Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
3. 1: Voorbereid op de Wet bescherming persoonsgegevens &
Meldplicht datalekken?
A. Ja (vrijwel alles op orde)
B. Nee
3
Wet bescherming persoonsgegevens
& meldplicht datalekken
4. 2. Vanaf welke datum geldt de nieuwe wetgeving?
A. 1 januari 2016
B. 1 januari 2017
4
Wet bescherming persoonsgegevens
& meldplicht datalekken
5. 2. Vanaf welke datum geldt de nieuwe wetgeving?
A. 1 januari 2016
B. 1 januari 2017
5
Wet bescherming persoonsgegevens
& meldplicht datalekken
6. 3. Vanaf welke datum worden er boetes uitgedeeld?
A. 1 januari 2016
B. 1 januari 2017
6
Wet bescherming persoonsgegevens
& meldplicht datalekken
7. 3. Vanaf welke datum worden er boetes uitgedeeld?
A. 1 januari 2016
B. 1 januari 2017
7
Wet bescherming persoonsgegevens
& meldplicht datalekken
8. 4. Kan een boete direct opgelegd worden bij een datalek?
A. Ja
B. Nee
8
Wet bescherming persoonsgegevens
& meldplicht datalekken
9. 4. Kan een boete direct opgelegd worden bij een datalek?
A. Ja
B. Nee
9
Wet bescherming persoonsgegevens
& meldplicht datalekken
10. 5. Tot hoe hoog kan een boete oplopen voor “niet commerciële
instellingen”?
A. Maximaal € 500.000
B. Meer dan € 500.000
10
Wet bescherming persoonsgegevens
& meldplicht datalekken
11. 5. Tot hoe hoog kan een boete oplopen voor “niet commerciële
instellingen”?
A. Maximaal € 500.000 (maximaal € 810.000 of 10% jaaromzet)
B. Meer dan € 500.000
11
Wet bescherming persoonsgegevens
& meldplicht datalekken
12. 6. Wanneer moet u een melding van inbreuk op persoonlijke
data doen bij de Autoriteit?
A. Altijd indien inbreuk op persoonlijke data is gepleegd
B. Alleen indien dit tot ernstige nadelige gevolgen voor de
bescherming van persoonsgegevens leidt
12
Wet bescherming persoonsgegevens
& meldplicht datalekken
13. 6. Wanneer moet u een melding van inbreuk op persoonlijke
data doen bij de Autoriteit?
A. Altijd indien inbreuk op persoonlijke data is gepleegd
B. Alleen indien dit tot ernstige nadelige gevolgen voor de
bescherming van persoonsgegevens leidt
13
Wet bescherming persoonsgegevens
& meldplicht datalekken
14. 7. Moet u betrokkenpersonen over een datalek informeren?
A. Ja, altijd
B. Nee, alleen indien de inbreuk waarschijnlijk ongunstige
gevolgen zal hebben voor de persoonlijke levenssfeer
14
Wet bescherming persoonsgegevens
& meldplicht datalekken
15. 7. Moet u betrokkenpersonen over een datalek informeren?
A. Ja, altijd
B. Nee, alleen indien de inbreuk waarschijnlijk ongunstige
gevolgen zal hebben voor de persoonlijke levenssfeer
15
Wet bescherming persoonsgegevens
& meldplicht datalekken
16. 8. Diensten zijn door u uitbesteed en of u heeft Cloud-
applicaties.
A. U blijft altijd verantwoordelijk voor de persoonsgevoelige
data
B. Alleen indien u een sluitende “bewerkersovereenkomst”
heeft met uw dienstverlener of Cloud-applicatieleverancier
ligt de verantwoordelijkheid bij hen
16
Wet bescherming persoonsgegevens
& meldplicht datalekken
17. 8. Diensten zijn door u uitbesteed en of u heeft Cloud-applicaties.
