Algemene informatie RI&E privacy
5
RI&E Privacy
Transcript of Algemene informatie RI&E privacy
RI&E Privacy
2
Introductie Per 1 januari 2016 is er een belangrijke wetswijziging doorgevoerd in de WBP (Wet Bescherming Persoonsgegevens). Deze wetswijziging heeft belangrijke gevolgen voor het bedrijfsleven. Er wordt onder andere een meldplicht voor datalekken ingevoerd die organisaties verplicht om een datalek met persoonsgegevens binnen 72 uur te melden aan de toezichthouder. Daarnaast is de boetebevoegdheid van de toezichthouder verhoogd naar het opleggen van bestuurlijke boetes. Deze boetes zijn van “Materieel belang” en hebben direct invloed op de jaarrekening van uw bedrijf. Om te kunnen voldoen aan de nieuwe meldplicht voor datalekken en om de privacy risico’s in kaart te kunnen brengen dienen bedrijven aantoonbaar inzicht te hebben in de gegevensverwer-kingen en de privacy risico’s binnen hun organisatie. De Sebyde RI&E-Privacy ondersteunt organi-saties bij de voorbereiding op de nieuwe privacywetgeving.
Voorbereiding op de nieuwe wetgeving De wijziging in de wetgeving heeft gevolgen voor bedrijven die persoonsgegevens verwerken. Bedrijven dienen aantoonbaar inzicht te hebben in hun gegevensverwerkingen en deze informatie voor de autoriteit Persoonsgegevens beschikbaar te hebben in een actuele privacy administratie. Tevens dienen bedrijven zich voor te bereiden op mogelijke calamiteiten waarvan een melding gemaakt moet worden aan de toezichthouder. Sebyde heeft hiervoor een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:
3
Module 1: Overzicht – Hoe staan we ervoor? De eerste stap is het creëren van overzicht van de verwerkingen, van uw organisatie, de informa-tiesystemen en de kennis van uw personeel. Tijdens deze stap wordt de volgende informatie bo-ven water gehaald:
Hoe staat het met de kennis van uw medewerkers - Privacy Awareness
Welke persoonsgegevens worden er in uw organisatie verwerkt?
Hoe is de organisatie opgebouwd?
Aan welke wettelijke eisen moeten deze verwerkingen voldoen?
Wat zijn de betrokken netwerken, systemen en applicaties?
Welke afdelingen zijn er betrokken bij het verwerken van persoonsgegevens?
Welke verwerkingen worden er met/op die persoonsgegevens uitgevoerd?
Welk security- en privacy- beleid is er al geïmplementeerd? De praktische uitvoering van deze stap bestaat uit 1 of meerdere gesprekken met of vragenlijsten voor de betrokken personen/afdelingen om de benodigde informatie te verkrijgen. Vervolgens wordt de verkregen informatie beoordeeld door onze FG (Functionaris Gegevensbescherming). Resultaat: Een bruikbare privacy administratie Module 2: Inzicht – Waar liggen de risico’s? De tweede stap van de RI&E-Privacy is het bepalen aan welke risico’s de verwerkingen blootstaan. Behalve verschillende security testen op netwerk, systemen en de applicaties wordt in deze stap ook de “zachte” kant van de security meegenomen.
Uitvoeren van security testen op Netwerk en systemen (Pentesten)
Uitvoeren van security testen van applicaties (Web Applicatie Security Scan)
Security awareness van de medewerkers
Phishing test voor de organisatie
In hoeverre is security en privacy “embedded” in de bedrijfsprocessen Resultaat: Een risicoanalyse met betrekking tot de verwerkingen Module 3: Aanpak – Wat gaan we doen? Bepalen welke maatregelen er kunnen/moeten worden genomen om compliant te zijn aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te minimaliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën:
Mens (trainen op veilig en privacy bewust gedrag van uw medewerkers)
Organisatie (juridische afspraken, securitybeleid, privacy administratie, procedures)
Techniek (technische maatregelen in netwerken, systemen en applicaties) Resultaat: Een plan van aanpak voor de uit te voeren maatregelen.
