geen privacy zonder informatieveiligheid

Slides:



Advertisements
Verwante presentaties
Wet meldcode van kracht!
Advertisements

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Informatiebeveiliging
Beroepsgeheim in de Bijzondere Jeugdbijstand Antwerpen, 14 oktober 2008 Beroepsgeheim: we zwijgen erover?! Axel Liégeois K.U.Leuven – Broeders van Liefde.
Accreditatierichtlijn beveiliging van bestanden
Patientveiligheid: juridische aspecten
Directe Toegang tot Digitale Leermiddelen gebruikersdag 21 juni 2012 Tony Heemskerk.
Huiselijk Geweld en Kindermishandeling
Implementatie Wmo 2015 De Wolden en Hoogeveen
SURF Juridisch normenkader cloudservices
What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.
Huiselijk Geweld en Kindermishandeling
Persoonsgegevens en de Wbp
Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
Privacy Sociaal Domein. Voorstel  Vaststellen kadernotitie gegevensdeling & Privacy.
Privacy en financiële instellingen VCO 5 juni 2007.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Symposium Wet meldcode van kracht! 15 oktober 2013.
Gegevensbescherming voor webmasters
Wet meldcode huiselijk geweld en kindermishandeling
Meld plicht Datalekken
Datacenter versus Cloud
FHI Federatiecongres 20 april 2017.
Privacy… ook voor jou? Informatiebeveiliging en privacy in het mbo
Format Presentatie CISO aan gemeentebestuur
Privacy binnen de Drechtsteden
Bescherming Persoonsgegevens
Privacy binnen de Drechtsteden
INFORMATIEBEVEILIGING EN pRIVACY Borgesiusstichting
Autoriteit Persoonsgegevens Toezicht onder de AVG
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
HR in tijden van GDPR/AVG – 6 februari 2018 – VAC Gent
PRIVACY CONGRES KNRB 20 januari 2018 mr. Arthur van der Hoeff
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
Sportfederatie Den Helder
In 7 stappen uw organisatie klaar voor AVG
INFORMATIEBEVEILIGING EN pRIVACY (IBP) Stichting LeerSaam
Ledenbijeenkomst BTN - NEN 7510
Algemene Verordening Gegevensbescherming
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
Presentatie ‘Privacy & CRM’
AVG Privacy, is het recht om met rust gelaten te worden.
Algemene Verordening Gegevensbescherming youtube
Privacy en Leerplicht/RMC
geen privacy zonder informatieveiligheid
Mr. I.W. van Osch 360|Advocaten
Na vanavond: weet u wat de GDPR inhoudt; weet u wat de GDPR betekent voor uw vereniging en voor uzelf; kunt u aan de slag met het dataregister en.
GDPR/AVG General Data Protection Regulation /
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
INTRO De nieuwe privacy verordening & ons kantoor.
GDPR & niet-journalistieke doeleinden
Privacy Wat moet je weten van de nieuwe privacyverordening
KBO en omgaan met privacy
Handleiding VVLE template verwerkingsregister
Privacy en bescherming persoonsgegevens 2018
Algemene verordening Gegevensbescherming AVG
AVG Crowe Horwath Peak 31 mei 2018 Geert-Jan Krol / IT Advisory
GDPR.
het Naoberhuis Algemene Verordening Gegevensbescherming
IBP en AVG, wat moet wij er op school mee?
Passende technische en organisatorische beveiliging:
Privacy 0-meeting Deze rapportage is interactief gemaakt!
Transcript van de presentatie:

geen privacy zonder informatieveiligheid AVG en meer . . . . geen privacy zonder informatieveiligheid Theater -7 Powered by ActiZ Dinsdag 17 april 15:00 Mandy Lagendijk; WZH en Douwe de Jong AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

