Hoe breng je de nieuwigheden van de Algemene Gegevensbeschermingsverordening (AGV) of General Data Protection Regulation (GDPR) aan bij jouw stad of gemeente? Dit is een voorbeeld van slidedeck.
De Omgevingswet is een belangrijke vernieuwing voor zowel burgers als voor de overheid. Het zorgt ervoor dat iedereen meer inzicht krijgt in de leefomgeving en de regels die daarin gelden. Dit stelt hoge eisen aan de kwaliteit van de gegevens over de leefomgeving en de informatieproducten die op basis daarvan gemaakt worden. Gegevenskwaliteit is dan ook vooral gedreven vanuit het perspectief van de afnemer van gegevens. Afnemers moeten n staat zijn om gegevens en informatie te gebruiken in hun eigen context. Dat kan alleen als de gegevens van voldoende kwaliteit zijn; als ze overeenkomen met wensen en verwachtingen. Deze presentatie is een samenvatting van de rapporten die zijn opgesteld.
De handhaving van de AVG wet is gestart!Bent u er nog niet klaar voor, dan treft u hierbij een paar slides aan die u wellicht helpen bij uw eigen implementatie.
De handhaving van de AVG wet is gestart!Bent u er nog niet klaar voor, dan treft u hierbij een paar slides aan die u wellicht helpen bij uw eigen implementatie.
De Omgevingswet is een belangrijke vernieuwing voor zowel burgers als voor de overheid. Het zorgt ervoor dat iedereen meer inzicht krijgt in de leefomgeving en de regels die daarin gelden. Dit stelt hoge eisen aan de kwaliteit van de gegevens over de leefomgeving en de informatieproducten die op basis daarvan gemaakt worden. Gegevenskwaliteit is dan ook vooral gedreven vanuit het perspectief van de afnemer van gegevens. Afnemers moeten n staat zijn om gegevens en informatie te gebruiken in hun eigen context. Dat kan alleen als de gegevens van voldoende kwaliteit zijn; als ze overeenkomen met wensen en verwachtingen. Deze presentatie is een samenvatting van de rapporten die zijn opgesteld.
De handhaving van de AVG wet is gestart!Bent u er nog niet klaar voor, dan treft u hierbij een paar slides aan die u wellicht helpen bij uw eigen implementatie.
De handhaving van de AVG wet is gestart!Bent u er nog niet klaar voor, dan treft u hierbij een paar slides aan die u wellicht helpen bij uw eigen implementatie.
In mei 2018 zal de Algemene Verordening Gegegevensbescherming (AVG), de nieuwe Europese privacywet, van kracht worden. Webwinkels en overige websites en online ondernemers moeten daar goed op voorbereid zijn.
Algoritmeregister in het onderwijs - Wilco Te Winkel (EUR) en Duuk Baten (SUR...SURF Events
De gemeenten Amsterdam gebruikt een algoritmeregister om transparant te zijn bij de inzet van algoritmen in de gemeentelijke dienstverlening. Tijdens deze sessie wordt er (interactief) ingegaan op de vraag hoe een register voor het onderwijs er uit kan zien en wat dan de toegevoegde waarde is.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
Binnen de logistiek, supply chain en internationale handel weten we eigenlijk al veel langer hoe je met elkaar tot een betere ketenprestatie komt. Nu moeten we het ook echt gaan doen.
Daarbij zijn uw leveranciers uw ‘vrienden’ in de strijd tegen de gezamenlijke ‘vijand’ – het coronavirus en de gevolgen daarvan.
Dit zijn vrienden waarmee u gezamenlijk iets zou kunnen bereiken wat u in uw eentje nooit gaat lukken.
Op korte termijn zijn er helaas geen makkelijke oplossingen. Maar tegelijkertijd biedt deze periode wel de kans om te leren hoe goed supply chains bestand zijn tegen dergelijke disrupties en hoe je daar verbeteringen in aan kunt brengen.
Ondernemingen hebben vaak een complexe value chain met honderden partners, waaronder agentschappen en leveranciers van producten. Intensieve samenwerking met third parties is de norm geworden voor succes, maar het levert ook risico’s op. Hoe onderken je als onderneming deze risico’s en welke stappen moeten gezet worden om de onderneming weerbaar te maken tegen fysieke en digitale dreigingen?
