Vergroten van kennis van AVG en de impact op uw organisatie

Transcriptie

1

2 Vergroten van kennis van AVG en de impact op uw organisatie Een samenwerking tussen: Bart Vollmuller (Kindkans) Jan Hulst (Kindkans) Mr. Stijn Sarneel MBA CIPP/E (Lumen Group) Mr. Sander van de Molen CIPP/E (PrivacyPeople) Drs. Michel Gielbert RO, CIPP/E, CIPM (PrivacyPeople)

3 Doel: Vergroten kennis van AVG en de impact op uw organisatie AGENDA Opening Inleiding en introductie (Bart, 15 min.) Productontwikkeling AVG Kindkans (Jan, 10 min.) AVG (deel I) AVG, waar hebben we het over? (Stijn, 30 min.) Pauze (15 min.) AVG (deel II) Verdieping op AVG-begrippen (Sander/Michel, 45 min.) Introductie Zelfevaluatie (15 min.) Open vragen (gezamenlijk, 30 min.) Afsluiting (Bart)

4 Opening (Bart) Even voorstellen: nieuwe gebruikers hier aanwezig Nieuwe klanten: Rotterdam Voorne-Putten Barneveld-Veenendaal Nijmegen Zutphen Hengelo

5 Belangrijke informatie AVG voor Kindkans Digitale privacy tool Handreiking gegevensuitwisseling Verwerkersovereenkomst Modelprivacyreglement

6 Productontwikkeling AVG voor Kindkans (Jan) 1. Two-factor authentication (optioneel) 2. Verzwaard beleid opslaan wachtwoorden (hash, salt en pepper) 3. Logging inzage (optioneel) 4. Overzicht autorisaties 5. Uitfaseren BSN en onderwijsnummer

7 Mr. Stijn Sarneel / Lumen Group

8 AVG: waar hebben we het over? Doel is vergroten van kennis, bewustwording zodat de juiste acties tijdig kunnen worden ingezet. EU Privacy Verordening (Algemene Verordening Gegevensbescherming) NL verbijzondering: Uitvoeringswet AVG Vervangt Wet Bescherming Persoonsgegevens

9 AVG: Begrippen Onder meer: 1. Persoonsgegevens 2. Rollen 3. Beginselen 4. Register van verwerkingsactiviteiten 5. Rechten betrokkenen 6. Bewaartermijnen 7. Datalekken 8. Autoriteit Persoonsgegevens

10 Persoonsgegevens Wat zijn dat? Alle informatie over geïdentificeerde of identificeerbare personen (direct of indirect) Algemene Bijzondere

11 Rollen Betrokkenen Verwerkingsverantwoordelijke Verwerker Rechten: Rechten betrokkenen gevolgen voor organisaties

12 Verwerkingen Wat zijn verwerkingen? Alle handelingen: verzamelen, vastleggen, opslaan, raadplegen, gebruiken, doorzenden, vernietigen

13 Beginselen 1. Rechtmatig, behoorlijk en transparant 2. Doelbinding 3. Minimale gegevensverwerking ( strikt noodzakelijk ) 4. Juist en actueel ( data-integriteit ) 5. Opslagbeperking (worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren: pseudonimiseren, anonimiseren) 6. Integriteit en vertrouwelijkheid (passende beveiliging) 7. Verantwoordingsplicht ( aantoonbaarheid )

14 Register van Verwerkingen Melding CBP (Oud) Nieuwe eis Veelomvattend Wat is het en wat moet er allemaal in staan

15 Rechten van betrokkenen Informatieplicht Inzage en wel binnen één maand; kosteloos Rectificatie Gegevenswissing ( recht van vergetelheid ) Beperking Overdraagbaarheid ( Data portabiliteit ) Bezwaar

16 Bewaartermijnen Art. 5 lid 1 AVG: niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is Art. 5 lid 1 AVG: opslagbeperking Pseudonimiseren Anonimiseren / vernietigen

17 PIA Privacy Impact Assessment

18 Datalekken Datalek = een inbreuk op de beveiliging van persoonsgegevens (verlies of onrechtmatige verwerking) Vier eisen: Inbreuk op de beveiliging Persoonsgegevens Waarschijnlijk dat de inbreuk risico inhoudt voor de rechten en vrijheden van natuurlijke personen Betrokken personen moeten er nadeel van (kunnen) ondervinden (reputatieschade, oplichting, geschillen over betaling rekeningen)

