SlideShare a Scribd company logo

Dqs belgium 27701 en gdpr 2020

A
Annemie Valkeneers

Peter Geelen geeft uitleg over ISO 27701 en de link met GDPR-compliance.

Business
1 of 53
Download to read offline
GLOBAL PRESENCE LOC A L EXPER TISE DQS BELGIUM P e t e r G E E L E N | P r i v a t u m - P r i v a c y a f t e r W o r k | 2 0 2 0 - 0 2 - 0 6
Page 2 | www.dqsbelgium.be/ February 13, 2020 AGENDA ▪ Inleiding ▪ Voor we starten… ▪ ISO27701 fundamenten (ISMS, Privacy & GDPR) ▪ ISO27701 PIMS: hoofdstructuur ▪ Beknopt overzicht van de extensies ▪ Certificatie vandaag ▪ Data protectie vs cybersecurity (CCB/DPA) 2020, 6de Februari
Page 3 | www.dqsbelgium.be/ February 13, 2020 PETER GEELEN E R VA R I N G • 20+ jaar ervaring in beveiliging • Enterprise Security & IAM • Cybersecurity • Data Protection & Privacy • Incident management, Disaster Recovery • Trainer, coach, auditor C E R T I F I C AT I E • Certified DPO & Fellow In Privacy • ISO27001 Master (LI/LA) • Lead Impl./Auditor ISO27701 • Sr. Lead Cybersecurity Mgr • Lead Incident Mgr • Lead Disaster Recovery • Lead ISO27005 (Risk Mgmt) • Lead ISO9001 Implem./Auditor A C C R E D I TAT I E • Accredited ISO27001 Lead auditor • Accredited Security Trainer https://www.linkedin.com/in/pgeelen/ Peter.Geelen@dqsbelgium.be @geelenp
Page 4 | www.dqsbelgium.be/ February 13, 2020 VOOR WE STARTEN Denk er aan ▪ Goede praktijken ≠ wetgeving ▪ ISO vereisten vs richtlijnen ▪ Privacy ≠ Data Protectie ▪ Data protectie ≠ Information Security ▪ PII vs Persoonlijke Data ▪ Internationaal vs. Regionaal
Page 5 | www.dqsbelgium.be/ February 13, 2020 Goede praktijken ≠ wetgeving ▪ ISO = goede praktijk, JIJ kiest wat je implementeert… of wat niet. ▪ GDPR, NIS, Cyberact, eCommuncation … = WET (geen keuze, moet) ISO vereisten vs richtlijnen ▪ Vereiste = deel van audit ▪ richtlijn = suggestie, advise voor implemlentatie D ATA PR OTEC TION PR IN C IPES VOOR DE DUIDELIJKHEID 13 februari 2020
Page 6 | www.dqsbelgium.be/ February 13, 2020 Privacy ≠ Data Protectie ▪ GDPR = data protectie (NOT PRIVACY) ▪ Privacy = ISO29100 / ISO29151 ▪ Data van betrokkene (aka "PII Principal") Data protectie ≠ Information Security ▪ ISO27001 = Information Security ▪ bedrijfsdata PII vs Persoonlijke Data ▪ ISO vs. GDPR vs. NIST D ATA PROTE CTION PRINCIP E S VOOR DE DUIDELIJKHEID 13 februari 2020
Page 7 | www.dqsbelgium.be/ February 13, 2020 Internationaal vs. Regionaal ▪ ISO = Internationaal ▪ Regionaal GDPR (EU, but …) NIST (US, but…) … D ATA PROTE CTION PRINCIP E S VOOR DE DUIDELIJKHEID February 13, 2020
Page 8 | www.dqsbelgium.be/ February 13, 2020 Engels … Nederlands … Frans ▪ Control (EN) = measure (EN) = maatregel (NL) ▪ Control (EN) = controle hebben en nemen (NL) ▪ Control (EN) ≠ controleren (checken, NL) ▪ Accountability (EN) vs. Responsability (EN) ▪ GDPR = accountability (not responsibility) ▪ "Responsabilité" (RGPD, FR) W OORDE NS CHAT VOOR DE DUIDELIJKHEID February 13, 2020
Page 9 | www.dqsbelgium.be/ February 13, 2020 D E B OU W STEN EN
Page 10 | www.dqsbelgium.be/ February 13, 2020 Information security ▪ ISO27001 (Info Security - Vereisten) ▪ ISO27002 (Info Security - Code of Practice) ▪ ISO27018 (PII in public cloud) Privacy ▪ ISO29100 (Privacy Framework) (*) ▪ ISO29151 (PII Protection - Code of Practice) ▪ ISO29134 (PIA) Gegevensbescherming ▪ GDPR (*) D E BOU W STEN EN ISO27701 February 13, 2020
Page 11 | www.dqsbelgium.be/ February 13, 2020 Incident management ▪ ISO27035 ▪ NIST.SP.800-61r2 (Computer Security Incident Handling Guide) (*) Risk management ▪ ISO27005 ▪ NIST Risk management Framework (*) Vocabulaire ▪ ISO27000(*) D E BOU W STEN EN ( VERVOLG) ISO27701 February 13, 2020
Page 12 | www.dqsbelgium.be/ February 13, 2020 STR U C TU U R
Page 13 | www.dqsbelgium.be/ February 13, 2020 ▪ 1-3. de ISO standaard modules ▪ 4. General ▪ 5. PIMS vereisten - ISO27001 ▪ 6. PIMS vereisten - ISO27002 ▪ 7. + ISO27002 gids voor PII verwerkingsverantwoordelijke ▪ 8. + ISO27002 gids voor PII verwerkers ▪ ANNEX A tot F STR U C TU U R ISO27701 February 13, 2020
Page 14 | www.dqsbelgium.be/ February 13, 2020 ▪ Referentie controle objectieven voor verwerkingsverantwoordelijken ▪ Referentie controle objectieven voor maatregelen voor verwerkers ▪ Mapping met ISO29100 ▪ Mapping met GDPR ▪ Mapping met ISO27018 and ISO29151 ▪ Hoe implementeer je ISO27701 met ISO27001 en ISO27002? AN N EXES ISO27701 February 13, 2020
Page 15 | www.dqsbelgium.be/ February 13, 2020 Bevat ▪ 10 hoofdstukken ▪ + ANNEX Annex ▪ 14 control hoofdstukken ▪ 35 categorieën ▪ 114 maatregelen C ON TR OLES /MAATR EGELEN HERINNERING: ISO27001 February 13, 2020 ISO27002 = ISO27001 A NNE X + G IDS ING
Page 16 | www.dqsbelgium.be/ February 13, 2020 C ONTINUE VE RB E TE RING ISO BASIS PRINCIPE: PDCA February 13, 2020 Plan Denk Do Voer uit Check Meet Act Pas aan
Page 17 | www.dqsbelgium.be/ February 13, 2020 C ONTINUE VE RB E TE RING PDCA February 13, 2020 Act Plan DoCheck Act Plan DoCheck Kwaliteits- verbetering Tijd
Page 18 | www.dqsbelgium.be/ February 13, 2020 '/../ The requirements of ISO/IEC 27001:2013 mentioning "information security" shall be extended to the protection of privacy as potentially affected by the processing of PII. 5.1. GEN ER AL ( EN KEL EN GELS ) ISO27701 ALS ADD-ON OP ISO27001 February 13, 2020 N OTE I N P RACTICE , W HE RE " INFORMATION S E CURITY " I S US E D I N ISO/IEC 2 7 0 0 1 : 2 0 1 3 , "INFORMATION SECURITY AND PRIVACY ” AP P LIE S INS TE AD ( S E E A NNE X F) . /../'
