IB&P - Managed Security Monitoring

Hier vindt u een beschrijving van gegevensverwerking IB&P - Managed Security Monitoring in het kader van de Algemene Verordening Gegevensbescherming(AVG), met als doelen:

• Het waarborgen van de netwerk- en informatiebeveiliging, het sneller waarnemen van cybersecurity-risico's en gevaren en versterken van de cybersecuritypositie van het CBG.

  Gerechtvaardigd belang. Informatiebeveiliging wordt in overweging 49 van de AVG aangemerkt als een gerechtvaardigd belang van de verwerkingsverantwoordelijke. De BIO kan worden gezien als een nadere invulling van dat gerechtvaardigd belang voor de verwerking van persoonsgegevens in het kader van securitymonitoring.

• Het doel van gegevensverwerking binnen de managed IDS dienstverlening binnen het NDN is het waarborgen van de netwerk- en informatiebeveiliging, het sneller waarnemen van cybersecurityrisico’s en gevaren en versterken van de cybersecuritypositie van het CBG.

  Gerechtvaardigd belang. De grondslag voor de verwerking van persoonsgegevens binnen het NDN voor het CBG is artikel 6, onder f, AVG. Informatiebeveiliging wordt in overweging 49 van de AVG aangemerkt als een gerechtvaardigd belang van de verwerkingsverantwoordelijke. De BIO kan worden gezien als een nadere invulling van dat gerechtvaardigd belang voor de verwerking van persoonsgegevens in het kader van NDN.

Betrokkene en gegevens

Van wie worden welke gegevens verwerkt en wat is het doel hiervan.

Medewerkers (intern/extern)

• Gegevens: Inloggegevens, contactgegevens en computergegevens van medewerkers .
• Verzameldoel: Het waarborgen van de netwerk- en informatiebeveiliging, het sneller waarnemen van cybersecurity-risico's en gevaren en versterken van de cybersecuritypositie van het CBG.
• Bewaartermijn: Voor de Managed Security Monitoring: Ruwe event logs: 3 maanden, Security events: 36 maanden, Audit logs: 36 maanden, Gebruikersprofielen: gehele contractduur. Contactgegevens van contactpersonen van het CBG en het NCSC worden bewaard voor zolang zij optreden als contactpersoon van die organisatie. Persoonsgegevens worden binnen het NDN niet langer bewaard dan noodzakelijk voor het verwezenlijken van het doel van de verwerking.
• Bron: Betrokkene
• Betrokkenen waren verplicht deze gegevens aan te leveren.
  Gevolgen bij het niet aanleveren: Aanleveren geschiedt via monitoring en detectie.

Leverancier, ketenpartner, bezoeker

• Gegevens: Leveranciers, ketenpartners en bezoekers maken veelal gebruik van een eigen laptop.
• Verzameldoel: Het waarborgen van de netwerk- en informatiebeveiliging, het sneller waarnemen van cybersecurity-risico's en gevaren en versterken van de cybersecuritypositie van het CBG.
• Bewaartermijn: Voor de Managed Security Monitoring: Ruwe event logs: 3 maanden, Security events: 36 maanden, Audit logs: 36 maanden, Gebruikersprofielen: gehele contractduur. Contactgegevens van contactpersonen van het CBG en het NCSC worden bewaard voor zolang zij optreden als contactpersoon van die organisatie. Persoonsgegevens worden binnen het NDN niet langer bewaard dan noodzakelijk voor het verwezenlijken van het doel van de verwerking.
• Bron: Betrokkene
• Betrokkenen waren verplicht deze gegevens aan te leveren.
  Gevolgen bij het niet aanleveren: Aanleveren geschiedt via monitoring en detectie.

Automatische besluitvorming

Er is geen sprake van besluitvorming over persoonsgegevens op basis van automatisch verwerkte gegevens.

Ontvangers

Gegevens worden verstrekt aan onderstaande 'ontvangers'.

• Inzake NDN -> Aan geautoriseerde contactpersonen CBG/NCSC
• Inzake Managed Security Monitoring-> Aan geautoriseerde contactpersonen CBG/Managed Security Monitoring dienstverlener
• Binnen het CBG kan informatie verstrekt worden aan geautoriseerde server, netwerk en applicatiebeheerders ter analyse of implementeren van corrigerende maatregelen

Doorgifte buiten EU

Er is geen sprake van doorgifte van persoonsgegevens aan één of meer landen buiten de Europese Unie of aan een internationale organisatie.