Algemene Verordening Gegevensbescherming

Transcriptie

1 Algemene Verordening Gegevensbescherming Wat zijn de gevolgen van deze wet voor u? 17 mei 2018 I Anne Bergsma

2 Het is in ieder geval actueel ;-) 17 mei 2018 I AVG/GDPR

3 Maar 3 hij heeft de wet niet verzonnen, wordt er ook niet perse warm van, is zeker geen jurist maar een simpele risico adviseur en ervaringsdeskundige die wel beseft dat het een risico is wanneer je er niet aan voldoet

4 Advies: Wees (en blijf) Pragmatisch en Praktisch 4 zowel tijdens de bijeenkomst als de uitvoering en implementatie van de nodige maatregelen

5 Doel van de bijeenkomst Zakelijke klanten informeren/faciliteren m.b.t. de AVG Wat is de AVG/GDPR? Waarom is deze wetgeving er? Welke maatregelen c.q. concrete stappen moet u nemen om aan de wetgeving te voldoen? Hoe zien de sancties er (potentieel) uit? Wat heeft Froonacker aan de privacybescherming van klanten en betrokkenen tot dusver gedaan? Welke concrete maatregelen zijn/worden genomen? 5

6 Agenda 15.00u Welkom 15.05u Nieuwe wet in vogelvlucht 16.00u Pauze 16.15u Froonacker & AVG 16.45u Cyber-en datarisico s: preventie & verzekering 16.55u Afsluiting & aansluitend borrel 17 mei 2018 I AVG/GDPR

7 General Data ProtectionRegulation 7

8 AVG in het kort 8

9 De AVG in 10 stappen Privacyregels in uw dagelijkse werkzaamheden 1. Grondslagen verwerking Persoonsgegevens 2. Bijzondere persoonsgegevens 3. Informeren klant ( betrokkene ) Privacyregels in uw bedrijfsvoering 4. Rechten klant 5. Beveiliging Persoonsgegevens 6. Register Verwerking Persoonsgegevens 7. Functionaris Gegevensbescherming (FG) 9 Privacyregels in specifieke situaties 8. Inschakelen Verwerker 9. Klachtrecht klant 10. Rol Autoriteit Persoonsgegevens

10 Stap 1 10

11 Stap 1 11

12 Stap 2 12

13 Stap 2 13

14 Stap 3 14

15 Stap 4 15

16 Recht op inzage Is beperkt als gevolg van uitspraak Hof en HR Het Hof, en in navolging daarvan de Hoge Raad, oordelen in 2018 dat het recht op inzage is bedoeld om de betrokkene in staat te stellen om te controleren of zijn persoonsgegevens juist zijn en rechtmatig zijn verwerkt. Deze controle kan er vervolgens toe leiden dat de betrokkene het recht krijgt om rectificatie, uitwissing of afscherming van de persoonsgegevens te eisen. Echter niet voor: Het doel waarvoor zowel in het arrest van het Hof als van de Hoge Raad inzage in de persoonsgegevens werd gevraagd, was echter gericht op het verkrijgen van informatie ten behoeve van de lopende juridische procedure en niet op het doel waartoe de Richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens zich strekt (de Wet bescherming persoonsgegevens is gebaseerd op Richtlijn 95/46/EG. De AVG is een Verordening). In beide zaken werd de vordering tot inzage daarom afgewezen. 16

