//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DAG 4 – INCIDENTEN EN CONTINUITEIT
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
PETER BERGHMANS
Peter Berghmans
Contact
Linked in
2
› Veiligheidsborger eWZC programma › Helpt mee persoonsgegevens te beschermen › Passie voor de zorgsector › Liefde voor lesgeven
› [email protected] › 0475951516
› Data Protection Officer White Wire › Docent Thomas More › Docent Data Protection Institute
› https://be.linkedin.com/in/peter-berghmans-96841241
13.06.2017
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
OVERZICHT VAN DE OPLEIDINGSDELENInformatieveiligheid in de ouderenzorg
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DE SESSIES - OVERZICHT
13.06.2017 4
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
SESSIE 1: INLEIDING INFORMATIEVEILIGHEID
Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt - Het belang van informatieveiligheid in de zorgsector besproken (o.a.
informatieveiligheid in de wetgeving, het eHealth platform en sectorcomité SZ/AG).
- de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - Een veiligheidsbeleid en -plan toegelicht
Praktische toepassing: - De cursist krijgt een bundel mee die kan gebruikt worden om het
management van het WZC in te lichten (30 minuten presentatie). Elke cursist plant een presentatie voor het woonzorgcentrum
- De cursist legt deel 1 van de beleidsnota voor aan de directie ter goedkeuring
13.06.2017 5
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
SESSIE 2: COT EN MINIMALE VOORWAARDEN
Objectief: 1. Begeleidingsmoment: van de presentaties voor het management en beleid informatieveiligheid 2. Tijdens deze sessie worden de basisvoorwaarden toegelicht om toe te treden tot systeem van COT: - Consent voor Belrai en Vitalink/eHealth - Procedure voor toegangsbeheer en de borging ervan - Logging van de activiteiten in het EBD - Omgang met medewerkers en derden
Praktische toepassing: - De cursist krijgt enkele templates mee die betrekking hebben op bovenstaande
onderwerpen. De cursist dient deze aan te passen aan de organisatie - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te
worden opgenomen in het beleidshandboek. - De cursist plant een eerste awareness sessie voor het personeel die wordt gegeven
in de verschillende woonzorgcentra
13.06.2017 6
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS
Objectief: 1. Reflectiemoment COT 2. Het doel van deze sessie is om toe te lichten welke de minimale
technische veiligheidseisen zijn voor een ICT omgeving in de zorg. Het is niet de bedoeling om van de aanwezigen IT experten te maken. Ze dienen echter wel te begrijpen welke minimale vereisten de Privacycommissie op dit vlak eist.
- Begrijpen welke veiligheidseisen op een werkstation op een verpleegpost is vereist
- Begrijpen welke veiligheidsmaatregelen zijn vereist op een mobiel toestel - Weten hoe een server op een veilige manier kan worden voorzien - Begrijpen hoe een server veilig op internet kan worden gekoppeld - Begrijpen wat een veilige transmissie van gegevens betekent - Een impressie krijgen van maatregelen op het vlak van netwerkbeheer - Een begrip krijgen van het eHealth certificaat - Weten wat belangrijk is in de omgang met de ICT leverancier
13.06.2017 7
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS
Praktische toepassing: - De cursist krijgt een checklist mee die een beeld geeft van de sterktes en
zwaktes van de ICT omgeving en kan hiermee de ICT omgeving in kaart brengen.
- De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek.
13.06.2017 8
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: VOORBEREIDEN OP INCIDENTEN/CONTINUÏTEIT
Objectief: 1. Reflectiemoment (uitgebreid) van IT 2. Het doel van deze sessie is inzicht te krijgen in de maatregelen die de organisatie moet nemen om incidenten te voorkomen en desgevallend te beheren. We gaan hierbij in op de procedures voor backup van gegevens, de minimale hersteltijden en de noodprocedures. Ook de vraag “Wat te doen bij een gegevenslek” wordt behandeld.
Praktische toepassing - De cursist krijgt een template mee voor het in kaart brengen van de
backup procedure. Idem voor incidentmanagement - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen
te worden opgenomen in het beleidshandboek.
13.06.2017 9
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 5: WRAP UP: EEN STAP VERDER…
Objectief: 1. Reflectiemoment van Incident- en continuïteitsbeheer 2. Het doel van deze sessie is om de lessons learned toe te lichten, maar ook om het vervolgtraject te behandelen: naast de behandelde procedures, elke moeten in de toekomst nog verder worden ontwikkeld?
