presentatie ehoorweg ncd (versie 1)ncd.nl/wp-content/uploads/2016/03/presentatie-erik...quotes uit...
TRANSCRIPT
3/10/2016
1
Masterclass NCD - 9 maart 2016
Cyber SecurityCyber Security
Erik HoorwegErik Hoorweg
Copyright © 2016 Capgemini Consulting. All rights reserved.
Inhoud
1. Introductie en doel
2. Meet & Greet
3. De samenhang der dingen
- belangen,
- risico’s,
- maatregelen
4. Actualiteit – Meldplicht Datalekken & GDPR
5. Handvatten & Leesvoer
3/10/2016
2
Copyright © 2016 Capgemini Consulting. All rights reserved.
Quotes uit WEF Davos 2016 over digitalisering & veiligheid
“Technologie heeft altijd gezorgd voor veranderingen waar mensen zowel bang als hoopvol van werden. Tot
nu toe is technologische vooruitgang voornamelijk goed geweest voor het welzijn. Maar verandering gaat nu
veel sneller, ook sneller dan veel leiders lijken aan te kunnen”
- Erik Brynjolfsson, Hoogleraar Digitale Economie MIT
“We zitten in een wereldwijde leiderschapscrisis, en dat moeten we ons allemaal aantrekken”
- Marc Benioff, bestuursvoorzitter Salesforce
“Er is nog nooit een grotere belofte geweest dan nu. Maar ook nog nooit een groter gevaar”
- Claus Schwab, oprichter World Economic Forum
Copyright © 2016 Capgemini Consulting. All rights reserved.
Drie dimensies van Cyber Security
Cyber Security is het vrij zijn van gevaar
of schade veroorzaakt door verstoring of
uitval van ICT of door misbruik van ICT.
VERTROUWEN
Belangen Risico’s
Weerbaarheid/Maatregelen
3/10/2016
3
Copyright © 2016 Capgemini Consulting. All rights reserved.
Perspectief van de spreker…
Copyright © 2016 Capgemini Consulting. All rights reserved.
Wat weten jullie al van Cyber Security?
3/10/2016
4
Copyright © 2016 Capgemini Consulting. All rights reserved.
Vraag 1: WAAR of NIET WAAR?
� Bedrijven met een Responsible Disclosure Beleid belonen hackers indien deze hiervan
melding maken bij het betreffende bedrijf.
� WAAR
Copyright © 2016 Capgemini Consulting. All rights reserved.
Vraag 2: WAAR of NIET WAAR?
� De afgelopen twee jaar is het aantal meldingen van cyberaanvallen bij de overheid
verdubbeld.
� WAAR
Het Nationaal Cyber Security Centrum (NCSC) ontving het afgelopen jaar 293 meldingen over
een incident bij de overheid.
3/10/2016
5
Copyright © 2016 Capgemini Consulting. All rights reserved.
Vraag 3: HOGER of LAGER?
� Binnen MKB verwacht 50% van het management een toename van het bedrijfsrisico m.b.t.
Cyber Security
� LAGER
32% verwacht een stijging*
* Bron: Cyber Security in het MBK (Capgemini, TNS NIPO) N = 529
Copyright © 2016 Capgemini Consulting. All rights reserved.
Vraag 4: JA of NEE?
� Sinds 1 januari 2016 moet u alle datalekken melden bij de Autoriteit Persoonsgegevens
� NEE
U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de
bescherming van persoonsgegevens. Of dat er een aanzienlijke kans bestaat dat dit gebeurt.
3/10/2016
6
Copyright © 2016 Capgemini Consulting. All rights reserved.
Vraag 5: WAAR of NIET WAAR?
� De nieuwe Europese Privacy Verordening (GDPR) verplicht organisaties om aandacht te
besteden aan bewustwording en training van medewerkers
� WAAR
Bij overtredingen van de verordening kunnen hoge boetes worden opgelegd tot wel 4% van de
jaarlijkse omzet
Copyright © 2016 Capgemini Consulting. All rights reserved.