Page 19 | www.dqsbelgium.be/ February 13, 2020 '/../ The requirements of ISO/IEC 27001:2013 mentioning "information security" shall be extended to the protection of privacy as potentially affected by the processing of PII. 5.1. GEN ER AL ( EN KEL EN GELS) ISO27701 ALS ADD-ON OP ISO27001 (GDPR) February 13, 2020 N OTE I N P RACTICE , W HE RE " INFORMATION S E CURITY " I S US E D I N ISO/IEC 2 7 0 0 1 : 2 0 1 3 , "INFORMATION SECURITY AND D ATA PR OTECTION ” AP P LIE S INS TE AD ( S E E A NNE X F) . /../'
Page 20 | www.dqsbelgium.be/ February 13, 2020 ▪ = betrokken persoon/bedrijf in geval van verwerkingsverantwoordelijke ▪ = verwerkingsverantwoordelijk in geval van verwerker ▪ = verwerker in case of onderaannemer 4.4. C U STOMER ( "KLAN T") TER INFO February 13, 2020
Page 21 | www.dqsbelgium.be/ February 13, 2020 4.3 ISO27001 VER EISTEN ( ISO27701 C LAU SE 5 ) ISO27701 MAPPING NAAR ISO27001 February 13, 2020 ISO27701 Topic ISO27001 Remark 5.2 Context of organisation 4 Gewijzigd 5.3 Leadership 5 Direct 5.4 Planning 6 Gewijzigd 5.5 Support 7 Direct 5.6 Operation 8 Direct 5.7 Performance evaluation 9 Direct 5.8 Improvement 10 Direct
Page 22 | www.dqsbelgium.be/ February 13, 2020 4.3 ISO27002 VER EISTEN ( ISO27701 C LAU SE 6 ) ISO27701 MAPPING NAAR ISO27001 February 13, 2020 ISO27701 Topic ISO27002 Remark 6.2 Policies 5 Gewijzigd 6.3 Organisation 6 Gewijzigd 6.4 HR 7 Gewijzigd 6.5 Asset Management 8 Gewijzigd 6.6 Access Control 9 Gewijzigd 6.7 Cryptography 10 Gewijzigd 6.8 Physical and environment 11 Gewijzigd
Page 23 | www.dqsbelgium.be/ February 13, 2020 4.3 ISO27002 VER EISTEN ( ISO27701 C LAU SE 6 ) ISO27701 MAPPING NAAR ISO27001 February 13, 2020 ISO27701 Topic ISO27002 Remark 6.9 Operations 12 Gewijzigd 6.10 Communications 13 Gewijzigd 6.11 Acquisition, Dev & mainten. 14 Gewijzigd 6.12 Suppliers 15 Gewijzigd 6.13 Incident Mgmt 16 Gewijzigd 6.14 Business Continuity 17 Direct 6.15 Compliance 18 Gewijzigd
Page 24 | www.dqsbelgium.be/ February 13, 2020 EXTEN SIES : BEKNOPT OVER ZIC H T
Page 25 | www.dqsbelgium.be/ February 13, 2020 Belangrijke uitbreiding van ▪ Toepasselijke wetgeving ▪ Noden en verwachtingen van betrokken en geinteresseerde partijen ▪ Management system scope (InfoSec + PII) 5.2 C ON TEXT MEEST PROMINENTE EXTENSIES… February 13, 2020
Page 26 | www.dqsbelgium.be/ February 13, 2020 Belangrijke uitbreiding van ▪ Risico analyse (naar PIA, DPIA) ▪ Risico behandeling 5.4 R ISIC O AN ALYSE MEEST PROMINENTE EXTENSIES… February 13, 2020
Page 27 | www.dqsbelgium.be/ February 13, 2020 Belangrijke uitbreiding van ▪ Policies (nu incl. PII) ▪ ISMS Rollen (ref. CISO + nu ook DPO) ▪ Training en bewustmaking (iedereen betrokken in PII verwerking) ▪ (!) MEDIA HANDLING ▪ Ref. Data breaches (GDPR) ▪ Encryptie, veilige vernietiging, … ▪ Identity Management (deel van access control) ▪ GEEN HERGEBRUIK VAN userIDs ▪ User tracking 6. PIMS IN ISO27002 MEEST PROMINENTE EXTENSIES… February 13, 2020
Page 28 | www.dqsbelgium.be/ February 13, 2020 Belangrijke uitbreiding van ▪ Information Backup ▪ Event logging ▪ Log protection ▪ Systeem ontwikkeling & aankoop (zie module 7 & 8) ▪ Test data ▪ GEBRUIK GEEN PII voor test data (gebruik dummy of synthetische data) ▪ INCIDENT MANAGEMENT (ref. GDPR data breaches) ▪ Compliance (wetgeving !, IP, data bescherming,…) 6. PIMS IN ISO27002 MEEST PROMINENTE EXTENSIES… February 13, 2020
Page 29 | www.dqsbelgium.be/ February 13, 2020 Ref. GDPR rechten betrokkenen en & verantwoordelijkheid controller ▪ uitdrukkelijk omschreven en gerechtvaardigde doeleinden ▪ Rechtmatige verwerking ▪ Beheer toestemming ▪ PIA/DPIA ▪ PII Verwerkingscontracten ▪ Rechten betrokken personen ("PII principal") ✓ Informatie ✓ Recht op beperking ✓ Copy van PII data ✓ Recht op toegang 7. GID SIN G VOOR VERW ER KIN GSVER AN TW OOR D ELIJ KEN MEEST PROMINENTE EXTENSIES… February 13, 2020
Page 30 | www.dqsbelgium.be/ February 13, 2020 Ref. GDPR rechten betrokkenen en & verantwoordelijkheid controller ▪ Privacy by design (GDPR = "data protection by design") ▪ Privacy by default (GDPR = "data protection by default") ▪ Data minimizatie principes ▪ Accuraatheid & kwaliteit ▪ De-identification & vernietiging ▪ PII sharing, transfer & disclosure ✓ Incl. verwijzing naar internationale wetgeving 7. GID SIN G VOOR VERW ER KIN GSVER AN TW OOR D ELIJ KEN MEEST PROMINENTE EXTENSIES… February 13, 2020
Page 31 | www.dqsbelgium.be/ February 13, 2020 Ref. controller vs processor responsibility ▪ Contract (to delegate obligations) ▪ Marketing & advertisement ▪ Conflict of interest (of wettelijke conflicten) ▪ PbD & PbDef ▪ Tijdelijke bestanden files ▪ PII transfer & Vernietiging ▪ (!) transfer between jurisdicties ▪ Disclosure aanvragen 8. GID SIN G VOOR VERW ER KER S MEEST PROMINENTE EXTENSIES… February 13, 2020
Page 32 | www.dqsbelgium.be/ February 13, 2020 Niet alle controle objectieven en maatregelen in de annex moeten geimplementeerd worden in de PIMS implementatie Wanneer ze uitgesloten worden: uitleg in SoA. ("Comply or explain") AN N EX A : C ON TR OLE OBJ EC TIEVEN VOOR VERW ER KIN GS - VER AN TW OOR D ELIJ KEN MEEST PROMINENTE EXTENSIES… February 13, 2020
Page 33 | www.dqsbelgium.be/ February 13, 2020 Niet alle controle objectieven en maatregelen in de annex moeten geimplementeerd worden in de PIMS implementatie Wanneer ze uitgesloten worden: uitleg in SoA. ("Comply or explain") AN N EX B : C ON TR OLE OBJ EC TIEVEN VOOR VERW ER KER S MEEST PROMINENTE EXTENSIES… February 13, 2020
Page 34 | www.dqsbelgium.be/ February 13, 2020 AN N EX A: C ON TR OL OBJ EC TIVES FOR C ON TR OLLER S ( 31) MEEST PROMINENTE EXTENSIES… February 13, 2020 A.7.2 Conditions for collection and processing (8) A.7.3 Obligations to PII Principals (10) A.7.4 Privacy by design and privacy by default (9) A.7.5 PII Sharing transfer and disclosure (4)
