Het is niet de bedoeling om van de aanwezigen IT experten te maken. Ze dienen echter wel te begrijpen welke minimale vereisten de Privacycommissie op dit vlak eist.

- Begrijpen welke veiligheidseisen op een werkstation op een verpleegpost is vereist

- Begrijpen welke veiligheidsmaatregelen zijn vereist op een mobiel toestel - Weten hoe een server op een veilige manier kan worden voorzien - Begrijpen hoe een server veilig op internet kan worden gekoppeld - Begrijpen wat een veilige transmissie van gegevens betekent - Een impressie krijgen van maatregelen op het vlak van netwerkbeheer - Een begrip krijgen van het eHealth certificaat - Weten wat belangrijk is in de omgang met de ICT leverancier

13.06.2017 7

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS

Praktische toepassing: - De cursist krijgt een checklist mee die een beeld geeft van de sterktes en

zwaktes van de ICT omgeving en kan hiermee de ICT omgeving in kaart brengen.

- De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek.

13.06.2017 8

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


DEEL 4: VOORBEREIDEN OP INCIDENTEN/CONTINUÏTEIT

Objectief: 1. Reflectiemoment (uitgebreid) van IT 2. Het doel van deze sessie is inzicht te krijgen in de maatregelen die de organisatie moet nemen om incidenten te voorkomen en desgevallend te beheren. We gaan hierbij in op de procedures voor backup van gegevens, de minimale hersteltijden en de noodprocedures. Ook de vraag “Wat te doen bij een gegevenslek” wordt behandeld.

Praktische toepassing - De cursist krijgt een template mee voor het in kaart brengen van de

backup procedure. Idem voor incidentmanagement - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen

te worden opgenomen in het beleidshandboek.

13.06.2017 9

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


DEEL 5: WRAP UP: EEN STAP VERDER…

Objectief: 1. Reflectiemoment van Incident- en continuïteitsbeheer 2. Het doel van deze sessie is om de lessons learned toe te lichten, maar ook om het vervolgtraject te behandelen: naast de behandelde procedures, elke moeten in de toekomst nog verder worden ontwikkeld?

Praktische toepassing - Dit is het einde van het traject. Er zijn geen opdrachten meer

13.06.2017 10

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


PRAKTISCHE AFSPRAKEN

> Elke deelnemer krijgt een attest van deelname > Verloop van de opleiding • 09u30 – 12u00: sessie deel 1

- Broodjeslunch • 13u00 – 15u30: sessie deel 2

> Opdrachten tussen de sessies helpen bij de implementatie

> Slides: check steeds versiedatum!

> In de presentatie staan hyperlinks • Onderlijnde woorden • Figuren

13.06.2017 11

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DAG 4 – INCIDENTEN EN CONTINUITEITVoorbeelden van informatieveiligheidsincidenten

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


DEEL 4: INCIDENTEN EN CONTINUÏTEIT

13.06.2017 13

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



13.06.2017 14

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



13.06.2017 15

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



13.06.2017 16

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



13.06.2017 17

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DAG 4 – INCIDENTEN EN CONTINUITEITIncident management: omgaan met een incident

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Rollen en verantwoordelijkheden

• Wie moet op de hoogte gebracht worden? • Wie pakt het op?

13.06.2017 19

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Omgaan met een incident • Detecteren

• Identificeren

• Impact beperken

• Oplossen

• Activiteiten na het incident

13.06.2017 20

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Detecteren

• Monitoring en detectie: alerts, dashboards, mededelingen • Medewerkers moeten op de hoogte zijn van hun verantwoordelijkheden • Maak kenbaar dat men bij jou / de VC moet melden en hoe

• Informatie • Meldingformulieren • Mail templates • Ticketing systeem

13.06.2017 21

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Identificeren

• Wat is er aan de hand? Heeft een incident effectief plaats gevonden? • Wat is de impact op de organisatie? • Wat is de impact op persoonsgegevens?

• Vernietiging? • Verlies? • Misbruik? • Ongeoorloofde verstrekking of toegang?

