Add to collection(s) Add to saved
  1. Engineering
  2. Webdesign

hoe omgaan met de meldplicht datalekken?

advertisement 
HOE OMGAAN MET
DE MELDPLICHT DATALEKKEN?
EEN HANDIGE CHECKLIST
| www.guardian360.nl | [email protected] | 010 – 710 44 01 |
GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP
HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? | whitepaper
In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken
binnen uw organisatie. We helpen u in kaart te brengen wat uw bezittingen en de bijbehorende risico’s en
bedreigingen zijn. Deze informatie is essentieel om een effectief beveiligingsbeleid op te zetten.
Verantwoord omgaan met persoonsgegevens valt of staat met procedures, handhaving en een adequate beveiliging van
gegevens. Dat bent u niet alleen verplicht naar uw patiënten, maar ook volgens de wet: vanaf 1 januari 2016 geldt namelijk de
meldplicht datalekken. Met deze wijziging in de Wet Bescherming Persoonsgegevens wil de overheid zowel de transparantie
als de aandacht voor de noodzaak goed te investeren in beveiligingsmaatregelen, stimuleren. Op die manier hopen ze ons
vertrouwen in de verwerking van digitale persoonsgegevens te vergroten. Uitgangspunt is dat persoonsgegevens niet zomaar
mogen worden verwerkt; data die met een bepaald doel is verkregen, mag niet zomaar gebruikt worden voor andere
doeleinden. Daar moet telkens opnieuw toestemming voor worden gevraagd.
Helaas blijken veel organisaties nog niet optimaal voorbereid op deze nieuwe meldplicht. Daarnaast zien we regelmatig
berichten in de media over gegevens die om verschillende reden op straat beland zijn. Een kwalijke zaak, want de rol van IT in
onze dagelijkse bedrijfsvoering blijft groeien. En met die groter wordende rol groeien ook de bedreigingen waar we mee te
maken krijgen. Uit onderzoek van TNS NIPO blijkt echter dat grote groepen mensen de risico’s van digitale dreigingen
onderschatten: 65% verwacht zelfs dat de risico’s van cybercrime de komende jaren gelijk blijven.
1: https://www.interpolis.nl/over-interpolis/media/nieuwsberichten/2015/Paginas/interpolis-presenteert-onderzoeksresultaten-cyberrisico.aspx
| www.guardian360.nl | [email protected] | 010 – 710 44 01 |
GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP
2
HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? | whitepaper
Helaas is het tegenovergestelde waar: er zijn bijvoorbeeld in de eerste helft van 2015 ruim 3 miljoen nieuwe soorten malware
aangetroffen. Van de websites die het meest vatbaar zijn voor malware, is maar liefst 27 procent afkomstig uit de zorg. De
beveiliging van deze websites laat veel te wensen over, waardoor ze de meeste risico lopen.2
Gelukkig zijn er ook positieve ontwikkelingen te melden in de zorg: denk bijvoorbeeld aan Idensys, waarvoor de Nederlandse
overheid met het bedrijfsleven samenwerkt aan een standaard voor de toegang tot online dienstverlening. Daarnaast wordt de
cloud door zorg-professionals gebruikt om gegevens met elkaar te delen. Dat biedt ons ongekende mogelijkheden bij de
ontwikkeling van medicijnen en het stellen van diagnoses. Ook is de verwachting dat er in 2020 37 miljard apparaten zijn
gekoppeld, the internet of everything. Hierdoor kunnen zorgverleners naar verwachting sneller acteren en zorgbehoevenden
langer thuis blijven (wonen).
2: https://www.computable.nl/artikel/nieuws/zorg/5631205/1276929/zorgwebsites-meest-gevoelig-voor-malware.html
| www.guardian360.nl | [email protected] | 010 – 710 44 01 |
GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP
3
HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? | whitepaper
NADER TOEGELICHT: MELDPLICHT DATALEKKEN
We spreken van een datalek als een organisatie onbedoeld persoonsgegevens vernietigt, wijzigt of toegankelijk maakt. Het
gaat dus niet alleen om het lekken van gegevens, ook wanneer gegevens onrechtmatig worden verwerkt moet u melding
doen.
U bent per 1 januari 2016 verplicht datalekken te melden bij het College Bescherming Persoonsgegevens (CBP).
De meldplicht valt uiteen in 2 onderdelen:
1.
U moet het CBP inlichten over inbreuken op uw beveiliging.
2. Wanneer een inbreuk specifiek betrekking heeft op personen waarvan u data verzamelt, moet u hen informeren. De betrokkene
moet dan wel ongunstige gevolgen ondervinden van het datalek. Dit is bijvoorbeeld het geval wanneer er creditcardgegevens
zijn gestolen.
Gaat het fout, en komen er gegevens op straat terecht, dan moet u dit melden. Doet u dat niet, dan zijn de gevolgen aanzienlijk.
