impact nieuwe wetgeving privacy en...
TRANSCRIPT
![Page 1: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/1.jpg)
Ontzorgt!
Impact nieuwe wetgeving privacy en cybercriminaliteit
Kennissessie November 2015
![Page 2: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/2.jpg)
Agenda:
Waarom weerbaarheid vergroten in het digitale domein Gevolgen Meldplicht datalekken en highlights EU privacy verordening Waar krijgen privacy en cybercrime een plek en waar corporaties aan kunnen denken in hun eigen omgeving.
een nieuw geluid
Jan Matto Mazars, IT audit en adviesactiviteiten
Hans Bosma Kwaliteitsmanager en Security Coördinator NCCW
Edwin Versteegt Enterprise architect, Stuurgroep VERA
![Page 3: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/3.jpg)
Ontzorgt!
WEERBAARHEID IN HET DIGITALE DOMEIN
Edwin Versteegt
![Page 4: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/4.jpg)
Ontzorgt!
Agenda
• Ontwikkelingen
• Actoren
• Dreigingen
• Kwetsbaarheden
• Belang
![Page 5: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/5.jpg)
Ontzorgt!
Ontwikkelingen
• Ransomware Cryptoware en ransomware is het cybercriminele businessmodel bij uitstek
• Geopolitieke spanningen Manifesteren zich steeds vaker in dreigende inbreuken op digitale veiligheid
• Phishing veel gebruikt in gerichte aanvallen en is dan nauwelijks te herkennen
• Beschikbaarheid (DDoS) wordt belangrijker nu alternatieven voor ICT systemen verdwijnen
• Kwetsbaarheden software zijn nog altijd de achilleshiel van digitale veiligheid
Bron: Cybersecuritybeeld Nederland 2015
![Page 6: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/6.jpg)
Ontzorgt!
Praktijkvoorbeelden
![Page 7: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/7.jpg)
Ontzorgt!
Actoren
• Beroepscriminelen
• Cybervandalen / scriptkiddies
• Hacktivisten
• Interne actoren
• (ex-)medewerkers
• Inhuur
• Leveranciers
• Cyberonderzoekers
• Private organisaties
Het is voor een crimineel allang niet meer nodig om digitale vaardigheden te bezitten om gebruik te kunnen maken van digitale aanvallen
Bron: Cybersecuritybeeld Nederland 2015
![Page 8: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/8.jpg)
Ontzorgt!
Actoren
Bron: Cybersecuritybeeld Nederland 2015
![Page 9: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/9.jpg)
Ontzorgt!
Actoren
Bron: Cybersecuritybeeld Nederland 2015
![Page 10: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/10.jpg)
Ontzorgt!
Dreigingen
• Ransomware
• Mobiele platformen
• Tooling
• Denial of Service
• Misbruik van diensten
• Phishing
• Internetgebruik
• Java
• WIFI routers
Door het succes van spearphishing is deze vorm van social engineering de primaire aanvalssector voor digitale spionage
![Page 11: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/11.jpg)
Ontzorgt!
Kwetsbaarheden
• Imago
• Cloud infrastructuur
• Up to date software
• Medewerker
• Phishing / ransomware / inlog
• Firmware
• Mobiele netwerk
• Transportlaag
![Page 12: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/12.jpg)
Ontzorgt!
Belang
• Verminderd vertrouwen (imago) remt bedrijvigheid
• Nieuwe toepassingen / nieuwe kwetsbaarheden (continuïteit)
• Belang voor de sector is groot, maar stabiel
– Betrouwbaarheid
– Voorbereid zijn op inbreuken
– Beschikbaarheid
![Page 13: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/13.jpg)
Ontzorgt!
Klanten
• Security is een hype en er zijn veel aanbieders die zeer commerciële voorstellen doen voor beveiliging
• Discussie gestart over het zwart maken van het BSN nummer op de kopie van paspoort of rijbewijs
• Interne servers met persoonsgegevens in een niet afgesloten ruimte
• Vragen over beveiliging en autorisaties
• In PVE expliciet richtlijnen informatiebeveiligingsbeleid en afscherming van informatie
• Selectie van ‘veilige’ software
![Page 14: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/14.jpg)
Ontzorgt!
