Liever bewust risico s nemen dan onbewust risico lopen
|
|
- Jelle de clercq
- 6 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Liever bewust risico s nemen dan onbewust risico lopen Informatieveiligheid en privacy in de zorg niet meer vrijblijvend December 2016 Julius Duijts en Willem de Vries
2 Inhoudsopgave Inleiding 7 Privacy en informatieveiligheid steeds minder vrijblijvend 8 Informatieveiligheid: een veelomvattend begrip 8 Risico s wanneer adequaat beleid en maatregelen ontbreken 9 Waar staat uw organisatie nu en waar ontwikkelt hij naar toe? 9 De stapsgewijze aanpak (van BMC) 10 Wat levert een goed ingerichte informatieveiligheid u op? 11 Wat kan BMC voor u betekenen? 12 Waarom BMC? 14 BMC 5
3 6
4 Inleiding Privacy en informatieveiligheid zijn in toenemende mate een thema in het maatschappelijk debat, mede naar aanleiding van regelmatige publicaties over inbreuken in de publieke sector. Informatieveiligheid is een belangrijke pijler onder de bescherming van privacy, naast de andere eisen die de Wet bescherming persoonsgegevens (Wbp) stelt (zie kader). De mate van volwassenheid van zorginstellingen op dit gebied verschilt sterk. Sommige organisaties hebben een privacyofficer en een informationsecurityofficer aangesteld, hebben beleid ontwikkeld en bewaken en evalueren de uitvoering daarvan. Sommige organisaties bereiden zich voor op een NEN7510-certificering (zie kader). Veel organisaties hebben wel een aantal maatregelen getroffen om te voldoen aan privacy en informatieveiligheid, maar het ontbreekt vaak nog aan integraal beleid en de uitvoering daarvan. Wet bescherming persoonsgegevens De Wbp geeft aan binnen welke kaders persoonsgegevens mogen worden verwerkt en beschrijft de rol van de toezichthouder, de Autoriteit Persoonsgegevens (AP). Onderwerpen die in uw organisatie geregeld moeten zijn om te voldoen aan de wet zijn: melding van de verwerking aan de AP, rechtmatigheid van de verwerking (grondslag, doelbinding, propor tionaliteit en subsi diariteit), bewaartermijnen, verwerkingen register, bewerkers overeenkomsten, melding van datalekken, gegevensuitwisseling en informatieveiligheid. Op 25 mei 2018 treedt de Algemene Verordening Gegevens bescherming (AVG) in werking met aanvullende eisen ten aanzien van bijvoorbeeld verantwoording, documentatie, evaluatie, gegevens effectbeoordeling en de verplichte aanstelling van een functionaris gegevensbescherming. Omdat er nog geen catalogus van praktische maatregelen is om te voldoen aan de eisen rond aantoonbaarheid en evaluatie in de AVG, heeft BMC een catalogus met beheersmaatregelen ontwikkeld als basis voor een degelijke implementatie. NEN7510 Informatieveiligheid in de zorg NEN 7510 is de Nederlandse norm voor informatieveiligheid die is ontwikkeld met participatie vanuit de zorg zelf. Zowel door de Inspectie voor de GezondheidsZorg (IGZ) als de AP en andere toezichthouders wordt deze norm als basis gebruikt voor het beoordelen van de informatieveiligheid van zorgaanbieders. Per 1 februari 2016 is het voor organisaties mogelijk om zich te certificeren voor de NEN7510-norm. Enkele honderden organisaties (groot en klein) hebben dat inmiddels gedaan. Op termijn zou dit een verplichting kunnen worden; wettelijk of door dit in aanbestedingseisen op te nemen. BMC 7
5 Privacy en informatieveiligheid steeds minder vrijblijvend Een aantal ontwikkelingen zorgen ervoor dat privacy en informatieveiligheid steeds minder vrijblijvend worden: Elke zorginstelling gaat om met persoonsgegevens. De privacywetgeving wordt stapsgewijs aangescherpt. Per 2016 geldt er een meldplicht voor datalekken. Voorwaarde voor het vaststellen van datalekken is een goede informatieveiligheid, met bewaking van de informatiestromen. In mei 2018 treedt de AVG in werking met aanvullende eisen (zie kader). Datalekken en andere beveiligingsincidenten komen steeds meer voor. Een goed geïmplementeerd beleid voor informatieveiligheid en privacy maakt de kans op een incident kleiner en zorgt ervoor dat bestuurders aan hun zorgplicht voldoen. Dat maakt het beantwoorden van vragen door toezichthouders naar aanleiding van een incident een stuk gemakkelijker. Gebruikers van het burgerservicenummer (BSN) in de zorg zijn wettelijk verplicht om te voldoen aan NEN 7510 (art. 2 Regeling gebruik BSN in de zorg). Aangezien het BSN een sleutelrol speelt bij de communicatie in de keten en bij facturatie, betreft dit vrijwel alle zorgaanbieders. Per 1 februari 2016 is het voor organisaties mogelijk om zich te certificeren voor de NEN7510-norm. Enkele honderden organisaties (groot en klein) hebben dat inmiddels gedaan. Het ligt voor de hand dat opdrachtgevers, zoals zorgverzekeraars en gemeenten, dit op de agenda zetten bij de jaarlijkse contractonderhandelingen en op termijn lijkt het waarschijnlijk dat certificering bij aanbestedingen een eis wordt. Toezichthouders zoals de AP pleiten al jaren voor een betere informatieveiligheid in de zorg. De AP heeft zorgbestuurders er al meerdere malen op aangesproken hier meer aandacht aan te besteden (open brief april 2016). De AP brengt regelmatig rapporten uit met als doel partijen te bewegen om vanuit het oogpunt van privacy de juiste dingen te doen. In 2015 is een aantal bureaus jeugdzorg onderzocht en in 2016 verscheen er een onderzoek over het sociaal domein van de hand van de AP en stuurde de AP een open brief aan raden van bestuur van zorginstellingen. Met het verhogen van de boetebevoegdheid van de AP tot 820k of 10% van de omzet, nemen de mogelijkheden om regulerend op te treden toe. Het lijkt erop dat de AP de druk op privacy en informatieveiligheid stap voor stap zal opvoeren. Informatieveiligheid: een veelomvattend begrip In het verleden werden privacy en informatieveiligheid nogal eens gezien als iets voor ICT. Nu weten we dat veel inbreuken ontstaan door gedrag van medewerkers. Daarmee heeft iedereen een rol in en verantwoordelijkheid voor informatieveiligheid. In de afgelopen jaren hebben veel zorgaanbieders/ bestuurders hun handen vol gehad aan de implementatie van stelselwijzigingen als gevolg van decentralisatie, marktwerking en nieuwe bekostiging en bijbehorende administratieve processen. Daarbij stond het waarborgen van de continuïteit van de zorg en de organisatie voorop. Nu komen we in een nieuwe fase, waarin aandacht voor andere aspecten nodig is. Informatieveiligheid en privacy horen daarbij. Voor kleinere organisaties kan het lastig zijn om voldoende deskundigheid te verkrijgen op dit complexe terrein, waar juridische, technische en HR-aspecten en de visie op zorg bij elkaar komen. 8