Praktische toepassing - Dit is het einde van het traject. Er zijn geen opdrachten meer
13.06.2017 10
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
PRAKTISCHE AFSPRAKEN
> Elke deelnemer krijgt een attest van deelname > Verloop van de opleiding • 09u30 – 12u00: sessie deel 1
- Broodjeslunch • 13u00 – 15u30: sessie deel 2
> Opdrachten tussen de sessies helpen bij de implementatie
> Slides: check steeds versiedatum!
> In de presentatie staan hyperlinks • Onderlijnde woorden • Figuren
13.06.2017 11
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DAG 4 – INCIDENTEN EN CONTINUITEITVoorbeelden van informatieveiligheidsincidenten
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
13.06.2017 13
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
13.06.2017 14
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
13.06.2017 15
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
13.06.2017 16
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
13.06.2017 17
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DAG 4 – INCIDENTEN EN CONTINUITEITIncident management: omgaan met een incident
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Rollen en verantwoordelijkheden
• Wie moet op de hoogte gebracht worden? • Wie pakt het op?
13.06.2017 19
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Omgaan met een incident • Detecteren
• Identificeren
• Impact beperken
• Oplossen
• Activiteiten na het incident
13.06.2017 20
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Detecteren
• Monitoring en detectie: alerts, dashboards, mededelingen • Medewerkers moeten op de hoogte zijn van hun verantwoordelijkheden • Maak kenbaar dat men bij jou / de VC moet melden en hoe
• Informatie • Meldingformulieren • Mail templates • Ticketing systeem
13.06.2017 21
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Identificeren
• Wat is er aan de hand? Heeft een incident effectief plaats gevonden? • Wat is de impact op de organisatie? • Wat is de impact op persoonsgegevens?
• Vernietiging? • Verlies? • Misbruik? • Ongeoorloofde verstrekking of toegang?
• Escaleren?
13.06.2017 22
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Identificeren
• Classificatie matrix: urgentie en impact
13.06.2017 23
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Identificeren
• Classificatie matrix: urgentie en impact
13.06.2017 24
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Identificeren
• Identificeren van kritieke incidenten niet evident, voorbeeld:
• Een deel van de data communicatie ligt plat
• Belangrijke databases zijn corrupt
• Ransomware breidt zich uit in het netwerk
• Gevoelige persoonsgegevens zijn staan op een publiek forum
13.06.2017 25
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Identificeren
Eigenschappen van kritieke incidenten:
• Een groot aantal gebruikers of enkele belangrijke gebruikerskunnen mogelijk geen gebruik maken van diensten of systemen.
• Een aantal systemen die belangrijk zijn voor de uitvoering van kerntaken van het WZC zijn niet beschikbaar of onbruikbaar
• De kosten (inclusief gevolgschade) voor gebruikers / bewoners of voor het WZC zijn aanzienlijk of kunnen aanzienlijk worden.
• Het incident leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Het WZC zou reputatieschade kunnen oplopen of een boete kunnen krijgen
13.06.2017 26
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Impact beperken
• Welk acties kun je onmiddellijk / snel nemen? B.v.: • Geinfecteerde systemen afkoppelen van netwerk • Slotenmaker in geval van inbraak • Tijdelijk afsluiten lokaal / locatie • Voorzien reserve toestel • Inschakelen backup systeem
• Communicatie?
13.06.2017 27
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Oplossen
• Prioriteit • Wie heb je nodig? • Wat heb je nodig?
Let op: als VC / DPO ga je zelf meestal niet rechtstreeks betrokken zijn bij het oplossen van een incident maar ondersteun je rond de coordinatie en rapportage / vastlegging.
13.06.2017 28
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Activiteiten na het incident
• Rapporteren • Wat was de gebeurtenis? • Wie heeft de feiten vastgesteld? • Wanneer heeft de gebeurtenis plaatsgevonden? • Wanneer is de gebeurtenis vastgesteld? • Hoe werd het vastgesteld? • Wat was de oorzaak?
13.06.2017 29
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Activiteiten na het incident
• Evalueren: gelet op het incident, wat kunnen we hier uit leren? • Welke maatregelen kunnen worden genomen om het
incident te voorkomen? • Tijdens het behandelen van het incident, wat had er
beter gekund?
13.06.2017 30
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Incident 1: Dienstverlener: gegevens ziekenhuizen op internet Incident 2: Ziekenhuis: diefstal laptop met patientgegevens Incident 3: Datalek in website leidt tot gegevenslek Incident 4: Gerichte aanval via phishing mail Belgcaom techies Incident 5: Internet onbeschikbaar wegens storing Telenet
Detecteren, identificeren, impact beperken, oplossen, rapportering en evaluatie
Oefening: Aanpak incident management gaan toepassen op de getoonde voorbeelden.
Oefening 2: Stel dit incident doet zich morgen binnen jouw organisatie voor, hoe zou men er in de huidige situatie mee omgaan? Welke lessen zijn daar uit te trekken?
13.06.2017 31
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DAG 4 – INCIDENTEN EN CONTINUITEITMeldingsplicht uit de GDPR / AVG
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Wat is een datalek in de GDPR / AVG? (definitie)
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens
Dus alles dat de vertrouwelijkheid, integriteit of beschikbaarheid van de persoonsgegevens die verwerkt worden in gevaar kunnen brengen
13.06.2017 33
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Hoe kenbaar maken?
• Verantwoordelijke informeert DPA
• “zonder onredelijke vertraging” en indien mogelijk… binnen de 72 uur, anders motiveren waarom later
• Verwerker informeert Verantwoordelijke
Formulier Privacycommissie: https://www.privacycommission.be/nl/melding-gegevenslekken-algemeen
13.06.2017 34
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Wat kenbaar maken?
- Aard van de inbreuk - Categorieën persoonsgegevens - Aantal betrokkenen - Naam DPO/contactpersoon - Gevolgen - Beperkende maatregelen
Daarnaast geldt ook een documentatieplicht!
13.06.2017 35
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Hoe kenbaar maken aan betrokkene? - Verantwoordelijke informeert betrokkene
- Wanneer de inbreuk een grote inbreuk is op de privacy van de betrokkene behalve indien
- Passende technische maatregelen - Wanneer maatregelen zijn genomen om de impact alsnog te beperken - “onevenredig veel moeite”➔ publiek
- Kan door DPA worden opgelegd.
13.06.2017 36
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Hoe kenbaar maken aan betrokkene?
- Verstaanbare, duidelijke taal
- Aard van de inbreuk
- Naam DPO/contactpersoon
- Gevolgen
- Mitigerende maatregelen
13.06.2017 37
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Communicatie bij een incident
13.06.2017 38
Community/Hacker
FCCU
Journalisten
Public fora / Social networks
Data Processor
DPA
Bewoner
DPO
Intern (IT, medew, …)
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
MOGELIJKE MELDINGSTECHNIEKEN ONDER GDPR
13.06.2017 39
Context van de data (DPC – Data Processing Context) Risico op identificatie (EI – Ease of Identification) Omstandigheden van de gegevenslek (CB – Circumstances Breach)
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DAG 4 – INCIDENTEN EN CONTINUITEITContinuïteitsbeheer
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Continuïteitsbeheer
https://www.youtube.com/watch?v=cxE940f7iq0
13.06.2017 41
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Continuïteitsbeheer
Garanderen van de beschikbaarheid persoonsgegevens i.h.k.v. de vereiste dienstverlening
Dan dient eerst die dienstverlening op punt te staan:
- Een onveilige, slecht functionerende dienstverlening met uitstekend continuïteitsbeheer is
omgekeerde volgorde
- Continuïteitsbeheer heeft zijn plaats in het veiligheidsplan, maar in eerste instantie is er
ander werk
13.06.2017 42
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Continuïteitsbeheer, of BCM (Business Continuity Management)
Bedrijfscontinuïteitsmanagement (BCM) kan gedefinieerd worden als het beheersproces dat risico’s identificeert en beperkt, de mogelijke impact van een onderbreking van een (tijds)kritiek bedrijfsproces en ondersteunende systeem minimaliseert met als ultieme doel het tijdig herstellen van de kritische bedrijfsprocessen
13.06.2017 43
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Voorbeeld aanpak continuïteit:
• Fase I: Project management en initiatie • Fase II: Business impact analyse • Fase III: Recovery strategieën • Fase IV: Plan, ontwerp, ontwikkel • Fase V: Implementeer • Fase VI: Testen • Fase VII: Onderhoud en sensibilisering
Noot: afhankelijk van framework (SANS, BCI, ISC2, etc.) meer of minder fases, maar is overal algemeen zelfde onderwerpen, alleen andere indeling
13.06.2017 44
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Om kritische bedrijfsprocessen te onderkennen moeten die vastgesteld zijn, daarna gebeurt een risico analyse.
