Alle nieuwsartikelen

Een jaar AVG: een terugblik op het cyber risk event van 23 mei jl.

Het is al weer ruim een jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) van kracht werd. In samenwerking met Fox-IT en Marsh Nederland organiseerde Ten Holter Noordam advocaten het evenement “Een jaar AVG: Cyberrisico’s en datalekken” om stil te staan bij de invoering van deze wet. Wat is er veranderd in het afgelopen jaar met betrekking tot het verwerken en bewaren van persoonsgegevens? Hoe meld je een datalek en hoe ga je om met een cyberincident? Dat is waar deze dag om draaide. In dit blog blikken we terug op het evenement.

De dagopening werd verzorgd door Joris van Benthem. Van Benthem is jurist van beroep en werkzaam bij de voetbalclub Feyenoord. In zijn presentatie vertelde van Benthem over zijn werk bij Feyenoord en op welke vlakken de club in aanraking komt de AVG.

Na de opening volgde een plenaire sessie met een discussie panel. Het panel bestond uit Gina Doekhie van Fox-IT, Sjaak Schouteren namens Marsh Nederland en Emiel de Joode, privacyspecialist bij ons kantoor. Dit panel discussieerde over diverse aspecten van een datalek en gaven hun mening vanuit hun professionele achtergrond.

De dag werd afgesloten met workshops van de drie organiserende partijen. De samenvattingen van deze workshops zijn hieronder te lezen.

Workshop Datalekken en AVG – Ten Holter Noordam advocaten

Emiel de Joode en Corine d’Hulst hebben tijdens de workshop de juridische aspecten in de fasen voor, tijdens en na een datalek behandeld. Bekijk hier de presentatie. De drie belangrijkste uitgangspunten uit de workshop zijn:

Voor – identificeer de risico’s van verwerkingsactiviteiten, zorg voor AVG-compliance.

Voorafgaand aan een datalek moet een organisatie maatregelen nemen om aan de AVG te voldoen. Belangrijke aspecten hierin zijn de verantwoordingsplicht, privacy governance, de beveiliging, verwerkers(overeenkomsten) en de rechten van betrokkenen.

Tijdens – maak een goede risico-inschatting voor een eventuele melding binnen de termijn van 72 uur.

Er is sprake van een datalek wanneer het een beveiligingsincident betreft dat leidt tot een inbreuk op de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens. Een verwerker is verplicht een datalek zo snel mogelijk aan de verwerkingsverantwoordelijke te melden. Een verwerkingsverantwoordelijke moet een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens, tenzij het geen risico vormt voor de betrokkene of een melding (nog) niet mogelijk is. In het laatste geval dient de verwerkingsverantwoordelijke te motiveren waarom de melding niet mogelijk is en kan deze een tijdelijke melding doen. Het kunnen inschatten van het risico van een datalek is daarom essentieel voor een organisatie.

Na – zorg voor een correcte datalekkenregistratie en pas waar nodig protocollen en beleid aan.

In de fase na een datalek moet de organisatie zich richten op het correct (afronden van) de registratie van een datalek. Deze registratie moet de gemelde én de niet gemelde datalekken bevatten en de motivatie van de afwegingen die zijn gemaakt om al dan niet tot melding over te gaan. Bovendien is het belangrijk te leren van het datalek; hoe voorkom ik toekomstige soortgelijke situaties, zijn de werknemers voldoende op de hoogte van een escalatieprocedure/datalekprotocol en hoe is de relatie met de verwerker?


Workshop Een jaar AVG: Cyberrisico’s en datalekken – Fox-IT

Ivo Pooters en Gina Doekhie van Fox-IT verzorgden een prikkelende workshop met het volgende uitgangspunt. Op vrijdagmiddag komt bij het Beekland Ziekenhuis het bericht binnen, dat op Tweakers te lezen is dat er gegevens van ruim 5.000 patiënten op straat liggen. Wat doe je dan? Wie neemt de lead? Hoe los je het op?

Deze en andere vraagstukken moesten de deelnemers beantwoorden in de vorm van een Kahoot-quiz. Ze doorliepen de complete cyclus van de ontdekking van een datalek tot en met de eindevaluatie van het proces. Deelnemers kregen telkens nieuwe informatie tot hun beschikking met vragen over de te nemen stappen. Zo bleek bijvoorbeeld dat het datalek werd veroorzaakt door een web-applicatie in beheer van een externe IT-partij.

