BEKINS VAN LINES, INC. · 2020. 6. 4. · Copyright 2019 Bekins Van Lines, Inc. 12
PRESENTATION TITLE ON MULTI-LINES - Axians · 2017-11-22 · vraagt –en die krijgt –mag u alles...
Transcript of PRESENTATION TITLE ON MULTI-LINES - Axians · 2017-11-22 · vraagt –en die krijgt –mag u alles...
1
Ad Schaafsma Security consultant,
privacy specialist en jurist
bij Axians
Wie is er bang voor de AVG?
GDPR POSITIEF!
2
AD SCHAAFSMA
Security consultant, privacy specialist & jurist
3
QUIZZZ…
WAAR OF NIET WAAR?
GDPR Positief │ 21.11.2017 Nieuwegein
Vanaf 25 mei 2018
zijn als gevolg van
GDPR bewerkers
overeenkomsten
verplicht
Een betrokkene
mag u vragen alles
wat u over hem of
haar weet waarom
dan ook te wissen
Als u als werkgever
om toestemming
vraagt – en die
krijgt – mag u alles
van en over uw
werknemers
vastleggen
Met toestemming
werkt het
gemakkelijkst
omdat u dan alles
mag verwerken
Als u uw
verwerkings-
activiteiten in een
aparte, lege BV
stopt kan een
boete u nooit pijn
doen
Als u een kleine
organisatie bent
(<250) hoeft u
geen register van
verwerkings-
activiteiten bij te
houden
1 2 3 4 5 6
Volgens art. 14
WBP reeds sinds
2001 (!)
Mag ook in andere
vastgelegde en
afdwingbare vorm
Bij intrekken
toestemming (!) en
ontbreken van
andere gronden,
verlopen van
bewaartermijn,
minderjarigheid,
dwingend recht
In werkgever –
werknemer relatie
toestemming niet
snel ‘in vrijheid
gegeven’ (art. 7
AVG, overweging
32, WP29 Opinion
249)
De AVG
(overweging 150)
gebruikt het begrip
‘onderneming’ cf.
art. 101, 102 EU
verdrag
Vgl. VINCI!
Uitzondering alleen
als uw verwerking
geen risico
oplevert, secundair
is én geen
bijzondere
persoonsgegevens
omvat
Toestemming kan
‘net zo gemakkelijk’
worden
ingetrokken
Nog steeds niet
voor alle gegevens!
‘Laatste middel’
4
GENERAL DATA PROTECTION REGULATION
GDPR (OF AVG) REGELT:
Zelfs data die indirect naar jou of mij verwijst en die ‘by any legal means’ met ons in verband gebracht kan worden is een persoonsgegeven!
GDPR wordt van kracht 25 mei 2018
GDPR Positief │ 21.11.2017 Nieuwegein
Bescherming van
persoonsgegevens
(van natuurlijke
personen, jij en ik)
Versterken van de
rechten van EU
ingezetenen in het
digitale tijdperk
Verwerking van
persoonsgegevens
alleen indien
toegestaan
en nodig
Persoonsgegevens
niet voor
(fundamenteel)
andere doeleinden
gebruiken
Data verwijderen
indien niet meer
nodig of expliciet
vereist te bewaren
Verwerken = alles
wat met data
gedaan kan
worden, tot inzien
en vernietigen toe!
1 2 3 4 5 6
5
CONSEQUENTIES VAN NON-COMPLIANCE
GDPR Positief │ 21.11.2017 Nieuwegein
Administratieve
boetes (hoog!)
tot 20 Mio of 4%
PER INCIDENT
Toezichthouder
kan aanwijzingen
opleggen
Bemoeienis
Vertrouwen komt
te paard en gaat
(kreupel) te voet
Reputatie
Verlies van
vertrouwen brengt
de organisatie
veel schade toe
Omzetverlies
Non-compliance
kan internationaal
dataverkeer
belemmeren
Cloud
De financiële
aspecten voor
accountants en
verantwoording
Board!
Kan vragen
oproepen
bij bijvoorbeeld
de jaarrekening
Aandeelhouder
Bezwaren van
klanten en
leveranciers
Fatsoen moet
je doen
6
WAAR BEGINNEN MET GDPR?
GDPR Positief │ 21.11.2017 Nieuwegein
Documentatieplicht Zorgplicht Compliance Audits
• Welke gegevens en
van wie – en via wie?
• Motivering voor verwerking –
belang?
• Reden voor verwerking –
rechtsgrondslag?
• Met wie wisselen wij gegevens
uit?
• Hebben wij het verwerken
voldoende getoetst (DPIA)?
• Datalekken meegemaakt?
Algemeen: we hebben
een ‘zorgplicht’
Dat betekent voldoende
technisch en procesmatig
waarborgen en beveiliging
Documenteren is een
kerntaak! Alleen zo kan
je beginnen compliance
aan te tonen
Kernbegrip:
Be auditable
7
BELANGRIJK OM TE REGELEN
GDPR Positief │ 21.11.2017 Nieuwegein
DocumentatieplichtenAccountable, auditable
• De verplichte registraties - uw
persoonsgegevens boekhouding
• Aanvullende documentatie
templates, workflows, actuele
informatie
• Tooling! Om het u makkelijker
te maken in control te zijn
Afspraken
Beleid, protocollen, procedures
• Privacybeleid - uw opvattingen
• Protocollen - borging van beleid
• Procedures - de praktijk
Security Persoonsgegevens
• Dataclassificatie -
hoe erg kan het worden?
