SlideShare a Scribd company logo

Presentatie Meldplicht Datalekken door Sophos

Download as PPTX, PDF
SLBdiensten
SLBdiensten

Beveiligingsdag SLBdiensten: 26 juni 2015 De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.

Education
1 of 34
1 Harm van Koppen Amsterdam, juni 2015 De nieuwe meldplicht datalekken WBP Voorgestelde wijzigingen en wat dit inhoudt voor uw organisatie
2 Agenda • Voorgestelde EU Data Beschermingsverordening • Poll resultaten: Europeanen en databescherming • Hoe ben je in overeenstemming met de verordening, en hoe minimaliseer je boetes in geval van een datalek • Stop datalekken, om te beginnen • Hoe Sophos kan helpen 1102 -
33 EU Data Beschermingswet 1102 -
4 Amendments from European Parliament 21 November 2013 (1102 paginas) Project of Regulation European Commission 25 January 2012 (118 paginas) Press pack from the European Commission 22 October 2013 Bronnen Handboek Europese Gegevensbeschermings wetgeving Raad van Europa December 2013 Interinstitutional File Presidency 11 June 2015 (201 paginas) 1102 -
5 Te zorgen voor een enkele Europese wet om het huidige inconsistente raamwerk van nationale wetten te vervangen. Moderniseer de principes, heilig verklaard in de EU Data Beschermingsrichtlijn van 1995 Doel
6 Voordelen van de nieuwe verordening Voordelen voor organisaties 1. Éen EU markt, éen wet 2. One-stop-shop – een enkele toezichtsautoriteit 3. Dezelfde regels voor alle bedrijven Voordelen voor EU-burgers 1. Betere databescherming 2. Geeft mensen de controle
7 Focus op Databescherming in WBP 3 sleutelartikelen over databescherming: 1. Beveiliging van de verwerking (Artikel 13) A. voorkom onrechtmatige toegang tot persoonsgegevens B. Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan. 2. Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit (Artikel 34a, lid1) De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. 3. Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene (Artikel 34a, lid2) De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. (Geschatte € 16,60 nalevingskosten.)
8 Wat moet je weten • Organisaties moeten: ○ passende beveiligingsmaatregelen nemen om persoonsgegevens te beschermen ○ een duidelijk databeschermingsbeleid hebben voor persoonsgegevens ○ een functionaris voor gegevensbescherming aanwijzen (behalve MKB) • Boetes voor onbeschermde datalekken kunnen oplopen tot €450.000 • Als je data lekt maar kunt aantonen dat de persoonsgegevens niet door onbevoegden gebruikt kunnen worden (want versleuteld): ○ Wordt de kans op een boete sterk verlaagd ○ Is er geen meldingsplicht richting de betrokken EU-burgers
9 De stappen m.b.t. de Europese wet • 25 januari 2012 – Eerste wetsvoorstel door EU Commissielid Vivian Reding • Januari 2012 – oktober 2013 – Uitgebreide discussies en amendementen bij het wetsvoorstel • 12 maart 2014 – Europees Parlement stemt met overweldigende meerderheid voor deze wet (95%) • De Verordening moet nog een aantal stappen doorlopen, maar de wet zal in december 2015 aangenomen zijn.
10 De stappen m.b.t. de Nederlandse wet • Aanscherping WBP op 10 februari 2015 voorgesteld door Tweede Kamer. • Aanscherping WBP op 26 mei 2015 akkoord bevonden door de Eerste Kamer. • WPB aangescherpt per 4 juni 2015. Melding in Staatsblad 2015-230
1111 Poll resultaten: Europeanen en databescherming
12 • 1500 respondenten • maart 2014 Poll: Wie is bevraagd Land … per organisatiegrootte 500 500 500 UK France Germany Figure D1: Analysis of respondent country Asked of all respondents (1500) 379 337 371 299 114 5 – 49 employees 50 – 99 employees 100 – 249 employees 250 – 499 employees 500 - 1000 employees Figure D2: Analysis of organisational size Asked of all respondents (1500)
13 Poll: de resultaten • Bijna tweederde (65%) is bezorgd over de bescherming van hun bedrijfsgegevens • 49% is niet op de hoogte van een databeschermingsbeleid • 51% van de bedrijfslaptops is versleuteld • Slechts 23% beschermt zowel klanten- als personeelsdata Significante actie is vereist om persoonsgegevens te bescherming en te voldoen aan de aanstaande Verordening
1414 Hoe aan de nieuwe verordening te voldoen
15 De sleutel is versleuteling Door de Verordening moeten bedrijven : 1. ‘passende beveiligingsmaatregelen’ nemen om persoonsgegevens te beschermen Versleuteling wordt algemeen gezien als de beste databeschermingsmaatregel die er bestaat 2. Informeer betrokken partijen in geval van een datalek Als je kunt bewijzen dat de data versleuteld was hoef je de individuele EU-burgers geen kennisgeving te sturen 3. Boetes betalen wanneer persoonsgegevens gelekt zijn Wanneer de data aantoonbaar versleuteld was is de kans klein dat er daadwerkelijk een boete wordt opgelegd.
16 De sleutel is versleuteling Technische en organisatorische maatregelen dienen cumulatief te worden getroffen. Software is een belangrijk instrument tot beveiliging. Dit wetsvoorstel geeft de normen die mede met behulp van software dienen te worden gehandhaafd. Klassieke technische beveiligingsmaatregelen omvatten mede de fysieke afscherming van de randapparatuur die toegang geeft tot de te beveiligen gegevens. Daarnaast zijn er de modernere informatietechnologische maatregelen zoals beveiliging met een «password» en door middel van encryptie. Grotere bedrijven zullen een eigen beveiligingsafdeling hebben. Kleinere bedrijven zullen beveiligingsexpertise van buitenaf inhuren. Wat betreft encryptie zijn de initiatieven vermeldenswaard van de Europese Commissie om te komen tot een min of meer uniform systeem van vertrouwenstussenpersonen (trusted third parties) binnen de Europese Unie. (Bron: Richtsnoeren CBP: beveiliging persoonsgegevens)
17 Verloren of Gestolen Apparaat Onversleuteld Versleuteld • Verlies of diefstal van een apparaat kan iedereen overkomen, en overkomt dus ook velen van ons. • Alleen geauthoriseerde gebruikers zouden iets met deze apparaten moeten kunnen. • Hoeveel apparaten heb jij verloren?
18 Zet bestanden op Removable Media • Op deze kleine apparaatjes past heel veel data, maar je bent ze zo kwijt • Blokkeer je ze of bescherm je de data erop? • Waar is je eerste USB stick en wat staat erop?
19 Zet bestanden in E-Mail • We emailen allemaal & we maken allemaal wel eens een foutje (het gebeurt) • Wat kan het gevolg zijn van het verkeerde bijvoegsel aan de verkeerde persoon sturen? • Versleutel je bestanden, of inspecteer je op de Gateway?
20 Zet bestanden op een Network Share • De huidige Operating Systems maken het delen van data op het Network zeer eenvoudig. • Bescherm tegen interne dreigingen. • Wie is bevoegd voor bedrijfs- of persoonsgegevens?
21 Zet bestanden in de Cloud • Cloud Storage heeft de manier waarop data tussen gebruikers een apparaten wordt gedeeld gerevolutioneerd. • Wat heb jij in de Cloud staan, en wat gebeurt er als iemand het steelt? • Versleutel de data voordat je het in de Cloud zet.
22 Een solide databeschermingsstrategie Data is waar het om gaat 1. Hoe gaat data je organisatie in en uit? 2. Wat doen de gebruikers met de data? 3. Wie heeft er toegang tot data?
2323 Datalekken voorkomen
24 5 stappen om datalekken te voorkomen 1. Zorg dat je patches up-to-date zijn Data-stelende malware maakt vaak gebruik van bekende kwetsbaarheden. 2. Gebruik meerlaagse bescherming Malware komt binnen via Web en Mail, hou het daar tegen waar het de organisatie binnenkoment 3. Kies voor Advanced Threat Protection Gebruik een next-generation firewall die aanvallen op het netwerk detecteert en tegenhoudt, maar ook data exfiltratie tegenhoudt. 4. Gebruik Selective Sandboxing Tegen malware die zich in het begin “netjes” gedraagt. 5. Limiteer verspreiding van gevoelige data Maak gebruik van Application Control en Data Control
2525 Hoe Sophos kan helpen
26 Onze topgeklasseerde versleutelingsoplossingen zijn passende beveiligingsmaatregelen om persoonsgevens te beschermen
27 SafeGuard Enterprise Encryption • Versleutelt data op allerlei apparaten en operating systems • Vertraagt niet – en zit niet in de weg van de workflow en processen van de organisatie • Inclusief centraal beheer van Microsoft’s BitLocker en Apple’s FileVault • Voorziet in uitgebreide rapporten om naleving aan te kunnen tonen SafeGuard verzekert dat persoonsgegevens beschermd zijn in geval van een datalek
28 SPX Email Encryption • Emailversleuteling en DLP oplossing die privacy, vertrouwelijkheid en integriteit van gevoelige emails beschermt. • Detecteert automatisch wanneer gevoelige informatie de organisatie verlaat, en blokkeert of versleutelt.. • Neemt beveiliging uit de handen van uw medewerkers en regelt het voor hen. • Beschikbaar in Sophos UTM en de Sophos Email Appliance
29 We kunnen helpen bij het opzetten van databeschermingsbeleid
30 Voorbeeld databeschermingsbeleid Gebruik het Sophos voorbeeldbeleid als basis. Pas het aan voor je eigen organisatie.
31 En we kunnen helpen bij het voorkomen van datalekken
32 Bescherming tegen hackers en onopzettelijk dataverlies Sophos Endpoint Protection ○ Patch assessment om ontbrekende patches te identificeren en prioritiseren ○ Application Control ○ Malicious Traffic Detection ○ Data Control ○ Geavanceerde web bescherming ○ Data Leakage Protection Sophos UTM ○ Advanced Threat Protection ○ IDS / IPS ○ Selective sandboxing ○ Geavanceerde web bescherming ○ Optionele SPX email versleuteling
33 Om je te helpen • Voorbeeld Databeschermingsbeleid • EU Data Security Compliance Check in 60 seconden • Whitepaper over EU Data Protection Regulation • Probeer gratis: Sophos SafeGuard Enterprise and SPX email encryption Te vinden op www.sophos.com/EU
34© Sophos Ltd. All rights reserved. Deel uw mening of vragen: @SophosBenelux