6 Risico s wanneer adequaat beleid en maatregelen ontbreken Voor zorgaanbieders en voor bestuurders van zorgaanbieders is het een toenemend risico wanneer adequaat beleid en bijbehorende maatregelen niet voorhanden zijn: Patiënten kunnen ernstige schade lijden bij onvoldoende informatieveiligheid. Omdat het ook om medische gegevens gaat, treft dit mensen in de persoonlijke levenssfeer en ondermijnt het de vertrouwensrelatie tussen zorgaanbieder en cliënt. Persoonlijk en financieel kan dit voor cliënten grote gevolgen hebben. Met name in de GGZ kan het ook het succes van de behandeling ernstig dwarsbomen. Er kan reputatieschade ontstaan als gevolg van datalekken, hacken. Regelmatig duiken er berichten op in de pers over inbreuken bij gemeenten. Ook voor zorginstellingen is dit een risico. Reputatieschade kan ontstaan wanneer zorginstellingen worden genoemd in rapporten van de AP of andere toezichthouders. Er kunnen financiële risico s ontstaan als gevolg van lagere omzet als gevolg van reputatieschade en boetes. Wanneer een organisatie privacy en informatieveiligheid goed heeft ingericht, is dat ook een kans, omdat het kan bijdragen aan het winnen en behouden van het vertrouwen van cliënten en opdrachtgevers. Informatieveiligheid is een belangrijke pijler voor de borging van privacy. Omdat zorgaanbieders werken met een BSN, is het voldoen aan NEN 7510 (informatieveiligheid in de zorg) ook een wettelijke vereiste. Deze norm wordt door toezichthouders (IGZ en AP) gebruikt als meetlat. Certificering is sinds begin 2016 mogelijk. We verwachten op termijn een beweging richting verplichte certificering. Waar staat uw organisatie nu en waar ontwikkelt hij naar toe? Om verantwoordelijkheid te kunnen dragen voor privacy en informatieveiligheid is het belangrijk te weten waar de organisatie op dit punt staat. U wilt tenslotte voldoen aan relevante wetgeving en geen onbekende risico s lopen. Een blik van buiten zorgt voor onafhankelijkheid en brengt blinde vlekken aan het licht. Op die manier wordt u in staat gesteld om bewuste keuzes te maken bij het treffen van maatregelen of het accepteren van risico s. Vervolgens kunt u de nodige maatregelen implementeren, al of niet met externe ondersteuning. 0 1 Ad Hoc 2 Basis 3 Gepland 4 Geïmplementeerd 5 Proactief Geen aandacht voor informatieveiligheid/ privacy. Beperkt aantal ad hoc maatregelen, tijdelijke rollen. Basisset maatregelen genomen, globaal beleid, rollen belegd. Volledig beleid, implementatieplan voor de maatregelen op basis van risicoanalyse. Geïmplementeerd beleid en maatregelen, evaluatie geïntegreerd in P&C Cyclus. Proactieve sturing op ontwikkelingen, integratie van audits. BMC 9
7 De stapsgewijze aanpak (van BMC) De volledige inrichting van NEN 7510 omvat meer dan honderd beheersmaatregelen. Dat betekent veel werk, want de norm vereist ook de inbedding ervan in de organisatie en dat gaat niet van de ene op de andere dag. Dan is het de vraag waar je moet beginnen. Stapsgewijze implementatie maakt het proces beheersbaar en zorgt voor motiverende mijlpalen op weg naar volledige conformiteit. Om dit vorm te geven, onderscheiden we een aantal implementatieniveaus die achtereenvolgens doorlopen kunnen worden. Hieronder geven we de belangrijkste kenmerken van deze implementatieniveaus weer: Implementatieniveau 0: afwezig Op dit niveau is er geen aandacht voor informatieveiligheid. We zien dit in de praktijk met name in organisaties in oprichting. Implementatieniveau 1: ad hoc Op dit niveau ontstaat het eerste beleid, meestal op operationeel niveau. Rollen zoals die van privacyofficer (ook: privacybeheerder) of securityofficer (ook: informatieveiligheidsbeheerder of CISO) worden niet of alleen tijdelijk, bijvoorbeeld in een project, benoemd. Maatregelen worden in specifieke deelgebieden of als onderdeel van de implementatie van nieuwe systemen genomen, vaak met het accent op technische beveiliging. De controle vindt plaats als bijproduct van andere controles, zoals de controle van de jaarrekening of de certificering van het primaire proces. Dat kan een aanleiding zijn om meer aandacht aan privacy en/of iinformatieveiligheid te besteden en de stap naar het volgende implementatieniveau te maken. Van ad hoc naar basis Voor privacy wordt een inventarisatie van verwerking van persoonsgegevens gemaakt en deze wordt getoetst aan wet- en regelgeving. Vervolgens kan met een actieplan het niveau basis worden bereikt. Voor informatieveiligheid wordt een scan gemaakt op grond van een basisset van beveiligingsmaatregelen. Daarop volgt een aanpak om de basisset van maatregelen te implementeren. Implementatieniveau 2: basis Op dit niveau zijn de sleutelrollen benoemd. Deze krijgen als taak om het beleid en de implementatie daarvan vorm te geven. Daarvoor worden ze opgeleid. Het beleid krijgt vorm in algemene termen en wordt gespiegeld aan weten regelgeving. De meest voor de hand liggende maat regelen zijn getroffen. Voor privacy is er een verwerkings register, de rechtmatigheid van de bewerkingen is gewaar borgd, bewerkersovereenkomsten zijn afgesloten en processen rond de meldplicht datalekken zijn ingericht. Voor informatieveiligheid gaat het om basismaatregelen op het gebied van gedrag van medewerkers, fysieke beveiliging en beveiliging van netwerken, systemen en eindgebruikersapparaten. Dat schept de uitgangssituatie om privacy en informatieveiligheid structureel op te pakken. Van basis naar gepland Structureel oppakken bestaat uit een goede GAP-analyse van de maatregelen die al getroffen zijn ten opzichte van de maatregelen die nodig zijn om duurzaam