De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Astrid Gobardhan Advocaat/DPO NIBC Bank N.V.

GepubliceerdΕυπραξία Μαυρίδης Laatst gewijzigd meer dan 5 jaar geleden

Verwante presentaties

Presentatie over: "Astrid Gobardhan Advocaat/DPO NIBC Bank N.V."— Transcript van de presentatie:

1 Astrid Gobardhan Advocaat/DPO NIBC Bank N.V.
De Data Protection Officer Astrid Gobardhan Advocaat/DPO NIBC Bank N.V. November 2017

2 The information given is confidential and is not to be circulated to any person or entity without the consent of NIBC Bank N.V. (“NIBC”). The information and opinions presented here have been obtained or derived from sources believed by NIBC to be reliable at the date of publication of this report. No representations are made as to their accuracy or completeness and they are subject to change without notice. NIBC accepts no liability for loss arising from the use of the figures presented. The presentation and/or the information and opinions presented are not to be relied upon in substitution for the exercise of independent judgement.

3 Inhoud Bewerkersovereenkomst Elementaire aandachtspunten PIA

4 BEWERKERSOVEREENKOMST

5 BEWERKERSOVEREENKOMST
Bij inschakeling van derden schrijft de wet voor dat afspraken met de bewerker contractueel zijn vastgelegd. De verantwoordelijke blijft ook bij uitbesteding verantwoordelijk voor de verwerking van persoonsgegevens. Het is dus noodzakelijk om veel aandacht te besteden aan het bewerkerscontract. Contractuele vastlegging kan ook als onderdeel van de hoofdovereenkomst. Een bewerkersovereenkomst is echter gebruikelijk. Algemene aspecten Is de contractant bewerker of (mede) verantwoordelijke (WP 169); Is er een contract met de bewerker; Is het contract mede specifiek gericht op de verwerking van persoonsgegevens; Is het de bewerker toegestaan gegevens te bewaren of gebruiken voor eigen doeleinden (bewijsdoeleinden of commerciële doeleinden, zoals big data onderzoek) zodat hij daarvoor verantwoordelijke wordt; Bevindt de bewerker zich binnen de EER; Maakt de bewerker deel uit van een organisatie die beschikt over goedgekeurde Binding Corporate Rules voor bewerkers (WP 204 revised);

6 BEWERKERSOVEREENKOMST
Is de bewerker US Privacy Shield gecertificeerd (Let op: ongeldig verklaring Safe Harbor-beschikking door HvJEU 0362/14 Maximillian Schrems v Data Protection Commissioner) (zie checklist 13); Bevat het contract een duidelijke omschrijving van de opgedragen werkzaamheden; Bevat het contract een verwerkingsverbod buiten de opdracht; Worden aanvullende eisen gesteld aan verwerking buiten EU door bewerker; Is rekening gehouden met verwerking van persoonsgegevens in het kader van onderhoud door anderen dan bewerker; Is de bewerker verplicht de verantwoordelijke in staat te stellen zijn verplichtingen na te komen (zoals inzage, correctie, overdragen persoonsgegevens op een gegevensdrager en verwijdering in het kader van bewaarbeleid verantwoordelijke).

7 BEWERKERSOVEREENKOMST
Kernbepalingen Moet de bewerker meewerken aan onderzoeken door autoriteiten; Beschikt de bewerker over een verklaring van externe auditors omtrent de continuïteit van de dienstverlening (beëindiging van dienst verlening kan leiden tot beschikbaarheidsproblemen en daarmee een overtreding van de beschikbaarheidseis van de Wbp); Bevat de overeenkomst exit-scenario’s met regels voor de vernietiging van data; Zijn er contactpersonen bij opdrachtgever en bewerker benoemd voor spoedeisende kwesties.

8 BEWERKERSOVEREENKOMST
Sub-bewerker Mag de bewerker een sub-bewerker inschakelen; Is toestemming van de opdrachtgever vereist voor inschakeling van een sub- bewerker; Worden aanvullende eisen gesteld aan verwerking buiten de EER door een sub- bewerker; Is er rekening gehouden met verwerking van persoonsgegevens in het kader van onderhoud bij sub-bewerker door anderen dan sub-bewerker.

9 BEWERKERSOVEREENKOMST
Beveiliging Is er aan de bewerker een duidelijke omschrijving gegeven van de door de opdrachtgever geëiste beveiligingsvoorwaarden (zie ook AP richtsnoeren beveiliging van persoonsgegevens); Worden er gegevens versleuteld opgeslagen bij bewerker (bijvoorbeeld medische gegevens); Zijn de gestelde beveiligingseisen conform het beveiligingsbeleid van opdrachtgever zelf; Wordt de opdrachtgever in staat gesteld de naleving van de beveiligingseisen te controleren; Beschikt bewerker over up-to-date verklaringen van externe auditors over de naleving van de beveiligingsafspraken.