Page 35 | www.dqsbelgium.be/ February 13, 2020 AN N EX B: C ON TR OL OBJ EC TIVES FOR PR OC ESSOR S ( 18) MEEST PROMINENTE EXTENSIES… February 13, 2020 A.8.2 Conditions for collection and processing (6) A.8.3 Obligations to PII Principals (1) A.8.4 Privacy by design and privacy by default (3) A.8.5 PII Sharing transfer and disclosure (8)
Page 36 | www.dqsbelgium.be/ February 13, 2020 AN N EX C : MAPPIN G TO ISO29100 MEEST PROMINENTE EXTENSIES… February 13, 2020 VERANTWOORDELIJKEN 11 modules (44 controls) VERWERKERS 9 modules (20 controls)
Page 37 | www.dqsbelgium.be/ February 13, 2020 Annex D: mapping to GDPR Table on 3 pages ;) Annex E-F ▪ ISO 27018/29151 ▪ Hoe implementeren (Info sec > "info sec + privacy") ❑ Standaard gebruiken zoals hij is ❑ Toevoeging (bijkomende vereisten) ❑ Verfijning van implementatie AN N EX D & E - F MEEST PROMINENTE EXTENSIES… February 13, 2020
Page 38 | www.dqsbelgium.be/ February 13, 2020 C ER TIFIC ATIE : GDPR? ISO?
Page 39 | www.dqsbelgium.be/ February 13, 2020 Bronnen ▪ ISO 27001 ▪ GDPR ▪ Cyber Act C ON TEXT CERTIFICATIE February 13, 2020
Page 40 | www.dqsbelgium.be/ February 13, 2020 ISO27001 ▪ Internationaal, ▪ Gestandaardiseerd ▪ Wederzijdse herkenning ▪ GDPR ▪ EU wetgeving, MAAR… ▪ Certificatie gecontroleerd door ✓ National DPA, of ✓ Accreditation bodies of, ✓ EDPB… WAAR OM IS D IT BELAN GR IJ K? CERTIFICATIE 13 februari 2020
Page 41 | www.dqsbelgium.be/ February 13, 2020 NIS ▪ Richtlijn (geen verordening) ▪ Implementatie van nationalel wet nodig ▪ Verschillende implementaties… niet consistent Cyber Act ▪ EU (enkel) ▪ Verordening ▪ Incl. certificatie WAAR OM IS D IT BELAN GR IJ K? CERTIFICATIE 13 februari 2020
Page 42 | www.dqsbelgium.be/ February 13, 2020 Voorbereiding & implementatie ▪ Project implementatie ▪ In-productie-stellling ▪ 1st Interne audit Certificatie ▪ Externe audit - certificatie (T0) ▪ Surveillance audits (T0+1y, T0+2y) ▪ Hercertificatie (T0+3y) Cyclus - herhaling • Herhaalt zich elke 3 jaar IN H ET KORT ISO CERTIFICATIE 13 februari 2020
Page 43 | www.dqsbelgium.be/ February 13, 2020 Artikels ▪ Art. 42 - Certification ▪ Art. 43 - Certification bodies Art. 42 ▪ Aantonen compliance ▪ Vrijwillig (ref ISO) ▪ EDPB publiceert register Art. 43 ▪ Ref naar ISO17065 (accreditatie) ▪ Art. 43.2 refereert naar ISO17021 principes (processen, procedures, mgmt, …) IN TH EOR IE GDPR CERTIFICATION February 13, 2020
Page 44 | www.dqsbelgium.be/ February 13, 2020 GDPR certification ▪ In beweging… eerste consultaties voor tech schema gestart ▪ EDPB publiceerde guidelines… niks meer dan dat. ▪ Alle EU landen moeten certificatie schema publiceren… (28) ▪ Geen schema gepland bij lancering GDPR ▪ ISO27701 kan een goede gids zijn voor basis schema maar vereist aanvaarding Cyber Act ▪ EU (only) ▪ Verordening ▪ Start met schema… Bestaand schema beschikbaar D E STATU S VAN D AAG GDPR CERTIFICATIE 13 februari 2020
Page 45 | www.dqsbelgium.be/ February 13, 2020 ISO certification • ISO27001 certification • met ISO27701 scope extensie Mogelijk risico • Mismatch met Nationale of EU schema ALS ze een ander schema zouden kiezen (klein risico) D E EN IGE OPTIE VAN D AAG CERTIFICATIE 13 februari 2020
Page 46 | www.dqsbelgium.be/ February 13, 2020 C YB ER SEC U R ITY VS D ATA PR OTEC TION
Page 47 | www.dqsbelgium.be/ February 13, 2020 Geen data protectie zonder cyber security Maar wel cyber security zonder gegevensbescherming (GDPR, persoonlijke data) De belangrijkste data lekken ontstaan door gebrek aan voldoende cybersecurity/cyber-hygiëne Let op ▪ CCB vs DPA ▪ ENISA vs EDPB (European Data protection Board) Sterke en groeiende afhankelijkheid! C YBER SEC U R ITY VS GEGEVEN SBESC H ER MIN G WELKE ROL SPEELT CYBER HIERIN? February 13, 2020
Page 48 | www.dqsbelgium.be/ February 13, 2020 CCB https://cyberguide.ccb.belgium.be/nl ▪ Cyber Security guide ▪ BSG (Baseline Security guidelines) voor overheid DPA https://www.gegevensbeschermingsautoriteit.be/ FOD ECONOMIE: cybersecurity & KMO's https://economie.fgov.be/nl/themas/ondernemingen/een-onderneming-beheren-en/cybersecurity-en- kmos C YBER SEC U R ITY VS GEGEVEN SBESC H ER MIN G WELKE ROL SPEELT CYBER HIERIN? February 13, 2020
Page 49 | www.dqsbelgium.be/ February 13, 2020 VLAANDEREN https://www.vlaio.be/nl/andere-doelgroepen/vlaams-beleidsplan-cybersecurity C YBER SEC U R ITY VS GEGEVEN SBESC H ER MIN G WELKE ROL SPEELT CYBER HIERIN? February 13, 2020
Page 50 | www.dqsbelgium.be/ February 13, 2020 GDPR Certificatie https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines- recommendations-best-practices_nl EDPB Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation EDPB Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679) - version adopted after public consultation N IET U IT H ET OOG VER LIEZEN WAT KOMT ER NOG? 13 februari 2020
Page 51 | www.dqsbelgium.be/ February 13, 2020 Roll-out NIS Wetgeving Gepubliceerd April 2019… nu (langzaamaan) in praktijk gezet http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&cn=2019040715 &table_name=wet Cyber Act (evenknie van GDPR voor cyberbeveiliging) Goedgekeurd.. nog 2 jaar voor activatie Incl. Certificatie N IET U IT H ET O O G VER LIEZEN WAT KOMT ER NOG? February 13, 2020
Page 52 | www.dqsbelgium.be/ February 13, 2020 Click on the icon in the middle to insert a picture. Optimally, the resolution of the image should be 1600 x 900 pixels, 96 dpi and no more than 1 MB. You can adjust the image section with the cut-out tool. (Instructions see appendix) DANK JE voor de aandacht Zijn er nog vragen?
Page 53 | www.dqsbelgium.be/ February 13, 2020 MEER INFO POST DQS Belgium Drukpersstraat 4 1000 Brussel CONTACTEER ONS Phone +32 2 540 24 00 info@dqsbelgium.be www.dqsbelgium.be VOLG ONS LinkedIn Facebook

