Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data ... · Seminar: is uw bedrijf klaar voor...

Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?

Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy &

Persoonsgegevens (GDPR)?


Over de organisatie


Programma

15.00 uur: Inleiding, door Marc Santegoeds en Maarten de Rooij

15.15 uur: Juridische aspecten van GDPR, door Monica Leenders

15.50 uur: Technische aspecten van GDPR, door Geert Rademakers

16.25 uur: De mindset van medewerkers, door Dennie Spreeuwenberg

17.00 uur: Afsluitende borrel


• IT Consultant rol

• Analyse & advies

• Proces begeleiding

• Data privacy specialisme

Even voorstellen

Maarten de Rooij

IT Business Professional, ACA IT-Solutions


Tijdslijn

• Wet bescherming persoonsgegevens 1 september 2001

• Wet Meldplicht Datalekken 1 januari 2016

• Handhaving GDPR/AVG (vervanging Wbp) 25 mei 2018


De risico’s

• Boetes (tot € 20 miljoen / tot 4% van de omzet)

• Negatieve aandacht in de media

• Kritiek en zelfs aangiftes door gedupeerden


Schaap met 4 poten?

Juridisch (Monica Leenders)

Gedrag/mens (Dennie Spreeuwenberg)

IT/technisch(Geert Rademakers)

Compliance/risk

Functionaris Gegevensbescherming


Compliance/Risk

Accountability & auditability

Artikel 24 AVG:

“…. treft de verwerkingsverantwoordelijke passende en technische organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd.”

• Register

• Beleid

• Maatregelen

• Procedures





Compliance/risk


• Teamleider privacy

• Internationale contractenpraktijk

• Intellectual property

Even voorstellen

Monica Leenders

Advocaat, Advocatenkantoor Boels Zanders

Uw vraag stellen aan Monica:

+31 (0)88 30 40 153

+31 (0)6 31 64 09 50

[email protected]


• Reden nieuwe wetgeving

• Kern van de AVG

• Betekenis voor organisaties

• Hoe kunnen organisaties zich voorbereiden

Inleiding

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiY9uz_y_fWAhVQIlAKHVKxCWEQjRwIBw&url=https://www.welivesecurity.com/2017/05/23/gdpr-is-world-ready-cybersecurity-impact/&psig=AOvVaw2ONul8Qgm8tqcDC9Eh3iwQ&ust=1508327490548386

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiY9uz_y_fWAhVQIlAKHVKxCWEQjRwIBw&url=https://www.welivesecurity.com/2017/05/23/gdpr-is-world-ready-cybersecurity-impact/&psig=AOvVaw2ONul8Qgm8tqcDC9Eh3iwQ&ust=1508327490548386


Waarom nieuwe wetgeving?


Gegevens verwerken

+

Verwerk ik persoonsgegevens

Persoonsgegevens

Verwerker ('processor')Verwerkingsverantwoordelijke

('controller')

Verwerken

Ik verwerk persoonsgegevens dus ik moet voldoen aan de

Privacywetgeving (*)


• Welbepaald

• Uitdrukkelijk omschreven

• Verwerking noodzakelijk voor het doel

• Verenigbaar gebruik

• Gerechtvaardigd > verwerkingsgrondslag

Verwerkingsdoeleinden


• Toestemming

• Overeenkomst

• Wettelijke plicht

Verwerkingsgrondslagen

• Vitaal belang betrokkene

• Overheidstaak

• Eigen dringend belang


• Bijzondere persoonsgegevens, over iemands godsdienst, ras, politieke gezindheid, gezondheid, lidmaatschap van een vereniging etc, biometrische/genetische gegevens.

• Gegevens over financiële situatie

• Gegevens die kunnen leiden tot stigmatisering/uitsluiting

• Gebruikersnamen, wachtwoorden en inloggegevens

• Gegevens die kunnen worden misbruikt voor identiteitsfraude

Gevoelige persoonsgegevens


• Privacy by design

Betekenis AVG voor organisaties

• Privacy by default

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=imgres&cd=&cad=rja&uact=8&ved=0ahUKEwjriLWq3_TWAhVCPVAKHdNmDFYQjRwIBw&url=https://www.teachprivacy.com/training-privacy-by-design/&psig=AOvVaw22ssl1aU5wZopYO9astFPG&ust=1508229626251560