Recommended

WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015Bart Van Den Brande
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Wilma van de Meerakker
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalBart Van Den Brande
 
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Juridische aspecten van digital marketing - gastles HoGent 28 april 2015
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Bart Van Den Brande
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefRichard Claassens CIPPE
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 

Recommended

WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015Bart Van Den Brande
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Wilma van de Meerakker
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalBart Van Den Brande
 
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Juridische aspecten van digital marketing - gastles HoGent 28 april 2015
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Bart Van Den Brande
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefRichard Claassens CIPPE
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareBart Van Den Brande
 
20171005 e commerce conference
20171005 e commerce conference20171005 e commerce conference
20171005 e commerce conferenceBart Van Den Brande
 
GDPR
GDPRGDPR
GDPROut Of Use
 
Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017Bart Van Den Brande
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18Harry Heijligers, PMP ★ NLP ★
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
 
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data 3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data OrangeValley
 
Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Stefano Verkooy
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock✎ Wim Strik
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
 
Complianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceComplianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceAKD
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy Redactie ZiPconomy
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr complianceBart Van Den Brande
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectorenBart Van Den Brande
 
Feweb on tour 2013 over privacy en cookies
Feweb on tour 2013 over privacy en cookiesFeweb on tour 2013 over privacy en cookies
Feweb on tour 2013 over privacy en cookiesBart Van Den Brande
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceAKD
 
Data privacy voor marketeers kluwer
Data privacy voor marketeers kluwerData privacy voor marketeers kluwer
Data privacy voor marketeers kluwerBart Van Den Brande
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Robbert Hoendervanger ✓
 
9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet WetenAnn Wuyts
 

More Related Content

What's hot

De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareBart Van Den Brande
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
 
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data 3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data OrangeValley
 
Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Stefano Verkooy
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock✎ Wim Strik
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
 
Complianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceComplianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceAKD
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectorenBart Van Den Brande
 
Feweb on tour 2013 over privacy en cookies
Feweb on tour 2013 over privacy en cookiesFeweb on tour 2013 over privacy en cookies
Feweb on tour 2013 over privacy en cookiesBart Van Den Brande
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceAKD
 
Data privacy voor marketeers kluwer
Data privacy voor marketeers kluwerData privacy voor marketeers kluwer
Data privacy voor marketeers kluwerBart Van Den Brande
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 

What's hot (20)

De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
 
20171005 e commerce conference
20171005 e commerce conference20171005 e commerce conference
20171005 e commerce conference
 
GDPR
GDPRGDPR
GDPR
 
Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
 
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data 3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
 
Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
 
Complianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceComplianceforum - Antitrust Compliance
Complianceforum - Antitrust Compliance
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren
 
Feweb on tour 2013 over privacy en cookies
Feweb on tour 2013 over privacy en cookiesFeweb on tour 2013 over privacy en cookies
Feweb on tour 2013 over privacy en cookies
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
 
Data privacy voor marketeers kluwer
Data privacy voor marketeers kluwerData privacy voor marketeers kluwer
Data privacy voor marketeers kluwer
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekken
 

Similar to Presentatie Meldplicht Datalekken door Sophos

9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet WetenAnn Wuyts
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitiefPrivacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitiefRichard Claassens CIPPE
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekkenSebyde
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...AKD
 
Whitepaper privacy in de cloud
Whitepaper privacy in de cloudWhitepaper privacy in de cloud
Whitepaper privacy in de cloudRolf Kuijpers
 
Sirius friday data protection en privacy is uw bedrijf klaar voor de nieuwe e...
Sirius friday data protection en privacy is uw bedrijf klaar voor de nieuwe e...Sirius friday data protection en privacy is uw bedrijf klaar voor de nieuwe e...
Sirius friday data protection en privacy is uw bedrijf klaar voor de nieuwe e...Bart Van Den Brande
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
Presentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door SophosPresentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door SophosSLBdiensten
 
Future proof ict netwerkevent 17022016
Future proof ict netwerkevent 17022016Future proof ict netwerkevent 17022016
Future proof ict netwerkevent 17022016RAM Mobile Data
 
Praktijkcursus WBP en Masterclass Europese Privacyverordening
Praktijkcursus WBP en Masterclass Europese PrivacyverordeningPraktijkcursus WBP en Masterclass Europese Privacyverordening
Praktijkcursus WBP en Masterclass Europese PrivacyverordeningPaul van Osch
 
HR Social Media Day - Stephanie Raets Claeys &Engels
HR Social Media Day - Stephanie Raets Claeys &EngelsHR Social Media Day - Stephanie Raets Claeys &Engels
HR Social Media Day - Stephanie Raets Claeys &EngelsHRmagazine
 
20140228 Sirius Friday seminarie Privacy & cookies
20140228 Sirius Friday seminarie Privacy & cookies20140228 Sirius Friday seminarie Privacy & cookies
20140228 Sirius Friday seminarie Privacy & cookiesBart Van Den Brande
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Bart Van Den Brande
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingSuprida
 
Darwin 5 juni olaf van haperen
Darwin 5 juni olaf van haperenDarwin 5 juni olaf van haperen
Darwin 5 juni olaf van haperenXtandit_Marketing
 

Similar to Presentatie Meldplicht Datalekken door Sophos (20)

Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
 
9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
 
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitiefPrivacy het nieuwe groen | KNVI afdeling IT-audit | definitief
Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
 