MELDPLICHT DATALEKKEN EN EU PRIVACY VERORDENING
Jan Matto, Mazars
![Page 15: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/15.jpg)
EU Privacyverordening en
Meldplicht Datalekken
NCCW, Almere
Jan Matto, 24 november 2015
Maturing Business
Information Security
Copyright Mazars
![Page 16: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/16.jpg)
Email: [email protected]
@Jan_Matto
Partner Mazars Management Consultants
Centre of Excellence voor IT-audit & -advisory
Digital Trust & Transparency
Andere professionele activiteiten:
Stuurgroep Permanente Educatie Register-
accountants IT en assurance, Veritas / VERA)
NOREA Commissie SOC2
Commissie Zekere Verbindingen, EZ,ECP,DHPA
Commissie van toelating / visitatie NOREA
Redactie Handboek EDP-auditing Kluwer/NBA
Publicaties over IT audit en IT security
Colleges aan verschillende universiteiten
16
Even voorstellen:
![Page 17: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/17.jpg)
Voorbeelden van projecten:
Onderzoek datalek en informatiebeveiliging Nza
Onderzoek biometrische gezichtherkenningsystemen grensbewaking (No-Q)
Privacy en security certificering Fraude detectiesystemen
Privacy Impact assessment identity management systemen (eID Stelsel)
Privacy en security audit Electronische Nederlandse IdentiteitsKaart (eNIK)
Privacy Impact Assessment Central Bank of Ireland, Credit Register
Project assurance Belgische eID systeem
Assurance services voor IT Service Providers
Third Party Rapportages, ISAE3402 audits en DigiD Assessments
Mediation IT projecten / project recovery / calamiteiten
17
![Page 18: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/18.jpg)
This presentation
could include
shocking visions
![Page 19: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/19.jpg)
![Page 20: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/20.jpg)
Overheid is verantwoordelijk voor een betrouwbaar identiteitenstelsel in
de reële wereld én in de virtuele wereld.
20
Identiteitsfraude in Nederland: • Circa 5,6% van de burgers in de periode 2007 - 2011 (4 jaar) is slachtoffer van
identiteitsfraude. • In de jaren 2007 - 2012 (6 jaar) is dit circa 13,3 %. • Van deze slachtoffers heeft een deel financiële schade geleden: naar schatting 9,5% van de
gehele bevolking. • Over 2012 is berekend dat tussen de 672.787 en 869.816 burgers slachtoffer zijn geweest,
die gezamenlijk tussen de 393 en 508 miljoen euro schade hebben geleden. • DigiD uiterlijk 2017 vervangen door nieuw systeem BRON: 2 april 2013, Brief minister Plasterk en bijbehorende rapportage over de Voortgang Toekomstbestendigheid Identiteitsinfrastructuur naar de Kamer. https://www.rijksoverheid.nl/documenten/kamerstukken/2013/04/02/kamerbrief-voortgang-toekomstbestendigheid-identiteitsinfrastructuur
![Page 21: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/21.jpg)
Huidige privacy verordening dateert uit 1995 en is de basis voor de huidige Wet Bescherming Persoonsgegevens: http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:31995L0046&from=en
12 maart 2014: EU parlement stemt voor EU Privacy Verordening (EPV) 7 juli 2015: Meldplicht Datalekken van kracht per 1 januari 2016 https://zoek.officielebekendmakingen.nl/dossier/33662/kst-33662-25?resultIndex=1&sorttype=1&sortorder=4
22 oktober 2015: CBP publiceert Concept Boetebeleidsregels https://www.cbpweb.nl/sites/default/files/atoms/files/boetebeleidsregels_cbp_def_consultatieversie.pdf
http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:52012PC0010&from=EN
![Page 22: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/22.jpg)
Dit betekent per 1 januari 2016:
Melden van een datalek binnen 2 werkdagen bij Autoriteit Persoonsgegevens
Informeren van betrokkenen / geregistreerden
Overtredingen kunnen tot boete leiden van:
Maximaal € 810.000
of
10% van de netto jaaromzet
Dat wat passend wordt geacht
![Page 23: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/23.jpg)
Enige context bij de Privacy Wet– en Regelgeving Algemeen privacy:
• Europees Verdrag Rechten van de Mens
(EVRM: privacy, zelfbeschikking, vrije nieuwsgaring, privacy)
• Realisatie van een IT systeem met verwerkingen van persoonsgegevens impliceert meestal een inbreuk op grondrecht van de bescherming van de persoonlijke levenssfeer
• Voortgaande digitalisering van maatschappij en economie vergroot de risico’s
Maar er zijn ook andere maatschappelijke ontwikkelingen en risico’s:
• Identiteitsdiefstal / -fraude
• Wantrouwen in digitale en eGovernment services
• Risico voor economische groei
• Verstoringen van marktwerkingen
• Politieke en Bestuurlijke risico’s
• ……..