• Escaleren?

13.06.2017 22

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Identificeren

• Classificatie matrix: urgentie en impact

13.06.2017 23

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Identificeren

• Classificatie matrix: urgentie en impact

13.06.2017 24

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Identificeren

• Identificeren van kritieke incidenten niet evident, voorbeeld:

• Een deel van de data communicatie ligt plat

• Belangrijke databases zijn corrupt

• Ransomware breidt zich uit in het netwerk

• Gevoelige persoonsgegevens zijn staan op een publiek forum

13.06.2017 25

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Identificeren

Eigenschappen van kritieke incidenten:

• Een groot aantal gebruikers of enkele belangrijke gebruikerskunnen mogelijk geen gebruik maken van diensten of systemen.

• Een aantal systemen die belangrijk zijn voor de uitvoering van kerntaken van het WZC zijn niet beschikbaar of onbruikbaar

• De kosten (inclusief gevolgschade) voor gebruikers / bewoners of voor het WZC zijn aanzienlijk of kunnen aanzienlijk worden.

• Het incident leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Het WZC zou reputatieschade kunnen oplopen of een boete kunnen krijgen

13.06.2017 26

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Impact beperken

• Welk acties kun je onmiddellijk / snel nemen? B.v.: • Geinfecteerde systemen afkoppelen van netwerk • Slotenmaker in geval van inbraak • Tijdelijk afsluiten lokaal / locatie • Voorzien reserve toestel • Inschakelen backup systeem

• Communicatie?

13.06.2017 27

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Oplossen

• Prioriteit • Wie heb je nodig? • Wat heb je nodig?

Let op: als VC / DPO ga je zelf meestal niet rechtstreeks betrokken zijn bij het oplossen van een incident maar ondersteun je rond de coordinatie en rapportage / vastlegging.

13.06.2017 28

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Activiteiten na het incident

• Rapporteren • Wat was de gebeurtenis? • Wie heeft de feiten vastgesteld? • Wanneer heeft de gebeurtenis plaatsgevonden? • Wanneer is de gebeurtenis vastgesteld? • Hoe werd het vastgesteld? • Wat was de oorzaak?

13.06.2017 29

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Activiteiten na het incident

• Evalueren: gelet op het incident, wat kunnen we hier uit leren? • Welke maatregelen kunnen worden genomen om het

incident te voorkomen? • Tijdens het behandelen van het incident, wat had er

beter gekund?

13.06.2017 30

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Incident 1: Dienstverlener: gegevens ziekenhuizen op internet Incident 2: Ziekenhuis: diefstal laptop met patientgegevens Incident 3: Datalek in website leidt tot gegevenslek Incident 4: Gerichte aanval via phishing mail Belgcaom techies Incident 5: Internet onbeschikbaar wegens storing Telenet

Detecteren, identificeren, impact beperken, oplossen, rapportering en evaluatie

Oefening: Aanpak incident management gaan toepassen op de getoonde voorbeelden.

Oefening 2: Stel dit incident doet zich morgen binnen jouw organisatie voor, hoe zou men er in de huidige situatie mee omgaan? Welke lessen zijn daar uit te trekken?

13.06.2017 31

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DAG 4 – INCIDENTEN EN CONTINUITEITMeldingsplicht uit de GDPR / AVG

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Wat is een datalek in de GDPR / AVG? (definitie)

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens

Dus alles dat de vertrouwelijkheid, integriteit of beschikbaarheid van de persoonsgegevens die verwerkt worden in gevaar kunnen brengen

13.06.2017 33

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Hoe kenbaar maken?

• Verantwoordelijke informeert DPA

• “zonder onredelijke vertraging” en indien mogelijk… binnen de 72 uur, anders motiveren waarom later

• Verwerker informeert Verantwoordelijke

Formulier Privacycommissie: https://www.privacycommission.be/nl/melding-gegevenslekken-algemeen

13.06.2017 34

https://www.privacycommission.be/nl/melding-gegevenslekken-algemeen

https://www.privacycommission.be/nl/melding-gegevenslekken-algemeen

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Wat kenbaar maken?