Gdpr
GdprGdpr
Gdpr
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
 
Whitepaper privacy in de cloud
Whitepaper privacy in de cloudWhitepaper privacy in de cloud
Whitepaper privacy in de cloud
 
Sirius friday data protection en privacy is uw bedrijf klaar voor de nieuwe e...
Sirius friday data protection en privacy is uw bedrijf klaar voor de nieuwe e...Sirius friday data protection en privacy is uw bedrijf klaar voor de nieuwe e...
Sirius friday data protection en privacy is uw bedrijf klaar voor de nieuwe e...
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018
 
Presentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door SophosPresentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door Sophos
 
Future proof ict netwerkevent 17022016
Future proof ict netwerkevent 17022016Future proof ict netwerkevent 17022016
Future proof ict netwerkevent 17022016
 
Praktijkcursus WBP en Masterclass Europese Privacyverordening
Praktijkcursus WBP en Masterclass Europese PrivacyverordeningPraktijkcursus WBP en Masterclass Europese Privacyverordening
Praktijkcursus WBP en Masterclass Europese Privacyverordening
 
Kneppelhout
KneppelhoutKneppelhout
Kneppelhout
 
HR Social Media Day - Stephanie Raets Claeys &Engels
HR Social Media Day - Stephanie Raets Claeys &EngelsHR Social Media Day - Stephanie Raets Claeys &Engels
HR Social Media Day - Stephanie Raets Claeys &Engels
 
20140228 Sirius Friday seminarie Privacy & cookies
20140228 Sirius Friday seminarie Privacy & cookies20140228 Sirius Friday seminarie Privacy & cookies
20140228 Sirius Friday seminarie Privacy & cookies
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkeling
 
Darwin 5 juni olaf van haperen
Darwin 5 juni olaf van haperenDarwin 5 juni olaf van haperen
Darwin 5 juni olaf van haperen
 

More from SLBdiensten

INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJSINFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJSSLBdiensten
 
21E EEUWSE VAARDIGHEDEN MET ADOBE
21E EEUWSE VAARDIGHEDEN MET ADOBE21E EEUWSE VAARDIGHEDEN MET ADOBE
21E EEUWSE VAARDIGHEDEN MET ADOBESLBdiensten
 
VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...
VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...
VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...SLBdiensten
 
Presentatie eduard beck
Presentatie eduard beckPresentatie eduard beck
Presentatie eduard beckSLBdiensten
 
Office 365 in de Klas
Office 365 in de KlasOffice 365 in de Klas
Office 365 in de KlasSLBdiensten
 
Digital transformation & Education
Digital transformation & EducationDigital transformation & Education
Digital transformation & EducationSLBdiensten
 
Presentatie Breinwave Microsoft cloudportfolio
Presentatie Breinwave Microsoft cloudportfolioPresentatie Breinwave Microsoft cloudportfolio
Presentatie Breinwave Microsoft cloudportfolioSLBdiensten
 
SketchUp Pro Educatief, 4 oktober 2016
SketchUp Pro Educatief, 4 oktober 2016SketchUp Pro Educatief, 4 oktober 2016
SketchUp Pro Educatief, 4 oktober 2016SLBdiensten
 
Referentiecase Office 365 op het Pius X College
Referentiecase Office 365 op het Pius X College Referentiecase Office 365 op het Pius X College
Referentiecase Office 365 op het Pius X College SLBdiensten
 
Presentatie BeveiligMij over ICT beveiliging
Presentatie BeveiligMij over ICT beveiligingPresentatie BeveiligMij over ICT beveiliging
Presentatie BeveiligMij over ICT beveiligingSLBdiensten
 
Presentatie Kennisnet over informatiebeveiliging in mbo en vo
Presentatie Kennisnet over informatiebeveiliging in mbo en vo Presentatie Kennisnet over informatiebeveiliging in mbo en vo
Presentatie Kennisnet over informatiebeveiliging in mbo en vo SLBdiensten
 
Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016
Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016
Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016SLBdiensten
 
Presentatie MBO Utrecht over Skype implementatie vs Jabra
Presentatie MBO Utrecht over Skype implementatie vs Jabra Presentatie MBO Utrecht over Skype implementatie vs Jabra
Presentatie MBO Utrecht over Skype implementatie vs Jabra SLBdiensten
 
Presentatie adobe informatiesessie ipon
Presentatie adobe informatiesessie iponPresentatie adobe informatiesessie ipon
Presentatie adobe informatiesessie iponSLBdiensten
 
Van laptopkar tot laptopklas, lessen uit het Surface PROject
Van laptopkar tot laptopklas, lessen uit het Surface PROjectVan laptopkar tot laptopklas, lessen uit het Surface PROject
Van laptopkar tot laptopklas, lessen uit het Surface PROjectSLBdiensten
 
Privacy goed geregeld
Privacy goed geregeldPrivacy goed geregeld
Privacy goed geregeldSLBdiensten
 
Onderwijs maken met Office 365
Onderwijs maken met Office 365Onderwijs maken met Office 365
Onderwijs maken met Office 365SLBdiensten
 
Internet of Things, Coderen in de klas en 3D printing
Internet of Things, Coderen in de klas en 3D printingInternet of Things, Coderen in de klas en 3D printing
Internet of Things, Coderen in de klas en 3D printingSLBdiensten
 
Coderen met Microsoft
Coderen met MicrosoftCoderen met Microsoft
Coderen met MicrosoftSLBdiensten
 

More from SLBdiensten (20)

INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJSINFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
 
21E EEUWSE VAARDIGHEDEN MET ADOBE
21E EEUWSE VAARDIGHEDEN MET ADOBE21E EEUWSE VAARDIGHEDEN MET ADOBE
21E EEUWSE VAARDIGHEDEN MET ADOBE
 
VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...
VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...
VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...
 
Presentatie eduard beck
Presentatie eduard beckPresentatie eduard beck
Presentatie eduard beck
 
Office 365 in de Klas
Office 365 in de KlasOffice 365 in de Klas
Office 365 in de Klas
 
Digital transformation & Education
Digital transformation & EducationDigital transformation & Education
Digital transformation & Education
 
Presentatie Breinwave Microsoft cloudportfolio
Presentatie Breinwave Microsoft cloudportfolioPresentatie Breinwave Microsoft cloudportfolio
Presentatie Breinwave Microsoft cloudportfolio
 
SketchUp Pro Educatief, 4 oktober 2016
SketchUp Pro Educatief, 4 oktober 2016SketchUp Pro Educatief, 4 oktober 2016
SketchUp Pro Educatief, 4 oktober 2016
 
Referentiecase Office 365 op het Pius X College
Referentiecase Office 365 op het Pius X College Referentiecase Office 365 op het Pius X College
Referentiecase Office 365 op het Pius X College
 
Presentatie BeveiligMij over ICT beveiliging
Presentatie BeveiligMij over ICT beveiligingPresentatie BeveiligMij over ICT beveiliging
Presentatie BeveiligMij over ICT beveiliging
 
Presentatie Kennisnet over informatiebeveiliging in mbo en vo
Presentatie Kennisnet over informatiebeveiliging in mbo en vo Presentatie Kennisnet over informatiebeveiliging in mbo en vo
Presentatie Kennisnet over informatiebeveiliging in mbo en vo
 
Survey
SurveySurvey
Survey
 
Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016
Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016
Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016
 
Presentatie MBO Utrecht over Skype implementatie vs Jabra
Presentatie MBO Utrecht over Skype implementatie vs Jabra Presentatie MBO Utrecht over Skype implementatie vs Jabra
Presentatie MBO Utrecht over Skype implementatie vs Jabra
 
Presentatie adobe informatiesessie ipon
Presentatie adobe informatiesessie iponPresentatie adobe informatiesessie ipon
Presentatie adobe informatiesessie ipon
 
Van laptopkar tot laptopklas, lessen uit het Surface PROject
Van laptopkar tot laptopklas, lessen uit het Surface PROjectVan laptopkar tot laptopklas, lessen uit het Surface PROject
Van laptopkar tot laptopklas, lessen uit het Surface PROject
 
Privacy goed geregeld
Privacy goed geregeldPrivacy goed geregeld
Privacy goed geregeld
 
Onderwijs maken met Office 365
Onderwijs maken met Office 365Onderwijs maken met Office 365
Onderwijs maken met Office 365
 
Internet of Things, Coderen in de klas en 3D printing
Internet of Things, Coderen in de klas en 3D printingInternet of Things, Coderen in de klas en 3D printing
Internet of Things, Coderen in de klas en 3D printing
 
Coderen met Microsoft
Coderen met MicrosoftCoderen met Microsoft
Coderen met Microsoft
 

Presentatie Meldplicht Datalekken door Sophos

  • 1. 1 Harm van Koppen Amsterdam, juni 2015 De nieuwe meldplicht datalekken WBP Voorgestelde wijzigingen en wat dit inhoudt voor uw organisatie
  • 2. 2 Agenda • Voorgestelde EU Data Beschermingsverordening • Poll resultaten: Europeanen en databescherming • Hoe ben je in overeenstemming met de verordening, en hoe minimaliseer je boetes in geval van een datalek • Stop datalekken, om te beginnen • Hoe Sophos kan helpen 1102 -
  • 4. 4 Amendments from European Parliament 21 November 2013 (1102 paginas) Project of Regulation European Commission 25 January 2012 (118 paginas) Press pack from the European Commission 22 October 2013 Bronnen Handboek Europese Gegevensbeschermings wetgeving Raad van Europa December 2013 Interinstitutional File Presidency 11 June 2015 (201 paginas) 1102 -
  • 5. 5 Te zorgen voor een enkele Europese wet om het huidige inconsistente raamwerk van nationale wetten te vervangen. Moderniseer de principes, heilig verklaard in de EU Data Beschermingsrichtlijn van 1995 Doel
  • 6. 6 Voordelen van de nieuwe verordening Voordelen voor organisaties 1. Éen EU markt, éen wet 2. One-stop-shop – een enkele toezichtsautoriteit 3. Dezelfde regels voor alle bedrijven Voordelen voor EU-burgers 1. Betere databescherming 2. Geeft mensen de controle
  • 7. 7 Focus op Databescherming in WBP 3 sleutelartikelen over databescherming: 1. Beveiliging van de verwerking (Artikel 13) A. voorkom onrechtmatige toegang tot persoonsgegevens B. Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan. 2. Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit (Artikel 34a, lid1) De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. 3. Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene (Artikel 34a, lid2) De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. (Geschatte € 16,60 nalevingskosten.)
  • 8. 8 Wat moet je weten • Organisaties moeten: ○ passende beveiligingsmaatregelen nemen om persoonsgegevens te beschermen ○ een duidelijk databeschermingsbeleid hebben voor persoonsgegevens ○ een functionaris voor gegevensbescherming aanwijzen (behalve MKB) • Boetes voor onbeschermde datalekken kunnen oplopen tot €450.000 • Als je data lekt maar kunt aantonen dat de persoonsgegevens niet door onbevoegden gebruikt kunnen worden (want versleuteld): ○ Wordt de kans op een boete sterk verlaagd ○ Is er geen meldingsplicht richting de betrokken EU-burgers
  • 9. 9 De stappen m.b.t. de Europese wet • 25 januari 2012 – Eerste wetsvoorstel door EU Commissielid Vivian Reding • Januari 2012 – oktober 2013 – Uitgebreide discussies en amendementen bij het wetsvoorstel • 12 maart 2014 – Europees Parlement stemt met overweldigende meerderheid voor deze wet (95%) • De Verordening moet nog een aantal stappen doorlopen, maar de wet zal in december 2015 aangenomen zijn.
  • 10. 10 De stappen m.b.t. de Nederlandse wet • Aanscherping WBP op 10 februari 2015 voorgesteld door Tweede Kamer. • Aanscherping WBP op 26 mei 2015 akkoord bevonden door de Eerste Kamer. • WPB aangescherpt per 4 juni 2015. Melding in Staatsblad 2015-230
  • 12. 12 • 1500 respondenten • maart 2014 Poll: Wie is bevraagd Land … per organisatiegrootte 500 500 500 UK France Germany Figure D1: Analysis of respondent country Asked of all respondents (1500) 379 337 371 299 114 5 – 49 employees 50 – 99 employees 100 – 249 employees 250 – 499 employees 500 - 1000 employees Figure D2: Analysis of organisational size Asked of all respondents (1500)
  • 13. 13 Poll: de resultaten • Bijna tweederde (65%) is bezorgd over de bescherming van hun bedrijfsgegevens • 49% is niet op de hoogte van een databeschermingsbeleid • 51% van de bedrijfslaptops is versleuteld • Slechts 23% beschermt zowel klanten- als personeelsdata Significante actie is vereist om persoonsgegevens te bescherming en te voldoen aan de aanstaande Verordening
  • 14. 1414 Hoe aan de nieuwe verordening te voldoen
  • 15. 15 De sleutel is versleuteling Door de Verordening moeten bedrijven : 1. ‘passende beveiligingsmaatregelen’ nemen om persoonsgegevens te beschermen Versleuteling wordt algemeen gezien als de beste databeschermingsmaatregel die er bestaat 2. Informeer betrokken partijen in geval van een datalek Als je kunt bewijzen dat de data versleuteld was hoef je de individuele EU-burgers geen kennisgeving te sturen 3. Boetes betalen wanneer persoonsgegevens gelekt zijn Wanneer de data aantoonbaar versleuteld was is de kans klein dat er daadwerkelijk een boete wordt opgelegd.
  • 16. 16 De sleutel is versleuteling Technische en organisatorische maatregelen dienen cumulatief te worden getroffen. Software is een belangrijk instrument tot beveiliging. Dit wetsvoorstel geeft de normen die mede met behulp van software dienen te worden gehandhaafd. Klassieke technische beveiligingsmaatregelen omvatten mede de fysieke afscherming van de randapparatuur die toegang geeft tot de te beveiligen gegevens. Daarnaast zijn er de modernere informatietechnologische maatregelen zoals beveiliging met een «password» en door middel van encryptie. Grotere bedrijven zullen een eigen beveiligingsafdeling hebben. Kleinere bedrijven zullen beveiligingsexpertise van buitenaf inhuren. Wat betreft encryptie zijn de initiatieven vermeldenswaard van de Europese Commissie om te komen tot een min of meer uniform systeem van vertrouwenstussenpersonen (trusted third parties) binnen de Europese Unie. (Bron: Richtsnoeren CBP: beveiliging persoonsgegevens)
  • 17. 17 Verloren of Gestolen Apparaat Onversleuteld Versleuteld • Verlies of diefstal van een apparaat kan iedereen overkomen, en overkomt dus ook velen van ons. • Alleen geauthoriseerde gebruikers zouden iets met deze apparaten moeten kunnen. • Hoeveel apparaten heb jij verloren?
  • 18. 18 Zet bestanden op Removable Media • Op deze kleine apparaatjes past heel veel data, maar je bent ze zo kwijt • Blokkeer je ze of bescherm je de data erop? • Waar is je eerste USB stick en wat staat erop?
  • 19. 19 Zet bestanden in E-Mail • We emailen allemaal & we maken allemaal wel eens een foutje (het gebeurt) • Wat kan het gevolg zijn van het verkeerde bijvoegsel aan de verkeerde persoon sturen? • Versleutel je bestanden, of inspecteer je op de Gateway?
  • 20. 20 Zet bestanden op een Network Share • De huidige Operating Systems maken het delen van data op het Network zeer eenvoudig. • Bescherm tegen interne dreigingen. • Wie is bevoegd voor bedrijfs- of persoonsgegevens?
  • 21. 21 Zet bestanden in de Cloud • Cloud Storage heeft de manier waarop data tussen gebruikers een apparaten wordt gedeeld gerevolutioneerd. • Wat heb jij in de Cloud staan, en wat gebeurt er als iemand het steelt? • Versleutel de data voordat je het in de Cloud zet.
  • 22. 22 Een solide databeschermingsstrategie Data is waar het om gaat 1. Hoe gaat data je organisatie in en uit? 2. Wat doen de gebruikers met de data? 3. Wie heeft er toegang tot data?
  • 24. 24 5 stappen om datalekken te voorkomen 1. Zorg dat je patches up-to-date zijn Data-stelende malware maakt vaak gebruik van bekende kwetsbaarheden. 2. Gebruik meerlaagse bescherming Malware komt binnen via Web en Mail, hou het daar tegen waar het de organisatie binnenkoment 3. Kies voor Advanced Threat Protection Gebruik een next-generation firewall die aanvallen op het netwerk detecteert en tegenhoudt, maar ook data exfiltratie tegenhoudt. 4. Gebruik Selective Sandboxing Tegen malware die zich in het begin “netjes” gedraagt. 5. Limiteer verspreiding van gevoelige data Maak gebruik van Application Control en Data Control
  • 26. 26 Onze topgeklasseerde versleutelingsoplossingen zijn passende beveiligingsmaatregelen om persoonsgevens te beschermen
  • 27. 27 SafeGuard Enterprise Encryption • Versleutelt data op allerlei apparaten en operating systems • Vertraagt niet – en zit niet in de weg van de workflow en processen van de organisatie • Inclusief centraal beheer van Microsoft’s BitLocker en Apple’s FileVault • Voorziet in uitgebreide rapporten om naleving aan te kunnen tonen SafeGuard verzekert dat persoonsgegevens beschermd zijn in geval van een datalek
  • 28. 28 SPX Email Encryption • Emailversleuteling en DLP oplossing die privacy, vertrouwelijkheid en integriteit van gevoelige emails beschermt. • Detecteert automatisch wanneer gevoelige informatie de organisatie verlaat, en blokkeert of versleutelt.. • Neemt beveiliging uit de handen van uw medewerkers en regelt het voor hen. • Beschikbaar in Sophos UTM en de Sophos Email Appliance
  • 29. 29 We kunnen helpen bij het opzetten van databeschermingsbeleid
  • 30. 30 Voorbeeld databeschermingsbeleid Gebruik het Sophos voorbeeldbeleid als basis. Pas het aan voor je eigen organisatie.
  • 31. 31 En we kunnen helpen bij het voorkomen van datalekken
  • 32. 32 Bescherming tegen hackers en onopzettelijk dataverlies Sophos Endpoint Protection ○ Patch assessment om ontbrekende patches te identificeren en prioritiseren ○ Application Control ○ Malicious Traffic Detection ○ Data Control ○ Geavanceerde web bescherming ○ Data Leakage Protection Sophos UTM ○ Advanced Threat Protection ○ IDS / IPS ○ Selective sandboxing ○ Geavanceerde web bescherming ○ Optionele SPX email versleuteling
  • 33. 33 Om je te helpen • Voorbeeld Databeschermingsbeleid • EU Data Security Compliance Check in 60 seconden • Whitepaper over EU Data Protection Regulation • Probeer gratis: Sophos SafeGuard Enterprise and SPX email encryption Te vinden op www.sophos.com/EU
  • 34. 34© Sophos Ltd. All rights reserved. Deel uw mening of vragen: @SophosBenelux

