SlideShare a Scribd company logo

AKD Legal Café Data Security onder de AVG

Download as PPTX, PDF
AKD
AKD

21 november 2017

Law
1 of 39
Legal Café 21 november 2017 Data Security onder de AVG Carmen Hermes (AKD) Bert Heskes (CONAN.DOYLE)
Data Security onder de AVG Agenda 1. Algemene Verordening Gegevensbescherming 2. Beveiliging van de verwerking Artikel 32 AVG 3. Organisatorische maatregelen 4. Technische maatregelen
Introductie Algemene Verordening Gegevensbescherming
De Algemene Verordening Gegevensbescherming Algemeen: • Vervangt huidige Wet bescherming persoonsgegevens (Wbp) • Privacywetgeving die geldt in de hele Europese Unie • Versterking en uitbreiding van privacyrechten • Meer verantwoordelijkheden voor organisaties waaronder het treffen van technische en organisatorische maatregelen • Meer en verbeterde privacyrechten van betrokkenen • Boetebevoegdheid Autoriteit Persoonsgegevens (AP) • Boetes tot 20 miljoen euro • Deadline: 25 mei 2018 4
De Algemene Verordening Gegevensbescherming Toepassingsbereik: Art. 2 lid 1 AVG: “Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.” 5
De Algemene Verordening Gegevensbescherming Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon 6
De Algemene Verordening Gegevensbescherming Verwerking van persoonsgegevens: Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés. 7
De Algemene Verordening Gegevensbescherming Bestand: Elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid. 8
De Algemene Verordening Gegevensbescherming Treffen van technische en organisatorische maatregelen • Bewustwording binnen organisatie • Implementeren van protocollen • Implementeren, controleren en evalueren van beveiligingsstandaarden (technisch) (organisatorisch) 9
De Algemene Verordening Gegevensbescherming Bereid u voor op de nieuwe Algemene Verordening Gegevensbescherming 10
Beveiliging van de verwerking Artikel 32 AVG
Beveiliging van de verwerking Art. 32 AVG: Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: a) de pseudonimisering en versleuteling van persoonsgegevens; b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen; c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen; d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. 12
Organisatorische maatregelen
Organisatorische maatregelen Welke organisatorische maatregelen kunnen organisaties treffen? • Het Informatiebeveiligingsbeleid : • Opstellen van het Informatiebeveiligingsbeleid; • Uitdragen van het Informatiebeveiligingsbeleid; • Evaluatie van het Informatiebeveiligingsbeleid. • Functionaris voor de gegevensbescherming; • Privacy Impact Assessment; • Privacy by Design / Privacy by Default; • Beveiliging door een bewerker (de bewerkersovereenkomst). 14
Organisatorische maatregelen Informatiebeveiligingsbeleid binnen uw organisatie • Beveiligingsmaatregelen ter waarborging van beschikbaarheid, integriteit en exclusiviteit van het informatiesysteem. • Minimaliseren van schade door eventuele gevolgen van beveiligingsrisico’s. • Bewustwording onder medewerkers / register verwerkingsactiviteiten / geheimhouding / fysieke beveiliging / wachtwoorden en toegangsbeveiliging / uitwisselen van informatie / threat management / technische standaarden / continuïteitsmanagement. • Plan-do-check-act 15
Organisatorische maatregelen Functionaris voor de gegevensbescherming • Houdt toezicht op de toepassing en naleving van de AVG • Verplicht voor: • Overheden en publieke organisaties (niet voor gerechten); • Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen; • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken. • De verwerkingsverantwoordelijke of verwerker maakt de gegevens van de FG bekend en deelt deze gegevens mede aan de AP • Personeelslid of op grond van een dienstenovereenkomst • FG dient taken en verplichtingen onafhankelijk te kunnen vervullen • Indien niet verplicht eventueel vrijwillig aanstellen 16
Organisatorische maatregelen Data Protection Impact Assessment (DPIA) (gegevensbeschermingseffectbeoordeling) • Vooraf privacyrisico’s van een gegevensverwerking in kaart brengen; • Maatregelen om risico’s te verkleinen; • Verplicht indien de gegevensverwerking “waarschijnlijk een hoog privacyrisico met zich meebrengt” voor de betrokkene. Bijvoorbeeld bij: • Het systematisch en uitvoerig beoordelen van persoonlijke aspecten; • Het op grote schaal verwerken van bijzondere persoonsgegevens; • Het op grote schaal en stelselmatig monitoren van openbaar toegankelijke ruimten. • Voorafgaande raadpleging  overleg met AP indien hoog risico en geen maatregelen voorhanden zijn. AP beoordeelt of de beoogde verwerking in strijd is met AVG. 17