Vraag 6: Bij benadering…
� Hoeveel procent van de Nederlandse managers en bestuurders raken geïrriteerd door de beveiligingsmaatregelen die het eigen bedrijf oplegt?
� 28%
Dit is hoog ten opzichte van andere Europese landen (gemiddeld 17%).
27% handelt in strijd met de eigen veiligheidsvoorschriften
50% daarvan doet dit bewust
3/10/2016
7
Copyright © 2016 Capgemini Consulting. All rights reserved.
1. Introductie en doel
2. Meet & Greet
3. De samenhang der dingen
- belangen,
- risico’s,
- maatregelen
4. Actualiteit – Meldplicht Datalekken & GDPR
5. Handvatten & Leesvoer
Inhoud
Copyright © 2016 Capgemini Consulting. All rights reserved.
Joshua Samuel Aaron (alias Mike Shields)
� Leeftijd : 31 jaar
� Woonplaats : Maryland, Tel Aviv, Kiev,
Moskou
� Leider criminele organisatie
– Hack organisaties om miljoenen klantgegevens te
bemachtigen
– Verkoop van de gegevens aan derden via Online
marktplaatsen
– Manipuleren van aandelenkoersen via misleidende
emailcampagnes en beïnvloeden brokers (opstuwen
koers)
– Geregisseerd verkopen van de aandelen
� Motivatie : Geld
3/10/2016
8
Copyright © 2016 Capgemini Consulting. All rights reserved.
Alexandra Elbakyan
� Leeftijd : 27 jaar
� Woonplaats : Kazachstan
� Oprichtster van Sci-Hub (2011).
– Platform voor gratis verstrekken van wetenschappelijke
artikelen.
– 20 miljoen bezoekers (downloads)
– Doelgroep: alle universiteiten en wetenschappelijke
uitgevers.
� Motivatie : Ideologie.
“Ik vind het onethisch dat het delen
van wetenschappelijke informatie
verboden kan worden”.
Copyright © 2016 Capgemini Consulting. All rights reserved.
Vijf Nederlands pubers
� Leeftijd : 14 tot 17 jaar
� Woonplaats : Berkelland, Lochem, Den
Helder en Vinkeveen
� DDoS-aanval op Ziggo
– Ziggo-klanten twee dagen niet internetten (zakelijk en
privé)
– 2 miljoen internetaansluitingen
� Motivatie : Script-kiddies
“laten zien wat we kunnen”
3/10/2016
9
Copyright © 2016 Capgemini Consulting. All rights reserved.
Sun Kailiang (alias Jack Sun)
� Leeftijd : onbekend
� Woonplaats : China
� Officier in People’s Liberation Army (PLA) – Chinese
Leger
– Binnendringen in netwerken van (Amerikaanse)
bedrijven
– Economische spionage
– Ontvreemden van intellectueel eigendom en
bedrijfsplannen
� Motivatie : Overheidsbeleid
Copyright © 2016 Capgemini Consulting. All rights reserved.
‘Bevriende’ inlichtingendiensten
� NSA en GCHQ
� Amerika en Engeland
� Inlichtingendiensten
– Edward Snowden documenten
– Slachtoffer: Gemalto. Nederlandse producent van
simkaarten
– Ontvreemden 7 miljoen encryptiesleutels
– Eenvoudig aftappen van mobiele communicatie
� Motivatie : (economische) spionage
/ contraterrorisme
We help people to trust one another in an increasingly connected digital world
3/10/2016
10
Copyright © 2016 Capgemini Consulting. All rights reserved.
Uw medewerkers!
� De meeste datalekken ontstaan door eigen personeel
(25 tot 35%)
� Voorbeeld: Medewerker van VGZ.
– Declaratiegegevens van 27.000 verzekerden op privé
computer
– Hij wilde nieuwe software testen en was vergeten de
gegevens er weer af te halen
– Onduidelijk of gegevens zijn ingezien door derden
– VGZ moest alle verzekerden inlichten
– Reputatieschade
� Motivatie : Gebrek aan bewustzijn en/of
discipline
Copyright © 2016 Capgemini Consulting. All rights reserved.
