Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdPeter de Jong Laatst gewijzigd meer dan 6 jaar geleden
1
GDPR, andere wetten en datalekken
Peter van Schelven ZVIO - Goes Rotterdam - 20 september 2017
2
Nieuwe spelregels privacy
Van: Wet bescherming persoonsgegevens (Wbp) Naar: Algemene Verordening Gegevensbescherming (AVG/GDPR) Wanneer: 25 mei 2018
3
In de maak in NL: Uitvoeringswet AVG
4
Trends & Ontwikkelingen
volume van persoonsdata die opgeslagen/verwerkt worden maatschappelijke en economische waarde van data complexiteit van interacties (keten-IT, IoT) meer & nieuwe bedreigingen op privacy range van analytics van personen & groepen globalisering van dataverkeer kring van stakeholders neemt toe privacy inzetten als competitive advantage; trust
5
Beginselen privacy-recht
Collection Limitation Principle Data Quality Principle Purpose Specification Principle Use Limitation Principle Security Safeguards Principle Openness Principle Individual Participation Principle Accountability Principle
6
GDPR: de stand van zaken WatchGuard Technologies (bron: SecurityVandaag.nl)
37% organisaties weet niet of ze aan de GDPR moet voldoen 28% organisaties denkt dat ze niet ‘compliant’ hoeft te zijn 10% organisaties geeft aan nu GDPR-compliant te zijn 90% is nog niet GDPR-compliant 44% weet niet hoe ver zij verwijderd zijn van GDPR- compliancy
7
Nieuw in de GDPR Accountability Registerplicht
Privacy Impact Assessment Verwerkerscontracten Privacy by Design /Default Recht om te worden vergeten Functionaris Gegevensbescherming One shop stop
8
Sancties / handhaving in GDPR
Bestuurlijke boete - € 20 mln./4% jaaromzet - € 10 mln./2% jaaromzet - overheden beboetbaar? - afwentelen op IT-provider? Aansprakelijkheid schade - verantwoordelijke + verwerker - omgekeerde bewijslast - hoofdelijkheid Uitvoeringswet AVG: last onder dwangsom? VS: contractuele afspraken
9
GDPR: veel blijft bij het oude … persoonsgegevens
geïdentificeerde of (direct of indirect) identificeerbaar persoon IP-adressen, relatienummers biometrische gegevens zakelijke contacten pseudonimiseren / versleutelen anonimiseren
10
Verwerken van persoonsgegevens
IT versus wet alle handelingen gedurende de lifecycle van data (van verzamelen, opslag, bewaren tot vernietigen) zelf verwerken of verwerken door een derde?
11
Vuistregels bescherming persoonsgegevens
zorgvuldigheid security is top-prio ! doel + doelbinding dataminimalisatie transparantie + rechten van burgers bewaartermijnen
12
Security-plichten Technisch Organisatorisch Lees- en mutatierechten
Logging Functie-scheiding PIA Verwerkingenregister
13
Datalekken volgens GDPR
Breed begrip datalekken: - inbreuken op beveiliging - ‘op straat’ - interne onrechtmatigheden Meldplicht - toezichthouder: onverwijld, max. 72 uur - betrokken burgers: onverwijld - soms geen meldplicht - maatregelen treffen
14
Wat is een ‘datalek’ volgens de WBP?
“…een inbreuk op de beveiliging … die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” Bedrijf/organisatie moet zelf eigen afweging maken of sprake is van: (a) inbreuk beveiliging (b) ernstige nadelige gevolgen (c) kans op ernstige nadelige gevolgen
15
Voorbeelden ‘datalek’ volgens AP
Inbreuken op de beveiliging volgens eigen spelregels van AP kwijtgeraakte USB-stick gestolen laptop inbraak door een hacker verzending van waarin de adressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden malwarebesmetting (ook ransomware) brand in datacentrum
16
GDPR-definitie Art. 1 definitie: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” Confidentialiteit en Integriteit
17
Nieuw! Voorontwerp Cybersecurity-wet
Juli 2016 NIB-Richtlijn Juni 2017 Voorontwerp Cybersecuritywet Doel: 9 mei 2018 Extra meldplicht voor o.a. AED’s, Cloudproviders en Online marktplaatsen O.a. Nationaal Cyber Security Centre Boete: max. 5 milj. Euro
18
GDPR en ICT-bedrijven Softwaremakers - Secure Software Development
- Privacy by Design - Logging - Maintenance & Support - AP onderzoeksrecht voor software? Hosting, Cloud, Datacenter - verwerkersovereenkomst - contractuele security-eisen - contractuele meldplicht datalekken - contractuele meldplicht security- incidenten - verleggen ‘boete’ van klant (vrijwaring, wanprestatie) - alignment van contracten
19
Hosting + SaaS 1. Categorieën van gegevens 2. Interne acces
3. Kring van derden 4. Hoofdlijnen van security 5. Bewaartermijn/wissen/vernietigen 6. Audit-rechten 7. Instructierechten klant 8. Identity- & accesmanagement 9. Vrijwaring security-inbreuken/ datalekken
20
Protocol meldplicht datalekken
Wat is een datalek? Interne procedures Meldplicht toezichthouder Meldplicht betrokken burger Meldplicht opdrachtgevers Melden overige stakeholders Protocol/draaiboek
21
Verzekeren van kosten meldplichten
Schadeclaims derden Bestuurlijke boete Kosten forensisch onderzoek Kosten van crisismanagement Kosten wettelijke en contractuele meldplicht inbreuk, inclusief achterhalen van betrokken burgers Kosten van ‘disaster recovery’ Kosten klantenservice Kosten verweer externe claims Kosten extra PR Kosten en schade wegens business interruptie Beroepsaansprakelijkheidsverzekering (BAV) Cyberdekking - separate dekking - gekoppeld aan BAV
22
Tot slot “Privacy is not an option, and it shouldn’t be the price we accept for just getting on the Internet.” - Gary Kovacs (ex-CEO AVG) “Data really powers everything that we do.” - Jeff Weiner – CEO LinkedIn
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.