- Aard van de inbreuk - Categorieën persoonsgegevens - Aantal betrokkenen - Naam DPO/contactpersoon - Gevolgen - Beperkende maatregelen

Daarnaast geldt ook een documentatieplicht!

13.06.2017 35

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Hoe kenbaar maken aan betrokkene? - Verantwoordelijke informeert betrokkene

- Wanneer de inbreuk een grote inbreuk is op de privacy van de betrokkene behalve indien

- Passende technische maatregelen - Wanneer maatregelen zijn genomen om de impact alsnog te beperken - “onevenredig veel moeite”➔ publiek

- Kan door DPA worden opgelegd.

13.06.2017 36

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Hoe kenbaar maken aan betrokkene?

- Verstaanbare, duidelijke taal

- Aard van de inbreuk

- Naam DPO/contactpersoon

- Gevolgen

- Mitigerende maatregelen

13.06.2017 37

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Communicatie bij een incident

13.06.2017 38

Community/Hacker

FCCU

Journalisten

Public fora / Social networks

Data Processor

DPA

Bewoner

DPO

Intern (IT, medew, …)

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


MOGELIJKE MELDINGSTECHNIEKEN ONDER GDPR

13.06.2017 39

Context van de data (DPC – Data Processing Context) Risico op identificatie (EI – Ease of Identification) Omstandigheden van de gegevenslek (CB – Circumstances Breach)

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DAG 4 – INCIDENTEN EN CONTINUITEITContinuïteitsbeheer

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Continuïteitsbeheer

https://www.youtube.com/watch?v=cxE940f7iq0

13.06.2017 41

https://www.youtube.com/watch?v=cxE940f7iq0

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Continuïteitsbeheer

Garanderen van de beschikbaarheid persoonsgegevens i.h.k.v. de vereiste dienstverlening

Dan dient eerst die dienstverlening op punt te staan:

- Een onveilige, slecht functionerende dienstverlening met uitstekend continuïteitsbeheer is

omgekeerde volgorde

- Continuïteitsbeheer heeft zijn plaats in het veiligheidsplan, maar in eerste instantie is er

ander werk

13.06.2017 42

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Continuïteitsbeheer, of BCM (Business Continuity Management)

Bedrijfscontinuïteitsmanagement (BCM) kan gedefinieerd worden als het beheersproces dat risico’s identificeert en beperkt, de mogelijke impact van een onderbreking van een (tijds)kritiek bedrijfsproces en ondersteunende systeem minimaliseert met als ultieme doel het tijdig herstellen van de kritische bedrijfsprocessen

13.06.2017 43

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Voorbeeld aanpak continuïteit:

• Fase I: Project management en initiatie • Fase II: Business impact analyse • Fase III: Recovery strategieën • Fase IV: Plan, ontwerp, ontwikkel • Fase V: Implementeer • Fase VI: Testen • Fase VII: Onderhoud en sensibilisering

Noot: afhankelijk van framework (SANS, BCI, ISC2, etc.) meer of minder fases, maar is overal algemeen zelfde onderwerpen, alleen andere indeling

13.06.2017 44

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Om kritische bedrijfsprocessen te onderkennen moeten die vastgesteld zijn, daarna gebeurt een risico analyse.

Praktisch: welke vragen te beantwoorden?

• Welke zijn onze kritische bedrijfsprocessen / kerntaken? • Intake van bewoners, bieden van hulpverlening, beheren van dossiers,

doorsturen van informatie uit die dossiers naar bevoegde instanties, ... • Onderverdeling naar b.v. kritisch (moet binnen 48u hersteld zijn)

essentieel (binnen 14 dagen) en noodzakelijk (binnen 40 dagen) • Wat is er minimaal nodig om deze processen te laten functioneren?

• Welke hardware, welke mensen, wanneer is het proces niet meer mogelijk?

