Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.

Slides:



Advertisements
Verwante presentaties
mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Advertisements

Art. 60 en welzijnwetgeving Werkgroep activering 7 juli 2012.
De juridische kant Hoe zit de uitwisseling van patiëntgegevens juridisch in elkaar; wat mag er wel en wat mag niet? Eric Schreuders Net2Legal Consultants.
Informatiebeveiliging
Hoofdstuk 4 - Systems Onderscheid naar systemen en processen Systemen
Testdata Management Ketentest
Internet beveiliging checklist. Overzicht Wensen Internetgebruik Risico’s Internetgebruik Oorzaken van onveilige situaties Beveiligingsbeleid Checklist.
Kinderen online.
Accreditatierichtlijn beveiliging van bestanden
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Vraag 1) juist/onjuist. De plichten van de patiënt:
Waarom nieuwe privacy richtlijnen?
© de vries business consultancy, 2008
De juridische context van de digitale factuur.
E-Government binnen de sociale zekerheid
SURF Juridisch normenkader cloudservices
NedSecure Consulting Secure Leon Kuunders Principal Security Consultant Woensdag.
What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.
Privacy en het startpunt. Geen convenant Werkinstructie Nadere regels verordening wmo en jeugd.
Information Ethics DE TREND IN TESTEN IS NIET IN TESTEN.
AD Security project 2 ICTPSC02VX/DX George Pluimakers Schooljaar
De Bouwplaats-ID, een goed idee?
Scoring in het licht van de WBP Serge van Nuijs DMSA,
Persoonsgegevens en de Wbp
A Waarde voor het onderwijsproces  Inzet van sociale media maakt onderwijs kwalitatief beter: o Effectiever / Efficiënter / Activerender o Bewuste ingezet,
Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Meldplicht Datalekken
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
Edukoppeling Implementatie aanpak Edustandaard Architectuurraad 23 juni 2016.
1Het begint met een idee DE BEWERKERSOVEREENKOMST: NUT EN NOODZAAK.
Gegevensbescherming voor webmasters
Meld plicht Datalekken
Datacenter versus Cloud
Format Presentatie CISO aan gemeentebestuur
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Bescherming Persoonsgegevens
Privacy binnen de Drechtsteden
Stichting van de Arbeid
Microsoft vs de rest “Wat biedt het Microsoft Cloudplatform en hoe kan dit bijdragen aan veilig, snel en schaalbaar werken binnen elke organisatie.” Thomas.
Juridische aspecten van een webshop
INFORMATIEBEVEILIGING EN pRIVACY Borgesiusstichting
Autoriteit Persoonsgegevens Toezicht onder de AVG
DAGINDELING (Elke sessie duurt ca. 1,5 uur)
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
PRIVACY CONGRES KNRB 20 januari 2018 mr. Arthur van der Hoeff
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
In 7 stappen uw organisatie klaar voor AVG
Beveiliging van de informatie en beveiliging tijdens reizen
Algemene Verordening Gegevensbescherming
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
Presentatie ‘Privacy & CRM’
Wet op de privacy.
Privacy en Leerplicht/RMC
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
7 december 2017 Bedrijfsgeheimen en andere vertrouwelijke informatie in de civiele procedure Vereniging Corporate Litigation – 31 mei 2018 Ruud Hermans.
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
Wet op de privacy.
Wet op de privacy.
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
Algemene verordening Gegevensbescherming AVG
het Naoberhuis Algemene Verordening Gegevensbescherming
IBP en AVG, wat moet wij er op school mee?
Transcript van de presentatie:

Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer

2Privacy AO voor een informatiebeveiliger Onderwerpen n AO van Security Officer (SO) n Kader n Incidenten en vragen n AO Functionaris Gegevensbescherming (FG) n Kader n Incidenten en vragen n Gezamenlijke AO / documenten n Gezamenlijke aanpak n Samenvatting

3Privacy AO voor een informatiebeveiliger AO van SO - Kader n Beleidsdocumenten / Rapportage / “Evidence” n Risico-analyse n “Maatregel” verantwoording n Wetgeving, waar onder de Wbp n Raamwerken n Cobit n Code voor Informatiebeveiliging n Security management proces

4Privacy AO voor een informatiebeveiliger Beveiligingsmaatregelen BeschikbaarheidVertrouwelijkheid Beveiligingseisen INFORMATIEBEVEILIGING Technisch AO van SO – Aspect IB Integriteit Organisatorisch

5Privacy AO voor een informatiebeveiliger AO van SO - Incidenten en vragen n Incidenten: n Tentamenuitslagen op internet n Misbruik van mailing lists n Bestelling op naam van medewerker n Vragen: n Hoe beveilig ik de databaseserver? n Wat is de passwordlengte en -levensduur?

