Stappenplan naar GDPR compliance

Vergelijkbare documenten
Stappenplan naar GDPR compliance

De grootste veranderingen in hoofdlijnen

De impact van Cybercrime & GDPR

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Moshe Beukers Dalila Dizdar Robert van Asch

Handvatten bij de implementatie van de AVG

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Agenda. De AVG: wat nu?

Algemene verordening gegevensbescherming

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Data Protection Impact Assessment (DPIA)

General Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Privacy wetgeving: Wat verandert er in 2018?

WHITEPAPER GDPR 2018: Bent u voorbereid op de nieuwe Europese privacywetgeving?

Gegevensverwerking. Artikel 1 - Definities

Plan

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Procedure meldplicht datalekken

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Bijlage Gegevensverwerking. Artikel 1 - Definities

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Privacy in de afvalbranche

Algemene begrippen AVG

Veranderingen privacy wet- en regelgeving

EXtreem veilig. Stappenplan Algemene Verordening Gegevensbescherming

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Standaard verwerkersovereenkomst

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

VERKLARING PERSOONSGEGEVENS- BEVEILIGING

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

staat is om de AVG na te komen.

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

GDPR (General Data Protection Regulation ) The journey we take together

Protocol informatiebeveiligingsincidenten en datalekken VSNON

De Algemene Verordening Gegevensbescherming.

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

Werkprogramma Meldplicht Datalekken. Handreiking

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Cursus privacyrecht Jeroen Naves 7 september 2017

In 10 stappen voorbereid op de AVG

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Wat betekent de GDPR voor mijn bedrijf? TOM VAN NUNEN ONLINQ BEST

WHITEPAPER PRAKTISCHE HANDREIKING VOOR DE ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG)

Raadsmededeling - Openbaar

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Auteurs: Edwin Adams Tangram

BIJLAGE 2: BEVEILIGINGSBIJLAGE

ALLE SCHAKELS VAN DE PRIVACYKETTING

Checklist Beveiliging Persoonsgegevens

VERWERKERSOVEREENKOMST. tussen. Verwerkingsverantwoordelijke INFOGROEN SOFTWARE B.V.

Protocol Beveiligingsincidenten en datalekken

Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool.

Protocol beveiligingsincidenten en datalekken

Welkom. ICT-Kring Delft bijeenkomst 4 december 2017

checklist in 10 stappen voorbereid op de AVG. human forward.

Protocol informatiebeveiligingsincidenten en datalekken

Verwerking van persoonsgegevens:

Algemene Verordening Gegevensbescherming (AVG)

Protocol informatiebeveiligingsincidenten en datalekken

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

Protocol Meldplicht Data-lekken

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Protocol datalekken voor Fidé Hypotheken & Verzekeringen

Privacy Maturity Scan (PMS)

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

Verwerkersovereenkomst Duurza.am

De nieuwe privacywetgeving:

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Vita Zwaan, 16 november 2017

Functieprofiel Functionaris Gegevensbescherming

Data Protection Same Game, Other Rules

Algemene Verordening Gegevensbescherming. Sjoera Nas Amsterdam 28 maart 2018

Meldplicht datalekken Thomas van Essen. 31 maart 2016

ECIB/U Lbr. 15/079

Privacybeleid gemeente Wierden

ISO 27001:2013 Informatiebeveiligingsbeleid extern

AVG. Algemene Verordening Gegevensbescherming

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Protocol informatiebeveiligingsincidenten en datalekken

De AVG. Wat kan De Bouwpas voor u betekenen

Data Protection Officer

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

AVG EN DE IMPACT OP UW BUSINESS

Welkom. Cure4Legal 14 september 2018

Algemene Verordening Gegevensbescherming

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Transcriptie:

Stappenplan naar GDPR compliance

In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation (GDPR), hierna Algemene Verordening Gegevensbescherming (AVG) genoemd. Het document waar u nu naar kijkt is een samenvatting van het originele document: De Algemene Verordening Gegevensbescherming en de gevolgen voor organisaties, Mazars, 10 november 2016, welke u via de volgende link kunt downloaden. Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG) vastgesteld. De AVG vervangt de eerdere EU verordening uit 1995, de Data Protection Directive 95/46/EC. De AVG heeft significante gevolgen voor organisaties en de door hen gebruikte IT systemen. De verordening heeft directe werking in de lidstaten van de Europese Unie. Daarbij hebben lidstaten tot uiterlijk 25 mei 2018 de tijd om de verordening in te voeren en over te gaan tot handhaving. Vrijwel elke organisatie moet voor die tijd maatregelen treffen om aan de eisen van de AVG te voldoen. Het niet voldoen aan de AVG kan leiden tot boetes die kunnen oplopen tot 20 miljoen of 4% van de wereldwijde jaaromzet. Naleving van privacy principes moet individuen beschermen De AVG vindt haar basis in de privacy principes beschreven in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). In 2013 heeft de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) de definities van de zogenaamde informationele privacy principes geactualiseerd. Uitgangspunt in de AVG is dat elke gedigitaliseerde verwerking van persoonsgegevens een inbreuk vormt op de persoonlijke levenssfeer van de betrokkenen. De verantwoordelijke organisatie moet aantonen dat organisatorische en technische maatregelen zijn getroffen waarmee invulling is gegeven aan de privacy principes en de risico s voor betrokken zijn geminimaliseerd. Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Schema: Privacy principes ter bescherming van klanten, burgers en consumenten Digitalisering en privacybescherming zijn maatschappelijke en bestuurlijke thema s en raken mensenrechten. Veel organisaties zien dat het voldoen aan de AVG om marktreputatie gaat en privacybescherming een onderdeel is van maatschappelijk verantwoord ondernemen. Compliance met de AVG is meer en meer een voorwaarde voor deelname aan de gedigitaliseerde samenleving en economie. Met alleen papieren maatregelen lukt het niet De AVG stelt onder meer dat organisaties de beveiliging, integriteit, authenticiteit en beschikbaarheid van persoonsgegevens permanent moeten garanderen. Dit vereist naast organisatorische vooral ook technologische maatregelen. Op dit punt wijkt de AVG af van de vorige privacy verordeningen. De focus ligt veel meer op de maatregelen in de IT: de IT werkelijkheid. Met alleen organisatorische en procedurele maatregelen is het niet mogelijk om aan de AVG te voldoen.

Artikel 32 van de AVG stelt dat de verantwoordelijke organisatie de beveiliging van persoonsgegevens permanent moet garanderen door organisatorische én technische maatregelen te treffen. De beveiliging betreft de vertrouwelijkheid, de integriteit en de beschikbaarheid van de verwerking van data. De organisatie dient bovendien maatregelen te hebben geïmplementeerd om beveiligingsincidenten en datalekken tijdig te detecteren en de gevolgen voor betrokkenen te minimaliseren. Door periodiek testen, beoordelen en evalueren van de beveiliging moet de werking van de beveiliging worden aangetoond. Een andere technische aanwijzing uit de AVG is dat de beveiligingsmaatregelen naar de laatste stand van de techniek moeten zijn ingericht. De AVG spreekt van het toepassen van pseudonimisering en versleuteling. Pseudonimisering en versleuteling van persoonsgegevens zijn sterke maatregelen om de risico s van datalekken en ook de risico s van profiling te beperken. In het bijzonder wordt gewezen op de risico s van het opslaan en verwerken van digitale identifiers en wachtwoorden. Hiervoor zijn aanvullende maatregelen nodig zoals versleuteling en segmentering van systemen of het offline opslaan van gegevens. De eis dat de beveiliging permanent gegarandeerd moet kunnen worden, maakt ook duidelijk dat er zowel preventieve, als detectieve maatregelen nodig zijn. Het gebruik van security logging en het periodiek analyseren van logging zijn belangrijke randvoorwaarden om de werking van beveiligingsmaatregelen aan te kunnen tonen. Afhankelijk van de gevoeligheid van de verwerking zullen ook technologieën als intrusion detection en prevention en monitoring systemen overwogen moeten worden. Persoonsgegevens en ook aan alle betrokkenen indien zij nadelige effecten hiervan kunnen ondervinden. Melding aan de autoriteiten dient onverwijld en uiterlijk binnen 72 uur te geschieden. Melding aan betrokkenen kan achterwege blijven indien de verantwoordelijke organisatie aantoonbare toereikende technische beveiligingsmaatregelen heeft getroffen waardoor de gevolgen voor de betrokkenen geminimaliseerd zijn. Versleuteling, segmentering, logging van security incidenten, sterke authenticatie mechanismen en ondersteunende maatregelen als monitoring en periodieke controle zijn in dit verband zinvolle maatregelen. In geval van een datalek is het belangrijk dat een organisatie kan aantonen dat zij de benodigde beveiligingsmaatregelen op orde heeft. Hiermee kunnen hoge boetes worden voorkomen en kosten worden vermeden om achteraf de gevolgen van een datalek te minimaliseren. Documentatie van beveiligingsmaatregelen is ook daarom belangrijk. Er geldt een bewaarplicht voor de documentatie van security incidenten en datalekken. Een inbreuk middels malware dient altijd gemeld te worden bij de autoriteiten. Het aantreffen van malware op een systeem wordt gezien als het verlies van controle over dat systeem door de verantwoordelijke. Malware prevention en malware detection in combinatie met segmentering van netwerken kunnen effectieve maatregelen zijn ter beperking van de gevolgen van malware. Nederland loopt voorop met de invoering: meldplicht datalekken Vooruitlopend op de invoering van de AVG heeft Nederland per 1 januari 2016 de meldplicht datalekken ingevoerd. Dit is een onderdeel van de AVG en beschreven in artikel 33 en 34. Hiermee loopt Nederland voorop in Europa met de invoering. Met sancties die kunnen oplopen tot 10% van de jaaromzet is ook een sterk signaal afgeven waarmee het belang van naleving van de nieuwe verordening is onderstreept. De meldplicht houdt in dat in geval van een onrechtmatige verwerking of onrechtmatige toegang tot persoonsgegevens dit gemeld moet worden bij de Autoriteit

