Jaap van Oord, FourTOP ICT

Transcriptie

1

2 AVG - Algemene Verordening Gegevensbescherming 2 Jaap van Oord, FourTOP ICT De privacy wetgeving verandert, waarom en wat moet uw organisatie hier nou precies mee?

3 FourTOP ICT 3 Bouwen Automatiseren Beheren Altijd Overal Veilig

4 FourTOP ICT 4 ICT Systeem beheer ICT Security en beleid Veilige print en scan oplossingen Veilige cloud en dataverbindingen Software Telefonie

5 Algemene Verordening Gegevensbescherming AVG GDPR

6 Wat is Privacy? 6 Een ieder heeft het recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. Een ieder heeft recht op eerbiediging van zijn persoonlijke levenssfeer. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens, de AVG.

7 Privacy? 7 Wilt u ons vertellen in welk hotel u gisteren verbleef? En wilt u delen met wie u deze week heeft ge-sms't? "Nee", antwoordde Facebook-topman Mark Zuckerberg tot twee keer toe. "Ik denk dat dat is waar het hier om gaat", zei Durbin daarop: Jouw recht op privacy. De beperking van jouw recht op privacy en hoeveel je vrij moet geven in hedendaags Amerika onder het mom van, ik citeer 'Mensen van over de hele wereld verbinden.

8 Privacy? 8

9 Waarom nieuwe wetgeving 9 01 meer gevoelige informatie voor handen

10 Invoer Veelal papieren facturen, bankafschriften e.d.. Datadocumentatie Vaak via modem. Beperkt gebruik van internet.. Automatisering speelt een grote rol! Uitvoer Veelal papieren facturen, bankafschriften e.d. Invoer Afnemers en leveranciers uploaden direct in het systeem, banken inlezen. Datadocumentatie Volledig geïntegreerd met het internet. Uitvoer Meestal via internet, papier minder vaak nodig. 10 Apparatuur Servers, stand-alone pc s, interne netwerken, vaste bekabeling. Programmatuur Financiële en losse modules. Apparatuur Servers in the cloud, laptops, smartphones, open netwerken, wireless. Programmatuur Totale integratie functies in ERP pakketten.

11 Organisatie Veelal papieren facturen, bankafschriften e.d.. Gegevensopslag Vaak via modem. Beperkt gebruik van internet. Automatisering speelt een grote rol! Organisatie Afnemers en leveranciers uploaden direct in het systeem, banken inlezen. Gegevensopslag Volledig geïntegreerd met het internet. 11 Beveiliging Veelal papieren facturen, bankafschriften e.d. Beveiliging Meestal via internet, papier minder vaak nodig.

12 Waarom nieuwe wetgeving meer gevoelige informatie voor handen onbewuste gebruikers

13 Onbewust 13

14 Waarom nieuwe wetgeving meer gevoelige informatie voor handen Onbewuste gebruikers Cybercrime

15 Cybercrime problematiek 15 GELD ER GAAT MEER GELD OM IN CYBERCRIME DAN IN DE WERELDWIJDE HANDEL VAN COCAÏNE, HEROÏNE EN MARIHUANA GECOMBINEERD. SIMPEL 91% VAN ALLE CYBER AANVALLEN BEGINT MET HET STUREN VAN EEN PHISHING

16 Slimme aanpak Hackers 16 1x phishing campagne, slachtoffers

17 De gevolgen van een Datalek versus de AVG? 17 Direct Schade door stilstand van medewerkers en processen Schade door verlies van data Herstel schade aan systemen indirect Bij privacy gevoelige informatie: Datalek aanmelden bij de AP (Autoriteit Persoonsgegevens) Onderzoekschade Imago schade Boete als er geen of missend security beleid is

18 Waarom nieuwe wetgeving meer gevoelige informatie voor handen Onbewuste gebruikers Cybercrime Profiling

19 Profiling Wie ben je? 19

20 Nu hebben deze organisaties hun eigen regeltjes 20

21 21 De AVG is verplicht voor iedere ORGANISATIE!

22 Mag ik nog ondernemen? 22

23 23 Verwerkt u bijzondere persoonsgegevens? Ras of etnische afkomst Politieke opvattingen Religieuze overtuigingen Lidmaatschap van een vakbond Genetische gegevens Biometrische gegevens Gezondheidsgegevens Strafrechtelijke gegevens Gegevens met betrekking tot iemands seksueel gedrag of voorkeur.

