1. Legal Café 21 november 2017
Data Security onder de AVG
Carmen Hermes (AKD)
Bert Heskes (CONAN.DOYLE)
2. Data Security onder de AVG
Agenda
1. Algemene Verordening Gegevensbescherming
2. Beveiliging van de verwerking Artikel 32 AVG
3. Organisatorische maatregelen
4. Technische maatregelen
4. De Algemene Verordening Gegevensbescherming
Algemeen:
• Vervangt huidige Wet bescherming persoonsgegevens (Wbp)
• Privacywetgeving die geldt in de hele Europese Unie
• Versterking en uitbreiding van privacyrechten
• Meer verantwoordelijkheden voor organisaties waaronder het treffen van
technische en organisatorische maatregelen
• Meer en verbeterde privacyrechten van betrokkenen
• Boetebevoegdheid Autoriteit Persoonsgegevens (AP)
• Boetes tot 20 miljoen euro
• Deadline: 25 mei 2018
4
5. De Algemene Verordening Gegevensbescherming
Toepassingsbereik:
Art. 2 lid 1 AVG:
“Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde
verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn
opgenomen of die bestemd zijn om daarin te worden opgenomen.”
5
6. De Algemene Verordening Gegevensbescherming
Persoonsgegevens:
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
6
7. De Algemene Verordening Gegevensbescherming
Verwerking van persoonsgegevens:
Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens
of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde
procedés.
7
8. De Algemene Verordening Gegevensbescherming
Bestand:
Elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria
toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan
wel op functionele of geografische gronden is verspreid.
8
9. De Algemene Verordening Gegevensbescherming
Treffen van technische en organisatorische maatregelen
• Bewustwording binnen organisatie
• Implementeren van protocollen
• Implementeren, controleren en evalueren van beveiligingsstandaarden
(technisch) (organisatorisch)
9
10. De Algemene Verordening Gegevensbescherming
Bereid u voor op de nieuwe Algemene Verordening Gegevensbescherming
10
12. Beveiliging van de verwerking
Art. 32 AVG:
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de
omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst
uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de
verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische
maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar
passend, onder meer het volgende omvatten:
a) de pseudonimisering en versleuteling van persoonsgegevens;
b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en
veerkracht van de verwerkingssystemen en diensten te garanderen;
c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang
tot de persoonsgegevens tijdig te herstellen;
d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de
doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de
verwerking.
12
14. Organisatorische maatregelen
Welke organisatorische maatregelen kunnen organisaties treffen?
• Het Informatiebeveiligingsbeleid :
• Opstellen van het Informatiebeveiligingsbeleid;
• Uitdragen van het Informatiebeveiligingsbeleid;
• Evaluatie van het Informatiebeveiligingsbeleid.
• Functionaris voor de gegevensbescherming;
• Privacy Impact Assessment;
• Privacy by Design / Privacy by Default;
• Beveiliging door een bewerker (de bewerkersovereenkomst).
14
15. Organisatorische maatregelen
Informatiebeveiligingsbeleid binnen uw organisatie
• Beveiligingsmaatregelen ter
waarborging van beschikbaarheid,
integriteit en exclusiviteit van
het informatiesysteem.
• Minimaliseren van schade door
eventuele gevolgen van
beveiligingsrisico’s.
• Bewustwording onder medewerkers / register verwerkingsactiviteiten / geheimhouding /
fysieke beveiliging / wachtwoorden en toegangsbeveiliging / uitwisselen van informatie /
threat management / technische standaarden / continuïteitsmanagement.
• Plan-do-check-act
15
16. Organisatorische maatregelen
Functionaris voor de gegevensbescherming
• Houdt toezicht op de toepassing en naleving van de AVG
• Verplicht voor:
• Overheden en publieke organisaties (niet voor gerechten);
• Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen;
• Organisaties die op grote schaal bijzondere persoonsgegevens verwerken.
• De verwerkingsverantwoordelijke of verwerker maakt de gegevens van de FG bekend
en deelt deze gegevens mede aan de AP
• Personeelslid of op grond van een dienstenovereenkomst
• FG dient taken en verplichtingen onafhankelijk te kunnen vervullen
• Indien niet verplicht eventueel vrijwillig aanstellen
16
17. Organisatorische maatregelen
Data Protection Impact Assessment (DPIA)
(gegevensbeschermingseffectbeoordeling)
• Vooraf privacyrisico’s van een gegevensverwerking in kaart brengen;
• Maatregelen om risico’s te verkleinen;
• Verplicht indien de gegevensverwerking “waarschijnlijk een hoog privacyrisico met
zich meebrengt” voor de betrokkene. Bijvoorbeeld bij:
• Het systematisch en uitvoerig beoordelen van persoonlijke aspecten;
• Het op grote schaal verwerken van bijzondere persoonsgegevens;
• Het op grote schaal en stelselmatig monitoren van openbaar toegankelijke ruimten.
• Voorafgaande raadpleging overleg met AP indien hoog risico en geen maatregelen
voorhanden zijn. AP beoordeelt of de beoogde verwerking in strijd is met AVG.