te voldoen aan NEN 7510 en aan de privacywetgeving. Omdat er nog geen catalogus van praktische maatregelen is om te voldoen aan de eisen rond aantoonbaarheid en evaluatie in de AVG, heeft BMC een catalogus met beheersmaatregelen ontwikkeld als basis voor een degelijke implementatie. Naast de GAP-analyse wordt er voor informatieveiligheid een risicoanalyse en een dataclassificatie uitgevoerd. Op basis daarvan wordt voor zowel privacy als informatieveiligheid integraal beleid opgesteld. Implementatieniveau 3: gepland Op dit niveau is er integraal beleid geformuleerd dat de gehele privacywetgeving en NEN 7510 omvat. Voor informatieveiligheid zijn op basis van een risicoanalyse en het principe leg uit of pas toe ( comply or explain ) de te implementeren maatregelen gekozen en geprioriteerd. Deze zijn vaak nog niet volledig geïmplementeerd. Wel wordt daar in deze fase actief aan gewerkt door de maatregelen uit te werken in bijvoorbeeld procesbeschrijvingen, praktische richtlijnen en gedragscodes. Daarbij zijn steeds meer disciplines betrokken, zoals HR, facilitaire zaken, lijnmanagers en proceseigenaren in het primaire proces. Alle medewerkers worden bewust gemaakt van hun verantwoordelijkheid voor privacy en informatieveiligheid. Dit wordt bijvoorbeeld besproken tijdens werkoverleggen. Door middel van geregeld voortgangsoverleg en een eventuele herhaling van de GAP- en risicoanalyse wordt de voortgang bewaakt en bijgestuurd. Daarbij is ook de hoogste leiding van de organisatie op gezette tijden betrokken. 10
8 Implementatieniveau 4: geïmplementeerd Op dit niveau zijn het beleid en de maatregelen volledig geïmplementeerd. Deze worden op basis van periodieke evaluaties en risicoanalyses bijgesteld volgens de Plan- Do-Check-Act-cyclus, die ook uit het kwaliteitsmanagement bekend is. Dat de maatregelen worden uitgevoerd is aantoonbaar en dit wordt ook bewaakt in de P&C-cyclus en getoetst door middel van interne en externe audits. Voorafgaand aan belangrijke wijzigingen in processen en systemen wordt de impact daarvan op privacy en informatieveiligheid onderzocht. Dit is dan ook het niveau waarop een NEN7510-certificeringsaudit met succes kan worden doorlopen. Implementatieniveau 5: proactief Op dit niveau wordt er ook vooruitgekeken naar toekomstige ontwikkelingen op het gebied van wet- en regelgeving en techniek. Ook wordt er vooruit- gekeken naar ontwikkelingen binnen de organisatie, bijvoorbeeld andere manieren van organiseren en werken en de invoering van nieuwe informatiesystemen die daarbij horen. Naast de uitvoering van de maatregelen is er meer aandacht voor de effectiviteit ervan. Penetratietesten kunnen daaraan bijdragen. Bij de verdere ontwikkeling van beleid en maatregelen worden de effectiviteit en efficiëntie daarvan geoptimaliseerd. Daarbij worden maatregelen uit verschillende normen gecombineerd en op elkaar afgestemd. Ook wordt er gekeken naar betere aansluiting bij ketenpartners waar het gaat om privacy en informatieveiligheid. Op basis van deze implementatieniveaus geeft BMC inzicht in waar uw organisatie staat en welke vervolgstappen in uw situatie gepast zijn. Wat levert een goed ingerichte informatieveiligheid u op? Bovengenoemd proces leidt tot een gestage ontwikkeling van uw organisatie naar de gewenste situatie waarin u aantoonbaar voldoet aan de normen voor informatiebeveiliging en privacywet- en regelgeving. Dit betekent dat bestuurders in control zijn en bewuste, onderbouwde keuzes kunnen maken ten aanzien van risico s. De gegevens van cliënten zijn goed beschermd, zodat ze deze met vertrouwen kunnen delen met zorgverleners. Als er onverhoopt toch een inbreuk ontstaat, is de organisatie klaar om hierop te reageren, bijvoorbeeld door een datalek te melden bij de AP. Bestuurders, management en medewerkers kunnen met een goed geweten zeggen dat er passende maatregelen getroffen zijn om incidenten te voorkomen. Dat vormt ook een goede basis voor gesprekken met opdrachtgevers, waarin informatieveiligheid steeds vaker aan de orde komt. Met een goed ingerichte informatieveiligheid wordt het vertrouwen van cliënten en opdrachtgevers in de organisatie versterkt. Handige links Wet bescherming persoonsgegevens: Algemene Verordening Gegevensbescherming: PDF/?uri=CELEX:32016R0679&from=NL NEN7510: NEN nl.htm Regeling van de Minister van Volksgezondheid, Welzijn en Sport van 26 mei 2008, nr. MEVA/ICT met regels omtrent het gebruik van het burgerservicenummer in de zorg (Regeling gebruik burgerservicenummer in de zorg). Boetebeleidssregels Autoriteit Persoonsgegevens: BMC 11
9 Wat kan BMC voor u betekenen? Voor elk implementatieniveau ondersteunt BMC u bij de borging en verbetering van privacy en informatie veiligheid, zoals door middel van: scans en assessments om uw situatie in kaart te brengen; het opstellen van beleid en onderbouwde keuzes van maatregelen; het maken van concrete plannen voor de verdere inrichting in uw organisatie; het ondersteunen van en adviseren bij de implementatie. Implementatieniveau Diensten privacy Diensten informatieveiligheid 1 Ad hoc Managementworkshop Toetsing aan het privacykader inclusief melding bij de AP en opstellen bewerkersovereenkomsten 2 Basis Inrichtingsplan beheersingsmaatregelen voor privacy Toetsing rechtmatigheid van verwerkingen en gegevensuitwisseling Privacy Impact Assessment 3 Gepland Assessment beheersingsmaatregelen (opzet en/of bestaan) Toetsing rechtmatigheid van verkeringen en gegevensuitwisseling Advies en ondersteuning bij implementatie Privacy Impact Assessment Training en bewustwording 4 Geïmplementeerd Assessment (opzet en bestaan) Toetsing rechtmatigheid van verkeringen en gegevensuitwisseling Advies en ondersteuning bij evaluatie/ verbetering Privacy Impact Assessment 5 Proactief Advies en ondersteuning bij evaluatie/ verbetering Alle niveaus Training en bewustwording Jaarlijkse check met verschillende modules: - Update verwerkingenregister - Toetsing rechtmatigheid Evaluatie beheersingsmaatregelen Managementworkshop Scan informatiebeveiliging Opstellen van informatieveiligheidsbeleid GAP-analyse beveiligingsmaatregelen Dataclassificatie Risicoanalyse Plan van aanpak voor implementatie Assessment (opzet en/of bestaan) Risicoanalyse Implementatieplan Advies en ondersteuning bij implementatie Training en bewustwording Assessment (opzet en bestaan), voorbereiding certificeringsaudit Advies en ondersteuning bij evaluatie/ verbetering Advies en ondersteuning bij evaluatie/ verbetering Training en bewustwording Jaarlijkse check met verschillende modules, zoals: GAP-analyse Risicoanalyse Plan van aanpak 12
