Toevoegen aan mijn verslag

Privacy en informatiebescherming

Definitie

Het geven van inzicht in en richting aan de beheersing van de informatiebeveiligingsrisico’s ten behoeve van een optimale informatievoorziening en optimale klantervaring. Een belangrijk onderdeel hiervan is het respecteren en beschermen van de privacy en persoonsgegevens van klanten, winnaars, medewerkers en andere relaties.

Doelstellingen

Informatiebescherming

  • Verbeteren van de securitykennis en -vaardigheden van medewerkers

  • Aanscherpen van controle op toegang tot applicaties en spelersaccounts

  • Afronden van implementatie security monitoring

Privacy

  • Verbeteren van de privacykennis en -vaardigheden van medewerkers

  • Actualiseren en indien nodig aanscherpen van waarborgen die zijn getroffen voor doorgifte van persoonsgegevens buiten de Europees Economische Ruimte

Afbakening

Informatiebeveiliging bestaat uit het geheel van maatregelen, processen en procedures die de beschikbaarheid, vertrouwelijkheid en integriteit van alle vormen van informatie binnen Nederlandse Loterij garanderen. Binnen dit thema sturen wij onder andere op de volgende KPI’s:

  • Tijdige actualisering van security richtlijnen

  • Tijdige opvolging van audit (pentest) bevindingen, responsible disclosure meldingen en security incidenten

  • Scores van medewerkers binnen het security awareness programma

  • Tijdige actualisering van beleid en procedures ter waarborging van privacy

  • Monitoren van wijzigingen in privacywet- en regelgeving en tijdig impact bepalen voor Nederlandse Loterij

  • Privacy awareness van medewerkers verhogen

Na de openstelling van de online kansspelmarkt in 2021, heeft Nederlandse Loterij de aandacht voor privacy, gegevensbescherming en security in 2022 verder geïntensiveerd. In dit hoofdstuk lichten we de belangrijkste stappen en resultaten toe.

In 2022 hebben we veel veranderingen doorgevoerd, veel nieuwe leveranciers aangesloten en verschillende ‘omgevingen’ en applicaties uit 2021 verder aangesloten op security monitoring. In 2021 hebben we hard gewerkt aan de live-gang per 2 oktober. Gedurende 2022 hebben we lopende zaken opgepakt en nieuwe projecten gestart.

Informatiebeveiliging is randvoorwaardelijk voor een betrouwbare en veilige klantomgeving. Het gaat immers om de vertrouwelijkheid en integriteit van informatie van onze spelers en om de beschikbaarheid van onze producten voor onze spelers. Via elk kanaal moeten zij op een veilige manier kunnen meedoen met onze kansspelen.

Managementaanpak

Privacy en informatiebeveiliging zijn prominente onderwerpen binnen Nederlandse Loterij. Voor beide aandachtsgebieden zijn toegewijde medewerkers aangesteld. Ons securityteam heeft in 2022 samen met onze security business partners en een aantal strategische leveranciers gewerkt aan het verder verbeteren van de beveiliging van ons landschap. Door de komst van nieuwe producten, nieuwe activiteiten, nieuwe systemen, nieuwe medewerkers en nieuwe leveranciers verandert er veel tegelijk. Deze turbulente omgeving vraagt om nieuwe of aangescherpte maatregelen, processen en procedures met betrekking tot informatiebeveiliging.

Informatiebeveiliging staat in verschillende overlegorganen op de agenda. De prestaties van het Information Security Management System en de resultaten van de genomen securitymaatregelen, -processen en -procedures worden periodiek gemeten. De resultaten worden besproken in verschillende overleggen op operationeel, tactisch en strategisch niveau:

  • Wekelijkse security stand-up

  • Tweemaandelijks Security overleg

  • Maandelijks Risk Management Committee

  • Audit Committee van de Raad van Commissarissen

Ook wet- en regelgeving, zoals de nadere toelichting op de Algemene Verordening Gegevensbescherming door Europese toezichthouders, heeft impact op onze gegevensbescherming. Tijdens de volgende overleggen worden daarom ook ons beleid en onze procedures geregeld besproken:

  • Tweewekelijks overleg tussen Privacy Officer en Functionaris Gegevensbescherming

  • Maandelijks overleg Privacy & Security Champs  

  • Maandelijks Risk Management Committee

Voortgang in 2022

Het succes van Nederlandse Loterij is gebaseerd op haar sterke Nederlandse merken en het breedste portfolio, maar daarnaast ook op een betrouwbaar imago. Een betrouwbaar en integer imago is een randvoorwaarde voor een aanbieder van kansspelen. Niet alleen moeten we onze kansspelen eerlijk en transparant organiseren, maar ook moeten we zorgen voor een hoog niveau van informatiebeveiliging.
Daarom is het belangrijk inzicht te hebben in eventuele kwetsbaarheden en daarmee de risico’s van onze informatiesystemen. Met dit inzicht kan Nederlandse Loterij beter worden in het toepassen van de juiste beveiligingsmaatregelen en haar organisatie naar een hoger weerbaarheidsniveau brengen. In dat kader is in 2022 het continuous testing programma volledig geïmplementeerd.