A. U blijft altijd verantwoordelijk voor de persoonsgevoelige data
B. Alleen indien u een sluitende “bewerkersovereenkomst” heeft
met uw dienstverlener of Cloud-applicatieleverancier ligt de
verantwoordelijkheid bij hen
17
Wet bescherming persoonsgegevens
& meldplicht datalekken
18. Inzichten:
1. Urgentie. Wetgeving is nu al van kracht.
2. Boetes. Hoogte en risico’s indien geen afdoende maatregelen.
3. Reputatie / imago schade
4. Informatie / meldplicht kunnen nakomen
5. Contractuele aspecten van outsourcing en cloud
18
Wet bescherming persoonsgegevens
& meldplicht datalekken
19. Aanpak:
1. Aanstellen / rol “Security Officer” en mandaat
2. Scope bepaling: Inventarisatie applicaties intern & Cloud
3. In scope: Repository en veldlevel classificatie van data
4. Bepalen van maatregelen en middelen naar classificatie
5. Beleid, procedures en werkinstructies
6. Kunnen sturen en verantwoorden (intern/extern)
7. Certificering
19
Wet bescherming persoonsgegevens
& meldplicht datalekken
20. Middelen:
1. Afgeschermde repository t.b.v. inzicht, classificatie en
verantwoording
2. Classificatie methodiek en oplossing
3. Middelen om data te beschermen naar aard en omgeving:
- (mobiele)opslag, productie, niet-productie, Bi & Rapportages, data in
transfer
- Versleuteling/encryptie, maskering/substitutie
20
Wet bescherming persoonsgegevens
& meldplicht datalekken
21. Case “Grote financiële instelling”: Business case
1. Voorsorteren op gegarandeerd veilig en geanonimiseerd
(commercieel) gebruik van data;
- HO: Veilig kunnen exposen van statistieken en Bi gerelateerde data
2. Voorkomen van torenhoge boetes van de Autoriteit;
- HO: idem als finances
3. Rating / waarde van de instelling verhogen.
- HO: imago en aantrekkingskracht borgen
21
Wet bescherming persoonsgegevens
& meldplicht datalekken
22. 22
Wet bescherming persoonsgegevens
& meldplicht datalekken
Case “Grote financiële instelling” Classificatie & verantwoording
1. Scope4mation anonimiseringsplatform.
2. Security profielen en extreem gedetailleerde logging.
3. Classificatie repository (vastlegging structuur, geen inhoudelijke data)
4. Classificatie via DISS export en import functionaliteit
5. Visualisatie en logging van repository en wijzigingen
6. Anonimiseren en beveiligen van data op basis
van classificatie spelregels via platform
23. Wet bescherming persoonsgegevens
& meldplicht datalekken
Case “Grote financiële instelling”: Beveiligen
1. Creëren van consistente en anonieme substitutie van productiedata
2. Data veilig bruikbaar voor testdomeinen, BI- en Rapportages,
commerciële- & marketingdoeleinden
3. Consistent tussen databases en database platformen
- Zonder opslag van gevoelige brondata!
4. Anonieme data niet terug te leiden naar brondata
5. Geen user access naar gevoelige data
23
26. What is data masking?
Data masking (or data obfuscation) is a method of creating a
structurally similar but inauthentic version of an organization's
data that can be used for purposes such as software testing
and user training. The purpose is to protect the actual data
while having a functional substitute for occasions when the
real data is not required.
26
27. 5 Laws of data masking
1. Masking must not be reversible
2. The results must be representative of the
source data
3. Referential integrity must be maintained
4. Only mask non-sensitive data if it can be used
to recreate sensitive data
5. Masking must be a repeatable process
27
28. What is FDA?
• FDA stands for Fast Data Anonymizer
• FDA is a solution from Scope4mation
– Based upon Data Manager experience
– To mask data according the streaming principles
– Consistent and irreversible across the enterprise
• To be deployed for:
– Single and heterogeneous DB environments
– Local and enterprise wide
– Testing-, reporting-, BI- and commercial use of anonymized data
28
29. Supported Masking Methods
• Substitution
• Deletion
• Variance (number, data)
• Shuffle
• Belgian national register number (Generate unique reference)
• Masking options: random, relational, conditional and unique
• Customer specific methods on request
29
31. Platform Management
• Central repository (support of single/multi instance setup,
depending on segregation and performance requirements)
• Dataset management (interface, source and target datasets)
• Sensitive data classification management
• Substitution management (pick lists and key stores)
• Schema Import
• policy management: DISS (Data Item Specification Sheet) import &
export
• Role based access (based on Active Directory) for Change, View,
Operator and Administrator role
• Detailed logging on every aspect for full auditability and control
31
32. Technical Architecture
• Central server architecture (Windows)
• Web front end (explorer, http/https)
• Backend masking engine
• Multicore & parallel processing
• CommandLine activation for scheduling or batch integration
– Including full logging, user roles and control
• Syslog Support
• Interfaces
– Flat File (all systems that are able to extract and upload files are supported)
– MCP DMSII (via Micro Focus DATABridge/DBE)
– Oracle including automated DB Schema to Repository support
32
33. Functional features
• Bulk masking operations
• Near-real-time transactional masking operations
• Web Services and REST API (stubs) support
• Support Masking proxy/broker functionality
• Consistent and irreversible masking methods
• Extremely fast and scalable
33
35. Key features
• Cross data source, cross technology relational masking
• Extensive audit support
– Sensitive data (classification, what, where, how) -> risk,
compliance and security assessment
– Logging (what, when, who) -> proof of masking execution
• Dynamic field support
– Reduce impact on database changes for masking (re-)run
– Supports schema differences between source and target data
sources
• Collaboration support (sensitive data definition and policy
configuration via DISS)
• No user access to sensitive data
35