19 Toezichthouder CBP (oud) Autoriteit Persoonsgegevens Verruimde bevoegdheden Boeteregime Aantoonbaarheid/ risicogebaseerd

20 Koffiepauze Over 15 minuten: Verdere verdieping Inzet stemkastjes Bespreken stellingen Aanloop naar AVG Zelfevaluatie

21 Mr. Sander van de Molen / PrivacyPeople (SmartMirrors) Drs. Michel Gielbert / PrivacyPeople (SmartMirrors)

22 AVG en wat betekent dat voor mij Welke impact heeft het op organisaties Hoe moet je daar mee omgaan Belang van cultuur Tone at the top en bewustwording Wat is er voor nodig Datalekken Link met informatiebeveiliging Op weg naar AVG-proof Hoe aantoonbaar in Control

23 Kindkans Applicatie Verwerker voor Samenwerkingsverband Samenwerkings- Verband = Verwerkings- Verantwoordelijke (= Controller) Scholen aangesloten bij SWV Scholen zijn Ver- Werkingsverant- Woordelijke

24 De AVG heeft weinig invloed op mij. Het is eigenlijk alleen iets voor IT en de FG? 89% A. Eens B. Oneens C. Weet niet 11% 0% Eens Oneens Weet niet

25 Privacy, nog veel te doen, maar wij hebben een plan om aantoonbaar privacy compliant te zijn voor 25 mei % 48% A. Eens B. Oneens C. Weet niet 9% Eens Oneens Weet niet

26 Bescherming Persoonsgegevens Natuurlijk persoon Alle gegevens aan de hand waarvan een persoon kan worden geïdentificeerd Niet alleen van leerlingen: Gaat ook om jou(w gegevens)! (HR-gegevens) Eigen privacy (werkplek, privémail) Eigen login(s) en wachtwoorden Het gaat om mensen en hun gedrag! 26

27 Impact op Impact op organisaties / scholen Beleid en governance Processen en procedures Register van verwerkingsactiviteiten Functionaris Gegevensbescherming IT-beveiliging en controls Borging 27

28 Wat is vrijwel altijd de zwakste schakel in het gehele proces om te voldoen aan (AVG-)verplichtingen? 87% A. IT-security B. Processen / Procedures C. Medewerkers D. Weet niet 13% 0% 0% IT security Processen / Procedures Medewerkers Weet niet / Niet zeker

29

30 Met het aanstellen van een Functionaris Gegevensbescherming is privacy goed geregeld? A. Eens B. Oneens C. Weet niet 90% 5% 5% Eens Oneens Weet niet

31 FG is deel van de oplossing. Art AVG. FG is onafhankelijk. Ontslagbescherming. Voldoende middelen. Rapporteert rechtstreeks aan hoogte leidinggevende. Gevraagd en ongevraagd advies. Moet bij alle privacy relevante onderwerpen van de organisatie betrokken worden en moet advies kunnen geven. Indien niet eens met management: vastleggen verschil van inzicht. Specifieke taken. 1. Informeren en adviseren. 2. Toezien op naleving (monitoren). 3. Contactpunt voor Autoriteit Persoonsgegevens.

32 Op welke plaats in de top 40 staan onderwijsinstellingen als het gaat om datalekken? 45% A. Plaats nummer 2 B. Plaats nummer 6 C. Plaats nummer 12 18% 27% D. Plaats nummer 22 9% Plaats nummer 2 Plaats nummer 6 Plaats nummer 12 Plaats nummer 22

33

34 Uw systeem is gehackt en u moet geld betalen om weer toegang tot gegevens te krijgen? Is dit een datalek? 63% A. Eens B. Oneens C. Weet niet 25% 13% Eens Oneens Weet niet

35 Op het werk wordt een privé mobiele telefoon gestolen van een van de medewerkers. Hierop staan veel (privé)gegevens, foto s van collega s en privébestanden van de medewerker. Is dit een datalek? 54% A. Ja zeker B. Nee hoor C. Weet niet 38% 8% Ja zeker Nee hoor Weet niet

36 Binnen veel instellingen wordt gewerkt met zowel financiële gegevens, als ook medische gegevens. De vraag is of deze gegevens voor hackers interessant zijn. Stelling: Wat is duurder op het Dark Web : A. Financiële gegevens B. Medische gegevens 61% 39% Financiële gegevens Medische gegevens

37

38 Er belt een ouder naar de administratie die telefonisch persoonsgegevens wil hebben uit het dossier van zijn kind. Wat moet er gebeuren? 95% A. Vertellen wat er in het dossier staat B. Doorverbinden naar de FG C. Vragen of de ouder zijn verzoek schriftelijk wil indienen Vertellen wat er in het dossie... 0% 5% Doorverbinden naar de FG Vragen of de student zijn ve...

39 Om aan de verantwoordingsplicht ( accountability ) van de AVG te voldoen is het voldoende dat het CvB goed aan de toezichthouder kan uitleggen dat we zorgvuldig omgaan met persoonsgegevens. A. Ja, als je maar goed kunt uitleggen dat privacy door de organisatie belangrijk wordt gevonden. B. Nee, je moet alles goed documenteren. C. Nee, je moet alles goed documenteren en periodiek nagaan of je nog aan alle normen voldoet. 0% 0% 100% Ja, als je maar goed kan uitl... Nee, je moet alles goed do... Nee, je moet alles goed do...

40 De strenge privacyeisen gelden alleen voor de officiële systemen. De kantoorautomatisering (zoals Word en Outlook) vallen hier buiten. 100% A. Ja, dat klopt. In ongestructureerde data kun je niet makkelijk persoonsgegevens vinden. B. Nee, alle systemen zijn binnen scope. C. Ja, de toezichthouder heeft bepaald dat Microsoft goed omgaat met privacy, zodat je hier geen zorgen over hoeft te hebben. 0% 0% Ja, dat klopt. In ongestructu... Nee, alle systemen zijn binne... Ja, de toezichthouder heeft...

41 De Autoriteit Persoonsgegevens is na 25 mei 2018 een papieren tijger? A. Eens B. Oneens C. Weet niet 38% 52% 10% Eens Oneens Weet niet

42 Het gaat anders worden! Nu: waarschuwing en termijn van herstel, pas na aantoonbaar willens en wetens niet nakomen volgt pas een sanctie. Art. 83 AVG: alleen het feit dat een bedrijf niet voldoet aan een eis van GDPR is voldoende om een boete op te leggen: alle drempels weg: 10 Mio of 2% 20 Mio of 4% (bij aantasting privacy van betrokkenen) AP verdubbelt in capaciteit en budget en kan groeien GDPR: geen uitstel 25 mei: in werking, markt 2 jaar de tijd gehad te implementeren Ja, AP kan direct sancties opleggen Sancties materieel en boardroom issue (accountant: aandacht in jaarrekening: risicobeheersing). Art. 5 lid 2: accountability Alhoewel?? <> maar waar wil je als organisatie voor staan?

43 Control Frame work: Definiëren: - Wetten / Doelstellingen Risico s - Normen - Beheersmaatregelen / controls Organiseren: - Toekennen van taken aan personen - Geautomatiseerde trigger tot uitvoering - Uitvoeren control / evidence Verkrijgen van: - Overzicht - Inzicht - Rapportage

44 Privacy in CFW

45

46 Zelfevaluatie Onderwijs Algemene Verordening Gegevensbescherming Belangrijke onderwerpen vanuit AVG Gekozen terminologie sluit aan bij AVG Nu de hoofdvragen en toelichting

47 1. Privacybewustzijn: Het realiseren van het bewustzijn rondom privacy wordt binnen onze organisatie zeer serieus aangepakt. 74% A. Ja B. Nee C. Weet niet 9% 17% Eens Oneens Weet niet

48 2. Besturing: Om te kunnen voldoen aan de AVG-verplichtingen is bij ons de besturing binnen de organisatie goed ingericht. 46% A. Ja B. Nee C. Weet niet 38% 17% Ja Nee Weet niet