Privacy is bij uitstek een vraagstuk dat niet autonoom door een organisatie kan worden opgelost. Het beschermen van gevoelige informatie en persoonlijke data dient in de gehele keten te worden aangepakt en geborgd. Privacy is niet alleen een kwestie van compliance. Het gaat over het nemen van verantwoordelijkheid (verantwoordingsplicht) voor het beschermen van gevoelige informatie binnen de eigen organisatie en over het maken van goede afspraken met third parties over de wijze waarop dit moet gebeuren.
Privacy roept ook talloze vragen op, met name voor de security manager, zoals:
Hoe ga je om met leveranciers van beveiligings- en camerasystemen – juridisch en organisatorisch – welke afspraken maak je over Privacy?
Waar houdt mijn verantwoordelijkheid op en waar start die van mijn leverancier?
Wat spreek je af over de wijze van handelen in het geval van een datalek of een andersoortige privacy of security breach?
Dit zijn met name ketenvraagstukken die alleen door een goede samenwerking met ketenpartners kunnen worden beslecht. Belangrijk onderdeel van de Algemene Verordening Gegevensbescherming (AVG) is de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden (accountability). De AVG maakt het noodzakelijk om na te gaan of het beleid moet worden aangepast. In hoeverre voldoet uw organisatie al aan de privacyregels? Maar wellicht is de antwoord op de volgende vraag van groter belang. Hoe worden uw privacyregels na geleefd door uw partners? Privacy is geen showstopper maar juist een instrument om uw eigen organisatie te professionaliseren en hét onderwerp om over in gesprek te gaan met third parties
De slides van een presentatie voor makelaars in de verzekeringssector. Gepresenteerd op 12 juni 2018 voor de Kempische Verzekeringskring (https://www.kempischeverzekeringskring.be/activiteit/gdpr-wat-u-als-makelaar-nog-niet-wist/).
NORA/Gegevensmanagement heeft de handschoen opgepakt om een overheidsbrede standaard voor gegevenskwaliteit op te zetten. We hebben internationale standaarden en een diversiteit aan ervaringen bij (overheids)organisaties geanalyseerd, geïntegreerd en vertaald naar een breed toepasbaar kwaliteitsraamwerk. Dit raamwerk beschrijft de dimensies en attributen waarbinnen gegevenskwaliteit expliciet kan worden gemaakt. Het is een praktische checklist, die je kunt toepassen in allerlei contexten. Met plezier presenteren we het resultaat en nodigen we jullie uit om mee te denken over het toepasbaar maken van deze resultaten.
Onze presentatie tijdens de deelsessie "Transformatie van kosten besparen naar waardecreatie met inkoopsoftware?". We geven hierbij inzicht in het huidig gebruik van inkoopsoftware in Nederland en het effect hiervan op inkoopprestaties.
Software for big data - setting the sceneJurjen Helmus
Dit is het eerste college uit een serie over software engineering voor big data. In dit college behandelen we alle facetten van corporate performance management (naar aanleiding van het boek performance management van Nieuwenhuyse en vanHoudt. Dit combineren we met het boek practical data sciene in R van Zumel en Mount. Tezamen vormt dit een goed overzicht van de aspecten die meespelen in de wereld van big data science projecten binnen organisaties.
Gegevensbescherming-clausule in (overheids)opdrachtTommy Vandepitte
Voorbeeld van een Nederlandstalige clausule die in een overheidsopdracht of Request for Proposal (RFP) kan worden ingesloten om alle verschillende mogelijke samenwerkingsvormen (joint controller, controller-to-controller of controller-to-processor) af te dekken of dat althans te pogen.
In mei 2018 zal de Algemene Verordening Gegegevensbescherming (AVG), de nieuwe Europese privacywet, van kracht worden. Webwinkels en overige websites en online ondernemers moeten daar goed op voorbereid zijn.
Algoritmeregister in het onderwijs - Wilco Te Winkel (EUR) en Duuk Baten (SUR...SURF Events
De gemeenten Amsterdam gebruikt een algoritmeregister om transparant te zijn bij de inzet van algoritmen in de gemeentelijke dienstverlening. Tijdens deze sessie wordt er (interactief) ingegaan op de vraag hoe een register voor het onderwijs er uit kan zien en wat dan de toegevoegde waarde is.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
Binnen de logistiek, supply chain en internationale handel weten we eigenlijk al veel langer hoe je met elkaar tot een betere ketenprestatie komt. Nu moeten we het ook echt gaan doen.
Daarbij zijn uw leveranciers uw ‘vrienden’ in de strijd tegen de gezamenlijke ‘vijand’ – het coronavirus en de gevolgen daarvan.
Dit zijn vrienden waarmee u gezamenlijk iets zou kunnen bereiken wat u in uw eentje nooit gaat lukken.