10 BEWERKERSOVEREENKOMST
Datalekken Bevat het contract een regeling voor beveiligingsincidenten; Is de bewerker verplicht onverwijld alle medewerking te geven aan een feitenonderzoek door verantwoordelijke in geval van beveiligingsincidenten. Voorbeeld: De Bewerker is met het oog op artikel 13 van de Wbp verplicht onverwijld, doch uiterlijk binnen 24 uur een schriftelijke en telefonische melding te maken aan Verantwoordelijke indien er sprake is van een Datalek. De schriftelijke melding door Bewerker bevat tenminste de volgende gegevens: a) een samenvatting van het incident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan; b) van het aantal personen (minimaal en maximaal) wiens Persoonsgegevens zijn betrokken bij het Datalek; c) omschrijving van de groep mensen van wie persoonsgegevens zijn betrokken; d) de datum en tijdstip waarop de Datalek plaatsvond; e) de aard van de Datalek; f) omschrijving van de type gegevens die betrokken zijn; g) omschrijving van de bijzondere gegevens die betrokken zijn (bijvoorbeeld ras, strafbare gegevens, etc); h) welke technische en organisatorische maatregelen er getroffen zijn om de Datalek aan te pakken en om verdere Datalekken te voorkomen h) overige relevante gegevens die van belang kunnen zijn; Bewerker verplicht zich mee te werken aan alle in het kader van artikel 13 Wbp uitgebrachte richtsnoeren en aanwijzingen van de Autoriteit Persoonsgegevens in het kader van een Datalek bij Bewerker. Bewerker vrijwaart de Verantwoordelijke voor alle schade, daaronder begrepen eventuele boetes en schadeclaims van betrokkenen die Verantwoordelijke lijdt tengevolge van een Datalek bij Bewerker

11 BEWERKERSOVEREENKOMST
Voorbeeld: De Bewerker is met het oog op artikel 13 van de Wbp verplicht onverwijld, doch uiterlijk binnen 24 uur een schriftelijke en telefonische melding te maken aan Verantwoordelijke indien er sprake is van een Datalek. De schriftelijke melding door Bewerker bevat tenminste de volgende gegevens: a) een samenvatting van het incident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan; b) van het aantal personen (minimaal en maximaal) wiens Persoonsgegevens zijn betrokken bij het Datalek; c) omschrijving van de groep mensen van wie persoonsgegevens zijn betrokken; d) de datum en tijdstip waarop de Datalek plaatsvond; e) de aard van de Datalek; f) omschrijving van de type gegevens die betrokken zijn; g) omschrijving van de bijzondere gegevens die betrokken zijn (bijvoorbeeld ras, strafbare gegevens, etc); h) welke technische en organisatorische maatregelen er getroffen zijn om de Datalek aan te pakken en om verdere Datalekken te voorkomen h) overige relevante gegevens die van belang kunnen zijn; Bewerker verplicht zich mee te werken aan alle in het kader van artikel 13 Wbp uitgebrachte richtsnoeren en aanwijzingen van de Autoriteit Persoonsgegevens in het kader van een Datalek bij Bewerker. Bewerker vrijwaart de Verantwoordelijke voor alle schade, daaronder begrepen eventuele boetes en schadeclaims van betrokkenen die Verantwoordelijke lijdt tengevolge van een Datalek bij Bewerker

12 BEWERKERSOVEREENKOMST
Overige aandachtspunten Informeert de bewerker de verantwoordelijke bij het opvragen van gegevens door de autoriteiten; Bevat de overeenkomst een vendor lock-in verbod (vendor lock-in is het verschijnsel dat een klant zo zeer afhankelijk raakt van een leverancier dat afscheid nemen of overstappen niet langer mogelijk is zonder grote financiële gevolgen); Is er een change request-procedure bij wijzigingen in regelgeving of de uitleg daarvan; Is bewerker bereid afspraken aan te passen bij wijzigingen van policies bij verantwoordelijke (bijvoorbeeld op verzoek van de ondernemingsraad of in opdracht van FG of Chief Information Officer (CIO) van verantwoordelijke); Hoe is de architectuur van een cloud-omgeving ingeregeld; Kan de bewerker op ieder moment uitleggen waar de gegevens zich bevinden; Gaat het om uitbesteding van zeer vertrouwelijke gegevens die een organisatie niet wil blootstellen aan inzage door buitenlandse autoriteiten (let op bij cloud- toepassingen); Zie ter illustratie van een cloud-contract: ( market/en/news/Cloud-service-Ievel-agreement-standardisation-guidelines