Recommended

171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
 
Webinar: Data Science
Webinar: Data ScienceWebinar: Data Science
Webinar: Data Sciencevalantic NL
 
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009Aart A. in 't Veld
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy Redactie ZiPconomy
 
ModuleBuilder AVG (GDPR) presentatie (NL)
ModuleBuilder AVG (GDPR) presentatie (NL)ModuleBuilder AVG (GDPR) presentatie (NL)
ModuleBuilder AVG (GDPR) presentatie (NL)ModuleBuilder bvba
 
BUILD & FACILITATE PLATFORM/COMMUNITY TO UNDERSTAND END-CONSUMERS - Big D...
BUILD & FACILITATE PLATFORM/COMMUNITY TO UNDERSTAND END-CONSUMERS - Big D...BUILD & FACILITATE PLATFORM/COMMUNITY TO UNDERSTAND END-CONSUMERS - Big D...
BUILD & FACILITATE PLATFORM/COMMUNITY TO UNDERSTAND END-CONSUMERS - Big D...webwinkelvakdag
 
CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015Michel Noordzij
 

Recommended

171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
 
Webinar: Data Science
Webinar: Data ScienceWebinar: Data Science
Webinar: Data Sciencevalantic NL
 
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009Aart A. in 't Veld
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy Redactie ZiPconomy
 
ModuleBuilder AVG (GDPR) presentatie (NL)
ModuleBuilder AVG (GDPR) presentatie (NL)ModuleBuilder AVG (GDPR) presentatie (NL)
ModuleBuilder AVG (GDPR) presentatie (NL)ModuleBuilder bvba
 
BUILD & FACILITATE PLATFORM/COMMUNITY TO UNDERSTAND END-CONSUMERS - Big D...
BUILD & FACILITATE PLATFORM/COMMUNITY TO UNDERSTAND END-CONSUMERS - Big D...BUILD & FACILITATE PLATFORM/COMMUNITY TO UNDERSTAND END-CONSUMERS - Big D...
BUILD & FACILITATE PLATFORM/COMMUNITY TO UNDERSTAND END-CONSUMERS - Big D...webwinkelvakdag
 
CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015Michel Noordzij
 
Themabijeenkomst Digitale Archieven samenwerking binnen team informatiemanage...
Themabijeenkomst Digitale Archieven samenwerking binnen team informatiemanage...Themabijeenkomst Digitale Archieven samenwerking binnen team informatiemanage...
Themabijeenkomst Digitale Archieven samenwerking binnen team informatiemanage...VNG Realisatie
 
Open Id Security ITsec
Open Id Security ITsecOpen Id Security ITsec
Open Id Security ITsecevidos
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avgAad Weesenaar (CS)
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avgAad Weesenaar (CS)
 
Momice Insight Session: security en privacy
Momice Insight Session: security en privacyMomice Insight Session: security en privacy
Momice Insight Session: security en privacyRutger Bremer
 
Privacy in 2013: cloud services en andere bedreigingen
Privacy in 2013: cloud services en andere bedreigingenPrivacy in 2013: cloud services en andere bedreigingen
Privacy in 2013: cloud services en andere bedreigingenDLA Piper Nederland N.V.
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Bart Van Den Brande
 
Beheer anno 2011
Beheer anno 2011Beheer anno 2011
Beheer anno 2011EsriGISConferentie
 
Veilig en gezond werken in het magazijn evo 7 maart 2012
Veilig en gezond werken in het magazijn evo 7 maart 2012Veilig en gezond werken in het magazijn evo 7 maart 2012
Veilig en gezond werken in het magazijn evo 7 maart 2012Dave Zuuring
 
Ad marijnissen - Landelijk informatiemanagement congres
Ad marijnissen - Landelijk informatiemanagement congresAd marijnissen - Landelijk informatiemanagement congres
Ad marijnissen - Landelijk informatiemanagement congresBart Zuidgeest
 
Asset management ArcGIS Integraties, Ideo
Asset management ArcGIS Integraties, IdeoAsset management ArcGIS Integraties, Ideo
Asset management ArcGIS Integraties, IdeoEsriGISConferentie
 
Webinar GDPR en AVG
Webinar GDPR en AVGWebinar GDPR en AVG
Webinar GDPR en AVGEduvision Opleidingen
 
Peter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminarPeter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminarAlmereDataCapital
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...
openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...
openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...Openbar
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijVNG Realisatie
 
Microsoft Big Data Expo
Microsoft Big Data ExpoMicrosoft Big Data Expo
Microsoft Big Data ExpoBigDataExpo
 

