HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie

Transcriptie

1 HRM in GDPR Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo 06 feb 2017 Gent V-ICT-OR Vlaamse ICT Organisatie

2 16 stappen (roadmap) voor de implementatie (Algemene Verordening Gegevensbescherming) Projectteam Functionaris Gegevensbescherming Gegevensbeschermingsbeleid Bewustwording Contracten Passende beveiliging persoonsgegevens Dataregister Inventariseer verwerking persoonsgegevens Datalekken melding Procedures betrokkenen Communicatie Wettelijke grondslag Internationaal Kinderen Privacy by Design & PIA Toestemming

3 Types van Persoonlijke gegevens

4 Birdseyeview Actoren Gegevensbron(nen) Gegevensstroom Risico s

5 Persoonsgegevensbescherming 1. Finaliteit: Persoonsgegevens mogen volgens de privacywet slechts verwerkt worden met het oog op één of meer gerechtvaardigde doelstellingen. Dit houdt in dat er steeds een concrete reden moet zijn waarvoor de persoonsgegevens zullen verwerkt worden en dat deze reden nauwkeurig moet worden vastgelegd 2. Proportionaliteit: Er mogen enkel gegevens worden verzameld die "toereikend, ter zak dienend en niet overmatig zijn. Dit houdt in dat enkel relevante en noodzakelijke gegevens mogen verzameld worden 3. Transparantie: Er dient transparantie en duidelijkheid te zijn betreffende welke gegevens juist worden verwerkt ten opzichte van de betrokken persoon Uiteraard komen deze beginselen bovenop de eerder genoemde principes van Vertrouwelijkheid Integriteit en Betrouwbaarheid (CIA)

6 16 stappen (roadmap) voor de implementatie (Algemene Verordening Gegevensbescherming) Projectteam Functionaris Gegevensbescherming Gegevensbeschermingsbeleid Bewustwording Contracten Passende beveiliging persoons-gegevens Dataregister Inventariseer verwerking persoons-gegevens Datalekken melding Procedures betrokkenen Communicatie Wettelijke grondslag Internationaal Kinderen Privacy by Design & PIA Toestemming

7 Hoe naar de organisatie kijken? The Open Group Architecture Framework Assets Het TOGAF ontwikkelmodel wordt door de afbeelding weergegeven

8 Implementatie gegevensbeschermingsmanagement systeem ISO 27k versus AVG Domeinen (controls) 1. Risicobeoordeling 2. Algemeen beveiligingsbeleid (security policy) 3. Organisatie van informatieveiligheid 4. Beheer van bedrijfsmiddelen 5. Personeelsbeleid 6. Toegangsbeveiliging 7. Cryptografie 8. Fysieke beveiliging (beveiliging omgeving) 9. Operationele beveiliging (beveiliging bedrijfsactiviteiten) 10. Communicatie beveiliging (netwerk en informatietransport) 11. Beheer van informatiesystemen (verwerving, ontwikkeling, onderhoud) 12. Beheer van leveranciersrelaties 13. Beheer van incidenten (incident management) 14. Beheer van bedrijfscontinuïteit (calamiteiten) 15. Naleving (Compliancy!)

9 GEEN TOEGANG

10

11 Organisatie Risico s Beleid BESCHERMING PERSOONSGEGEVENS CYCLUSMANAGEMENT

12 BEOORDELEN BEVEILIGINGSRISICO S Worden beveiligingsrisico s en -behoeften rond uw persoonsgegevensbronnen, die eigen zijn aan uw bestuur en die het gebruik en de verwerking van persoonsgegevens betreffen, regelmatig geëvalueerd en gepresenteerd aan het management voor verdere acties? Worden de nodige beheersmaatregelen getroffen en opgevolgd voor elk relevant risico omtrent het gebruik en de verwerking van persoonsgegevens vastgesteld na de informatierisicobeoordeling?

