Beschrijving van gegevensverwerking i.v.m. de Algemene Verordening Gegevensbescherming (AVG)

Basisgegevens

Naam verwerking IB&P - Detectie en Analyse Netwerkverkeer (IDS)
Verwerkingsnummer 5627
Verantwoordelijke(n)
  • Adjunct Directeur agentschap College Beoordeling van Geneesmiddelen (aCBG)

Welke gegevens van wie worden verwerkt, en waarvoor zijn die gegevens verzameld?

Betrokkene(n) Indicators of compromise (IoC), voor zover deze als persoonsgegevens kunnen worden aangemerkt. Een IoC is informatie die kan helpen bij het identificeren van specifiek malafide gedrag binnen een netwerk. In de praktijk zijn IoC’s vaak IP-adressen of domeinnamen. Dit betreffen normale persoonsgegevens. Deze persoonsgegevens hebben betrekking op personen die direct, dan wel indirect in verband worden gebracht met een dreiging. Dit kunnen zowel kwaadwillenden als doelwitten zijn.
Persoonsgegevens
Soort gegevens IP adressen
Verzameldoel Analyse
Bewaartermijn Persoonsgegevens zoals die in IoC’s zullen tot uiterlijk een maand na ontvangst worden bewaard, waarna deze volgens het ‘first in first out’ principe worden vernietigd.
Bron Betrokkene
Was (waren) betrokkene(n) verplicht deze gegevens aan te leveren? Ja
Soort gegevens Domeinnamen
Verzameldoel Analyse en detectie
Bewaartermijn Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor het verwezenlijken van het doel van de verwerking.
Bron Betrokkene
Was (waren) betrokkene(n) verplicht deze gegevens aan te leveren? Ja
Bijzondere persoonsgegevens
  • Geen
Betrokkene(n) Hits, voor zover deze als persoonsgegevens kunnen worden aangemerkt.
Persoonsgegevens
Soort gegevens • Message ID • Source IP • Source MAC • Destination IP • Destination MAC • Datum en tijdstip detectie • Datum en tijdstip event • Indicator • Details (waarop de hit heeft plaatsgevonden: een userID, e-mailadres, IP-adres). Het is mogelijk dat er onvoorziene persoonsgegevens tussen de details zitten maar het zijn wel altijd normale persoonsgegevens,
Verzameldoel Analyse en detectie
Bewaartermijn Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor het verwezenlijken van het doel van de verwerking.
Bron Betrokkene
Was (waren) betrokkene(n) verplicht deze gegevens aan te leveren? Ja
Bijzondere persoonsgegevens
  • Geen
Betrokkene(n) Contactpersonen: CBG medewerkers, Motiv medewerkers en NCSC medewerkers betrokken bij dienstverlening
Persoonsgegevens
Soort gegevens Contactgegevens van medewerkers die betrokken zijn bij de dienstverlening
Verzameldoel Uitvoeren overeenkomst (Motiv) en invulling geven aan samenwerking (NDN)
Bewaartermijn Contactgegevens van contactpersonen van het CBG en Motiv worden bewaard voor zolang zij optreden als contactpersoon van die organisatie Contactgegevens van contactpersonen van het CBG en het NCSC worden bewaard voor zolang zij optreden als contactpersoon van die organisatie Persoonsgegevens worden binnen het NDN niet langer bewaard dan noodzakelijk voor het verwezenlijken van het doel van de verwerking.
Bron Betrokkene
Was (waren) betrokkene(n) verplicht deze gegevens aan te leveren? Ja
Bijzondere persoonsgegevens
  • Geen
Betrokkene(n) Informatie over events Het CBG kan aanvullende informatie over events of hits delen met Motiv / het NDN. Deze informatie kan persoonsgegevens bevatten.
Persoonsgegevens
Soort gegevens Technische informatie rondom netwerkverkeer (IP adressen, mailheaders, afzender van e-mail en/of packets, MAC adressen e.d.) De dreigingsinformatie wordt niet verwerkt om een aanvaller te identificeren, op te sporen of te vervolgen, dit is voorbehouden aan organisaties die daartoe een wettelijke taak hebben
Verzameldoel Analyse
Bewaartermijn Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor het verwezenlijken van het doel van de verwerking.
Bron Betrokkene
Was (waren) betrokkene(n) verplicht deze gegevens aan te leveren? Ja
Bijzondere persoonsgegevens
  • Geen
Betrokkene(n) Informatie over targets Deze gegevens hebben betrekking op personen die direct, dan wel indirect in verband worden gebracht met een dreiging. Dit kunnen zowel actors (mogelijk kwaadwillenden) als targets (doelwitten) zijn. Deze doelwitten kunnen individuele medewerkers of groepen van medewerkers van het CBG zijn.
Persoonsgegevens
Soort gegevens Technische informatie zoals IP adressen, mail headers, MAC adressen en domeinnnamen
Verzameldoel Analyse
Bewaartermijn Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor het verwezenlijken van het doel van de verwerking.
Bron Technische systemen
Was (waren) betrokkene(n) verplicht deze gegevens aan te leveren? Ja
Bijzondere persoonsgegevens
  • Geen