Organisatorische maatregelen Privacy by design • Al bij het ontwerpen van producten en diensten zorgen voor bescherming van persoonsgegevens; • Niet méér gegevens verzamelen dan noodzakelijk voor het doel van de verwerking; • Gegevens niet langer bewaren dan nodig. Privacy by default • Technische en organisatorische maatregelen treffen om niet méér gegevens te verwerken dan noodzakelijk voor het doel van de verwerking. 18
Organisatorische maatregelen 19 De verwerkersovereenkomst • Bij uitbesteding van gegevensverwerking aan een berwerker (binnenkort: verwerker); • Volstaan de afspraken in bestaande bewerkersovereenkomsten nog? • Omschrijving van de verwerking (o.a. onderwerp, duur, aard, doel, soort, etc.); • Instructie van verwerkingsverantwoordelijke aan verwerker; • Geheimhoudingsplicht; • Beveiliging; • Subverwerkers (niet zonder voorafgaande schriftelijke toestemming verwerkingsverantwoordelijke!); • Privacyrechten en andere verplichtingen; • Verwijderen van gegevens; • Audits.
Organisatorische maatregelen 20 Ondanks passende maatregelen toch een datalek.
Organisatorische maatregelen Meldplicht datalekken • Sinds 1 januari 2016 (Wbp) • Aan de AP bij inbreuk in verband met persoonsgegevens (binnen 72 uur) • Aan betrokkenen indien waarschijnlijk een hoog risico bestaat voor de rechten en vrijheden van natuurlijke personen • Documentatieplicht 21
Organisatorische maatregelen Datalekkenprotocol binnen uw organisatie • Vermoeden van een beveiligingsincident/datalek • Inschakelen van datalekteam/ICT-responseteam en proceseigenaar • Verzamelen en vastleggen van informatie • Beoordelen van het datalek • Bestrijden van het datalek • Melden van het datalek aan AP (indien (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens) • Melden van het datalek aan betrokkenen (indien waarschijnlijk nadelige gevolgen voor de betrokkenen) • Eventueel melden aan overige partijen 22
Heeft u nadere vragen en/of opmerkingen? AKD Carmen Hermes chermes@akd.nl 088 253 5970
Technische maatregelen
Korte introductie
ConanDoyle is de one stop shop voor informatieveiligheid
Art. 32 AVG: Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
BIV? Beschikbaarheid Integriteit Vertrouwelijkheid Mens Proces Technologie Data
VOORKOMEN OF GENEZEN? Identificeren Beschermen Detecteren Reageren Herstellen
VOORKOMEN OF GENEZEN? Identificeren Beschermen Detecteren Reageren Herstellen Devices Applicaties Netwerk Data Mensen
VOORKOMEN OF GENEZEN? Identificeren Beschermen Detecteren Reageren Herstellen Devices Applicaties Netwerk Data Mensen Mensen Processen Technologie
VOORKOMEN OF GENEZEN? Identificeren Beschermen Detecteren Reageren Herstellen Devices Applicaties Netwerk Data Mensen VÓÓR HET FOUT GAAT ALS HET FOUT IS GAAT Mensen Processen Technologie
VOORKOMEN OF GENEZEN? Identificeren Beschermen Detecteren Reageren Herstellen Devices Applicaties Netwerk Data Mensen Mensen Processen Technologie ALS HET FOUT IS GAAT Config Mgt. Baselining Risico profilering Classificatie Updates Anti virus Honey pots & Sandbox IAM & PW manager 2 factor auth App Security WAF Firewalls Redundantie Uitwijk Vul. testing Encryptie Tokenization DLP & backup Phishing Awareness Credentials/biometric HR
VOORKOMEN OF GENEZEN? Identificeren Beschermen Detecteren Reageren Herstellen Devices Applicaties Netwerk Data Mensen Mensen Processen Technologie Config Mgt. Baselining Risico profilering Classificatie Updates Anti virus Honey pots & Sandbox IAM & PW manager 2 factor auth App Security WAF Firewalls & TLS & VPN Redundantie Uitwijk Vul. testing Encryptie Tokenization DLP & backup End point monitoring Logging monitoring IDS/SIEM DDOS protectie SIEM SIEM gedragsanalyse Phishing Awareness Credentials/biometric HR SOC CDN Blacklisting Shutting down Uitwijk Restore Disconnect Disabling user ID Re instate user ID Restore Re-install Closed unless
Cloud Security Access Broker
DATA CLASSIFICATIE • Niet alles hoeft even zwaar beschermd • Hoe te classificeren?
DATA CLASSIFICATIE • Beschikbaarheid - Managementbeslissingen - Imago - Dienstverlening - Aansprakelijkheid - Moreel personeel - Kosten (aanvullend en herstel) • Integriteit - Managementbeslissingen - Fraude risico - Verlies van inkomsten - Imago • Vertrouwelijkheid - Fraude impact - Verlies van inkomsten - Imago - Aansprakelijkheid - Moreel personeel
ONE MORE THING • Impact rechten van de personen - Recht op vergetelheid - Recht op portabiliteit - Recht op inzage • Oudere systemen • Backups • Handmatige copieën • Offline storage • Data catalogus!
CONTACTGEGEVENS Bert Heskes bert.heskes@conandoyle.eu 033 4505055

Recommended

Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...AKD
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Richard Claassens CIPPE
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)Richard Claassens CIPPE
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 

Recommended

Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...AKD
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Richard Claassens CIPPE
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)Richard Claassens CIPPE
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
2017 10-20 archivering en AVG
2017 10-20 archivering en AVG2017 10-20 archivering en AVG
2017 10-20 archivering en AVGVlaamse Vereniging voor Bibliotheek, Archief & Documentatie vzw (VVBAD)
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijVNG Realisatie
 
Information Lifecycle Management
Information Lifecycle ManagementInformation Lifecycle Management
Information Lifecycle ManagementJurgen van de Pol
 
De GDPR in de Praktijk
De GDPR in de PraktijkDe GDPR in de Praktijk
De GDPR in de PraktijkBartLieben
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefRichard Claassens CIPPE
 
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkBeveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkAxon Lawyers
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenGemeente Zwijndrecht
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyB.A.
 
Gegevensbescherming makelaars
Gegevensbescherming makelaarsGegevensbescherming makelaars
Gegevensbescherming makelaarsTommy Vandepitte
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenMedia Perspectives
 
20201211 DPIA webinar
20201211 DPIA webinar20201211 DPIA webinar
20201211 DPIA webinarBart Van Den Brande
 
Zorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgZorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgJUSTthIS_Molen
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosSLBdiensten
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD
 
Algemene verordening gegevensbescherming (General Data Protection Regulation)...
Algemene verordening gegevensbescherming (General Data Protection Regulation)...Algemene verordening gegevensbescherming (General Data Protection Regulation)...
Algemene verordening gegevensbescherming (General Data Protection Regulation)...Wim Lowet
 
Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Koenraad FLAMANT
 
Gastcollege Universiteit Twente over Privacy
Gastcollege Universiteit Twente over PrivacyGastcollege Universiteit Twente over Privacy
Gastcollege Universiteit Twente over Privacywvholst_mitopics
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD
 
Zó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofZó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofvalantic NL
 
Av23
Av23Av23
Av23Rogier Posthuma
 

More Related Content

What's hot

Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijVNG Realisatie
 
Information Lifecycle Management
Information Lifecycle ManagementInformation Lifecycle Management
Information Lifecycle ManagementJurgen van de Pol
 
De GDPR in de Praktijk
De GDPR in de PraktijkDe GDPR in de Praktijk
De GDPR in de PraktijkBartLieben
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefRichard Claassens CIPPE
 
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkBeveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkAxon Lawyers
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenGemeente Zwijndrecht
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyB.A.
 

What's hot (9)

2017 10-20 archivering en AVG
2017 10-20 archivering en AVG2017 10-20 archivering en AVG
2017 10-20 archivering en AVG
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbij
 
Information Lifecycle Management
Information Lifecycle ManagementInformation Lifecycle Management
Information Lifecycle Management
 
De GDPR in de Praktijk
De GDPR in de PraktijkDe GDPR in de Praktijk
De GDPR in de Praktijk
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitief
 
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkBeveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerk
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingen
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacy
 

Similar to AKD Legal Café Data Security onder de AVG

Gegevensbescherming makelaars
Gegevensbescherming makelaarsGegevensbescherming makelaars
Gegevensbescherming makelaarsTommy Vandepitte
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenMedia Perspectives
 
Zorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgZorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgJUSTthIS_Molen
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosSLBdiensten
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD
 
Algemene verordening gegevensbescherming (General Data Protection Regulation)...
Algemene verordening gegevensbescherming (General Data Protection Regulation)...Algemene verordening gegevensbescherming (General Data Protection Regulation)...
Algemene verordening gegevensbescherming (General Data Protection Regulation)...Wim Lowet
 
Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Koenraad FLAMANT
 
Gastcollege Universiteit Twente over Privacy
Gastcollege Universiteit Twente over PrivacyGastcollege Universiteit Twente over Privacy
Gastcollege Universiteit Twente over Privacywvholst_mitopics
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD
 
Zó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofZó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofvalantic NL
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceAKD
 
Privacy goed geregeld
Privacy goed geregeldPrivacy goed geregeld
Privacy goed geregeldSLBdiensten
 
Privacy goed geregeld
Privacy goed geregeldPrivacy goed geregeld
Privacy goed geregeldKim Koster
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeHenk Fernald
 

Similar to AKD Legal Café Data Security onder de AVG (20)

Gegevensbescherming makelaars
Gegevensbescherming makelaarsGegevensbescherming makelaars
Gegevensbescherming makelaars
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman Advocaten
 
20201211 DPIA webinar
20201211 DPIA webinar20201211 DPIA webinar
20201211 DPIA webinar
 
Zorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgZorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorg
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door Sophos
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
 
AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloer
 
Algemene verordening gegevensbescherming (General Data Protection Regulation)...
Algemene verordening gegevensbescherming (General Data Protection Regulation)...Algemene verordening gegevensbescherming (General Data Protection Regulation)...
Algemene verordening gegevensbescherming (General Data Protection Regulation)...
 
Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.
 
Gastcollege Universiteit Twente over Privacy
Gastcollege Universiteit Twente over PrivacyGastcollege Universiteit Twente over Privacy
Gastcollege Universiteit Twente over Privacy
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
 
Zó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofZó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proof
 
Av23
Av23Av23
Av23
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
 
Privacy goed geregeld
Privacy goed geregeldPrivacy goed geregeld
Privacy goed geregeld
 
Privacy goed geregeld
Privacy goed geregeldPrivacy goed geregeld
Privacy goed geregeld
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
 

More from AKD

Sponsorovereenkomst als overheidsopdracht
Sponsorovereenkomst als overheidsopdrachtSponsorovereenkomst als overheidsopdracht
Sponsorovereenkomst als overheidsopdrachtAKD
 
Projectontwikkeling altijd een overheidsopdracht?
Projectontwikkeling altijd een overheidsopdracht? Projectontwikkeling altijd een overheidsopdracht?
Projectontwikkeling altijd een overheidsopdracht? AKD
 
Overheidsopdracht of subsidie
Overheidsopdracht of subsidie Overheidsopdracht of subsidie
Overheidsopdracht of subsidie AKD
 
Overheidsopdracht of open house model
Overheidsopdracht of open house modelOverheidsopdracht of open house model
Overheidsopdracht of open house modelAKD
 
Introductie Aanbestedingswebinar
Introductie AanbestedingswebinarIntroductie Aanbestedingswebinar
Introductie AanbestedingswebinarAKD
 
Woningbouw en stikstof, hoe verder na pas
Woningbouw en stikstof, hoe verder na pasWoningbouw en stikstof, hoe verder na pas
Woningbouw en stikstof, hoe verder na pasAKD
 
De corporatie als ontwikkelaar
De corporatie als ontwikkelaar De corporatie als ontwikkelaar
De corporatie als ontwikkelaar AKD
 
Professioneel opdrachtgeverschap
Professioneel opdrachtgeverschapProfessioneel opdrachtgeverschap
Professioneel opdrachtgeverschapAKD
 
Maatregelen middenhuur
Maatregelen middenhuur Maatregelen middenhuur
Maatregelen middenhuur AKD
 
Inleiding
Inleiding Inleiding
Inleiding AKD
 
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...AKD
 
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...AKD
 
AKD Aanbestedingsseminars 2019 introductie
AKD Aanbestedingsseminars 2019 introductieAKD Aanbestedingsseminars 2019 introductie
AKD Aanbestedingsseminars 2019 introductieAKD
 
