171031 fex - op tijd compliant met gdpr - presentatie validFlevum
Innovatie | Op tijd compliant met GDPR (AVG)? Ja het kan!
De tijd dringt, er is veel werk aan de winkel om op 25 mei 2018 compliant te zijn met deze nieuwe privacy wetgeving! Vele bedrijven bieden hun hulp aan, en dat is hard nodig. Om risico’s op boetes te vermijden dient u veel te regelen. Nieuwe processen moeten ingericht worden en uw medewerkers zullen hiermee om kunnen gaan. IT kunt u als bottleneck beschouwen… Of u kunt IT zien als een kans om uw organisatie werk uit handen te nemen!
Volgens de EU zelf is de Algemene Verordening Gegevensbescherming (AVG) – in het Engels General Data Protection Regulation (GDPR) – ”the most important change in data privacy regulation in 20 years”. De Nederlandse Autoriteitspersoonsgegevens heeft niet minder dan 10 stappen (!) geïdentificeerd om voorbereid te zijn. Gelukkig hebben de specialisten van Valid dit weten te reduceren tot 4 stappen. Hoe dan ook: u kunt hulp gebruiken, en snel een beetje. Wist u dat bijvoorbeeld een paspoort foto privacygevoelig is? Een cookie trouwens ook!
Valid heeft een methode ontwikkeld met redelijke gangbare tooling om privacy-gevoelige gegevens – gestructureerde of niet! – te identificeren tussen al de systemen die uw organisatie gebruikt. Tevens creëren we virtuele verbindingen tussen de gegevens verspreid tussen systemen die bij één persoon horen. Vrij handig om uw register bij te houden! Via een dashboard wordt vervolgens de locatie, de kwaliteit en gevoeligheid van deze gegevens getoond zodat u gericht actie kunt ondernemen.
Deze sessie is uiteraard interactief van aard, en niet erg technisch. Hoewel IT- en privacy-specialisten wat op kunnen steken is de sessie meer bedoeld voor algemeen management zodat met de dialoog aan kan gaan met de interne organisatie.
Aan de hand van praktische toepassingen laat ISM’er Feiko Bierman zien hoe je, als management van een B2C of B2B webshop, Data Science gebruikt om jouw e-commerce succes te maximaliseren.
GDPR en de gevolgen voor recruitment en inhuren extern talent. Slides behorende bij NextConomy webinar over dit onderwerp, ism Federgon, Tapfin en proUnity.
BUILD & FACILITATE PLATFORM/COMMUNITY TO UNDERSTAND END-CONSUMERS - Big D...webwinkelvakdag
Shimano Fishing's objective is to get/stay in contact with the end-consumer to understand the usage/needs of fishers in Europe and facilitate a platform to exchange experiences between them.
Within short leadtime, making use of standards and right combination of expertise this objective was achieved.
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
Innovatie | Op tijd compliant met GDPR (AVG)? Ja het kan!
De tijd dringt, er is veel werk aan de winkel om op 25 mei 2018 compliant te zijn met deze nieuwe privacy wetgeving! Vele bedrijven bieden hun hulp aan, en dat is hard nodig. Om risico’s op boetes te vermijden dient u veel te regelen. Nieuwe processen moeten ingericht worden en uw medewerkers zullen hiermee om kunnen gaan. IT kunt u als bottleneck beschouwen… Of u kunt IT zien als een kans om uw organisatie werk uit handen te nemen!
Volgens de EU zelf is de Algemene Verordening Gegevensbescherming (AVG) – in het Engels General Data Protection Regulation (GDPR) – ”the most important change in data privacy regulation in 20 years”. De Nederlandse Autoriteitspersoonsgegevens heeft niet minder dan 10 stappen (!) geïdentificeerd om voorbereid te zijn. Gelukkig hebben de specialisten van Valid dit weten te reduceren tot 4 stappen. Hoe dan ook: u kunt hulp gebruiken, en snel een beetje. Wist u dat bijvoorbeeld een paspoort foto privacygevoelig is? Een cookie trouwens ook!
Valid heeft een methode ontwikkeld met redelijke gangbare tooling om privacy-gevoelige gegevens – gestructureerde of niet! – te identificeren tussen al de systemen die uw organisatie gebruikt. Tevens creëren we virtuele verbindingen tussen de gegevens verspreid tussen systemen die bij één persoon horen. Vrij handig om uw register bij te houden! Via een dashboard wordt vervolgens de locatie, de kwaliteit en gevoeligheid van deze gegevens getoond zodat u gericht actie kunt ondernemen.
Deze sessie is uiteraard interactief van aard, en niet erg technisch. Hoewel IT- en privacy-specialisten wat op kunnen steken is de sessie meer bedoeld voor algemeen management zodat met de dialoog aan kan gaan met de interne organisatie.
Aan de hand van praktische toepassingen laat ISM’er Feiko Bierman zien hoe je, als management van een B2C of B2B webshop, Data Science gebruikt om jouw e-commerce succes te maximaliseren.
GDPR en de gevolgen voor recruitment en inhuren extern talent. Slides behorende bij NextConomy webinar over dit onderwerp, ism Federgon, Tapfin en proUnity.
BUILD & FACILITATE PLATFORM/COMMUNITY TO UNDERSTAND END-CONSUMERS - Big D...webwinkelvakdag
Shimano Fishing's objective is to get/stay in contact with the end-consumer to understand the usage/needs of fishers in Europe and facilitate a platform to exchange experiences between them.
Within short leadtime, making use of standards and right combination of expertise this objective was achieved.
