Introductie brochure van de Sebyde RI&E Privacy. Het is een nulmeting met betrekking tot de gegevens verwerkingen en de privacy risico's in verband met de nieuwe privacywetgeving en de meldplicht datalekken.
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
In dit document kunt u lezen waarom de nieuwe privacywetgeving per 1-1-2016 geen exclusief "ICT feestje" is maar dat het veel belangrijke disciplines binnen organisaties raakt.
Introductie brochure van de Sebyde RI&E Privacy. Het is een nulmeting met betrekking tot de gegevens verwerkingen en de privacy risico's in verband met de nieuwe privacywetgeving en de meldplicht datalekken.
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
In dit document kunt u lezen waarom de nieuwe privacywetgeving per 1-1-2016 geen exclusief "ICT feestje" is maar dat het veel belangrijke disciplines binnen organisaties raakt.
Wat is de inhoud en betekenis van de Algemene Verordening Gegevensbescherming (GDPR) voor uw bedrijf en welke stappen zijn nodig om compliant te zijn tegen mei 2018? Sirius Legal geeft u een bevattelijk overzicht.
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
Wat is de impact van #gdpr en #privacy op uw bedrijf? Wat is er nodig om uw bedrijf GDPR compliant te maken tegen mei 2018? Hoe verloopt een GDPR compliancy traject binnen uw onderneming? Antwoorden hierop probeert het team van advocatenkantoor Sirius Legal u te geven in deze presentatie
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Ziekenhuizen genereren veel data: klinische data, data over patiënten, data over apparatuur. Hoe zet u deze data om tot waarde voor uw bedrijfsvoering en zorgkwaliteit? Slim informatiegebruik is een keuze en geen toeval.
Lees in deze whitepaper:
• hoe data-analyse input geeft voor verbetering van uw patiëntlogistiek
• hoe data kan worden gebruikt in medische besluitvormen (clinical intelligence)
• welke storage en security uitdagingen u tegenkomt bij big data
Wat is de inhoud en betekenis van de Algemene Verordening Gegevensbescherming (GDPR) voor uw bedrijf en welke stappen zijn nodig om compliant te zijn tegen mei 2018? Sirius Legal geeft u een bevattelijk overzicht.
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
Wat is de impact van #gdpr en #privacy op uw bedrijf? Wat is er nodig om uw bedrijf GDPR compliant te maken tegen mei 2018? Hoe verloopt een GDPR compliancy traject binnen uw onderneming? Antwoorden hierop probeert het team van advocatenkantoor Sirius Legal u te geven in deze presentatie
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Ziekenhuizen genereren veel data: klinische data, data over patiënten, data over apparatuur. Hoe zet u deze data om tot waarde voor uw bedrijfsvoering en zorgkwaliteit? Slim informatiegebruik is een keuze en geen toeval.
Lees in deze whitepaper:
• hoe data-analyse input geeft voor verbetering van uw patiëntlogistiek
• hoe data kan worden gebruikt in medische besluitvormen (clinical intelligence)
• welke storage en security uitdagingen u tegenkomt bij big data
Weet u wat nu een datalek is? Wie is bij u verantwoordelijk voor het melden van een datalek binnen uw organisatie? Heeft u een draaiboek? weet u wat u moet doen?
Zorginstellingen delen in dit document hun dilemma's op het vlak van privacy. Deze worden besproken. Daarnaast wordt stil gestaan bij een aantal actuele onderwerpen en worden aanbevelingen gedaan om in control te blijven.
Minicongres over privacy en de meldplicht datalekken waarin de volgende onderwerpen aan bod kwamen:
-Op welke gegevens is de Wet bescherming persoonsgegevens van toepassing? Wat mag wel en wat niet?
-Welke effecten heeft de nieuwe meldplicht datalekken op uw bedrijf?
-Wie is er aansprakelijk als de Wet bescherming persoonsgegevens niet wordt gevolgd en welke risico’s loopt u?
-Welke maatregelen moeten worden genomen om te voldoen aan de Wbp?
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
Tijdens deze workshop van 3 uur leren we de deelnemers hoe ze veilig kunnen omgaan met passwords, wat een veilig password is, hoe ze passwords kunnen onthouden, Best practices, etc. Belangrijk onderwerp wat veel problemen kan voorkomen.
Tijdens deze workshop leggen we uit wat de veranderingen zijn in de WBP per 1-1-2016 en wat de gevolgen zijn van de meldplicht datalekken. Vervolgens leert u hoe u zich kunt voorbereiden op deze nieuwe wetgeving
Presentatie over cybercriminaliteit van ongeveer 2 uur.
Tijdens deze (niet-technische !) presentatie maken we mensen bewust en laten we ze nadenken over de gevaren en dreigingen van Internet, zowel op het werk als thuis. Veel voorbeelden (filmpjes, phishing emails) en zeer interactief. Deze presentatie is een eye-opener geweest voor velen!
Tijdens deze workshop leren we software developers hoe ze veilige software kunnen opleveren door gebruik te maken van secure coding technieken. Veilige software verlaagt het aantal security incidenten sterk!
Security Awareness Workshop over Cybercriminaliteit om mensen bewust te maken over de gevaren en dreigingen. Bewust personeel maakt de organisatie weerbaar.
Introductie leaflet Sebyde.
Dit is een algemene kennismaking met de activiteiten van Sebyde. Meer informatie is te verkrijgen via onze website www.sebyde.nl
Met het digitale weerbaarheid programma bereik je duurzame weerbaarheid. Modules voor management, medewerkers en ICT. Bewust personeel maakt de organisatie weerbaar. Dit verlaagt het aantal security incidenten.
2. 1
Samenvatting
Er zijn een aantal belangrijke wijzigingen doorgevoerd in de Nederlandse wetgeving met
betrekking tot de bescherming en de privacy van persoonsgegevens. De wetswijziging in
de “Wet Bescherming Persoonsgegevens” (Wbp) is op 1 januari 2016 in werking getre-
den. Deze verandering in de wetgeving heeft gevolgen voor het bedrijfsleven. Voorberei-
ding is van groot belang.
De veranderingen die zijn aangebracht omvatten een meldplicht voor datalekken en een
verhoging van de boetebevoegdheid van de toezichthouder. In dit artikel zetten we de
kernpunten van de wijzigingen voor u op een rij.
Het is belangrijk dat bedrijven zich realiseren dat dit niet alleen een “ICT-
aangelegenheid” is. Deze nieuwe wetgeving heeft gevolgen voor de accountancy (goed-
keuring van de jaarstukken), de aansprakelijkheid (bewerkersovereenkomsten), HR (Se-
curity Awareness, veilig en verantwoordelijk gedrag van medewerkers met ICT middelen
en bedrijfsinformatie), de compliance (hoge boetebevoegdheid van toezichthouder), de
marketing & communicatie (Hoe gaan we een datalek communiceren naar buiten?) en
de reputatie (ivm de meldplicht voor datalekken) van iedere organisatie.
Meldplicht Datalekken (Artikel 34A Wbp)
Het kan gebeuren dat gegevens van bedrijven toegankelijk worden voor mensen die
geen recht hebben op kennisname van die gegevens. (Datalek)
De oorzaak van een dergelijk datalek zou bijvoorbeeld kunnen zijn:
Inbreuk op de beveiliging
Hackersaanval waarbij persoonsgegevens zijn gestolen
Verlies/diefstal van een laptop of smartphone waarop persoonsgegevens staan
Geen adequate beveiliging van persoonsgegevens
Onveilige omgang met ICT middelen en persoonsgegevens door medewerkers
De Meldplicht Datalekken verplicht bedrijven en organisaties om een ernstig datalek
onverwijld te melden bij de toezichthouder en in sommige situaties ook bij alle betrok-
kenen waarover de data is gelekt.
Een meldplicht voor datalekken is niet nieuw. Het bestaat al langer voor de overheid en
voor kritische infractructuur (bijv. energiebedrijven). Telecom-bedrijven en financiële
instellingen hebben ook al langer een meldplicht voor datalekken vanuit specifieke wet-
geving waaraan zij moeten voldoen (Telecommunicatie-wet en de wet op het financieel
toezicht).
3. 2
De letterlijke tekst in de nieuwe wetgeving (art. 34A lid 1) zegt dat het gaat om “een
inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ern-
stige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming
van persoonsgegevens”. Deze inbreuken dienen “onverwijld” te worden gemeld aan de
toezichthouder.
Vervolgens zegt Artikel 34A lid 2 dat de alle betrokkenen ook in kennis gesteld moeten
worden “indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens per-
soonlijke levenssfeer”.
Melding aan alle betrokkenen volgens lid 2 is niet van toepassing “indien de verantwoor-
delijke passende technische beschermingsmaatregelen heeft genomen waardoor de per-
soonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen
recht heeft op kennisname van de gegevens”. (Bijvoorbeeld door middel van encryption)
De melding aan de toezichthouder omvat een beschrijving van de geconstateerde en de
vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de
maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze
gevolgen te verhelpen.