More Related Content

Similar to Dqs belgium 27701 en gdpr 2020

Themabijeenkomst Digitale Archieven samenwerking binnen team informatiemanage...
Themabijeenkomst Digitale Archieven samenwerking binnen team informatiemanage...Themabijeenkomst Digitale Archieven samenwerking binnen team informatiemanage...
Themabijeenkomst Digitale Archieven samenwerking binnen team informatiemanage...VNG Realisatie
 
Open Id Security ITsec
Open Id Security ITsecOpen Id Security ITsec
Open Id Security ITsecevidos
 
Momice Insight Session: security en privacy
Momice Insight Session: security en privacyMomice Insight Session: security en privacy
Momice Insight Session: security en privacyRutger Bremer
 
Privacy in 2013: cloud services en andere bedreigingen
Privacy in 2013: cloud services en andere bedreigingenPrivacy in 2013: cloud services en andere bedreigingen
Privacy in 2013: cloud services en andere bedreigingenDLA Piper Nederland N.V.
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Bart Van Den Brande
 
Veilig en gezond werken in het magazijn evo 7 maart 2012
Veilig en gezond werken in het magazijn evo 7 maart 2012Veilig en gezond werken in het magazijn evo 7 maart 2012
Veilig en gezond werken in het magazijn evo 7 maart 2012Dave Zuuring
 
Ad marijnissen - Landelijk informatiemanagement congres
Ad marijnissen - Landelijk informatiemanagement congresAd marijnissen - Landelijk informatiemanagement congres
Ad marijnissen - Landelijk informatiemanagement congresBart Zuidgeest
 
Asset management ArcGIS Integraties, Ideo
Asset management ArcGIS Integraties, IdeoAsset management ArcGIS Integraties, Ideo
Asset management ArcGIS Integraties, IdeoEsriGISConferentie
 
Peter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminarPeter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminarAlmereDataCapital
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...
openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...
openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...Openbar
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijVNG Realisatie
 
Microsoft Big Data Expo
Microsoft Big Data ExpoMicrosoft Big Data Expo
Microsoft Big Data ExpoBigDataExpo
 

Similar to Dqs belgium 27701 en gdpr 2020 (17)

Themabijeenkomst Digitale Archieven samenwerking binnen team informatiemanage...
Themabijeenkomst Digitale Archieven samenwerking binnen team informatiemanage...Themabijeenkomst Digitale Archieven samenwerking binnen team informatiemanage...
Themabijeenkomst Digitale Archieven samenwerking binnen team informatiemanage...
 
Open Id Security ITsec
Open Id Security ITsecOpen Id Security ITsec
Open Id Security ITsec
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
 
Momice Insight Session: security en privacy
Momice Insight Session: security en privacyMomice Insight Session: security en privacy
Momice Insight Session: security en privacy
 
Privacy in 2013: cloud services en andere bedreigingen
Privacy in 2013: cloud services en andere bedreigingenPrivacy in 2013: cloud services en andere bedreigingen
Privacy in 2013: cloud services en andere bedreigingen
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"
 
Beheer anno 2011
Beheer anno 2011Beheer anno 2011
Beheer anno 2011
 
Veilig en gezond werken in het magazijn evo 7 maart 2012
Veilig en gezond werken in het magazijn evo 7 maart 2012Veilig en gezond werken in het magazijn evo 7 maart 2012
Veilig en gezond werken in het magazijn evo 7 maart 2012
 
Ad marijnissen - Landelijk informatiemanagement congres
Ad marijnissen - Landelijk informatiemanagement congresAd marijnissen - Landelijk informatiemanagement congres
Ad marijnissen - Landelijk informatiemanagement congres
 
Asset management ArcGIS Integraties, Ideo
Asset management ArcGIS Integraties, IdeoAsset management ArcGIS Integraties, Ideo
Asset management ArcGIS Integraties, Ideo
 
Webinar GDPR en AVG
Webinar GDPR en AVGWebinar GDPR en AVG
Webinar GDPR en AVG
 
Peter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminarPeter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminar
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 
openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...
openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...
openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbij
 
Microsoft Big Data Expo
Microsoft Big Data ExpoMicrosoft Big Data Expo
Microsoft Big Data Expo
 

