Privacy & online. 9iC9I

Transcriptie

1 Privacy & online 9iC9I

2 AVG en de gemeente Wat komt er op ons af? Daniël Bloemers 23 november 2017

3 Informatieveiligheid en de gemeente

4 Privacy en het werk

5 Waarom ibewust: elke medewerker is de sleutel!

6 Social engineering: vishing

7 Privacy, wat betekent dat? Wat betekent privacy? Verwerkingsverantwoordelijke? Verwerker? Wat is een datalek? Alleen informatie? Welke rechten hebben betrokkenen (burgers)? Privacy by design & privacy by default Wat zijn gevoelige en/of bijzondere persoonsgegevens?

8 AVG; wat moet wie doen? Algemene Verordening Gegevensbescherming Nieuwe, strengere regels Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen

9 Privacy, waarom belangrijk voor de gemeente? Rechten van de burger beschermen De burger heeft recht op bescherming van zijn/haar persoonlijke levenssfeer. Reputatieschade en boetes Een datalek stelt de gemeente in een kwaad daglicht en burgers verliezen vertrouwen in de gemeente. Datalek leidt tot boete van Autoriteit Persoonsgegevens (AP) bewijsplicht ligt bij de organisatie en niet bij de AP AP kan op eigen initiatief en proactief onderzoek uitvoeren naar de stand van zaken van de implementatie van AVG bij de gemeente.

10 Privacy & online Wie werkt mobiel? Wie maakt er wel eens verbinding via zogenaamde open draadloze netwerken? En wat voor informatie gebruik je dan of verstuur je dan?

11 Aanpak Informatiebeveiliging Inrichten organisatie van informatiebeveiliging en privacy Mandaat en borging Structuur en overleg, rapportage en toetsing Basisbeveiliging Inrichten basisbeveiliging Opstellen beleid en plan Uitvoeren basisbeveiligingsmaatregelen Situationele beveiliging Risicoanalyse/PIA op kritieke processen Uitvoeren aanbevelingen/maatregelen Bewustwording Opstarten bewustwording Nulmeting Opstellen bewustwordingsplan Inrichten en uitvoeren bewustwordingscampagne

12 ENSIA

13 Tot 31 december 2017 Waar staan we op 31 december 2017? Begin gemaakt met privacy maatregelen? Register gegevensverwerking Privacybeleid vastgesteld en gecommuniceerd PIA uitgevoerd Organisatie van privacy en informatiebeveiliging Passende organisatorische en technische maatregelen getroffen (BIG)? Bewustwordingscampagne gestart? ENSIA zelfevaluatie afgerond?

14 Na 31 december 2017 Waar staan we op 25 mei 2018? Privacy Impact Analyse uitgevoerd en aanbevelingen opgevolgd? Privacybeleid vastgesteld en gecommuniceerd? Organisatie van privacy ingericht? Register van gegevensverwerkingen opgesteld? Verwerkingsovereenkomsten opgesteld en afgestemd/vastgelegd? Rechten van betrokkenen ingericht en gecommuniceerd? Incidentenprocedure ( meldplicht datalekken ) ingericht en werkend? Processen en procedures aangepast aan eisen privacywetgeving (cf. situationele beveiliging)? Bewustwordingscampagne opgezet en uitgevoerd (1e fase)? Hoe verder na 25 mei 2018 Privacy vink je niet af op de bal blijven en niet laten lopen Verder doorvoeren privacy in processen en procedures Vervolg bewustwording Toezicht op toepassing bepalingen privacywetgeving en beleid in de organisatie

15 Tot juli 2018 Waar staan we op 31 juli 2018? Bewustwordingscampagne gepland en uitgevoerd? Kritische processen in kaart gebracht en maatregelen voorgesteld en gepland/geïmplementeerd om risico s te beperken? Maatregelen beschikbaar/gedocumenteerd voor hergebruik bij andere processen en waar nodig toegevoegd aan basisbeveiligingsset? ENSIA zelfevaluatie 2017 succesvol afgerond (incl. collegeverklaring)? Hoe verder na 31 juli 2018 ENSIA zelfevaluatie gaat waarschijnlijk aangepast weer van start! Bewustwordingscampagne loopt door en nieuw programma is bepaald/wordt gepland Verdere implementatie van BIG, basisbeveiliging en situationele beveiliging

16 CISO, FG en/of Privacy Officer

17 (Interne) controle en toetsing Functionaris Gegevensbescherming De gemeente stelt een FG aan en maakt deze bekend in de organisatie De FG stelt een toetsingskader op voor privacy Basis vereisten (DPIA, Procedure meldplicht datalekken, Register gegevensverwerkingen, verwerkingsovereenkomsten, e.d.) structurele borging en toetsing! Andere onderdelen van privacy (op verwerkingsniveau of op specifieke onderdelen van processen en procedures) De FG adviseert over (uitleg van privacy wetgeving) en heeft geregeld contact/afstemming met de privacy officer(s) en met de Autoriteit Persoonsgegevens Toetsingskader en afstemming De FG zet op/beheert een toetsingskader voor steekproefsgewijze toetsing De FG stelt misstanden aan de kaak en geeft gevraagd en ongevraagd advies over de uitleg van de wet Uiteraard is het dan ook van groot belang dat degene(n) belast met de uitvoering van de privacy taken voldoende mogelijkheden hebben zich te ontwikkelen om kwalitatief hoogwaardige (interne en externe) dienstverlening te kunnen bieden!

18 Organisatie Informatieveiligheid Wat is daar dan voor nodig? (Aanbeveling) Rol CISO Privacy Officer Functionaris Gegegevensbescherming Aanbeveling T/m 2018 Q2: minimaal 1 FTE i.v.m. inrichting en beheer t/m 2018 Q2: minimaal 1 FTE i.v.m. inrichting en beheer Minimaal 0,5 FTE, aanbevolen: 1 FTE Dit betreft coördinatie en inhoudelijke expertise en inzet: De inzet van de totale organisatie is vele malen groter! Management speelt een rol Communicatie en staf speelt een rol Elke afdeling speelt een rol (HR, (Interne) Controle, Inkoop, IT, Beheer, sociaal domein, burgerzaken)

19 Inrichting en beheer van privacy stoppen niet op 25 mei 2018! Privacy houdt niet op! De gemeente moet continu bezig zijn en blijven met het borgen van de rechten van de betrokkene(n) door continue aandacht voor privacy in de dagelijkse werkzaamheden en bij nieuwe initiatieven met persoonsgegevens binnen de gemeente!

20 Daniël Bloemers +31 (0)