49 3. Register van verwerkingsactiviteiten: Wij weten exact welke type persoonsgegevens wij verwerken, en wie daar toegang toe heeft? 65% A. Ja B. Nee C. Weet niet 30% 5% Ja Nee Weet niet

50 4. Doelbinding en rechtmatigheid: Wij hebben voor alle verwerkingen bepaald wat het doel en rechtsgrond is? A. Ja B. Nee C. Weet niet 96% 0% 4% Ja Nee Weet niet

51 5. Risicogebaseerde aanpak: Wij kennen de risico s rondom privacy en informatiebeveiliging en beheersen deze risico s? 79% A. Ja B. Nee C. Weet niet 13% 8% Ja Nee Weet niet

52 6. Informatieplicht en rechten van betrokkenen: Wij verstrekken actief informatie aan betrokkenen (ouders, personeel en leerlingen) over de wijze waarop wij met privacy omgaan? A. Ja B. Nee C. Weet niet 83% 8% 8% Ja Nee Weet niet

53 7. Verwerkingsovereenkomsten en gegevensuitwisseling met derden: Wij hebben duidelijke afspraken met onze verwerkers en derden partijen, die voldoen aan AVG-eisen? 70% A. Ja B. Nee C. Weet niet 13% 17% Ja Nee Weet niet

54 8. Beveiliging persoonsgegevens: Wij hebben een adequaat beveiligingsniveau ingeregeld? 65% A. Ja B. Nee C. Weet niet 25% 10% Ja Nee Weet niet

55 9. Aantoonbaarheid: Wij hebben georganiseerd dat wij (vanaf 25 mei 2018) aantoonbaar in control zijn en blijven op naleving van de AVG 80% A. Ja B. Nee C. Weet niet 15% 5% Ja Nee Weet niet

56 10. Specifieke aandachtspunten voor samenwerkingsverbanden: Wij weten welke specifieke bepalingen vanuit wet- en regelgeving voor ons gelden (bijv. t.a.v. BSN) 68% A. Ja B. Nee C. Weet niet 21% 11% Ja Nee Weet niet

57 11. Specifieke aandachtspunten voor samenwerkingsverbanden: Wij hebben een overzicht van alle gebruikers en weten precies wat ze wel en niet mogen zien. A. Ja B. Nee C. Weet niet 37% 53% 11% Ja Nee Weet niet

58 12. Specifieke aandachtspunten voor samenwerkingsverbanden: Wij hebben geen schaduwdossiers. 63% A. Ja B. Nee C. Weet niet 21% 16% Ja Nee Weet niet

59 13. Specifieke aandachtspunten voor samenwerkingsverbanden: Collega s die kengetallen verzamelen, zien nooit te veel informatie. 60% A. Ja B. Nee C. Weet niet 20% 20% Ja Nee Weet niet

60 14. Specifieke aandachtspunten voor samenwerkingsverbanden: Wij hebben een verwerkersovereenkomst gesloten met Kindkans. 67% A. Ja B. Nee C. Weet niet 33% 0% Ja Nee Weet niet

61 15. Specifieke aandachtspunten voor samenwerkingsverbanden: Wij hebben als SWV alle privacyprotocollen en reglementen beschreven. 67% A. Ja B. Nee C. Weet niet 13% 20% Ja Nee Weet niet

62 Zelfevaluatie Onderwijs Algemene Verordening Gegevensbescherming Belangrijke onderwerpen vanuit AVG Gekozen terminologie sluit aan bij AVG Nu de hoofdvragen en toelichting Zelftoets wordt meegegeven Voor AVG is het nodig dat Alle vragen met Ja beantwoord kunnen worden Die Ja ook verder onderbouwd zou moeten kunnen worden (= Verantwoordings/Documentatieplicht)

63 Contactgegevens Sander van de Molen Managing Partner Michel Gielbert Managing Partner One Stop Privacy Shop Mr. A.C.M. (Sander) van de Molen CIPP/E PrivacyPeople B.V. Postbus 2969 I 3800 GK I Amersfoort I T M I E Sandervandemolen@privacypeople.nl One Stop Privacy Shop Drs. M.E. (Michel) Gielbert RO, CIPP/E, CIPM PrivacyPeople B.V. Postbus 2969 I 3800 GK I Amersfoort I T M I E Michel.gielbert@privacypeople.nl