Aon Risk Solutions HEAD Jaarcongres 2016

Transcriptie

1 Aon Risk Solutions

2 Risico s en verzekeringen Aon Nederland Aon Risk Solutions Aon Hewitt Aon Benfield Adviseur op het gebied van risicomanagement. Toonaangevende makelaar in verzekeringen en alternatieve risicofinancieringen. Expert in human resources. Adviseert organisaties bij het oplossen van complexe vraagstukken op het gebied van arbeidsvoorwaarden. Outsourcing voor werkgevers en pensioenfondsen. Ontwikkelt, implementeert en communiceert op het gebied van menselijk kapitaal, pensioenen, beleggingsbeheer, zorg, beloningen en verzekeringen. Wereldwijd marktleider op het gebied van herverzekeringen voor de segmenten schade en leven. Kapitaal- en risico- managementadviseur. Adviseren over de mogelijkheden van captives. Geeft toegang tot zowel de traditioneleals de alternatieve herverzekeringsmarkten, waaronder de kapitaalmarkt. Aon s dochteronderneming COT Het Instituut voor Veiligheids- en Crisis management, adviseert organisaties in de publieke en private sector in veiligheidsvraagstukken en crisissituaties. Ondersteunt door onderzoek, training en opleiding. Aon Risk Solutions

3 Risicoprofiel als basis voor vrijwel alle dienstverlening Aon Risk Solutions

4 Aon Risk Solutions Cyberrisico s

5 DIGITALE EVOLUTIE DIGITALE TRANSFORMATIE DIGITALE RISICO S Business Unit/Tier 2 (Verplicht) Market/Division/Tier 3 (Optioneel) Practice Group/Tier 4 (Optioneel) Vertrouwelijke en bedrijfseigen informatie Datum (Optioneel) Wijzigen in Master slide-1 5

6 Tijdperk van digitale transformatie Of volgens sommigen zelfs digitale revolutie 6

7 Digitalisering & informatisering: trends & ontwikkelingen in de zorg VERTROUWEN STAKEHOLDERS MELDPLICHT DOMOTICA LEGACY PRIVACY WBP/WGBO INFORMATIE BEVEILIGING 7510 PLANNING & CONTROL BYOD APPLICATIES PATIENT VEILIGHEID CONTINUITEIT PATIENTEN CLIENTEN MEDEWERKERS DOELEN RISK & FINANCE LEVERANCIERS/ PARTNERS TOEZICHT EPD/ECD CLOUD INTERNET OF THINGS 7

8 8

9 Welke risico s zijn de afgelopen jaren belangrijker geworden? Aon Risk Solutions Aon Global Risk Consulting 9

10 Top ten risks Aon Risk Solutions Aon Global Risk Consulting 10

11 Aon Risk Solutions Wettelijke Verplichtingen Gegevensbescherming

12 Wet bescherming persoonsgegevens Wet bescherming persoonsgegevens is van toepassing op verwerkingen van persoonsgegevens Persoonsgegevens: elk (direct of indirect) gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Verwerking: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens (verzamelen, vastleggen, ordenen, bewaren, opvragen, gebruiken, verspreiden, ter beschikking stellen, vernietigen, etc.) Organisatie dient een gerechtvaardigd doel te hebben voor het opslaan van privacygevoelige informatie 12

13 Verantwoordelijke & bewerker Verantwoordelijke: degene die het doel en de middelen voor de verwerking vaststelt Bewerker: externe die ten behoeve en in opdracht van verantwoordelijke persoonsgegevens verwerkt Inschakeling bewerker moet op grond van art. 14 Wbp in schriftelijke overeenkomst vastliggen ( bewerkersovereenkomst ). Scope / opdrachtafbakening; Beveiliging; Geheimhouding; Omgang datalekken Bijv. webhoster, ITleverancier, accountant, marketingbureau, etc. 13

14 Bijzondere persoonsgegevens Enkele feit dat iemand ziek is, is al een gezondheidsgegeven Extra streng regime voor gegevens betreffende Godsdienst of levensovertuiging Ras / etniciteit Politieke gezindheid Gezondheid Seksuele leven Lidmaatschap van een vakvereniging / vakbond Strafrechtelijke gegevens en gegevens over straatverboden BSN en andere wettelijke nummers. Verwerken verboden, tenzij uitzondering of toestemming 14

15 Beveiligingsplicht Aon Risk Solutions

16 Wijzigingen per Wet bescherming persoonsgegevens sinds 1 september 2001 van kracht. Sinds 1 januari 2016 behoorlijk aangescherpt met: Meldplicht datalekken Introductie boetebevoegdheid Aanscherping maakt belang om in control te zijn alleen maar groter. Beide wetswijzigingen duwen organisaties richting belang privacy compliance 16

17 Meldplicht datalekken Datalek: toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is van de organisatie. Voorbeelden: kwijtgeraakte USB-stick, gestolen laptop, hack, malware, besmetting, brand in datacentrum Meldingsplicht van inbreuken op de beveiliging Onverwijld (binnen 72 uur) Aan Autoriteit Persoonsgegevens bij (aanzienlijke kans op) ernstig nadelen gevolgen voor de bescherming van persoonsgegevens Daarnaast aan betrokkene indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. - Tenzij gegevens adequaat versleuteld waren - Tenzij er zwaarwegende redenen zijn om melding aan de etrokkene achterwege te laten 17

