De verwerkingsverantwoordelijke en verwerker van persoonsgegevens zullen risico-gedreven datalekken moeten onderkennen en passende beheers- en beveiligingsmaatregelen treffen om:
Voor het onderkennen van datalekken hebben de toezichthouders, European Data Protection Board (EDPB) een guideline opgesteld en nationale toezichthouders bieden informatie over datalekken op hun website. Voor het organiseren van datalekken sluiten verwerkingsverantwoordelijke aan bij beveiligingsincidenten. Hierbij hoort het bewustzijn dat de scope en reikwijdte van datalekken anders en ruimer is dat die van beveiligingsincidenten. Deze observatie benadrukt de noodzaak van het opbouwen van voldoende bewustwording en kennis bij management en medewerkers over het identificeren van datalekken, het documenteren van datalekken, het analyseren van datalekken, het doortastend handelen bij datalekken, het treffen van passende beheers- en beveiligingsmaatregelen ter voorkoming van nieuwe datalekken en leren van een datalekken.
Wij behandelen in deze cursus het voorbereid zijn op een datalek.
De context voor de voorbereiding ontstaat door het bespreken van het jaarlijkse overzicht met van datalekken bij de toezichthouders. Dit overzicht vullen wij aan met andere bronnen die informatie bieden over datalekken. Hierbij raken wij al snel de wereld van Coordinated Vulnerability Disclosure (CVD) en Hackers van infrastructuren en informatiesystemen.
Het duidelijk omschrijven van mogelijke incidenten en datalekken maakt het organiseren van het ontdekken en passend reageren mogelijk. Bij het organiseren onderkennen wij verschillende rollen bij de verwerkingsverantwoordelijke en verwerker van persoonsgegevens en de toezichthouder. Elke rol vervult een taak en heeft de beschikking over bevoegdheden. De FG ziet toe of coördineert de taken met als doel de belangen van de betrokkenen te dienen en de aansprakelijkheids- en kostenrisico’s voor de verwerkingsverantwoordelijke te beperken. De processen rond datalekken ondersteunt de verwerkingsverantwoordelijke en verwerker met een managementsysteem.
De achilles van het organiseren van datalekken is het opbouwen en behouden van een voldoende kennisniveau bij het management en de medewerkers datalekken te onderkennen en passend te handelen.
Wij laten in de cursus voorbeelden van een managementsysteem en bewustwordings- en trainingsprogramma’s datalekken zien.
Doelgroep
De FG ziet toe op de processen datalekken. De FG van een beperkte bedrijfsorganisatie zal veel uitvoerende taken vervullen in de processen datalekken. De CISO interesseert zich in de wettelijke en contractuele verplichtingen meldplicht datalekken en zal de definities van incidenten en datalekken willen gebruiken voor het organiseren van de informatiebeveiliging. De compliance manager zal regelmatig de effectiviteit van de meldplicht datalek procedures en processen toetsen. Het management zal de hulp van de compliance manager inroepen voor het onderzoeken van de oorzaak en bepalen van de gevolgen van geconstateerde datalekken.
Het management en de medewerkers maken gebruik van bewustwordings- en trainingsprogramma’s waarin cursussen aandacht geven datalekken; wat zijn datalekken en wat moet ik doen?
Doelen
De bedrijfsleiding organiseert de bedrijfsactiviteiten met bedrijfsprocessen waarin interne controlemaatregelen “by design” zijn opgenomen. De bedrijfsprocessen worden door IT-systemen ondersteund en aangestuurd door het management en de medewerkers. Een essentiële interne controlemaatregelen is het onderkennen van incidenten die effectiviteit van de organisatie van de bedrijfsactiviteiten ondermijnt. De bedrijfsleiding wenst alle systematische incidenten en incidenten met een materiële impact te kennen. De interne controle en compliance inspanningen van de bedrijfsorganisatie zijn– in de basis – gericht op het onderkennen van deze incidenten.