10 Managementworkshop De managementworkshop is bedoeld om bestuurders en managers te laten kennismaken met regelgeving rond privacy en informatieveiligheid, om op die manier samen een globale indruk te krijgen van waar de organisatie staat. De workshop (een dagdeel) bestaat uit een intake met een rapportage en kan gericht zijn op privacy, informatieveiligheid of beide. In de workshop wordt een inventarisatie gemaakt van uw belangrijkste processen, systemen en gegevens en ontdekt u de aandachtspunten voor uw organisatie op hoofdlijnen. Toetsing aan het privacykader In de privacyevaluatie wordt de verwerking van persoonsgegevens geïnventariseerd en getoetst aan het wettelijk kader van de Wbg en andere regels die voor u van toepassing zijn. Het gaat onder andere om: melding van verwerking aan de AP, rechtmatigheid van de verwerking (grondslag, doelbinding, proportionaliteit en subsidiariteit), bewaartermijnen, verwerkingsregister, bewerkersovereenkomsten, melding van dataleken, gegevensuitwisseling en informatieveiligheid. Wanneer er nog geen systematische inventarisatie van verwerking van persoonsgegevens heeft plaatsgevonden, kan dit worden opgenomen in het onderzoek. Desgewenst kan bij het assessment worden geanticipeerd op de AVG die in 2018 van kracht wordt. Dit stelt u in staat om proactief en efficiënt op de nieuwe wetgeving te reageren. Assessment beheersing privacy In het privacyassessment wordt onderzocht welke maatregelen uit de catalogus met beheersmaatregelen voor de AVG in uw organisatie in opzet aanwezig zijn. Op basis daarvan wordt er een plan gemaakt voor de verdere implementatie daarvan, waarna u niet alleen voldoet aan wet- en regelgeving, maar dit niveau ook in stand kunt houden, kunt aantonen, evalueren en waar nodig verbeteren. Scan informatieveiligheid Deze scan is bedoeld voor organisaties die informatieveiligheid nog niet structureel hebben ontwikkeld en geïmplementeerd. Daarin worden door u op basis van een vragenlijst documenten aangeleverd over beleid en maatregelen op het gebied van informatieveiligheid. Deze worden met de normen en de stand van de techniek vergeleken en tijdens een beperkt aantal interviews of in een workshop met betrokkenen besproken, bijvoorbeeld verantwoordelijken voor en uitvoerenden van HR-, kwaliteits- en ICT-beleid. Op basis daarvan worden de belangrijkste issues gerapporteerd en worden er vervolgstappen geadviseerd. De scan informatieveiligheid bevat onderdelen van NEN 7510 die voor deze doelgroep als eerste aan de orde komen. Het betreft zowel beleidsmatige als organisatorische als technische aspecten. Assessment informatiebeveiliging Voor organisaties die zelf al structureel beleid hebben ontwikkeld en geïmplementeerd zijn er assessments. Daarin worden alle onderdelen van NEN 7510 voor informatieveiligheid onderzocht, zoals governance, beleid, organisatorische en technische beveiligingsmaatregelen. In overleg met de opdrachtgever wordt afgesproken of het assessment alleen gaat over de opzet van de beheersingsmaatregelen of dat ook de uitvoering (of het bestaan) van de beheersingsmaatregelen wordt onderzocht. Ook bij een assessment wordt documentonderzoek gecombineerd met interviews, maar het aantal daarvan is groter dan bij een scan. Daarnaast kunnen ook andere vormen van onderzoek worden ingezet, zoals demonstraties en rondleidingen. Risicoanalyse Als aanvulling op een scan of een assessment of als basis voor de uitwerking van beleid kan er een risicoanalyse worden uitgevoerd. Daarin worden specifieke bedreigingen voor uw organisatie in kaart gebracht en geeft u zelf een weging aan de risico s, in samenspraak met onze adviseurs. Een risicoanalyse helpt om prioriteiten te stellen, maatregelen te nemen en de restrisico s bewust te accepteren. Adequate inrichting van privacy en informatieveiligheid Op basis van scan, assessment en/of risicoanalyse helpt BMC u om u verder te ontwikkelen en maatregelen te definiëren en te implementeren, zoals: het opstellen van een jaar- of meerjarenplan; het inrichten van privacy en/of informatieveiligheid; het ontwikkelen van beleid; implementatie van voor privacy relevante processen en beleid; implementatie van managementsystemen, processen en beveiligingsmaatregelen; ondersteuning/coaching van verantwoordelijken voor privacy, informatieveiligheid of kwaliteit; invulling van de rol van privacy- of informatie veiligheids beheerder/-officer in uw organisatie, tijdelijk, part time of in vaste dienst. BMC 13
11 Waarom BMC? BMC geeft integraal advies door kennis en ervaring van zorg, privacy en informatieveiligheid te combineren. BMC verstaat de taal van verschillende disciplines, van bestuursniveau tot op de werkvloer. BMC neemt de organisatie mee in haar ontwikkeling en stemt haar advies daarop af. Contact Heeft u vragen of wilt u vrijblijvend met ons in contact komen, dan kunt u telefonisch contact opnemen via (033) of stuur een . IR. JULIUS DUIJTS CISSP SENIOR juliusduijts@bmc.nl DRS. WILLEM DE VRIES SENIOR willemdevries@bmc.nl 14
12 POSTADRES Postbus AL Amersfoort TELEFOON INTERNET
Informatiebeveiliging en privacy in de zorg
Informatiebeveiliging en privacy in de zorg Niet meer vrijblijvend mei 2018 Partners in verbetering Informatiebeveiliging en privacy in de zorg Niet meer vrijblijvend BMC Ir. Julius Duijts CISSP, senior
Nadere informatieInformatiebeveiliging en Privacy in het lokaal bestuur
Informatiebeveiliging en Privacy in het lokaal bestuur Niet meer vrijblijvend april 2018 Partners in verbetering Informatiebeveiliging en Privacy in het lokaal bestuur Niet meer vrijblijvend BMC drs.