18 Bestuurlijke boetes (Wbp per 2016) Direct boete bij opzet of ernstig verwijtbare nalatigheid, in andere gevallen: eerst bindende aanwijzing Beleidsregels boetes - Categorie I Boetebandbreedte tussen 0 en Categorie II Boetebandbreedte tussen en Categorie III Boetebandbreedte tussen en Schending van meldplicht valt in categorie II en (eventueel) III Schending van meldplicht aan CBP en betrokkenen leveren afzonderlijke boetes op, dus max 2 x = 1,62 miljoen Minimumboete is in beginsel (afwijkingen t.b.v. MKB toegestaan) Schending beveiligingsverplichting zelf: categorie II en III Aon Risk Solutions

19 Prioriteiten CBP Signalen Klachten Melding van een datalek Toezichtagenda 2015 Transparantie bij profiling Medische en strafrechtelijke gegevens Lokale overheden Persoonsgegevens in de arbeidsrelatie Beveiliging van persoonsgegevens Aon Risk Solutions

20 Wanneer moet gemeld worden? Aon Risk Solutions

21 1. Inbreuk op de beveiliging Nota naar aanleiding van het nader verslag, p. 4 Memorie van toelichting, p. 5-6 Aon Risk Solutions

22 2. Ernstige nadelige gevolgen Geclausuleerde verplichting: alleen ernstige gevallen Regering weet het zelf ook nog niet zo goed Memorie van Toelichting, p. 7 Nota naar aanleiding van het verslag, p. 19 Aon Risk Solutions

23 2. Ernstige nadelige gevolgen Nota naar aanleiding van het nader verslag, p. 18 Nota naar aanleiding van het nader verslag, p. 9 Aon Risk Solutions

24 Voorbeelden van meldingsplichtige incidenten Nota naar aanleiding van het nader verslag, p. 11 Aon Risk Solutions

25 3. Melding aan betrokkene: waarschijnlijk ongunstige gevolgen voor diens persoonlijke levenssfeer Alleen meldplicht aan betrokkene als er ook een meldplicht aan CBP bestaat Schade voor diens persoonlijke levenssfeer omvat ook financiële schade Aon Risk Solutions

26 4. Uitgezonderd? Geen melding aan betrokkene als de persoonsgegevens versleuteld zijn Encryptie moet wel effectief en up-to-date zijn (effectiviteit kan over tijd afnemen, dus mogelijk later alsnog melden?) Aon Risk Solutions

27 Inhoud van de melding Aan CBP: Aard van de inbreuk Informatiepunt Aanbevolen maatregelen om negatieve gevolgen te voorkomen Beschrijving van vermoedelijke gevolgen Getroffen maatregelen ter voorkoming van die gevolgen Aan betrokkene: Aard van de inbreuk Informatiepunt Aanbevolen maatregelen om negatieve gevolgen te voorkomen Aon Risk Solutions

28 Aon Risk Solutions Cyberrisico s en verzekeringen

29 Aon Risk Solutions Welke risico s bent u bereid te nemen?

30 Waarom zijn traditionele verzekeringen ontoereikend? Brand: Schade aan en met data kwalificeert niet als een materiele schade Cyber event is mogelijk geen gedekt evenement onder brandverzekering Aansprakelijkheid: Eigen schade (first party) is nooit gedekt Fraude Beperkte dekking (alleen "computerfraude door derden" = stelen van financiële middelen is gedekt) Bestuurdersaansprakelijkheid Dekking voorziet alleen in bescherming privévermogen bestuurder en niet in de verzekerde organisatie Hebben van een cyberverzekering kan bij een claim uiting geven dat aandacht is besteed aan beheersing van het cyber risico Aon Risk Solutions

31 Verzekeren van uw privacyrisico: Cyberdekking FIRST PARTY * Financiële waarborg voor vervolgkosten na eigen schade ( first party ) Kosten voor IT-forensics / reconstructie van data Kosten voor juridische ondersteuning Kosten voor crisismanagement/crisiscommunicatie Kosten gemoeid met continuïteitsverlies Kosten als gevolg van de meldplicht en (bestuurlijke) boetes Schade als gevolg van identiteitsfraude THIRD PARTY * Financiële waarborg bij schade voor derden ( third party ) Aansprakelijkheidsclaims 31

32 Diagnosetool Aon Risk Solutions

33 Aon Risk Solutions Informatierisico s onder controle?

34 Cyberrisicomanagement: vijf essentiële vragen 1 * Wat zijn de belangrijkste digitale assets van mijn organisatie? 2 * Welke specifieke (informatie)risico s bedreigen onze digitale assets? 3 * Wat zijn de meest impactvolle (informatie)risico s voor onze organisatie? 4 * Wat is de (financiële) schade die kan ontstaan? 5 * In hoeverre zijn wij in staat om / bereid om impact te beperken? 34

35 Aon Risk Solutions Bas van der Tuyn: