GDPR, andere wetten en datalekken

Slides:



Advertisements
Verwante presentaties
mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Advertisements

Organisatorische gevolgen van de privacywetgeving
Wie beschermt onze privacy?
Testdata Management Ketentest
Privacy lezing, arre zuurmond, 3 juli 2007, p.1 Arre Zuurmond, © Zenc, 2007 Privacy en ontwikkelingen De rol van ICT-architectuur.
Accreditatierichtlijn beveiliging van bestanden
Datalekken NVVIR FLITS
Aanstaande privacywetgeving
PIA vs Big Data Bob Hulsebosch.
Enkele actualiteiten IT & Recht ZVIO Mr. Peter van Schelven 28 januari 2016, Goes.
PRIVACY ENHANCING TECHNOLOGIES Sergej Katus Bussum, 22 april 2008 Strategische informatiebeveiliging.
Wet Bescherming Persoonsgegevens
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Zijn cyberrisico’s verzekerbaar? Clemens Nieuwenstein Maandag 13 juni 2016.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Gegevensbescherming voor webmasters
Enkele actualiteiten IT & Recht
Gij zult openbaren: privacy en de open overheid
Meld plicht Datalekken
Datacenter versus Cloud
FHI Federatiecongres 20 april 2017.
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Microsoft vs de rest “Wat biedt het Microsoft Cloudplatform en hoe kan dit bijdragen aan veilig, snel en schaalbaar werken binnen elke organisatie.” Thomas.
Autoriteit Persoonsgegevens Toezicht onder de AVG
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
PRIVACY CONGRES KNRB 20 januari 2018 mr. Arthur van der Hoeff
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
In 7 stappen uw organisatie klaar voor AVG
De algemene verordening gegevensverwerking AVG
GEGEVENSBESCHERMING AVG
Algemene Verordening Gegevensbescherming
Welkom Wim Behage Commercieel Directeur Accent Automatisering 50 jaar
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
Presentatie ‘Privacy & CRM’
Gegevensbescherming door ondernemers
AVG Privacy, is het recht om met rust gelaten te worden.
Algemene Verordening Gegevensbescherming youtube
Mw. mr. S. (Sanne) Kleerebezem
Algemene Verordening Gegegevensbescherming (AVG)
Privacy en Leerplicht/RMC
geen privacy zonder informatieveiligheid
Privacy bij Vrijwilligersorganisaties
HET SURINAAMS PERSPECTIEF
Mr. I.W. van Osch 360|Advocaten
Na vanavond: weet u wat de GDPR inhoudt; weet u wat de GDPR betekent voor uw vereniging en voor uzelf; kunt u aan de slag met het dataregister en.
GDPR/AVG General Data Protection Regulation /
Gemeente Nieuwkoop - Bechtle
Informatiebijeenkomst door Parochies en Caritasinstellingen
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
INTRO De nieuwe privacy verordening & ons kantoor.
GDPR & niet-journalistieke doeleinden
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
Handleiding VVLE template verwerkingsregister
Privacy en bescherming persoonsgegevens 2018
Algemene verordening Gegevensbescherming AVG
AVG Crowe Horwath Peak 31 mei 2018 Geert-Jan Krol / IT Advisory
GDPR.
Wim Van Holder.
Informatiebeveiliging- en privacybeleid
het Naoberhuis Algemene Verordening Gegevensbescherming
Welkom MKB Groeit! 1 August 2019.
IBP en AVG, wat moet wij er op school mee?
Passende technische en organisatorische beveiliging:
Transcript van de presentatie:

GDPR, andere wetten en datalekken Peter van Schelven ZVIO - Goes Rotterdam - 20 september 2017

Nieuwe spelregels privacy Van: Wet bescherming persoonsgegevens (Wbp) Naar: Algemene Verordening Gegevensbescherming (AVG/GDPR) Wanneer: 25 mei 2018

In de maak in NL: Uitvoeringswet AVG

Trends & Ontwikkelingen volume van persoonsdata die opgeslagen/verwerkt worden maatschappelijke en economische waarde van data complexiteit van interacties (keten-IT, IoT) meer & nieuwe bedreigingen op privacy range van analytics van personen & groepen globalisering van dataverkeer kring van stakeholders neemt toe privacy inzetten als competitive advantage; trust

Beginselen privacy-recht Collection Limitation Principle Data Quality Principle Purpose Specification Principle Use Limitation Principle Security Safeguards Principle Openness Principle Individual Participation Principle Accountability Principle