De kennisgeving aan de toezichthouder en de betrokkene omvat in ieder geval de aard
van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkre-
gen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beper-
ken.
Boetebevoegdheid van de toezichthouder (Artikel 66 Wbp)
Een belangrijke verandering in de wetgeving is de verhoging van de boetebevoegdheid
van de toezichthouder. De toezichthouder kan nu “bestuurlijke boetes” opleggen van
“ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde
lid, van het Wetboek van Strafrecht”. Dit zijn boetes van materieel belang: maximaal
820.000 Euro of in sommige gevallen 10% van de jaaromzet.
De toezichthouder legt geen bestuurlijke boete op “dan nadat het een bindende aanwij-
zing heeft gegeven”. Het College kan de overtreder een termijn stellen waarbinnen de
aanwijzing moet worden opgevolgd. Deze bindende aanwijzing is niet van toepassing
“indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare
nalatigheid”.
Naamsverandering van de toezichthouder
De toezichthouder, vroeger bekend onder de naam “College Bescherming Persoonsgege-
vens”, heeft per 1-1-2016 een andere naam gekregen. De toezichthouder zal in het
maatschappelijk verkeer worden aangeduid als: Autoriteit persoonsgegevens.
4. 3
Veel gestelde vragen over de meldplicht datalekken
Hieronder volgt een overzicht van een aantal veel gestelde vragen over de meldplicht
datalekken.
Ontstaat een datalek alleen als je gehackt wordt?
Nee. We spreken van een datalek als persoonsgegevens toegankelijk worden voor onbe-
voegden of als de gegevens verloren raken of onrechtmatig worden verwerkt. Dit kan
dus niet alleen ontstaan als je gehackt wordt, maar ook als de gegevens worden gestolen
bij een inbraak in een kantoorpand. Verlies of diefstal van een datadrager (externe harde
schijf, tablet, laptop, smartphone) waarop persoonsgegevens staan opgeslagen is ook
een datalek. Het is daarom van belang dat je weet welke gegevens er op die apparatuur
opgeslagen staat.
Moet ik alle datalekken melden?
Niet alle datalekken moeten gemeld worden. Het betreft alleen de ernstige lekken. Een
datalek is ernstig als het gaat om een grote hoeveelheid gegevens of als het gaat om
privacygevoelige gegevens zoals bijvoorbeeld foto’s, BSN-nummers, creditcard gegevens,
financiële gegevens, username/passwords, Identiteitsgegevens (bijv. kopieën van pas-
poorten), gezondheidsgegevens (bijv. ziekteverzuim), werkbeoordelingen.
De keuze of een datalek gemeld dient te worden ligt bij uzelf. U dient van de keuze en uw
argumentatie over wel/niet melden een degelijke administratie aan te leggen en te be-
waren. Indien er onjuiste argumentatie is gebruikt bij een besluit om een lek niet te
melden heeft de Autoriteit Persoonsgegevens de mogelijkheid om achteraf alsnog een
bindende aanwijzing op te leggen.
Welke informatie moet ik aan de Autoriteit Persoonsgegevens melden?
Een melding aan de autoriteit bevat gedetailleerde gegevens over het datalek, zoals bij-
voorbeeld wanneer het lek is ontdekt, de aard van het datalek, hoe het datalek is ont-
staan, welke persoonsgegevens er zijn gelekt, de hoeveelheid gegevens, welke maatrege-
len er zijn genomen om het datalek te stoppen. Van elk datalek dient u deze informatie
te bewaren in een administratie.
Aan wie moet ik de melding doen?
Een datalek wordt gemeld aan de Autoriteit Persoonsgegevens. Deze melding dient bin-
nen 72 uur na ontdekking van het datalek te worden gedaan. De melding kunt u doen via
de website van de autoriteit persoonsgegevens. (www.autoriteitpersoonsgegevens.nl)
Bij het lekken van privacygevoelige gegevens is er een grote kans dat het datalek ook
ongunstige gevolgen (bijv. identiteitsfraude, reputatieschade) heeft voor de betrokkenen
(de personen waarover de gegevens zijn gelekt). In deze situatie dient u het datalek óók
aan al deze betrokkenen te melden. Indien de gelekte gegevens versleuteld waren (en-
crypted) dan is de melding aan de betrokkenen niet noodzakelijk.
5. 4
Mijn gegevens staan opgeslagen bij een clouddienst provider of een hosting partij.