6Privacy AO voor een informatiebeveiliger AO van FG-p - Kader n De Wet bescherming persoonsgegevens n Privacyreglement personeel en studenten n Rolbeschrijving FG-p en betrokken collega’s n Ontwikkelde documenten n Meldingsformulier n Meldingenregister n Notitievel Wbp gesprek n Checklist gesprekken en onderwerpen n Jaarverslag n Promotiepresentatie

7Privacy AO voor een informatiebeveiliger AO van FG – Jaaractiviteiten Initiële activiteiten Volgen Ontwikkelingen

8Privacy AO voor een informatiebeveiliger AO van FG - Incidenten en vragen n Incidenten: n Tentamenuitslagen op internet n Misbruik van mailing lists n Bestelling op naam van medewerker n Vragen: n Mag database naar leverancier? n Wat toont Zoeken medewerker?

9Privacy AO voor een informatiebeveiliger Gezamenlijke documenten n (ICT) Gedragsregels n Bewerkersovereenkomst n Geheimhoudingsverklaring n Bewaartermijnen vs. vernietigingsplicht n Paragraaf beveiligingsmaatregelen op meldingsformulieren n Protocol en checklist cameratoezicht

10Privacy AO voor een informatiebeveiliger Bewerkersovereenkomst De betrokken partijen zullen: alle redelijke maatregelen nemen en in stand houden teneinde de geheimhouding van alle Vertrouwelijke Informatie te waarborgen; geen enkele Vertrouwelijke Informatie aan derden kenbaar maken zonder voorafgaande schriftelijke toestemming van de HU en alle redelijke maatregelen nemen om ervoor te zorgen dat ook diens personeel deze Vertrouwelijke Informatie niet aan derden kenbaar maakt; de Vertrouwelijke Informatie alleen gebruiken of kopiëren -en alle redelijke maatregelen nemen opdat zijn personeel de Vertrouwelijke Informatie alleen gebruikt of kopieert- ten behoeve van de nakoming van zijn verplichtingen aan de HU; de Vertrouwelijke Informatie verwijderen van haar systemen en eventuele door de HU aangeleverde informatiedragers aan de HU retourneren. De verplichtingen zullen ook na beëindiging van de werkzaamheden van kracht blijven.

11Privacy AO voor een informatiebeveiliger Bewerker is ASP: bepalingen 1. Er wordt een formele overeenkomst getekend tussen HU en leverancier betreffende de dienstverlening; 2. Leverancier tekent de geheimhoudingsverklaring, zeker indien het (standaard)contract wat mager is ten opzichte van beveiliging en vertrouwelijkheid; 3. Al het electronische verkeer (inclusief wachtwoord bij inloggen) wordt versleuteld verstuurd tussen werkstation van de gebruiker(s) en server. Dit zou geen bijzondere eis moeten zijn, aangezien het best practice is een webserver van een certificaat te voorzien en het verkeer https plaatsvindt. 4. De applicatie is alleen toegankelijk met een degelijk en persoonlijk wachtwoord voor de gebruiker (de HU standaard: minstens 8 tekens, ten minste 1 cijfer en 1 bijzonder teken). n Afspreken hoe de database na afloop van de werkzaamheden aan de HU beschikbaar gesteld wordt n Verkrijgen van enige zekerheid omtrent de lokale beveiliging van de data bij de leverancier.

12Privacy AO voor een informatiebeveiliger Geheimhoudingsverklaring

13Privacy AO voor een informatiebeveiliger Gezamenlijke documenten n Bewerkersovereenkomst n Geheimhoudingsverklaring n Bewaartermijnen vs. vernietigingsplicht n Paragraaf beveiligingsmaatregelen op meldingsformulieren n Protocol en checklist cameratoezicht

14Privacy AO voor een informatiebeveiliger Extract meldingsformulier

15Privacy AO voor een informatiebeveiliger Gezamenlijke aanpak n Beschikbaarheid privacy reglementen: n Privacyreglement Personeel n Privacyreglement Studenten n Bewaartermijnen in selectielijsten n FG-p en SO als intern toezichthouder; taken: n (Onderhouden meldingenregister) n Controlerende taak n Adviesfunctie

16Privacy AO voor een informatiebeveiliger Conclusie / Samenvatting n De Wbp is één van de normgevende wetten n De Wbp gaat ‘slechts’ over gestructureerde gegevensverzamelingen n Vertrouwelijkheid en privacy “praktisch” gelijk n SO en FG/privacy-functionaris werken aan het zelfde doel n Vooral rolverdeling belangrijk n SO en FG beide geen eigenaar van informatie

17Privacy AO voor een informatiebeveiliger Agenda privacy-promo n Het wettelijke kader n Highlights privacyreglementen n Top 7 tips n Acties?

18Privacy AO voor een informatiebeveiliger Top 7 tips 1. “Verwerk” alleen indien doelgebonden 2. Wijs betrokkenen op privacyreglementen 3. Help bij bewaking van verwerkingen volgens het reglement 4. Verstrekt geen gegevens aan derden 5. Bewaar niet langer dan toegestaan 6. Houdt je wachtwoord geheim 7. Werknemer: geheimhoudingsplicht volgens CAO. Hoe zit het met inhuurkrachten?)

19Privacy AO voor een informatiebeveiliger Meer informatie n Interessante algemene websites: n De verschillende security sites n n n Van de FG-p, Martin Romijn: n Via n Of direct: