De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

GDPR, andere wetten en datalekken

Verwante presentaties


Presentatie over: "GDPR, andere wetten en datalekken"— Transcript van de presentatie:

1 GDPR, andere wetten en datalekken
Peter van Schelven ZVIO - Goes Rotterdam - 20 september 2017

2 Nieuwe spelregels privacy
Van: Wet bescherming persoonsgegevens (Wbp) Naar: Algemene Verordening Gegevensbescherming (AVG/GDPR) Wanneer: 25 mei 2018

3 In de maak in NL: Uitvoeringswet AVG

4 Trends & Ontwikkelingen
volume van persoonsdata die opgeslagen/verwerkt worden maatschappelijke en economische waarde van data complexiteit van interacties (keten-IT, IoT) meer & nieuwe bedreigingen op privacy range van analytics van personen & groepen globalisering van dataverkeer kring van stakeholders neemt toe privacy inzetten als competitive advantage; trust

5 Beginselen privacy-recht
Collection Limitation Principle Data Quality Principle Purpose Specification Principle Use Limitation Principle Security Safeguards Principle Openness Principle Individual Participation Principle Accountability Principle

6 GDPR: de stand van zaken WatchGuard Technologies (bron: SecurityVandaag.nl)
37% organisaties weet niet of ze aan de GDPR moet voldoen 28% organisaties denkt dat ze niet ‘compliant’ hoeft te zijn 10% organisaties geeft aan nu GDPR-compliant te zijn 90% is nog niet GDPR-compliant 44% weet niet hoe ver zij verwijderd zijn van GDPR- compliancy

7 Nieuw in de GDPR Accountability Registerplicht
Privacy Impact Assessment Verwerkerscontracten Privacy by Design /Default Recht om te worden vergeten Functionaris Gegevensbescherming One shop stop

8 Sancties / handhaving in GDPR
Bestuurlijke boete - € 20 mln./4% jaaromzet - € 10 mln./2% jaaromzet - overheden beboetbaar? - afwentelen op IT-provider? Aansprakelijkheid schade - verantwoordelijke + verwerker - omgekeerde bewijslast - hoofdelijkheid Uitvoeringswet AVG: last onder dwangsom? VS: contractuele afspraken

9 GDPR: veel blijft bij het oude … persoonsgegevens
geïdentificeerde of (direct of indirect) identificeerbaar persoon IP-adressen, relatienummers biometrische gegevens zakelijke contacten pseudonimiseren / versleutelen anonimiseren

10 Verwerken van persoonsgegevens
IT versus wet alle handelingen gedurende de lifecycle van data (van verzamelen, opslag, bewaren tot vernietigen) zelf verwerken of verwerken door een derde?

11 Vuistregels bescherming persoonsgegevens
zorgvuldigheid security is top-prio ! doel + doelbinding dataminimalisatie transparantie + rechten van burgers bewaartermijnen

12 Security-plichten Technisch Organisatorisch Lees- en mutatierechten
Logging Functie-scheiding PIA Verwerkingenregister

13 Datalekken volgens GDPR
Breed begrip datalekken: - inbreuken op beveiliging - ‘op straat’ - interne onrechtmatigheden Meldplicht - toezichthouder: onverwijld, max. 72 uur - betrokken burgers: onverwijld - soms geen meldplicht - maatregelen treffen

14 Wat is een ‘datalek’ volgens de WBP?
“…een inbreuk op de beveiliging … die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” Bedrijf/organisatie moet zelf eigen afweging maken of sprake is van: (a) inbreuk beveiliging (b) ernstige nadelige gevolgen (c) kans op ernstige nadelige gevolgen

15 Voorbeelden ‘datalek’ volgens AP
Inbreuken op de beveiliging volgens eigen spelregels van AP kwijtgeraakte USB-stick gestolen laptop inbraak door een hacker verzending van waarin de adressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden malwarebesmetting (ook ransomware) brand in datacentrum

16 GDPR-definitie Art. 1 definitie: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” Confidentialiteit en Integriteit

17 Nieuw! Voorontwerp Cybersecurity-wet
Juli 2016 NIB-Richtlijn Juni 2017 Voorontwerp Cybersecuritywet Doel: 9 mei 2018 Extra meldplicht voor o.a. AED’s, Cloudproviders en Online marktplaatsen O.a. Nationaal Cyber Security Centre Boete: max. 5 milj. Euro

18 GDPR en ICT-bedrijven Softwaremakers - Secure Software Development
- Privacy by Design - Logging - Maintenance & Support - AP onderzoeksrecht voor software? Hosting, Cloud, Datacenter - verwerkersovereenkomst - contractuele security-eisen - contractuele meldplicht datalekken - contractuele meldplicht security- incidenten - verleggen ‘boete’ van klant (vrijwaring, wanprestatie) - alignment van contracten

19 Hosting + SaaS 1. Categorieën van gegevens 2. Interne acces
3. Kring van derden 4. Hoofdlijnen van security 5. Bewaartermijn/wissen/vernietigen 6. Audit-rechten 7. Instructierechten klant 8. Identity- & accesmanagement 9. Vrijwaring security-inbreuken/ datalekken

20 Protocol meldplicht datalekken
Wat is een datalek? Interne procedures Meldplicht toezichthouder Meldplicht betrokken burger Meldplicht opdrachtgevers Melden overige stakeholders Protocol/draaiboek

21 Verzekeren van kosten meldplichten
Schadeclaims derden Bestuurlijke boete Kosten forensisch onderzoek Kosten van crisismanagement Kosten wettelijke en contractuele meldplicht inbreuk, inclusief achterhalen van betrokken burgers Kosten van ‘disaster recovery’ Kosten klantenservice Kosten verweer externe claims Kosten extra PR Kosten en schade wegens business interruptie Beroepsaansprakelijkheidsverzekering (BAV) Cyberdekking - separate dekking - gekoppeld aan BAV

22 Tot slot “Privacy is not an option, and it shouldn’t be the price we accept for just getting on the Internet.” - Gary Kovacs (ex-CEO AVG) “Data really powers everything that we do.” - Jeff Weiner – CEO LinkedIn


Download ppt "GDPR, andere wetten en datalekken"

Verwante presentaties


Ads door Google