Editor's Notes

  1. We beginnen met te kijken naar de databeschermingsvereisten in de voorgestelde EU Databeschermingsverordening, en de potentiële strafmaatregelen in het geval er een datalek optreedt. Dan bezien we waar de EU op dit moment staat, waarbij we resultaten van een recente Sophos poll over databescherming delen. Als volgende maken we duidelijk wat je moet doen om in overeenstemming te zijn met de databeschermingsverordening, en geven aan welke stappen ondernomen moeten worden om eventuele boetes voor datalekken te minimalizeren. Behalve ervoor te zorgen dat data beveiligd is ten tijde van een lek, is het ook belangrijk een datalek te voorkomen, dus bekijken we een aantal technologieën die kunnen helpen een datalek te voorkomen. Als afsluiting maken we duidelijk hoe Sophos je kan helpen in overeenstemming te zijn met de vereisten voor databescherming, en de kans te minimaliseren dan wel elimineren dat je een boete oploopt wanneer er toch een datalek is opgetreden.
  2. De informatie die we hier bespreken komt uit een aantal bronnen, afkomstig uit diverse stadia van het wetgevende proces. Het is gebaseerd op het voorstel tot verordening van november 2014, inclusief de voorgestelde amendementen van het Europese Parlement, zoals goedgekeurd door het Europese Parlement in maart 2014. Houd er rekening me dat, hoewel de Verordening tot nog to overweldigende ondersteuning heeft ondervonden in alle stadia van het proces, het waarschijnlijk is dat er nog meer wijzigingen aangebracht zullen worden. Ook heel belangrijk: ik ben geen advocaat, en dit is een wettelijk advies. Raadpleeg zonodig de eigen juristen op dit gebied.
  3. Op dit moment zijn er een aantal verschillende databeschermingsverordeningen te vinden in de 28 landen van de EU. De bedoeling van deze wet is om in een enkele consistente wet te voorzien die voor alle EU landen geldt. Dus één markt, één wet. De wet is verdeeld over twee onderdelen: Verordening - dit behandelt de bulk van de verwerking van persoonlijke data in the Europese Unie Richtlijn – dit behandelt de verwerking van data ten behoeve van het voorkomen, onderzoeken, achterhalen of vervolgen van criminaliteit, of het toepassen van het strafrecht. Het doel is hier het beschermen van data wanneer deze nationaal of internationaal gecommuniceerd wordt
  4. Laten we beginnen met te kijken naar hoe bedrijven hiervan kunnen profiteren. Een EU-markt, een wet – in plaats van 28 wetten hoeven bedrijven maar met 1 wet rekening te houden. De besparingen worden geschat op €2.3 miljard, per jaar. One-stop-shop – bedrijven hebben met maar 1 autoriteit te maken, in plaats van 28, dus wordt het eenvoudiger en goedkoper om zaken te doen in de EU. Dezelfde regels voor alle bedrijven – Iedereen, of ze nu in de EU of daarbuiten gevestigd zijn, die data heeft over burgers van de EU, zal aan deze wet moeten voldoen. De EU zal in staat zijn boetes op te leggen, gerelateerd aan de wereldwijde jaarlijkse omzet, wanneer een bedrijf zich niet aan deze wet houdt. Alle bedrijven zijn hierdoor gelijkwaardig. Niet alleen bedrijven hebben hier voordeel van. Voor burgers van de EU zijn er ook voordelen, hier noemen we er een paar. Betere databescherming. Databescherming wordt een prioriteit in plaats van een sluitpost. Geeft mensen de controle. Personen zullen actief toestemming moeten geven wanneer hun data verwerkt wordt. Ook zullen bedrijven en andere organisaties verplicht worden om personen zonder onnodige vertraging in te lichten over datalekken waarbij hun data in het geding kan zijn
  5. De wetgeving is zeer breed geörienteerd en behandelt vele aspekten van persoonsgegevens. Wanneer het gaat om de bescherming van persoonsgegevens zijn er drie sleutelartikelen waarvan je op de hoogte moet zijn. Artikel 30 gaat over het beschermen van persoonsgegevens, zoals bijvoorbeeld betalingsgegevens, klantenbestanden, medische informatie. Artikel 31 gaat over de verplichting de toezichtsautoriteit in te lichten over een datalek. Artikel 32 behandelt het inlichten van personen wanneer er een datalek heeft plaatsgevonden dat op hen van invloed kan zijn. Het zijn deze drie artikelen waarop we ons focussen in deze sessie.
  6. Dus dit zijn de vereisten in een notedop. Bedrijven moeten, wanneer ze data van EU burgers willen kunnen verwerken: 1. passende beveiligingsmaatregelen nemen om persoonsgegevens te beschermen. Waar deze maatregelen uit kunnen bestaan gaan we zo in detail op in. 2. een duidelijk databeschermingsbeleid hebben waardoor medewerkers weten hoe persoonsgegevens beschermd moeten worden. 3. een functionaris voor gegevensbescherming aanwijzen. Tenzij het om een MKB gaat, hetgeen in deze context betekent dat je de data van minder dan 5000 Europese burgers per jaar verwerkt. Behalve het opstellen van vereisten voor databescherming, zet de Verordening ook de deur open voor administratieve geldboetes, die op kunnen lopen tot €100 miljoen of 5% van de jaarlijkse wereldwijde omzet, in geval van een datalek. Als je een datalek hebt gehad, maar kan aantonen dat de data voorzien was van een technische beschermingsmaatregel die de data onleesbaar maakt voor ongeauthoriseerde personen (zoals versleuteling) hoef je de betrokkenen niet te informeren. Op dit moment zijn de uiteindelijke criteria waarmee boetes worden vastgesteld nog niet bekend, maar het is zeer waarschijnlijk dat gebruik van versleuteling erin resulteert dat er geen boetes zullen worden opgelegd. De eenvoudigste definitie van een datalek in de zin van deze verordening is trouwens, in mijn optiek: het in bruikbare vorm (laten) aantreffen van persoonsgegevens van EU burgers door een onbevoegde persoon. Dit reikt van een systeembeheerder die in PZ data kijkt, via het verliezen van een USB stick met onbeschermde persoonsgegevens, tot het gehackt worden van je webshop waarbij klantgegevens, mits van EU-burgers, gestolen worden.
  7. Even snel de resultaten van een (niet al te) recente Sophos Poll over de houding van Europeanen ten opzichte van databescherming, zodat we een idee hebben van de huidige stand van zaken.
  8. We surveyed 1500 professionals in the UK, France and Germany from sub 1000 user organizations.
  9. Waar kwamen we achter? Kort gezegd, vele organisaties hebben nog een lange weg te gaan voordat ze kunnen voldoen aan wetgeving die er aan zit te komen. - Iets minder dan de helft van de mensen is niet op de hoogte van het databeschermingsbeleid van hun organisatie. Dit is een sleutelelement van de nieuwe wetgeving. - Slechts iets meer dan de helft van de bedrijfslaptops is versleuteld. Gestolen of verloren laptops zijn een gangbare born van onopzettelijke datalekken dus dit is zeer zorgwekkend. - Minder dan een kwart van de mensen heeft er vertrouwen in dat hun organisatie persoonsgegevens beschermt van zowel klanten als personeel.
