1

Ad Schaafsma Security consultant,

privacy specialist en jurist

bij Axians

Wie is er bang voor de AVG?

GDPR POSITIEF!

2

AD SCHAAFSMA

Security consultant, privacy specialist & jurist

3

QUIZZZ…

WAAR OF NIET WAAR?

GDPR Positief │ 21.11.2017 Nieuwegein

Vanaf 25 mei 2018

zijn als gevolg van

GDPR bewerkers

overeenkomsten

verplicht

Een betrokkene

mag u vragen alles

wat u over hem of

haar weet waarom

dan ook te wissen

Als u als werkgever

om toestemming

vraagt – en die

krijgt – mag u alles

van en over uw

werknemers

vastleggen

Met toestemming

werkt het

gemakkelijkst

omdat u dan alles

mag verwerken

Als u uw

verwerkings-

activiteiten in een

aparte, lege BV

stopt kan een

boete u nooit pijn

doen

Als u een kleine

organisatie bent

(<250) hoeft u

geen register van

verwerkings-

activiteiten bij te

houden

1 2 3 4 5 6

Volgens art. 14

WBP reeds sinds

2001 (!)

Mag ook in andere

vastgelegde en

afdwingbare vorm

Bij intrekken

toestemming (!) en

ontbreken van

andere gronden,

verlopen van

bewaartermijn,

minderjarigheid,

dwingend recht

In werkgever –

werknemer relatie

toestemming niet

snel ‘in vrijheid

gegeven’ (art. 7

AVG, overweging

32, WP29 Opinion

249)

De AVG

(overweging 150)

gebruikt het begrip

‘onderneming’ cf.

art. 101, 102 EU

verdrag

Vgl. VINCI!

Uitzondering alleen

als uw verwerking

geen risico

oplevert, secundair

is én geen

bijzondere

persoonsgegevens

omvat

Toestemming kan

‘net zo gemakkelijk’

worden

ingetrokken

Nog steeds niet

voor alle gegevens!

‘Laatste middel’

4

GENERAL DATA PROTECTION REGULATION

GDPR (OF AVG) REGELT:

Zelfs data die indirect naar jou of mij verwijst en die ‘by any legal means’ met ons in verband gebracht kan worden is een persoonsgegeven!

GDPR wordt van kracht 25 mei 2018

GDPR Positief │ 21.11.2017 Nieuwegein

Bescherming van

persoonsgegevens

(van natuurlijke

personen, jij en ik)

Versterken van de

rechten van EU

ingezetenen in het

digitale tijdperk

Verwerking van

persoonsgegevens

alleen indien

toegestaan

en nodig

Persoonsgegevens

niet voor

(fundamenteel)

andere doeleinden

gebruiken

Data verwijderen

indien niet meer

nodig of expliciet

vereist te bewaren

Verwerken = alles

wat met data

gedaan kan

worden, tot inzien

en vernietigen toe!

1 2 3 4 5 6

5

CONSEQUENTIES VAN NON-COMPLIANCE

GDPR Positief │ 21.11.2017 Nieuwegein

Administratieve

boetes (hoog!)

tot 20 Mio of 4%

PER INCIDENT

Toezichthouder

kan aanwijzingen

opleggen

Bemoeienis

Vertrouwen komt

te paard en gaat

(kreupel) te voet

Reputatie

Verlies van

vertrouwen brengt

de organisatie

veel schade toe

Omzetverlies

Non-compliance

kan internationaal

dataverkeer

belemmeren

Cloud

De financiële

aspecten voor

accountants en

verantwoording

Board!

Kan vragen

oproepen

bij bijvoorbeeld

de jaarrekening

Aandeelhouder

Bezwaren van

klanten en

leveranciers

Fatsoen moet

je doen

6

WAAR BEGINNEN MET GDPR?

GDPR Positief │ 21.11.2017 Nieuwegein

Documentatieplicht Zorgplicht Compliance Audits

• Welke gegevens en

van wie – en via wie?

• Motivering voor verwerking –

belang?

• Reden voor verwerking –

rechtsgrondslag?

• Met wie wisselen wij gegevens

uit?

• Hebben wij het verwerken

voldoende getoetst (DPIA)?

• Datalekken meegemaakt?

Algemeen: we hebben

een ‘zorgplicht’

Dat betekent voldoende

technisch en procesmatig

waarborgen en beveiliging

Documenteren is een

kerntaak! Alleen zo kan

je beginnen compliance

aan te tonen

Kernbegrip:

Be auditable

7

BELANGRIJK OM TE REGELEN

GDPR Positief │ 21.11.2017 Nieuwegein

DocumentatieplichtenAccountable, auditable

• De verplichte registraties - uw

persoonsgegevens boekhouding

• Aanvullende documentatie

templates, workflows, actuele

informatie

• Tooling! Om het u makkelijker

te maken in control te zijn

Afspraken

Beleid, protocollen, procedures

• Privacybeleid - uw opvattingen

• Protocollen - borging van beleid

• Procedures - de praktijk

Security Persoonsgegevens

• Dataclassificatie -

hoe erg kan het worden?

• IT security als proces

doel - zelfverbetering

• De techniek (middelen)

1 2 3

8

DOCUMENTATIE EN TOOLING

GDPR Positief │ 21.11.2017 Nieuwegein

De verplichte registraties

uw persoonsgegevens

‘boekhouding’

• Register van verwerkingen

• Registratie van DPIA’s (data

protection impact assessments)

• Vastlegging van

gegevensuitwisselingen

(verantwoordelijken, bewerkers,

internationaal)

• Documentatie van datalekken

Aanvullende

documentatie

templates, workflows

• Bewerkersovereenkomsten

• PIA’s (inclusief ‘quick PIA’)

• BCR en Standard Contract

Clauses

• Privacy statements

Tooling!

