Beveiliging Defensie IT-Infrastructuur (Defensie Cyber Security Centrum)

Hier vindt u een beschrijving van gegevensverwerking Beveiliging Defensie IT-Infrastructuur (Defensie Cyber Security Centrum) in het kader van de Algemene Verordening Gegevensbescherming(AVG), met als doelen:

  • Digitale veiligheid en weerbaarheid behouden en bevorderen van het Ministerie van Defensie door interne controle en beveiliging van de Defensie IT-Infrastructuur
    Gerechtvaardigd belang verantwoordelijke: Het is een gerechtvaardigde belang van Defensie om de Defensie IT-Infrastructuur te beschermen conform doelstelling. Om het personeel van het DCSC hun taak te kunnen laten uitvoeren binnen de kaders van de wet en regelgeving is in samenwerking met Directie Juridische Zaken een Juridisch Kader DCSC opgesteld. Belangen en fundamentele vrijheden betrokkenen die tot bescherming van persoonsgegeven nopen, zijn daarbij goed afgewogen en wegen niet zwaarder dan. Het is een gerechtvaardigde belang van Defensie om de Defensie IT-Infrastructuur te beschermen conform doelstelling. Om het personeel van het DCSC hun taak te kunnen laten uitvoeren binnen de kaders van de wet en regelgeving is in samenwerking met Directie Juridische Zaken een Juridisch Kader DCSC opgesteld. Belangen en fundamentele vrijheden betrokkenen die tot bescherming van persoonsgegeven nopen, zijn daarbij goed afgewogen en wegen niet zwaarder dan belangen verwerkingsverantwoordelijke.
  • Het veilig houden van de Nederlandse vitale en rijksoverheid IT-Infrastructuur door dreigingsinformatie te delen met het NCSC.
    Taak van algemeen belang. Wet beveiliging netwerk- en informatiesystemen (geen verplichting Defensie, wel rechten) Voorschrift informatiebeveiliging Rijksdienst (bijzondere informatie 2013) (VIR/VIR BI 2013) Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen Rijksdienst , artikel 2, eerste lid, punt b

Betrokkene en gegevens

Van wie worden welke gegevens verwerkt en wat is het doel hiervan.

Personen die gebruik maken van de IT-infrastructuur van het Ministerie van Defensie.

  • Gegevens: Gewone persoonsgegevens: Naam Adres Telefoonnummer E-mailadres Locatiegegevens IP adres Device kenmerken Uniek nummer (geen BSN) die gecorreleerd kan worden aan een persoon (bv U-account, werknemer ID) Zeer kleine kans op verwerking van alle bijzondere persoonsgegevens, wettelijk identificerend en kleine kans op strafrechtelijke persoonsgegevens
  • Verzameldoel: Digitale veiligheid en weerbaarheid behouden en bevorderen van het Ministerie van Defensie door interne controle en beveiliging van de Defensie IT-Infrastructuur
  • Bewaartermijn: Conform Selectielijst Defensie 2021 werkprocessen: 9.3.1Beheren ICT-infrastructuur V 5 Jaar - Tickets van een cyberincident - Usecases 9.3.2 Loggegevens V 6 maanden - Gefilterde netwerkdata en securitylogs V 7-10 Jaar - Logs Defensiepas, netwerkcomponenten Defensiepas 18 maanden 9.3.3 Verzamelen ruwe data V 6 maanden - datascience Cyberincident: zo lang als nodig , zodra het onderzoek is afgerond. Idem bij forensische onderzoeken en pentesten
  • Bron: Data van sensoren en netwerkcomponenten, gegevens uit in DPIA bijlage B opgenomen systemen, dreigingsinformatie en gegevens uit cyber forensische onderzoeken en assessments van systemen (pentesten).
  • Betrokkenen waren verplicht deze gegevens aan te leveren.
    Gevolgen bij het niet aanleveren: Geen toegang tot IT-infrastructuur Defensie
  • Bijzondere persoonsgegevens

    • Persoonsgegevens waaruit ras of etnische afkomst blijkt
    • Persoonsgegevens waaruit politieke opvattingen blijken
    • Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken
    • Persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt
    • Genetische gegevens
    • Biometrische gegevens met het oog op de unieke identificatie van een persoon
    • Gegevens over gezondheid
    • Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid
    • Gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten

Automatische besluitvorming

Er is geen sprake van besluitvorming over persoonsgegevens op basis van automatisch verwerkte gegevens.

Ontvangers

Gegevens worden verstrekt aan onderstaande 'ontvangers'.

  • Defensie Cyber Security Centrum (DCSC)
  • Directie Bedrijfsvoering & Evaluatie (DBE) (Beveiligingsautoriteit)
  • CIO/CISO
  • Operationele commando's (Beveiligingscoordinatoren)
  • MIVD (tevens Joint Cyber Signal Unit (JCSU))
  • KMar
  • IT-Audit
  • OM en de Nationale Politie (ten behoeve van opsporing en vervolging)
  • Nationaal Cyber Security Center (NCSC) (Gepseudonimiseerde cyber intel)
  • NATO Computer Incident Response Capability (NCIRC) (Gepseudonimiseerde cyber intel)
  • Audit Dienst Rijk (ADR)

Doorgifte buiten EU

Er is geen sprake van doorgifte van persoonsgegevens aan één of meer landen buiten de Europese Unie of aan een internationale organisatie.