Door de quiz-vorm werden deelnemers actief betrokken bij de workshop, wat resulteerde in veel discussie en leermomenten. Bovendien keerden drie mensen huiswaarts met een prachtige prijs. De take-aways van de workshop waren als volgt:

Voorafgaand aan het incident
  • Maak een technisch verwerkingsregister met daarin:
    • Op welke systemen persoonsgegevens staan
    • Welke beveiligingsmaatregelen je al neemt
    • Wat de omvang van de data is
    • De gebruikte dataformaten
  • Richt detectiemogelijkheden in via een SOC/SIEM
  • Review logconfiguraties van de IT-omgeving
    • Logretentie
    • Logpolicies
    • Wie, wat, waar, wanneer?
  • Leg dit vast in een overeenkomst met de beheerder van de web-applicatie

 

Tijdens het incident
  • Doe volledig onderzoek en vermijd voorbarige conclusies
    • Laat het onderzoek uitvoeren door een deskundig forensisch onderzoeksbureau
    • Borg het proces in een incident response plan
  • Stel je incidentteam samen
    • Beleg rollen en maak dit duidelijk aan de betrokkenen

 

Na het incident
  • Gebruik de lessons learned uit het incidentonderzoek om beveiligingsmaatregelen te implementeren en beter voorbereid te zijn op een volgend incident
    • Identificeer en documenteer zwakke plekken
    • Evalueer het proces
  • Plan maatregelen, bijvoorbeeld:
    • Implementeer multifactor-authenticatie
    • Schakel full disk versleuteling in

Cyber risk management verdient een holistische benadering; doorbreek de silo’s – Marsh Nederland

Binnen Marsh helpen consultants om inzicht te krijgen in de cyber risico’s van uw organisatie. Zij staan organisaties bij in het kwalificeren, kwantificeren, mitigeren en verzekeren van cyber risico’s.

Cyber en data security begint en /of eindigt niet bij uw ICT afdeling. Om organisaties op een duurzame manier weerbaar te maken tegen cyber risico’s is een holistische benadering nodig. Ook de AVG is geen ICT of Legal aangelegenheid; marketing, HR en de CFO moeten worden betrokken. Alleen dan maakt cyber en data security onderdeel uit van het businessmodel. Beschouw dit niet als een hygiënefactor, maar als een unique selling point waarmee een organisatie zich onderscheidt. Dat is niet alleen wat klanten verwachten; je wint er ook afdelingen zoals marketing, sales en R&D mee.

Ondanks alle voorzorgsmaatregelen weten we dat 100% zekerheid een utopie is. Digitale risico’s hebben een steeds grotere impact op uw organisatie. Daarnaast gaan klanten steeds kritischer kijken naar hoe hun data beveiligt wordt. Een cyberverzekering kan een zeer goede oplossing zijn om de impact van deze ontwikkelingen te minimaliseren. Een eerste stap is altijd om te onderzoeken waar uw impact echt ligt, hoe deze te verminderen en dan de afweging maken om de restrisico’s te verzekeren.

Een cyberverzekering verzekert onder andere tegen de gevolgen van hacking zoals diefstal van gegevens of inbreuk op systemen, verlies van data en bedrijfsstilstand. Tevens geeft deze verzekering een vergoeding van kosten voor crisismanagement en de inzet van ICT-specialisten.

Bekijk hier de presentatie van Marsh Nederland.

3 Geboden van Marsh
Voor:

Ga goed na met de gehele organisatie waar de grootste impact kan liggen voor uw organisatie. Geld en energie zijn maar een keer goed te beleggen, dus doe het in de juiste dingen.

Tijdens:

Laat u bijstaan door de juiste mensen, maak de afweging of u dit intern wil oplossen of niet.
Maak gebruik van de 24/7 crisismanagement mogelijkheden binnen de cyberverzekering en kijk naar het grote geheel. Wat voor gevolgen hebben de acties op de gehele organisatie.

Na:

Leer van de incidenten: maak een lerende organisatie en pas risicomanagement toe aan de veranderende omstandigheden. Vaak veranderd een organisatie en haar risicoprofiel sneller dan beleid kan bijhouden.

Op de hoogte blijven?

Ontvang de laatste updates op dit rechtsgebied maandelijks in je inbox.

Misschien ook interessant?

Interessant artikel?

De laatste updates rechtstreeks in je inbox.