De handhaving van de AVG wet is gestart!Bent u er nog niet klaar voor, dan treft u hierbij een paar slides aan die u wellicht helpen bij uw eigen implementatie.
De handhaving van de AVG wet is gestart!Bent u er nog niet klaar voor, dan treft u hierbij een paar slides aan die u wellicht helpen bij uw eigen implementatie.
Deze workshop is gehouden tijdens Legal Business Day op 20 september 2012.
In deze sessie werd stilgestaan bij de uitdagingen van bedrijven bij het beschermen van persoonsgegevens. Thema's als het aangepaste boetebeleid, de overdracht van persoonsgegevens naar derde landen en nieuwe termen als 'privacy by design' en 'right to be forgotten' kwamen hierbij aan de orde.
Naast cloud computing leiden ook andere technologische ontwikkelingen tot nieuwe bedrijfsmodellen. In veel gevallen hebben deze impact op de wijze waarop persoonsgegevens worden verwerkt. De bescherming van de privacy lijkt als gevolg daarvan steeds verder onder druk te staan. In nieuwe Europese regelgeving wordt deze tendens onderkend. Maatregelen zijn aanstaande, waaronder de nieuwe Privacy Verordening.
Veilig en gezond werken in het magazijn evo 7 maart 2012Dave Zuuring
De presentatie Veiligheid is bijzaak nr#1 vanuit de gedachte Lift Up Your Day...voor de Werkgeversseminar
Meer veiligheid op de werkvloer?
In het magazijn kan nog heel wat verbeterd worden
Ad marijnissen - Landelijk informatiemanagement congresBart Zuidgeest
Presentatie gegeven door Ad Marijnissen, manager Architectuur bij Delta Lloyd, tijdens het Landelijk Informatiemanagement Congres 2010.
Thema: Informatiemanagement 2010-2020
Slides van Peter Kits (ICT-advocaat Holland Van Gijzen). Relevante nieuwe ontwikkelingen in wet- en regelgeving rond privacy en security.
Gepresenteerd tijdens Privacy, Identity & Security (PIDS) seminar van Almere DataCapital, zie www.almeredatacapital.nl.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...Openbar
Alles gebeurt altijd ergens… Het digital twin principe staat ervoor dat je over een volledig digitaal 3D model beschikt van je bedrijf of omgeving (vb stad) waarbinnen je werkt. De visualisering van het 3D model kan gebruikt worden om snel en intuïtief informatie te bevragen. Daarenboven zijn ze ook uitermate geschikt voor analyse of de visualisatie van IoT metingen op basis van van augmented reality. GIS, BIM en de daarmee gerelateerde technologieën worden in dit kader sterk uitgedaagd om meer gedetailleerde, meer accurate data te beheren en te laten samenwerken met andere IT systemen. In deze sessie liggen we kort toe hoe de nieuwe mogelijkheden van deze technologieën kunnen bijdragen tot de digitalisering van jou bedrijf.
NIMA2024 | Geef je merk een gezicht. Case: de congrescoaches van Jaarbeurs | ...BBPMedia1
Recent lanceerde Jaarbeurs haar nieuwste campagne ‘Congrescoaches’. Doel: Jaarbeurs onderscheiden als dé congres- en vergaderlocatie van Nederland. In zogenaamde congreshacks delen Jaarbeurs accountmanagers, in de campagne omgedoopt tot congrescoaches, hun ervaring met organisatoren van congressen en kleinere evenementen. Een verrassende campagne waarin niet Jaarbeurs als locatie centraal staat, maar op een persoonlijke manier waardevolle kennis gedeeld wordt. Esther Driessen en Mayen van Luttikhuizen nemen je mee in de wereld van Jaarbeurs; een wereld waarin de concurrentie groot is en jezelf een gezicht geven van essentieel belang is.
Hoe een kleine stap een groot verschil kan maken.
Het belang van het vasthouden aan een eigen strategie, identiteit en DNA om zo een 135 jaar oud kledingmerk, wat mega hip is onder jongeren, bestaanszekerheid te geven om nog jaren vele hardwerkende mannen en vrouwen te beschermen en bedienen met werkkleding.
NIMA2024 | Krijg grip op je bureau – Verrijk je inzichten en rapportages | Ma...BBPMedia1
Als gedreven bureau eigenaar streef je naar perfectie. Maar wat is nu echt de beste aanpak? Hoe staat het met je doelen en ambities? Wil je dit jaar groeien, jezelf als werkgever verbeteren of misschien nieuwe ideeën implementeren? Tijd is echter altijd beperkt, en efficiëntie is daarom van essentieel belang.
Je denkt misschien: “Maar hier heb ik toch software voor?” Je hebt een boekhoudpakket via de accountant, een tool voor urenregistratie, een tekstverwerker voor offertes, en hier en daar wat Excel-sheets en een dashboard voor bedrijfsresultaten.
Maar wat als we je vertellen dat écht inzicht komt vanuit één geïntegreerd systeem, en dat efficiëntie begint met de juiste inzichten?
Tijdens deze sessie dompelen we je onder in de wereld van een bureau-eigenaar en zijn ambities. Ben jij klaar voor maximale efficiëntie?
NIMA2024 | Zo vertienvoudigde Telegraaf Webshop het omzetaandeel uit e-mailma...BBPMedia1
Ontdek hoe De Telegraaf webshop een reis doormaakte in marketing automation, van tijdrovende handmatige processen naar geavanceerde automatisering. Leer hoe ze hun e-mailmarketing hebben getransformeerd, met als resultaat aanzienlijke tijdsbesparing, een verhoogde omzet en een efficiënter retentieproces.
