Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SEE the Cloud: Robert Veenstra - GDPR en de cloud

329 views

Published on

De GDPR lijkt als een donkere wolk boven de wereld te hangen. Dagelijks worden we bang gemaakt met onheilstijdingen over torenhoge boetes, datalekken en de datum: 25 mei 2018. In veel organisaties is men vooral binnenshuis bezig met procedures en maatregelen om aan de GDPR te voldoen. Maar hoe zit het met verwerkingen die in de cloud plaatsvinden? Natuurlijk moet er een verwerkersovereenkomst worden afgesloten met afspraken over de beveiliging van gegevens. Maar hoe moet een organisatie vaststellen welke afspraken precies nodig zijn? En hoe controleer je de cloud service provider op naleving van die afspraken?

Published in: Data & Analytics
  • Be the first to comment

  • Be the first to like this

SEE the Cloud: Robert Veenstra - GDPR en de cloud

  1. 1. #SEETHECLOUD GDPR & de Cloud Robert Veenstra
  2. 2. #SEETHECLOUD Robert Veenstra Senior Security Consultant Sincerus Consultancy
  3. 3. Sincerus – Simplifying information security • Onderdeel Vincere groep • Ca. 25 medewerkers • Vestiging Zwolle (Sincerus) en Enschede (Cybermonitor) • Diensten – Advies en implementatie informatiebeveiliging – Pentesting en ethical hacking – SOC diensten (Cybermonitor)
  4. 4. Sincerus • Opleidingen • Security awareness campagnes – Mystery guests – Social engineering – Awareness training • Ethical hacking / pentesten • Assessments interne infra – systemen – netwerken • Risicoanalyses – Bedrijfsprocessen – Organisatie • Compliancy – ISO27001 – NEN7510 • ‘Threat intelligence’ (actuele dreigingsinformatie) • Managed log & security monitoring (SIEM)
  5. 5. #SEETHECLOUD GDPR & de Cloud Robert Veenstra
  6. 6. #SEETHECLOUD Wordt U hier ook zo moe van ?
  7. 7. #SEETHECLOUD
  8. 8. #SEETHECLOUD GDPR • Opvolger van richtlijn 95/46/EG • Vervangt (grotendeels) nationale wet- en regelgeving • Geen aparte ‘vertaling’ naar nationale wetgeving nodig • …datum is bekend…
  9. 9. #SEETHECLOUD Wat ‘regelt’ de GDPR
  10. 10. #SEETHECLOUD Waarom • Het gebrek aan vertrouwen in de oude regels voor gegevensbescherming belemmerde de digitale economie en waarschijnlijk ook uw bedrijf. • Zaken doen is makkelijker en eerlijker geworden • Het nieuwe stelsel drukt de kosten en helpt het bedrijfsleven groeien • Nieuwe regels moeten het consumentenvertrouwen, en daarmee het bedrijfsleven, een impuls geven. http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_nl.htm
  11. 11. #SEETHECLOUD De belangrijkste wijzigingen • Wettelijke grondslag • Eisen ten aanzien van ‘toestemming’ • Rechten van betrokkenen • Accountability • Privacy by Design/Privacy by Default • Functionaris Gegevensbescherming • Datalekken • Verantwoordelijkheden bij uitbesteding
  12. 12. #SEETHECLOUD Aandachtpunten
  13. 13. #SEETHECLOUD GDPR – Art. 28 Verwerker • Garanties • Overeenkomst • Certificering ?
  14. 14. #SEETHECLOUD GDPR – Art. 30 Register van verwerkingactiviteiten
  15. 15. #SEETHECLOUD GDPR – Art. 32 Beveiliging van de verwerking • ‘Passende technische en organisatorische maatregelen’: - Anonimisering, pseudonimisering en versleuteling - Vertrouwelijkheid, integriteit, beschikbaarheid - Herstellen - Periodiek testen, beoordelen en evalueren
  16. 16. #SEETHECLOUD GDPR – Art. 33 Melding van inbreuk Richtlijn in ontwikkeling - http://ec.europa.eu/newsroom/document.cfm?doc_id=47741
  17. 17. #SEETHECLOUD http://ec.europa.eu/newsroom/document.cfm?doc_id=44100 GDPR – Art. 37/38/39 Functionaris Gegevensbescherming
  18. 18. #SEETHECLOUD Op naar de cloud !
  19. 19. #SEETHECLOUD Waar moet een uitbestedende organisatie aan denken • Wat zijn de risico’s voor de verwerking van persoonsgegevens? • Welke risico’s wil ik afdekken door ‘naar de cloud’ te gaan? • Welke eisen moet ik stellen aan de dienstverlening door de cloud provider (‘functioneel’ en ‘security’) – en hoe stel ik die eisen vast ? • Hoe wil ik dat de cloud provider aantoont dat hij aan mijn eisen voldoet? • Welke afspraken moet ik met de cloud provider maken over het waarborgen van rechten van betrokkenen (inzage, wijziging, verwijdering etc.)? • Welke operationele afspraken moet ik maken in verband met incidenten en datalekken?
  20. 20. #SEETHECLOUD Waar moet een uitbestedende organisatie aan denken • Wat zijn de risico’s voor de verwerking van persoonsgegevens? • Welke risico’s wil ik afdekken door ‘naar de cloud’ te gaan? • Welke eisen moet ik stellen aan de dienstverlening door de cloud provider (‘functioneel’ en ‘security’) – en hoe stel ik die eisen vast ? • Hoe wil ik dat de cloud provider aantoont dat hij aan mijn eisen voldoet? • Welke afspraken moet ik met de cloud provider maken over het waarborgen van rechten van betrokkenen (inzage, wijziging, verwijdering etc.)? • Welke operationele afspraken moet ik maken in verband met incidenten en datalekken?
  21. 21. #SEETHECLOUD Op welke vragen moet een cloud provider voorbereid zijn • Wat is het beveiligingsbeleid van de provider ? “One size fits all” of klantspecifiek ? • Waar wordt de data ‘verwerkt’ – opgeslagen, gemuteerd, ingezien • Welke (technische en organisatorische) maatregelen heeft de provider ingericht ? • Toegangsbeveiliging en monitoring van toegang • Fysieke beveiliging • Reageren op en afhandelen van beveiligingsincidenten • Hoe wordt aangetoond dat de maatregelen effectief zijn? • Wat zijn de interne procedures omtrent melden en afhandelen van incidenten/datalekken, en hoe kan een klant daarop aansluiten ?
  22. 22. #SEETHECLOUD • Maak een stappenplan - https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg- nieuwe-europese-privacywetgeving/voorbereiding-op-de-avg • Formeer een team • Zorg voor support • Maak gebruikt van ‘wat er al is’ Tips en trucs
  23. 23. Questions? #SEETHECLOUD

×