![Page 24: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/24.jpg)
Enkele andere begrippen uit de Privacy Wet- en Regelgeving
1. Persoonsgegevens 2. Bijzondere / gevoelige persoonsgegevens • Stigmatiserende gegevens • Digitale identificerende gegevens • Bijzondere digitale identificerende gegevens (BSN)
3. Kwetsbare groepen 4. Verantwoordelijke 5. Bewerker 6. Bewerkerovereenkomst
![Page 25: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/25.jpg)
• universele Privacy Principes
Grondslag, noodzakelijkheid,
Proportionaliteit, subsidiariteit
Verantwoording
Transparantie
Doelbinding
Data kwaliteit
Gegevensminimalisatie
Privacy Enhancing Technologies (PET)
Privacy by Design (PbD)
Beveiliging
Rechten individu:
- user consent,
- inzage, correctie
- recht om vergeten te worden
Derde landen buiten EER
Elke situatie is anders: Regels Principes Context bepaalt Karakteristieken IT technologie Andere risico’s
Wicked problems:
![Page 26: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/26.jpg)
Universele privacy risico’s
‘Data deluge'-effect
Ontstaan “hotspots”
Waardestijging van persoonsgegevens
‘Function creep’
Inconsistente implementatie en naleving verantwoordingsbeginsel
Geheime (niet transparante) verwerking van persoonsgegevens
Niet toegestane verwerking van persoonsgegevens buiten de EER
Datalekken
Specifieke risico’s ten aanzien van biometrische identificatie en authenticatie
Onrechtmatig gebruik identificerende gegevens, zoals BSN nummers
![Page 27: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/27.jpg)
Noodzaak tot transparantie en compliance / ander gedrag van stakeholders
Bits of Freedom
Journalisten
Politiek
Hackers
Overheid Toezichthouders Privacy toezichthouders
Burgerrechten & privacy beschermers
Citizens, Consumers, Society
27
![Page 28: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/28.jpg)
Highlights Meldplicht Datalekken in de Wet Bescherming Persoonsgegevens
![Page 29: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/29.jpg)
Enkele Highlights Meldplicht Datalekken (1)
• Stel vast of verwerkingen onder de Meldplicht Datalekken vallen
(niet alle verwerkingen vallen onder de meldplicht)
• Maak afspraken met Bewerkers! Bewerkerovereenkomst
• Maak afspraken over wie meldt: Bewerker en/of Verantwoordelijke
• Spreek procedure af voor tijdige melding
• Let op bij bewerkers in andere landen / EU lidstaten die de meldplicht niet kennen afspraken in Bewerkerovereenkomst
![Page 30: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/30.jpg)
Enkele Highlights Meldplicht Datalekken (2)
Wat is een datalek:
• Onbevoegde kennisname (intern of extern!)
• Onrechtmatige verwerking
• Onrechtmatige verstrekking
• Hack / inbraak in systeem / falende externe beveiliging
• Falende interne / externe beveiliging
• Verlies van gegevensdragers / laptops etc
• Ook het verloren gaan van gegevens is een datalek!
Bij datalek verplichting om zo mogelijk de negatieve gevolgen van een datalek voor betrokkenen beperken! (Bijv. resetten inlogcodes / wachtwoorden).