Op korte termijn zijn er helaas geen makkelijke oplossingen. Maar tegelijkertijd biedt deze periode wel de kans om te leren hoe goed supply chains bestand zijn tegen dergelijke disrupties en hoe je daar verbeteringen in aan kunt brengen.
Ondernemingen hebben vaak een complexe value chain met honderden partners, waaronder agentschappen en leveranciers van producten. Intensieve samenwerking met third parties is de norm geworden voor succes, maar het levert ook risico’s op. Hoe onderken je als onderneming deze risico’s en welke stappen moeten gezet worden om de onderneming weerbaar te maken tegen fysieke en digitale dreigingen?
Privacy is bij uitstek een vraagstuk dat niet autonoom door een organisatie kan worden opgelost. Het beschermen van gevoelige informatie en persoonlijke data dient in de gehele keten te worden aangepakt en geborgd. Privacy is niet alleen een kwestie van compliance. Het gaat over het nemen van verantwoordelijkheid (verantwoordingsplicht) voor het beschermen van gevoelige informatie binnen de eigen organisatie en over het maken van goede afspraken met third parties over de wijze waarop dit moet gebeuren.
Privacy roept ook talloze vragen op, met name voor de security manager, zoals:
Hoe ga je om met leveranciers van beveiligings- en camerasystemen – juridisch en organisatorisch – welke afspraken maak je over Privacy?
Waar houdt mijn verantwoordelijkheid op en waar start die van mijn leverancier?
Wat spreek je af over de wijze van handelen in het geval van een datalek of een andersoortige privacy of security breach?
Dit zijn met name ketenvraagstukken die alleen door een goede samenwerking met ketenpartners kunnen worden beslecht. Belangrijk onderdeel van de Algemene Verordening Gegevensbescherming (AVG) is de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden (accountability). De AVG maakt het noodzakelijk om na te gaan of het beleid moet worden aangepast. In hoeverre voldoet uw organisatie al aan de privacyregels? Maar wellicht is de antwoord op de volgende vraag van groter belang. Hoe worden uw privacyregels na geleefd door uw partners? Privacy is geen showstopper maar juist een instrument om uw eigen organisatie te professionaliseren en hét onderwerp om over in gesprek te gaan met third parties
De slides van een presentatie voor makelaars in de verzekeringssector. Gepresenteerd op 12 juni 2018 voor de Kempische Verzekeringskring (https://www.kempischeverzekeringskring.be/activiteit/gdpr-wat-u-als-makelaar-nog-niet-wist/).
NORA/Gegevensmanagement heeft de handschoen opgepakt om een overheidsbrede standaard voor gegevenskwaliteit op te zetten. We hebben internationale standaarden en een diversiteit aan ervaringen bij (overheids)organisaties geanalyseerd, geïntegreerd en vertaald naar een breed toepasbaar kwaliteitsraamwerk. Dit raamwerk beschrijft de dimensies en attributen waarbinnen gegevenskwaliteit expliciet kan worden gemaakt. Het is een praktische checklist, die je kunt toepassen in allerlei contexten. Met plezier presenteren we het resultaat en nodigen we jullie uit om mee te denken over het toepasbaar maken van deze resultaten.
Onze presentatie tijdens de deelsessie "Transformatie van kosten besparen naar waardecreatie met inkoopsoftware?". We geven hierbij inzicht in het huidig gebruik van inkoopsoftware in Nederland en het effect hiervan op inkoopprestaties.
Software for big data - setting the sceneJurjen Helmus
Dit is het eerste college uit een serie over software engineering voor big data. In dit college behandelen we alle facetten van corporate performance management (naar aanleiding van het boek performance management van Nieuwenhuyse en vanHoudt. Dit combineren we met het boek practical data sciene in R van Zumel en Mount. Tezamen vormt dit een goed overzicht van de aspecten die meespelen in de wereld van big data science projecten binnen organisaties.
Similar to GDPR voor steden en gemeenten (Dutch) (20)
Gegevensbescherming-clausule in (overheids)opdrachtTommy Vandepitte
Voorbeeld van een Nederlandstalige clausule die in een overheidsopdracht of Request for Proposal (RFP) kan worden ingesloten om alle verschillende mogelijke samenwerkingsvormen (joint controller, controller-to-controller of controller-to-processor) af te dekken of dat althans te pogen.
20190131 - Presentation Q&A on legislation's influence (on travel management)Tommy Vandepitte
Presentation given at the event organised by ACTE and BATM on 31 January 2019 addressing a few questions on the payments legislation that are relevant for travel and expense manager.
