Cloud & AVG. PvIB Thema avond 18 april 2019 Terugkoppeling Case Klant en leveranciers kant

Vergelijkbare documenten
Privacy & Cloud. een juridisch perspectief

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy

Beveiligingsmaatregelen

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

INFORMER VERWERKERSOVEREENKOMST ZOALS VASTGESTELD OP 20 APRIL 2018

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

De impact van Cybercrime & GDPR

Databeveiliging en Hosting Asperion

Zwaarbewolkt met kans op neerslag

Bijlage: Verwerkersovereenkomst

Verwerkersovereenkomst

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

Verwerkersovereenkomst INTRAMED ONLINE

Bijlage: Verwerkersovereenkomst

2. De besloten vennootschap 123webshop, kantoorhoudende te () aan, hierbij rechtsgeldig vertegenwoordigd door, hierna te noemen: Verwerker

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

ISO 27001:2013 Informatiebeveiligingsbeleid extern

IaaS by Proact. datasheet. Uitdaging. Oplossing. U profiteert van: Van IT-afdelingen wordt steeds meer verwacht. Zij moeten e nerzijds de b

De GDPR-wetgeving beslaat maar liefst 99 artikelen. Dit zijn de basisprincipes die voor elke organisatie gelden:

PRIVACY POLICY AL KOPIE GRIMBERGEN IN HET KADER VAN DE GDPR-COMPLIANCY

Voor de bovenstaande doelstelling(en) kan FysioDomstad de volgende persoonsgegevens van u vragen:

E-book 17 vragen over de AVG

VERWERKERSOVEREENKOMST

Toelichting Verwerkersovereenkomst Loon Salarissoftware B.V.

Schrijven we over 'wij', 'we', 'ons' of 'onze', dan bedoelen we De Bovenbaas, gevestigd aan de Kruisdwarsstraat 19, 3581GL Utrecht, Nederland.

Partnering Trust in online services AVG. Vertrouwen in de keten

VERWERKERS- OVEREENKOMST TELEMATCH BV

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

VERWERKERS- OVEREENKOMST Plus Automatisering BV en Plus Business Software BV

GDPR, wat betekent deze nieuwe privacywet voor jou?'

Generieke gemeentelijke Infrastructuur modellen. Naar de Cloud

Privacy Policy. Grondslag voor deze persoonsgegevens is: - De overeengekomen opdracht;

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Hotel de Gentsche Poort, Gentsestraat 94, 4521AN Biervliet

Seminar Intrasurance 31 januari 2018 The CMR Agency Marc Stubbé. Wat betekent de nieuwe Europese privacywetgeving voor u en uw klantcontacten?

Verwerker en verwerkingsverantwoordelijke. whitepaper

versie: januari 2018 Voor de digitale economie 1.

VERWERKERS- OVEREENKOMST. Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie mei V2.

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Verwerkersovereenkomst

Wat komt aan bod? Inleiding Wat is GDPR? En wat is ISO 27001? Full package om uw bedrijf voor te bereiden op de GDPR.

Dit Privacy Statement ziet op alle verwerkingen die worden uitgevoerd door ons en voornoemde gelieerde ondernemingen.

1AFSPRAAK.NL 1KAPPER.NL 1BEAUTYAFSPRAAK.NL

Sophios Standaard Verwerkersovereenkomst

Schouten Schoenen houdt zich in alle gevallen aan de toepasselijke wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming (AVG).

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

VERWERKERS- OVEREENKOMST

Privacy Policy Vanden Bussche -Veurne

- Administratieve doeleinden; - Communicatie over de opdracht en/of uitnodigingen; - Het uitvoering geven aan of het uitgeven van een opdracht.

Privacy Policy Stichting Adidam Nederland

Informatiebeveiligingsbeleid extern

- Administratieve doeleinde; - Communicatie over de opdracht en/of uitnodigingen; - Het uitvoering geven aan of het uitgeven van een opdracht.

Bijlage: Verwerkersovereenkomst

Privacy Policy (uitgebreid)

Voor de bovenstaande doelstelling(en) kan Fysiotherapie M. Ebels de volgende persoonsgegevens van u vragen:

Security, Legal and Compliance

Privacy Policy Studio2 Communications Versie 22 mei 2018

Verwerkersovereenkomst Alphamega

- Vragen om uw uitdrukkelijke toestemming als wij deze nodig hebben voor de verwerking van uw persoonsgegevens;

Cloudsourcing & Forensic Readiness. Over verwachtingen, transparantie en samenwerking. Platform voor Informatiebeveiliging! Uit de serie in the cloud!