![Page 31: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/31.jpg)
Wanneer moet gemeld worden bij:
A) Autoriteit Persoonsgegevens?
B) Betrokkenen
A) Vanwege het datalek is sprake van een (aanzienlijke kans op) ernstige nadelige gevolgen voor de Bescherming van Persoonsgegevens
B) Vanwege het datalek is sprake van mogelijk ernstige nadelige gevolgen voor betrokkenen
Ernst datalek = aard van persoonsgegevens x volume aan betrokkenen
Er zijn bijzondere omstandigheden waaronder niet gemeld hoeft te worden
Casusposities beschreven in de consultatieversie richtsnoeren Meldplicht Datalekken
Enkele Highlights Meldplicht Datalekken (3)
![Page 32: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/32.jpg)
Enkele Highlights Meldplicht Datalekken (5)
• een kwijtgeraakte USB-stick; • een gestolen laptop; • een inbraak door een hacker; • verzending van e-mail waarin de e-mailadressen van alle geadresseerden
zichtbaar zijn voor alle andere geadresseerden; • een malware-besmetting; • een calamiteit zoals een brand in een datacentrum.
Door CBP genoemde voorbeelden:
![Page 33: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/33.jpg)
Enkele Highlights Meldplicht Datalekken (6)
Voorbeeld wel / geen datalek (onrechtmatige verwerking van persoonsgegevens) Een werknemer geeft aan een derde de gebruikersnaam en het wachtwoord die toegang geven tot alle klantgegevens van alle klanten van het bedrijf waar hij werkt. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de derde geen toegang meer heeft. Daarna onderzoekt het bedrijf of de derde daadwerkelijk toegang heeft gezocht tot de klantgegevens. Bij dit onderzoek maakt het bedrijf gebruik van logbestanden, waarin per gebruikersnaam is vastgelegd welke acties er op welk tijdstip zijn uitgevoerd met welke klantgegevens. Als de logbestanden intact en betrouwbaar zijn, en als op basis van de logbestanden redelijkerwijs kan worden uitgesloten dat er door middel van het betreffende account toegang is verkregen tot de klantgegevens, dan is er uitsluitend sprake van een beveiligingslek en niet van een datalek.
![Page 34: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/34.jpg)
Highlights Europese Privacy Verordening
![Page 35: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/35.jpg)
Enkele highlights EU Privacy verordening (1)
• Verhoging van sancties bij niet naleving
overheid = bedrag tot 1 miljoen,
bedrijfsleven 100 miljoen of tot 5% wereldwijde jaaromzet
• Verplichtingen tot uitvoering van privacy impact assessment (PIA)
al geadopteerd door NL overheid in 2013
• Benoeming van een functionaris voor de gegevensbescherming (FG)
• Verplichting tot Privacy Enhancing Technologies (PET)
en Privacy by Design (PbD)
![Page 36: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/36.jpg)
Privacy Impact Assessment: preventief, voordat het te laat is ……
36
![Page 37: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/37.jpg)
Aanpak en structuur van de PIA eID Stelsel
Wet- en regelgeving
PIA richtlijn
Rijksoverheid
PIA richtlijn NOREA
Literatuur
Privacy principes Privacy risico’s
Ontwerp / maatregelen
Context IT systeem / verwerking persoonsgegevens
Bevindingen Mapping: principes, risico’s, maatregelen
IT werkelijk-heid
![Page 38: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/38.jpg)
• Universele Privacy Principes als basis voor een PIA
Grondslag, noodzakelijkheid,
Proportionaliteit, subsidiariteit
Verantwoording
Transparantie
Doelbinding
Data kwaliteit
Gegevensminimalisatie
Privacy Enhancing Technologies (PET)
Privacy by Design (PbD)
Beveiliging
Rechten individu:
• - user consent,
• - inzage, correctie
• - recht om vergeten te worden
Derde landen buiten EER
Elke situatie is anders: Regels Principes Context bepaalt Karakteristieken IT technologie Andere risico’s
Wicked problems:
![Page 39: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/39.jpg)