  10. Hoezo versleuteling? Waar staat dat dan? In de verordening wordt het gebruik van versleuteling niet met zoveel woorden verplicht gesteld. Maar de behoefte om te versleutelen is een van de belangrijkste uitkomsten van de Verordening. Op dit moment weten we niet waarop boetes precies gebaseerd zullen zijn, maar juridische experts op dit gebied bevestigen dat het zeer waarschijnlijk is dat het gebruik van versleuteling het opleggen van boetes zal voorkomen.
  11. Zoals wij allen weten wordt versleuteling beschouwd als de beste beschermingsmaatregel voor data. Maar waar moet je beginnen? Data stopt niet waar het bedrijf stopt. Laten we eens nagaan op welke manieren data op straat komt te liggen, en hoe je hier versleuteling op toe kunt passen.
  12. Diefstal of verlies van een apparaat gebeurt elke dag, overal, en overkomt bijna iedereen wel eens: Bij de securityscanner op het vliegveld achtergelaten? Telefoon in restaurant of bar vergeten? Gestolen uit kantoor, hotel of auto? Onder bedreiging van je afgepakt? Alleen geauthoriseerde gebruikers hebben toegang tot de apparaten! Bedenk eens met welke apparaten de medewerkers hun werk doen: Laptops Desktops Smartphones Tablets Wat hier mis kan gaan is een verloren of gestolen apparaat. De dreiging is in dit geval een externe, laten we zeggen een dief die het apparaat gestolen heeft. We zijn allemaal mensen. Een gebruiker kan zijn laptop per ongeluk laten liggen bij de securityscanner op het vliegveld; of het wordt gestolen uit hun auto of hotelkamer. In geen van deze scenario´s wil je dat een onbevoegde toegang tot de digitale inhoud van het apparaat kan verkijgen, en daarmee toegang tot je data. Denk aan dit simpele voorbeeld: wanneer je haast hebt en door de security van het vliegveld moet, van welk object en zijn lokatie ben je je dan het meest bewust? En als je moet rennen, wat pak je dan eerst? Voor de meeste mensen is het hun portemonnee, paspoort of smartphone. Aan laptops wordt vaak pas in tweede instantie gedacht. Vragen die je jezelf kunt stellen: Is je organisatie recentelijk van die apparaten kwijtgeraakt? Wat voor apparaten waren het precies? Wat stond er op? Stond er vertrouwelijke informatie op? Hoeveel verschillende platforms zijn er in gebruik? Windows? Mac OS X? iOS? Android? Het principe van deze vereiste is dat je alleen bevoegde gebruikers toegang hebben tot een apparaat. Hoewel de meerderheid van deze gevallen aan eenvoudige en menselijke fouten te wijten zijn is dit een algemene vector voor datalekkage. Met de grote opslagcapaciteit van hedendaagse apparaten kan er een enorme hoeveelheid data lekken, door een onschuldige handeling. Historisch is dit hoe versleuteling werd toegepast, voor de harde schijf in laptops omdat dit de enige apparaten waren die de organisatie uitgingen. Nu zijn er meer apparaten met data buiten de organisatie. In een databeschermingsbeleid zul je over allemaal iets moeten bedenken. En hoewel het meestal niet de bedoeling is dat desktops de organisatie verlaten, moet je rekening houden met de mogelijkheid dat deze gestolen worden. Dit geldt overigens ook voor een server. Voor laptops en desktops begin je met versleuteling van de harde schijf. De schijf is versleuteld, en voordat het Operating System opstart moet de gebruiker zich authenticeren. Dit verzekert dat alleen bevoegde gebruikers toegang hebben. En omdat de schijf versleuteld is heeft het geen zin de harde schijf uit het apparaat te sleutelen en via een kabeltje op een ander systeem uit te lezen. Op smartphones of tablets zet je de ingebouwde versleuteling aan, en verplicht de gebruiker een PIN of een wachtwoord te gebruiken. Dit is de eerste verdedigingslaag in een databeschermingsstrategie.
  13. Removable Media (zoals bijvoorbeeld USB Sticks) kunnen ook een vector voor datalekkage zijn. Op kleine apparaten passen grote hoeveelheden data, en ze raken makkelijk uit het zicht. Weet jij waar je eerste USB stick ligt? Ben je wel eens een USB Stick kwijtgeraakt? Nog belangrijker, weet je nog wat er op stond? Twee basale keuzes: Sta gebruikers niet toe removable media aan te sluiten Bescherm data wanneer deze naar removable media wordt gekopiëerd Het kopiëren van data naar removable media, zoals een USB stick, is een zeer eenvoudige handeling en gebruikers hebben geleerd dat het een makkelijke manier is om data, veel of weinig, te delen met een collega, klant of partner. Omdat het meestal de bedoeling is dat data er maar tijdelijk op staat houden gebruikers meestal niet bij wat er allemaal op staat. Maar het zou ook zomaar een backup van een laptop kunnen zijn. Omdat de tijd en de techniek niet stil staat kan een removable media apparaat, zo klein als je vingernagel, of zo groot als een smartphone, gigabytes dan wel terabytes aan data bevatten. En omdat deze handige dingen zo lekker klein zijn, worden ze net zo makkelijk verloren. Je doet de USB stick in je broekzak. Je haalt je autosleutels uit je broekzak en je USB stick wordt meegetrokken en valt op de grond. Zou je dat merken? Het is heel interessant om deze basisvragen te stellen: weet je waar je eerst USB stick is, en wat erop staat? Dit is een goed voorbeeld omdat de meeste mensen hier geen antwoord op hebben. Het toont aan dat voor de meeste mensen de locatie van dit soort apparaten een secundaire overweging is, laat staan wat er allemaal op staat. Dus wat kan je organisatie doen? Een methode is simpelweg het gebruik van deze apparaten verbieden. Als ze geen USB stick aan kunnen sluiten, kunnen ze er ook geen data op zetten. Dit is een prima oplossing om van deze vector voor datalekkage af te komen, maar ontneemt de gebruikers deze mogelijkheid om data te delen, en kan op weerstand stuiten van deze gebruikers. Als je baas vraagt waarom hij een USB stick niet kan gebruiken, wat is dan het antwoord? Ook zijn er alternatieve oplossing zoals Device Control zodat je onderscheid kunt maken tussen welke apparaten wel en welke niet aan je laptops en desktops mogen worden aangesloten. Er zijn zelfs bijzonder beveiligingsbewuste bedrijven die zover gaan dat ze de USBpoorten dichtlijmen, zodat er echt niets meer in gestoken kan worden. Dat brengt me bij de tweede optie: wanneer het gebruikers toegestaan is removable media apparaten aan te sluiten, bescherm dan de data die erop geschreven wordt, door middel van versleuteling. Denk even terug aan onze definitie voor een datalek: zorg dat data geschreven wordt zodat het voor onbevoegden onbruikbaar is. Oh ja, heeft er iemand wel eens een USB stick op de grond zien liggen, en opgeraapt? Zo ja, heb je gekeken wat er op stond? Zo ja, gefeliciteerd, je kunt nu een malware infectie hebben opgelopen. Zorg dat je anti-malware software up to date is. Op deze manier zijn heel wat nucleaire centrifuges maar ook kassasystemen beschadigd.
