Testimonial Kruispuntbank Sociale Zekerheid

Slides:



Advertisements
Verwante presentaties
Wet meldcode van kracht!
Advertisements

Privacywetgeving - toegang tot het schooldossier
SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Aan deze presentatie kunnen geen rechten worden ontleend Gegevensbescherming CQI-metingen 16 september 2010 CKZ mr Alexander J.J.T. Singewald © Singewald.
Testdata Management Ketentest
Interpretatie van artikel 12 ARBIS Beheer van wijzigingen VAN WONTERGHEM Frederik - FANC VAN DEN BERGHE Yves - Bel V.
Collectieve en Individuele valbeveiliging
Hoofdstuk 7 Procesmanagement.
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Vrijheid van vestiging
Powerpoint template Gemeente Maasdriel.
Introductie OHSAS
What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.
Wetgeving digitale overheid (GDI)
Persoonsgegevens en de Wbp
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Infosessie MAP versie Wijzigingen procedure MAP Gebruik van de nieuwe risicoanalyse.
Gij zult openbaren: privacy en de open overheid
BASISVEILIGHEID (VCA)
Wet meldcode huiselijk geweld en kindermishandeling
FHI Federatiecongres 20 april 2017.
Financiële rechtmatigheid
28 september 2017.
Het eHealth-platform ICT InfoDay 2 maart 2011
Privacy binnen de Drechtsteden
Bescherming Persoonsgegevens
Privacy binnen de Drechtsteden
Stichting van de Arbeid
Microsoft vs de rest “Wat biedt het Microsoft Cloudplatform en hoe kan dit bijdragen aan veilig, snel en schaalbaar werken binnen elke organisatie.” Thomas.

Autoriteit Persoonsgegevens Toezicht onder de AVG
DAGINDELING (Elke sessie duurt ca. 1,5 uur)
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
HR in tijden van GDPR/AVG – 6 februari 2018 – VAC Gent
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
De Wiekslag werkt samen aan veiligheid
De Algemene Verordening Gegevensbescherming, in het bijzonder de gegevensbeschermingseffectbeoordeling.
Risicoanalyse … waarom?
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
College Privacy & Gegevensbescherming
Presentatie ‘Privacy & CRM’
Algemene Verordening Gegevensbescherming youtube
GDPR of AVG en tandartsen: wat moet er gebeuren ?
Studiedag Veilig organiseren van sportieve evenementen Overijse - 1 februari
Privacy en Leerplicht/RMC
Wet op de gegevensbescherming
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
Na vanavond: weet u wat de GDPR inhoudt; weet u wat de GDPR betekent voor uw vereniging en voor uzelf; kunt u aan de slag met het dataregister en.
GDPR/AVG General Data Protection Regulation /
De nieuwe privacyverordening
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
Anti-Doping & Data Protection
De GDPR en journalistiek
Risicoanalyse … waarom?
Bevoegdheden IVC – kamer Sociale Zekerheid en Gezondheid
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
Handleiding VVLE template verwerkingsregister
De GDPR en journalistiek
Privacy en bescherming persoonsgegevens 2018
Algemene verordening Gegevensbescherming AVG
DE AVG EN DE RECHTEN VAN DE BETROKKENE - RECHT VAN TOEGANG
Nils Broeckx Advocaat Dewallens & partners
het Naoberhuis Algemene Verordening Gegevensbescherming
Passende technische en organisatorische beveiliging:
Risicoanalyse … waarom?
« Noodzaak is de moeder van de uitvindingen»
Transcript van de presentatie:

Testimonial Kruispuntbank Sociale Zekerheid Hoe worden persoonsgegevens gecategoriseerd ? Hoe geschiedt de Gegevensbeschermingseffectbeoordeling (GEB) ?

Gegevenscategorisering

Gegevenscategorisering bij ISZ Minimale normen geldend voor hele sociale sector, gestoeld op ISO 27001 zie https://www.ksz-bcss.fgov.be/nl/veiligheid-en-privacy/publicaties/minimale-normen Norm 5.5.1 handelt over data classificatie en bevat volgende verplichtingen voorziene bescherming of classificatie van informatie toepassen inclusief bijhorende informatieveiligheid- en privacy-maatregelen volgens een intern classificatieschema dat in lijn is met de specifieke wetgeving terzake alsook met de internationale regelgeving gepaste procedures en registers opstellen, valideren, implementeren, communiceren en onderhouden voor het labelen (etiketteren) en voor het verwerken van alle in beheer zijnde informatieverzamelingen, informatiedragers en informatiesystemen in overeenstemming met het interne classificatieschema. de regel toepassen dat de classificatie die door de soort informatie bepaald wordt ook geldt voor het hogere niveau van informatiesystemen, dat wil zeggen dat, indien een systeem geheime informatie verwerkt, het hele systeem als geheim wordt aangemerkt, tenzij voor dat hogere niveau maatregelen genomen zijn binnen het informatiesysteem. alle classificaties van alle kritieke systemen moeten centraal vastgelegd worden door de eigenaren alle classificaties van alle kritische systemen moeten jaarlijks gecontroleerd worden door de informatieveiligheidsconsulent (CISO) en/of de functionaris voor gegevensbescherming (DPO) de controlemaatregelen afstemmen op de risico’s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van de te nemen maatregelen 06/11/2018

