171031 fex - op tijd compliant met gdpr - presentatie valid
30
Martijn van Grieken 16:00 uur = 18.30 UUR
Transcript of 171031 fex - op tijd compliant met gdpr - presentatie valid
Martijn van Grieken
16:00 uur = 18.30 UUR
Key facts
ICT-dienstverlener
Opgericht in 1999
IT Infrastructures en Business IT Services
Kantoren in Eindhoven, Maastricht en Utrecht
300 ervaren medewerkers
Verbindende cultuur
Persoonlijk
– Dichtbij
– Echt
Innovatief
– Scherp
– Voorop
We laten onze klanten voorop lopen door…
hen te Ontzorgen
hun ICT te Verbeteren
hun business te Vernieuwen
Stay Ahead: we laten onze klanten voorop lopen!
2
Certificeringen: ISO9001, 14001, 27001, ISAE3402 verklaring (type I en II)
Disclaimer
GDPR gaat over beleid, processen, organisatorische maatregelen, juridische zaken… niet alleen over IT!
Nog geen “compliancy stempel”
Valid faciliteert, op weg naar GDPR compliancy
Om uiteindelijk GDPR compliant te zijn, is samenwerking nodig met privacy-specialist resp. auditor of juridische partij
Voorbeelden hulplijnen
3
AVG: Algemene Verordening GegevensbeschermingGDPR: General Data Protection Regulation
Korte introductie over AVG/GDPR
Waar IT kan helpen
Vier stappen op weg naar compliancy
Volledig inventariseren dankzij AI
Hoe te starten
4
AVG-GDPR
Korte introductie over AVG/GDPR
Waar IT kan helpen
Vier stappen op weg naar compliancy
Volledig inventariseren dankzij AI
Hoe te starten
5
GDPR – Waar gaat het over?
Meer rechten omtrent privacy
Een grotere plicht om data te beveiligen
Meldplicht datalekken
Mogelijk enorme sancties
6
GDPR – wat komt er bij kijken?
Juridisch– Bewijs van risico mitigatie
Administratief– DPO: Data Protection Officer
Procesmatig– Privacy by Design & Default
Technisch– Beschikbaarheid, integriteit en
vertrouwelijkheid van informatie
Deadline: 25 mei 2018
7
Persoonlijkeprivacy
GDPR – Wat komt er bij kijken?
Maatregelen en notificatie
Transparant beleid IT en training
Data verwerkers dienen:
• Privacy medewerkers aan testellen en medewerkers op teleiden (bewustwording)
• Data beleid te toetsen en up-to-date te houden
• Een Data Protection Officer aan te stellen (>250 medewerkers)
• Contracten met derden tetoetsten naar compliance
Data verwerkers dienen:
• Persoonlijke data voldoende tebeschermen (security)
• De autoriteiten binnen 72 uurop de hoogte te stellen van eendatalek
• Toestemming krijgen alvorenspersoonlijke data te verwerken
• Records bij te houden van verwerking in eenverwerkingsregister
Individuen hebben het rechttot:
• Toegang tot persoonlijke data
• Aanpassen van persoonlijkedata
• Verwijderen van persoonlijkedata
• Protesteren tegen het verwerken van hunpersoonlijke data
• Exporteren van persoonlijkedata (transportabiliteit)
Data verwerkers zijn vereist:
• Individuen op de hoogte testellen van het verzamelenvan persoonlijke data
• Grondslagen tot verwerkingvast te leggen
• Data behoud en verwijderbeleid helder te definieren
Nog geen officiële norm! MBO taskforce Informatiebeveiliging en Privacy biedt uitkomst
Uitgangspunten informatiebeveiliging en privacy:
IBP is lijnverantwoordelijkheid
Veilig en betrouwbaar omgaan met informatie is ieders professionele verantwoordelijkheid
IBP is een continu proces
Juiste classificatie van het informatiesysteem
Zorg voor Beschikbaarheid, Integriteit en Vertrouwelijkheid
Bij projecten wordt vanaf start rekening gehouden met IBP (Privacy by design)
https://www.sambo-ict.nl/netwerken/informatiebeveiliging/
10
MBO taskforce IBP toetsingskader: 24 statements
Nr Statement
1 Privacy beleid, uitgangspunten en toewijzing taken/verantwoordelijkheden
2 Functionaris gegevensbescherming aanstellen
3 Doelbepaling, doelbinding, grondslag, grond bij minderjarigen en dataminimalisatie
4 Registratieplicht
5 Bewaartermijnen
6 Verwerking t.b.v. onderzoek
7 Verwerking van bijzondere persoonsgegevens
8 Geautomatiseerde besluitvorming
9 Informatiebeveiliging
10 Bewerkersovereenkomsten
11 Transparantie privacy beleid
12 Informatieplicht verwerkingen communiceren
Nr Statement
13 Rechten van betrokkene
14 Arbeidsvoorwaarden
15 Bewustzijn, opleiding en training ten aanzien van privacy
16 Verwijderen van persoonsgegevens
17 Datakwaliteit (data-integriteit)
18 Datalek
19 Toegang tot bijzondere persoonsgegevens
20 Privacy in informatiesystemen