13 Privacy Impact Assessment

14 PIA (Artikel 35 AVG)

15 PIA (Artikel 35 AVG)

16 PIA (Artikel 35 AVG)

17 PIA Is iedere verwerking transparant gemaakt naar betrokkene; Is iedere verwerking transparant gemaakt naar interne of externe toezichthouder; Beschikt de organisatie over werkinstructies en een bewustwordingsprogramma; Wordt aan de wettelijke toestemmingseisen voldaan; Is iedere verwerking doelconform; Is de verwerking in strijd met wetgeving (bijvoorbeeld strafrechtelijke gegevens of BSN); Worden niet meer gegevens verwerkt dan noodzakelijk; Zijn gegevens nog up-to-date; Is het “need to know principe" ingeregeld; Is er een duidelijke procedure voor inzage / correctie; Zijn de systemen goed beveiligd; Is de datacommunicatie goed beveiligd;

18 PIA Is sprake van een duidelijke beschrijving van de interne verdeling van verantwoordelijkheid voor de Verwerkingen (interne Service Level Agreement (SLA)); Vindt bij nieuwe verwerkingen een risico analyse / PIA plaats; Wordt privacy by design toegepast; Wordt bij risicovolle verwerkingen voorafgaand onderzoek aangevraagd; Is er een deugdelijk contract met de bewerker; Worden de eigen policies van de organisatie met betrekking tot beveiliging nageleefd; Worden de eigen policies van de organisatie met betrekking tot de verwerking van persoonsgegevens nageleefd; Worden beveiligingsincidenten gemeld en correct afgehandeld; Worden incidenten en klachten geëvalueerd (gebeurt er intern ook iets mee).

19 PIA Guidelines WP 29 4 april 2017

Download ppt "Astrid Gobardhan Advocaat/DPO NIBC Bank N.V."

Verwante presentaties

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
relevante wetgeving en achtergrondinformatie

relevante wetgeving en achtergrondinformatie
Informatiebeveiliging

Informatiebeveiliging
Aan deze presentatie kunnen geen rechten worden ontleend Gegevensbescherming CQI-metingen 16 september 2010 CKZ mr Alexander J.J.T. Singewald © Singewald.

Aan deze presentatie kunnen geen rechten worden ontleend Gegevensbescherming CQI-metingen 16 september 2010 CKZ mr Alexander J.J.T. Singewald © Singewald.
Accreditatierichtlijn beveiliging van bestanden

Accreditatierichtlijn beveiliging van bestanden
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.

SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Waterkering Westerschelde

Waterkering Westerschelde
Aanstaande privacywetgeving

Aanstaande privacywetgeving
SURF Juridisch normenkader cloudservices

SURF Juridisch normenkader cloudservices
Beheer Elkey externen Jeroen François Security Manager.

Beheer Elkey externen Jeroen François Security Manager.
What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.

What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.
PIA vs Big Data Bob Hulsebosch.

PIA vs Big Data Bob Hulsebosch.
OR & Reglement. Conform WOR: iedere OR moet een reglement opstellen waarin … “de onderwerpen worden geregeld die bij of krachtens deze wet ter regeling.

OR & Reglement. Conform WOR: iedere OR moet een reglement opstellen waarin … “de onderwerpen worden geregeld die bij of krachtens deze wet ter regeling.
Persoonsgegevens en de Wbp

Persoonsgegevens en de Wbp
Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A 25-11-2014.

Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A
Privacy in het sociaal domein Raadscommissie 15 januari 2015.

Privacy in het sociaal domein Raadscommissie 15 januari 2015.
PRIVACY ENHANCING TECHNOLOGIES Sergej Katus Bussum, 22 april 2008 Strategische informatiebeveiliging.

PRIVACY ENHANCING TECHNOLOGIES Sergej Katus Bussum, 22 april 2008 Strategische informatiebeveiliging.
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.

Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Stedendag verantwoording GSBIII 2005-2009 GSB prestatie-indicatoren 20 november 2008 Drs.D.E.(David) Zijlmans RA.

Stedendag verantwoording GSBIII GSB prestatie-indicatoren 20 november 2008 Drs.D.E.(David) Zijlmans RA.
12.40 6.40 6.80 5.80 0.80 1.20 7.80 8.80 9.00 0.20 12.40 7.90 7.50 Guides for gutter Text colours R 27 G 66 B 152 R 0 G 0 B 0 R 127 G 127 B 127 Background.

Guides for gutter Text colours R 27 G 66 B 152 R 0 G 0 B 0 R 127 G 127 B 127 Background.

Verwante presentaties

Ads door Google