De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

GDPR, andere wetten en datalekken

GepubliceerdPeter de Jong Laatst gewijzigd meer dan 6 jaar geleden

Verwante presentaties

Presentatie over: "GDPR, andere wetten en datalekken"— Transcript van de presentatie:

1 GDPR, andere wetten en datalekken
Peter van Schelven ZVIO - Goes Rotterdam - 20 september 2017

2 Nieuwe spelregels privacy
Van: Wet bescherming persoonsgegevens (Wbp) Naar: Algemene Verordening Gegevensbescherming (AVG/GDPR) Wanneer: 25 mei 2018

3 In de maak in NL: Uitvoeringswet AVG

4 Trends & Ontwikkelingen
volume van persoonsdata die opgeslagen/verwerkt worden maatschappelijke en economische waarde van data complexiteit van interacties (keten-IT, IoT) meer & nieuwe bedreigingen op privacy range van analytics van personen & groepen globalisering van dataverkeer kring van stakeholders neemt toe privacy inzetten als competitive advantage; trust

5 Beginselen privacy-recht
Collection Limitation Principle Data Quality Principle Purpose Specification Principle Use Limitation Principle Security Safeguards Principle Openness Principle Individual Participation Principle Accountability Principle

6 GDPR: de stand van zaken WatchGuard Technologies (bron: SecurityVandaag.nl)
37% organisaties weet niet of ze aan de GDPR moet voldoen 28% organisaties denkt dat ze niet ‘compliant’ hoeft te zijn 10% organisaties geeft aan nu GDPR-compliant te zijn 90% is nog niet GDPR-compliant 44% weet niet hoe ver zij verwijderd zijn van GDPR- compliancy

7 Nieuw in de GDPR Accountability Registerplicht
Privacy Impact Assessment Verwerkerscontracten Privacy by Design /Default Recht om te worden vergeten Functionaris Gegevensbescherming One shop stop

8 Sancties / handhaving in GDPR
Bestuurlijke boete - € 20 mln./4% jaaromzet - € 10 mln./2% jaaromzet - overheden beboetbaar? - afwentelen op IT-provider? Aansprakelijkheid schade - verantwoordelijke + verwerker - omgekeerde bewijslast - hoofdelijkheid Uitvoeringswet AVG: last onder dwangsom? VS: contractuele afspraken

9 GDPR: veel blijft bij het oude … persoonsgegevens
geïdentificeerde of (direct of indirect) identificeerbaar persoon IP-adressen, relatienummers biometrische gegevens zakelijke contacten pseudonimiseren / versleutelen anonimiseren

10 Verwerken van persoonsgegevens
IT versus wet alle handelingen gedurende de lifecycle van data (van verzamelen, opslag, bewaren tot vernietigen) zelf verwerken of verwerken door een derde?

11 Vuistregels bescherming persoonsgegevens
zorgvuldigheid security is top-prio ! doel + doelbinding dataminimalisatie transparantie + rechten van burgers bewaartermijnen

12 Security-plichten Technisch Organisatorisch Lees- en mutatierechten
Logging Functie-scheiding PIA Verwerkingenregister

13 Datalekken volgens GDPR
Breed begrip datalekken: - inbreuken op beveiliging - ‘op straat’ - interne onrechtmatigheden Meldplicht - toezichthouder: onverwijld, max. 72 uur - betrokken burgers: onverwijld - soms geen meldplicht - maatregelen treffen

14 Wat is een ‘datalek’ volgens de WBP?
“…een inbreuk op de beveiliging … die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” Bedrijf/organisatie moet zelf eigen afweging maken of sprake is van: (a) inbreuk beveiliging (b) ernstige nadelige gevolgen (c) kans op ernstige nadelige gevolgen

15 Voorbeelden ‘datalek’ volgens AP
Inbreuken op de beveiliging volgens eigen spelregels van AP kwijtgeraakte USB-stick gestolen laptop inbraak door een hacker verzending van waarin de adressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden malwarebesmetting (ook ransomware) brand in datacentrum

16 GDPR-definitie Art. 1 definitie: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” Confidentialiteit en Integriteit