Inhoud
1. Introductie en doel
2. Meet & Greet
3. De samenhang der dingen
- belangen
- risico’s
- maatregelen
4. Actualiteit – Meldplicht Datalekken & GDPR
5. Handvatten & Leesvoer
3/10/2016
11
Copyright © 2016 Capgemini Consulting. All rights reserved.
Cyber Security draait om de samenhang tussen belangen, risico’s en maatregelen
VERTROUWEN
Belangen Risico’s
Weerbaarheid/Maatregelen
Copyright © 2016 Capgemini Consulting. All rights reserved.
1. Introductie en doel
2. Meet & Greet
3. De samenhang der dingen
- belangen
- risico’s
- maatregelen
4. Actualiteit – Meldplicht Datalekken & GDPR
5. Handvatten & Leesvoer
Inhoud
3/10/2016
12
Copyright © 2016 Capgemini Consulting. All rights reserved.
Belangen zijn van alle tijden
Belangen Risico’s
Weerbaarheid/Maatregelen
Bedrijfscontinuïteit
Geld
Vertrouwelijke info
(intellectueel eigendom)
Persoonsgegevens
Reputatie
Copyright © 2016 Capgemini Consulting. All rights reserved.
Dig
ital C
apab
ility
Leadership Capability
FASHIONISTASDIGITAL
MASTERS
CONSERVATIVESBEGINNERS Dig
ital C
apab
ility
Leadership Capability
REVENUE GENERATION EFFICIENCY
+6% +9%
-10%-4%
Dig
ital C
apab
ility
Leadership Capability
PROFITABILITY
% +26%
+9%-24%
-11%
Maar deze belangen worden steeds meer beïnvloed door digitalisering
3/10/2016
13
Copyright © 2016 Capgemini Consulting. All rights reserved.
• De klant en medewerkers krijgen steeds meer toegang tot processen die voorheen
afgesloten waren voor de buitenwereld (denk aan self service)
• Interne systemen worden aangesloten op het internet
Digital Masters investeren met de klant als belangrijkste drijfveer
BUSINESS MODEL
CUSTOMER-FACING PROCESSES OPERATIONAL PROCESSES
Social MediaInternal
Collaboration
Mobile Channel
CustomerExperience
Process Digitalization
Data Integration
Sensors
Analytics
Copyright © 2016 Capgemini Consulting. All rights reserved.
De kroonjuwelen veranderen
Onderzoek Capgemini Consulting / TNS NIPO (2015)
3/10/2016
14
Copyright © 2016 Capgemini Consulting. All rights reserved.
Digital Technology Will Remain The Endless Agitator Of The Business World
Augmented Reality
Robotics Artificial Intelligence
Sharing Economies Wearables
3D Printing
En deze ontwikkeling zal zich in razend tempo doorzetten
Copyright © 2016 Capgemini Consulting. All rights reserved.
Tegelijkertijd lijken de investeringen tussen IT en IT Security verder uiteen te lopen
� Gemiddelde percentage IT security (t.o.v. total
IT spend) ligt in 2015 rond de 6% (NA en EMEA)
� Spiceworks “2016 State of IT" report, gaat uit
van 0% stijging in IT security budgetten(N=839)
Nationale IT-Security Monitor 2015 (N=150)
3/10/2016
15
Copyright © 2016 Capgemini Consulting. All rights reserved.
Korte opdracht
Wat zijn de belangrijkste assets (kroonjuwelen) van de
organisatie waar u nu commissaris of directeur van bent?
In hoeverre zijn deze assets gedigitaliseerd?
Overleg 5 minuten met uw buurman/vrouw
Report out
Copyright © 2016 Capgemini Consulting. All rights reserved.
1. Introductie en doel
2. Meet & Greet
3. De samenhang der dingen
- belangen
- risico’s
- maatregelen
4. Actualiteit – Meldplicht Datalekken & GDPR
5. Handvatten & Leesvoer
Inhoud
3/10/2016
16
Copyright © 2016 Capgemini Consulting. All rights reserved.