Dataclassificatie: 5 niveau’s Niveau 4 zeer geheim (top secret ) gegevens, materiaal, technologieën, … waarvan de kennis of het gebruik de werking van Europa of België ernstig in gevaar brengt omwille van de coherentie met de positie van de instellingen binnen Europa en België wordt dit classificatieniveau niet gebruikt in de instellingen van de sociale zekerheid Niveau 3: geheim (secret – high classified) ongepast gebruik van de informatie kan een van de essentiële belangen van de instelling ernstig schaden heeft een impact op de privacyrechten van een significante groep van mensen Niveau 2: vertrouwelijk (classified) kan één van de belangen van de instelling schaden of haar werking in gevaar brengen heeft een impact op de privacyrechten van een groep van mensen of van kwetsbare personen en/of kinderen Niveau 1: beperkt (sensitive unclassified) kan een belang van een dienst schaden of het functioneren van een ambtenaar of een groep personen in het kader van hun functie binnen de instelling in gevaar brengen heeft een impact is op de privacyrechten van een (percentagegewijs) beperkte groep van mensen of van een individuele persoon Niveau 0: niet geklasseerd (unclassified) informatie mag zonder probleem verspreid mag worden omdat het niet het belang van de instelling, een dienst of het functioneren van een ambtenaar of een groep personen in het kader van hun functie binnen de instelling in gevaar brengt 06/11/2018

Mapping van persoonsgegevens naar classificatieniveau 06/11/2018

Praktische tips De (verwerkings)verantwoordelijke van de informatie bepaalt het classificatieniveau op basis van wettelijke bepalingen of impactanalyse bepaalt wie toegang krijgt tot de informatie ten laatste op het moment van het verkrijgen of creëren van de informatie Bepaal het classificatieniveau op basis van een realistische riszico-analyse werkbaarheid en operationele kost zijn ook belangrijk Het object van classificatie is informatie de classificatie draagt door op de systemen waarop de informatie bewaard wordt en deze moeten dus de juiste garanties bieden om de gegevens te beschermen impact kan beperkt worden voor informatie op zelfde systeem met lagere classificatie indien er bijkomende maatregelen voor informatie met hogere classificatie worden genomen (bv. encryptie op cloud systemen) 06/11/2018

Hulpmiddelen binnen de sociale sector Uniek dossier beschrijving van de gegevenssets gebruikt in toepassingen, de doeleinden van verwerking, de betrokkenen, de toegangsgerechtigden, … bepalen van het authenticatieniveau bepaling van de loggings in systeem van cirkels van vertrouwen Informatieveiligheidscomité geeft beraadslaging met normatieve kracht over uitwisseling van gegevens bepaalt minimale middelen voor veilige verwerking van gegevens Basisdiensten ter ondersteuning van de ISZ FAS biedt authenticatiemiddelen van verschillende niveaus aan vercijfering logging 06/11/2018

Gegevensbeschermingseffectbeoordeling (GEB)

GEB-proces: ondersteunende template https://www.ksz-bcss.fgov.be/nl/veiligheid-en-privacy/general-data-protection-regulation 06/11/2018

Is GEB nodig ? - Basis screening Basis screening kan worden uitgevoerd op basis van een template Basis screening in template is gebaseerd op verschillende criteria artikel 35 AVG wanneer een soort van verwerking waarschijnlijk resulteert in een hoog risico voor de rechten en vrijheden van natuurlijk (overweging 75 AVG) aanbeveling uit eigen beweging van de CBPL m.b.t. gegevens-beschermingseffectbeoordeling en voorafgaande raadpleging (CO-AR -2018-001) Werkgroep Artikel 29: richtsnoeren voor gegevensbeschermings-effectbeoordelingen Vuistregel: zodra 2 risico’s uit template zich voordoen is een GEB noodzakelijk 06/11/2018

GEB-proces Eens een GEB nodig is, maak je een risicoanalyse van je verwerking je toetst je verwerking aan de lijst met risico’s je raadpleegt daarbij de betrokkenen Je bepaalt vervolgens de maatregelen die je kunt nemen om de risico’s op te vangen Wanneer de maatregelen genomen werden, bekijk je de overblijvende risico’s Wanneer de overblijvende risico’s aanvaardbaar zijn, ben je klaar Wanneer de overblijvende risico’s hoog zijn, is er voorafgaand advies van de GBA nodig alvorens de verwerking kan starten 06/11/2018

Raadplegen van de betrokkenen Alhoewel de AVG het raadplegen van de betrokkenen niet in alle gevallen verplicht, meent de WP Article 29 dat dit de regel is en dat niet-raadpleging moet gemotiveerd worden Je kunt de betrokkenen rechtstreeks raaplegen wanneer er niet te veel zijn (bvb. eigen personeel) Je kunt representatieve organisaties raadplegen wanneer er veel betrokkenen zijn, bvb. patiënten-, consumenten-, werknemers- of werkgeversorganisaties Het volgen van de opinie van de betrokkenen is niet verplicht mits motivering 06/11/2018

Template: lijst met risico’s gebaseerd op AVG 06/11/2018

Template: beoordelen van risico’s 06/11/2018

Template: tussentijds resultaat 06/11/2018

Template: tussentijds resultaat 06/11/2018

Template: inbrengen van maatregelen 06/11/2018

Template: eindresultaat 06/11/2018

Template: eindresultaat 06/11/2018

Template: eindresultaat Resultaat van GEB = (berekend) overblijvend risico voor de voorgenomen verwerking Als het resultaat in het rood gaat => advies van GBA alvorens verwerking te starten 06/11/2018

GEB: documentatie Werkgroep Artikel 29: richtsnoeren voor gegevensbeschermingseffect-beoordelingen en bepaling of een verwerking ‘waarschijnlijk een hoog risico inhoudt’ in de zin van Verordening 2016/679 (1) B: aanbeveling uit eigen beweging met betrekking tot de gegevensbeschermingseffectbeoordeling (2) zie https://www.gegevensbeschermingsautoriteit.be/gegevensbeschermingseffectbeoordeling-0, onderaan links UK: conducting privacy impact assessments code of practice, Information Commissioner’s Office (ICO), 2014 (1) (2) 06/11/2018