De wetgever sluit bij een gebruikelijke bedrijfsorganisatie aan door slechts de scope te verruimen van het beschermen van bedrijfsgegevens naar bedrijfs- en persoonsgegevens en de verwerkingsverantwoordelijke te vragen een inbreuk in verband met persoonsgegevens te melden aan de toezichthoudende autoriteit (artikel 33 AVG, zie voor de uitleg van “een inbreuk in verband met persoonsgegevens” of “een datalek” de cursus, Overzicht huidige privacywetgeving).
De verwerkingsverantwoordelijke en verwerkers van persoonsgegevens zijn met de verplichting meldplicht datalekken in staat zich te verantwoorden over de effectieve werking van getroffen beheersmaatregelen gericht op het effectief beschermen van persoonsgegevens (artikel 5.2 AVG).
Binnen deze context onderkennen wij de volgende leerdoelen.
De cursist krijgt handvatten voor het definiëren van een incident of een datalek. Hierbij zoeken wij aansluiting bij wetgeving en documenten van de toezichthouders. Er bestaan overzichten van omschrijvingen van incidenten en datalekken die wij gebruiken. Leveranciers van IT-systemen hanteren veelal ook definities van incidenten en datalekken. Het opbouwen van een taxonomie van definities van datalekken helpt het management en medewerkers datalekken te onderkennen en doortastend te handelen.
Het onderkennen van datalekken vraagt “een geoefend oog” van het afdelingsmanagement en de medewerkers. Op welke kenmerken van een datalek moet ik letten voor het aansturen van mijn bedrijfsprocessen letten?
De voorbereidingen op het aanbrengen van incidenten en datalekken bestaat uit organiseren van het signaleren, vastleggen en in behandeling nemen van datalekken. Er zijn verschillende rollen betrokken die verantwoordelijk zijn voor taken en daarvoor voldoende bevoegdheden krijgen.
Het datalekteam zal relevante datalekken analyseren en de impact (kans van voordoen en omvang van eventuele schade) beoordelen. Betreft het een datalek als gevolg van een systematisch zwakheid in de beheers- en beveiligingsmaatregelen of gaat het om een incidenteel gevaar voor de bescherming van persoonsgegevens. De deelnemers van het datalekteam zullen protocollen volgen de impact van datalekken te beperken tot het minimum.
Voorbereid zijn op een datalek wil zeggen de bedrijfsleiding verwacht dat er datalekken zullen optreden. Deze veronderstelling is realistisch omdat beheers- en beveiligingsmaatregelen risico gericht worden genomen. Goedwillende personen kunnen datalekken ontdekken of personen die zoeken naar zwakke plekken in de beheer- en beveiligingsmaatregelen. Hiermee raken wij de omgeving waarin datalekken ontstaan. De toezichthouder bespreekt jaarlijks in haar verantwoording de aard en omvang van datalekken. Dat doen andere instituten en leveranciers ook. Hierbij raken al snel de wereld van Coordinated Vulnerability Disclosure (CVD) en Hackers van infrastructuren en informatiesystemen. Wij besteden in deze cursus aandacht aan bronnen die richting geven aan mogelijke incidenten en datalekken.
De achilles van het organiseren van datalekken is het opbouwen en behouden van een voldoende kennisniveau bij het management en de medewerkers datalekken te onderkennen en passend te handelen. Het organiseren van kennismanagement omtrent datalekken is essentieel voor een effectieve organisatie van het onderkennen en opvolgen van datalekken.
Wij laten in de cursus voorbeelden van een managementsysteem en bewustwordings- en trainingsprogramma’s zien.
Cursuscategorie governance en compliance
Het voldoen aan de meldplicht datalek (artikel 33 AVG) sluit aan bij de beheers- en beveiligingsdoelstellingen van een bedrijfsorganisatie. Het organiseren van het onderkennen en het opvolgen van datalekken is een essentieel governance, risk en compliance vraagstuk.
De rol van de FG bij het afwerken van datalekken is niet vrijblijvend of kan naar believen worden ingericht. De wetgever en de toezichthouder verwachten inbreng van de FG én de FG ziet erop toe dat het organiseren van datalekken adequaat plaatsvindt.