13 GEGEVENSBESCHERMINGSBELEID Uw bestuur moet over een geactualiseerd en door het management goedgekeurd persoonsgegevensbeschermingsbeleid beschikken dat op regelmatige basis naar alle relevante partijen gecommuniceerd wordt. Is er duidelijke ondersteuning van het management om de implementatie van persoonsgegevensbescherming in de organisatie, om deze op te starten, te beheersen, te onderhouden en waar nodig bij te sturen?

14 INTERNE ORGANISATIE ROND PERSOONSGEGEVENSBESCHERMING Stelt uw bestuur de nodige werkkredieten en middelen ter beschikking om te kunnen voorzien in de correcte coördinatie en uitvoering van het informatiebeveiligingsbeleid? Beschikt de DPO over de nodige competenties en informatie om zijn taak correct en tijdig uit te voeren? Beschikt uw organisatie over een actief beslissingsplatform, dat op regelmatige basis samenkomt voor de validatie en de goedkeuring van de beheersmaatregelen voor persoonsgegevensbescherming?

15 INTERNE ORGANISATIE ROND PERSOONSGEGEVENSBESCHERMING Wordt ongeacht het soort project, persoonsgegevensbescherming steeds geïntegreerd in de projectbeheersmethode(n) teneinde de risico s tijdig te identificeren en aan te pakken? Organiseert uw bedrijf de communicatie aan de DPO zodanig dat hij over de gegevens beschikt voor de uitvoering van de hem toegewezen opdracht en om overleg te organiseren tussen de verschillende betrokken partijen zodat hij op deze manier nauwer betrokken wordt bij de werkzaamheden in de organisatie?

16 INTERNE ORGANISATIE ROND GEGEVENSBESCHERMING Is er een samenwerkingsakkoord tussen de verschillende partnerorganisaties waarin de naleving van alle normen en regels van elke organisatie ook aan de andere wordt opgelegd? Indien met een derde partij wordt gewerkt, is er een contract waarin bevoegdheden worden geregeld en naleving van de wetgeving inzake persoonsgegevensbescherming wordt afgedwongen?

17 INTERNE ORGANISATIE ROND GEGEVENSBESCHERMING Beschikt uw organisatie over een formeel beleid inzake mobiel computergebruik waarbij rekening wordt gehouden met de risico s van het werken in onbeschermde omgevingen? Personeel dat draagbare computerapparatuur gebruikt, moet instructies krijgen om hen bewust te maken van de extra risico s van deze manier van werken en van de beheersmaatregelen die worden getroffen. Indien uw organisatie telewerken toestaat, heeft het dan een beleid uitgevaardigd dat de voorwaarden en beperkingen van telewerken definieert?

18 WAT MET PERSONEEL BESCHERMING PERSOONSGEGEVENS

19 Personeel Werving en Selectie faciliteiten In Dienst treden werkplek Functionering software Ontwikkelen Personeel Datacommunicatie Uit Dienst treden communicatie

20 PERSONEEL VOORAFGAAND DIENSTVERBAND Duidt uw organisatie duidelijk het belang van persoonsgegevensbescherming aan, aan potentiële kandidaten tijdens het recruteringsproces? Ondertekenen alle kandidaten hun arbeidsovereenkomst, waarin ook clausules staan omtrent hun verantwoordelijkheden voor de gegevensbescherming van persoonsgegevens? Stelt uw organisatie alle interne medewerkers die betrokken zijn bij het gebruik en de verwerking van de persoonsgegevens op de hoogte van de vertrouwelijkheids- en beveiligingsverplichtingen via een formeel document of proces? Gebeurt dit onder de vorm van een gedragscode; en/of vermelding van deze gedragscode in het arbeidsreglement; en/of een functiebeschrijving met vermelding van de vertrouwelijkheids- en beveiligingsverplichtingen; en/of contractuele bepalingen; en daarnaast onder de vorm van geschikte bewustzijnsopleiding en training en regelmatige bijscholing.

21 PERSONEEL TIJDENS DIENSTVERBAND Stelt uw organisatie alle externe medewerkers (ingehuurd personeel en externe gebruikers) belast met het gebruik en/of de verwerking van de persoonsgegevens op de hoogte van de vertrouwelijkheids- en beveiligingsverplichtingen door het ondertekenen van een contractueel document met duidelijke contractuele bepalingen? Beschikt uw organisatie over een formele en gecommuniceerde disciplinaire procedure om actie te ondernemen tegen medewerkers die een inbreuk gepleegd hebben tegen persoonsgegevensbescherming? NA of bij GEWIJZIGD DIENSTVERBAND Heeft uw organisatie de verantwoordelijkheden en taken m.b.t. de gegevensbescherming die van kracht blijven of verdwijnen na beëindiging of wijziging van het dienstverband naar de interne of externe medewerker gedefinieerd, gecommuniceerd en ten uitvoer gebracht?

22 WAT MET BEDRIJFSMIDDELEN BESCHERMING PERSOONSGEGEVENS

23 BEDRIJFSMIDDELEN CLASSIFICATIE VAN INFORMATIE Maakt uw organisatie duidelijk onderscheid tussen anonieme gegevens, persoonsgegevens, gevoelige persoonsgegevens en gecodeerde gegevens? Zijn alle gebruikers die persoonsgegevens gebruiken/verwerken op de hoogte zijn van dit onderscheid?

24 BEDRIJFSMIDDELEN BEHANDELING VAN MEDIA Heeft uw organisatie procedures voor het beheer van verwijderbare media waarop persoonsgegevens worden opgeslagen en die de beveiligingsperimeter van uw organisatie kunnen verlaten? Heeft uw organisatie de nodige maatregelen genomen om fysieke media (inclusief papieren documenten) die persoonsgegevens bevatten tijdens het transport te beschermen tegen onbevoegde toegang, misbruik en corruptie? Is het hoogste veiligheidsniveau opgelegd aan de twee organisaties van toepassing voor elke gedeelde informatiedrager/media, en dit zowel voor actieve informatiedragers als deze gebruikt voor back-up en archivering?

25 FYSIEKE BEVEILIGING BEVEILIGING VAN DE OMGEVING Heeft uw organisatie, op basis van de resultaten van de risicobeoordeling, de gepaste toegangsbeveiligingen bepaald om alle ruimten waarin zich persoonsgegevens verwerkende faciliteiten met persoonsgegevens bevinden te beveiligen? (toegangscontrole) Heeft uw organisatie de nodige maatregelen bepaald met betrekking tot beveiligde zones om elke vorm van schade te vermijden die de persoonsgegevens in gevaar kunnen brengen? (brand, waterschade, )

26 TOEGANG TOT PERSOONSGEGEVENS Beschikt uw organisatie over een goedgekeurd en geactualiseerd toegangscontrolebeleid met betrekking tot het toekennen, veranderen en verwijderen van toegangsrechten tot systemen die persoonsgegevens gebruiken/verwerken? Werd dit beleid vastgesteld, gedocumenteerd en beoordeeld op basis van de classificatie van de persoonsgegevens? Heeft uw organisatie een verantwoordelijke aangesteld die belast wordt met het beheer van alle aanvragen m.b.t. de toegang tot persoonsgegevens? Is deze verantwoordelijke verschillend van de persoon die de toegangsrechten op technisch niveau in de systemen toekent, aanpast of verwijdert? Zijn de gebruikers ingelicht over hun verantwoordelijkheid in een doeltreffende toegangsbeveiliging, onder meer inzake het gebruik van wachtwoorden en beveiliging van gebruikersapparatuur waarop persoonsgegevens gebruikt/verwerkt worden?

27 OPERATIONELE BEVEILIGING Voorziet uw organisatie in de nodige procedures en verantwoordelijkheden bij veranderingen in de organisatie, bedrijfsprocessen, informatie verwerkende faciliteiten en systemen die van invloed zijn op de gegevensbescherming van persoonsgegevens? Voorziet uw organisatie in een functiescheiding om te voorkomen dat één enkele persoon de exclusieve controle zou verwerven over een verwerking van persoonsgegevens?

28 HRM link naar persoonsgegevens HRM

29 Zuid Europese Camerabeveiliging

30 Eddy Van der Stock