Boetes kunnen oplopen tot 810.000 euro, of 10% van de omzet van uw bedrijf. Maar misschien nog wel erger: een datalek kan
aanzienlijke reputatie- en imagoschade opleveren.
| www.guardian360.nl | [email protected] | 010 – 710 44 01 |
GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP
4
HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? | whitepaper
HOE STAAT UW ORGANISATIE ER NU VOOR?
Om u voor te bereiden op deze meldplicht en voor een effectief securitybeleid, is het noodzakelijk in kaart te brengen welke
middelen u in huis heeft, maar ook welke risico’s en bedreigingen die middelen met zich meebrengen. Ons cybersecurity
model kan hierbij helpen, door een antwoord te formuleren op de volgende vragen:
1 | Wat heeft u nu in huis? Hoe verandert dit
morgen, of in de toekomst?
3 | Wie of wat bedreigt u (zowel intern als
extern)?
Denk bijvoorbeeld aan een overzicht van
alle software binnen uw bedrijf. Houd
daarvoor bij wanneer software gedateerd of
volledig verouderd is. Zo kunt u actie
ondernemen wanneer het tijd is om
software te updaten, te vervangen of
wanneer software niet meer wordt
ondersteund door de leverancier. Op die
manier houdt u de risico’s op dit gebied
minimaal.
Breng in kaart waar, hoe en op welke manier
u risico loopt. Maak hierbij onderscheid
tussen risico’s die kunnen ontstaan door
menselijk falen binnen uw organisatie, en
risico’s van kwaadwillenden die u bewust
schade proberen toe te brengen.
2 | Wie hebben (al dan niet tijdelijk)
toegang tot de data op uw systemen?
Proactieve monitoring is van groot belang:
houd bij of er sprake is van abnormaal
gedrag van zowel gebruikers als systemen.
Door gedrag continu te monitoren, worden
eventuele afwijkingen snel herkend en kunt
u daar tijdig en adequaat op reageren.
het geval er toch iets fout gaat, zodat op
zo’n moment snel actie kunt ondernemen en
niet voor verrassingen komt te staan.
6 | Zijn alle managers en andere belanghebbenden op de hoogte van deze
informatie?
4 | Heeft u voldoende inzicht in de aard van
deze bedreigingen, en waarom deze zaken
eventueel plaats kunnen vinden?
Om een optimaal draagvlak te creëren en
ervoor te zorgen dat procedures optimaal
geïmplementeerd kunnen worden, is het
belangrijk deze informatie op alle niveaus in
het bedrijf te verspreiden.
Door de aard en achtergrond van eventuele
bedreigingen in kaart te brengen, kunt u
betere maatregelen nemen om dergelijke
situaties te voorkomen.
7 | Welke verbeteringen kunt u op basis
van al deze informatie doorvoeren binnen
uw bedrijf of instelling?
5 | Wat moet u doen wanneer er iets fout
gaat? Wie heeft welke verantwoordelijkheden op het moment dat er iets fout
gaat?
U kunt de informatie die u nu heeft
verzameld gebruiken om direct
verbeteringen door te voeren die u helpen
eventuele risico’s te minimaliseren.
Het is belangrijk een procedure vast te
leggen waarin staat wie wat moet doen in
| www.guardian360.nl | [email protected] | 010 – 710 44 01 |
GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP
5
HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? | whitepaper
PRIVACY POLICY
Een paar uitzonderingen daargelaten, moet in ieder bedrijf een privacy policy aanwezig zijn. Daarin staat waarom er gegevens
worden verzameld, wat ermee gebeurt en hoe die data worden behandeld. U bent verantwoordelijk voor de bij u aanwezige
gegevens en de beveiliging daarvan, ook wanneer een andere partij die gegevens voor u bewerkt. Het is dus belangrijk de rol
van een databewerker bij een datalek goed vast te leggen, bij voorkeur in een bewerkersovereenkomst.
Naast het inventariseren en updaten van deze zaken, is het ook belangrijk voorbereidingen te treffen voor de aankomende
meldplicht. Hiervoor dient u nog een aantal extra stappen te nemen:
• Zorg ervoor dat u duidelijke afspraken heeft gemaakt met uw bewerkers over deze meldplicht. Heeft u met alle partijen een
bewerkersovereenkomst afgesloten? Zijn eventuele bestaande bewerkersovereenkomsten up-to-date en bevatten zij een
bepaling over datalekken?
• Sluit met iedere partij waarmee u samenwerkt een NDA (Non Disclosure Agreement)/geheimhoudingsverklaring af, waarin u
persoonsgegevens benoemt en vastlegt dat deze niet door derden gebruikt mogen worden.