NIMA2024 | Dopper geeft inhoud aan duurzame branding met QR-code van GS1 | Br...BBPMedia1
Bram introduceert die QR-code van GS1, die eind 2027 de huidige barcode gaat vervangen. Deze slimme QR-code biedt enorm veel mogelijkheden; je kunt de reis van het product laten zien, door de hele keten heen. Van productie tot de consument en hoe te recyclen. In de presentatie nemen we je mee wat de QR-code van GS1 jou aan voordelen kan bieden. Dopper is een van de eerste bedrijven die de QR-code van GS1 daarvoor inzet. Renske Thelosen – Van Daalen, Marketing Manager bij Dopper, vertelt over hun innovatieve aanpak en uitwerking voor o.a. het Digital Product Passport.
De handhaving van de AVG wet is gestart!Bent u er nog niet klaar voor, dan treft u hierbij een paar slides aan die u wellicht helpen bij uw eigen implementatie.
De handhaving van de AVG wet is gestart!Bent u er nog niet klaar voor, dan treft u hierbij een paar slides aan die u wellicht helpen bij uw eigen implementatie.
Deze workshop is gehouden tijdens Legal Business Day op 20 september 2012.
In deze sessie werd stilgestaan bij de uitdagingen van bedrijven bij het beschermen van persoonsgegevens. Thema's als het aangepaste boetebeleid, de overdracht van persoonsgegevens naar derde landen en nieuwe termen als 'privacy by design' en 'right to be forgotten' kwamen hierbij aan de orde.
Naast cloud computing leiden ook andere technologische ontwikkelingen tot nieuwe bedrijfsmodellen. In veel gevallen hebben deze impact op de wijze waarop persoonsgegevens worden verwerkt. De bescherming van de privacy lijkt als gevolg daarvan steeds verder onder druk te staan. In nieuwe Europese regelgeving wordt deze tendens onderkend. Maatregelen zijn aanstaande, waaronder de nieuwe Privacy Verordening.
Veilig en gezond werken in het magazijn evo 7 maart 2012Dave Zuuring
De presentatie Veiligheid is bijzaak nr#1 vanuit de gedachte Lift Up Your Day...voor de Werkgeversseminar
Meer veiligheid op de werkvloer?
In het magazijn kan nog heel wat verbeterd worden
Ad marijnissen - Landelijk informatiemanagement congresBart Zuidgeest
Presentatie gegeven door Ad Marijnissen, manager Architectuur bij Delta Lloyd, tijdens het Landelijk Informatiemanagement Congres 2010.
Thema: Informatiemanagement 2010-2020
Slides van Peter Kits (ICT-advocaat Holland Van Gijzen). Relevante nieuwe ontwikkelingen in wet- en regelgeving rond privacy en security.
Gepresenteerd tijdens Privacy, Identity & Security (PIDS) seminar van Almere DataCapital, zie www.almeredatacapital.nl.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
openbar 10 - Leuven - De digital twin als motor van je digitalisering - Geo ...Openbar
Alles gebeurt altijd ergens… Het digital twin principe staat ervoor dat je over een volledig digitaal 3D model beschikt van je bedrijf of omgeving (vb stad) waarbinnen je werkt. De visualisering van het 3D model kan gebruikt worden om snel en intuïtief informatie te bevragen. Daarenboven zijn ze ook uitermate geschikt voor analyse of de visualisatie van IoT metingen op basis van van augmented reality. GIS, BIM en de daarmee gerelateerde technologieën worden in dit kader sterk uitgedaagd om meer gedetailleerde, meer accurate data te beheren en te laten samenwerken met andere IT systemen. In deze sessie liggen we kort toe hoe de nieuwe mogelijkheden van deze technologieën kunnen bijdragen tot de digitalisering van jou bedrijf.
NIMA2024 | Geef je merk een gezicht. Case: de congrescoaches van Jaarbeurs | ...BBPMedia1
Recent lanceerde Jaarbeurs haar nieuwste campagne ‘Congrescoaches’. Doel: Jaarbeurs onderscheiden als dé congres- en vergaderlocatie van Nederland. In zogenaamde congreshacks delen Jaarbeurs accountmanagers, in de campagne omgedoopt tot congrescoaches, hun ervaring met organisatoren van congressen en kleinere evenementen. Een verrassende campagne waarin niet Jaarbeurs als locatie centraal staat, maar op een persoonlijke manier waardevolle kennis gedeeld wordt. Esther Driessen en Mayen van Luttikhuizen nemen je mee in de wereld van Jaarbeurs; een wereld waarin de concurrentie groot is en jezelf een gezicht geven van essentieel belang is.
Hoe een kleine stap een groot verschil kan maken.
Het belang van het vasthouden aan een eigen strategie, identiteit en DNA om zo een 135 jaar oud kledingmerk, wat mega hip is onder jongeren, bestaanszekerheid te geven om nog jaren vele hardwerkende mannen en vrouwen te beschermen en bedienen met werkkleding.
NIMA2024 | Krijg grip op je bureau – Verrijk je inzichten en rapportages | Ma...BBPMedia1
Als gedreven bureau eigenaar streef je naar perfectie. Maar wat is nu echt de beste aanpak? Hoe staat het met je doelen en ambities? Wil je dit jaar groeien, jezelf als werkgever verbeteren of misschien nieuwe ideeën implementeren? Tijd is echter altijd beperkt, en efficiëntie is daarom van essentieel belang.