Dqs belgium 27701 en gdpr 2020

  • 1. GLOBAL PRESENCE LOC A L EXPER TISE DQS BELGIUM P e t e r G E E L E N | P r i v a t u m - P r i v a c y a f t e r W o r k | 2 0 2 0 - 0 2 - 0 6
  • 2. Page 2 | www.dqsbelgium.be/ February 13, 2020 AGENDA ▪ Inleiding ▪ Voor we starten… ▪ ISO27701 fundamenten (ISMS, Privacy & GDPR) ▪ ISO27701 PIMS: hoofdstructuur ▪ Beknopt overzicht van de extensies ▪ Certificatie vandaag ▪ Data protectie vs cybersecurity (CCB/DPA) 2020, 6de Februari
  • 3. Page 3 | www.dqsbelgium.be/ February 13, 2020 PETER GEELEN E R VA R I N G • 20+ jaar ervaring in beveiliging • Enterprise Security & IAM • Cybersecurity • Data Protection & Privacy • Incident management, Disaster Recovery • Trainer, coach, auditor C E R T I F I C AT I E • Certified DPO & Fellow In Privacy • ISO27001 Master (LI/LA) • Lead Impl./Auditor ISO27701 • Sr. Lead Cybersecurity Mgr • Lead Incident Mgr • Lead Disaster Recovery • Lead ISO27005 (Risk Mgmt) • Lead ISO9001 Implem./Auditor A C C R E D I TAT I E • Accredited ISO27001 Lead auditor • Accredited Security Trainer https://www.linkedin.com/in/pgeelen/ Peter.Geelen@dqsbelgium.be @geelenp
  • 4. Page 4 | www.dqsbelgium.be/ February 13, 2020 VOOR WE STARTEN Denk er aan ▪ Goede praktijken ≠ wetgeving ▪ ISO vereisten vs richtlijnen ▪ Privacy ≠ Data Protectie ▪ Data protectie ≠ Information Security ▪ PII vs Persoonlijke Data ▪ Internationaal vs. Regionaal
  • 5. Page 5 | www.dqsbelgium.be/ February 13, 2020 Goede praktijken ≠ wetgeving ▪ ISO = goede praktijk, JIJ kiest wat je implementeert… of wat niet. ▪ GDPR, NIS, Cyberact, eCommuncation … = WET (geen keuze, moet) ISO vereisten vs richtlijnen ▪ Vereiste = deel van audit ▪ richtlijn = suggestie, advise voor implemlentatie D ATA PR OTEC TION PR IN C IPES VOOR DE DUIDELIJKHEID 13 februari 2020
  • 6. Page 6 | www.dqsbelgium.be/ February 13, 2020 Privacy ≠ Data Protectie ▪ GDPR = data protectie (NOT PRIVACY) ▪ Privacy = ISO29100 / ISO29151 ▪ Data van betrokkene (aka "PII Principal") Data protectie ≠ Information Security ▪ ISO27001 = Information Security ▪ bedrijfsdata PII vs Persoonlijke Data ▪ ISO vs. GDPR vs. NIST D ATA PROTE CTION PRINCIP E S VOOR DE DUIDELIJKHEID 13 februari 2020
  • 7. Page 7 | www.dqsbelgium.be/ February 13, 2020 Internationaal vs. Regionaal ▪ ISO = Internationaal ▪ Regionaal GDPR (EU, but …) NIST (US, but…) … D ATA PROTE CTION PRINCIP E S VOOR DE DUIDELIJKHEID February 13, 2020
  • 8. Page 8 | www.dqsbelgium.be/ February 13, 2020 Engels … Nederlands … Frans ▪ Control (EN) = measure (EN) = maatregel (NL) ▪ Control (EN) = controle hebben en nemen (NL) ▪ Control (EN) ≠ controleren (checken, NL) ▪ Accountability (EN) vs. Responsability (EN) ▪ GDPR = accountability (not responsibility) ▪ "Responsabilité" (RGPD, FR) W OORDE NS CHAT VOOR DE DUIDELIJKHEID February 13, 2020
  • 9. Page 9 | www.dqsbelgium.be/ February 13, 2020 D E B OU W STEN EN
  • 10. Page 10 | www.dqsbelgium.be/ February 13, 2020 Information security ▪ ISO27001 (Info Security - Vereisten) ▪ ISO27002 (Info Security - Code of Practice) ▪ ISO27018 (PII in public cloud) Privacy ▪ ISO29100 (Privacy Framework) (*) ▪ ISO29151 (PII Protection - Code of Practice) ▪ ISO29134 (PIA) Gegevensbescherming ▪ GDPR (*) D E BOU W STEN EN ISO27701 February 13, 2020
  • 11. Page 11 | www.dqsbelgium.be/ February 13, 2020 Incident management ▪ ISO27035 ▪ NIST.SP.800-61r2 (Computer Security Incident Handling Guide) (*) Risk management ▪ ISO27005 ▪ NIST Risk management Framework (*) Vocabulaire ▪ ISO27000(*) D E BOU W STEN EN ( VERVOLG) ISO27701 February 13, 2020
  • 12. Page 12 | www.dqsbelgium.be/ February 13, 2020 STR U C TU U R
  • 13. Page 13 | www.dqsbelgium.be/ February 13, 2020 ▪ 1-3. de ISO standaard modules ▪ 4. General ▪ 5. PIMS vereisten - ISO27001 ▪ 6. PIMS vereisten - ISO27002 ▪ 7. + ISO27002 gids voor PII verwerkingsverantwoordelijke ▪ 8. + ISO27002 gids voor PII verwerkers ▪ ANNEX A tot F STR U C TU U R ISO27701 February 13, 2020
  • 14. Page 14 | www.dqsbelgium.be/ February 13, 2020 ▪ Referentie controle objectieven voor verwerkingsverantwoordelijken ▪ Referentie controle objectieven voor maatregelen voor verwerkers ▪ Mapping met ISO29100 ▪ Mapping met GDPR ▪ Mapping met ISO27018 and ISO29151 ▪ Hoe implementeer je ISO27701 met ISO27001 en ISO27002? AN N EXES ISO27701 February 13, 2020
  • 15. Page 15 | www.dqsbelgium.be/ February 13, 2020 Bevat ▪ 10 hoofdstukken ▪ + ANNEX Annex ▪ 14 control hoofdstukken ▪ 35 categorieën ▪ 114 maatregelen C ON TR OLES /MAATR EGELEN HERINNERING: ISO27001 February 13, 2020 ISO27002 = ISO27001 A NNE X + G IDS ING
  • 16. Page 16 | www.dqsbelgium.be/ February 13, 2020 C ONTINUE VE RB E TE RING ISO BASIS PRINCIPE: PDCA February 13, 2020 Plan Denk Do Voer uit Check Meet Act Pas aan
  • 17. Page 17 | www.dqsbelgium.be/ February 13, 2020 C ONTINUE VE RB E TE RING PDCA February 13, 2020 Act Plan DoCheck Act Plan DoCheck Kwaliteits- verbetering Tijd
  • 18. Page 18 | www.dqsbelgium.be/ February 13, 2020 '/../ The requirements of ISO/IEC 27001:2013 mentioning "information security" shall be extended to the protection of privacy as potentially affected by the processing of PII. 5.1. GEN ER AL ( EN KEL EN GELS ) ISO27701 ALS ADD-ON OP ISO27001 February 13, 2020 N OTE I N P RACTICE , W HE RE " INFORMATION S E CURITY " I S US E D I N ISO/IEC 2 7 0 0 1 : 2 0 1 3 , "INFORMATION SECURITY AND PRIVACY ” AP P LIE S INS TE AD ( S E E A NNE X F) . /../'
  • 19. Page 19 | www.dqsbelgium.be/ February 13, 2020 '/../ The requirements of ISO/IEC 27001:2013 mentioning "information security" shall be extended to the protection of privacy as potentially affected by the processing of PII. 5.1. GEN ER AL ( EN KEL EN GELS) ISO27701 ALS ADD-ON OP ISO27001 (GDPR) February 13, 2020 N OTE I N P RACTICE , W HE RE " INFORMATION S E CURITY " I S US E D I N ISO/IEC 2 7 0 0 1 : 2 0 1 3 , "INFORMATION SECURITY AND D ATA PR OTECTION ” AP P LIE S INS TE AD ( S E E A NNE X F) . /../'