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Welkom bij Interconnect. Maartje van Alem Marketing Manager

Verwerkersovereenkomst Negometrix

Privacy Policy. Grondslag voor deze persoonsgegevens is: - De overeengekomen opdracht;

EXtreem veilig. Stappenplan Algemene Verordening Gegevensbescherming

Verwerking van persoonsgegevens van Klanten of leveranciers

Contract- en Service Management in de CLOUD. 29 September 2011

Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager.

Privacy Policy Spelt Financiële Adviseurs

Privacy Policy. V 1.0, d.d

Agenda. De AVG: wat nu?

Privacy Policy. FilterYourLife Nederland Woestduinstraat TA te Amsterdam Tel: +31 (0)

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Omdat er in de AVG veel juridische termen gebruikt worden, leggen we deze graag eerst uit. Dit helpt je bij het lezen van de rest van dit document.

Verwerkersovereenkomst ARVODI-2016 Contractnummer:

Verwerking van persoonsgegevens van gasten of leveranciers

Voor de bovenstaande doelstelling(en) kan t Wielse baken bv de volgende persoonsgegevens van u vragen:

Algemene Verordening Gegevensbescherming (AVG)

PRIVACYREGLEMENT SERKO GEVELTECHNIEK

Bijlage 2 behorend bij de Algemene Voorwaarden Caresharing B.V.: Security Statement

- Administratieve doeleinde; - Communicatie over de opfok en stalling van uw paard en/of uitnodigingen;

De bewerkersovereenkomst

Privacy Policy. Pagina 1 van 5 Versie 1

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

De Algemene Verordening Gegevensbescherming

Voor de bovenstaande doelstelling(en) kan Pieter de Jong Keukens de volgende persoonsgegevens van u vragen:

Checklist AVG voor je Website en Online Marketing. 1. Inventariseren en vastleggen

Privacy Policy Verwerking van persoonsgegevens van Klanten of leveranciers

Voorwoord. Pagina 3 van 9

Juridische uitdagingen van CC

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Privacy Policy Kindividu VOF

Privacy Policy Pentacompany

IN 5 STAPPEN VOLDOEN AAN DE AVG / GDPR WHITEPAPER

Transcriptie:

Cloud & AVG PvIB Thema avond 18 april 2019 Terugkoppeling Case Klant en leveranciers kant

Inleiding Deze presentatie geeft een overzicht van de door de aanwezigen op de thema avond Cloud en AVG van 18 april 2019 genoteerde antwoorden op de vragen rondom risico s en verantwoordelijkheden wanneer je als klant je (persoonsgegevens) data bij een externe Cloud Servicer Provider (CSP) in de Cloud laat hosten. De beide Cases worden nog eens herhaald, waarna de antwoorden op de vragen zoals die door de aanwezigen zijn genoteerd worden getoond. Hier en daar is een kleine tekstuele aanpassing voor de leesbaarheid gedaan. Verwachtingsmanagement: Er worden in deze presentatie uitsluitend door de aanwezigen gegeven antwoorden getoond. Deze presentatie is uitsluitend bedoeld om de aanwezigen te laten zien wat er uit de groepen is gekomen en misschien als reminder te dienen, wanneer de lezer zelf in een outsourcingtraject betrokken is. Deze presentatie geeft geen weergave van de mening van het PvIB. Daarvoor zou diepgaander onderzoek nodig zijn.

De case: Klantkant U bent werkzaam in een groot bedrijf in de retailsector, genaamd PrivComp. Retail is de verzamelnaam voor bedrijven die goederen en diensten direct aan consumenten verkopen. Retail wordt vaak detailhandel genoemd. PrivComp is gespecialiseerd in het inkopen en verkopen van tweedehands kleding in Europa. PrivComp heeft een 500tal medewerkers in dienst en een 40tal franchiseondernemers. PrivComp heeft 80 eigen vestigingen in Europa. PrivComp heeft tot op heden altijd, vanuit het eerste begin, haar automatisering zelf gedaan. Ze draaien inmiddels een groot server park in Nederland. De volledige KA-omgeving, de boekhouding en ERP systemen worden intern gehost. De omslag in denken kwam een paar jaar geleden toen PrivComp een klantenkaart introduceerde èn gebruik ging maken van een externe partij die pinbetalingen regelt. Na uitgebreid onderzoek is besloten de stap naar de Cloud te gaan maken. PrivComp wil zich namelijk focussen op zijn core-business, het inkopen en verkopen van tweedehands kleding. U maakt zich echter wel zorgen over de enorme hoeveelheid klantdata die u heeft en voor zowel inkoop- als marketing doeleinden gebruikt. Naast die doelen bevat uw klantendatabase ook veel persoonsinformatie zoals onder andere NAW-gegevens, emailadressen, wachtwoorden voor de klantenportal en bankgegevens. Aan u als groep is de vraag om duidelijk te krijgen welke risico s u als klant van de Cloud Service Provider (CSP) denkt te lopen als het gaat om het compliant zijn en blijven aan de GDPR/AVG.