• Welke risico’s tav voorgaande zien wij als voorziening? • b.v. het risico dat proces X pas binnen 3 dagen weer operationeel is

omdat men dan pas weer aan de server kan

13.06.2017 45

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



De risico’s zijn in kaart gebracht, mogelijke risico strategieën:

• Accepteren: risico is in kaart gebracht, gevolgen zijn bekend en men besluit het risico te accepteren

• Ontwijken: men besluit een risico uit te sluiten door b.v. een bepaalde locatie te sluiten en het samenhangende risico te verwijderen

• Overdragen: het risico wordt overgedragen aan een andere partij door b.v. verzekering af te sluiten

• Beheersen: er worden interne maatregelen genomen om het geconstateerde risico te beperken

13.06.2017 46

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



Bedenk voor de genoemde voorbeelden de mogelijke wijzen om om te gaan met het risico op basis van de 4 mogelijke strategiën: • Accepteren

• Ontwijken

• Overdragen

• Beheersen

13.06.2017 47

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


OPDRACHT

Maak een werkpostfiche voor de verpleegafdeling met als doel: wat te doen bij een uitval van de ICT voorzieningen.

Vraag 1: Welke ICT diensten hebben een impact op de werking van de verpleegpost? Vraag 2: Welke problemen kunnen zich voordoen? Vraag 3: Welke oplossingen voorzie je?

… en hoe dit inbedden in de organisatie?

13.06.2017 48

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DAG 4 – INCIDENTEN EN CONTINUITEITNIS directive

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


OUTLINE NIS DIRECTIVE

• Doel: Richtlijn ter standaardisering van minimale beveiliging binnen bepaalde industrieën en sectoren

• Toepassing: Essentiële diensten/Digitale dienstverleners (vb AWS, Azure, search engines, …) • Kernboodschap:

Verplichte melding van incidenten aan CSIRT Mogelijkheid om een audit te ontvangen over

Veiligheidsstatus en de documentatie van veiligheidsbeleid Bewijs dat security policies correct zijn geïmplementeerd

Resultaten van audits (self assessment) voorleggen • Opmerking: In nationale wetgeving tegen mei 2018

13.06.2017 50

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


OVERZICHT DATALEKKEN IN BELGIË

> https://www.slideshare.net/Johan_Vdd/incidentdata-breach-notification-flow-chart-belgian-law-future-situation?from_action=save

13.06.2017 51

https://www.slideshare.net/Johan_Vdd/incidentdata-breach-notification-flow-chart-belgian-law-future-situation?from_action=save





//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


MOGELIJKE KOPPELING

> Cyber security verzekeringen helpen zowel bij de preventie als het oplossen van een cyber security probleem.

13.06.2017 52

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DAG 4 – INCIDENTEN EN CONTINUITEITImpact analyse voor de verwerking van persoonsgegevens

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


GOOD READING STUFF

> http://www.piafproject.eu/ref/PIAF_D3_final.pdf

13.06.2017 54

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


OVER EEN DPIA

• Doel: Specifieke waarschijnlijkheid/ernst risico’s

beoordelen

• Wat beoordelen? De geplande maatregelen om

• de geïdentifceerde risico’s te beperken,

• de persoonsgegevens te beschermen

• aan te tonen dat aan deze verordening is voldaan

• Door wie? Verantwoordelijke verwerking op advies

van DPO (indien aangesteld)

13.06.2017 55

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


WANNEER UIT TE VOEREN?

• wanneer verwerking gebruik maakt van biometrie ter identificatie betrokkenen;

• wanneer de verwerking gebruik maakt van genetische gegevens;

• persoonsgegevens ingezameld bij derden dienstverlening te weigeren/stoppen

• financiële solvabiliteit van de betrokkene te beoordelen • Risicoprofiel betrokkene opmaken in kader dienstverlening

aan de betrokkene • Inbreuk op persoonsgegevens zou fysieke gezondheid van de

betrokkene in gedrang brengen • Verwerking financiële/gevoelige persoonsgegevens die

(her)gebruikt worden voor doeleinde andere dan degene waarvoor ze werden ingezameld, tenzij

• Toestemming • Noodzakelijk is voor wettelijke verplichting

13.06.2017 56

https://www.privacycommission.be/sites/privacycommission/files/documents/CO-AR-2016-004_NL.pdf

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


WANNEER UIT TE VOEREN?