Digitalisering van organisaties brengt nieuwe risico’s met zich mee
Belangen Risico’s
Weerbaarheid/Maatregelen
Risico’s
The Davos “Global risk report 2015” highlights three technological risks among the 50 most important macro risks:
� Cyber attacks� Data
fraud/theft� Critical
infrastructure breakdowns
Wet & Regelgeving
Meldplicht datalekken
General Data Protection Regulation
Meldplicht datalekken
General Data Protection Regulation
Copyright © 2016 Capgemini Consulting. All rights reserved.
Een overzicht van ‘s werelds grootste informatielekken
www.informationisbeautiful.net
3/10/2016
17
Copyright © 2016 Capgemini Consulting. All rights reserved.
Risico’s
Kans ImpactRisico X=
DreigingKwetsbaar
heden
Copyright © 2016 Capgemini Consulting. All rights reserved.
Ondernemers zien de risico’s vaak niet
Gebrek aan bewustzijn is een belangrijke kwetsbaarheid
Kwetsbaar
heden
3/10/2016
18
Copyright © 2016 Capgemini Consulting. All rights reserved.
Digitalisering maakt de belangen/assets kwetsbaarder
� Oude (legacy) systemen worden gekoppeld aan het internet (PCS en SCADA).
� Veel software is vaak slecht gecodeerd als gevolg van marktwerking (snel en goedkoop
leveren – de klant vraagt er niet naar). Updates worden vaak beperkt geïnstalleerd.
� Steeds meer verbindingen worden gelegd tussen systemen (binnen en buiten de
organisatie). Wederzijdse afhankelijkheid tussen organisaties neemt toe en is vaak
onbekend.
� Analoge alternatieven verdwijnen.
� De gebruiker blijft de achilleshiel. Bewustzijn is in NL relatief hoog (67% tegen 47% EU) maar
één moment van onachtzaamheid kan de deur openzetten.
Een kwetsbaarheid is een eigenschap van ICT, een organisatie of gebruiker die actoren kunnen misbruiken
Kwetsbaar
heden
Copyright © 2016 Capgemini Consulting. All rights reserved.
De kwetsbaarheid is mede afhankelijk van de veiligheid-volwassenheid van de
organisatie (weerbaarheid en veerkracht)
1. Functionele veiligheid1. Functionele veiligheid
2. Procesmatige veiligheid2. Procesmatige veiligheid
3.Systematische veiligheid 3.Systematische veiligheid
4. Beheerste veiligheid4. Beheerste veiligheid
5. Integrale veiligheid5. Integrale veiligheid
� Niet gedocumenteerd of vaag beleid
� Geen formele processen
� Reactief
� Individuele helden
� Informele en inconsistente rapportage
� Niet gedocumenteerd of vaag beleid
� Geen formele processen
� Reactief
� Individuele helden
� Informele en inconsistente rapportage
� Duidelijk beschreven proces
� Gezamenlijke taal
� Rollen en verantwoordelijkheden vastgelegd
� Regelmatige rapportages
� Lange termijn focus
� Duidelijk beschreven proces
� Gezamenlijke taal
� Rollen en verantwoordelijkheden vastgelegd
� Regelmatige rapportages
� Lange termijn focus
� Beleid opgesteld en organisatie breed toegepast
� Functionele samenwerking in de organisatie
� Training van het proces
� Rapportage van activiteiten en verbetering
� Betrouwbare data voor management
� Beleid opgesteld en organisatie breed toegepast
� Functionele samenwerking in de organisatie
� Training van het proces
� Rapportage van activiteiten en verbetering
� Betrouwbare data voor management
� Herziening van beleid op basis van ervaring
� Lijnmanagement is bewust verantwoordelijk voor veiligheid
� Duidelijke normen voor veiligheid gesteld
� Rapportage over incidenten
� Prestatie indicatoren voor functionele veiligheid
� Herziening van beleid op basis van ervaring
� Lijnmanagement is bewust verantwoordelijk voor veiligheid
� Duidelijke normen voor veiligheid gesteld