Als u persoonsgegevens laat verwerken door een derde partij (dataopslag, SAAS-
oplossing, salarisverwerking, marketingbedrijf, etc.) is er sprake van een “bewerker”. In
het geval van een datalek bij de bewerker blijft u zelf verantwoordelijk voor de melding
aan de Autoriteit Persoonsgegevens.
U dient daarom de garantie te hebben dat uw bewerker een datalek onmiddellijk bij u
meldt.
De (wettelijk verplichte!) bewerkersovereenkomst tussen u en uw bewerker dient daar-
om (onder andere) informatie te bevatten over hoe er wordt gehandeld in het geval er
een datalek ontstaat.
Voorbereiding op deze nieuwe wetgeving
De wijziging in de wetgeving heeft gevolgen voor bedrijven die persoonsgegevens ver-
werken. Bedrijven dienen zich voor te bereiden op mogelijke calamiteiten waarvan een
melding gemaakt moet worden aan de toezichthouder.
Sebyde heeft een RI&E-Privacy programma ontwikkeld waarmee bedrijven ondersteund
worden bij de voorbereiding op de nieuwe wetgeving. Het is een modulair programma
bestaande uit 5 duidelijke stappen.
Het programma bestaat uit de volgende stappen:
6. 5
Module 1: Overzicht – Hoe staan we er voor?
De eerste stap is het creëren van overzicht van de verwerkingen, van uw organisatie, de
informatiesystemen en de kennis van uw personeel. Tijdens deze stap wordt de volgende
informatie boven water gehaald:
Welke persoonsgegevens worden er in uw organisatie verwerkt? (Eigen gegevens
of die van andere partijen)
Welke verwerkingen worden er met / op die persoonsgegevens uitgevoerd?
Aan welke wettelijke eisen moeten deze verwerkingen voldoen?
Is er een juridische grindslag voor de verwerkingen die worden gedaan?
Hoe is de organisatie opgebouwd?
Wat zijn de betrokken netwerken, systemen en applicaties?
Welke afdelingen zijn er betrokken bij het verwerken van persoonsgegevens?
Hoe staat het met de kennis van de medewerkers - Privacy Awareness
Welk security- en privacy- beleid is er al geïmplementeerd?
De praktische uitvoering van deze stap bestaat uit 1 of meerdere gesprekken met of vra-
genlijsten voor de betrokken personen / afdelingen om de benodigde informatie te ver-
krijgen. Vervolgens wordt de verkregen informatie beoordeeld door onze FG (Functiona-
ris Gegevensbescherming).
Resultaat: Een bruikbare privacy administratie
Module 2: Inzicht – Waar liggen de risico’s?
De tweede stap van de RI&E-Privacy is het bepalen aan welke risico’s de verwerkingen
blootstaan. Behalve verschillende security testen op netwerk, systemen en de applicaties
wordt in deze stap ook de “zachte” kant van de security meegenomen.
Uitvoeren van security testen op Netwerk en systemen (Pentesten)
Uitvoeren van security testen van applicaties (Web Applicatie Security Scan)
Security awareness van de medewerkers
Phishing test voor de organisatie
In hoeverre is security en privacy “embedded” in de bedrijfsprocessen
Resultaat: Een risico analyse met betrekking tot de verwerkingen
Module 3: Aanpak – Wat gaan we doen?
Bepalen welke maatregelen er kunnen/moeten worden genomen om compliant te zijn
aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te mini-
maliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën:
Mens (trainen op veilig en privacy bewust gedrag van uw medewerkers)
Organisatie (juridische afspraken, securitybeleid, privacy administratie, procedu-
res)
Techniek (technische maatregelen in netwerken, systemen en applicaties)
Resultaat: Een plan van aanpak voor de uit te voeren maatregelen.
7. 6
Module 4: Uitvoering – Aan de slag!
Het plan van aanpak, van stap 3, wordt uitgevoerd met al zijn maatregelen.
De privacy administratie wordt opgezet.
Trainingen worden gegeven.
De privacy organisatie wordt ingericht.
Overeenkomsten worden gemaakt.
Per verwerking wordt het PIA (Privacy Impact Assessment) rapport aangemaakt met alle
bevindingen en aanbevelingen. Het rapport zal opgesteld worden conform de richtlijnen
die door de toezichthouder zijn opgesteld.
Resultaat: Uw organisatie heeft gepaste maatregelen genomen.
Module 5: Evaluatie – Is de aanpak succesvol!
Om de privacybescherming binnen uw organisatie op hetzelfde hoge niveau te houden is
het nodig om deze regelmatig onder de loep te nemen. U meet en controleert de status
van uw organisatie, de kennis van uw medewerkers en de beveiligingsmaatregelen.