Onboardingprogramma

In 2022 is een centraal onboardingprogramma gelanceerd. Alle nieuwe medewerkers, zowel de Nederlands- als de Engelstaligen, krijgen voortaan standaard de regels met betrekking tot informatiebeveiliging uitgelegd. Dat gebeurt meteen aan het begin van hun dienstverband.

Internationale doorgifte van persoonsgegevens

Naar aanleiding van de uitspraak van het Europese Hof in juli 2020 over het delen van persoonsgegevens met leveranciers die gevestigd zijn buiten de Europees Economische Ruimte (EER) hebben zowel de Europese koepel van toezichthouders (EDPB) en de Europese Commissie in juni 2021 nieuwe handvatten gepubliceerd voor internationale doorgifte van persoonsgegevens. 

Aan de hand van de Aanbevelingen van de Europese koepel van toezichthouders (EDB) is Nederlandse Loterij gestart met inventariseren van leveranciers waarbij er sprake is van internationale doorgifte en uitvoeren van zogenaamde data transfer impact assessements (DTIAs). Door middel van de DTIA krijgt Nederlandse Loterij inzicht in de mate van bescherming van de persoonsgegevens bij internationale doorgifte. Met behulp van de uitkomsten komt Nederlandse Loterij waar nodig aanvullende (beveiligings)maatregelen overeen met desbetreffende leveranciers. In 2023 zal Nederlandse Loterij de uitvoering van de DTIAs voortzetten.

Voorts heeft de Europese Commissie een nieuwe versie van Modelcontractbepalingen gepubliceerd. De Modelcontractbepalingen zijn een van de waarborgen die Nederlandse Loterij kan afsluiten om een gelijkwaardig beschermingsniveau aan Algemene Verordening Gegevensbescherming (AVG) te bereiken.

Incidenten informatiebeveiliging

Ondanks alle zorgvuldigheid kan het voorkomen dat processen in de organisatie niet verlopen volgens de beschreven procedures. Het is van groot belang om incidenten die van invloed kunnen zijn op een optimale informatiebeveiliging tijdig te detecteren. Alle incidenten worden via het incident management proces op een gestructureerde wijze opgevolgd. Nadat informatiebeveiligingsincidenten zijn gerapporteerd worden zij geclassificeerd en opgevolgd door het Security Team, eventueel met behulp van onze security business partners.

De informatiebeveiligingsincidenten worden gerapporteerd aan en besproken in het Security Overleg. Incidenten met een hoge prioriteit worden eveneens gerapporteerd aan en besproken in het Risk Management Committee. Waar nodig zijn acties en maatregelen gedefinieerd om de impact te minimaliseren en de kans op herhaling zo klein mogelijk te maken.

Nederlandse Loterij is op basis van haar vergunningen verplicht incidenten die het vertrouwen van de consument in de vergunde kansspelen kunnen schaden, binnen 72 uur aan de Kansspelautoriteit te melden. In 2022 heeft Nederlandse Loterij gemeld dat Nederlandse Loterij slachtoffer is geweest van een cyberaanval (password spray attack). Gezien de impact op de privacy van betrokkenen zijn zowel de Autoriteit Persoonsgegevens als betrokkenen door ons op de hoogte gesteld van de inbreuk op hun account en wij hebben hen geadviseerd het wachtwoord van het account te wijzigen in een uniek en sterk wachtwoord. Op de website van Nederlandse Loterij geven we hiervoor ook tips.

Privacy  

Input

  • 88% van de nieuwe medewerkers getraind op het algemene gebied van privacy

  • Een aanvullende training op afdelings- en teamniveau

Output

  • Twee meldingen van incidenten over privacy aan de Autoriteit Persoonsgegevens

  • 28 meldingen van privacy gerelateerde incidenten

  • 57.690 ontvangen verzoeken inzake privacyrechten van klanten en medewerkers

Vooruitblik 2023

Naast de doorlopende processen zullen we in 2023 voor privacy en gegevensbescherming binnen wettelijke kaders en technische mogelijkheden meer op gepersonaliseerde aanbiedingen en advertenties inzetten. Privacy is hierin een belangrijk aandachtspunt. Ten slotte blijven we richtlijnen van de Autoriteit Persoonsgegevens en de Europese koepel van toezichthouders (EDPB) en wijzigingen in (Europese) wet- en regelgeving monitoren om de wijzigingen tijdig en goed te kunnen vertalen in maatregelen en acties.
Op het gebied van informatiebeveiliging staat 2023 in het teken van het implementeren van een Nederlandse Loterij-breed security awareness platform. De Nederlandse Loterij-organisatie is hard gegroeid in de afgelopen jaren en adequate tooling is noodzakelijk om het securitybewustzijn van de medewerker op het juiste niveau te houden. Een ander speerpunt betreft het optimaliseren van onze security monitoring (SIEM). We sluiten nieuwe omgevingen aan en we verbeteren continu de use cases & alerts van bestaande omgevingen. Daarnaast gaat Nederlandse Loterij in 2023 multi-factor authenticatie invoeren voor klantaccounts.