GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Transcriptie

1 GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering FLAGIS Studienamiddag Donderdag 15 maart Leuven - KU Leuven Ivan Stuer Afdelingshoofd IT Informatie Vlaanderen

2 GDI/VDI 16/03/2018 2

3 Informatie Vlaanderen Geografische informatie (GDI) + Persoonsgegevens (VDI) + Open Data 3

4 GDPR Van horizontale naar verticale integratie 4

5 INFORMATIE VLAANDEREN ONDERSTEUNT DE DIGITALE TRANSFORMATIE VAN OVERHEDEN

6 Magda platform voldoet aan GDPR vereisten Op basis van e-gov decreet machtigingen, veiligheidsconsulent, toezicht 6

7 Geografische informatie werd steeds maximaal vrij ter beschikking gesteld GDI Decreet Inspire Uitzonderingen: Mobile Mapping (blurring) Kadaster info Recente eis tot blurring van militaire domeinen Combinatie van geo & persoonsgegevens Geografische data kunnen ook aanleiding geven tot inbreuk op rechten en vrijheden van betrokkene GDPR inbreuk Quid Open Data? Zie opmerkingen Prof Schram 7

8 Aanpak Veralgemening Magda principes door Kruispuntbank aanpak Gegevensbeschermingseffectbeoordelingen (DPIA) Opzetten stromen met GDPR check Laat rijke combinatie van geo & persoonsgegevens toe (best of both worlds) Voorbeelden AAPD machtiging voor gemeenten: ontsluiting via Magda #inwoners per grid: in onderzoek Business intelligence Hinderpremie bij werken 8

9 GDPR orde brengen in de chaos 9

10 Hoe? Bescherming Persoonsgegevens IT Security & Business continuity Wettelijke verplichting Bij toepassing Minimale normen 10 Noodzakelijke Totaalbescherming (technisch + procedureel) (-> publieke cloud is ook mogelijk)

11 Historiek van gegevensbescherming 11

12 3 belangrijke trends sinds begin deze eeuw 12

13 3 belangrijke trends sinds begin deze eeuw 13

14 3 belangrijke trends sinds begin deze eeuw Advies Ex- CIA & NSA directeur 14

15 Antwoord van de EU GDPR/AVG regulation E-Privacy regulation/directive NIS directive 15

16 Principes Informatieveiligheid herhaald in GDPR Vertrouwelijkheid Beschikbaarheid Integriteit +Veerkracht 16

17 17 Is nog steeds zo in 2017

18 Samen aanpakken Warme oproep om eindelijk gezamenlijk werk te maken van een professionele informatieveiligheidsaanpak publieke sector controller/processor 18

19 Samen aanpakken Samenwerking tussen de DPO s Verwerkingsovereenkomsten (cloud?) Register van verwerking (wat, wie, waar, hoe, hoelang, waarom) Rechten van betrokkene Incident response planning 19

20 Samen aanpakken Gegevensbescherming by default/by design Secure software design Security operations & testing Maatregelen opleggen aan leveranciers (eg OWASP, SSL, ) Versleuteling Logging 20

21 Samen aanpakken ISO2700x ISMS opstellen (minimaal de richtsnoeren) ITSM-ITIL: change & release management, availability, continuity & recovery. Correcte patching, analyse van bedreigingen, risico s en kwetsbaarheden, incident response, Adequaat beleid, policies, plan & acties 21

22 Samen aanpakken 22

23 23 ITIL

24 ISO

25 NIST Framework Recovery planning Improvements Communications Identify Asset management Business environment Governance Risk Assessment Risk mgmt strategy Response planning Communications Analysis Mitigation Improvements Recover Respond Detect Protect Access Control Awareness & training Data Security Information protection processes & procedures Maintenance Protective technology Anomalies & Events Security Continuous Monitoring Detection Process 25

26 Management Informatieveiligheid: Technisch: meestal gekend en beheerd Privacy/wetgeving: zie voorafgaande Procedures/organisatiebeheersing?? Vooral focus op hardware beveiliging (firewalls, antivirus, patching, ) 26

27 Technisch CEO Staf IT Security Systeem Sales Ops 27

28 Management Informatieveiligheid: Technisch: meestal gekend en beheerd Privacy/wetgeving: zie voorafgaande Procedures/organisatiebeheersing?? Vooral focus op privacy, contracten,. 28

29 Privacy/Wetgeving CEO Staf IT Security Systeem Sales Ops 29

30 Management Informatieveiligheid: Technisch: meestal gekend en beheerd Privacy/wetgeving: zie voorafgaande Procedures/organisatiebeheersing 30

31 Organisatiebeheersing Staf CEO IT Security Systeem Sales Ops 31

32 Risicoanalyse GDPR vermeldt 71 keer het woord risico Een gedegen risicoanalyse is nodig als basis 32

33 Risicomanagement 33

34 Risicomanagement 34

35 35