Universele Privacy Risico’s als basis voor een PIA
‘Data deluge'-effect
Ontstaan “hotspots”
Waardestijging van persoonsgegevens
‘Function creep’
Inconsistente implementatie en naleving verantwoordingsbeginsel
Geheime (niet transparante) verwerking van persoonsgegevens
Niet toegestane verwerking van persoonsgegevens buiten de EER
Datalekken
Specifieke risico’s ten aanzien van biometrische identificatie en authenticatie
Onrechtmatig gebruik identificerende gegevens, zoals BSN nummers
![Page 40: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/40.jpg)
Mapping principes, risico’s, maatregelen PRIVACY PRINCIPE Privacyrisico’s
ID DD FC IV NT NE DL OB GC Verantwoording x x x x x x Limiteren van het verzamelen van gegevens x x x x x Doelbinding / limiteren van het gebruik van gegevens x x x x x x x Gegevenskwaliteit x x Beveiliging van gegevens ( Privacy by Design/Privacy Enhancing Technologies) x x x x x Transparantie x x x x Rechten van betrokkenen x x x x x
ID: Identiteitsfraude DD: Data deluge'-effect
WA: Waardestijging van persoonsgegevens FC: ‘Function creep’
OU: Onrechtmatig gebruik van uniek identificerende gegevens PF: Profiling VB: Verkeerde behandeling in sociaal en economisch maatschappelijk verkeer SK: Stigmatisering door koppeling van gegevens
IV: Inconsistente implementatie en naleving verantwoordingsbeginsel NT: Geheime (niet transparante) verwerking van persoonsgegevens NE: Niet toegestane verwerking van persoonsgegevens buiten de EU
CC: Nieuwe ontwikkelingen op het terrein van cloud computing waarbij gegevens over de gehele wereld kunnen worden verplaatst.
DL: Data lekken OB: Omkering van de bewijslast voor de betrokkene GC: Consumenten worden gedwongen om in te stemmen met het gebruik van hun gegevens
![Page 41: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/41.jpg)
Enkele Highlights EU Privacy Verordening (2) • Hanteren van Privacy Principes (onder andere OESO)
• Hanteren van maatregelen beperken Privacy Risico’s
– Privacy by design
– Privacy Enhancing Technologies
– Security naar de stand van de techniek
• Respecteren rechten van betrokkenen (geregistreerden) bij datalek
• Rechten van kwetsbare groepen (zoals: kinderen, BN’ers, ex gedetineerden,
lotto winnaars, etc etc)
• Extra aandacht voor stigmatiserende gegevens
![Page 42: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/42.jpg)
Conclusies en Aanbevelingen direct te nemen acties ivm Meldplicht Datalekken (1)
1. Alle registraties van persoonsgegevens moeten voldoen
aan de eisen van de WBP (straks EU Privacy Verordening)
2. Beveilig in elk geval systemen aantoonbaar op een deugdelijk niveau • Gebruik algemeen aanvaarde normen
• Need-to-know
• Weet wie, wanneer met welke rechten toegang heeft
• Logging en detectiemechanismen
• Toets- en evalueer beveiliging regelmatig
3. Inventariseer de verwerkingen van persoonsgegevens
4. Maak de aard en opzet van de verwerkingen transparant
5. Classificeer de verwerkingen naar privacy risico’s
6. Tref zo nodig aanvullende privacy bevorderende maatregelen
![Page 43: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/43.jpg)
Direct te nemen acties ivm Meldplicht Datalekken (2)
7. Leg doelbindingen vast
8. Ga na of verwerkingen gemeld moeten worden bij CBP
(let op: vrijstellingenbesluit WBP)
9. Stel een informatiebeveiligingsbeleid- en plan op
10. Beleg verantwoordelijkheden.
TIP 1: Documenteer en leg bewijsvoering vast TIP 2: Toetsregelmatig veiligheid en toon dat aan TIP 3: Overweeg privacy audit / privacy impact assessment
![Page 44: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/44.jpg)
Tijd voor vragen en discussie
44
![Page 45: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/45.jpg)
Dank voor uw aandacht
Copyright Mazars
Jan Matto
Email: [email protected]
Twitter: Jan_Matto
Mobiel: 06 535 78 232
![Page 46: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/46.jpg)
Ontzorgt!