� Rapportage over incidenten
� Prestatie indicatoren voor functionele veiligheid
� Organisatie zet integrale veiligheid in als competitief voordeel
� Continue verbetering van veiligheid
� Sturing op integrale risico’s
� Afgifte van bestuursverklaring
� Benchmark met vergelijkbare organisaties
� Integrale veiligheid behoort tot het takenpakket van het lijn management
� Organisatie zet integrale veiligheid in als competitief voordeel
� Continue verbetering van veiligheid
� Sturing op integrale risico’s
� Afgifte van bestuursverklaring
� Benchmark met vergelijkbare organisaties
� Integrale veiligheid behoort tot het takenpakket van het lijn management
1. Functionele veiligheid
2. Procesmatige veiligheid
3.Systematische veiligheid
4. Beheerste veiligheid
5. Integrale veiligheid
� Niet gedocumenteerd of vaag beleid
� Geen formele processen
� Reactief
� Individuele helden
� Informele en inconsistente rapportage
� Duidelijk beschreven proces
� Gezamenlijke taal
� Rollen en verantwoordelijkheden vastgelegd
� Regelmatige rapportages
� Lange termijn focus
� Beleid opgesteld en organisatie breed toegepast
� Functionele samenwerking in de organisatie
� Training van het proces
� Rapportage van activiteiten en verbetering
� Betrouwbare data voor management
� Herziening van beleid op basis van ervaring
� Lijnmanagement is bewust verantwoordelijk voor veiligheid
� Duidelijke normen voor veiligheid gesteld
� Rapportage over incidenten
� Prestatie indicatoren voor functionele veiligheid
� Organisatie zet integrale veiligheid in als competitief voordeel
� Continue verbetering van veiligheid
� Sturing op integrale risico’s
� Afgifte van bestuursverklaring
� Benchmark met vergelijkbare organisaties
� Integrale veiligheid behoort tot het takenpakket van het lijn management
Kwetsbaar
heden
3/10/2016
19
Copyright © 2016 Capgemini Consulting. All rights reserved.
Cyber Security Beeld Nederland 2015Dreiging
Copyright © 2016 Capgemini Consulting. All rights reserved.
Belangrijkste trends
1. Cryptoware en andere ransomware is het cybercriminele businessmodel bij uitstek
Dreiging
3/10/2016
20
Copyright © 2016 Capgemini Consulting. All rights reserved.
Belangrijkste trends
1. Cryptoware en andere ransomware is het cybercriminele businessmodel bij uitstek
2. Geopolitieke spanningen manifesteren zich steeds vaker in (dreigende) inbreuken op
digitale veiligheid
Dreiging
Copyright © 2016 Capgemini Consulting. All rights reserved.
Belangrijkste trends
1. Cryptoware en andere ransomware is het cybercriminele businessmodel bij uitstek
2. Geopolitieke spanningen manifesteren zich steeds vaker in (dreigende) inbreuken op
digitale veiligheid
3. Phishing wordt veel gebruikt in gerichte aanvallen en is dan voor gebruikers nauwelijks te
herkennen
Dreiging
3/10/2016
21
Copyright © 2016 Capgemini Consulting. All rights reserved.
Copyright © 2016 Capgemini Consulting. All rights reserved.
3/10/2016
22
Copyright © 2016 Capgemini Consulting. All rights reserved.
Belangrijkste trends
1. Cryptoware en andere ransomware is het cybercriminele businessmodel bij uitstek
2. Geopolitieke spanningen manifesteren zich steeds vaker in (dreigende) inbreuken op
digitale veiligheid
3. Phishing wordt veel gebruikt in gerichte aanvallen en is dan voor gebruikers nauwelijks te
herkennen
4. Je hoeft als crimineel geen digitale vaardigheden te bezitten. Kant-en-klare hulpmiddelen
zijn beschikbaar op internet.
Dreiging
Copyright © 2016 Capgemini Consulting. All rights reserved.
