Passende technische en organisatorische beveiliging:

Slides:



Advertisements
Verwante presentaties
mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Advertisements

Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
Organisatorische gevolgen van de privacywetgeving
Medisch beroepsgeheim onder druk: trend of toeval?
De eerste 10 Nederlandse grondrechten (bron: Schooltv)
Testdata Management Ketentest
Accreditatierichtlijn beveiliging van bestanden
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
HOREN ZIEN EN SCHRIJVEN
Een zorgsysteem voor betere arbeidsomstandigheden
Aanstaande privacywetgeving
What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.
Information Ethics DE TREND IN TESTEN IS NIET IN TESTEN.
Privacy in het PO Praktisch Organiseren 15 oktober 2015 Hans Versteeg Irene Voskamp.
Scoring in het licht van de WBP Serge van Nuijs DMSA,
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Open data en Wet hergebruik overheidsinformatie Utrecht 29 oktober 2015 Tjeerd Schiphof /
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
Privacy Sociaal Domein. Voorstel  Vaststellen kadernotitie gegevensdeling & Privacy.
Hergebruik|29 oktober 2015 Hergebruik Workshop. Hergebruik| 29 oktober Hergebruik Archiefwet 1995 Artikel 2b. Hergebruik 1. Onder gebruik in de.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
1Het begint met een idee DE BEWERKERSOVEREENKOMST: NUT EN NOODZAAK.
Gegevensbescherming voor webmasters
Gij zult openbaren: privacy en de open overheid
Meld plicht Datalekken
Datacenter versus Cloud
FHI Federatiecongres 20 april 2017.
28 september 2017.
Privacy en Big Data Bart van der Sloot.
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Het nieuwe Europese raamwerk “bescherming persoonsgegevens” in Europa en België/Vlaanderen… Willem Debeuckelaere De Privacyproef – deJuristen Gent 1 juni.
Autoriteit Persoonsgegevens Toezicht onder de AVG
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
De nieuwe rol van de Privacycommissie in de AVG
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
In 7 stappen uw organisatie klaar voor AVG
GEGEVENSBESCHERMING AVG
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
Presentatie ‘Privacy & CRM’
Gegevensbescherming door ondernemers
Algemene Verordening Gegevensbescherming youtube
Algemene verordening gegevensbescherming
Hergebruik van overheidsinformatie
Privacy en Leerplicht/RMC
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
Na vanavond: weet u wat de GDPR inhoudt; weet u wat de GDPR betekent voor uw vereniging en voor uzelf; kunt u aan de slag met het dataregister en.
7 december 2017 Bedrijfsgeheimen en andere vertrouwelijke informatie in de civiele procedure Vereniging Corporate Litigation – 31 mei 2018 Ruud Hermans.
GDPR/AVG General Data Protection Regulation /
Privacy als grondrecht
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
Anti-Doping & Data Protection
GDPR & niet-journalistieke doeleinden
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
KBO en omgaan met privacy
Functionaris Gegevensbescherming a.i Gemeente Katwijk
Privacy en bescherming persoonsgegevens 2018
Algemene verordening Gegevensbescherming AVG
AVG Crowe Horwath Peak 31 mei 2018 Geert-Jan Krol / IT Advisory
GDPR.
Nils Broeckx Advocaat Dewallens & partners
het Naoberhuis Algemene Verordening Gegevensbescherming
Privacy 0-meeting Deze rapportage is interactief gemaakt!
Transcript van de presentatie:

Passende technische en organisatorische beveiliging: van wetgeving naar praktijk (1) Ontwikkeling van techniek vraagt om regulering (2) Het recht loopt altijd achter de feiten aan. Presentatie BVV // 14 juni 2018 // mr. drs. Bram Dirkx

Privacy 1/3 Bescherming tegen de verwerking van persoonsgegevens 8 EVRM Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie Art. 10 Grondwet Lid 1: Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. Lid 2: De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Lid 3: De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens

Privacy 2/3 Algemeen persoonlijkheidsrecht (HR 15 april 1994, NJ 1994, 608) “aan grondrechten als het recht op respect voor het privé- leven, het recht op vrijheid van gedachte, geweten en godsdienst en het recht op vrijheid van meningsuiting ten grondslag liggend algemeen persoonlijkheidsrecht.” Niet voor contractuele afstand vatbaar  nietig op grond van de wet Privacy is geen absoluut recht  afwijken bij wet (in formele zin) In Nederland  bij of krachtens de wet EVRM  noodzakelijkheidstoets bij wet voorzien in een democratische samenleving noodzakelijk …voor de bescherming van de rechten en vrijheden van anderen

Privacy 3/3 Geen absolute rechten Waarborgen Afwegingskader Grondrechten Overheid: veiligheidsdiensten, burgerlijke stand, identificatie etc. Verwerken van persoonsgegevens  regelingen die burgers in hun privésfeer bescherming bieden. Waarborgen Maatschappelijke versus juridische realiteit Rol voor organisaties Van reactief optreden tegen ‘opzet’ naar preventief optreden (eigen verantwoordelijkheid)

Beveiliging naar de letter van ‘de wet’ Passende technische en organisatorische maatregelen (art. 32 AVG) Rekening houdend met: de stand van de techniek  levende verplichting de uitvoeringskosten omvang en financiële mogelijkheden van de organisatie de aard, omvang en context van de verwerking en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen Mogelijke dreigingen Ernst van de gevolgen

Wat is passend? Niet de aller zwaarste beveiligingsmaatregelen, maar passend.. Afwegingskader Security by design (art. 25) In plaats van security-after-the-fact Tijdens ontwerp al rekening houden met security Security by default

Maatregelen die onder meer ‘passend’ zijn.. Volgens de verordening: Pseudonimisering Wet pseudonimisering leerlinggegevens (18 februari 2018) Versleuteling

Technische maatregelen maatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen maatregelen gericht op het tijdig kunnen herstellen van de beschikbaarheid van en de toegang tot persoonsgegevens bij een fysiek of technisch incident het vaststellen van adequate procedures voor het periodiek evalueren van de doeltreffendheid van de genomen veiligheidsmaatregelen

Technische maatregelen pseudonimisering en versleuteling van persoonsgegevens twee factor authenticatie logging firewalls virusscanners software tegen malware-aanvallen software waarschuwing bewaartermijn back-ups

Organisatorische maatregelen Beperking toegang tot persoonsgegevens Noodzakelijk voor uitvoering van de taken / werkzaamheden Geheimhoudingsbeding Boeteclausule niet vergeten Ruimtes waar persoonsgegevens worden bewaard (laten) afsluiten Papieren dossiers in afgesloten kasten Privacybeleid (art. 47 AVG) Protocol vaststellen en toezicht op het protocol (art. 47 AVG)

Aandachtspunten Let op verwerkersovereenkomsten Protocol Beveiligingsniveau moet minimaal uw niveau hebben 28 lid 3 onder c AVG  passende technische en organisatorische beveiliging bij werkgever Protocol Art. 58 lid 3 onder e AVG  goedkeuring toezichthouder

Datalekken (art. 33 + 34 AVG) Meeste maatregelen preventief, meldplicht datalekken reactief Melden bij toezichthouder binnen 72 uur, tenzij zeer beperkt risico voor betrokkene Afwegingskader Ook verwerker heeft meldplicht (aan verwerkingsverantwoordelijke) Niet melden bij betrokkene, tenzij het waarschijnlijk is dat het datalek een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen Datalek opnemen in register Bewaartermijn  1 jaar (richtlijn) Toezichthouder kan controleren

Standaarden Kies voor standaarden  certificering ISO 27000  Beveiliging fin. informatie, IE, werkn., persoonsgegevens ISO 27001  maatregelen, processen, procedures ISO 27002  implementatie richtlijnen ISO 27007  uitvoeren van een audit Belangrijk in het kader van een verwerkersovereenkomst Investeren in awareness is de beste investering als het om gegevensbeveiliging gaat NEN 7510/12/13  zorg

Conclusie Recht ‘loopt’ altijd achter de feiten aan. Wetgever beseft zich dat terdege, dus levende verplichting voor bedrijven Uitgangspunten: Stand van de techniek Passend Verantwoording Passende technische en organisatorische maatregelen voldoende? Juridisch antwoord VS feitelijk antwoord

Bronvermelding afbeelding https://www.newscientist.com/article/mg23130862 -900-marconi-forged-todays-interconnected- world-of-communication/