• Persoonsgegevens zullen door verwerking ter beschikking worden gesteld aan grote groep

• Persoonlijke aspecten worden geëvalueerd (zie eerder, economische situatie, gezondheid, …)

• Profiling op grote schaal • Grootschalige verwerking persoonsgegevens kinderenvoor

andere dan oorspronkelijke doeleinden • Meerdere verwerkingsverantwoordelijken zijn van plan een

gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele sector, of een segment daarvan, of voor een gangbare horizontale activiteit en waarbij gebruik gemaakt wordt van gevoelige gegevens;

• De kennis, prestaties, vaardigheden of mentale gezondheidstoestand van leerlingen registeren en de evolutie ervan op te volgen, met name aan de hand van leerlingvolgsystemen, ongeacht of deze leerlingen zich in het primair, secundair, tertiair of universitair onderwijs bevinden.

13.06.2017 57

https://www.privacycommission.be/sites/privacycommission/files/documents/CO-AR-2016-004_NL.pdf

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


WAT STAAT ER IN EEN DPIA?

• Beschrijving verwerking en

verwerkingsdoel

• Noodzaak/evenredigheid in functie van

doelen

• Risico’s op rechten en vrijheden

• Maatregelen

13.06.2017 58

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


MOGELIJKE RISICO’S

13.06.2017 59

Risico Toelichting

Onduidelijke finaliteit

Er is geen duidelijke definitie waarom de data wordt verzameld vb “ter verbetering van de producten”

Te veel gegevens verzamelen

Vb naast het aanbieden van een betalingsdienst ook het koopprofiel bewaren

Verwerking is niet transparant

Vb Digitale TV verzamelt gegevens over voice commando’s maar het is niet duidelijk hoe de klant zijn privacy rechten kan uitoefenen

Combinatie van gegevensbronnen

Vb Facebook gebruikt whattsapp info, Google gebruikt info van de NEST thermostaat

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



13.06.2017 60

Risico Toelichting

Ongeldige toestemming

Vb een garantie van een TV toestel geldt enkel nadat het toestel is geregistreerd. Bij de registratie worden ook kijkgegevens vrijgegeven

In het geheim informatie verzamelen

Vb Info doorsturen de overdracht van debug informatie in een besturingssysteem

De onmogelijkheid om toegang te geven tot de data

Vb Je maakt gebruik van een cloud dienst waarbij je de rechten van de betrokkene niet kan doen gelden (je kan als vvdv de gegevens niet opvragen)

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



13.06.2017 61

Risico Toelichting

Geen mogelijkheid recht op verzet

Vb loper kan niet deelnemen zonder het dragen van een RFID tag

Geen transparantie in beslissingen

De onmogelijkheid om toelichting te geven bij het verwerkingsalgoritme

Problemen met toegangsbeheer

Alles of niks toegang in onderliggende software

Authenticatie-problemen

Vb geen toegangsbeheer in de black box van de wagen

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////



13.06.2017 62

Risico Toelichting

Geen mogelijkheid recht op verzet

Vb loper kan niet deelnemen zonder het dragen van een RFID tag

Geen transparantie in beslissingen

De onmogelijkheid om toelichting te geven bij het verwerkingsalgoritme

Problemen met toegangsbeheer

Alles of niks toegang in onderliggende software

Authenticatie-problemen

Vb geen toegangsbeheer in de black box van de wagen

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


OEFENING

> Wat zijn specifieke risico’s in uw WZC?

13.06.2017 63

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

backup, storage, virtualization

BCM VS DRP – GEFASEERDE AANPAK

13/06/17 64

Mobiel data center

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

backup, storage, virtualization

BCM VS DRP – GEFASEERDE AANPAK

13/06/17 65

Mobiel office center

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

EINDE

dag 4 – incidenten en continuiteit · incident 4: gerichte aanval via phishing mail belgcaom...

Documents