  • 20. Page 20 | www.dqsbelgium.be/ February 13, 2020 ▪ = betrokken persoon/bedrijf in geval van verwerkingsverantwoordelijke ▪ = verwerkingsverantwoordelijk in geval van verwerker ▪ = verwerker in case of onderaannemer 4.4. C U STOMER ( "KLAN T") TER INFO February 13, 2020
  • 21. Page 21 | www.dqsbelgium.be/ February 13, 2020 4.3 ISO27001 VER EISTEN ( ISO27701 C LAU SE 5 ) ISO27701 MAPPING NAAR ISO27001 February 13, 2020 ISO27701 Topic ISO27001 Remark 5.2 Context of organisation 4 Gewijzigd 5.3 Leadership 5 Direct 5.4 Planning 6 Gewijzigd 5.5 Support 7 Direct 5.6 Operation 8 Direct 5.7 Performance evaluation 9 Direct 5.8 Improvement 10 Direct
  • 22. Page 22 | www.dqsbelgium.be/ February 13, 2020 4.3 ISO27002 VER EISTEN ( ISO27701 C LAU SE 6 ) ISO27701 MAPPING NAAR ISO27001 February 13, 2020 ISO27701 Topic ISO27002 Remark 6.2 Policies 5 Gewijzigd 6.3 Organisation 6 Gewijzigd 6.4 HR 7 Gewijzigd 6.5 Asset Management 8 Gewijzigd 6.6 Access Control 9 Gewijzigd 6.7 Cryptography 10 Gewijzigd 6.8 Physical and environment 11 Gewijzigd
  • 23. Page 23 | www.dqsbelgium.be/ February 13, 2020 4.3 ISO27002 VER EISTEN ( ISO27701 C LAU SE 6 ) ISO27701 MAPPING NAAR ISO27001 February 13, 2020 ISO27701 Topic ISO27002 Remark 6.9 Operations 12 Gewijzigd 6.10 Communications 13 Gewijzigd 6.11 Acquisition, Dev & mainten. 14 Gewijzigd 6.12 Suppliers 15 Gewijzigd 6.13 Incident Mgmt 16 Gewijzigd 6.14 Business Continuity 17 Direct 6.15 Compliance 18 Gewijzigd
  • 24. Page 24 | www.dqsbelgium.be/ February 13, 2020 EXTEN SIES : BEKNOPT OVER ZIC H T
  • 25. Page 25 | www.dqsbelgium.be/ February 13, 2020 Belangrijke uitbreiding van ▪ Toepasselijke wetgeving ▪ Noden en verwachtingen van betrokken en geinteresseerde partijen ▪ Management system scope (InfoSec + PII) 5.2 C ON TEXT MEEST PROMINENTE EXTENSIES… February 13, 2020
  • 26. Page 26 | www.dqsbelgium.be/ February 13, 2020 Belangrijke uitbreiding van ▪ Risico analyse (naar PIA, DPIA) ▪ Risico behandeling 5.4 R ISIC O AN ALYSE MEEST PROMINENTE EXTENSIES… February 13, 2020
  • 27. Page 27 | www.dqsbelgium.be/ February 13, 2020 Belangrijke uitbreiding van ▪ Policies (nu incl. PII) ▪ ISMS Rollen (ref. CISO + nu ook DPO) ▪ Training en bewustmaking (iedereen betrokken in PII verwerking) ▪ (!) MEDIA HANDLING ▪ Ref. Data breaches (GDPR) ▪ Encryptie, veilige vernietiging, … ▪ Identity Management (deel van access control) ▪ GEEN HERGEBRUIK VAN userIDs ▪ User tracking 6. PIMS IN ISO27002 MEEST PROMINENTE EXTENSIES… February 13, 2020
  • 28. Page 28 | www.dqsbelgium.be/ February 13, 2020 Belangrijke uitbreiding van ▪ Information Backup ▪ Event logging ▪ Log protection ▪ Systeem ontwikkeling & aankoop (zie module 7 & 8) ▪ Test data ▪ GEBRUIK GEEN PII voor test data (gebruik dummy of synthetische data) ▪ INCIDENT MANAGEMENT (ref. GDPR data breaches) ▪ Compliance (wetgeving !, IP, data bescherming,…) 6. PIMS IN ISO27002 MEEST PROMINENTE EXTENSIES… February 13, 2020
  • 29. Page 29 | www.dqsbelgium.be/ February 13, 2020 Ref. GDPR rechten betrokkenen en & verantwoordelijkheid controller ▪ uitdrukkelijk omschreven en gerechtvaardigde doeleinden ▪ Rechtmatige verwerking ▪ Beheer toestemming ▪ PIA/DPIA ▪ PII Verwerkingscontracten ▪ Rechten betrokken personen ("PII principal") ✓ Informatie ✓ Recht op beperking ✓ Copy van PII data ✓ Recht op toegang 7. GID SIN G VOOR VERW ER KIN GSVER AN TW OOR D ELIJ KEN MEEST PROMINENTE EXTENSIES… February 13, 2020
  • 30. Page 30 | www.dqsbelgium.be/ February 13, 2020 Ref. GDPR rechten betrokkenen en & verantwoordelijkheid controller ▪ Privacy by design (GDPR = "data protection by design") ▪ Privacy by default (GDPR = "data protection by default") ▪ Data minimizatie principes ▪ Accuraatheid & kwaliteit ▪ De-identification & vernietiging ▪ PII sharing, transfer & disclosure ✓ Incl. verwijzing naar internationale wetgeving 7. GID SIN G VOOR VERW ER KIN GSVER AN TW OOR D ELIJ KEN MEEST PROMINENTE EXTENSIES… February 13, 2020
  • 31. Page 31 | www.dqsbelgium.be/ February 13, 2020 Ref. controller vs processor responsibility ▪ Contract (to delegate obligations) ▪ Marketing & advertisement ▪ Conflict of interest (of wettelijke conflicten) ▪ PbD & PbDef ▪ Tijdelijke bestanden files ▪ PII transfer & Vernietiging ▪ (!) transfer between jurisdicties ▪ Disclosure aanvragen 8. GID SIN G VOOR VERW ER KER S MEEST PROMINENTE EXTENSIES… February 13, 2020
  • 32. Page 32 | www.dqsbelgium.be/ February 13, 2020 Niet alle controle objectieven en maatregelen in de annex moeten geimplementeerd worden in de PIMS implementatie Wanneer ze uitgesloten worden: uitleg in SoA. ("Comply or explain") AN N EX A : C ON TR OLE OBJ EC TIEVEN VOOR VERW ER KIN GS - VER AN TW OOR D ELIJ KEN MEEST PROMINENTE EXTENSIES… February 13, 2020
  • 33. Page 33 | www.dqsbelgium.be/ February 13, 2020 Niet alle controle objectieven en maatregelen in de annex moeten geimplementeerd worden in de PIMS implementatie Wanneer ze uitgesloten worden: uitleg in SoA. ("Comply or explain") AN N EX B : C ON TR OLE OBJ EC TIEVEN VOOR VERW ER KER S MEEST PROMINENTE EXTENSIES… February 13, 2020
  • 34. Page 34 | www.dqsbelgium.be/ February 13, 2020 AN N EX A: C ON TR OL OBJ EC TIVES FOR C ON TR OLLER S ( 31) MEEST PROMINENTE EXTENSIES… February 13, 2020 A.7.2 Conditions for collection and processing (8) A.7.3 Obligations to PII Principals (10) A.7.4 Privacy by design and privacy by default (9) A.7.5 PII Sharing transfer and disclosure (4)