Nadere informatieInformatiebeveiliging en privacy in het onderwijs
Informatiebeveiliging en privacy in het onderwijs Niet meer vrijblijvend mei 2018 Partners in verbetering Informatiebeveiliging en privacy in het onderwijs Niet meer vrijblijvend BMC mr. Alex Commandeur,
Nadere informatieAgenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017
Introductie Peter van der Zwan Douwe de Jong Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017 16:00 Handvatten Informatieveiligheid
Nadere informatieAgenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht
(AVG) Introductie Peter van der Zwan Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht 10:15 AVG, hoe nu verder -
Nadere informatieNEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR
NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van
Nadere informatieDe grootste veranderingen in hoofdlijnen
GDPR Introductie Met de ingang van de General Data Protection Regulation (GDPR) op 6 mei 2018 wordt de privacy van (persoons)gegevens Europabreed geregeld. Daarmee komt de Nederlandse Wet Bescherming Persoonsgegevens
Nadere informatieFunctieprofiel Functionaris Gegevensbescherming
Functionaris Gegevensbescherming Inhoudsopgave 1. Doel van de functie 2. Plaats in de organisatie 3. Resultaatgebieden 4. Taken, verantwoordelijkheden & bevoegdheden 5. Contacten 6. Opleiding, kennis,
Nadere informatieAanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018
Aanpak AVG Rob Hendriks Hoofd ICT 23 januari 2018 - voorbereiding - aanpak - actiepunten - aandachtspunten agenda wat, maar niet hoe https://autoriteitpersoonsgegevens.nl 1. het AVG-team: directiesecretaris
Nadere informatieDefinitieve versie d.d. 24 mei Privacybeleid
Definitieve versie d.d. 24 mei 2018 Privacybeleid Procedure: MT/DB besluit d.d. 24 mei 2018 INLEIDING Binnen Rentree wordt gewerkt met persoonsgegevens van huurders, medewerkers en (keten)partners. Persoonsgegevens
Nadere informatiePlan 5 6-11 7 - 41-43 76-78
Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatiePrivacy & online. 9iC9I
Privacy & online https://www.youtube.com/watch?v=f7pyhn 9iC9I AVG en de gemeente Wat komt er op ons af? Daniël Bloemers 23 november 2017 Informatieveiligheid en de gemeente Privacy en het werk Waarom ibewust:
Nadere informatiePrivacy in de afvalbranche
Privacy in de afvalbranche Regelgeving en risico s Monique Hennekens 14 februari 2017 Inhoud Privacy in de afvalbranche Privacyregelgeving Persoonsgegeven en verwerking Algemene Verordening Gegevensbescherming
Nadere informatieAlgemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017
1 Algemene verordening gegevensbescherming en veranderingen voor gemeenten Alex Commandeur 21 april 2017 Overzicht Wat doet de Autoriteit Persoonsgegevens 2018: nieuwe Europese privacywetgeving (AVG) Accountability
Nadere informatieZet de stap naar certificering!
NEN 7510 CERTIFICERING Zet de stap naar certificering! Laat u ondersteunen en vergroot het draagvlak binnen uw organisatie. Draag zorg voor continue verbetering van uw organisatie en zekerheid en vertrouwen
Nadere informatieSamen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen
AVG@JenV Samen werken aan privacy Special AVG voor itour 24 april 2018 Pieter de Groot & Henk-Jan van der Molen Wat eraan vooraf ging 1 van 2 Grondrecht 2 maart 1814 Privacy = het recht om met rust gelaten
Nadere informatieWettelijke kaders voor de omgang met gegevens
PRIVACY BELEID SPTV Namens SPTV wordt veel gewerkt met persoonsgegevens van (ex-) medewerkers. De persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren van de pensioenregelingen. De (ex-)
Nadere informatieEven Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017
GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer
Nadere informatieInformatiebeveiligingsbeleid Zorgbalans
Informatiebeveiligingsbeleid Zorgbalans Document kenmerken Titel: Informatiebeveiligingsbeleid Zorgbalans Versie: 0.4 Status: Onder voorbehoud van wijzigingen vanuit medezeggenschap Inhoudsopgave 1 Informatiebeveiliging...
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatiesociaal domein privacy impact assessment
compliance @ sociaal domein privacy impact assessment Matias Kruyen De urgentie Toezichtsarrangement AP significant uitgebreid Bestuursrechtelijke sancties van materieel belang Accountant materialiseert
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van
Nadere informatieDe invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?