17
18. Organisatorische maatregelen
Privacy by design
• Al bij het ontwerpen van producten en diensten zorgen voor bescherming van
persoonsgegevens;
• Niet méér gegevens verzamelen dan noodzakelijk voor het doel van de verwerking;
• Gegevens niet langer bewaren dan nodig.
Privacy by default
• Technische en organisatorische maatregelen treffen om niet méér gegevens te
verwerken dan noodzakelijk voor het doel van de verwerking.
18
19. Organisatorische maatregelen
19
De verwerkersovereenkomst
• Bij uitbesteding van gegevensverwerking aan een berwerker (binnenkort:
verwerker);
• Volstaan de afspraken in bestaande bewerkersovereenkomsten nog?
• Omschrijving van de verwerking (o.a. onderwerp, duur, aard, doel, soort, etc.);
• Instructie van verwerkingsverantwoordelijke aan verwerker;
• Geheimhoudingsplicht;
• Beveiliging;
• Subverwerkers (niet zonder voorafgaande schriftelijke toestemming verwerkingsverantwoordelijke!);
• Privacyrechten en andere verplichtingen;
• Verwijderen van gegevens;
• Audits.
21. Organisatorische maatregelen
Meldplicht datalekken
• Sinds 1 januari 2016 (Wbp)
• Aan de AP bij inbreuk in verband met persoonsgegevens (binnen 72 uur)
• Aan betrokkenen indien waarschijnlijk een hoog risico bestaat voor de rechten en
vrijheden van natuurlijke personen
• Documentatieplicht
21
22. Organisatorische maatregelen
Datalekkenprotocol binnen uw organisatie
• Vermoeden van een beveiligingsincident/datalek
• Inschakelen van datalekteam/ICT-responseteam en proceseigenaar
• Verzamelen en vastleggen van informatie
• Beoordelen van het datalek
• Bestrijden van het datalek
• Melden van het datalek aan AP (indien (een aanzienlijke kans op) ernstige nadelige
gevolgen voor de bescherming van persoonsgegevens)
• Melden van het datalek aan betrokkenen (indien waarschijnlijk nadelige gevolgen voor
de betrokkenen)
• Eventueel melden aan overige partijen
22
23. Heeft u nadere vragen en/of opmerkingen?
AKD
Carmen Hermes
chermes@akd.nl
088 253 5970
27. Art. 32 AVG:
Rekening houdend met de stand van de techniek, de
uitvoeringskosten, alsook met de aard, de omvang, de context en de
verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst
uiteenlopende risico's voor de rechten en vrijheden van personen,
treffen de verwerkingsverantwoordelijke en de verwerker passende
technische en organisatorische maatregelen om een op het risico
afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder
meer het volgende omvatten:
b) het vermogen om op permanente basis de vertrouwelijkheid,
integriteit, beschikbaarheid en veerkracht van de
verwerkingssystemen en diensten te garanderen;
31. VOORKOMEN OF GENEZEN?
Identificeren Beschermen Detecteren Reageren Herstellen
Devices
Applicaties
Netwerk
Data
Mensen
Mensen
Processen
Technologie
32. VOORKOMEN OF GENEZEN?
Identificeren Beschermen Detecteren Reageren Herstellen
Devices
Applicaties
Netwerk
Data
Mensen
VÓÓR HET FOUT GAAT ALS HET FOUT IS GAAT
Mensen
Processen
Technologie
33. VOORKOMEN OF GENEZEN?
Identificeren Beschermen Detecteren Reageren Herstellen
Devices
Applicaties
Netwerk
Data
Mensen
Mensen
Processen
Technologie
ALS HET FOUT IS GAAT
Config
Mgt.
Baselining
Risico profilering
Classificatie
Updates
Anti virus
Honey pots & Sandbox
IAM & PW manager
2 factor auth
App Security
WAF
Firewalls
Redundantie
Uitwijk
Vul. testing
Encryptie
Tokenization
DLP & backup
Phishing
Awareness
Credentials/biometric
HR
34. VOORKOMEN OF GENEZEN?
Identificeren Beschermen Detecteren Reageren Herstellen
Devices
Applicaties
Netwerk
Data
Mensen
Mensen
Processen
Technologie
Config
Mgt.
Baselining
Risico
profilering
Classificatie
Updates
Anti virus
Honey pots & Sandbox
IAM & PW manager
2 factor auth
App Security
WAF
Firewalls & TLS & VPN
Redundantie
Uitwijk
Vul. testing
Encryptie
Tokenization
DLP & backup
End point
monitoring
Logging
monitoring
IDS/SIEM
DDOS protectie
SIEM
SIEM
gedragsanalyse
Phishing
Awareness
Credentials/biometric
HR
SOC
CDN
Blacklisting
Shutting down
Uitwijk Restore
Disconnect
Disabling user
ID
Re instate
user ID
Restore
Re-install
Closed unless
38. ONE MORE THING
• Impact rechten van de personen
- Recht op vergetelheid
- Recht op portabiliteit
- Recht op inzage
• Oudere systemen
• Backups
• Handmatige copieën
• Offline storage
• Data catalogus!
„persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
„verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
OV 15: De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn vallen.