RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Maat: px

Weergave met pagina beginnen:

Download "RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:"

Ine de Valk
6 jaren geleden
Aantal bezoeken:

1 RI&E Privacy

2 Introductie Vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving (GDPR) gehandhaafd. Dit heeft belangrijke gevolgen voor het bedrijfsleven. Er is onder andere een meldplicht voor datalekken ingevoerd die organisaties verplicht om een data lek met persoonsgegevens binnen 72 uur te melden aan de toezichthouder. Daarnaast kan de toezichthouder (Autoriteit Persoonsgegevens) bindende aanwijzingen geven en is hun boetebevoegdheid verhoogd naar het opleggen van zeer hoge (bestuurlijke!) boetes. Deze boetes zijn van Materieel belang en hebben direct invloed op het resultaat van uw bedrijf. VOORBEREIDING OP DE NIEUWE WETGEVING Bedrijven dienen aantoonbaar inzicht te hebben in hun gegevensverwerkingen en deze informatie voor de autoriteit Persoonsgegevens beschikbaar te hebben in een actueel bijgehouden privacy administratie. Tevens dienen bedrijven zich voor te bereiden op mogelijke calamiteiten waarvan melding gemaakt moet worden aan de toezichthouder. De Sebyde Risico Inventarisatie & Evaluatie-Privacy ondersteunt organisaties bij de voorbereiding op deze nieuwe privacywetgeving. RI&E PRIVACY De RI&E start met een privacy checklist zodat we kunnen bepalen hoeveel tijd er in het vervolgprogramma nodig is bij uw organisatie. Dit is onder meer afhankelijk van de grootte van uw organisatie, welk type gegevens verwerkt worden of de complexiteit van de ICT-infrastructuur. Vervolgens maken we op basis van uw informatie over uw organisatie een passend voorstel voor het uitvoeren van module 1 van de RI&E-Privacy. Tijdens dit onderzoek brengen we alle gegevensverwerkingen in kaart en beoordelen deze op juridische grondslag en privacy risico s. Tevens lichten we de organisatie door op de privacy status en -compliance. De hoeveelheid tijd die voor dit onderzoek nodig is ongeveer 3 dagen. 2

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen: MODULE 1: OVERZICHT HOE STAAN WE ERVOOR?

3 RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen: MODULE 1: OVERZICHT HOE STAAN WE ERVOOR? De eerste stap is het creëren van overzicht van de verwerkingen, van uw organisatie, de informatiesystemen en de kennis van uw personeel. Tijdens deze stap wordt de volgende informatie boven water gehaald: Hoe staat het met de kennis van uw medewerkers - Privacy Awareness Welke persoonsgegevens worden er in uw organisatie verwerkt? Hoe is de organisatie opgebouwd? Aan welke wettelijke eisen moeten deze verwerkingen voldoen? Wat zijn de betrokken netwerken, systemen en applicaties? Welke afdelingen zijn er betrokken bij het verwerken van persoonsgegevens? Welke verwerkingen worden er met/op die persoonsgegevens uitgevoerd? Welk security- en privacy- beleid is er al geïmplementeerd? De praktische uitvoering van deze stap bestaat uit 1 of meerdere gesprekken met of vragenlijsten voor de betrokken personen/afdelingen om de benodigde informatie te verkrijgen. Vervolgens wordt de verkregen informatie beoordeeld door onze FG (Functionaris Gegevensbescherming). Resultaat: Een bruikbare privacy administratie 3

4 MODULE 2: INZICHT WAAR LIGGEN DE RISICO S? De tweede stap van de RI&E-Privacy is het bepalen aan welke risico s de verwerkingen blootstaan. Aan de hand van de resultaten van stap 1 maken we samen met u een risicoanalyse. We gaan bepalen waar de grootste risico s liggen en of verdere acties vereist zijn. Behalve organisatorisch en technisch wordt ook de zachte kant van de security meegenomen: het bewustzijn van uw medewerkers en de organisatie. Zijn de medewerkers bewust van de gevaren en dreigingen waaraan ze blootstaan? Hoe alert en bewust zijn uw medewerkers ten aanzien van phishing? Loopt u juridische risico s? In hoeverre is security en privacy embedded in de bedrijfsprocessen? Welke procedures zijn er ingevoerd op het gebied van de security en privacy? In hoeverre weet u van kwetsbaarheden van uw netwerk en systemen? Hoe gevoelig zijn netwerk en systemen voor uitval? Resultaat: Een risicoanalyse met betrekking tot de verwerkingen MODULE 3: PLAN WAT GAAN WE DOEN? Bepalen welke maatregelen er kunnen/moeten worden genomen om compliant te zijn aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te minimaliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën: Mens (trainen op veilig en privacy bewust gedrag van uw medewerkers) Organisatie (juridische afspraken, securitybeleid, privacy administratie, procedures) Techniek (technische maatregelen in netwerken, systemen en applicaties) Resultaat: Een plan van aanpak voor de organisatorische en technische maatregelen. MODULE 4: AANPAK AAN DE SLAG! Het plan van aanpak, van stap 3, wordt uitgevoerd met al zijn maatregelen. De privacy administratie wordt opgezet. Trainingen worden gegeven. De privacy organisatie wordt ingericht. Overeenkomsten worden gemaakt. Per verwerking wordt het PIA-rapport aangemaakt met alle bevindingen en aanbevelingen. Het rapport zal opgesteld worden conform de richtlijnen die door de toezichthouder zijn opgesteld. Resultaat: Uw organisatie voldoet aan de wetgeving. MODULE 5: EVALUATIE IS DE AANPAK SUCCESVOL? Om de privacybescherming binnen uw organisatie op hetzelfde hoge niveau te houden is het nodig om deze regelmatig onder de loep te nemen. U meet en controleert de status van uw organisatie, de kennis van uw medewerkers en de beveiligingsmaatregelen. Resultaat: verbeterpunten, verfijningen ten aanzien van uw privacy status. 4

5 Waar te beginnen? INVULLEN VAN DE PRIVACY CHECKLIST. U kunt de privacy checklist vrijblijvend aanvragen via Deze checklist bevat vragen over uw organisatie, uw ICT-landschap en de verwerkingen van privacygevoelige informatie. Aan de hand van deze informatie krijgen we een goed beeld van de complexiteit en grootte van uw organisatie. EVALUATIE DOOR FUNCTIONARIS GEGEVENSBESCHERMING EN SECURITY ARCHITECT. Na het invullen stuurt u de checklist terug naar Sebyde. Tegen een speciaal introductietarief van 495 Euro zal de informatie uit de ingevulde checklist geëvalueerd worden door een FG en een security architect. U ontvangt vervolgens van ons een rapport waarin we in hoofdlijnen onze bevindingen beschrijven met betrekking tot uw privacy situatie. Vragen? Neem gerust contact met ons op: Telefoon: (algemeen) info@sebyde.nl Website: sebyde.nl/rie-privacy Vertrouwend hiermee van dienst te zijn, Met vriendelijke groet, Sebyde BV Rob Koch rob.koch@sebyde.nl 5

Vergelijkbare documenten

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van