4
Module 4: Uitvoering – Aan de slag! Het plan van aanpak, van stap 3, wordt uitgevoerd met al zijn maatregelen.
De privacy administratie wordt opgezet.
Trainingen worden gegeven.
De privacy organisatie wordt ingericht.
Overeenkomsten worden gemaakt. Per verwerking wordt het PIA-rapport aangemaakt met alle bevindingen en aanbevelingen. Het rapport zal opgesteld worden conform de richtlijnen die door de toezichthouder zijn opgesteld. Resultaat: Uw organisatie heeft gepaste maatregelen genomen. Module 5: Evaluatie – Is de aanpak succesvol! Om de privacybescherming binnen uw organisatie op hetzelfde hoge niveau te houden is het nodig om deze regelmatig onder de loep te nemen. U meet en controleert de status van uw orga-nisatie, de kennis van uw medewerkers en de beveiligingsmaatregelen. Resultaat: verbeterpunten, verfijningen ten aanzien van de bedrijfs-brede implementatie.
Sebyde maakt graag een offerte voor het uitvoeren van module 1 van de RI&E-Privacy bij u in de organisatie. Neem hierover gerust contact op via onderstaande contactgegevens
Waar te beginnen? Invullen van de privacy checklist. U kunt de privacy checklist vrijblijvend aanvragen via www.sebyde.nl/rie-privacy Deze checklist bevat vragen over uw organisatie, uw ICT-landschap en de verwerkingen van priva-cygevoelige informatie. Aan de hand van deze informatie krijgen we een goed beeld van de com-plexiteit en grootte van uw organisatie. Evaluatie door Functionaris Gegevensbescherming en security architect. Na het invullen stuurt u de checklist terug naar Sebyde. Tegen een speciaal introductietarief van 495 Euro zal de informatie uit de ingevulde checklist geëvalueerd worden door een FG en een security architect. U ontvangt vervolgens van ons een rapport waarin we in hoofdlijnen onze be-vindingen beschrijven met betrekking tot uw privacy situatie. Offerte en uitvoeren van Module 1 van de RI&E-Privacy. Op uw verzoek maken we vervolgens op basis van de informatie uit de privacy checklist over uw organisatie een passend voorstel voor het uitvoeren van module 1 van de RI&E-Privacy in uw organisatie. Tijdens dit onderzoek brengen we alle gegevensverwerkingen in kaart en beoordelen deze op juridische grondslag en privacy risico’s. Tevens lichten we de organisatie door op de pri-vacyaspecten en -compliance. De hoeveelheid tijd die voor dit onderzoek nodig is hangt af van de complexiteit en grootte van uw organisatie. Voor een middelgrote organisatie met HR-, marke-ting- en financiële verwerkingen zijn ongeveer 3 dagen benodigd.
5
Indien u vragen heeft kunt u ons uiteraard altijd bereiken. Graag spreken we samen met u de details door. Vertrouwend hiermee van dienst te zijn, Met vriendelijke groet, Sebyde BV Rob Koch Email: [email protected]
Contact gegevens Sebyde en Sebyde Academy Sebyde BV Telefoon: 085 - 2733376 Email: (algemeen) [email protected] Website Sebyde BV: www.sebyde.nl Website Sebyde Academy: www.sebydeacademy.nl LinkedIn: www.linkedin.com/company/sebyde-bv Twitter: www.twitter.com/SebydeBV Facebook: www.facebook.com/sebydeBV
![v ¤ ³ ` À È ] ` ¦°® ó ¾ « v ³ æ ®¦ v p «¦ ² ]¦ À¦ º ¿® ¾ ... · ABSTRACT ³7KH 6WXG\ RI )LJXUHV RI 6SHHFK LQ WKH &ROOHFWLRQ RI 3RHPV RI ,EQ-Al- Haddad Al-Andalousi](https://static.fdocuments.nl/doc/165x107/5f10d5ff7e708231d44b0c69/v-v-f-v-p-.jpg)