Dreiging
3/10/2016
23
Copyright © 2016 Capgemini Consulting. All rights reserved.
Copyright © 2016 Capgemini Consulting. All rights reserved.
De schade bij ondernemingen is aanzienlijk
� 90% van de onderzochte bedrijven meldden een
beveiligingsincident
� Herstel van een inbreuk op de databeveiliging kost
grote ondernemingen gemiddeld 504.000 euro.
� Kleine en middelgrote bedrijven zijn gemiddeld 34.750
euro kwijt
Impact
Bron: Kaspersky Lab , 2015. N = 5500.
3/10/2016
24
Copyright © 2016 Capgemini Consulting. All rights reserved.
De impact van verstoringen in kaart
1. Kosten van (gevolg)schade?
2. Verstoring van de (bedrijfs)continuiteit?
3. Wet & Regelgeving (boetes)?
4. Reputatie (onrust bij klanten en burgers)?
5. Gezondheid en veiligheid (gewonden / doden)?
Impact
Copyright © 2016 Capgemini Consulting. All rights reserved.
Korte opdracht: Impact Assessment
Hoe groot is de impact van een Cyber Security incident op het
bedrijfsbelang / kroonjuweel dat u eerder heeft
geïnventariseerd?
Overleg 10 minuten met uw buurman/vrouw
Report out
3/10/2016
25
Copyright © 2016 Capgemini Consulting. All rights reserved.
Uiteindelijk bepaalt de Risk Appetite de mate van (extra) maatregelen
De risicobereidheid wordt bepaald door vier factoren:
1. Debat in de bestuurskamer: er moet een afweging
vanuit verschillende perspectieven plaatsvinden
2. Overleg met verschillende stakeholders
3. Risico commités (IT auditor): bevindingen
uit risicoanalyse en monitoring
4. Flexibiliteit: veranderende omstandigheden zullen
een aanpassing van de risk appetite nodig maken.
Copyright © 2016 Capgemini Consulting. All rights reserved.
1. Introductie en doel
2. Meet & Greet
3. De samenhang der dingen
- belangen
- risico’s
- maatregelen
4. Actualiteit – Meldplicht Datalekken & GDPR
5. Handvatten & Leesvoer
Inhoud
3/10/2016
26
Copyright © 2016 Capgemini Consulting. All rights reserved.
Belangen Risico’s
Weerbaarheid/Maatregelen
Copyright © 2016 Capgemini Consulting. All rights reserved.
Het versterken van digitale weerbaarheid en veerkracht kent 5 uitdagingen
Data, End points, IAM, EcosysteemProtection strategy
Focus op de buitenkant (netwerk)
Mens, Organisatie & Technologie
(management issue)People & Management
IT probleem (afdeling)
Preventie, Preparatie, Protectie, Detectie en
ReactieEnd-to-end securityProtectie
Proactieve (scenario) defensieTechnology
Reactief defensie
Assets en Risico’s centraalRisk & data managementZero risk dream
Van: Kasteelmuren Naar: Vliegveld
3/10/2016
27
Copyright © 2016 Capgemini Consulting. All rights reserved.
Maatregelen hebben betrekkking op de gehele veiligheidsketen
The cycle of cybersecurity operations
Prevention
Protection Detection
Reaction
AnticipationThreat
monitoring
Data leakmonitoring
Data leakprevention
Computer SecurityIncident Response
Team (CSIRT)
Security/privacyby design
Peopleawareness
Vulnerabilityassessment
Securityprocesses
Application securitytesting, system
penetration testing
Security incident remediation actions
Security OperationCenter (SOC)
Securityarchitecture
Copyright © 2016 Capgemini Consulting. All rights reserved.
Maar vanuit technisch perspectief: zorg dat de basis op orde is!
Up to date anti-virus en firewalls
Wachtwoorden
Back-up, back-up, back-up (en testen)
Versleutelde opslag kritische gegevens
Patching & updating
3/10/2016
28
Copyright © 2016 Capgemini Consulting. All rights reserved.
Bent u ‘in control’?
� Is Cyber Security als portefeuille belegd op bestuursniveau (CISO, CIO, CRO of CFO)?
� Vormt Cyber Security onderdeel van het (reguliere) Risk Control Framework?
� Wordt periodiek gerapporteerd op cyber security indicatoren?
� Doen we periodieke assessments en/of audits om onze weerbaarheid te toetsen?
� Is er een Plan, Do, Check, Act proces (inclusief dreigingsanalyse en monitoring) met
heldere governance ingeregeld?
� Is er een responsible disclosure beleid?
� Zijn we voldoende in staat om een incident het hoofd te bieden?
� Crisisorganisatie & Communicatie
� Is er een proces ingericht voor Meldplicht Datalekken?
Enkele vragen om aan het bestuur te stellen:
Copyright © 2016 Capgemini Consulting. All rights reserved.
En als je denkt dat alles op orde is….
Scenario based crisis oefening:
� Dilemma sessies
� Table top
� Operationeel
Oefen, Oefen en Oefen
3/10/2016
29
Copyright © 2016 Capgemini Consulting. All rights reserved.
1. Introductie en doel
2. Meet & Greet
3. De samenhang der dingen
- belangen
- risico’s
- maatregelen
4. Actualiteit – Meldplicht Datalekken & GDPR
5. Handvatten & Leesvoer
Inhoud
Copyright © 2016 Capgemini Consulting. All rights reserved.
Wie is de boef?
3/10/2016
30
Copyright © 2016 Capgemini Consulting. All rights reserved.
Hoe bewust zijn we eigenlijk als het gaat om persoonsgegevens?
https://youtu.be/AYXM56YJWSo
Copyright © 2016 Capgemini Consulting. All rights reserved.
Om het vertrouwen in maatschappij en economie te beschermen neemt ook de overheid
maatregelen
Per 1 januari is de Meldplicht Datalekken van kracht (onderdeel van Wbp)
3/10/2016
31
Copyright © 2016 Capgemini Consulting. All rights reserved.
Op EU niveau is jarenlang gewerkt aan een nieuwe Privacy Verordening…
� Ondernemingen moeten in staat zijn om actief te bewijzen dat je compliant bent met de
verordening
– Interne documentatie moet op orde zijn,
– overzichten van systemen moeten aanwezig zijn,
– de juiste procedures moeten zijn ingericht,
– policies moeten zijn opgesteld,
� Strengere bepalingen rondom toestemming (‘consent’) gebruik persoonsgegevens
� Privacy Impact Assessments zijn verplicht voor nieuwe technologieën
� Datalekken moeten binnen 72 uur worden gemeld bij AP (conform Meldplicht Datalekken)
� Right to be Forgotten
� Training en bewustzijn
� Boetes gaan omhoog naar 4% van jaarlijkse omzet (AP tot 810K)
Deze GDPR wordt medio 2016 van kracht voor alle lidstaten.
Doel: de klant/burger de controle over haar gegevens geven
Copyright © 2016 Capgemini Consulting. All rights reserved.
1. Introductie en doel
2. Voorbeelden
3. De samenhang der dingen
- belangen
- risico’s
- maatregelen
4. Actualiteit – Meldplicht Datalekken & GDPR
5. Handvatten & leesvoer
Inhoud
3/10/2016
32
Copyright © 2016 Capgemini Consulting. All rights reserved.
Enkele handvatten en leesvoer
Handreikingen
Handreiking Cyber Security voor
de bestuurder
Raamwerken
ECP / MKB
(https://veiliginternetten.nl)
Beleidsregels Meldplicht Datalekken
(https://autoriteitpersoonsgegevens.nl)
ISF Threat Horizon
(op aanvraag)
Dank U!
Drs. E.P. Hoorweg MCMVice President Head Security & Privacy
Capgemini Consulting
Reykjavikplein 1
PO Box 2575 – 3500 GN Utrecht
M-Phone: +31 (0)6 15030869E-Mail: [email protected]