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=imgres&cd=&cad=rja&uact=8&ved=0ahUKEwjriLWq3_TWAhVCPVAKHdNmDFYQjRwIBw&url=https://www.teachprivacy.com/training-privacy-by-design/&psig=AOvVaw22ssl1aU5wZopYO9astFPG&ust=1508229626251560

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=imgres&cd=&cad=rja&uact=8&ved=0ahUKEwiQ5aGk4fTWAhWEfFAKHZMGAzEQjRwIBw&url=https://www.sabusinessindex.co.za/the-big-factors-that-attract-the-best-freelancers/&psig=AOvVaw0br0HDq7ZzhId4C7Afnqhc&ust=1508230150459648

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=imgres&cd=&cad=rja&uact=8&ved=0ahUKEwiQ5aGk4fTWAhWEfFAKHZMGAzEQjRwIBw&url=https://www.sabusinessindex.co.za/the-big-factors-that-attract-the-best-freelancers/&psig=AOvVaw0br0HDq7ZzhId4C7Afnqhc&ust=1508230150459648


Eén wet in de hele EU

Data Protection Impact

Assessment (DPIA)

Functionaris gegevensbescherming

Verantwoordelijkheid en accountability

Documentatieplicht

Betekenis AVG voor organisaties

http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjY_9OZ8cXXAhUQblAKHUAtDQwQjRwIBw&url=http://www.ondernemingsraadvu.nl/&psig=AOvVaw0kfCSr6uAtSrV_NbSizJP8&ust=1511017530039145

http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjY_9OZ8cXXAhUQblAKHUAtDQwQjRwIBw&url=http://www.ondernemingsraadvu.nl/&psig=AOvVaw0kfCSr6uAtSrV_NbSizJP8&ust=1511017530039145


• Verwerkingsregister?

• Datalekken

Beleid

Documentatieplicht

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiLgpmlyvfWAhXLI1AKHSWgChMQjRwIBw&url=https://www.pmpartners.nl/tips-tricks-maak-uw-organisatie-tijdig-avg-proof/&psig=AOvVaw2is5_bV6hwfOCRGH0LUo6G&ust=1508327032064624

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiLgpmlyvfWAhXLI1AKHSWgChMQjRwIBw&url=https://www.pmpartners.nl/tips-tricks-maak-uw-organisatie-tijdig-avg-proof/&psig=AOvVaw2is5_bV6hwfOCRGH0LUo6G&ust=1508327032064624


• Verplicht in 3 situaties • Taken:

o Informeren en adviseren

o Toezicht op naleving

Bewustmaking

Opleiding

o DPIA

o Medewerking met AP

Observatie

Bijzondere persoonsgegevens

Overheden en publieke

organisaties

Functionaris voor de gegevensbescherming


Bij hoog privacy risico; met name bij:

Grote schaal

systematisch mensen

volgen in publiek

toegankelijk gebied

Grote schaal

bijzondere

persoonsgegevens

Gegevensbeschermingseffectbeoordeling

Systematisch en uitvoerig

persoonlijke aspecten

evalueren en daar besluiten

op baseren


Crossing borders

• Europese economische ruimte (EER)

• Derde landen

o Adequaat beschermingsniveau

o Passende waarborgen

USA privacy shield (?)

o BCR’s

o Toestemming betrokkene

o Noodzakelijk uitvoering overeenkomst

o Algemeen belang

o Rechtsvordering

Internationaal zakendoen


Transparante informatie

uitoefening van rechten

Recht op verwijdering

(‘Right to be forgotten’)

Informatie bij

verzameling

Recht op beperking

Van de verwerking

Recht van

inzage

Kennisgevingsplicht

rectificatie,

verwijdering,

beperking

Data portabiliteit

Recht op

rectificatie

Rechten van betrokkenen


Verwerkersovereenkomsten


Datalek


Bewustwording

Rechten van betrokkenen

Breng uw gegevensverwerkingen in kaart

DPIA

Aantoonbare privacy by design & default

FG

Meldplicht datalekken

Verwerkersovereenkomsten

Leidende autoriteit

Toestemming

Checklist voorbereiding


Vragen?