PRAKTIJKERVARINGEN PRIVACY EN CYBERCRIME
Hans Bosma
![Page 47: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/47.jpg)
Ontzorgt!
Even voorstellen
• Procesmanager
• Kwaliteit
• Security
• Contracten
Email: [email protected]
![Page 48: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/48.jpg)
Ontzorgt!
Maatregelen
• De mens
• Wetgeving
• De techniek
• Samenwerking
• Responsible disclosure
![Page 49: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/49.jpg)
Ontzorgt!
Maatregelen
• Risicomanagement
– Maak een risicoanalyse
• Beleid vaststellen
– Informatie Beveiliging Beleid
– Stel maatregelen op
– Stel beleid voor de maatregelen op
• Contract management
– Bewerkerscontracten / keten
![Page 50: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/50.jpg)
Ontzorgt!
De mens
• E-learning les
• Nieuwsbrief
• Awareness programma
• Phishing experience
• Volgen bijeenkomsten Bewuste en bekwame gebruikers gedragen zich veiliger
![Page 51: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/51.jpg)
Ontzorgt!
Wetgeving
• WBP / Wet datalekken
• Europese verordening bescherming persoonsgegevens
– Architectuur Principes
– Beheersmaatregelen NCCW • ISAE 3402 type 2
– ISO 27001/ISO27002
– ICT richtlijnen beveiliging webapplicaties
![Page 52: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/52.jpg)
Ontzorgt!
De techniek
• Ontwikkelingen
– Privacy by design
– Richtlijnen voor ontwikkelingen
– Vulnerability en pen testen
– Detectie
• Nieuwe ontwikkelingen
– Tweefactor authenticatie
– Cryptografie
![Page 53: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/53.jpg)
Ontzorgt!
Samenwerking
• Functionaris gegevensbescherming
• Melden van incidenten
• Oplossen volgens procedures
• Inrichten en oefenen van scenario's bij datalekken
![Page 54: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/54.jpg)
Ontzorgt!
Responsible disclosure
• Ethische hackers
• Melding en oplossen kwetsbaarheden
• Vrijpleiten hacker
![Page 55: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/55.jpg)
Ontzorgt!
Aan de slag
• Security op de kaart
• Awareness
• Toetsen wettelijke vereisten
– Privacy Impact Assessment, iteratief en dynamisch, maatwerk
– Informatie naar betrokkene / recht van rectificatie
– Privacy by design
• Bewerkerscontracten
• Beveiliging
• Functionaris gegevensbescherming
• Aansprakelijkheid
• Opzetten template scenario datalekken
![Page 56: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/56.jpg)
Ontzorgt!
Ondersteuning
• Uitvoeren van een Privacy Impact Assessment
• ICT security check
• E-learning module Informatiebeveiliging
• Privacy Awareness kennissessie op locatie
• Optimalisatie Beveiliging
![Page 57: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/57.jpg)
Ontzorgt!
VRAGEN?
![Page 58: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/58.jpg)
Welkom bij het nieuwe geluid van NCCW.
Hartelijk bedankt voor uw aandacht!
![Page 59: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/59.jpg)
Strategie NCCW
Maximaal Digitaal
Ketensamenwerking
Keuzevrijheid / wendbaarheid
Ontzorgen
Procesautomatisering
![Page 60: Impact nieuwe wetgeving privacy en cybercriminaliteitdownload.nccw.nl/PresentatieKennissessieImpactPivacyenDa... · 2015. 11. 25. · NCCW, Almere Jan Matto, 24 november 2015 Maturing](https://reader034.vdocuments.site/reader034/viewer/2022052021/6035ba2daee08c6d46212bf6/html5/thumbnails/60.jpg)
Strategie NCCW
Portalen
Primaire Systemen BIS NOA / Property Management
Ketenprocessen Corporatie Cloud
ESB+ Integratieplatform
Software as a Service