IB&P - Detectie en Analyse Netwerkverkeer (IDS)

Hier vindt u een beschrijving van gegevensverwerking IB&P - Detectie en Analyse Netwerkverkeer (IDS) in het kader van de Algemene Verordening Gegevensbescherming(AVG), met als doelen:

  • Het doel van gegevensverwerking binnen de managed IDS dienstverlening van Motiv is het waarborgen van de netwerk- en informatiebeveiliging, het sneller waarnemen van cybersecurityrisico’s en gevaren en versterken van de cybersecuritypositie van het CBG.
    De grondslag voor de verwerking van persoonsgegevens binnen het NDN voor het CBG is artikel 6, onder f, AVG. Informatiebeveiliging wordt in overweging 49 van de AVG aangemerkt als een gerechtvaardigd belang van de verwerkingsverantwoordelijke. De BIR kan worden gezien als een nadere invulling van dat gerechtvaardigd belang voor de verwerking van persoonsgegevens in het kader van NDN.
  • Het doel van gegevensverwerking binnen de managed IDS dienstverlening binnen het NDN is het waarborgen van de netwerk- en informatiebeveiliging, het sneller waarnemen van cybersecurityrisico’s en gevaren en versterken van de cybersecuritypositie van het CBG.
    De grondslag voor de verwerking van persoonsgegevens binnen het NDN voor het CBG is artikel 6, onder f, AVG. Informatiebeveiliging wordt in overweging 49 van de AVG aangemerkt als een gerechtvaardigd belang van de verwerkingsverantwoordelijke. De BIR kan worden gezien als een nadere invulling van dat gerechtvaardigd belang voor de verwerking van persoonsgegevens in het kader van NDN.

Betrokkene en gegevens

Van wie worden welke gegevens verwerkt en wat is het doel hiervan.

Indicators of compromise (IoC), voor zover deze als persoonsgegevens kunnen worden aangemerkt. Een IoC is informatie die kan helpen bij het identificeren van specifiek malafide gedrag binnen een netwerk. In de praktijk zijn IoC’s vaak IP-adressen of domeinnamen. Dit betreffen normale persoonsgegevens. Deze persoonsgegevens hebben betrekking op personen die direct, dan wel indirect in verband worden gebracht met een dreiging. Dit kunnen zowel kwaadwillenden als doelwitten zijn.

  • Gegevens: IP adressen
  • Verzameldoel: Analyse
  • Bewaartermijn: Persoonsgegevens zoals die in IoC’s zullen tot uiterlijk een maand na ontvangst worden bewaard, waarna deze volgens het ‘first in first out’ principe worden vernietigd.
  • Bron: Betrokkene
  • Betrokkenen waren niet verplicht deze gegevens aan te leveren.
  • Gegevens: Domeinnamen
  • Verzameldoel: Analyse en detectie
  • Bewaartermijn: Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor het verwezenlijken van het doel van de verwerking.
  • Bron: Betrokkene
  • Betrokkenen waren niet verplicht deze gegevens aan te leveren.

Hits, voor zover deze als persoonsgegevens kunnen worden aangemerkt.

  • Gegevens: • Message ID • Source IP • Source MAC • Destination IP • Destination MAC • Datum en tijdstip detectie • Datum en tijdstip event • Indicator • Details (waarop de hit heeft plaatsgevonden: een userID, e-mailadres, IP-adres). Het is mogelijk dat er onvoorziene persoonsgegevens tussen de details zitten maar het zijn wel altijd normale persoonsgegevens,
  • Verzameldoel: Analyse en detectie
  • Bewaartermijn: Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor het verwezenlijken van het doel van de verwerking.
  • Bron: Betrokkene
  • Betrokkenen waren niet verplicht deze gegevens aan te leveren.

Contactpersonen: CBG medewerkers, Motiv medewerkers en NCSC medewerkers betrokken bij dienstverlening

  • Gegevens: Contactgegevens van medewerkers die betrokken zijn bij de dienstverlening
  • Verzameldoel: Uitvoeren overeenkomst (Motiv) en invulling geven aan samenwerking (NDN)
  • Bewaartermijn: Contactgegevens van contactpersonen van het CBG en Motiv worden bewaard voor zolang zij optreden als contactpersoon van die organisatie Contactgegevens van contactpersonen van het CBG en het NCSC worden bewaard voor zolang zij optreden als contactpersoon van die organisatie Persoonsgegevens worden binnen het NDN niet langer bewaard dan noodzakelijk voor het verwezenlijken van het doel van de verwerking.
  • Bron: Betrokkene
  • Betrokkenen waren niet verplicht deze gegevens aan te leveren.

Informatie over events Het CBG kan aanvullende informatie over events of hits delen met Motiv / het NDN. Deze informatie kan persoonsgegevens bevatten.

  • Gegevens: Technische informatie rondom netwerkverkeer (IP adressen, mailheaders, afzender van e-mail en/of packets, MAC adressen e.d.) De dreigingsinformatie wordt niet verwerkt om een aanvaller te identificeren, op te sporen of te vervolgen, dit is voorbehouden aan organisaties die daartoe een wettelijke taak hebben
  • Verzameldoel: Analyse
  • Bewaartermijn: Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor het verwezenlijken van het doel van de verwerking.
  • Bron: Betrokkene
  • Betrokkenen waren niet verplicht deze gegevens aan te leveren.

Informatie over targets Deze gegevens hebben betrekking op personen die direct, dan wel indirect in verband worden gebracht met een dreiging. Dit kunnen zowel actors (mogelijk kwaadwillenden) als targets (doelwitten) zijn. Deze doelwitten kunnen individuele medewerkers of groepen van medewerkers van het CBG zijn.

  • Gegevens: Technische informatie zoals IP adressen, mail headers, MAC adressen en domeinnnamen
  • Verzameldoel: Analyse
  • Bewaartermijn: Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor het verwezenlijken van het doel van de verwerking.
  • Bron: Technische systemen
  • Betrokkenen waren niet verplicht deze gegevens aan te leveren.

Automatische besluitvorming

Er is geen sprake van besluitvorming over persoonsgegevens op basis van automatisch verwerkte gegevens.

Ontvangers

Gegevens worden verstrekt aan onderstaande 'ontvangers'.

  • Inzake NDN -> Aan geautoriseerde contactpersonen CBG/NCSC
  • Inzake MIDS -> Aan geautoriseerde contactpersonen CBG/MOTIV
  • Binnen het CBG kan informatie verstrekt worden aan geautoriseerde server, netwerk en applicatiebeheerders ter analyse of implementeren van corrigerende maatregelen

Doorgifte buiten EU

Er is geen sprake van doorgifte van persoonsgegevens aan één of meer landen buiten de Europese Unie of aan een internationale organisatie.

 

Verantwoordelijke

Adjunct Directeur agentschap College Beoordeling van Geneesmiddelen (aCBG)

Bezoekadres

Graadt van Roggeweg 500
3531AH UTRECHT
NEDERLAND

Postadres

Postbus 8275
3503RG UTRECHT
NEDERLAND