GDPR: de stand van zaken WatchGuard Technologies (bron: SecurityVandaag.nl) 37% organisaties weet niet of ze aan de GDPR moet voldoen 28% organisaties denkt dat ze niet ‘compliant’ hoeft te zijn 10% organisaties geeft aan nu GDPR-compliant te zijn 90% is nog niet GDPR-compliant 44% weet niet hoe ver zij verwijderd zijn van GDPR- compliancy

Nieuw in de GDPR Accountability Registerplicht Privacy Impact Assessment Verwerkerscontracten Privacy by Design /Default Recht om te worden vergeten Functionaris Gegevensbescherming One shop stop

Sancties / handhaving in GDPR Bestuurlijke boete - € 20 mln./4% jaaromzet - € 10 mln./2% jaaromzet - overheden beboetbaar? - afwentelen op IT-provider? Aansprakelijkheid schade - verantwoordelijke + verwerker - omgekeerde bewijslast - hoofdelijkheid Uitvoeringswet AVG: last onder dwangsom? VS: contractuele afspraken

GDPR: veel blijft bij het oude … persoonsgegevens geïdentificeerde of (direct of indirect) identificeerbaar persoon IP-adressen, relatienummers biometrische gegevens zakelijke contacten pseudonimiseren / versleutelen anonimiseren

Verwerken van persoonsgegevens IT versus wet alle handelingen gedurende de lifecycle van data (van verzamelen, opslag, bewaren tot vernietigen) zelf verwerken of verwerken door een derde?

Vuistregels bescherming persoonsgegevens zorgvuldigheid security is top-prio ! doel + doelbinding dataminimalisatie transparantie + rechten van burgers bewaartermijnen

Security-plichten Technisch Organisatorisch Lees- en mutatierechten Logging Functie-scheiding PIA Verwerkingenregister

Datalekken volgens GDPR Breed begrip datalekken: - inbreuken op beveiliging - ‘op straat’ - interne onrechtmatigheden Meldplicht - toezichthouder: onverwijld, max. 72 uur - betrokken burgers: onverwijld - soms geen meldplicht - maatregelen treffen

Wat is een ‘datalek’ volgens de WBP? “…een inbreuk op de beveiliging … die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” Bedrijf/organisatie moet zelf eigen afweging maken of sprake is van: (a) inbreuk beveiliging (b) ernstige nadelige gevolgen (c) kans op ernstige nadelige gevolgen

Voorbeelden ‘datalek’ volgens AP Inbreuken op de beveiliging volgens eigen spelregels van AP kwijtgeraakte USB-stick gestolen laptop inbraak door een hacker verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden malwarebesmetting (ook ransomware) brand in datacentrum

GDPR-definitie Art. 1 definitie: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” Confidentialiteit en Integriteit

Nieuw! Voorontwerp Cybersecurity-wet Juli 2016 NIB-Richtlijn Juni 2017 Voorontwerp Cybersecuritywet Doel: 9 mei 2018 Extra meldplicht voor o.a. AED’s, Cloudproviders en Online marktplaatsen O.a. Nationaal Cyber Security Centre Boete: max. 5 milj. Euro

GDPR en ICT-bedrijven Softwaremakers - Secure Software Development - Privacy by Design - Logging - Maintenance & Support - AP onderzoeksrecht voor software? Hosting, Cloud, Datacenter - verwerkersovereenkomst - contractuele security-eisen - contractuele meldplicht datalekken - contractuele meldplicht security- incidenten - verleggen ‘boete’ van klant (vrijwaring, wanprestatie) - alignment van contracten

Hosting + SaaS 1. Categorieën van gegevens 2. Interne acces 3. Kring van derden 4. Hoofdlijnen van security 5. Bewaartermijn/wissen/vernietigen 6. Audit-rechten 7. Instructierechten klant 8. Identity- & accesmanagement 9. Vrijwaring security-inbreuken/ datalekken

Protocol meldplicht datalekken Wat is een datalek? Interne procedures Meldplicht toezichthouder Meldplicht betrokken burger Meldplicht opdrachtgevers Melden overige stakeholders Protocol/draaiboek

Verzekeren van kosten meldplichten Schadeclaims derden Bestuurlijke boete Kosten forensisch onderzoek Kosten van crisismanagement Kosten wettelijke en contractuele meldplicht inbreuk, inclusief achterhalen van betrokken burgers Kosten van ‘disaster recovery’ Kosten klantenservice Kosten verweer externe claims Kosten extra PR Kosten en schade wegens business interruptie Beroepsaansprakelijkheidsverzekering (BAV) Cyberdekking - separate dekking - gekoppeld aan BAV

Tot slot “Privacy is not an option, and it shouldn’t be the price we accept for just getting on the Internet.” - Gary Kovacs (ex-CEO AVG) “Data really powers everything that we do.” - Jeff Weiner – CEO LinkedIn