Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdElse Ravn Laatst gewijzigd meer dan 5 jaar geleden
1
Passende technische en organisatorische beveiliging:
van wetgeving naar praktijk (1) Ontwikkeling van techniek vraagt om regulering (2) Het recht loopt altijd achter de feiten aan. Presentatie BVV // 14 juni // mr. drs. Bram Dirkx
3
Privacy 1/3 Bescherming tegen de verwerking van persoonsgegevens
8 EVRM Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie Art. 10 Grondwet Lid 1: Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. Lid 2: De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Lid 3: De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens
4
Privacy 2/3 Algemeen persoonlijkheidsrecht (HR 15 april 1994, NJ 1994, 608) “aan grondrechten als het recht op respect voor het privé- leven, het recht op vrijheid van gedachte, geweten en godsdienst en het recht op vrijheid van meningsuiting ten grondslag liggend algemeen persoonlijkheidsrecht.” Niet voor contractuele afstand vatbaar nietig op grond van de wet Privacy is geen absoluut recht afwijken bij wet (in formele zin) In Nederland bij of krachtens de wet EVRM noodzakelijkheidstoets bij wet voorzien in een democratische samenleving noodzakelijk …voor de bescherming van de rechten en vrijheden van anderen
5
Privacy 3/3 Geen absolute rechten Waarborgen Afwegingskader
Grondrechten Overheid: veiligheidsdiensten, burgerlijke stand, identificatie etc. Verwerken van persoonsgegevens regelingen die burgers in hun privésfeer bescherming bieden. Waarborgen Maatschappelijke versus juridische realiteit Rol voor organisaties Van reactief optreden tegen ‘opzet’ naar preventief optreden (eigen verantwoordelijkheid)
6
Beveiliging naar de letter van ‘de wet’
Passende technische en organisatorische maatregelen (art. 32 AVG) Rekening houdend met: de stand van de techniek levende verplichting de uitvoeringskosten omvang en financiële mogelijkheden van de organisatie de aard, omvang en context van de verwerking en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen Mogelijke dreigingen Ernst van de gevolgen
7
Wat is passend? Niet de aller zwaarste beveiligingsmaatregelen, maar passend.. Afwegingskader Security by design (art. 25) In plaats van security-after-the-fact Tijdens ontwerp al rekening houden met security Security by default
8
Maatregelen die onder meer ‘passend’ zijn..
Volgens de verordening: Pseudonimisering Wet pseudonimisering leerlinggegevens (18 februari 2018) Versleuteling
9
Technische maatregelen
maatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen maatregelen gericht op het tijdig kunnen herstellen van de beschikbaarheid van en de toegang tot persoonsgegevens bij een fysiek of technisch incident het vaststellen van adequate procedures voor het periodiek evalueren van de doeltreffendheid van de genomen veiligheidsmaatregelen
10
Technische maatregelen
pseudonimisering en versleuteling van persoonsgegevens twee factor authenticatie logging firewalls virusscanners software tegen malware-aanvallen software waarschuwing bewaartermijn back-ups
11
Organisatorische maatregelen
Beperking toegang tot persoonsgegevens Noodzakelijk voor uitvoering van de taken / werkzaamheden Geheimhoudingsbeding Boeteclausule niet vergeten Ruimtes waar persoonsgegevens worden bewaard (laten) afsluiten Papieren dossiers in afgesloten kasten Privacybeleid (art. 47 AVG) Protocol vaststellen en toezicht op het protocol (art. 47 AVG)
12
Aandachtspunten Let op verwerkersovereenkomsten Protocol
Beveiligingsniveau moet minimaal uw niveau hebben 28 lid 3 onder c AVG passende technische en organisatorische beveiliging bij werkgever Protocol Art. 58 lid 3 onder e AVG goedkeuring toezichthouder
13
Datalekken (art AVG) Meeste maatregelen preventief, meldplicht datalekken reactief Melden bij toezichthouder binnen 72 uur, tenzij zeer beperkt risico voor betrokkene Afwegingskader Ook verwerker heeft meldplicht (aan verwerkingsverantwoordelijke) Niet melden bij betrokkene, tenzij het waarschijnlijk is dat het datalek een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen Datalek opnemen in register Bewaartermijn 1 jaar (richtlijn) Toezichthouder kan controleren
14
Standaarden Kies voor standaarden certificering
ISO Beveiliging fin. informatie, IE, werkn., persoonsgegevens ISO maatregelen, processen, procedures ISO implementatie richtlijnen ISO uitvoeren van een audit Belangrijk in het kader van een verwerkersovereenkomst Investeren in awareness is de beste investering als het om gegevensbeveiliging gaat NEN 7510/12/13 zorg
15
Conclusie Recht ‘loopt’ altijd achter de feiten aan. Wetgever beseft zich dat terdege, dus levende verplichting voor bedrijven Uitgangspunten: Stand van de techniek Passend Verantwoording Passende technische en organisatorische maatregelen voldoende? Juridisch antwoord VS feitelijk antwoord
16
Bronvermelding afbeelding
marconi-forged-todays-interconnected- world-of-communication/
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.