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjOzfyWxp3XAhWMCewKHRbuDOwQjRwIBw&url=https://www.fleetmatics.nl/blog/privacy-fleetmanagementsystemen&psig=AOvVaw3lROM1OKKUIFRwAPebLpO4&ust=1509631591133164






Compliance/risk


• Aansturing consultants en systeembeheerders

• Gesprekspartner IT-beleid

Even voorstellen

Geert Rademakers

Head of Operations and Services, ACA IT-Solutions


Welke voorzieningen helpen?

Technische maatregelen omtrent GDPR


• Datalekken

• Cybercriminaliteit – opzettelijk

• Abusievelijk - per ongeluk

• Voorzorgsmaatregelen

• Cloudvraagstukken

Onderwerpen


Vroeger ging het zo…


Tegenwoordig gaat het zo…


• Amerikaanse verkiezingen en Russische invloed

• Edward Snowden demonstreert wat personeel kan doen

• Maersk & APM Terminals

• Heel recent: de Panama Papers

• Heel dichtbij:

• Sint Anna Ziekenhuis

• Gemeente Helmond

Een paar cases…


• Cybercriminaliteit van phishing tot exposure/verstoring/vernieling

• Moedwillige inbraak in systemen, direct/indirect

• Big business: Complete datacenters worden gebouwd

• Internationaal karakter en grote afstanden

Cybercriminaliteit?


• Het verliezen van een USB stick, Portable Harddisk

• Een mail naar de verkeerde geadresseerde

• Een verkeerde attachment

• Reply to All i.p.v. Reply to...

• Een slecht beveiligde website

• Verkeerd afvoeren oude apparatuur

• …

Datalekken zonder opzet…


• Continuïteit

• Imagoschade

• Dataverlies

• Financiële gevolgen

• Irritatie en productiviteitsverlies

Digitale data is zo gemakkelijk deel- en vernietigbaar….

Wat zijn de grote gevaren?


Voorzorgsmaatregelen

• Authorisatie / Authenticatie / Audit

• Encryptie

• Intrusion Prevention & Detection

• Awareness

Hoe kunnen risico’s worden gemeden?


• Autoriseren: De Wat vraag

Wie ?

Wat ?

Wanneer ?

• Authenticatie: De Wie vraag

• Auditing: De Wanneer vraag

Acties


• Bestandsencryptie

• Mail encryptie

• Tunnel encryptie

Data-At-Rest Data-In-Motion

Bovendien: Minimale verwerking en bewaartermijn!

Encryptie


• Perimiter bewaking: Grenzen afschermen

• Firewall diensten

• Realtime controles & Alarmering

• Log controles & Rapportages

• Netwerk, WIFI, 3G/4G en client security 24x7

Intrusion Detection & Prevention


• Techniek alleen is NIET de oplossing

Awareness


Vragen?







Compliance/risk

De mindset van medewerkersDe mens als sterkste schakel

23-11-2017 NextTech Security 2

Even voorstellen…

NextTech Security

Informatiebeveiliging met focus op de mens

Leverancier van bewustwordingsdiensten voor ACA IT-Solutions

Dennie Spreeuwenberg

Security Awareness Specialist

>15 jaar ervaring in Informatiebeveiliging & IT Security

Interactief


Vraag….

10 seconden….

Antwoorden…..

Discussie.....

Groen lampje? Dan heeft u gestemd!

Deelt de man zijn wachtwoord?

1. Ja

2. Nee

3. Bijna


0

U kunt nu stemmen

Multidisciplinaire aanpak

Beleid Techniek Mens


https://www.nexttech.nl/security-awareness-wat-is-het/

Heeft u de laatste 12 maanden te maken gehad met cybercrime?

1. Ja, maar zonder noemenswaardige gevolgen

2. Ja, dit heeft voor de nodige problemen gezorgd

3. Nee


0

U kunt nu stemmen

Heeft u de laatste 12 maanden een Phishingmail in uw inbox gehad ?

1. Ja, maar zonder noemenswaardige gevolgen

2. Ja, dit heeft voor de nodige problemen gezorgd

3. Nee


0

U kunt nu stemmen

E-mail is nog altijd populair bij aanvallers

E-mail is ook in 2017 het meest gebruikte medium om ransomware te verspreiden.

Bron: Cybersecuritybeeld Nederland 2017


Zijn uw medewerkers bewust bezig met Privacy ?