Je denkt misschien: “Maar hier heb ik toch software voor?” Je hebt een boekhoudpakket via de accountant, een tool voor urenregistratie, een tekstverwerker voor offertes, en hier en daar wat Excel-sheets en een dashboard voor bedrijfsresultaten.
Maar wat als we je vertellen dat écht inzicht komt vanuit één geïntegreerd systeem, en dat efficiëntie begint met de juiste inzichten?
Tijdens deze sessie dompelen we je onder in de wereld van een bureau-eigenaar en zijn ambities. Ben jij klaar voor maximale efficiëntie?
NIMA2024 | Zo vertienvoudigde Telegraaf Webshop het omzetaandeel uit e-mailma...BBPMedia1
Ontdek hoe De Telegraaf webshop een reis doormaakte in marketing automation, van tijdrovende handmatige processen naar geavanceerde automatisering. Leer hoe ze hun e-mailmarketing hebben getransformeerd, met als resultaat aanzienlijke tijdsbesparing, een verhoogde omzet en een efficiënter retentieproces.
NIMA2024 | Dopper geeft inhoud aan duurzame branding met QR-code van GS1 | Br...BBPMedia1
Bram introduceert die QR-code van GS1, die eind 2027 de huidige barcode gaat vervangen. Deze slimme QR-code biedt enorm veel mogelijkheden; je kunt de reis van het product laten zien, door de hele keten heen. Van productie tot de consument en hoe te recyclen. In de presentatie nemen we je mee wat de QR-code van GS1 jou aan voordelen kan bieden. Dopper is een van de eerste bedrijven die de QR-code van GS1 daarvoor inzet. Renske Thelosen – Van Daalen, Marketing Manager bij Dopper, vertelt over hun innovatieve aanpak en uitwerking voor o.a. het Digital Product Passport.
NIMA2024 | Van traditioneel naar digitaal: Wolky’s volgende stap naar relevan...BBPMedia1
Personalisatie, AI, programmatic, … dit zijn veelgehoorde trends waar je wat mee wilt en moet. Maar hoe transformeer je van een succesvol maar ‘traditioneel’ ingericht merk naar een digitale organisatie, gericht op relevantie? Dit doe je niet door alleen achter trends aan te hollen, maar volgens een gedegen strategie stap voor stap digitaal te groeien.
Aan de hand van het De Nieuwe Zaak maturity model legt Marlies Wilms Floet, Digitaal Strateeg, uit hoe je dit aanpakt. Vervolgens geeft Floor Alblas, Marketing & E-commerce Manager van het succesvolle schoenenmerk Wolky, je een inkijk in hun proces, voorbeelden van de stappen en concrete handvatten waar je morgen mee aan de slag kan.
NIMA2024 | Herpositionering Museum Rembrandthuis | Marieke de Klein | Museum ...BBPMedia1
Hoe een kleine stap een groot verschil kan maken.
Met een spontane merkbekendheid van 1% en bezoekintentie van 3% onder het Nederlands publiek was de verbouwing van het museum het uitgelezen moment om de merkstrategie, visuele identiteit en communicatie te vernieuwen. Met als doel, het Rembrandthuis een eigen plek te geven in het museale umfeld en onlosmakelijk te verbinden met Amsterdam. Net als in het museum zetten we niet alles op de schop, maar gingen we terug naar de kern: Rembrandt en zijn huis. In de case bespreken we het proces en laten we zien hoe dit een groot verschil maakte zowel in als extern.
NIMA2024 | Duurzame Marketing – Grote stappen maken met een klein team | Jero...BBPMedia1
Hoe zorg je ervoor dat je niet elk jaar weer een nieuwe campagnekalender hoeft te bedenken die nog groter, frisser en slimmer is? Door in te zoomen op je ideale klant, hun behoeften goed te begrijpen en ze te helpen een echt probleem op te lossen en dit aan te laten sluiten op het seizoen of grote levensgebeurtenissen. Op zich niets nieuws, maar hoe doe je dat dan, hoe breng je dat succesvol te uitvoering? In 5 stappen legt Jeroen Rijskamp uit hoe je met een klein team beweegt van business goals naar customer needs, zonder daar zingeving en passie van je team bij uit het oog te verliezen.
NIMA2024 | Duurzame Marketing – Grote stappen maken met een klein team | Jero...
Dqs belgium 27701 en gdpr 2020
1. GLOBAL PRESENCE
LOC A L EXPER TISE
DQS BELGIUM
P e t e r G E E L E N | P r i v a t u m - P r i v a c y a f t e r W o r k | 2 0 2 0 - 0 2 - 0 6
2. Page 2 | www.dqsbelgium.be/ February 13, 2020
AGENDA
▪ Inleiding
▪ Voor we starten…
▪ ISO27701 fundamenten (ISMS,
Privacy & GDPR)
▪ ISO27701 PIMS: hoofdstructuur
▪ Beknopt overzicht van de extensies
▪ Certificatie vandaag
▪ Data protectie vs cybersecurity
(CCB/DPA)
2020, 6de Februari
3. Page 3 | www.dqsbelgium.be/ February 13, 2020
PETER GEELEN
E R VA R I N G
• 20+ jaar ervaring in beveiliging
• Enterprise Security & IAM
• Cybersecurity
• Data Protection & Privacy
• Incident management, Disaster
Recovery
• Trainer, coach, auditor
C E R T I F I C AT I E
• Certified DPO & Fellow In Privacy
• ISO27001 Master (LI/LA)
• Lead Impl./Auditor ISO27701
• Sr. Lead Cybersecurity Mgr
• Lead Incident Mgr
• Lead Disaster Recovery
• Lead ISO27005 (Risk Mgmt)
• Lead ISO9001 Implem./Auditor
A C C R E D I TAT I E
• Accredited ISO27001 Lead auditor
• Accredited Security Trainer
https://www.linkedin.com/in/pgeelen/
Peter.Geelen@dqsbelgium.be
@geelenp
4. Page 4 | www.dqsbelgium.be/ February 13, 2020
VOOR WE STARTEN
Denk er aan
▪ Goede praktijken ≠ wetgeving
▪ ISO vereisten vs richtlijnen
▪ Privacy ≠ Data Protectie
▪ Data protectie ≠ Information Security
▪ PII vs Persoonlijke Data
▪ Internationaal vs. Regionaal
5. Page 5 | www.dqsbelgium.be/ February 13, 2020
Goede praktijken ≠ wetgeving
▪ ISO = goede praktijk, JIJ kiest wat je implementeert… of wat niet.