Praktisch: welke vragen te beantwoorden?
• Welke zijn onze kritische bedrijfsprocessen / kerntaken? • Intake van bewoners, bieden van hulpverlening, beheren van dossiers,
doorsturen van informatie uit die dossiers naar bevoegde instanties, ... • Onderverdeling naar b.v. kritisch (moet binnen 48u hersteld zijn)
essentieel (binnen 14 dagen) en noodzakelijk (binnen 40 dagen) • Wat is er minimaal nodig om deze processen te laten functioneren?
• Welke hardware, welke mensen, wanneer is het proces niet meer mogelijk?
• Welke risico’s tav voorgaande zien wij als voorziening? • b.v. het risico dat proces X pas binnen 3 dagen weer operationeel is
omdat men dan pas weer aan de server kan
13.06.2017 45
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
De risico’s zijn in kaart gebracht, mogelijke risico strategieën:
• Accepteren: risico is in kaart gebracht, gevolgen zijn bekend en men besluit het risico te accepteren
• Ontwijken: men besluit een risico uit te sluiten door b.v. een bepaalde locatie te sluiten en het samenhangende risico te verwijderen
• Overdragen: het risico wordt overgedragen aan een andere partij door b.v. verzekering af te sluiten
• Beheersen: er worden interne maatregelen genomen om het geconstateerde risico te beperken
13.06.2017 46
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: INCIDENTEN EN CONTINUÏTEIT
Bedenk voor de genoemde voorbeelden de mogelijke wijzen om om te gaan met het risico op basis van de 4 mogelijke strategiën: • Accepteren
• Ontwijken
• Overdragen
• Beheersen
13.06.2017 47
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
OPDRACHT
Maak een werkpostfiche voor de verpleegafdeling met als doel: wat te doen bij een uitval van de ICT voorzieningen.
Vraag 1: Welke ICT diensten hebben een impact op de werking van de verpleegpost? Vraag 2: Welke problemen kunnen zich voordoen? Vraag 3: Welke oplossingen voorzie je?
… en hoe dit inbedden in de organisatie?
13.06.2017 48
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DAG 4 – INCIDENTEN EN CONTINUITEITNIS directive
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
OUTLINE NIS DIRECTIVE
• Doel: Richtlijn ter standaardisering van minimale beveiliging binnen bepaalde industrieën en sectoren
• Toepassing: Essentiële diensten/Digitale dienstverleners (vb AWS, Azure, search engines, …) • Kernboodschap:
Verplichte melding van incidenten aan CSIRT Mogelijkheid om een audit te ontvangen over
Veiligheidsstatus en de documentatie van veiligheidsbeleid Bewijs dat security policies correct zijn geïmplementeerd
Resultaten van audits (self assessment) voorleggen • Opmerking: In nationale wetgeving tegen mei 2018
13.06.2017 50
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
OVERZICHT DATALEKKEN IN BELGIË
> https://www.slideshare.net/Johan_Vdd/incidentdata-breach-notification-flow-chart-belgian-law-future-situation?from_action=save
13.06.2017 51
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
MOGELIJKE KOPPELING
> Cyber security verzekeringen helpen zowel bij de preventie als het oplossen van een cyber security probleem.
13.06.2017 52
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DAG 4 – INCIDENTEN EN CONTINUITEITImpact analyse voor de verwerking van persoonsgegevens
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
GOOD READING STUFF
> http://www.piafproject.eu/ref/PIAF_D3_final.pdf
13.06.2017 54
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
OVER EEN DPIA
• Doel: Specifieke waarschijnlijkheid/ernst risico’s
beoordelen
• Wat beoordelen? De geplande maatregelen om
• de geïdentifceerde risico’s te beperken,
• de persoonsgegevens te beschermen
• aan te tonen dat aan deze verordening is voldaan
• Door wie? Verantwoordelijke verwerking op advies
van DPO (indien aangesteld)
13.06.2017 55
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
WANNEER UIT TE VOEREN?