21 Gegevensbeschermingseffectbeoordeling (DPIA)
22 Naleving van privacy beleid en –normen
23 Rapportage van privacy gebeurtenissen
24 Gebeurtenissen registreren (logging)
11
AVG-GDPR
Korte introductie over AVG/GDPR
Waar IT kan helpen
Vier stappen op weg naar compliancy
Volledig inventariseren dankzij AI
Hoe te starten
12
Waar IT kan helpen
Nr Statement
1 Privacy beleid, uitgangspunten en toewijzing taken/verantwoordelijkheden
2 Functionaris gegevensbescherming
3 Doelbepaling, doelbinding, grondslag, grond bij minderjarigen en dataminimalisatie
4 Registratieplicht
5 Bewaartermijnen
6 Verwerking t.b.v. onderzoek
7 Verwerking van bijzondere persoonsgegevens
8 Geautomatiseerde besluitvorming
9 Informatiebeveiliging
10 Bewerkersovereenkomsten
11 Transparantie privacy beleid
12 Informatieplicht verwerkingen communiceren
Nr Statement
13 Rechten van betrokkene
14 Arbeidsvoorwaarden
15 Bewustzijn, opleiding en training ten aanzien van privacy
16 Verwijderen van persoonsgegevens
17 Datakwaliteit (data-integriteit)
18 Datalek
19 Toegang tot bijzondere persoonsgegevens
20 Privacy in informatiesystemen
21 Gegevensbeschermingseffectbeoordeling (DPIA)
22 Naleving van privacy beleid en –normen
23 Rapportage van privacy gebeurtenissen
24 Gebeurtenissen registreren (logging)
13
✓
✓
✓
✓
✓
✓✓
✓
✓
✓
✓
✓
✓
IT helpt op de weg naar GDPR compliance
Ontdek waar privacy-gevoelige data staat
Waar staat de data, hoe en waarom wordt het gebruikt?
Zijn de security controls in place?
Manage je data en maak het inzichtelijk
Inventariseer
Registreer & Beheer
Bescherm
Monitor & Rapporteer
14
AVG-GDPR
Korte introductie over AVG/GDPR
Waar IT kan helpen
Vier stappen op weg naar compliancy
Volledig inventariseren dankzij AI
Hoe te starten
15
Techniek als antwoord op de GDPR
Inventariseer
Registreer & Beheer
Bescherm
Monitor & Rapporteer
Data Catalog
Machine Learning
Power BI
Blob Storage
SQL Database
Data Factory
Key Vault
Rights Management
Active Directory
16
Inventariseer
Registreer & Beheer
Bescherm
Monitor & Rapporteer
Inventariseer privacy gevoelige data
Scan gestructureerde bronnen
Zet Artificial Intelligence in om ongestructureerde data in kaart te brengen
Ontdek de mogelijkheden van Deep Learning
Laat Neurale Netwerken het werk doen
17
Inventariseer
Registreer & Beheer
Bescherm
Monitor & Rapporteer
Registreer en beheer met Azure
Registreer het gebruik van data
Data governance – creëer een verwerkingsregister
Classificeer privacy gevoelige data
Azure biedt uitkomst
18
Inventariseer
Registreer & Beheer
Bescherm
Monitor & Rapporteer
Secure by Design
Bescherm privacy-gevoelige data
Voorkom aanvallen – train medewerkers en maak ze bewust
Security Awareness is key
Monitor en detecteer aanvallen
19
Inventariseer
Registreer & Beheer
Bescherm
Monitor & Rapporteer
Maak GDPR Compliancy inzichtelijk met PowerBI
Rapporteer de huidige status
Creëer een overzicht van alle gescande data
Real time, altijd up to date
Van inzicht naar actie
20
Maak GDPR Compliancy inzichtelijk met PowerBI
21
Techniek als antwoord op de GDPR
Inventariseer
Registreer & Beheer
Bescherm
Monitor & Rapporteer
Data Catalog
Machine Learning
Power BI
Blob Storage
SQL Database
Data Factory
Key Vault
Rights Management
Active Directory
22
AVG-GDPR
Korte introductie over AVG/GDPR
Waar IT kan helpen
Vier stappen op weg naar compliancy
Volledig inventariseren dankzij AI
Hoe te starten
23
A.I. Use cases Valid
Inzet van machine learning om afbeeldingen met privacy gevoelige informatie op te sporen
Valid Privacy Detection Crawler
24
Valid Privacy Detection ‘Crawler’
Service
Privacy Dashboard
CNN
CrawlerService
API
1
2
3
4
5
25
AVG-GDPR
Korte introductie over AVG/GDPR
Waar IT kan helpen
Vier stappen op weg naar compliancy
Volledig inventariseren dankzij AI
Hoe te starten
26
Detailed assessment: 150 vragen, duidelijkheid na 3 stappen
28
Valid kan u bij staan gedurende het AVG-compliance proces
Inventariseer Registreer & Beheer
Bescherm Monitor & Rapporteer
Data Location Inventoryand Register
Access Management File Protection RMS Database SecurityDashboard
Unstructured Scan with Artificial Intelligence
Privacy Impact Assessment
Network & Endpoint Security
Record of Processing Activities
Process Inventarisation Master Data Management System
29