▪ GDPR, NIS, Cyberact, eCommuncation … = WET (geen keuze, moet)
ISO vereisten vs richtlijnen
▪ Vereiste = deel van audit
▪ richtlijn = suggestie, advise voor implemlentatie
D ATA PR OTEC TION PR IN C IPES
VOOR DE DUIDELIJKHEID
13 februari 2020
6. Page 6 | www.dqsbelgium.be/ February 13, 2020
Privacy ≠ Data Protectie
▪ GDPR = data protectie (NOT PRIVACY)
▪ Privacy = ISO29100 / ISO29151
▪ Data van betrokkene (aka "PII Principal")
Data protectie ≠ Information Security
▪ ISO27001 = Information Security
▪ bedrijfsdata
PII vs Persoonlijke Data
▪ ISO vs. GDPR vs. NIST
D ATA PROTE CTION PRINCIP E S
VOOR DE DUIDELIJKHEID
13 februari 2020
7. Page 7 | www.dqsbelgium.be/ February 13, 2020
Internationaal vs. Regionaal
▪ ISO = Internationaal
▪ Regionaal
GDPR (EU, but …)
NIST (US, but…)
…
D ATA PROTE CTION PRINCIP E S
VOOR DE DUIDELIJKHEID
February 13, 2020
8. Page 8 | www.dqsbelgium.be/ February 13, 2020
Engels … Nederlands … Frans
▪ Control (EN) = measure (EN) = maatregel (NL)
▪ Control (EN) = controle hebben en nemen (NL)
▪ Control (EN) ≠ controleren (checken, NL)
▪ Accountability (EN) vs. Responsability (EN)
▪ GDPR = accountability (not responsibility)
▪ "Responsabilité" (RGPD, FR)
W OORDE NS CHAT
VOOR DE DUIDELIJKHEID
February 13, 2020
9. Page 9 | www.dqsbelgium.be/ February 13, 2020
D E B OU W STEN EN
10. Page 10 | www.dqsbelgium.be/ February 13, 2020
Information security
▪ ISO27001 (Info Security - Vereisten)
▪ ISO27002 (Info Security - Code of Practice)
▪ ISO27018 (PII in public cloud)
Privacy
▪ ISO29100 (Privacy Framework) (*)
▪ ISO29151 (PII Protection - Code of Practice)
▪ ISO29134 (PIA)
Gegevensbescherming
▪ GDPR (*)
D E BOU W STEN EN
ISO27701
February 13, 2020
11. Page 11 | www.dqsbelgium.be/ February 13, 2020
Incident management
▪ ISO27035
▪ NIST.SP.800-61r2 (Computer Security Incident Handling Guide) (*)
Risk management
▪ ISO27005
▪ NIST Risk management Framework (*)
Vocabulaire
▪ ISO27000(*)
D E BOU W STEN EN ( VERVOLG)
ISO27701
February 13, 2020
12. Page 12 | www.dqsbelgium.be/ February 13, 2020
STR U C TU U R
13. Page 13 | www.dqsbelgium.be/ February 13, 2020
▪ 1-3. de ISO standaard modules
▪ 4. General
▪ 5. PIMS vereisten - ISO27001
▪ 6. PIMS vereisten - ISO27002
▪ 7. + ISO27002 gids voor PII verwerkingsverantwoordelijke
▪ 8. + ISO27002 gids voor PII verwerkers
▪ ANNEX A tot F
STR U C TU U R
ISO27701
February 13, 2020
14. Page 14 | www.dqsbelgium.be/ February 13, 2020
▪ Referentie controle objectieven voor verwerkingsverantwoordelijken
▪ Referentie controle objectieven voor maatregelen voor verwerkers
▪ Mapping met ISO29100
▪ Mapping met GDPR
▪ Mapping met ISO27018 and ISO29151
▪ Hoe implementeer je ISO27701 met ISO27001 en ISO27002?
AN N EXES
ISO27701
February 13, 2020
15. Page 15 | www.dqsbelgium.be/ February 13, 2020
Bevat
▪ 10 hoofdstukken
▪ + ANNEX
Annex
▪ 14 control hoofdstukken
▪ 35 categorieën
▪ 114 maatregelen
C ON TR OLES /MAATR EGELEN
HERINNERING: ISO27001
February 13, 2020
ISO27002 = ISO27001 A NNE X + G IDS ING
16. Page 16 | www.dqsbelgium.be/ February 13, 2020
C ONTINUE VE RB E TE RING
ISO BASIS PRINCIPE: PDCA
February 13, 2020
Plan
Denk
Do
Voer uit
Check
Meet
Act
Pas aan
17. Page 17 | www.dqsbelgium.be/ February 13, 2020
C ONTINUE VE RB E TE RING
PDCA
February 13, 2020
Act Plan
DoCheck
Act Plan
DoCheck
Kwaliteits-
verbetering
Tijd
18. Page 18 | www.dqsbelgium.be/ February 13, 2020
'/../ The requirements of ISO/IEC 27001:2013 mentioning
"information security"
shall be extended to the protection of privacy
as potentially affected by the processing of PII.