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?AKD
 
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...AKD
 
Aanbestedingsseminars 2019 workshop 2
Aanbestedingsseminars 2019 workshop 2Aanbestedingsseminars 2019 workshop 2
Aanbestedingsseminars 2019 workshop 2AKD
 
Aanbestedingsseminars 2019 workshop 4
Aanbestedingsseminars 2019 workshop 4Aanbestedingsseminars 2019 workshop 4
Aanbestedingsseminars 2019 workshop 4AKD
 
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...AKD
 
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedureAanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedureAKD
 
Aanbestedingsseminars 2019 introductie
Aanbestedingsseminars 2019 introductieAanbestedingsseminars 2019 introductie
Aanbestedingsseminars 2019 introductieAKD
 

More from AKD (20)

Sponsorovereenkomst als overheidsopdracht
Sponsorovereenkomst als overheidsopdrachtSponsorovereenkomst als overheidsopdracht
Sponsorovereenkomst als overheidsopdracht
 
Projectontwikkeling altijd een overheidsopdracht?
Projectontwikkeling altijd een overheidsopdracht? Projectontwikkeling altijd een overheidsopdracht?
Projectontwikkeling altijd een overheidsopdracht?
 
Overheidsopdracht of subsidie
Overheidsopdracht of subsidie Overheidsopdracht of subsidie
Overheidsopdracht of subsidie
 
Overheidsopdracht of open house model
Overheidsopdracht of open house modelOverheidsopdracht of open house model
Overheidsopdracht of open house model
 
Introductie Aanbestedingswebinar
Introductie AanbestedingswebinarIntroductie Aanbestedingswebinar
Introductie Aanbestedingswebinar
 
Woningbouw en stikstof, hoe verder na pas
Woningbouw en stikstof, hoe verder na pasWoningbouw en stikstof, hoe verder na pas
Woningbouw en stikstof, hoe verder na pas
 
De corporatie als ontwikkelaar
De corporatie als ontwikkelaar De corporatie als ontwikkelaar
De corporatie als ontwikkelaar
 
Professioneel opdrachtgeverschap
Professioneel opdrachtgeverschapProfessioneel opdrachtgeverschap
Professioneel opdrachtgeverschap
 
Maatregelen middenhuur
Maatregelen middenhuur Maatregelen middenhuur
Maatregelen middenhuur
 
Inleiding
Inleiding Inleiding
Inleiding
 
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
 
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
 
AKD Aanbestedingsseminars 2019 introductie
AKD Aanbestedingsseminars 2019 introductieAKD Aanbestedingsseminars 2019 introductie
AKD Aanbestedingsseminars 2019 introductie
 
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
 
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
 
Aanbestedingsseminars 2019 workshop 2
Aanbestedingsseminars 2019 workshop 2Aanbestedingsseminars 2019 workshop 2
Aanbestedingsseminars 2019 workshop 2
 
Aanbestedingsseminars 2019 workshop 4
Aanbestedingsseminars 2019 workshop 4Aanbestedingsseminars 2019 workshop 4
Aanbestedingsseminars 2019 workshop 4
 
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
 
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedureAanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
 
Aanbestedingsseminars 2019 introductie
Aanbestedingsseminars 2019 introductieAanbestedingsseminars 2019 introductie
Aanbestedingsseminars 2019 introductie
 

AKD Legal Café Data Security onder de AVG

  • 1. Legal Café 21 november 2017 Data Security onder de AVG Carmen Hermes (AKD) Bert Heskes (CONAN.DOYLE)
  • 2. Data Security onder de AVG Agenda 1. Algemene Verordening Gegevensbescherming 2. Beveiliging van de verwerking Artikel 32 AVG 3. Organisatorische maatregelen 4. Technische maatregelen
  • 4. De Algemene Verordening Gegevensbescherming Algemeen: • Vervangt huidige Wet bescherming persoonsgegevens (Wbp) • Privacywetgeving die geldt in de hele Europese Unie • Versterking en uitbreiding van privacyrechten • Meer verantwoordelijkheden voor organisaties waaronder het treffen van technische en organisatorische maatregelen • Meer en verbeterde privacyrechten van betrokkenen • Boetebevoegdheid Autoriteit Persoonsgegevens (AP) • Boetes tot 20 miljoen euro • Deadline: 25 mei 2018 4
  • 5. De Algemene Verordening Gegevensbescherming Toepassingsbereik: Art. 2 lid 1 AVG: “Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.” 5
  • 6. De Algemene Verordening Gegevensbescherming Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon 6
  • 7. De Algemene Verordening Gegevensbescherming Verwerking van persoonsgegevens: Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés. 7
  • 8. De Algemene Verordening Gegevensbescherming Bestand: Elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid. 8
  • 9. De Algemene Verordening Gegevensbescherming Treffen van technische en organisatorische maatregelen • Bewustwording binnen organisatie • Implementeren van protocollen • Implementeren, controleren en evalueren van beveiligingsstandaarden (technisch) (organisatorisch) 9
  • 10. De Algemene Verordening Gegevensbescherming Bereid u voor op de nieuwe Algemene Verordening Gegevensbescherming 10
  • 11. Beveiliging van de verwerking Artikel 32 AVG
  • 12. Beveiliging van de verwerking Art. 32 AVG: Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: a) de pseudonimisering en versleuteling van persoonsgegevens; b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen; c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen; d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. 12
  • 14. Organisatorische maatregelen Welke organisatorische maatregelen kunnen organisaties treffen? • Het Informatiebeveiligingsbeleid : • Opstellen van het Informatiebeveiligingsbeleid; • Uitdragen van het Informatiebeveiligingsbeleid; • Evaluatie van het Informatiebeveiligingsbeleid. • Functionaris voor de gegevensbescherming; • Privacy Impact Assessment; • Privacy by Design / Privacy by Default; • Beveiliging door een bewerker (de bewerkersovereenkomst). 14
  • 15. Organisatorische maatregelen Informatiebeveiligingsbeleid binnen uw organisatie • Beveiligingsmaatregelen ter waarborging van beschikbaarheid, integriteit en exclusiviteit van het informatiesysteem. • Minimaliseren van schade door eventuele gevolgen van beveiligingsrisico’s. • Bewustwording onder medewerkers / register verwerkingsactiviteiten / geheimhouding / fysieke beveiliging / wachtwoorden en toegangsbeveiliging / uitwisselen van informatie / threat management / technische standaarden / continuïteitsmanagement. • Plan-do-check-act 15
  • 16. Organisatorische maatregelen Functionaris voor de gegevensbescherming • Houdt toezicht op de toepassing en naleving van de AVG • Verplicht voor: • Overheden en publieke organisaties (niet voor gerechten); • Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen; • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken. • De verwerkingsverantwoordelijke of verwerker maakt de gegevens van de FG bekend en deelt deze gegevens mede aan de AP • Personeelslid of op grond van een dienstenovereenkomst • FG dient taken en verplichtingen onafhankelijk te kunnen vervullen • Indien niet verplicht eventueel vrijwillig aanstellen 16
  • 17. Organisatorische maatregelen Data Protection Impact Assessment (DPIA) (gegevensbeschermingseffectbeoordeling) • Vooraf privacyrisico’s van een gegevensverwerking in kaart brengen; • Maatregelen om risico’s te verkleinen; • Verplicht indien de gegevensverwerking “waarschijnlijk een hoog privacyrisico met zich meebrengt” voor de betrokkene. Bijvoorbeeld bij: • Het systematisch en uitvoerig beoordelen van persoonlijke aspecten; • Het op grote schaal verwerken van bijzondere persoonsgegevens; • Het op grote schaal en stelselmatig monitoren van openbaar toegankelijke ruimten. • Voorafgaande raadpleging  overleg met AP indien hoog risico en geen maatregelen voorhanden zijn. AP beoordeelt of de beoogde verwerking in strijd is met AVG. 17
  • 18. Organisatorische maatregelen Privacy by design • Al bij het ontwerpen van producten en diensten zorgen voor bescherming van persoonsgegevens; • Niet méér gegevens verzamelen dan noodzakelijk voor het doel van de verwerking; • Gegevens niet langer bewaren dan nodig. Privacy by default • Technische en organisatorische maatregelen treffen om niet méér gegevens te verwerken dan noodzakelijk voor het doel van de verwerking. 18
  • 19. Organisatorische maatregelen 19 De verwerkersovereenkomst • Bij uitbesteding van gegevensverwerking aan een berwerker (binnenkort: verwerker); • Volstaan de afspraken in bestaande bewerkersovereenkomsten nog? • Omschrijving van de verwerking (o.a. onderwerp, duur, aard, doel, soort, etc.); • Instructie van verwerkingsverantwoordelijke aan verwerker; • Geheimhoudingsplicht; • Beveiliging; • Subverwerkers (niet zonder voorafgaande schriftelijke toestemming verwerkingsverantwoordelijke!); • Privacyrechten en andere verplichtingen; • Verwijderen van gegevens; • Audits.
  • 20. Organisatorische maatregelen 20 Ondanks passende maatregelen toch een datalek.
  • 21. Organisatorische maatregelen Meldplicht datalekken • Sinds 1 januari 2016 (Wbp) • Aan de AP bij inbreuk in verband met persoonsgegevens (binnen 72 uur) • Aan betrokkenen indien waarschijnlijk een hoog risico bestaat voor de rechten en vrijheden van natuurlijke personen • Documentatieplicht 21
  • 22. Organisatorische maatregelen Datalekkenprotocol binnen uw organisatie • Vermoeden van een beveiligingsincident/datalek • Inschakelen van datalekteam/ICT-responseteam en proceseigenaar • Verzamelen en vastleggen van informatie • Beoordelen van het datalek • Bestrijden van het datalek • Melden van het datalek aan AP (indien (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens) • Melden van het datalek aan betrokkenen (indien waarschijnlijk nadelige gevolgen voor de betrokkenen) • Eventueel melden aan overige partijen 22
  • 23. Heeft u nadere vragen en/of opmerkingen? AKD Carmen Hermes chermes@akd.nl 088 253 5970
  • 26. ConanDoyle is de one stop shop voor informatieveiligheid
  • 27. Art. 32 AVG: Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • 29. VOORKOMEN OF GENEZEN? Identificeren Beschermen Detecteren Reageren Herstellen
  • 30. VOORKOMEN OF GENEZEN? Identificeren Beschermen Detecteren Reageren Herstellen Devices Applicaties Netwerk Data Mensen
  • 31. VOORKOMEN OF GENEZEN? Identificeren Beschermen Detecteren Reageren Herstellen Devices Applicaties Netwerk Data Mensen Mensen Processen Technologie
  • 32. VOORKOMEN OF GENEZEN? Identificeren Beschermen Detecteren Reageren Herstellen Devices Applicaties Netwerk Data Mensen VÓÓR HET FOUT GAAT ALS HET FOUT IS GAAT Mensen Processen Technologie
  • 33. VOORKOMEN OF GENEZEN? Identificeren Beschermen Detecteren Reageren Herstellen Devices Applicaties Netwerk Data Mensen Mensen Processen Technologie ALS HET FOUT IS GAAT Config Mgt. Baselining Risico profilering Classificatie Updates Anti virus Honey pots & Sandbox IAM & PW manager 2 factor auth App Security WAF Firewalls Redundantie Uitwijk Vul. testing Encryptie Tokenization DLP & backup Phishing Awareness Credentials/biometric HR
  • 34. VOORKOMEN OF GENEZEN? Identificeren Beschermen Detecteren Reageren Herstellen Devices Applicaties Netwerk Data Mensen Mensen Processen Technologie Config Mgt. Baselining Risico profilering Classificatie Updates Anti virus Honey pots & Sandbox IAM & PW manager 2 factor auth App Security WAF Firewalls & TLS & VPN Redundantie Uitwijk Vul. testing Encryptie Tokenization DLP & backup End point monitoring Logging monitoring IDS/SIEM DDOS protectie SIEM SIEM gedragsanalyse Phishing Awareness Credentials/biometric HR SOC CDN Blacklisting Shutting down Uitwijk Restore Disconnect Disabling user ID Re instate user ID Restore Re-install Closed unless
  • 36. DATA CLASSIFICATIE • Niet alles hoeft even zwaar beschermd • Hoe te classificeren?
  • 37. DATA CLASSIFICATIE • Beschikbaarheid - Managementbeslissingen - Imago - Dienstverlening - Aansprakelijkheid - Moreel personeel - Kosten (aanvullend en herstel) • Integriteit - Managementbeslissingen - Fraude risico - Verlies van inkomsten - Imago • Vertrouwelijkheid - Fraude impact - Verlies van inkomsten - Imago - Aansprakelijkheid - Moreel personeel
  • 38. ONE MORE THING • Impact rechten van de personen - Recht op vergetelheid - Recht op portabiliteit - Recht op inzage • Oudere systemen • Backups • Handmatige copieën • Offline storage • Data catalogus!

Editor's Notes

  1. „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
  2. „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
  3. OV 15: De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn vallen.