• wanneer verwerking gebruik maakt van biometrie ter identificatie betrokkenen;
• wanneer de verwerking gebruik maakt van genetische gegevens;
• persoonsgegevens ingezameld bij derden dienstverlening te weigeren/stoppen
• financiële solvabiliteit van de betrokkene te beoordelen • Risicoprofiel betrokkene opmaken in kader dienstverlening
aan de betrokkene • Inbreuk op persoonsgegevens zou fysieke gezondheid van de
betrokkene in gedrang brengen • Verwerking financiële/gevoelige persoonsgegevens die
(her)gebruikt worden voor doeleinde andere dan degene waarvoor ze werden ingezameld, tenzij
• Toestemming • Noodzakelijk is voor wettelijke verplichting
13.06.2017 56
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
WANNEER UIT TE VOEREN?
• Persoonsgegevens zullen door verwerking ter beschikking worden gesteld aan grote groep
• Persoonlijke aspecten worden geëvalueerd (zie eerder, economische situatie, gezondheid, …)
• Profiling op grote schaal • Grootschalige verwerking persoonsgegevens kinderenvoor
andere dan oorspronkelijke doeleinden • Meerdere verwerkingsverantwoordelijken zijn van plan een
gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele sector, of een segment daarvan, of voor een gangbare horizontale activiteit en waarbij gebruik gemaakt wordt van gevoelige gegevens;
• De kennis, prestaties, vaardigheden of mentale gezondheidstoestand van leerlingen registeren en de evolutie ervan op te volgen, met name aan de hand van leerlingvolgsystemen, ongeacht of deze leerlingen zich in het primair, secundair, tertiair of universitair onderwijs bevinden.
13.06.2017 57
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
WAT STAAT ER IN EEN DPIA?
• Beschrijving verwerking en
verwerkingsdoel
• Noodzaak/evenredigheid in functie van
doelen
• Risico’s op rechten en vrijheden
• Maatregelen
13.06.2017 58
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
MOGELIJKE RISICO’S
13.06.2017 59
Risico Toelichting
Onduidelijke finaliteit
Er is geen duidelijke definitie waarom de data wordt verzameld vb “ter verbetering van de producten”
Te veel gegevens verzamelen
Vb naast het aanbieden van een betalingsdienst ook het koopprofiel bewaren
Verwerking is niet transparant
Vb Digitale TV verzamelt gegevens over voice commando’s maar het is niet duidelijk hoe de klant zijn privacy rechten kan uitoefenen
Combinatie van gegevensbronnen
Vb Facebook gebruikt whattsapp info, Google gebruikt info van de NEST thermostaat
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
MOGELIJKE RISICO’S
13.06.2017 60
Risico Toelichting
Ongeldige toestemming
Vb een garantie van een TV toestel geldt enkel nadat het toestel is geregistreerd. Bij de registratie worden ook kijkgegevens vrijgegeven
In het geheim informatie verzamelen
Vb Info doorsturen de overdracht van debug informatie in een besturingssysteem
De onmogelijkheid om toegang te geven tot de data
Vb Je maakt gebruik van een cloud dienst waarbij je de rechten van de betrokkene niet kan doen gelden (je kan als vvdv de gegevens niet opvragen)
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
MOGELIJKE RISICO’S
13.06.2017 61
Risico Toelichting
Geen mogelijkheid recht op verzet
Vb loper kan niet deelnemen zonder het dragen van een RFID tag
Geen transparantie in beslissingen
De onmogelijkheid om toelichting te geven bij het verwerkingsalgoritme
Problemen met toegangsbeheer
Alles of niks toegang in onderliggende software
Authenticatie-problemen
Vb geen toegangsbeheer in de black box van de wagen
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
MOGELIJKE RISICO’S
13.06.2017 62
Risico Toelichting
Geen mogelijkheid recht op verzet
Vb loper kan niet deelnemen zonder het dragen van een RFID tag
Geen transparantie in beslissingen
De onmogelijkheid om toelichting te geven bij het verwerkingsalgoritme
Problemen met toegangsbeheer
Alles of niks toegang in onderliggende software
Authenticatie-problemen
Vb geen toegangsbeheer in de black box van de wagen
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
OEFENING
> Wat zijn specifieke risico’s in uw WZC?
13.06.2017 63
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
backup, storage, virtualization
BCM VS DRP – GEFASEERDE AANPAK
13/06/17 64
Mobiel data center
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
backup, storage, virtualization
BCM VS DRP – GEFASEERDE AANPAK
13/06/17 65
Mobiel office center
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
EINDE