informatieveiligheid op orde heeft (NEN 7510 inclusief Wbp) AVG en meer. . . Stelling: Als een organisatie informatieveiligheid op orde heeft (NEN 7510 inclusief Wbp) is de implementatie van de AVG een logisch vervolg? AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Zorg & ICT 2018 - Powered by ActiZ AVG en meer . . . AVG en meer ? Geen privacy zonder informatieveiligheid (IV)! Kwaliteitseisen informatieveiligheid: beschikbaarheid integriteit vertrouwelijkheid/privacy => Maak de AVG praktisch door te benaderen vanuit IV AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Medewerker AP: AVG en meer. . . Maak de AVG niet groter dan het is! (ActiZdag #HuisOpOrde) Kern AVG: veel dezelfde uitgangspunten, rechten, verplichtingen en waarborgen als de Wbp Accenten / extra’s AVG: verantwoordingsplicht! register, datalek, FG na mei 2018 PIA Maak de AVG niet groter dan het is! AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

AP: in 10 stappen voorbereid op AVG AVG en meer. . . AP: in 10 stappen voorbereid op AVG AP: 10 stappenplan AVG NEN 7510 Aanv. / extra Hulp-middelen Prak-tijk 1 Bewustwording 2 Rechten betrokkenen 3 Overzicht verwerkingen 4 PIA 5 Privacy by design / default 6 FG 7 Meldplicht datalekken 8 VWO 10 Toestemming betrokkenen Samenvatting na afloop beschikbaar AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

AP: in 10 stappen voorbereid op AVG AVG en meer. . . AP: in 10 stappen voorbereid op AVG AVG - algemeen NEN 7510 Relatie AVG en NEN 7510: google ‘GDPR ISO27k mapping’ Extra mb AVG Rijksoverheid: Handleiding AVG; vanuit perspectief Wetsvoorstel Uitvoeringswet AVG Hulp-middelen AVG in vogelvlucht; visualisatie op één A4 *) VGN: Factsheet AVG *) Website CIP-overheid: Grip op privacy Website AP: Regelhulp AVG Praktijk WZH Contactgroep IB: elkaar ondersteunen bij IB-taken Indien gewenst op adhoc basis externe / toetsing consultatie *) te vinden op ActiZnetwerk #HuisOpOrde AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Zorg & ICT 2018 - Powered by ActiZ AVG en meer. . . AP: 10-stappenplan AVG Stap 1 – Bewustwording NEN 7510 7.2.2 alle medew periodiek informeren over informatieveiligheid Extra mb AVG Allen: aandacht privacy en datalekken Direct betrokkenen/beleidsmaker: informeren over AVG Hulp-middelen Diverse hulpmiddelen / toolkids leveranciers Zoek in YouTube op Privacywetgeving in de zorg e-L cursus Veilig omgaan met vertrouwelijke informatie Praktijk WZH Medewerkers én vrijwilligers: Algemeen: e-L cursus bewustwording Datalekken: infomail en quiz: ben ik een datalek? Project medewerkers en medewerkers van afdelingen communicatie, P&O, F&C etc. hebben zich specifiek laten informeren door vakspecialisten AP: Compliant zijn met de AVG is 10% juridisch, 10% technisch, en 80% cultuur en gedrag AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Veilig omgaan met vertrouwelijke informatie AVG en meer . . . . 1 - Bewustwording e-Learningcursus Veilig omgaan met vertrouwelijke informatie Algemeen Zorggerelateerd Vertrouwelijke cliëntgegevens Informatieverzoek derden Vertrouwelijke medewerkergegevens Collegiale afstemming Meldt incidenten Sociale media en je werk Mogelijke datalekken Veilig omgaan met IT-middelen Veilig omgaan met wachtwoorden Werken buiten kantoor Veilig mail ontvangen; phising mail Wat te doen bij calamiteiten Veilig mailen op je werk en privé Inf. uitwisseling sociaal domein Wie is verantwoordelijk voor informatieveiligheid? Algemeen: niet betrokken bij zorggerelateerde informatie; vrijwilligers, FD, etc Als e-l (1op1) of beschikbaar voor groepswerk, teamoverleg; Accreditatie V&V Maatwerk mogelijk; ‘zo doen we dat bij ons’. AVG en meer . . . AVG en meer . . . Zorg & ICT 2018 - ActiZPaviljoen Zorg & ICT 2018 - Powered by ActiZ 8