24 AVG Maatregelen 24 Technische maatregelen. Organisatorische maatregelen Aantoonbaar beleid met constante doorontwikkeling

25 Zorg voor de technische basics 25 Data scanning UTM Firewall Spamfilter Netwerk scanning 50% 70% Veilige verbinding Transparantie Versimpeling en scheiding Gebruikers Rechtenbeheer 40% 30% 15% 90-99,999% Organisatie Periodieke Nulmeting Bewustwording Training Social engineering Netwerk beveiliging IDS/IPS, End Point security, SSL- VPN met 2-weg authenticatie, data encryptie Data back-up Disaster recovery oplossing

26 Wat wordt er in de AVG verwacht Met betrekking tot medewerkers Ieder persoon waar u informatie over opslaat moet hier toestemming voor geven, de reden voor opslag weten op de hoogte zijn met welke organisatie die informatie wordt gedeeld. Het is de verantwoordelijkheid van de organisatie om de persoonsgegevens te beschermen tegen lekken en misbruik. Als u deze data deelt met andere organisaties moet u een verwerkersovereenkomst sluiten met deze organisaties. Iedere persoon waarover u data opslaat, heeft het recht deze data in te zien, ofwel; recht op inzage.. Als u als organisatie gegevens over personen deelt met anderen, bijvoorbeeld op een forum of zoekmachine, dan heeft deze persoon in bepaalde gevallen het recht om vergeten te worden.

27 Stappenplan Interne FG aanwijzen (niet altijd verplicht) 2. Inventariseren of er een uitgebreide DPIA nodig is.

28 FG 28 FG = Functionaris gegevensbescherming is verplicht voor overheden, scholen, voor organisaties die bijzondere persoonsgegevens verzamelen en voor organisaties die vanuit hun kernactiviteit op grote schaal personen volgen. FG moet bovengemiddelde kennis hebben van: Relevante wet- en regelgeving Gegevensverwerking binnen de organisatie IT en informatiebeveiliging FG niet persoonlijk aansprakelijk Geen belangenverstrengeling

29 DPIA 29 DPIA = Data privacy impact assessment is verplicht voor voor organisaties die: systematisch en uitvoerig persoonlijke aspecten evalueert zoals profiling. Bijzondere persoonsgegevens verwerken. Op grote schaal mensen volgen.

30 Fourtop Stappenplan Interne FG aanwijzen (niet altijd verplicht) 2. Inventariseren of er een uitgebreide DPIA nodig is. 3. Verwerking persoonsgegevens in kaart brengen in verwerkingsregister. 4. Classificatie toepassen op verwerkingsregister. 5. Risicovolle verwerkingen in kaart brengen en risico beperkende maatregelen nemen. 6. Implementeer organisatorische maatregelen: Privacy- en ICT-beleid. 7. Procedures optimaliseren, Dataportabiliteit, Recht op inzage, Recht om vergeten te worden en verschillende HR procedures. 8. Datalekprotocol opstellen, testen en implementeren. 9. Verwerkersovereenkomsten opstellen, delen en vastleggen. 10. Informatiebeveiliging toetsen en eventueel optimaliseren. 11. Zorg voor bewustwording binnen de organisatie. 12. Blijf de beveiliging en alertheid van de organisatie controleren en check op actualiteit van de gegevens.

31 Voorkomen is beter dan.. 31

32 Datalek melden 32 Na het moment van het ontdekken van een datalek moet dit binnen 72 uur worden gemeld bij de autoriteit van het desbetreffende land. Bij het lekken van persoonsgegevens van derden, dienen deze persoonlijk geïnformeerd te worden. Dit is niet nodig wanneer: de data aantoonbaar versleuteld was

33 AVG Boetebeleid 33 Een boete van maximaal euro of 2% van de wereldwijde jaaromzet. Afhankelijk wat het hoogst is voor zaken waar geen of een verkeerd beleid is. Een boete van maximaal euro of 4% van de wereldwijde jaaromzet. Afhankelijk wat het hoogst is voor zaken waarin de rechten van betrokkenen zijn geschonden.

34 FourTOP Security Beleid 34 IT aanpak en advies ICT en Privacy beleid Aantoonbaar veilige IT Training & Bewustwording

35 Security software & diensten 35 Technische 0-Meeting Cybercrime training Social Engineering Antiphising training

36 ICT & Privacy beleid 36 Juridisch compliant Privacy beleid applicatie Met deze applicatie komt u in control over uw organisatie. Ontzorgt volledig op het gebied van de privacywetgeving. Simpele uitrol doordat alle regelementen en standaarddocumenten voor een sluitend privacy beleid inclusief en voorhanden zijn. Heeft een korte ROI dankzij de mogelijkheid tot regulering van ICT gebruik.

37 Alle benodigde juridische documentatie 37

38 Helpende hand van A tot Z 38

39 Implementatie oplossing 39

40 Handhaving mogelijkheden 40

41 Kwaliteitsmanagement IT 41 24x7 toezicht Inzicht in netwerk risico`s Oplossingsgerichte Rapportering Rapportering op basis van verschillende normeringen als ISO/NEN etc. Maakt audits inzichtelijk en simpel Alarm systeem die digitale inbrekers signaleert Informatie voorziening voor Management Team

42 we stay connected. 42