17 Nieuw! Voorontwerp Cybersecurity-wet
Juli 2016 NIB-Richtlijn Juni 2017 Voorontwerp Cybersecuritywet Doel: 9 mei 2018 Extra meldplicht voor o.a. AED’s, Cloudproviders en Online marktplaatsen O.a. Nationaal Cyber Security Centre Boete: max. 5 milj. Euro

18 GDPR en ICT-bedrijven Softwaremakers - Secure Software Development
- Privacy by Design - Logging - Maintenance & Support - AP onderzoeksrecht voor software? Hosting, Cloud, Datacenter - verwerkersovereenkomst - contractuele security-eisen - contractuele meldplicht datalekken - contractuele meldplicht security- incidenten - verleggen ‘boete’ van klant (vrijwaring, wanprestatie) - alignment van contracten

19 Hosting + SaaS 1. Categorieën van gegevens 2. Interne acces
3. Kring van derden 4. Hoofdlijnen van security 5. Bewaartermijn/wissen/vernietigen 6. Audit-rechten 7. Instructierechten klant 8. Identity- & accesmanagement 9. Vrijwaring security-inbreuken/ datalekken

20 Protocol meldplicht datalekken
Wat is een datalek? Interne procedures Meldplicht toezichthouder Meldplicht betrokken burger Meldplicht opdrachtgevers Melden overige stakeholders Protocol/draaiboek

21 Verzekeren van kosten meldplichten
Schadeclaims derden Bestuurlijke boete Kosten forensisch onderzoek Kosten van crisismanagement Kosten wettelijke en contractuele meldplicht inbreuk, inclusief achterhalen van betrokken burgers Kosten van ‘disaster recovery’ Kosten klantenservice Kosten verweer externe claims Kosten extra PR Kosten en schade wegens business interruptie Beroepsaansprakelijkheidsverzekering (BAV) Cyberdekking - separate dekking - gekoppeld aan BAV

22 Tot slot “Privacy is not an option, and it shouldn’t be the price we accept for just getting on the Internet.” - Gary Kovacs (ex-CEO AVG) “Data really powers everything that we do.” - Jeff Weiner – CEO LinkedIn

Download ppt "GDPR, andere wetten en datalekken"

Verwante presentaties

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Organisatorische gevolgen van de privacywetgeving

Organisatorische gevolgen van de privacywetgeving
Wie beschermt onze privacy?

Wie beschermt onze privacy?
Testdata Management Ketentest

Testdata Management Ketentest
Privacy lezing, arre zuurmond, 3 juli 2007, p.1 Arre Zuurmond, © Zenc, 2007 Privacy en ontwikkelingen De rol van ICT-architectuur.

Privacy lezing, arre zuurmond, 3 juli 2007, p.1 Arre Zuurmond, © Zenc, 2007 Privacy en ontwikkelingen De rol van ICT-architectuur.
Accreditatierichtlijn beveiliging van bestanden

Accreditatierichtlijn beveiliging van bestanden
Datalekken NVVIR FLITS

Datalekken NVVIR FLITS
Aanstaande privacywetgeving

Aanstaande privacywetgeving
PIA vs Big Data Bob Hulsebosch.

PIA vs Big Data Bob Hulsebosch.
Enkele actualiteiten IT & Recht ZVIO Mr. Peter van Schelven 28 januari 2016, Goes.

Enkele actualiteiten IT & Recht ZVIO Mr. Peter van Schelven 28 januari 2016, Goes.
PRIVACY ENHANCING TECHNOLOGIES Sergej Katus Bussum, 22 april 2008 Strategische informatiebeveiliging.

PRIVACY ENHANCING TECHNOLOGIES Sergej Katus Bussum, 22 april 2008 Strategische informatiebeveiliging.
Wet Bescherming Persoonsgegevens

Wet Bescherming Persoonsgegevens
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.

Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Zijn cyberrisico’s verzekerbaar? Clemens Nieuwenstein Maandag 13 juni 2016.

Zijn cyberrisico’s verzekerbaar? Clemens Nieuwenstein Maandag 13 juni 2016.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,

Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.

GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL 2016.  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € 820.000,-  Toezichthouder: Autoriteit Persoonsgegevens.

PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.

Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Gegevensbescherming voor webmasters

Gegevensbescherming voor webmasters
Enkele actualiteiten IT & Recht

Enkele actualiteiten IT & Recht

Verwante presentaties

Ads door Google