De nieuwe EU Data Privacy Wetgeving (GDPR) en Digitale Duurzaamheid. Contradictio in terminis?

Transcriptie

1 De nieuwe EU Data Privacy Wetgeving (GDPR) en Digitale Duurzaamheid. Contradictio in terminis? Dag van de Digitale Duurzaamheid Frank Driessen, IBM Information Lifecycle Governance 14 juni 2016

2 Disclaimer This should not be considered Legal advice. IBM suggests that the client reach out to the appropriate Legal Counsel for guidance as necessary. IBM s statements regarding its plans, directions, and intent are subject to change or withdrawal without notice at IBM s sole discretion. Information regarding potential future products is intended to outline our general product direction and it should not be relied on in making a purchasing decision. The information mentioned regarding potential future products is not a commitment, promise, or legal obligation to deliver any material, code or functionality. Information about potential future products may not be incorporated into any contract. The development, release, and timing of any future features or functionality described for our products remains at our sole discretion.

3 Onderwerpen van deze presentatie Overzicht Algemene Verordening Gegevensbescherming (GDPR) Bent u klaar voor de AVG Een oplossingsarchitectuur voor de AVG en de link naar digitale duurzaamheid 3

4 Algemene Verordening Gegevensbescherming (EU ) van toepassing per 25 Mei 2018 De Algemene Verordening Gegevensbescherming (AVG) is op 4 mei 2016 gepubliceerd en wordt na een 2-jaars overgangsperiode op 25 mei 2018 onverdeeld van toepassing voor elke organisatie die in de EU markt opereert, ook de overheid In tegenstelling tot de uit 1995 stammende Richtlijn 95/46/EC streeft de nieuwe AVG ernaar om een geharmoniseerd framework neer te leggen voor een eensluidend gegevensbescherming voor alle EU landen Non-compliance kan leiden tot hoge boetes ( 20m of 4% van de totale, wereldwijde omzet. In NL ihkv meldplicht Datalekken). Dus nu het wordt tijd om verder te bouwen op al bestaande grondvesten omtrent informationbescherming, - management; ken uw informatie Middels Richtlijn EU 2016/280 wordt gegevensbescherming in het kader van opsporing en vervolging geregeld. Dit valt voor nu buiten het kader van deze presentatie

5 De AVG verbreed en verdiept de scope van gegevensbescherming Extra-territorial, dus in tegenspraak met huidige wetgeving, is het van toepassing op organisaties buiten de EU gegevens verwerken die betrekking hebben op betrokkenen binnen de EU en met verplichtingen niet alleen jegens degenen die gegevens verwerken, maar ook degenen die beslissen over de verwerking van persoonlijke gegevens breed gedefinieerd waar persoonlijke gegevens uit bestaan, zoals onder andere gegevens die direct of indirect een betrokkene identificeert zoals namen, identificatie nummers, lokatiedata en online identifiers Wijzigt fundamenteel de manier waarop organisatie hun gestructureerde en ongestructureerde informatie moeten kennen, beschermen en beheren

6 Europees Comité voor gegevensbescherming Autoriteiten in Gereedheid werkt aan een Actie Plan om effectief te zijn als de European Data Protection Board (EDPS) vanaf het eerste semester van 2018 dus, de autoriteiten brengen zichzelf in gereedheid heeft uw organisatie uw eigen AVG plan in gereedheid? 2018 Corporation

7 AVG ook voor in Digitale Duurzaamheid Artikel 89 Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden Passende technische en/of organisatorische waarborgen in overeenstemming met de rechten en vrijheden van de betrokkene. Beginsel van minimale gegevensverwerking te garanderen, door o.a pseudonimisering, mits aldus die doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt (Archiefwet) Afwijking onder Unierecht of lidstatelijk recht mogelijk

8 Klaar voor de AVG These presentations are intended to provide friendly and helpful advice only, not a definitive statement of law

9 Klaar voor de AVG Belangrijkste vereisten, verplichtingen en sancties Ontwerp en Standaardinstellingen Rechten van EU Betrokkenen Verantwoordingsplicht Administratieve Boetes voor Non Compliance Beveiliging van Persoonlijke gegevens Rechtmatigheid en Toestemming

10 Klaar voor de AVG Rechten van EU Betrokkenen (data subject) Uitgebreide rechten van Betrokkenen, o.a. toegang, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar Eenvoudigere toegang tot je eigen persoonlijke gegevens en de verwerking daarvan, transparantie en eenduidigheid *ROT = Redundant, Obsolete & Trivial Data Rechten van EU Betrokkenen

11 Klaar voor de AVG Beveiliging van persoonlijke gegevens Verplichting om afdoende technische en organisationele maatregelen te nemen om het juiste beveiligingsniveau behorende bij het risico af te dekken Inclusief 72u Datalek aanmelding bij de autoriteit en zonder nodeloze vertraging bij de getroffen personen Beveiliging van Persoonlijke Gegevens

12 Klaar voor de AVG Rechtmatigheid en Toestemming Rechtmatige verwerking: toestemming, noodzaak, juridische verplicht, veiligheid, publieke/legitiem belang of officiele autoriteit Toestemming moet vrijelijk gegeven, specifiek, geinformeerd, ondubbelzinning en in gevallen expliciet gegeven zijn Rechtmatigheid en Toestemming

13 Klaar voor de AVG Verantwoordingsplicht Aantoonbaar in overeenstemming zijn met de principes omtrent de verwerking van persoonlike gegevens vanuit de AVG Inclusief rechtmatigheid, behoorlijkheid, transparantie, doelgerelateerd, toereikend (minimaal, accuraat, opslagbeperkt), integriteit en vertrouwelijkheid Verantwoord -ingsplicht

14 Klaar voor de AVG Ontwerp en Standaardinstellingen De Verwerkingsverantwoordelijke ( Data controller ) moet aantoonbaar technische en organisatorische maatregelen nemen in overeenstemming met de AVG principes Verzekeren dat de rechten van de EU Betrokkenen recht gedaan worden en dat alleen gegevens nodig voor het specificeke doel verwerkt worden Ontwerp en Standaardinstellingen

15 Klaar voor de AVG Administratieve Boetes voor for Non-Compliance Administratieve boetes voor Non-Compliance Autoriteit Persoonsgegevens kan administratieve boetes tot 20m of 4% van de totale wereldwijde omzet Extra mogelijkheden voor AP, inclusief het recht tot toegang tot data en gebouwen en om te kunnen auditen Meldplicht Data Lekken. Binnen 72u. Boete oplopend tot

16 Klaar voor AVG: architectuur These presentations are intended to provide friendly and helpful advice only, not a definitive statement of law

17 AVG Oplossingsarchitectuur Rechten van EU betrokken Beveiliging persoonlijke gegevens Rechtmatighei d en Toestemming Verantwoord Lawfulness and -ingsplicht Consent Ontwerp en Standaardinstellingen Dynamisch Beleid Management: Definieer what, waarom en hoe lang Implementatie Diensten: Link beleid aan data bronnen Gegevens Infrastructuur: Beheer gebruik, kosten vs value B e l e i d R e g e l s A u d i t P r o c e s s e n An a l y s e Databases & Data Warehouse ECM & Collaboratio n Data Management Archive Platform Hadoop Platform Master Data Server s User Devices & File Shares Cloud & Social Compliance monitoring

18 Definieer en beheer gegevensbeleid voor ALLE gegevens in lijn met de waarde van de informatie Bied een heldere definitie van alle soorten gegevensbeleid die van invloed zijn op de gegevensverwerking Bepaal de implementatie van gegevensbeleid via afgeleide (it) regels Automatiseer implementatie van de regels over de diverse systemen, maak het voor record managers en IT mogelijk de regels af te dwingen

19 Wat is Informatie Lifecycle Governance? ILG is een set van databeleidsregels die definieren hoe een organisatie haar informative beheert geduurde de levensduur om operationeel en systematisch risico te beperken zonder de waarde van deze informative nadelig te beinvloeden.

20 Information Lifecycle Governance Oplossingen en mogelijkheden Assessment & Clean Up Juridisch IBM Information Lifecycle Risico & Governance Beveiliging Record & Retentie Archivering

21 Afstemmen van Retentie, Privacy en Beveiligingsverplichtingen op organisatiebrede schaal. Uitoefening en afdwingen op lokale schaal Lever exacte, bruikbare instructies op van toepassing zijnde privacy en beveiligingsverplichtingen. Dwing ze automatisch af op (on)gestructureerde gegevens Retentie Verwijdermethodiek vereisten Opslagmedia vereisten Beveiligingsvereisten Beperking in gebruik Transport of overdrachtsvereisten Openbaar maken van fouten

22 Distributeer gegevensbeleid direct over ongestructureerde en gestructureerde archieven Database / Data Warehouse Content Archive System / HCAP OpenText Livelink / Content Server FAS & SnapLock Lotus Notes & Domino Xtender Macintosh NT File System (Agent-less or Agent) CIF S Celerra/ Centerra NFS Linux / Unix

23 Identificeer relevante gegevens op in place Phase 1: Identify Data Sources Metadata Phase 2: Filter based on metadata Filter1 Filter2 Full Text Phase 3: Manage deep inquiries through full-text and metadata indexing Classification Bijv. Burgerservicenummer Adresgegevens Rekeningnummer Speciale categorie Persoonsgegevens Phase 4: Investigate relevant data and compile evidence Action Volume Relevance

24 Monitor compliance, ontdek problemen en neem actie om problemen op te lossen Is informatie onbehoorlijk opgeslagen? Zijn de juiste beveilingsmaatregelen getroffen? Is er regelmatige en stelselmatige onbehoorlijk toegang tot data? Monitor Reporteer Actie

25 AVG Oplossingsarchitectuur Rechten van EU betrokken Beveiliging persoonlijke gegevens Rechtmatighei d en Toestemming Verantwoord Lawfulness and -ingsplicht Consent Ontwerp en Standaardinstellingen Dynamisch Beleid Management: Definieer what, waarom en hoe lang Implementatie Diensten: Link beleid aan data bronnen Gegevens Infrastructuur: Beheer gebruik, kosten vs value B e l e i d R e g e l s A u d i t P r o c e s e n An a l y s e IBM Atlas Databases & Data Warehouse IBM ECM FileNet Records Management IBM Case Manager Archive Platform Data Management Hadoop Platform Master Data Server s User Devices & File Shares InfoSphere Optim Cloud & Social Corporation Compliance monitoring

26 En hoe nu verder Ook de overheidsinstanties moeten zich verdiepen in de impact van de AVG Komende twee jaar zal nog veel duidelijk moeten worden Afstemming tussen (digitale) Duurzaamheid en Privacy wetgeving is onontbeerlijk Gegevensidentificatie en classificatie is een goede eerste stap die nu al gezet kan worden Een Quickstart kan u helpen op weg naar Information Governance, inclusief of specifiek voor AVG

27

28 Vragen