  • 35. Page 35 | www.dqsbelgium.be/ February 13, 2020 AN N EX B: C ON TR OL OBJ EC TIVES FOR PR OC ESSOR S ( 18) MEEST PROMINENTE EXTENSIES… February 13, 2020 A.8.2 Conditions for collection and processing (6) A.8.3 Obligations to PII Principals (1) A.8.4 Privacy by design and privacy by default (3) A.8.5 PII Sharing transfer and disclosure (8)
  • 36. Page 36 | www.dqsbelgium.be/ February 13, 2020 AN N EX C : MAPPIN G TO ISO29100 MEEST PROMINENTE EXTENSIES… February 13, 2020 VERANTWOORDELIJKEN 11 modules (44 controls) VERWERKERS 9 modules (20 controls)
  • 37. Page 37 | www.dqsbelgium.be/ February 13, 2020 Annex D: mapping to GDPR Table on 3 pages ;) Annex E-F ▪ ISO 27018/29151 ▪ Hoe implementeren (Info sec > "info sec + privacy") ❑ Standaard gebruiken zoals hij is ❑ Toevoeging (bijkomende vereisten) ❑ Verfijning van implementatie AN N EX D & E - F MEEST PROMINENTE EXTENSIES… February 13, 2020
  • 38. Page 38 | www.dqsbelgium.be/ February 13, 2020 C ER TIFIC ATIE : GDPR? ISO?
  • 39. Page 39 | www.dqsbelgium.be/ February 13, 2020 Bronnen ▪ ISO 27001 ▪ GDPR ▪ Cyber Act C ON TEXT CERTIFICATIE February 13, 2020
  • 40. Page 40 | www.dqsbelgium.be/ February 13, 2020 ISO27001 ▪ Internationaal, ▪ Gestandaardiseerd ▪ Wederzijdse herkenning ▪ GDPR ▪ EU wetgeving, MAAR… ▪ Certificatie gecontroleerd door ✓ National DPA, of ✓ Accreditation bodies of, ✓ EDPB… WAAR OM IS D IT BELAN GR IJ K? CERTIFICATIE 13 februari 2020
  • 41. Page 41 | www.dqsbelgium.be/ February 13, 2020 NIS ▪ Richtlijn (geen verordening) ▪ Implementatie van nationalel wet nodig ▪ Verschillende implementaties… niet consistent Cyber Act ▪ EU (enkel) ▪ Verordening ▪ Incl. certificatie WAAR OM IS D IT BELAN GR IJ K? CERTIFICATIE 13 februari 2020
  • 42. Page 42 | www.dqsbelgium.be/ February 13, 2020 Voorbereiding & implementatie ▪ Project implementatie ▪ In-productie-stellling ▪ 1st Interne audit Certificatie ▪ Externe audit - certificatie (T0) ▪ Surveillance audits (T0+1y, T0+2y) ▪ Hercertificatie (T0+3y) Cyclus - herhaling • Herhaalt zich elke 3 jaar IN H ET KORT ISO CERTIFICATIE 13 februari 2020
  • 43. Page 43 | www.dqsbelgium.be/ February 13, 2020 Artikels ▪ Art. 42 - Certification ▪ Art. 43 - Certification bodies Art. 42 ▪ Aantonen compliance ▪ Vrijwillig (ref ISO) ▪ EDPB publiceert register Art. 43 ▪ Ref naar ISO17065 (accreditatie) ▪ Art. 43.2 refereert naar ISO17021 principes (processen, procedures, mgmt, …) IN TH EOR IE GDPR CERTIFICATION February 13, 2020
  • 44. Page 44 | www.dqsbelgium.be/ February 13, 2020 GDPR certification ▪ In beweging… eerste consultaties voor tech schema gestart ▪ EDPB publiceerde guidelines… niks meer dan dat. ▪ Alle EU landen moeten certificatie schema publiceren… (28) ▪ Geen schema gepland bij lancering GDPR ▪ ISO27701 kan een goede gids zijn voor basis schema maar vereist aanvaarding Cyber Act ▪ EU (only) ▪ Verordening ▪ Start met schema… Bestaand schema beschikbaar D E STATU S VAN D AAG GDPR CERTIFICATIE 13 februari 2020
  • 45. Page 45 | www.dqsbelgium.be/ February 13, 2020 ISO certification • ISO27001 certification • met ISO27701 scope extensie Mogelijk risico • Mismatch met Nationale of EU schema ALS ze een ander schema zouden kiezen (klein risico) D E EN IGE OPTIE VAN D AAG CERTIFICATIE 13 februari 2020
  • 46. Page 46 | www.dqsbelgium.be/ February 13, 2020 C YB ER SEC U R ITY VS D ATA PR OTEC TION
  • 47. Page 47 | www.dqsbelgium.be/ February 13, 2020 Geen data protectie zonder cyber security Maar wel cyber security zonder gegevensbescherming (GDPR, persoonlijke data) De belangrijkste data lekken ontstaan door gebrek aan voldoende cybersecurity/cyber-hygiëne Let op ▪ CCB vs DPA ▪ ENISA vs EDPB (European Data protection Board) Sterke en groeiende afhankelijkheid! C YBER SEC U R ITY VS GEGEVEN SBESC H ER MIN G WELKE ROL SPEELT CYBER HIERIN? February 13, 2020
  • 48. Page 48 | www.dqsbelgium.be/ February 13, 2020 CCB https://cyberguide.ccb.belgium.be/nl ▪ Cyber Security guide ▪ BSG (Baseline Security guidelines) voor overheid DPA https://www.gegevensbeschermingsautoriteit.be/ FOD ECONOMIE: cybersecurity & KMO's https://economie.fgov.be/nl/themas/ondernemingen/een-onderneming-beheren-en/cybersecurity-en- kmos C YBER SEC U R ITY VS GEGEVEN SBESC H ER MIN G WELKE ROL SPEELT CYBER HIERIN? February 13, 2020
  • 49. Page 49 | www.dqsbelgium.be/ February 13, 2020 VLAANDEREN https://www.vlaio.be/nl/andere-doelgroepen/vlaams-beleidsplan-cybersecurity C YBER SEC U R ITY VS GEGEVEN SBESC H ER MIN G WELKE ROL SPEELT CYBER HIERIN? February 13, 2020
  • 50. Page 50 | www.dqsbelgium.be/ February 13, 2020 GDPR Certificatie https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines- recommendations-best-practices_nl EDPB Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation EDPB Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679) - version adopted after public consultation N IET U IT H ET OOG VER LIEZEN WAT KOMT ER NOG? 13 februari 2020
  • 51. Page 51 | www.dqsbelgium.be/ February 13, 2020 Roll-out NIS Wetgeving Gepubliceerd April 2019… nu (langzaamaan) in praktijk gezet http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&cn=2019040715 &table_name=wet Cyber Act (evenknie van GDPR voor cyberbeveiliging) Goedgekeurd.. nog 2 jaar voor activatie Incl. Certificatie N IET U IT H ET O O G VER LIEZEN WAT KOMT ER NOG? February 13, 2020
  • 52. Page 52 | www.dqsbelgium.be/ February 13, 2020 Click on the icon in the middle to insert a picture. Optimally, the resolution of the image should be 1600 x 900 pixels, 96 dpi and no more than 1 MB. You can adjust the image section with the cut-out tool. (Instructions see appendix) DANK JE voor de aandacht Zijn er nog vragen?
  • 53. Page 53 | www.dqsbelgium.be/ February 13, 2020 MEER INFO POST DQS Belgium Drukpersstraat 4 1000 Brussel CONTACTEER ONS Phone +32 2 540 24 00 info@dqsbelgium.be www.dqsbelgium.be VOLG ONS LinkedIn Facebook