A presentation given at the legal hackers meetup of 19 June 2018 on common issues with controller-to-processor agreements aka "data processor agreement" (DPA). We revisit the distinction controller v processor. We then look at the directly applicable duties for processors, which do not need to be inserted in a contract. Finally we look at the different mandatory and "forgotten" components of the agreement.
As the last speaker on the day after the Data Protection Day, I tried a different approach to the story of data protection and information security. I assembles a selection of movies, series, books (fiction and non-fiction) and games that any staff member should be able to go through themselves - as they please and at their own rhythm - and piece by piece learn about data protection and information security. In a way they can cultivate their own data protection awareness.
Presentation given on the experience of privacy design labs on the LSEC Belgium GDPR event of 30 November 2017.
Event page: https://www.leadersinsecurity.org/events-old/icalrepeat.detail/2017/11/30/186/-/gdpr-plan-to-be-ready-prepare-to-set-change-to-go-session-3-privacy-impact-assessment-scenario-planning-data-loss-management.html?filter_reset=1
Privacy Design lab page: https://sites.google.com/site/pbd20171106
Example of a privacy design jam by Facebook (Berlin 2017) : https://www.facebook.com/facebookbrussels/videos/1419793831400471/
This is an example of a deck for the decision makers (generally the board of directors) to first explain that data protection is a (reputational, legal, operational) risk that - like any other business risk needs to be managed. Then it allows for some explanation of the status of data protection (law) and the main novelties under the GDPR. It then highlights the main changes required in project mode and (later on, after the handover) in business-as-usual mode.
Extra reference to the Vlerick reference (because published after the publication of this slide deck): http://www.vlerick.com/en/programmes/management-programmes/digital-transformation/digital-transformation-insights/insight-1)
An example of how the staff training on information security, data protection and privacy (IS/DPP) could look.
This part is on an aspect that overarches all previous ones: monitoring. It touches on both perspectives of staff involvement:
- staff works with the data, processes it, etc. and thus is the agent of the company
- the company, to show accountability, should set up a balanced way of controlling the staff, which per se involves processing personal data of the staff members
The slides come with notes that in short explain the visuals on the slides.
An example of how the staff training on information security, data protection and privacy (IS/DPP) could look.
This part is on incident management. How should staff react? How can an incident be effectively escalated?
The slides come with notes that in short explain the visuals on the slides.
An example of how the staff training on information security, data protection and privacy (IS/DPP) could look.
This part is on the acceptable use of the companies (and sometimes also own) means. Each company should add what is appropriate for it.
The slides come with notes that in short explain the visuals on the slides.
An example of how the staff training on information security, data protection and privacy (IS/DPP) could look.
The part focusses on authentication, and more particularly on passwords.
The slides come with notes that in short explain the visuals on the slides.
An example of how the staff training on information security, data protection and privacy (IS/DPP) could look.
This part is on authorization and access rights, focussing on the staff's part in that.
The slides come with notes that in short explain the visuals on the slides.
An example of how the staff training on information security, data protection and privacy (IS/DPP) could look.
This part is on data classification, drilling a bit deeper into confidentiality, integrity, availability (=CIA), privacy (=CAPI), traceability, and retention (=PATRIC), to be amended to meet the specific organisation's setup.
The slides come with notes that in short explain the visuals on the slides.
An example of how the staff training on information security, data protection and privacy (IS/DPP) could look.
This part is on the concept of data, reasons for protecting data, personal data and data processing.
The slides come with notes that in short explain the visuals on the slides.
An example of how the staff training on information security, data protection and privacy (IS/DPP) could look.
This part is on the reason why we should live up to the rules of IS/DPP, from a "negative" perspective (what do we want to avoid?) and from a "positive" perspective (what do we want to accomplish?).
The slides come with notes that in short explain the visuals on the slides.
An example of how the staff training on information security, data protection and privacy (IS/DPP) could look.
This is an introduction explaining
- the difference between information security, data protection and privacy,
- the need and usefulness for staff engagement
The slides come with notes that in short explain the visuals on the slides.
This is an example training in the context of IS/DPP, information security, data protection and privacy.
It is a training directed to procurement officers and outsourcing managers.
The generic idea is that procurement officers and outsourcing managers support the inventory and overview of the company or group on third party relationships. By a well implemented governance through procurement officers and outsourcing managers it should be easier to upkeep the overview through the existing processes of managing (most) third party relationships, thus increasing ownership and awareness of information security and privacy.