De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances? Hans van Impelen Privacyfunctionaris/ Functionaris voor de Gegevensbescherming (FG) De start in Utrecht
Nadere informatiechecklist in 10 stappen voorbereid op de AVG. human forward.
checklist in 10 stappen voorbereid op de AVG. human forward. checklist: in 10 stappen voorbereid op de AVG Het zal u vast niet ontgaan zijn: per 25 mei 2018 moet uw organisatie voldoen aan nieuwe privacyregels.
Nadere informatieGegevensbeschermingsbeleid gemeente Beekdaelen
1 Gegevensbeschermingsbeleid gemeente Beekdaelen Inhoud Hoofdstuk 1: Inleiding... 3 1.1 Het belang van gegevensbescherming... 3 1.2 Relevante wetten en verdragen... 3 1.3 Ambitie op het gebied van gegevensbescherming...
Nadere informatieGrip op privacy. Bestuurlijk belang bij privacybeleidsvoering. De Zeeuwse Leertuin Middagprogramma. Middelburg, 1 juli 2015
Grip op privacy Bestuurlijk belang bij privacybeleidsvoering De Zeeuwse Leertuin Middagprogramma Middelburg, 1 juli 2015 Mr S.H. Katus CIPM Partner Privacy Management Partners sergej.katus@pmpartners.nl
Nadere informatiePrivacy wetgeving: Wat verandert er in 2018?
Privacy wetgeving: Wat verandert er in 2018? Werkgevers verwerken op grote schaal persoonsgegevens van hun werknemers. Vanaf mei 2018 moet elke organisatie voldoen aan de Algemene Verordening Gegevensbescherming
Nadere informatieDe website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.
DE AVG Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming
Nadere informatieVraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?
RAADSINFORMATIEBRIEF met beantwoording artikel 40 vragen 17R.00735 Van: college van burgemeester en wethouders Datum 19 september 2017 Portefeuillehouder(s) : burgemeester en wethouder Ten Hagen Portefeuille(s)
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatiePrivacybeleid gemeente Wierden
Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Binnen de gemeente Wierden wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatiePrivacy en de meldplicht datalekken
Privacy en de meldplicht datalekken Regelgeving en praktische toepassingen Monique Hennekens november 2017 Privacyregelgeving EVRM en Grondwet Wet bescherming persoonsgegevens (Wbp) Bijzondere wetten Algemene
Nadere informatieSTAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG
STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG Versie 1.00 1 december 2017 Deze handreiking is mede tot stand gekomen door een samenwerking van onder andere VNG, KING, IBD en Kenniscentrum Europa
Nadere informatieINFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop
INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG 25 juni 2018 Paul Frencken Johan van Middelkoop GEBRUIKTE AFKORTINGEN Afkorting Betekenis AVG Algemene Verordening Gegevensbescherming (ook wel de privacy wetgeving)
Nadere informatieAlgemene verordening gegevensbescherming (AVG)
Algemene verordening gegevensbescherming (AVG).. en het onderwijs Pascalle van Eerden Julius Duijts 1 3 Algemeen De AVG wordt van kracht op 25 mei 2018 Van toepassing op verwerking van persoonsgegevens
Nadere informatieProcedure meldplicht datalekken
Procedure meldplicht datalekken Gemeente Bunnik Versie : 2.0 Datum : april 2018 1 Inleiding Dit document omschrijft de procedure van de meldplicht datalekken Bij deze procedure horen twee bijlagen: IBD
Nadere informatieAon Global Risk Consulting Cyber Practice Privacy Services
Aon Global Risk Consulting Cyber Practice Privacy Services Bent u klaar voor de Europese Privacy Verordening? Wat de verzwaring van de privacywetgeving betekent voor uw organisatie en welke acties u moet
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatieVoorbereid op de nieuwe privacywet in 10 stappen
Algemene Verordening Gegevensbescherming Voorbereid op de nieuwe privacywet in 10 stappen Een publicatie van LAYLO // office@laylo.nl // www.laylo.nl // 085-0202563 Nieuwe wetgeving Per 25 mei 2018 treed
Nadere informatieHoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?
Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening? Inhoud 1. Introductie 2. Informatieveiligheid en privacy van alle kanten bedreigd 3. Het belang van privacy
Nadere informatieAlgemene verordening gegevensbescherming
Algemene verordening gegevensbescherming 1 Programma Inleiding Waarom AVG? Wat is de AVG? Globale verschillen met Wbp Handhaving De AVG op hoofdlijnen Wat kunt u van BNL verwachten? Vragen 2 Waarom AVG?
Nadere informatiePrivacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin
www.pwc.nl Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin Even voorstellen Maurice Steffin Maurice is Manager Privacy binnen het Privacy team. Hij combineert zijn privacy kennis
Nadere informatiePrivacy Maturity Scan (PMS)
Privacy Maturity Scan (PMS) Versie 1.0 / Wijzigingsdatum 02-03-2018 Uw vraag Als organisatie wilt u minimaal voldoen aan de wet- en regelgeving en u wilt zich optimaal voorbereiden op de nieuwe Europese
Nadere informatieVeiligheid op de digitale snelweg
Veiligheid op de digitale snelweg Beer Franken, Hans van Hemert 7 december 2017 Standards and Regulations 1 Hans van Hemert Achtergrond Publiek recht Beleid en management gezondheidszorg Sinds 2006 informatiebeveiliging,
Nadere informatieAVG Routeplanner voor woningcorporaties
AVG Routeplanner voor woningcorporaties 24 oktober 2017 Versie 1.0 24 oktober 2017 0 Inleiding Aedes wil haar leden ondersteunen bij de implementatie van de privacywetgeving. Daarvoor biedt zij onder andere
Nadere informatieAantoonbaar in control op informatiebeveiliging
Aantoonbaar in control op informatiebeveiliging Agenda 1. Introductie key2control 2. Integrale interne beheersing 3. Informatiebeveiliging 4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS
Nadere informatieAlgemeen privacybeleid gemeente Asten 2018
1 Algemeen privacybeleid gemeente Asten 2018 ALGEMEEN PRIVACYBELEID (AVG) GEMEENTE ASTEN Inhoud 1. Inleiding 3 2. Uitgangspunten 3 3. Rollen en bevoegdheden 4 Bestuur 4 - College van B&W 4 - Gemeenteraad
Nadere informatiePRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.
PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieStichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN
Stichting Honkbalweek Haarlem Privacy beleid 2018 2022 SAMENWERKEN en VERBINDEN Privacy beleid Stichting Honkbalweek Haarlem Onze stichting werkt met persoonsgegevens ter promotie van ons evenement. Dit
Nadere informatieInformatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum
Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum 1 1 Inleiding Informatie en ict zijn noodzakelijk in de ondersteuning van het onderwijs. Omdat we met persoonsgegevens (van onszelf, leerlingen
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad
Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad Opsteller: Jan Zonneveld Expertise: Informatiemanagement Besluitvorming: AMO ter advisering op 6 juli 2017 GMR ter instemming
Nadere informatieNVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging
NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging Kees Hintzbergen 25 mei 2018 Agenda Voorstellen Vragen! Wat is dat eigenlijk: risico? Hoe ziet de ideale
Nadere informatieScreening & Privacy 3 belangrijke tips richting AVG
White Paper door: Harm Voogt CEO Validata Group Screening & Privacy 3 belangrijke tips richting AVG Inleiding Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Internationaal
Nadere informatiePrivacybeleid.
Privacybeleid www.senzer.nl Privacybeleid Senzer Senzer werkt met persoonsgegevens van burgers, medewerkers en (keten)partners om wettelijke taken goed uit te voeren. Iedereen moet erop kunnen vertrouwen
Nadere informatie- in te stemmen de checklist voorbereiding AVG stavaza 1sep17 als bijlage mee te sturen bij RIB met de beantwoording van de art.40-vragen.
VOORSTEL AAN BURGEMEESTER EN WETHOUDERS & BEANTWOORDING ARTIKEL 40 VRAGEN Van: J. van Luling Tel nr: 8671 Nummer: 17A.00974 Datum: 4 september 2017 Team: Concernzaken Tekenstukken: Ja Bijlagen: 3 Afschrift
Nadere informatieAanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl
Aanscherping WBP Meldplicht datalekken Mr S.H. Katus, CIPM Partner sergej.katus@pmpartners.nl www.pmpartners.nl PMP in het kort Privacy Management Partners Het eerste DPO-bureau van Nederland Data Protection
Nadere informatieInformatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard
Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december
Nadere informatieRechtmatigheid, behoorlijkheid, transparantie Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
` Privacybeleid Gemeente Venray Binnen de gemeente Venray wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld van de burgers
Nadere informatieMedische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!
Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze
Nadere informatieGeneral Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP
General Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP 1 Versterking van klantrechten Strengere verplichting Duidelijke governance Doorgifte data buiten EU Klanten
Nadere informatieDefinitieve bevindingen Rijnland ziekenhuis
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Definitieve bevindingen Rijnland ziekenhuis
Nadere informatieAlgemene Verordening Gegevensbescherming
Algemene Verordening Gegevensbescherming (AVG) Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze vervangt de Wet bescherming persoonsgegevens. Met de komst van deze
Nadere informatieBeleidskader privacy en gegevensbescherming
Beleidskader privacy en gegevensbescherming Januari 2018 Vastgesteld door het college van burgemeester & wethouders van Deventer op 16 januari 2018 Beleidskader privacy en gegevensbescherming Pagina 2
Nadere informatiePrivacyverklaring Therapeuten VVET
Privacyverklaring Therapeuten VVET Versie 25-05-2018 1 Inhoudsopgave 1. Inleiding... 3 2. Wetgeving... 3 3. Definities... 3 4. Reikwijdte... 4 5. Verantwoordelijke... 4 6. Verwerkingen (Artikel 4, AVG)...
Nadere informatieHANDREIKINGDATA PROTECTION IMPACT ASSESSMENT (DPIA)
HANDREIKINGDATA PROTECTION IMPACT ASSESSMENT (DPIA) Wanneer moet een DPIA worden uitgevoerd? Een Data Protection Impact Assessment (DPIA, ook wel PIA of GEB genoemd) wordt in twee situaties uitgevoerd:
Nadere informatieInformatiebeveiligings- beleid
Informatiebeveiligings- beleid Document kenmerken Titel: Informatiebeveiligingsbeleid FlexiCura Versie: 1.1 Status: Definitief Inhoudsopgave 1 Informatiebeveiliging... 3 1.1 Inleiding... 3 1.2 Versiebeheer...