• IT security als proces
doel - zelfverbetering
• De techniek (middelen)
1 2 3
8
DOCUMENTATIE EN TOOLING
GDPR Positief │ 21.11.2017 Nieuwegein
De verplichte registraties
uw persoonsgegevens
‘boekhouding’
• Register van verwerkingen
• Registratie van DPIA’s (data
protection impact assessments)
• Vastlegging van
gegevensuitwisselingen
(verantwoordelijken, bewerkers,
internationaal)
• Documentatie van datalekken
Aanvullende
documentatie
templates, workflows
• Bewerkersovereenkomsten
• PIA’s (inclusief ‘quick PIA’)
• BCR en Standard Contract
Clauses
• Privacy statements
Tooling!
Om het u makkelijker te
maken ‘in control’ te zijn
• Documentatie site
(maar hoe heeft u overzicht?)
• Excel sheet (alleen als u één
verwerking hebt…)
• Eigen database (hoe brengt u de
AVG norm ‘over’ in uw system?)
• Specialistische tooling (SAAS)
9
AFSPRAKEN - BELEID EN WERKWIJZE
GDPR Positief │ 21.11.2017 Nieuwegein
Privacybeleid
Directieniveau
• Morele opvatting vastleggen
en uitdragen
• Verantwoordelijkheid en
bevoegdheid
• Rollen en taken (‘FG’ of ‘DPO’)
• Risico beoordeling
(‘risk appetite’)
Protocollen
• Rechten van betrokkenen
• Data management
(‘bewaartermijnen’)
• PIA’s (‘gegevensbeschermings-
effectbeoordelingen’)
• Datalekken (‘breaches’)
Procedures
• Administratie
(uw documentatie bijhouden)
• Rapportages en audits
(‘intern toezicht’)
• Wat is standaard en
wat wijkt af?
• ‘Privacy by design’ en ‘Privacy
by default’
10
IT & IT SECURITY VERANDEREN
GDPR Positief │ 21.11.2017 Nieuwegein
IT is zelf
veranderd!
• IT wordt gecentraliseerd (datacenters, cloud, ERP,
O365, Dynamics, Azure, Sharepoint) en steeds
lokaler (working any place, anytime, any device)
• IT wordt sterk gespecialiseerd (productie, maatwerk
applicaties) of sterk algemeen (proces en document
management, finance, HRM)
IT beveiliging
verandert (dus) ook!
• Beweging weg van ‘systems control’ naar ‘data
protection’ (vanwege datalekken, cryptoware, BYOD)
en in het algemeen ‘de Cloud’
• Micro-segmentatie, ‘Jericho forum’, centrale rol voor
IDM en access controls
11
BEWUSTWORDING EN KENNIS
GDPR Positief │ 21.11.2017 Nieuwegein
Bewustwording van en voor
iedereen is belangrijk omdat:
• De impact (consequenties) van datalekken (niet
alleen persoonsgegevens, alle gegevens) zeer groot
kan zijn
• Iedereen moet en kan bijdragen omdat iedereen met
data omgaat en menselijke tekortkomingen de
belangrijkste oorzaak van datalekken zijn
Iedereen hoort een basisbegrip
van GDPR en IT security te hebben:
• Herkennen van persoonsgegevens en de basisregels
begrijpen en toepassen
• IT security baseert op en begint bij menselijk
(bewust) gedrag
GDPR zou een motivator moeten zijn!
Breng uw gestructureerde én uw ongestructureerde data in kaart
Ken uw processen, ken uw mensen, ken uw relaties
Wees nauwkeurig!
12
BEVEILIGING
GDPR Positief │ 21.11.2017 Nieuwegein
Dataclassificatie
beleid
• Inhoud en risico gebaseerd
(‘BIV/CIA’)
• Toegang en verwerkingen
• ‘Tagging’, DLP, DRM, applicatie
containers
• Encryptie
IT security
proces
• Standaarden (ISO/NEN, Cobit,
BIG, BIR)
• ISMS
• Beleidscyclus
• Audit en certificering:
• ISO 27001, ISAE 3402 II
• SOC2
Databescherming
middelen
• Netwerkbeveiliging (NGFW, IDS,
NAC)
• Endpoint protectie (AV,
heuristics, encryptie), mobiele
datadragers
• Datacenter (Tier III/IV, layering,
snapshots/backup)
• Cloud (Azure/Intune, MdM/MAM,
encryptie)
13
VOORBEELD TOOLKIT
GDPR Positief │ 21.11.2017 Nieuwegein
De centrale organisatie
verzorgt het volgende:
• Algemeen beleid en procedures rond
persoonsgegevens en IT security
• HRM specifiek beleid
• Een registratie en documentatie tool (webapplicatie)
• Templates voor regulier gebruik
(bewerkersovereenkomst!)
• Awareness en e-learning programma
• Ondersteuning voor ‘specials’
Decentraal en uitvoerend:
• Daadwerkelijk bijhouden van administraties
• Eerstelijns beoordeling van impact van verwerkingen
• Noodzakelijke aanpassingen doorvoeren
• Eerstelijns contacten met betrokkenen
• Afstemming beveiliging en uitwisselingen
• Casussen bespreken met centraal
14
POSITIEF BENADEREN
GDPR Positief │ 21.11.2017 Nieuwegein
Nuttig voor de organisatie:
• Inzicht en overzicht van data, ook
andere data dan persoonsgegevens
• Reden om IT security tegen het licht te
houden en te bevorderen
• Meer procesgerichte werkwijze bij
nieuwe applicaties
• Informatiegericht in plaats van
documentgericht
• Awareness bij en zelfstandigheid van
business medewerkers
• Moreel bewuste omgang met privacy
wordt een pré in de samenleving
Goed voor IT security:
• Daadwerkelijk bijhouden van
administraties
• Eerstelijns beoordeling van impact
van verwerkingen
• Eerstelijns contacten met betrokkenen
• Afstemming beveiliging en
uitwisselingen