Stap 2 – Rechten betrokkenen AVG en meer. . . AP: 10-stappenplan AVG Stap 2 – Rechten betrokkenen NEN 7510 18.1.4 Privacy en bescherming persoonsgegevens; recht op inzage, correctie en verwijdering Extra mbt AVG Meer en verbeterde privacyrechten; nieuw is dataportabiliteit en klachten naar AP Hulp-middelen Model privacyreglement GGZ *) Website UMCGroningen: privacy statement Praktijk WZH Privacybeleid clienten en medewerkers aangescherpt Beschrijving van de verantwoordelijkheden Gericht op bewustwording Bijlage FAQ: zo doen we dat bij WZH Bijlage procedure overdracht clientdossier Website privacyreglement Toegang tot clientdossier via portal AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Stap 3 – Overzicht verwerkingen AVG en meer. . . AP: 10-stappenplan AVG Stap 3 – Overzicht verwerkingen NEN 7510 8.1.1 inventarisatie BM en 8.2.1 classificatie van informatie Wbp: melden bijzondere geg. i.g.v. geen Vrijstellingsbesluit Extra mb AVG Documentatieplicht; aantoonbaar handelen volgens AVG Geen format (wel schriftelijk); onmiddellijk beschikbaar voor controle door AP Hulp-middelen Vele voorbeelden Register verwerkingen; ook op #HuisOpOrde NVZ: keuzelijsten; opzet vanuit Referentiedomeinen *) BBMCare: I&Cdoc tabel 1 Praktijk WZH Inventarisatie vanuit processen / act. /IT-middelen 1e aanzet 'compleet' maar wel 'elementair'; later indien nodig aanvullen i.v.m. contractbeheer/vwo, risicobeheer/PIA, etc. Vele voorbeeld Verwerkingen wel erg uitgebreid . . .! Praktijk WZH: Compleet: alle registraties in beeld omdat je uitgaat van volledig proces/act overzicht Elementair: meest noodzakelijk; ook benoemd door AP AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Zorg & ICT 2018 - Powered by ActiZ AVG en meer. . . AP: 10-stappenplan AVG BBMCare Inventarisatie en classificatiedoc & register verwerkingen Domein/proces Bedrijfsactiviteit verwerkingsdoeleinde Informatieobject Bedrijfsmiddel (instellingspecifiek) verschijningsvorm Classificatie BIV tbv typering risico’s + verwerkingsgrondslag + betrokken personen + persoonsgegevens + bewaartermijnen etc P&O => sal.adm => salarisinformatie => Exact => GHG AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Stap 4 – Privacy Impact Analyse AVG en meer. . . AP: 10-stappenplan AVG Stap 4 – Privacy Impact Analyse NEN 7510 - Extra mb AVG Na mei 2018 tijdens ontwerpfase en alleen indien nodig . . . o.a. hoog privacyrisico in Verwerkingsregister Hulp-middelen ActiZ: Template Pia-light *) en vele andere zoals NVZ, Norea, . . Aanleiding voor een PIA oa classificatie privacy; zie BBMCare Praktijk WZH Na mei 2018; aanzet al in Register vanuit BIV met privacy-risico's en bev.maatregelen. Wellicht uitwerken in PIA bij iHealth-toepassingen AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Stap 5 -Privacy by design & by default AVG en meer. . . AP: 10-stappenplan AVG Stap 5 -Privacy by design & by default NEN 7510 6.1.5 Informatiebeveiliging in projectbeheer en aanbeveling Richtsnoeren Wbp 18.1.4 Privacy en bescherming pers.geg Extra mb AVG By design: vooral bij nwe ontwikkelingen / dienstverlening By default: alleen verwerking indien noodzakelijk Hulp-middelen - Praktijk WZH By design: conform IBbeleid geregeld; maatregelen o.b.v. classificatie By default: is indirect gevolg van aandacht voor AVG. Bijv: - webformulier, overbodige informatie weglaten - actualiseren privacybeleid, bewustwording, gebruik 'gezond verstand' AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Stap 6 – Functionaris gegevensbescherming AVG en meer. . . AP: 10-stappenplan AVG Stap 6 – Functionaris gegevensbescherming NEN 7510 6.1.1 aanspreekpunt IB gewenst; aanbeveling Richtsnoeren Wbp Extra mb AVG FG toezichthouder op naleving AVG FG houdt register verwerkingen bij Hulp-middelen FG op hoofdlijnen *) NVZ functieprofiel FG Praktijk WZH FG wordt ondersteunt vanuit Contactgroep IB, landelijk netwerk en indien nodig extern. NB FG na mei opnieuw melden bij AP! AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Stap 7 – Meldplicht datalekken AVG en meer. . . AP: 10-stappenplan AVG Stap 7 – Meldplicht datalekken NEN 7510 16 Incidentbeheer aanbeveling versie 2013: informeer betrokkenen . . 2017 aanvulling Wbp meldplicht datalekken Extra mb AVG Meldplicht afgezwakt; accent eigen verantwoordelijkheid. Wel documenteren! Hulp-middelen Diverse protocollen beschikbaar via internet Praktijk WZH WZH Protocol datalekken; registratie in Topdesk Bewustwording! verschil tussen beveiligingsincident en datalek Nooit een datalek? Verdacht! contra-indicatie! Vb verschil? Kahoot! AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Stap 8 - Verwerkersovereenkomst AVG en meer. . . AP: 10-stappenplan AVG Stap 8 - Verwerkersovereenkomst NEN 7510 15.1.2: opnemen bev.aspecten in lev.overeenkomsten Extra mb AVG VWO als aanvulling op bestaande contracten + naleving! Hulp-middelen Zorgbreed BoZ-model VWO *) Div presentatie en toelichting BoZ *) VNG/IBD: Factsheet VWO (mbt sociaal domein) Praktijk WZH Beleid: uitgaan van BOZmodel Weigeraars: melden bij ActiZ en afwachten!? Probleem: afspraken met regionale partijen, vooral gemeentes; regionale initiatieven? AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Stap 10 – Toestemming betrokkenen AVG en meer. . . AP: 10-stappenplan AVG Stap 10 – Toestemming betrokkenen NEN 7510 18.1.4 Privacy en bescherming van persooinsgegevens Extra mb AVG Nadrukkelijker regelen; vooral het intrekken van een toestemming Hulp-middelen Praktijk WZH Ondertekening Zorgleefplan niet altijd voldoende; soms explicieter toestemming nodig. Aandachtspunt intrekken toestemming. ‘Learning on the job’. AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

AP: in 10 stappen voorbereid op AVG Extra inspanning mbt AVG AVG en meer. . . AP: in 10 stappen voorbereid op AVG AP: 10 stappenplan AVG Extra inspanning mbt AVG 1 Bewustwording 2 Rechten betrokkenen ++ 3 Overzicht verwerkingen doorlopend + 4 PIA eventueel later +++ 5 Privacy by design / default effect! + 6 FG 7 Meldplicht datalekken 8 VWO + 10 Toestemming betrokkenen AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

Zorg & ICT 2018 - Powered by ActiZ AVG en meer . . . Maak AVG praktisch door privacy te benaderen vanuit informatieveiligheid Maak AVG niet groter dan het is! privacy-aspecten hier en daar aanscherpen (vooral in het begin en naast de extra’s) AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ

geen privacy zonder informatieveiligheid AVG en meer . . . . geen privacy zonder informatieveiligheid Theater -7 Powered by ActiZ Dinsdag 17 april 15:00 Mandy Lagendijk; WZH mlagendijk@wzh.nl Douwe de Jong info@caresecure.nl AVG en meer . . . Zorg & ICT 2018 - Powered by ActiZ