Nadere informatieBoels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer
Boels Zanders De kracht van ambitie Privacy Implementatie van de AVG Rens Jan Kramer Rens Jan Kramer Advocaat Intellectuele eigendom, ICT, Media- en Reclamerecht +31 (0)88 30 40 149 +31 (0)6 46 18 67 23
Nadere informatiePrivacy reglement. Pagina 1 van 9
Privacy reglement Pagina 1 van 9 Inhoud Privacy reglement... 3 Wetgeving en definities... 3 Reikwijdte... 4 Verantwoordelijke... 4 Verwerkingen (Artikel 4, AVG)... 4 Doeleinden (Artikel 5, AVG)... 4 Rechtmatige
Nadere informatieLWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer
LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene
Nadere informatieTweede Kamer der Staten-Generaal
Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2016 2017 31 765 Kwaliteit van zorg Nr. 259 BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Nadere informatieRapportage Verkennend onderzoek Gegevensbeschermingsbeleid
Rapportage Verkennend onderzoek Gegevensbeschermingsbeleid Openbare versie Rapport definitieve bevindingen z2018-27134 De Autoriteit Persoonsgegevens (AP) hecht veel waarde aan een goed gegevensbeschermingsbeleid,
Nadere informatieOndersteunende processen Organisatie Informatiebeveiliging Melding Datalek
1 Toepassingsgebied De procedure is van toepassing wanneer er een incident plaatsvindt waardoor de exclusiviteit van de informatievoorziening wordt aangetast. 2 Doel Wanneer met betrekking tot informatiebeveiliging
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy
Nadere informatieHandboek IBP. Overzicht-projectplan privacy SOML. Oktober Versienummer: 0.2
Handboek IBP Overzicht-projectplan privacy SOML Oktober 2017 Versienummer: 0.2 Inleiding In het verleden zijn er Nederlandse privacywetten (WBP) ingevoerd vanaf 1995. In 2016 kwam de Meldplicht Datalekken
Nadere informatieIBP-rollen en functies: functionaris gegevensbescherming (FG) Magdalena Magala en Job Vos
IBP-rollen en functies: functionaris gegevensbescherming (FG) Magdalena Magala en Job Vos Programma 1. Kennismaking 2. Rollen en functies: de FG en de Aanpak IBP (Job Vos) 3. Wat moet een FG, en hoe kom
Nadere informatieRI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:
RI&E Privacy Introductie Vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving (GDPR) gehandhaafd. Dit heeft belangrijke gevolgen voor het bedrijfsleven. Er is onder andere een meldplicht voor datalekken
Nadere informatiePrivacy wetgeving in een notendop
Privacy wetgeving in een notendop Wet Bescherming Persoonsgegevens (Wbp) (geldig tot 25 mei 2018) De belangrijkste bepalingen uit de Wbp over het rechtmatig omgaan met persoonsgegevens zijn als volgt samen
Nadere informatieAan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag
> Retouradres Postbus 20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag Directoraat-generaal Overheidsorganisatie Directie Informatiesamenleving
Nadere informatieQuick Scan Informatieveiligheid en Privacy sociaal domein Bollenstreek
Quick Scan Informatieveiligheid en Privacy sociaal domein Bollenstreek De Bollenstreek Managementsamenvatting Quick Scan Informatieveiligheid en Privacy voor: Gemeente Hillegom Gemeente Lisse Gemeente
Nadere informatieInformatiebeveiligings- en privacy beleid
Informatiebeveiligings- en privacy beleid 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN... FOUT! BLADWIJZER
Nadere informatiestaat is om de AVG na te komen.
Vragenlijst nulmeting AVG mét toelichting door Security & Privacy Officer Koos Wijdenes Met onderstaande vragenlijst kunt u een nulmeting uitvoeren voor uw organisatie. De antwoorden geven inzicht in wat
Nadere informatieDe vijf hoofdvragen van privacy
De vijf hoofdvragen van privacy üvoldoen aan privacywetgeving bij gedualiseerd bestuur Sergej Katus Partner Mr S.H. Katus, CIPM Privacy Management Partners sergej.katus@pmpartners.nl www.pmpartners.nl
Nadere informatieDocumentnummer: : Eindnotitie implementatie privacy
Eindnotitie implementatie privacy Afdeling Bedrijfsvoering, team Advies en Middelen 2016 1 Inhoudsopgave 1. Inleiding.3 2. Resultaten.3 3. Documenten.4 4. Implementatie.5 4.1 Training voor het sociaal
Nadere informatieJaarplan Privacy Implementatie Algemene Verordening Gegevensbescherming (AVG) -
Jaarplan Privacy 2018 - Implementatie Algemene Verordening Gegevensbescherming (AVG) - Datum: 12 april 2018 Versie Datum Van Verstuurd aan Mutaties 0.1 4-1-2018 L. Pilon M. Westerhof, R. Postma, M. Schomper
Nadere informatieGDPR. een stand van zaken
GDPR een stand van zaken GDPR een stand van zaken Op 25 mei treedt de nieuwe Europese privacywetgeving (GDPR) in werking. Dit heeft impact op u als zorgverlener die met gevoelige gegevens omgaat. Het is
Nadere informatieDE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO
DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO De Algemene verordening gegevensbescherming Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf
Nadere informatieDe bescherming van persoonsgegevens speelt een steeds belangrijkere rol door de:
CVDR Officiële uitgave van Eijsden-Margraten. Nr. CVDR610195_2 25 mei 2018 Beleidsregel van het college van burgemeester en wethouders van de gemeente Eijsden-Margraten houdende regels omtrent privacy
Nadere informatieDe Voorzitter van de Eerste Kamer der Staten-Generaal Postbus EA Den Haag
> Retouradres Postbus 20350 2500 EJ Den Haag De Voorzitter van de Eerste Kamer der Staten-Generaal Postbus 20017 2500 EA Den Haag Bezoekadres: Parnassusplein 5 2511 VX Den Haag T 070 340 79 11 F 070 340
Nadere informatieInternet Beveiliging en Privacy (IBP) Beleid Aloysius
Internet Beveiliging en Privacy (IBP) Beleid Aloysius Van: Directeur Financiën en Bedrijfsvoering Aan: AMT Datum : 28 maart 2017 Opgesteld door: Thomas Reterink, Bron: Kennisnet Onderwerp: IBP Beleid Doel:
Nadere informatiePRIVACYBELEID GEMEENTE ALMELO
PRIVACYBELEID GEMEENTE ALMELO 2018-2021 Gebaseerd op de Algemene Verordening Gegevensbescherming (AVG) Nota 02 Intern - 63102 Vastgesteld door GO dd. 07-02-2019 INHOUDSOPGAVE 1 INLEIDING 2 1.1 Algemeen
Nadere informatieGegevensbescherming/Privacy
Gegevensbescherming/Privacy Invoering AVG bij de SVB Hatice Dogan Functionaris Gegevensbescherming 17 mei 2018 Wat nu! 'Veel bedrijven voldoen nog niet aan nieuwe Europese privacywetgeving' Veel Nederlandse
Nadere informatieThema 2: aanschaf en gebruik van e-healthtoepassingen
Checklist verantwoord e-health inzetten op basis van proefbezoeken Inspectie Gezondheidszorg en Jeugd Auteurs: Maartje van Hees (ExceptionAll) en Foppe Rauwerda (Beeldzorgadvies) Versie 1.0, 3 juli 2018
Nadere informatieInformatiebeveiligings- en privacy beleid Coöperatie SWV 25-05
Informatiebeveiligings- en privacy beleid 2018 Coöperatie SWV 25-05 1 Inleiding... 3 1.1 TOELICHTING INFORMATIEBEVEILIGING EN PRIVACY... 3 1.2 TOELICHTING PRIVACY... 3 1.3 VERVLECHTING INFORMATIEBEVEILIGING
Nadere informatie