This is an example training in the context of IS/DPP, information security, data protection and privacy.
It is a training directed to IAOs, information assets owners.
The generic idea is that IAOs support the inventory and overview of the company or group on information assets (which can, but don't per se have to include personal data). By a well implemented governance through IAOs it should be easier to upkeep the overview close to the actual users, thus increasing ownership and awareness of information security and privacy.
5. BELANGRIJKSTE NIEUWTJES
• Toepassingsgebied
• Ruimere territoriale werking
• Verwerker nu ook een geadresseerde
• Legitimiteit
• Toestemming strenger uitgewerkt
• Organisatie
• ”Accountability” op zijn Engels (omkering van de bewijslast), concreet
• Verwerkingsregister (en risicoregister)
• Privacy impact beoordelingen (“PIA”)
• Privacy by Design en Privacy by Default
• Data Protection Officer
• Erkenning van “koepel”-mechanismen: certificatie, gedragsregels, BCR,…
• Incidentenbeheer en -meldingen
• Rechten van het individu uitgebreid
• Handhaving
• Administratieve boetes geüniformiseerd
• Collectieve acties van individuen mogelijk
6. S&G: WAT VERANDERT NIET?
• S&G zijn gevat door de wetgeving
• Doeleinden van verwerking worden grotendeels bepaald door
wettelijke opdrachten (belangrijk: wat met de rest?)
• Legitimeit van verwerking wordt grotendeels bepaald door
wettelijke opdrachten (belangrijk: wat met de rest?)
• Transparantie wordt soms geacht te liggen in de wettelijke grond
of de bijzondere machtiging (belangrijk: klopt dat wel? Willen we
niet verder gaan?)
• Toegewezen (interne) verantwoordelijkheden zou al
geïmplementeerd moeten zijn
• Technische beveiliging zou al opgezet moeten zijn
• Degelijke contracten met derden zouden al moeten bestaan
• Rechten van de individuen zou al grotendeels afgedekt moeten
zijn
7. S&G: IMPACT
• S&G vallen eronder
• maar er is aanzienlijke impact van nationale en regionale
wetgeving waardoor onzekerheid bestaat
• waar beschouwt men de GDPR overheersend en waar
niet?
• vermoedelijk wordt systeem van sectorale comités herzien
/ afgeschaft
• vermoedelijk wordt systeem van CBPL v VTC herzien
• niemand durft zich wagen aan analyses van de
authentieke bronnen
8. S&G: WAT IS BELANGRIJK?
• Data register: er wordt gekeken of uniformisering en
schaalvoordeel op niveau VVSG kan worden gehaald
(vergadering 28 april 2017)
• PIA: poging om dat voor de grote toepassingen via VVSG af
te dwingen
• Privacy by Design: zou voor meeste toepassingen op
overkoepelend niveau bekeken moeten worden - VVSG
spreekt met belangrijkste leveranciers
• Rechtsgrond (niet altijd onder controle v handhaving)
• Lokale beslissingen: goed motiveren en duidelijk formuleren
• Hogere overheid: bij geven van input, aandringen op goede
motivering en duidelijke formulering
• Werken op grond buiten de wet? (debat over taken)
9. S&G: WAT IS BELANGRIJK?
• Transparantie (aligneren op niveau VVSG)
• Interne beveiliging optrekken heeft kosten/baten meer zin
(strengere sancties)
• NIET alleen maar IT !
• Opleiding, bewustmaking,…
• Relatie met leveranciers
• Oplijsten
• Risicogebaseerd benaderen (bij grotere via VVSG?)
• Data lekken melden (aan CBPL, naast KSZ en/of authentieke
bron)
• Veiligheidsconsulent >< DPO (theoretisch geen continuiteit)
10. VERWACHT OOK
ANDERE FACTOREN
• Groter bewustzijn van burger
• Platformen die uitoefening van rechten faciliteren én
trnasparantie daarrond creëren
• Samendenken met andere regels, zoals openbaarheid van
bestuur
11. CONCLUSIE
• Geen revolutie, maar wel belangrijke evolutie
• Focus blijven houden op implementering
• Documentatie wordt belangrijker
• Nood aan overkoepelende inspanning, om te vermijden dat
kost wordt herhaald op elk lokaal niveau
• Onzekerheid rond kader voor overheidsinstellingen, incl.
lokale besturen, waardoor opvolging nodig is
• Wel al concrete actie mogelijk, voornamelijk voorbereid zijn
en overzicht hebben (en houden)