5.1. GEN ER AL ( EN KEL EN GELS )
ISO27701 ALS ADD-ON OP ISO27001
February 13, 2020
N OTE I N P RACTICE ,
W HE RE " INFORMATION S E CURITY " I S US E D I N ISO/IEC 2 7 0 0 1 : 2 0 1 3 ,
"INFORMATION SECURITY AND PRIVACY ”
AP P LIE S INS TE AD ( S E E A NNE X F) . /../'
19. Page 19 | www.dqsbelgium.be/ February 13, 2020
'/../ The requirements of ISO/IEC 27001:2013 mentioning
"information security"
shall be extended to the protection of privacy
as potentially affected by the processing of PII.
5.1. GEN ER AL ( EN KEL EN GELS)
ISO27701 ALS ADD-ON OP ISO27001 (GDPR)
February 13, 2020
N OTE I N P RACTICE ,
W HE RE " INFORMATION S E CURITY " I S US E D I N ISO/IEC 2 7 0 0 1 : 2 0 1 3 ,
"INFORMATION SECURITY AND D ATA PR OTECTION ”
AP P LIE S INS TE AD ( S E E A NNE X F) . /../'
20. Page 20 | www.dqsbelgium.be/ February 13, 2020
▪ = betrokken persoon/bedrijf in geval van verwerkingsverantwoordelijke
▪ = verwerkingsverantwoordelijk in geval van verwerker
▪ = verwerker in case of onderaannemer
4.4. C U STOMER ( "KLAN T")
TER INFO
February 13, 2020
21. Page 21 | www.dqsbelgium.be/ February 13, 2020
4.3 ISO27001 VER EISTEN ( ISO27701 C LAU SE 5 )
ISO27701 MAPPING NAAR ISO27001
February 13, 2020
ISO27701 Topic ISO27001 Remark
5.2 Context of organisation 4 Gewijzigd
5.3 Leadership 5 Direct
5.4 Planning 6 Gewijzigd
5.5 Support 7 Direct
5.6 Operation 8 Direct
5.7 Performance evaluation 9 Direct
5.8 Improvement 10 Direct
22. Page 22 | www.dqsbelgium.be/ February 13, 2020
4.3 ISO27002 VER EISTEN ( ISO27701 C LAU SE 6 )
ISO27701 MAPPING NAAR ISO27001
February 13, 2020
ISO27701 Topic ISO27002 Remark
6.2 Policies 5 Gewijzigd
6.3 Organisation 6 Gewijzigd
6.4 HR 7 Gewijzigd
6.5 Asset Management 8 Gewijzigd
6.6 Access Control 9 Gewijzigd
6.7 Cryptography 10 Gewijzigd
6.8 Physical and environment 11 Gewijzigd
23. Page 23 | www.dqsbelgium.be/ February 13, 2020
4.3 ISO27002 VER EISTEN ( ISO27701 C LAU SE 6 )
ISO27701 MAPPING NAAR ISO27001
February 13, 2020
ISO27701 Topic ISO27002 Remark
6.9 Operations 12 Gewijzigd
6.10 Communications 13 Gewijzigd
6.11 Acquisition, Dev & mainten. 14 Gewijzigd
6.12 Suppliers 15 Gewijzigd
6.13 Incident Mgmt 16 Gewijzigd
6.14 Business Continuity 17 Direct
6.15 Compliance 18 Gewijzigd
24. Page 24 | www.dqsbelgium.be/ February 13, 2020
EXTEN SIES :
BEKNOPT
OVER ZIC H T
25. Page 25 | www.dqsbelgium.be/ February 13, 2020
Belangrijke uitbreiding van
▪ Toepasselijke wetgeving
▪ Noden en verwachtingen van betrokken en geinteresseerde partijen
▪ Management system scope (InfoSec + PII)
5.2 C ON TEXT
MEEST PROMINENTE EXTENSIES…
February 13, 2020
26. Page 26 | www.dqsbelgium.be/ February 13, 2020
Belangrijke uitbreiding van
▪ Risico analyse (naar PIA, DPIA)
▪ Risico behandeling
5.4 R ISIC O AN ALYSE
MEEST PROMINENTE EXTENSIES…
February 13, 2020
27. Page 27 | www.dqsbelgium.be/ February 13, 2020
Belangrijke uitbreiding van
▪ Policies (nu incl. PII)
▪ ISMS Rollen (ref. CISO + nu ook DPO)
▪ Training en bewustmaking (iedereen betrokken in PII verwerking)
▪ (!) MEDIA HANDLING
▪ Ref. Data breaches (GDPR)
▪ Encryptie, veilige vernietiging, …
▪ Identity Management (deel van access control)
▪ GEEN HERGEBRUIK VAN userIDs
▪ User tracking
6. PIMS IN ISO27002
MEEST PROMINENTE EXTENSIES…
February 13, 2020
28. Page 28 | www.dqsbelgium.be/ February 13, 2020
Belangrijke uitbreiding van
▪ Information Backup
▪ Event logging
▪ Log protection
▪ Systeem ontwikkeling & aankoop (zie module 7 & 8)
▪ Test data
▪ GEBRUIK GEEN PII voor test data (gebruik dummy of synthetische data)
▪ INCIDENT MANAGEMENT (ref. GDPR data breaches)
▪ Compliance (wetgeving !, IP, data bescherming,…)
6. PIMS IN ISO27002
MEEST PROMINENTE EXTENSIES…
February 13, 2020
29. Page 29 | www.dqsbelgium.be/ February 13, 2020