• Leg ook de procedure vast wanneer er onverhoopt toch een melding gedaan moet worden aan het CBP. Wie heeft welke rol en
verantwoordelijkheden in dat geval? In deze procedure moet ook staan wanneer u de betrokkenen van wie u data verzamelt,
inlicht. Bepaal daarnaast ook of u eventueel de media inlicht, en zorg voor een procedure voor het geval er vanuit de media
vragen komen over het incident.
| www.guardian360.nl | [email protected] | 010 – 710 44 01 |
GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP
6
HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? | whitepaper
HET BELANG VAN GOEDE COMMUNICATIE EN AWARENESS
Ondanks alle denkbare maatregelen is 100% veiligheid helaas een sprookje. Het meest belangrijk is dat u probeert de lat voor
kwaadwillenden zo hoog mogelijk te leggen, en dat u andere soorten risico’s zoveel mogelijk probeert te verkleinen.
Het is daarnaast essentieel dat u investeert in het vergroten van de bewustwording van uw mensen op dit gebied. Zo blijkt uit
onderzoek van TNS NIPO dat het gebruik van te makkelijke wachtwoorden een grote achilleshiel vormt binnen bedrijven.3
Ook is er nog winst te behalen door medewerkers bewust te maken van bijvoorbeeld het veilig gebruiken van openbare WiFiverbindingen, het gebruik van eigen devices op kantoor, het goed afsluiten van programma’s en het veilig achterlaten van hun
werkplek. Ook is het belangrijk hen phishing-mails te helpen herkennen en hen handvatten te bieden over hoe zij hiermee om
dienen te gaan.
3: https://www.interpolis.nl/over-interpolis/media/nieuwsberichten/2015/Paginas/interpolis-presenteert-onderzoeksresultaten-cyberrisico.aspx
| www.guardian360.nl | [email protected] | 010 – 710 44 01 |
GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP
7
HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? | whitepaper
HOE KAN GUARDIAN360 U HELPEN?
De dienstverlening van Guardian360 kan u helpen bij het voldoen aan de meldplicht datalekken. Dat doen we door u Securityas-a-Service te leveren. Ieder uur scannen we uw systemen, op dezelfde manier als een hacker dat zou doen. Dat doen we
vanaf het internet en indien gewenst, ook vanuit uw eigen netwerk. We scannen alles met een IP-adres en webapplicaties,
en proberen daarnaast zo snel mogelijk hackers te betrappen. Gebeurt er niets, dan hoort u ons niet. Is het wel nodig, dan
komen we direct in actie. We testen sowieso non-intrusive; we verstoren uw normale werkproces en de performance van uw
apparatuur, netwerken en applicaties niet.
Ook melden we eventuele kwetsbaarheden en toetsen we deze aan verschillende normenkaders (onder andere
ISO27002:2013, NEN7510 en Logius/DigiD). Dat is hard nodig, want de risico’s en kwetsbaarheden waar we mee te maken
hebben veranderen dagelijks. Bovendien is zelf bijhouden en regelmatig testen vrijwel onmogelijk, en een jaarlijkse
penetration test betekent dat u 364 dagen per jaar geen actueel beeld hebt van de beveiliging van uw IT-omgeving. Ook heeft
u dan geen idee of u al dan niet compliant bent.
Daarnaast helpen we u bij uw proactieve monitoring, en geven we u op een duidelijk en gebruiksvriendelijk portal doorlopend
inzicht in de bedreigingen die we voor u gevonden hebben. U kunt daardoor sneller handelen wanneer er een kwetsbaarheid
gesignaleerd wordt en kunt makkelijk aan derden - denk aan patiënten, IT-auditors en accountants - aantonen dat u in control
bent.
| www.guardian360.nl | [email protected] | 010 – 710 44 01 |
GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP
8
HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? | whitepaper
Guardian360
Weena Zuid 108
3012 NC Rotterdam
[email protected]
Postbus 2655
3000 CR Rotterdam
tel. +31(0)10 - 710 44 01
fax. +31(0)10 - 710 44 00
| www.guardian360.nl | [email protected] | 010 – 710 44 01 |
GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP
9
Related documents
Checklist-meldplicht datalekken-voor-intern
Checklist-meldplicht datalekken-voor-intern
Meldplicht datalekken in werking getreden
Meldplicht datalekken in werking getreden
Bijlage 4: Informatie voor te interviewen interne
Bijlage 4: Informatie voor te interviewen interne
Loop voor op de concurrentie met een ISO 27001
Loop voor op de concurrentie met een ISO 27001
Your Country/Territory Here
Your Country/Territory Here
Datalekken - InstallatieWerk
Datalekken - InstallatieWerk
Privacywetgeving
Privacywetgeving
Eerste hulp bij datalekken
Eerste hulp bij datalekken
MELDPLICHT DATALEKKEN IS EEN SAMENSPEL
MELDPLICHT DATALEKKEN IS EEN SAMENSPEL
Eshuis SnelScan Informatiebeveiliging
Eshuis SnelScan Informatiebeveiliging
Informatiebeveiliging
Informatiebeveiliging
Help! Mijn gegevens zijn op internet gelekt
Help! Mijn gegevens zijn op internet gelekt
Formulier incident persoonsgegevens
Formulier incident persoonsgegevens
Download
advertisement