Resultaat: verbeterpunten, verfijningen ten aanzien van de bedrijfs-brede implementa-
tie.
Sebyde maakt graag een offerte voor het uitvoeren van module 1 van de RI&E-Privacy bij
u in de organisatie. Neem hierover gerust contact op via onderstaande contactgegevens.
Waar te beginnen?
Om de eerste stap van de RI&E-Privacy te kunnen uitvoeren dienen we te beschikken
over enige basisinformatie over uw organisatie. Deze informatie kunt u invullen in de
privacy checklist. Deze is aan te vagen via www.sebyde.nl/rie-privacy
Als u de privacy checklist heeft ingevuld kunt u hem opsturen naar Sebyde ter evaluatie.
De ingevulde gegevens worden dan beoordeeld door onze FG (Functionaris Gegevensbe-
scherming) en ICT-architect en u ontvang een basis rapportage over de situatie met be-
trekking tot de privacy. Voor deze beoordeling brengen we 495 Euro in rekening.
Aan de hand van de ingevulde privacy checklist is er een goed beeld van de grootte, de
complexiteit en het risicoprofiel van de organisatie. We kunnen dan een gericht voorstel
uitbrengen over het uitvoeren van de eerste stap van het RI&E-Privacy programma.
Tijdens deze eerste stap brengen we alle gegevensverwerkingen in kaart en worden ze
beoordeeld op juridische grondslag en privacy risico’s. We bekijken tevens de situatie
met betrekking tot de noodzakelijke bewerkersovereenkomsten en het kennisniveau van
het personeel. (Awareness).
Het resultaat van deze eerste stap is dat u inzicht heeft in de situatie met betrekking tot
de privacy compliance en u beschikt over de noodzakelijke privacy administratie voor de
Autoriteit Persoonsgegevens.
8. 7
Sebyde
Sebyde en Sebyde Academy ondersteunen bedrijven bij het verlagen van het aantal IT-
security incidenten en datalekken. Dit doen wij vanuit Sebyde (www.sebyde.nl) door het
aanbieden van advies en onderzoek op het gebied van het security- en privacy beleid.
De Sebyde RI&E-Privacy helpt bedrijven bij het opzetten van de benodigde privacy admi-
nistratie voor de Autoriteit Persoonsgegevens en geeft overzicht en inzicht in de situatie
met betrekking tot de privacy compliance. Dit is belangrijke informatie aangezien de
nieuwe wetgeving bedrijven verplicht om aantoonbaar inzicht te hebben in hun gege-
vensverwerkingen en deze te beoordelen op juridische grondslag en privacy risico’s.
Meer informatie over de Sebyde RI&E-Privacy is te vinden op:
https://www.sebyde.nl/rie-privacy
Met onze phishing simulatie testen we de gevoeligheid van een organisatie op het gebied
van phishing, eventueel gevolgd door effectieve korte workshops over phishing om het
personeel bewust te maken. Hiervoor hebben we een platform beschikbaar waarmee
bedrijven een ongelimiteerd aantal keer per jaar een phishing-test kunnen uitvoeren om
te meten hoe gevoelig de organisatie is voor phishing. Dit levert belangrijke informatie
op die weer kan dienen als basis voor de te nemen maatregelen om de risico’s te verla-
gen. Meer info: https://www.sebyde.nl/phishing-test
Met de Sebyde Webapplicatie Security Scan halen we alle kwetsbaarheden in uw web-
applicaties (bijvoorbeeld uw website) boven water en krijgt u gericht advies hoe de ge-
vonden kwetsbaarheden gerepareerd kunnen worden. Veel cybercriminelen breken in
via onveilig geprogrammeerde websites. Het is in de meeste gevallen kinderspel om via
een website in te breken. Laat daarom uw webapplicaties controleren om datalekken te
voorkomen! Meer informatie is te vinden op: https://www.sebyde.nl/web-applicatie-
security-scan/
Sebyde Academy
Vanuit onze Sebyde Academy (www.sebydeacademy.nl) bieden we diverse workshops
en presentaties aan om mensen bewust te maken op het gebied van security en privacy
en ze te stimuleren en motiveren naar veilig gedrag met ICT-middelen en bedrijfsgege-
vens. Tevens hebben we de mogelijkheid voor het aanbieden van op maat gemaakte
online Awareness modules.
Workshops op het gebied van security en privacy zijn een integraal onderdeel van de
activiteiten om risico’s te verlagen en compliant te zijn aan de wetgeving.
Een compleet overzicht van de Sebyde Academy workshops en presentaties stuur ik u op
uw verzoek graag per email toe.