Ref. GDPR rechten betrokkenen en & verantwoordelijkheid controller
▪ uitdrukkelijk omschreven en gerechtvaardigde doeleinden
▪ Rechtmatige verwerking
▪ Beheer toestemming
▪ PIA/DPIA
▪ PII Verwerkingscontracten
▪ Rechten betrokken personen ("PII principal")
✓ Informatie
✓ Recht op beperking
✓ Copy van PII data
✓ Recht op toegang
7. GID SIN G VOOR VERW ER KIN GSVER AN TW OOR D ELIJ KEN
MEEST PROMINENTE EXTENSIES…
February 13, 2020
30. Page 30 | www.dqsbelgium.be/ February 13, 2020
Ref. GDPR rechten betrokkenen en & verantwoordelijkheid controller
▪ Privacy by design (GDPR = "data protection by design")
▪ Privacy by default (GDPR = "data protection by default")
▪ Data minimizatie principes
▪ Accuraatheid & kwaliteit
▪ De-identification & vernietiging
▪ PII sharing, transfer & disclosure
✓ Incl. verwijzing naar internationale wetgeving
7. GID SIN G VOOR VERW ER KIN GSVER AN TW OOR D ELIJ KEN
MEEST PROMINENTE EXTENSIES…
February 13, 2020
31. Page 31 | www.dqsbelgium.be/ February 13, 2020
Ref. controller vs processor responsibility
▪ Contract (to delegate obligations)
▪ Marketing & advertisement
▪ Conflict of interest (of wettelijke conflicten)
▪ PbD & PbDef
▪ Tijdelijke bestanden files
▪ PII transfer & Vernietiging
▪ (!) transfer between jurisdicties
▪ Disclosure aanvragen
8. GID SIN G VOOR VERW ER KER S
MEEST PROMINENTE EXTENSIES…
February 13, 2020
32. Page 32 | www.dqsbelgium.be/ February 13, 2020
Niet alle controle objectieven en maatregelen in de annex moeten geimplementeerd
worden in de PIMS implementatie
Wanneer ze uitgesloten worden: uitleg in SoA.
("Comply or explain")
AN N EX A : C ON TR OLE OBJ EC TIEVEN VOOR VERW ER KIN GS -
VER AN TW OOR D ELIJ KEN
MEEST PROMINENTE EXTENSIES…
February 13, 2020
33. Page 33 | www.dqsbelgium.be/ February 13, 2020
Niet alle controle objectieven en maatregelen in de annex moeten geimplementeerd
worden in de PIMS implementatie
Wanneer ze uitgesloten worden: uitleg in SoA.
("Comply or explain")
AN N EX B : C ON TR OLE OBJ EC TIEVEN VOOR VERW ER KER S
MEEST PROMINENTE EXTENSIES…
February 13, 2020
34. Page 34 | www.dqsbelgium.be/ February 13, 2020
AN N EX A: C ON TR OL OBJ EC TIVES FOR C ON TR OLLER S ( 31)
MEEST PROMINENTE EXTENSIES…
February 13, 2020
A.7.2 Conditions for collection and processing (8)
A.7.3 Obligations to PII Principals (10)
A.7.4 Privacy by design and privacy by default (9)
A.7.5 PII Sharing transfer and disclosure (4)
35. Page 35 | www.dqsbelgium.be/ February 13, 2020
AN N EX B: C ON TR OL OBJ EC TIVES FOR PR OC ESSOR S ( 18)
MEEST PROMINENTE EXTENSIES…
February 13, 2020
A.8.2 Conditions for collection and processing (6)
A.8.3 Obligations to PII Principals (1)
A.8.4 Privacy by design and privacy by default (3)
A.8.5 PII Sharing transfer and disclosure (8)
36. Page 36 | www.dqsbelgium.be/ February 13, 2020
AN N EX C : MAPPIN G TO ISO29100
MEEST PROMINENTE EXTENSIES…
February 13, 2020
VERANTWOORDELIJKEN
11 modules (44 controls)
VERWERKERS
9 modules (20 controls)
37. Page 37 | www.dqsbelgium.be/ February 13, 2020
Annex D: mapping to GDPR
Table on 3 pages ;)
Annex E-F
▪ ISO 27018/29151
▪ Hoe implementeren (Info sec > "info sec + privacy")
❑ Standaard gebruiken zoals hij is
❑ Toevoeging (bijkomende vereisten)
❑ Verfijning van implementatie
AN N EX D & E - F
MEEST PROMINENTE EXTENSIES…
February 13, 2020
38. Page 38 | www.dqsbelgium.be/ February 13, 2020
C ER TIFIC ATIE :
GDPR?
ISO?
39. Page 39 | www.dqsbelgium.be/ February 13, 2020
Bronnen
▪ ISO 27001
▪ GDPR
▪ Cyber Act
C ON TEXT
CERTIFICATIE
February 13, 2020
40. Page 40 | www.dqsbelgium.be/ February 13, 2020
ISO27001
▪ Internationaal,
▪ Gestandaardiseerd
▪ Wederzijdse herkenning
▪ GDPR
▪ EU wetgeving, MAAR…
▪ Certificatie gecontroleerd door
✓ National DPA, of
✓ Accreditation bodies of,
✓ EDPB…
WAAR OM IS D IT BELAN GR IJ K?