17 Stap 4 17

18 Stap 4 18

19 Stap 4 19

20 Stap 5 20

21 Stap 6 21

22 Stap Verwerkers

23 Stap 7 23

24 Stap 7 24

25 Stap 8 25

26 Stap 9 26

27 Stap 10 27

28 Stap 10 28

29 Stap 10 29

30 Stap 10 30

31 Stap 10 31

32 Pauze We beginnen om 16.15u uiterlijk weer Verder discussiëren Toiletbezoek Kopje thee of koffie Demo Entrysign 32

33 10 stappen: AVG & Froonacker In hoeverre is Froonacker AVG proof? Privacyregels in uw dagelijkse werkzaamheden 1. Grondslagen verwerking Persoonsgegevens 2. Bijzondere persoonsgegevens 3. Informeren klant ( betrokkene ) Privacyregels in uw bedrijfsvoering 4. Rechten klant 5. Beveiliging Persoonsgegevens 6. Register Verwerking Persoonsgegevens 7. Functionaris Persoonsgegevens (FG) 33 Privacyregels in specifieke situaties 8. Inschakelen Verwerker 9. Klachtrecht klant 10. Rol Autoriteit Persoonsgegevens

34 Stap 1: AVG & Froonacker Verwerking Persoonsgegevens is rechtmatig: Uitdrukkelijke toestemming betrokkenen (aanvraagformulieren) Noodzakelijk voor de uitvoering van een overeenkomst (polis) Noodzakelijk om te voldoen aan de wettelijke verplichting (bijv. WAM-verzekeringen) Noodzakelijk voor behartiging van gerechtvaardigde belangen (advisering, bemiddeling, beheer, schade-behandeling) 34

35 Stap 2: AVG & Froonacker Bijzondere Persoonsgegevens: Persoonsgegevens van deze categorie zijn Burger Service Nummer, gezondheidsgegevens en strafrechtelijke gegevens (in beperkte aantallen) De verwerking is als uitzondering op het verbod toegestaan voor Froonacker omdat Uitdrukkelijke toestemming is gegeven De gegevens noodzakelijk zijn voor de uitvoering van levens-, pensioen- en inkomensverzekeringen 35

36 Stap 3: AVG & Froonacker Informeren Klant ( betrokkene ) Froonacker is transparant over de verwerking van persoonsgegevens: 36

37 Stap 4: AVG & Froonacker Rechten Klant Inzage (via Mijn Froonacker of dossier op verzoek met geëigend doel) Rectificatie * Beperking van de verwerking * Wissen ( recht op vergetelheid ) Wanneer niet meer nodig Bij onrechtmatige verwerking Intrekken toestemming en geen andere rechtsgrond Dataportabiliteit Bezwaar tegen direct marketing* 37 * Het is van belang om een goede balans te vinden tussen AVG en de Wft. Automatiseringssysteem kent beperktere rectificatie mogelijkheden om fraude/ antedateren tegen te gaan. Beperkingen moeten de uitvoering van de overeenkomst c.q. dienstverlening niet onmogelijk maken.

38 Stap 5: AVG & Froonacker Passende technische en organisatorische beveiligingsmaatregelen Gebruik USB sticks/-ports beperkt en standaard uitgesloten Personeelshandboek: bepalingen privacy, scheiding privé/zakelijk Alarmsysteem en toegangscontrole medewerkers Beperkte toegang/condities serverruimte SSL-certificering website Back-up en restore beleid ICT-audits, AVG toetsing (non-concurrentiële volmacht audit) NLG IT audit (incl. pentests en social engineering) Compartimentering polis administratiesysteem Fysieke scheidingen arbodienst, inkomen/leven en schade Servers gecompartimenteerd Werkstations, 2-weg authentificatie externe toegang Terminal Server Wachtwoorden beleid (ook wifi stations) en Lastpass software Clean desk beleid en archiefvernietiging Up-to-date en fijnmazige firewall en Spamfilters Medewerkers getraind op gebied cyberrisico/avg Twee weg authentificatie toegang Mijn Froonacker 38

39 Stap 6: AVG & Froonacker Register verwerkingen persoonsgegevens 39

40 Stap 7: AVG & Froonacker Functionaris Gegevensbescherming (FG) Froonacker heeft intern AVG medewerker / contactpersoon Functionaliteit via Brancheorganisatie Adfiz en samenwerkingsverband NLG 40

