AVG - Algemene Verordening Gegevensbescherming 2 Jaap van Oord, FourTOP ICT De privacy wetgeving verandert, waarom en wat moet uw organisatie hier nou precies mee?
FourTOP ICT 3 Bouwen Automatiseren Beheren Altijd Overal Veilig
FourTOP ICT 4 ICT Systeem beheer 01 02 ICT Security en beleid Veilige print en scan oplossingen 06 03 Veilige cloud en dataverbindingen Software 05 04 Telefonie
Algemene Verordening Gegevensbescherming AVG GDPR
Wat is Privacy? 6 Een ieder heeft het recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. Een ieder heeft recht op eerbiediging van zijn persoonlijke levenssfeer. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens, de AVG.
Privacy? 7 Wilt u ons vertellen in welk hotel u gisteren verbleef? En wilt u delen met wie u deze week heeft ge-sms't? "Nee", antwoordde Facebook-topman Mark Zuckerberg tot twee keer toe. "Ik denk dat dat is waar het hier om gaat", zei Durbin daarop: Jouw recht op privacy. De beperking van jouw recht op privacy en hoeveel je vrij moet geven in hedendaags Amerika onder het mom van, ik citeer 'Mensen van over de hele wereld verbinden.
Privacy? 8
Waarom nieuwe wetgeving 9 01 meer gevoelige informatie voor handen
Invoer Veelal papieren facturen, bankafschriften e.d.. Datadocumentatie Vaak via modem. Beperkt gebruik van internet.. Automatisering speelt een grote rol! 2000 2018 Uitvoer Veelal papieren facturen, bankafschriften e.d. Invoer Afnemers en leveranciers uploaden direct in het systeem, banken inlezen. Datadocumentatie Volledig geïntegreerd met het internet. Uitvoer Meestal via internet, papier minder vaak nodig. 10 Apparatuur Servers, stand-alone pc s, interne netwerken, vaste bekabeling. Programmatuur Financiële en losse modules. Apparatuur Servers in the cloud, laptops, smartphones, open netwerken, wireless. Programmatuur Totale integratie functies in ERP pakketten.
Organisatie Veelal papieren facturen, bankafschriften e.d.. Gegevensopslag Vaak via modem. Beperkt gebruik van internet. Automatisering speelt een grote rol! 2000 2018 Organisatie Afnemers en leveranciers uploaden direct in het systeem, banken inlezen. Gegevensopslag Volledig geïntegreerd met het internet. 11 Beveiliging Veelal papieren facturen, bankafschriften e.d. Beveiliging Meestal via internet, papier minder vaak nodig.
Waarom nieuwe wetgeving 12 01 02 meer gevoelige informatie voor handen onbewuste gebruikers
Onbewust 13
Waarom nieuwe wetgeving 14 01 02 03 meer gevoelige informatie voor handen Onbewuste gebruikers Cybercrime
Cybercrime problematiek 15 GELD ER GAAT MEER GELD OM IN CYBERCRIME DAN IN DE WERELDWIJDE HANDEL VAN COCAÏNE, HEROÏNE EN MARIHUANA GECOMBINEERD. SIMPEL 91% VAN ALLE CYBER AANVALLEN BEGINT MET HET STUREN VAN EEN PHISHING E-MAIL
Slimme aanpak Hackers 16 1x phishing campagne, 200.000 slachtoffers
De gevolgen van een Datalek versus de AVG? 17 Direct Schade door stilstand van medewerkers en processen Schade door verlies van data Herstel schade aan systemen indirect Bij privacy gevoelige informatie: Datalek aanmelden bij de AP (Autoriteit Persoonsgegevens) Onderzoekschade Imago schade Boete als er geen of missend security beleid is
Waarom nieuwe wetgeving 18 01 02 03 04 meer gevoelige informatie voor handen Onbewuste gebruikers Cybercrime Profiling
Profiling Wie ben je? 19
Nu hebben deze organisaties hun eigen regeltjes 20
21 De AVG is verplicht voor iedere ORGANISATIE!
Mag ik nog ondernemen? 22
23 Verwerkt u bijzondere persoonsgegevens? Ras of etnische afkomst Politieke opvattingen Religieuze overtuigingen Lidmaatschap van een vakbond Genetische gegevens Biometrische gegevens Gezondheidsgegevens Strafrechtelijke gegevens Gegevens met betrekking tot iemands seksueel gedrag of voorkeur.