Om het u makkelijker te

maken ‘in control’ te zijn

• Documentatie site

(maar hoe heeft u overzicht?)

• Excel sheet (alleen als u één

verwerking hebt…)

• Eigen database (hoe brengt u de

AVG norm ‘over’ in uw system?)

• Specialistische tooling (SAAS)

9

AFSPRAKEN - BELEID EN WERKWIJZE

GDPR Positief │ 21.11.2017 Nieuwegein

Privacybeleid

Directieniveau

• Morele opvatting vastleggen

en uitdragen

• Verantwoordelijkheid en

bevoegdheid

• Rollen en taken (‘FG’ of ‘DPO’)

• Risico beoordeling

(‘risk appetite’)

Protocollen

• Rechten van betrokkenen

• Data management

(‘bewaartermijnen’)

• PIA’s (‘gegevensbeschermings-

effectbeoordelingen’)

• Datalekken (‘breaches’)

Procedures

• Administratie

(uw documentatie bijhouden)

• Rapportages en audits

(‘intern toezicht’)

• Wat is standaard en

wat wijkt af?

• ‘Privacy by design’ en ‘Privacy

by default’

10

IT & IT SECURITY VERANDEREN

GDPR Positief │ 21.11.2017 Nieuwegein

IT is zelf

veranderd!

• IT wordt gecentraliseerd (datacenters, cloud, ERP,

O365, Dynamics, Azure, Sharepoint) en steeds

lokaler (working any place, anytime, any device)

• IT wordt sterk gespecialiseerd (productie, maatwerk

applicaties) of sterk algemeen (proces en document

management, finance, HRM)

IT beveiliging

verandert (dus) ook!

• Beweging weg van ‘systems control’ naar ‘data

protection’ (vanwege datalekken, cryptoware, BYOD)

en in het algemeen ‘de Cloud’

• Micro-segmentatie, ‘Jericho forum’, centrale rol voor

IDM en access controls

11

BEWUSTWORDING EN KENNIS

GDPR Positief │ 21.11.2017 Nieuwegein

Bewustwording van en voor

iedereen is belangrijk omdat:

• De impact (consequenties) van datalekken (niet

alleen persoonsgegevens, alle gegevens) zeer groot

kan zijn

• Iedereen moet en kan bijdragen omdat iedereen met

data omgaat en menselijke tekortkomingen de

belangrijkste oorzaak van datalekken zijn

Iedereen hoort een basisbegrip

van GDPR en IT security te hebben:

• Herkennen van persoonsgegevens en de basisregels

begrijpen en toepassen

• IT security baseert op en begint bij menselijk

(bewust) gedrag

GDPR zou een motivator moeten zijn!

Breng uw gestructureerde én uw ongestructureerde data in kaart

Ken uw processen, ken uw mensen, ken uw relaties

Wees nauwkeurig!

12

BEVEILIGING

GDPR Positief │ 21.11.2017 Nieuwegein

Dataclassificatie

beleid

• Inhoud en risico gebaseerd

(‘BIV/CIA’)

• Toegang en verwerkingen

• ‘Tagging’, DLP, DRM, applicatie

containers

• Encryptie

IT security

proces

• Standaarden (ISO/NEN, Cobit,

BIG, BIR)

• ISMS

• Beleidscyclus

• Audit en certificering:

• ISO 27001, ISAE 3402 II

• SOC2

Databescherming

middelen

• Netwerkbeveiliging (NGFW, IDS,

NAC)

• Endpoint protectie (AV,

heuristics, encryptie), mobiele

datadragers

• Datacenter (Tier III/IV, layering,

snapshots/backup)

• Cloud (Azure/Intune, MdM/MAM,

encryptie)

13

VOORBEELD TOOLKIT

GDPR Positief │ 21.11.2017 Nieuwegein

De centrale organisatie

verzorgt het volgende:

• Algemeen beleid en procedures rond

persoonsgegevens en IT security

• HRM specifiek beleid

• Een registratie en documentatie tool (webapplicatie)

• Templates voor regulier gebruik

(bewerkersovereenkomst!)

• Awareness en e-learning programma

• Ondersteuning voor ‘specials’

Decentraal en uitvoerend:

• Daadwerkelijk bijhouden van administraties

• Eerstelijns beoordeling van impact van verwerkingen

• Noodzakelijke aanpassingen doorvoeren

• Eerstelijns contacten met betrokkenen

• Afstemming beveiliging en uitwisselingen

• Casussen bespreken met centraal

14

POSITIEF BENADEREN

GDPR Positief │ 21.11.2017 Nieuwegein

Nuttig voor de organisatie:

• Inzicht en overzicht van data, ook

andere data dan persoonsgegevens

• Reden om IT security tegen het licht te

houden en te bevorderen

• Meer procesgerichte werkwijze bij

nieuwe applicaties

• Informatiegericht in plaats van

documentgericht

• Awareness bij en zelfstandigheid van

business medewerkers

• Moreel bewuste omgang met privacy

wordt een pré in de samenleving

Goed voor IT security:

• Daadwerkelijk bijhouden van

administraties

• Eerstelijns beoordeling van impact

van verwerkingen

• Eerstelijns contacten met betrokkenen

• Afstemming beveiliging en

uitwisselingen

15

BEDANKT VOORUW AANDACHTVRAGEN?

Mr. Ad Schaafsma CDPO

ad.schaafsma@axians.com

06 - 53 96 45 40