Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner.

Maat: px

Weergave met pagina beginnen:

Download "Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl"

Christa Maes
8 jaren geleden
Aantal bezoeken:

1 Aanscherping WBP Meldplicht datalekken Mr S.H. Katus, CIPM Partner

2 PMP in het kort Privacy Management Partners Het eerste DPO-bureau van Nederland Data Protection Officer-services Begeleiding bij opzet Ondersteuning bij uitvoering Trainingen & e-learning Regulatory affairs Tooling Expertise en ervaring van professionals die hun sporen hebben verdiend in het bedrijfsleven, bij de overheid en het College Bescherming Persoonsgegevens. Wij zijn aangesloten bij:

3 Uw vragen 1. Is een Functionaris Gegevensbescherming verplicht na ? 2. Wanneer wel en wanneer niet melden? 3. Welke security maatregelen moeten er extra genomen worden? 4. Moet er aan de BIG/NEN worden voldaan voor ? 5. Wat zijn de addertjes onder het gras? 6. Welke regels hoeven we niet te serieus te nemen?

4 Onvermogen

5 Groeiend onbehagen Ook bij úw doelgroepen Privacybeleving op het internet in Nederland (feb. 2015) Percentages in de grafiek hier weergegeven in hele getallen

6 Privacy is strategisch

7 Quick scan Voldoen aan de wet Evenwichtig Inefficiënt Naar de geest Principle based Naar de letter Rule driven Data cowboy Symbolisch Niet voldoen aan de wet

8 Aanscherping WBP EU-richtlijn 95/46/EG Reputatieschade Aansprakelijkheid Inspectie & dwang WBP+ EU-richtlijn 95/46/EG Reputatieschade Aansprakelijkheid Inspectie & dwang / 10% AVG EU-brede superwet Reputatieschade Aansprakelijkheid Inspectie & dwang > 1 miljoen / % < > 2016

9 Wat zien we niet..?

10 MELDPLICHT DATALEKKEN

11 Security breach Beveiliging in de zin van art. 13 WBP Beschikbaarheid Integriteit Vertrouwelijkheid

12 Lekke bewerkers Aansprakelijkheid bij uitbesteding art. 14 WBP A B Dienstenplatform E C D

13 Melding aan de APg Artikel 34a lid 1 WBP WEL Wél ernstige security breach verwerking persoonsgegevens NIET Géén ernstige security breach verwerking persoonsgegevens

14 Informeren van personen Artikel 34a lid 2 WBP WEL Wél ongunstige gevolgen voor personen NIET Géén ongunstige gevolgen voor personen Tenzij gegevens onbegrijpelijk of ontoegankelijk zijn gebleven

15 Iedereen toezichthouder Kans x impact

16 Extra: meldprocedure Privacy Impact Assessment (PIA) op incident APg! PIA Directie Pers.

17 Stappen 1. Signaleer het lek 2. Dicht het lek 3. Privacy Impact Assessement 4. Meld het lek 5. Evalueer lek / meldproces 6. Stel bij Detecteer Evalueer Dicht het lek Meld Incident PIA

18 Ook bredere aanpak

19 IB-beleid NEN / ISO 2700x

20 ADDER ONDER HET GRAS

21 Signaal van een symptoom van een fundamenteel probleem Melding datalek Informatiebeveiliging Privacy management

Privacywaarborgen Key controls van privacy management Bestuurlijke privacywaarborgen 1. Governance 2. Legitimiteit 3. Beleidstransparantie 4. Privacy services (inzage etc.) 5.

22 Privacywaarborgen Key controls van privacy management Bestuurlijke privacywaarborgen 1. Governance 2. Legitimiteit 3. Beleidstransparantie 4. Privacy services (inzage etc.) 5. Rekenschap Operationele privacywaarborgen 6. Proportionaliteit 7. Doelbinding 8. Relevantie 9. Informatiekwaliteit 10. Informatiebeveiliging Nieuwe boetebevoegdheden Boeterisico s (grof gezegd) 1. Niet voldoen aan de meldplichten 2. Niet voldoen aan APg-instructies 3. Niet voldoen aan hoofdstuk 2 WBP 4. Niet voldoen aan hoofdstuk 6 WBP 5. Niet voldoen aan hoofdstuk 11 WBP

Governance-wetgeving Control & accountability Sturing Act Directie Plan Onafhankelijk Advies & toezicht Data Protection Officer Afdelingen JZ, IT-security, risk, compliance, communicatie, ICT, inkoop

23 Governance-wetgeving Control & accountability Sturing Act Directie Plan Onafhankelijk Advies & toezicht Data Protection Officer Afdelingen JZ, IT-security, risk, compliance, communicatie, ICT, inkoop Ondersteunende rol Klantgegevens Personeelsgegevens Beveiligingsgegevens Chef Commercie Chef Personeelszaken Chef Veiligheid Check Klantprocessen Leidinggevenden Werkgeverprocessen Leidinggevenden Processen Do bedrijfsbeveiliging /fraudebestrijidng Leidinggevenden

24 Data Protection Officer Niet verplicht, wel aanbevolen art WBP Functionaris voor de Gegevensbescherming 2-toezichthouder Toezicht Advies Ombudsfunctie Regulatory affairs expert op het gebied van privacywetgeving; praktijkdeskundig (kennis van organisaties, processen, ICT en informatiebeveiliging); onafhankelijk en betrouwbaar; gevoel voor de interne en externe verhoudingen; beroepservaring die past bij zijn verantwoordelijkheden; vaardigheden op het gebied van PR & communicatie / regulatory affairs. Organisatiecoach / privacy-accountant

25 Risicogedreven Privacy Impact Assessments

26 Heeft u vragen? info@pmpartners.nl

Vergelijkbare documenten

Privacy management. Scope privacy Wet op de administratieve organisatie 07-10-15. Privacy. ü Meldplicht datalekken ü Uitbreiding boetebevoegdheden CBP

Privacy management. Scope privacy Wet op de administratieve organisatie 07-10-15. Privacy. ü Meldplicht datalekken ü Uitbreiding boetebevoegdheden CBP Privacy management ü Meldplicht datalekken ü Uitbreiding boetebevoegdheden CBP Mr S.H. Katus, CIPM Partner sergej.katus@pmpartners.nl www.pmpartners.nl Scope privacy Wet op de administratieve organisatie