AVG Maatregelen 24 Technische maatregelen. Organisatorische maatregelen Aantoonbaar beleid met constante doorontwikkeling
Zorg voor de technische basics 25 Data scanning UTM Firewall Spamfilter Netwerk scanning 50% 70% Veilige verbinding Transparantie Versimpeling en scheiding Gebruikers Rechtenbeheer 40% 30% 15% 90-99,999% Organisatie Periodieke Nulmeting Bewustwording Training Social engineering Netwerk beveiliging IDS/IPS, End Point security, SSL- VPN met 2-weg authenticatie, data encryptie Data back-up Disaster recovery oplossing
Wat wordt er in de AVG verwacht Met betrekking tot medewerkers 26 01 02 03 04 05 Ieder persoon waar u informatie over opslaat moet hier toestemming voor geven, de reden voor opslag weten op de hoogte zijn met welke organisatie die informatie wordt gedeeld. Het is de verantwoordelijkheid van de organisatie om de persoonsgegevens te beschermen tegen lekken en misbruik. Als u deze data deelt met andere organisaties moet u een verwerkersovereenkomst sluiten met deze organisaties. Iedere persoon waarover u data opslaat, heeft het recht deze data in te zien, ofwel; recht op inzage.. Als u als organisatie gegevens over personen deelt met anderen, bijvoorbeeld op een forum of zoekmachine, dan heeft deze persoon in bepaalde gevallen het recht om vergeten te worden.
Stappenplan 27 1. Interne FG aanwijzen (niet altijd verplicht) 2. Inventariseren of er een uitgebreide DPIA nodig is.
FG 28 FG = Functionaris gegevensbescherming is verplicht voor overheden, scholen, voor organisaties die bijzondere persoonsgegevens verzamelen en voor organisaties die vanuit hun kernactiviteit op grote schaal personen volgen. FG moet bovengemiddelde kennis hebben van: Relevante wet- en regelgeving Gegevensverwerking binnen de organisatie IT en informatiebeveiliging FG niet persoonlijk aansprakelijk Geen belangenverstrengeling
DPIA 29 DPIA = Data privacy impact assessment is verplicht voor voor organisaties die: systematisch en uitvoerig persoonlijke aspecten evalueert zoals profiling. Bijzondere persoonsgegevens verwerken. Op grote schaal mensen volgen.
Fourtop Stappenplan 30 1. Interne FG aanwijzen (niet altijd verplicht) 2. Inventariseren of er een uitgebreide DPIA nodig is. 3. Verwerking persoonsgegevens in kaart brengen in verwerkingsregister. 4. Classificatie toepassen op verwerkingsregister. 5. Risicovolle verwerkingen in kaart brengen en risico beperkende maatregelen nemen. 6. Implementeer organisatorische maatregelen: Privacy- en ICT-beleid. 7. Procedures optimaliseren, Dataportabiliteit, Recht op inzage, Recht om vergeten te worden en verschillende HR procedures. 8. Datalekprotocol opstellen, testen en implementeren. 9. Verwerkersovereenkomsten opstellen, delen en vastleggen. 10. Informatiebeveiliging toetsen en eventueel optimaliseren. 11. Zorg voor bewustwording binnen de organisatie. 12. Blijf de beveiliging en alertheid van de organisatie controleren en check op actualiteit van de gegevens.
Voorkomen is beter dan.. 31
Datalek melden 32 Na het moment van het ontdekken van een datalek moet dit binnen 72 uur worden gemeld bij de autoriteit van het desbetreffende land. Bij het lekken van persoonsgegevens van derden, dienen deze persoonlijk geïnformeerd te worden. Dit is niet nodig wanneer: de data aantoonbaar versleuteld was
AVG Boetebeleid 33 Een boete van maximaal 10.000.000 euro of 2% van de wereldwijde jaaromzet. Afhankelijk wat het hoogst is voor zaken waar geen of een verkeerd beleid is. Een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet. Afhankelijk wat het hoogst is voor zaken waarin de rechten van betrokkenen zijn geschonden.
FourTOP Security Beleid 34 IT aanpak en advies ICT en Privacy beleid Aantoonbaar veilige IT Training & Bewustwording
Security software & diensten 35 Technische 0-Meeting Cybercrime training Social Engineering Antiphising training
ICT & Privacy beleid 36 Juridisch compliant Privacy beleid applicatie Met deze applicatie komt u in control over uw organisatie. Ontzorgt volledig op het gebied van de privacywetgeving. Simpele uitrol doordat alle regelementen en standaarddocumenten voor een sluitend privacy beleid inclusief en voorhanden zijn. Heeft een korte ROI dankzij de mogelijkheid tot regulering van ICT gebruik.
Alle benodigde juridische documentatie 37
Helpende hand van A tot Z 38
Implementatie oplossing 39
Handhaving mogelijkheden 40
Kwaliteitsmanagement IT 41 24x7 toezicht Inzicht in netwerk risico`s Oplossingsgerichte Rapportering Rapportering op basis van verschillende normeringen als ISO/NEN etc. Maakt audits inzichtelijk en simpel Alarm systeem die digitale inbrekers signaleert Informatie voorziening voor Management Team
we stay connected. J.vanoord@fourtop.nl 42