CERTIFICATIE
13 februari 2020
41. Page 41 | www.dqsbelgium.be/ February 13, 2020
NIS
▪ Richtlijn (geen verordening)
▪ Implementatie van nationalel wet nodig
▪ Verschillende implementaties… niet consistent
Cyber Act
▪ EU (enkel)
▪ Verordening
▪ Incl. certificatie
WAAR OM IS D IT BELAN GR IJ K?
CERTIFICATIE
13 februari 2020
42. Page 42 | www.dqsbelgium.be/ February 13, 2020
Voorbereiding & implementatie
▪ Project implementatie
▪ In-productie-stellling
▪ 1st Interne audit
Certificatie
▪ Externe audit - certificatie (T0)
▪ Surveillance audits (T0+1y, T0+2y)
▪ Hercertificatie (T0+3y)
Cyclus - herhaling
• Herhaalt zich elke 3 jaar
IN H ET KORT
ISO CERTIFICATIE
13 februari 2020
44. Page 44 | www.dqsbelgium.be/ February 13, 2020
GDPR certification
▪ In beweging… eerste consultaties voor tech schema gestart
▪ EDPB publiceerde guidelines… niks meer dan dat.
▪ Alle EU landen moeten certificatie schema publiceren… (28)
▪ Geen schema gepland bij lancering GDPR
▪ ISO27701 kan een goede gids zijn voor basis schema maar vereist aanvaarding
Cyber Act
▪ EU (only)
▪ Verordening
▪ Start met schema… Bestaand schema beschikbaar
D E STATU S VAN D AAG
GDPR CERTIFICATIE
13 februari 2020
45. Page 45 | www.dqsbelgium.be/ February 13, 2020
ISO certification
• ISO27001 certification
• met ISO27701 scope extensie
Mogelijk risico
• Mismatch met Nationale of EU schema ALS ze een ander schema zouden kiezen
(klein risico)
D E EN IGE OPTIE VAN D AAG
CERTIFICATIE
13 februari 2020
46. Page 46 | www.dqsbelgium.be/ February 13, 2020
C YB ER SEC U R ITY
VS
D ATA PR OTEC TION
47. Page 47 | www.dqsbelgium.be/ February 13, 2020
Geen data protectie zonder cyber security
Maar wel cyber security zonder gegevensbescherming (GDPR, persoonlijke data)
De belangrijkste data lekken ontstaan door gebrek aan voldoende cybersecurity/cyber-hygiëne
Let op
▪ CCB vs DPA
▪ ENISA vs EDPB (European Data protection Board)
Sterke en groeiende afhankelijkheid!
C YBER SEC U R ITY VS GEGEVEN SBESC H ER MIN G
WELKE ROL SPEELT CYBER HIERIN?
February 13, 2020
48. Page 48 | www.dqsbelgium.be/ February 13, 2020
CCB
https://cyberguide.ccb.belgium.be/nl
▪ Cyber Security guide
▪ BSG (Baseline Security guidelines) voor overheid
DPA
https://www.gegevensbeschermingsautoriteit.be/
FOD ECONOMIE: cybersecurity & KMO's
https://economie.fgov.be/nl/themas/ondernemingen/een-onderneming-beheren-en/cybersecurity-en-
kmos
C YBER SEC U R ITY VS GEGEVEN SBESC H ER MIN G
WELKE ROL SPEELT CYBER HIERIN?
February 13, 2020
49. Page 49 | www.dqsbelgium.be/ February 13, 2020
VLAANDEREN
https://www.vlaio.be/nl/andere-doelgroepen/vlaams-beleidsplan-cybersecurity
C YBER SEC U R ITY VS GEGEVEN SBESC H ER MIN G
WELKE ROL SPEELT CYBER HIERIN?
February 13, 2020
50. Page 50 | www.dqsbelgium.be/ February 13, 2020
GDPR Certificatie
https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-
recommendations-best-practices_nl
EDPB Guidelines 1/2018 on certification and identifying certification criteria in accordance
with Articles 42 and 43 of the Regulation - version adopted after public consultation
EDPB Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the
General Data Protection Regulation (2016/679) - version adopted after public consultation
N IET U IT H ET OOG VER LIEZEN
WAT KOMT ER NOG?
13 februari 2020
51. Page 51 | www.dqsbelgium.be/ February 13, 2020
Roll-out NIS Wetgeving
Gepubliceerd April 2019… nu (langzaamaan) in praktijk gezet
http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&cn=2019040715
&table_name=wet
Cyber Act
(evenknie van GDPR voor cyberbeveiliging)
Goedgekeurd.. nog 2 jaar voor activatie
Incl. Certificatie
N IET U IT H ET O O G VER LIEZEN
WAT KOMT ER NOG?
February 13, 2020
52. Page 52 | www.dqsbelgium.be/ February 13, 2020
Click on the icon in the middle to insert a picture. Optimally, the resolution
of the image should be 1600 x 900 pixels, 96 dpi and no more than 1 MB.
You can adjust the image section with the cut-out tool. (Instructions see appendix)
DANK JE
voor de aandacht
Zijn er nog vragen?
53. Page 53 | www.dqsbelgium.be/ February 13, 2020
MEER INFO
POST
DQS Belgium
Drukpersstraat 4
1000 Brussel
CONTACTEER ONS
Phone +32 2 540 24 00
info@dqsbelgium.be
www.dqsbelgium.be
VOLG ONS
LinkedIn
Facebook