41 Stap 8: AVG & Froonacker Inschakelen verwerkers Froonacker is als financieel dienstverlener verwerkersverantwoordelijke Verklaring toepasbaarheid verwerkersovereenkomst Aantal bewerkersovereenkomsten uit nog aanpassen op AVGuitgangspunten (doel: verwerker gegevens niet voor eigen doel gebruiken) 41

42 Stap 9: AVG & Froonacker Klachtrecht klant Opgenomen in de Privacy Verklaring/Kaart Algemene leveringsvoorwaarden en Froonacker Financieel Wijzer Cyber- en Beroepsaansprakelijkheidsverzekeringen 42

43 Stap 10: AVG & Froonacker Rol Autoriteit Persoonsgegevens Verduidelijking wet door AP aan Froonacker via Adfiz en NLG (infozine) Mogelijke AVG boetes zijn verzekerd t.b.v. Froonacker op cyberpolis Melden datalekken / incidentenregister Accorderen gedragscodes 43

44 AVG & Froonacker Overige maatregelen Cyberpolis (aansprakelijkheid/eigen schade; incl. boetes AP en incl. NLG Arbo) Beroepsaansprakelijkheidsverzekering (vangnet cyber; 10m) Verwerkersovereenkomsten met verwerkers (juni 2018) Uitvoering jaarlijkse controle/evaluatie/audit verwerkers conform VWO Opschoning bestanden Froonacker Financieel Wijzer Leveringsvoorwaarden ABF Diverse AVG gerelateerde verklaringen en documentatie Cyberrisico trainingen personeel (workshops, cybergames, pres.) Intern privacy beleid (mei 2018) AVG training personeel (mei 2018) Mailing naar alle relaties met toelichting maatregelen (juni 2018) 44

45 Ondersteuning nodig? DAS Privacy Protect: concrete invulling AVG Voor wie een deel van de werkzaamheden zelf wil doen, maar wel professionele ondersteuning wil hebben, biedt rechtsbijstandverzekeraar DAS de dienst PrivacyProtect. Met een abonnement van DAS PrivacyProtectwordt snel vastgesteld wat er moet gebeuren. Daarna gaat u zelf aan de slag met de software waardoor u snel tot het gewenste resultaat komt. Afhankelijk van het abonnement zijn ook uren ondersteuning door een specialistingeprijsd. Is dit voor u interessant? Ontdek vrijblijvend en in een paar minuten hoe AVG-proofuw bedrijf is via de link 45 Mailingactie Privacy Protect volgt

46 Cyber/data risico s Wat zijn de belangrijkste risico s voor bedrijven en instellingen? AANSPRAKELIJKHEID ( thirdparty ) EIGEN SCHADE ( first party ) 46

47 Cyber/data risico s Wat zijn de belangrijkste risico s? AANSPRAKELIJKHEID ( thirdparty ) Privacy aansprakelijkheid De gevolgen van gestolen privacygevoelige gegevens - Kosten van onderzoek en verweer - Claims van individuele personen - Schending geheimhoudingsplicht - Boetes opgelegd door toezichthouders Cyber aansprakelijkheid Schade die bijvoorbeeld ontstaat als - Website of onbedoeld een auteursrecht schendt of laster verspreidt - Een virus wordt verspreidt - Verkeerde berekeningen/informatie/data afgegeven door systeemfout 47

48 Cyber/data risico s Wat zijn de belangrijkste risico s? Data inbreuk - Forensisch ICT onderzoek -Kosten externe deskundigen melden inbreuk (juridisch, communicatie betrokkenen, meldplicht, callcenter etc.) - Kosten kredietbewaking betrokkenen - Kosten crisismanagement en PR Cyber business interruption (bedrijfsschade) - Omzetderving - Extra kosten Hacker schade - Kosten herstel website, intranet, netwerk, computersysteem, programma s of data Cyber afpersing -Kosten en vergoedingen van onderzoek, assistentie, onderhandelingskosten en betaald losgeld EIGEN SCHADE ( first party ) 48