1. Ja

2. Nee

3. Weet ik niet


0

U kunt nu stemmen

Medewerkers regelen zelf online diensten

Hierbij wordt gebruikgemaakt van ICT-oplossingen die niet van de formele weg zijn ingekocht.

Bron: Cybersecuritybeeld Nederland 2017


Burgergegevens?HR dossiers? Cliëntgegevens?

23-11-2017 17

Klantgegevens?

Van HR tot directie

Van financiën tot productieVan verkoop tot inkoopvan . . . . . . .

Rol van de medewerker

NextTech Security

https://www.nexttech.nl/security-awareness-wat-is-het/

Mens is de sterkte schakel:

Kan klantgegevens ook veilig opslaan

Kan USB-drives ook niet verliezen

Kan sterke wachtwoorden gebruiken

Kan zijn werkstation handmatig vergrendelen

Kan ook niet op links in phishingmails klikken

Kan ook zakelijke data niet op persoonlijke media opslaan

Kan zijn verantwoordelijkheden nemen

……


Security Awareness is het antwoord……

Security Awareness is de mate waarin medewerkers bekwaam zijn om informatieveiligheid incidenten te voorkomen en af te wenden. Daarbij is het verantwoordelijkheidsgevoel van medewerkers bij informatiebeveiliging essentieel.


Aanpak

Zorg voor betrokkenheid van management en bestuur

Bepaal programma aan de hand van kennis, cultuur en omvang

Neem de tijd

Benut de kracht van herhaling

Creëer gedragsverandering


Gedragsverandering

Wat

Waarom

Hoe


Wat moet er anders?

Waarom moet dit anders?

Hoe doe ik dit anders?

Ideeën

Vertaal het belang naar medewerkersCommunicatie vanuit bestuur richting organisatie

Creëer draagvlak

Maak een interventie verplicht


Hoe?Interne mail of briefKeynote tijdens bijeenkomstKort filmpjeEtc.

Ideeën

Betrek medewerkersCreëer duidelijkheid over de rol van de medewerker

Geef de medewerker handvatten

Betrek privétoepasbaarheid

Maak het onderwerp bespreekbaar


Hoe?TrainingE-learningPresentatiesPostersEtc.

Ideeën

Creëer ambassadeursZorg voor vertegenwoordigers


Hoe?Geef afdelingshoofden duidelijke doelen (KPI’s)

Betrek medewerkers bij mogelijke acties

23-11-2017 25

Interventies

Workshops E-learning (video leren) Serious Gaming Social Engineering Hybride

Gastlezing Posters Newsflash Phishing quiz Internal notes

NextTech Security

23-11-2017 26

Succesfactoren

Betrokkenheid van directie/bestuurVoorbeeldrolIntroductie door bestuur

In de taal van de medewerkerGeen technische verhalen

AccountableMaak het effect meetbaarZorg voor bewijs

Verplicht onderdeelMaakt het verschil

NextTech Security

Welke wachtwoord is het lastigst te kraken?

1. Dennie1980

2. Woofer123

3. Okt2016

4. Pa@@4f#!&^bvv

5. Eenlangwachtwoordissterker


0

U kunt nu stemmen


Juridisch

Gedrag/mens

IT

Compliance/risk

Hoe bereidt u zich voor op 25 mei 2018?

Ieder bedrijf dient voor 25 mei aan de nieuwe wet voldoen. Verwacht wordt dat u de nodige

maatregelen (technisch, juridisch en beleidsmatig) heeft getroffen om de veiligheid van

data en de privacy voor de betreffende personen te borgen. Voorkom boetes en negatieve

media-aandacht!

Stap 1: Data Privacy GAP-analyse (huidige stand van zaken – vereiste/gewenste situatie)

Stap 2: uitvoering werkzaamheden met als doel compliancy op 25 mei 2018.

ACA IT-Solutions en onze partners beschikken gezamenlijk over alle kennis en ervaring

om u te begeleiden bij de uitrol van GDPR in uw organisatie.

Neem contact op voor een vrijblijvend adviesgesprek:

Maarten de Rooij (IT Business Professional, ACA IT-Solutions)

040-8800100

[email protected]

Conclusies

mailto:[email protected]

Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data ... · Seminar: is uw bedrijf klaar voor...

Documents

Transcript of Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data ... · Seminar: is uw bedrijf klaar voor...