Wat wordt in feite met de gegevens gedaan?

Doel(en) van verwerking

Doel verwerking Het doel van gegevensverwerking binnen de managed IDS dienstverlening van Motiv is het waarborgen van de netwerk- en informatiebeveiliging, het sneller waarnemen van cybersecurityrisico’s en gevaren en versterken van de cybersecuritypositie van het CBG.
Rechtsgrond
    Gerechtvaardigd belang verantwoordelijke: De grondslag voor de verwerking van persoonsgegevens binnen het NDN voor het CBG is artikel 6, onder f, AVG. Informatiebeveiliging wordt in overweging 49 van de AVG aangemerkt als een gerechtvaardigd belang van de verwerkingsverantwoordelijke. De BIR kan worden gezien als een nadere invulling van dat gerechtvaardigd belang voor de verwerking van persoonsgegevens in het kader van NDN.
Doel verwerking Het doel van gegevensverwerking binnen de managed IDS dienstverlening binnen het NDN is het waarborgen van de netwerk- en informatiebeveiliging, het sneller waarnemen van cybersecurityrisico’s en gevaren en versterken van de cybersecuritypositie van het CBG.
Rechtsgrond
    Gerechtvaardigd belang verantwoordelijke: De grondslag voor de verwerking van persoonsgegevens binnen het NDN voor het CBG is artikel 6, onder f, AVG. Informatiebeveiliging wordt in overweging 49 van de AVG aangemerkt als een gerechtvaardigd belang van de verwerkingsverantwoordelijke. De BIR kan worden gezien als een nadere invulling van dat gerechtvaardigd belang voor de verwerking van persoonsgegevens in het kader van NDN.

Is er sprake van automatische besluitvorming?

  • Nee

Gegevens worden verstrekt aan ("ontvangers")

  • Inzake NDN -> Aan geautoriseerde contactpersonen CBG/NCSC
  • Inzake MIDS -> Aan geautoriseerde contactpersonen CBG/MOTIV
  • Binnen het CBG kan informatie verstrekt worden aan geautoriseerde server, netwerk en applicatiebeheerders ter analyse of implementeren van corrigerende maatregelen

Doorgifte buiten EU

Worden de persoonsgegevens doorgegeven aan één of meer landen buiten de Europese Unie of aan een internationale organisatie? Nee
Worden de gegevens uitsluitend doorgegeven aan landen (of een of meerdere delen daarvan) buiten de EU , of internationale organisaties waarvan de Commissie heeft besloten dat zij een passend beschermingsniveau waarborgen? Nee

Wie is (zijn) de verantwoordelijke(n) voor de verwerking?

Adres verantwoordelijke(n)

Naam Adjunct Directeur agentschap College Beoordeling van Geneesmiddelen (aCBG)
Bezoekadres Graadt van Roggeweg 500
UTRECHT
NEDERLAND
Postadres Postbus 8275
UTRECHT
NEDERLAND