49 5 redenen om cyberrisico s te (gaan) verzekeren Virtuele risico s, echte schade. De impact van cyberrisico s beginnen tastbaarder te worden maar zijn echt niet te overzien. De premie voor een cyberverzekering is beperkt en de grote meerderheid van bedrijven wordt eenvoudig geaccepteerd zonder aanvullende eisen. Zelfs een mogelijke boete door AP is meeverzekerd! Cyberrisico s zijn niet standaard verzekerd op huidige bedrijfsen/of beroeps-aansprakelijkheidsverzekeringen noch op reguliere brand verzekeringen. U kunt dus geen beroep op die verzekeringen wanneer u aansprakelijk wordt gesteld of eigen schade heeft door een cyberrisico. Combinatie van het gemak om binnen te komen en de intrinsieke waarde van uw data c.q. systeem bepaalt het risico van cybercrime. Verzekering dekt de financiële consequentie als het evenement zich voltrekt. Preventie vervangt een verzekering niet. Het verlaagt enkel de kans dat een cybercrimineel moeite gaat steken om uw belangen te schaden 17 mei door 2018 hacks, I AVG/GDPR ransomeware, etc.

50 En 5 redenen om cyberpreventie te (blijven) doen Geen schade is altijd beter: kortom de kans verlagen op een phishing, hack of gijzeling blijft van belang (maak gelegenheid voor de dief onaantrekkelijk) Cyberrisico s ontwikkelen zich razendsnel. Er zal voortdurend over preventie moeten worden nagedacht en gesproken: patches updaten en personeel/directie inlichten over nieuwe phishing mails. Niet omdat het moet, maar omdat je het wilt Als bestuurder moet je de kans op een risico verlagen en de impact beperken om de bedrijfscontinuïteit te waarborgen. Daarvoor zijn preventiemaatregelen, en een af te sluiten adequate verzekering, van belang voor een onderneming. Rechters kunnen bestuurders onbehoorlijk bestuur verwijten wanneer dit niet wordt uitgevoerd en een bedrijf bijv. failliet gaat dan wel betrokkenen worden benadeeld terwijl dit voorkomen had kunnen worden. Persoonlijke aansprakelijkheid ligt dan op de loer De AVG/GDPR vereist preventieve maatregelen door verantwoordelijken en verwerkers van persoonsgegevens Geen preventie = moeilijk verzekerbaar risico 17 mei 2018 I AVG/GDPR

51 Conclusies & Aanbevelingen AVG is net als verzekeringen: niet interessant, wel belangrijk Pak het aan en vul de belangrijke elementen in naar volgorde van prioriteit Leg beslissingen, overwegingen, registers, overeenkomsten goed vast Wees bij invulling Pragmatisch en Alert Vraag advies en leidraad om stapsgewijs in te vullen, maar doe dat zelf. 51

52 Vragen 52

53 Over Assurantiebedrijf Froonacker Niet interessant, wel belangrijk Zestig jaar deskundig en onafhankelijk advies op het gebied van risicobeheer, verzekeringen, pensioenen en financiële planning. Alle particuliere en zakelijke Schade-, Levens-en Zorgverzekeringen op basis kwaliteitsadvies, uitstekende voorwaarden en scherpe premies. Aandacht voor de klant staat voorop: iedere zakelijke en persoonlijke situatie is anders en vereist het nodige maatwerk. Basis voor ons advies en bemiddeling: wederzijds vertrouwen, een gedegen analyse van uw specifieke situatie en actief meedenken over uw toekomstplannen en de bijbehorende risico s. Acceptatie en schadebehandeling wordt door Froonacker in volmacht afgehandeld. 53 De missie is werk te maken van onze klanten. Zodat u als particulier, ondernemer en onderneming zelfverzekerd verder kunt groeien in dát waar u goed in bent: financieel gezond leven en ondernemen! 17 mei 2018 I AVG/GDPR