  14. We sturen allemaal mail, en we maken allemaal wel eens een foutje. Behalve Sheldon Cooper misschien. Onbedoelde menselijke fout: Per ongeluk het verkeerde bestand aan een e-mail gehangen? Ging dat mailtje toevallig naar buiten de organisatie? Per ongeluk een mail naar de verkeerde persoon gestuurd? Ook al was dat binnen de organisatie, wat betekent het dat deze persoon nu over deze informatie beschikt? Twee keuzes: Versleutel bestanden bij aan e-mails gevoegd worden Inspecteer e-mails op de gateway Er is geen e-mailgebruiker die nooit een bestand gemaild heeft. Dit is een standaard methode om data te delen. E-mailtechnologie is een van die tweesnijdende zwaarden. Het is geweldig om makkelijk data te delen, zowel binnen als buiten een organisatie. Helaas is het net zo makkelijk om er een datalek mee op te lopen, per ongeluk of door een kwaadwillende gebruiker. We zijn allemaal menselijk en het is zo makkelijk om per ongeluk het verkeerde bestand aan een mail te plakken. Wat voor kwaad zou dat nou kunnen? Stel je voor dat je met een overname of fusie bezig bent, iemand stuurt een bod en de deal mislukt omdat het gepubliceerd werd? Of het bijvoegsel was je prijslijst, of financiële gegevens, of de details van je voorsprong op je concurrentie? Het komt neer op de vraag: welke data is belangrijk voor de organisatie en wat zijn de consequenties als het in verkeerde handen valt. Je kunt denken dat het minder erg is om het verkeerde bestand binnen de organisatie te versturen, maar wat als je PZ of de juridische afdeling deze fout maakt, en informatie stuurt aan iemand die er geen toegang toe zou moeten hebben? Het is dus altijd een goed idee om data ook binnen de organisatie te versleutelen. Er zijn vele bestandstypen waar gebruikers mee werken gedurende de dag, en die kunnen allemaal versleuteld zijn. Bijvoorbeeld: De office documenten (Word, Excel, Powerpoint) en de Adobe documenten (PDF, InDesign, Photoshop, etc.).
  15. Moderne Operating Systems maken het delen van data op het bedrijfsnetwerk erg eenvoudig: Heb je data die andere onderdelen van de organisatie niets aangaan? Is er een wettelijke verplichting aangaande bevoegde toegang tot data? Bescherm tegen interne dreigingen: IT beheerder die bij alle PZ documenten kan Alleen de juridische afdeling hoort bij de inhoud van juridische documenten op de juristenshare te kunnen Alleen bevoegde gebruikers kunnen bij patientengegevens Versleutel je data om deze te beschermen tegen interne dreigingen Iedereen heeft wel eens data op een netwerkshare gezet, of benaderd. Dit is een ontzettend makkelijke manier om data binnen een organisatie te delen. En door moderne operating systemen kost dit geen enkele moeite. Soms zie je weinig verschil tussen het lokaal of via een netwerk kopiëren van data. Denk nu aan interne dreigingen. Deze zijn niet per se kwaadaardig, maar men kan per ongeluk data benaderen waarvoor men niet bevoegd is, en die men niet nodig heeft voor de dagelijkse werkzaamheden. Nu kun je denken, nou en, wat maakt dat nu uit? Heel veel, eigenlijk. In sommige regelingen is er specifieke tekst die bepaalt wie toegang mag hebben tot klantengegevens, en welk gedeelte daarvan (voorbeeld: PCI-DSS. Hier moet je aan voldoen als je credit card betalingen accepteert). Een voorbeeld: IT beheerders hebben over het algemeen goddelijke rechten op interne infrastructuur. Stel je voor dat de IT beheerder het interessant vindt om te weten wat iedereen verdient, of welke optieregelingen er getroffen zijn voor de collega´s? Uiteraard is dit een PZ- en ethische kwestie. Gebruikers verwachten privacy. Een tweede voorbeeld: Mogen niet-leden van de juridische afdeling toegang hebben tot de juridische documenten van de organisatie, lopende zaken, etcetera? Een derde voorbeeld: Je bezoekt je dokter eenmaal of vaker per jaar. Vaak zit een dokter in een praktijk met meerdere dokters. En dan heb je net een bloedtest gedaan, of iets dergelijks. Vind je het goed dat hun It-er de resultaten kan zien, of verwacht je hier toch dat je privégegevens vertrouwelijk blijven? Maar hoe kun je je data beschermen op je netwerk? De eerste stap is natuurlijk ervoor te zorgen dat de toegangsrechten correct zijn ingesteld, maar dit houdt systeembeheerders of hosting providers niet uit je data. Het is een goede praktijk om te verzekeren dat data versleuteld is. Vooral waar het gaat om data waar de systeembeheerder niet in hoort te kunnen lezen, dus waar het instellen van toegangsrechten ontoereikend is.
  16. Cloudopslagdiensten bieden een makkelijke manier om data tussen gebruikers en apparaten te delen. Dropbox, Onedrive, Googledrive, etc. Deze diensten bevinden zich buiten de bedrijfsperimeter Wie heeft er toegang toe? Wat voor data is er opgeslagen? Wat is de impact wanneer accounts worden gehackt en de data gestolen? Versleutel de data voordat je het de Cloud instuurt. Deze Cloudopslagdiensten zijn makkelijk, handig en dus zeer populair geworden. Helaas zijn ze ook een vector voor datalekken. Je moet jezelf de volgende vragen stellen: Mag je organisatie het gebruik van deze diensten toestaan? Wie in de organisatie zou deze diensten mogen gebruiken? Welke soorten data mogen wel en welke niet op deze diensten worden opgeslagen? Wat zijn de gevolgen wanneer accounts gehackt en de data gestolen wordt? Dat laatste kan een officiëel data lek genoemd worden, en dan heb je als organisatie een probleem. De bewijslast, dat de data onbruikbaar zou zijn, ligt bij de organisatie. Kun je dat niet wordt er vanuit gegaan dat de data gelekt is. Het is al vaak voorgekomen dat dergelijke accounts gehackt zijn, of dat een Cloudopslagdienst een foutje maakt. De CEO van Box raadt zelfs al hun klanten aan dat ze hun data versleutelen voordat ze het op Box zetten. Dus wat kun je doen? Zorg ervoor dat alle data die richting wat voor Cloudopslagdienst dan ook versleuteld is, voordat het ook maar je apparaat verlaat. Dat betekent het versleutelen van bestanden nog voordat ze gesychroniseerd worden (misschien beginnen jullie een patroon te zien). Uiteraard wil je het niet pas versleutelen wanneer het bij de dienst is aangekomen, want dat zou betekenen dat de data onversleuteld over het internet is gegaan. Wat geen goede zaak is. En tegelijkertijd moeten de medewerkers productief kunnen blijven.