Handreiking roadmap voor compliance met de AVG Hieronder volgt een highlevel stappenplan waarin is aangegeven welke stappen zoal doorlopen moeten worden om aan de AVG te kunnen voldoen. Schema: Privacy principes ter bescherming van klanten, burgers en consumenten 1. Register van verwerkingen 2. Categorisering van persoonsgegevens 5. Privacy by Design 8. Privacy Officer 3. Documentatie beveiligingsmaatregelen 6. Monitoring Periodiek toetsing en evaluatie 9. Beveiligingsincidenten 4. Privacy Impact Assessment 7. Certificering en rapportage 10. Melden datalek autoriteiten 11. Melden datalek betrokkenen 1. Register van verwerkingen (WP par 2.1.1, blad 9 / Artikel 30 AVG) Leg een register aan van alle verwerkingen van persoonsgegevens, dit register bevat per verwerking het doel en de aard van de verwerking, de getroffen beveiligingsmaatregelen en wie verantwoordelijk is 2. Categorisering van persoonsgegevens (WP par 2.1.1, blad 9 / Artikel 9 AVG) Geef aan wat de gevoeligheid van de verwerkte persoonsgegevens zijn en welke risico s hiermee gemoeid zijn voor de betrokkenen. 3. Documentatie beveiligingsmaatregelen (WP par 2.2.2, blad 10 / Artikel 30, 32 AVG) Zorg voor een beschrijving van de technische en organisatorische maatregelen zoals die zijn gerealiseerd. 4. Privacy Impact Assessment (WP par 2.2, blad 8 / Artikel 35 AVG) Toets periodiek of getroffen maatregelen nog in lijn zijn met de AVG en met alle privacy principes en risico s en of de doelstelling van de verwerking behaald kan worden via andere wegen of met minder persoonsgegevens. Voer bij gewijzigde omstandigheden of wijzigingen in systemen een privacy Impact assessment uit. 5. Privacy by Design (WP par 2.2.8, blad 15 / Artikel 35 AVG) Bij invoering van nieuwe verwerkingen van persoonsgegevens of bij wijzigingen zorg dat vanaf het begin ontwerpcriteria worden gehanteerd waarmee invulling kan worden gegeven aan het principe van privacy by design. Systemen dienen voordat deze in gebruik worden genomen naar de laatste stand van de techniek zijn beveiligd. 6. Monitoring, periodieke toetsing en evaluatie (WP par 2.1.1, blad 9 / artikel 30, 32 AVG) Implementeer technische middelen en organisatorische procedures die waarborgen dat de beveiliging van systemen en de daarmee verwerkte persoonsgegevens permanent gegarandeerd wordt. Richt een management cyclus in waarbij zo nodig optimalisaties worden doorgevoerd. 7. Certificering en rapportage (WP par 2.1.1, blad 9 en 10 / artikel 42 AVG) Maak verwerkingen en gerealiseerde beschermingsmaatregelen transparant. Overweeg om stakeholders periodiek te informeren over de gerealiseerde beveiliging van persoonsgegevens en de privacy impact assessment rapportages. 8. Privacy Officer / Functionaris voor de gegevensbescherming (WP par 1.3, blad 6 / artikel 37 AVG) Stel als de criteria daartoe bereikt zijn een functionaris voor de gegevensbescherming aan. 9. Beveiligingsincidenten (WP par 3.9, blad 21 / AVG artikel 33, 34) Implementeer maatregelen om beveiligingsincidenten te detecteren en de gevolgen daarvan te beperken. Zorg voor documentatie van incidenten.

10. Melden datalek bij autoriteiten (WP par 3.9, blad 21 / AVG artikel 34) Richt een procedure meldplicht datalekken in waarmee datalekken worden gedetecteerd en aan de Autoriteit Persoonsgegevens binnen 72 uur worden gemeld. Zorg voor documentatie van datalekken. 11. Melden datalek bij betrokkenen (WP par 3.9, blad 21 / AVG artikel 34) Implementeer een procedure waarmee indien een datalek nadelige gevolgen heeft voor betrokkenen, deze betrokkenen onverwijld geïnformeerd kunnen worden over het gesignaleerde datalek. Bovenstaand overzicht geeft een overzicht van belangrijke eisen uit de AVG. Voor een meer uitgebreide beschouwing van de eisen en gevolgen van de AVG verwijzen wij naar het document: De Algemene Verordening Gegevensbescherming en de gevolgen voor organisaties, Mazars, 10 november 2016. Deze is gratis te downloaden via de volgende link. Zoekt u hulp of advies aangaande de gevolgen voor u of uw klanten? Neem gerust contact op met ons Business Development team: Wessel Veltman Business Developer wessel@eset.nl Michael van der Vaart Chief Technology Officer michael@eset.nl Wij zijn tevens bereikbaar op 0184-647740.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback