WET MELDPLICHT DATALEKKEN

Transcriptie

1 WET MELDPLICHT DATALEKKEN Stand van zaken en vooruitblik: De WBP en de komende Europese verordening Ad Schaafsma Security Consultant bij Axians 1

2 EVEN VOORSTELLEN JURIST & IT ER INFRASTRUCTUREN IT SECURITY & PRIVACY 2

3 MIJN AGENDA Wat ik vandaag met u wil delen Recapitulatie: na 1 jaar meldplicht datalekken De mogelijke agenda van de toezichthouder in 2017 Intermezzo: twee casussen ter lering Van Wet bescherming persoonsgegevens naar de Europese verordening gegevensbescherming Belang en functie van gedragscodes en certificeringen Uw agenda voor 2017 en 2018 Vragenronde ter afsluiting 3

4 1 JAAR MELDPLICHT DATALEKKEN Datalekken bij gemeenten en ziekenhuizen (Amersfoort, Isala) >4000 datalekken gemeld (stand Q3) Tientallen lopende onderzoeken 10% Gemelde datalekken bij gemeenten! De boetes komen : provider TalkTalk (UK) Zorgen over de zorg (WMO, ziekenhuizen) Link referentie en bijlage: 4

5 DE AGENDA VAN DE TOEZICHTHOUDER IN 2017 (VERWACHTING) De eerste bestuurlijke boetes! Verwacht boetes in consumentensfeer of gemeenten Gegevens(her)gebruik in social-media of zorgdomein Aandacht voor lagere overheden: gemeenten Algemeen Uitvoering WMO door gemeenten Ziekenhuizen en gezondheidszorg Gegevensintegriteit, toegangsvertrouwelijkheid EPD - schakelpunt Voorlichting over en voorsorteren op Europese verordening (25 mei 2018) 5

6 INTERMEZZO: CASUSSEN Gemeente Amersfoort Excel bestand verkeerd verstuurd: 2000 WMO dossiers gelekt Menselijke fout : echt waar? Pas op met afgeleide verwerkingen! Isala ziekenhuis Privé laptop gestolen: 400 artsendossiers gecompromitteerd Overtreding interne regels! Waar waren bewustzijn en toezicht? 6

7 VAN WBP NAAR AVG Europese verordening gegevensbescherming treedt op 25 mei 2018 in werking Wat betekent dat voor u? U moet weten wat u doet of in huis heeft U moet aan kunnen tonen uw zaken rond beveiliging op orde te hebben Als u ter verantwoording wordt geroepen, moet u een dossier hebben Als u een verwerking start, houdt u rekening met privacy by design en by default Wees auditable Hulpmiddelen Gedocumenteerde zelfregulering (PIA) Cybersecurity scans en pentesten Normen op het gebied van IT beveiliging Heel belangrijk: procedure hoe te handelen bij datalekken Van systeembeveiliging naar databescherming 7

8 VAN WBP NAAR AVG: DE FG De Functionaris voor gegevensbescherming Verplicht in de volgende gevallen U bent een overheidsinstelling U houdt u bezig met regelmatige en stelselmatige observatie U verwerkt bijzondere persoonsgegevens U verwerkt strafrechtelijke gegevens De FG is onafhankelijk Taken van de FG Informeren en adviseren Toezien op gegevensbeschermingseffectbeoordelingen Met de toezichthouder samenwerken Als contactpersoon optreden De FG is een interne toezichthouder 8

9 GEDRAGSCODES EN CERTIFICERING Gedragscodes Goedkeuring en registratie door nationale toezichthouder EU Commissie kan algemeen verbindend verklaren! Certificering Vrijwillig voor de verwerkingsverantwoordelijke Certificering voor auditors vereist Denk aan ISO 27001/NEN 7510/ISAE 3402 e.a. Afgegeven aan verantwoordelijke, niet aan bewerker Gedragscodes of certificeringen geven vermoeden van compliance! 9

10 HOE ZIET UW AGENDA ERUIT? Welke persoonsgegevens verwerkt u? Verzamelen informatie uit de organisatie Vaststellen of u juridisch compliant bent Samen met business beoordelen Uw security beoordelen Cybersecurity scan en pentest Bewustzijn en kennis van uw medewerkers Overweeg ISO 27001/NEN 7510/ISAE 3402 e.d. Niets doen is geen optie (meer)! Persoonsgegevens en datalekken INN STYLE MAARSSEN 10

11 VRAGEN EN AFSLUITING Vragenronde Verder lezen Sdu Commentaar Wet bescherming Persoonsgegevens, Editie 2016 Bestelcode Mijn gegevens Mr. Ad Schaafsma CDPO, senior Consultant Tel: Mobiel:

12 12

13 BEDANKT VOOR UW AANDACHT 13