  17. Hoe kun je, met al deze mogelijkheden, de beveiligingsmaatregelen nemen om persoonsgegevens te beschermen? Het begint met een solide databeschermingsstrategie. Dit gidst je door wat je moet gaan doen. Bedenk antwoorden op de volgende vragen: Hoe vloeit data je organisatie in, en hoe vloeit data je organisatie uit? Wat doen de gebruikers met de data? Wie mag er bij bedrijfsgegevens? Vergeet dit ook niet – Je databeschermingsstrategie mag niet in de weg zitten van de workflow van je medewerkers. Je hebt een strategie nodig om de persoonsgegevens die door de organisatie bewaard worden te beschermen. Komen we terug op de drie behulpzame vragen. Eerst, hoe vloeit data naar binnen, en waar, indien noodzakelijk, naar buiten? Krijg je emails met bijvoegsels, of verstuur je die? Krijg je data binnen op USB sticks of op andere vormen van removable media? Dezelfde vraag geldt voor het versturen van grote hoeveelheden data. Hoe wordt er met cloudopslagdiensten zoals Dropbox, Box, Onedrive etcetera omgegaan? Als tweede, hoe gebruiken gebruikers data? Wat zijn hun workflows, and wat doen ze bij hun dagelijkse werk, als ze productief zijn. Welke tools of methodologieën hanteren ze en vormt een of meer ervan een mogelijke vector voor een datalek? Als derde, wie heeft toegang tot de persoonsgegevens onder jullie hoede? Heeft de systeembeheerder toegang tot de PZ-gegevens van iederen? Hebben de gebruikers toegang tot de data die zij nodig hebben, of hebben zij toegang tot nog veel meer? Als ze ergens geen toegang toe hebben hoef je dat trouwens meestal niet te vragen, daar komen ze uit zichzelf wel mee. Iedere organisatie is anders, en zal een afwijkende databeschermingsstrategie implementeren, afhankelijk van type organisatie, soorten data die ze hebben, lokale wetgeving, industriestandaarden, en grootte van de organisatie. Sommigen hebben genoeg aan een minimale beschermingsstrategie, anderen hebben alles nodig. Maar er zijn een paar vaste thema´s te bedenken bij het introduceren van een databeschermingsplan: 1. Voldoet het aan de regelgeving (zijn we hierdoor “compliant”?) 2. Hoewel het niet zo moet zijn dat de werkvloer belast wordt door het aanpassen van hun werkwijzen om aan een databeschermingsplan te kunnen voldoen, is het wel belangrijk dat men zich bewust is van wat er op het spel staat, en van hun rol bij het beschermen van persoonsgegevens en bedrijfsdata. 3. De gangbare methoden om persoonsgegevens te delen moeten bekeken worden om er zeker van te zijn dat er geen sprake kan zijn van onopzettelijke datalekken. 4. Er zijn meer dingen die mis kunnen gaan. Als ik klanteninformatie print maar deze op mijn bureau laat liggen, en de schoonmaker neemt ze mee en verkoopt ze aan de concurrent, dat is zo´n voor beeld. Dit gaat eigenlijk weer terug op punt 2. De datastroom in- en uit de organisatie. Flow of data inside and outside the organization. As we already have the image above showing a flow, perhaps this could be more strategy oriented: Je hebt data, dat is waardevol De bescherming ervan is prioriteit nummer 1 Je strategie voor databescherming moet gebouwd zijn rond hoe de data wordt gebruikt, hoe het stroomt, etc. Het moet eenvoudig te beheren zijn, en makkelijk in het gebruik. In feite zouden de gebruikers zich er helemaal niet van bewust hoeven zijn dat ze beschermd zijn. Het gebeurt allemaal netjes in de achtergrond, en het is allemaal beheerd, en gelogd.
  18. Hoewel het essentiëel is om data beschermd te hebben ten tijde van een gat in de beveiliging, helpt het ook om gaten in de beveiliging te voorkomen, waar mogelijk. We nemen een snel kijkje naar een aantal van de belangrijkste manieren om dat te bewerkstelligen.
  19. Versleuteling is essentiëel als het erom gaat persoonsgegevens te beschermen ongeacht de omstandigheden. Maar je kunt jezelf heel wat tijd, moeite en kopzorgen besparen als je datalekken om te beginnen weet te voorkomen. Hier zijn 5 top tips om te voorkoment dat data in de verkeerde handen valt. Zorg dat je patches up-to-date zijn Data-stelende malware maakt vaak gebruik van bekende kwetsbaarheden. Zorg dat je de laatste patches geïnstalleerd hebt, voor Windows, Mac, maar ook op PoS-systemen. Na Patchdinsdag komt reverse engineering woensdag, die gevolgd wordt door exploit donderdag. Meestal gaat het niet zo supersnel, maar het is wel de bedoeling van kwaadwillenden om zo snel mogelijk een exploit te fabriceren zodat iedereen die iets te lang wacht met patchen kwetsbaar is. Gebruik meerlaagse bescherming Malware komt binnen via Web en Mail, houdt het daar tegen waar het de organisatie binnenkoment. Voorkom gecompromitteerd te raken door drive-by downloads, spam of phishing. Kies voor Advanced Threat Protection Gebruik een next-generation firewall die aanvallen op het netwerk detecteert en tegenhoudt, maar ook data exfiltratie en botnetverkeer tegenhoudt. Gebruik Selective Sandboxing Malware van tegenwoordig is complex en doordacht, en kan zich “netjes” gedragen, voor een tijdje. Met selective sandboxing wordt verdachte code of content dat nog niet als kwaadaardig geïdentificeerd is voor analyse opgestuurd, om vertraagde of trage dreigingen tegen aan het licht te brengen. Limiteer verspreiding van gevoelige data Het is een kwestie van gezond verstand: als ik de data niet nodig heb om mijn werk te doen, hoef ik er ook niet bij te kunnen. Maak ook gebruik van Application Control en Data Control!
  20. Sophos kan organisaties helpen aan de wetgeving te voldoen en de kans op boetes te minimaliseren, op diverse manieren. Laten we eens kijken wat “passende beveiligingsmaatregelen” zijn.
  21. Maak een eind aan datalekken, en maak compliance makkelijk, met onze geavanceerde DLP en policy-gestuurde versleuteling. Berichten en bijvoegsels worden automatisch gescand op gevoelige data en je kun makkelijk policies vaststellen die er voor zorgen dat zulke emails geblokkeerd of juist versleuteld worden. Gebruikers kunnen voorzien worden van een knopje in Outlook dat het hen makkelijk maakt zelf een keuze voor versleuteling te maken. Het grootste voordeel van onze SPX Encryption is dat het gebruikers in staat stelt hun versleutelde mail gewoon in hun favoriete mailclient te beheren, online, offline, desktop of smartphone., het maakt niet uit. Emailversleuteling is nog nooit zo eenvoudig geweest voor gebruikers en beheerders. In onze UTM kun je ook gestandaardiseerde S/Mime of OpenPGP toepassen om privacy te beschermen, en de authenticiteit van beveiligde e-mail te garanderen. Geen client software nodig.
  22. Een andere vereiste is dat je een databeschermingsbeleidsplan moet hebben. Daar kunnen we mee helpen.
  23. Sophos has a sample data security policy that you can use as the basis for your own should you wish. It covers three key areas of concern namely: 1. Data security policy: Employee requirements 2. Data security policy: Data Leakage Prevention – Data in Motion 3. Data security policy: Workstation Full Disk Encryption