De vragen die u met uw groep zult beantwoorden zijn: Hoe regelt u het bedrijfsrisico in dat de klant loopt bij het outsourcen van de genoemde informatie? Hoe zijn de verantwoordelijkheden belegd? Welke eisen stelt u aan de klant? Welke wet- en regelgeving denkt u dat er op U als CSP van toepassing is? Aan welke wet- en regelgeving moet de klant voldoen? Hoe waarborgt u als CSP dat u aan de eisen van de wetgeving én aan de eisen van de klant voldoet? Laat u audits toe én onder welke voorwaarden? Welk soort verklaringen kunnen een klant audit vervangen?

Is het een risico om te gaan outsourcen? In eerste instantie is outsourcen geen risico mits er goede afspraken worden gemaakt en audits mogelijk zijn om te controleren of de CSP zijn afspraken na komt Er is een risico, maar niet per sé groter dan wanneer u het in eigen beheer doet Ja, er is altijd een risico, uw persoonsgegevens gaan in de Cloud Er ontstaat een nieuwe relatie, die van verantwoordelijke en verwerker Ja, door een gebrek aan regie en kennis van (grote) outsourcingsprojecten en juridische kennis bij de outsourcende partij Men denkt soms dat men de (eind)verantwoordelijkheid ook kan outsourcen Persoonsgegevens worden gecompromitteerd

Risico dat je loopt als je je data in de Cloud gaat zetten? 1/3 Beschikbaarheid van de Cloud service Onduidelijkheid over verantwoordelijkheden Niet (kunnen) voldoen aan de AVG/GDPR Niet aan kunnen tonen dat je aan de AVG/GDPR voldoet Waar wordt de data opgeslagen? Ongeautoriseerde toegang door medewerkers CSP Hoe voorkom je onrechtmatige verwerkingen? Misbruik van data

Risico dat je loopt als je je data in de Cloud gaat zetten? 2/3 Lekken van klant gegevens door een hack CSP meldt lekken te laat Lekken van klant gegevens door een interne medewerker Cloud Service Provider (CSP) Lekken van gegevens zonder dat je dat weet (CSP stelt je niet op de hoogte), Hierdoor ben je niet in staat op tijd de juiste acties te ondernemen Eigenaarschap van de backups gemaakt door de CSP Welk recht is van toepassing? Server / data locatie (binnen de EER?) Behoud van soevereiniteit op de data (Wie heeft er toegang tot de data) Faillissement van de CSP

Risico dat je loopt als je je data in de Cloud gaat zetten? 3/3 Bedreiging van de data integriteit, Continuïteit van de klant in gevaar Onrechtmatige verwerkingen door CSP Mogelijke subverwerkers "onder" de CSP waarvan je niet op de hoogte bent, maar die wel jouw data verwerken Hoe lang blijft de data bestaan na beëindiging van het contract? Aansprakelijkheid niet goed belegd Verwerkersovereenkomst Screening onbekende CSP medewerkers

Hoe zijn de verantwoordelijkheden belegd? 1/2 De klant is verwerkingsverantwoordelijke voor de gegevens en moet dus aan de AVG/GDPR voldoen De klant moet er voor zorgen dat alle verwerkingen vastgelegd zijn en in de verwerkersovereenkomst opgenomen zijn specifiek t.a.v. verwerkingen Gegevenscategorieën vastleggen Assurance / Toezicht vastleggen CSP is de externe verwerker Franchise ondernemers zijn verwerkingsverantwoordelijke van de klantgegevens

Hoe zijn de verantwoordelijkheden belegd? 2/2 Vastleggen in het Service level Agreement (SLA) Hoe goedkoper de CSP hoe meer je zelf moet doen. Het maakt een groot verschil of je "bare metal, een Virtual Private Cloud of een full managed Cloud "koopt" In contract opnemen Procesbeschrijvingen waarin de verantwoordelijkheden goed beschreven zijn

Welke eisen stelt u aan de CSP? 1/2 De CSP moet voldoende maatregelen nemen om de data te beschermen Voldoen aan het informatiebeveiligingsbeleid van de klant Borging kwaliteitseisen (BIV/CIA) Subverwerkers zijn een verantwoordelijkheid van de verwerkeer (CSP) en zijn gehouden aan het contract dat de klant met de CSP heeft afgesloten Data centers in de EU Recht om te auditen Audit rapportages Certificering ISO 27001 SOC 3 rapportages (Third party) Assurance verklaring ISAE 3000

Welke eisen stelt u aan de CSP? 2/2 Binnen de EER data opslaan en versleutelen Melden van data lekken conform overeengekomen procedure en termijnen Aansprakelijkheid en reactie op inbreuken Escalatie procedure Encryptie data Exit strategie vastgesteld in contract / Ondersteuning bij migratie bij beëindiging contract Vastleggen vernietigingstermijnen Escrow overeenkomst Screening personeel Backup beleid Recovery tests

Welke wet- en regelgeving is van toepassing op u en uw Cloud provider? AGV / GDPR, Uitvoeren DPIA's Burgerlijk Wetboek / Aansprakelijkheidsregeling Ondernemingsrecht Belastingwetgeving Archiefwet Comptabiliteitswet Buitenlandse wetgeving? Indien het om een vitale sector gaat: Wbni Sectorspecifieke wetgeving zoals Gaswet, Elektriciteitswet en bijbehorende NEN-Normen, Bankenwetgeving, Havenwet, luchtvaartwet etc. Privacy shield

De case: Cloud Service Provider Cloud Service Provider (CSP) kant: U werkt bij een grote CSP, genaamd Cloud & Co.. Cloud & Co. is gespecialiseerd in het leveren van computing power en netwerk én internet connectiviteit aan diverse organisaties, van groot tot klein. Cloud & Co. heeft inmiddels een 100.000tal klanten. Een grote Nederlandse retail keten, PrivComp genaamd, is voornemens om de stap naar de cloud te maken. PrivComp heeft tot op heden altijd, vanuit het eerste begin, haar automatisering zelf gedaan. Ze draaien inmiddels een groot server park in Nederland. De volledige KA-omgeving, de boekhouding en ERP systemen worden intern gehost. De omslag in denken kwam een paar jaar geleden toen PrivComp een klantenkaart introduceerde èn gebruik ging maken van een externe partij die pinbetalingen regelt. Het besluit is binnen PrivCorp op directie niveau gemaakt om de IT te gaan outsourcen. PrivComp wil zich namelijk focussen op zijn core-business, het inkopen en verkopen van tweedehands kleding. U wordt benaderd als een van de mogelijke partijen waar de hosting ondergebracht kan worden. PrivComp maakt zich echter wel zorgen over de enorme hoeveelheid klantdata die men heeft en voor zowel inkoop- als marketing doeleinden gebruikt. Naast die doelen bevat hun klantendatabase ook veel persoonsinformatie zoals onder andere NAW-gegevens, emailadressen, wachtwoorden voor de klantenportal en bankgegevens.

De vragen die u met uw groep zult beantwoorden zijn: Is het een risico voor u om te outsourcen? Wat zijn de risico s? Hoe zijn de verantwoordelijkheden belegd? Welke eisen stelt u aan de CSP? Hoe waarborgt u dat die CSP aan die eisen voldoet? Welke wet- en regelgeving denkt u dat er op U en op de CSP van toepassing is?

Hoe regelt u het bedrijfsrisico in dat de klant loopt bij het outsourcen van de genoemde informatie? De klant is zelf verantwoordelijk voor de security. Vastleggen in het contract (afhankelijk van het type CSP) De klant bepaalt de security eisen, de CSP implementeert die. (afhankelijk van het type CSP)

Hoe zijn de verantwoordelijkheden belegd? De CSP is verantwoordelijk voor de security infrastructuur

Welke eisen stelt u aan de klant? De CSP is verantwoordelijk voor de security incident meldingen, de klant moet ze ook melden als ze eerder bij hen bekend zijn Inrichten Identity & Acces management

Aan welke wet- en regelgeving moet de klant voldoen? Gelijk aan de wet- en regelgeving genoemd in slide 12, aangevuld met sectorale wet- en regelgeving zoals PCI/DSS voor de bankensector en de NTA 8120 voor de energiesector

Hoe waarborgt u als CSP dat u aan de eisen van de wetgeving én aan de eisen van de klant voldoet? Inrichten ISMS, risico management Afspraken met de klant

Laat u audits toe én onder welke voorwaarden? Geen audits direct door klanten* Wel jaarlijkse audit door onafhankelijke partij * Dit hangt wel sterk af van het type CSP. CSP s met duizenden (grote) klanten kunnen het zich veroorloven 365 dagen per jaar meerdere audit teams over de vloer te hebben

Welk soort verklaringen kunnen een klant audit vervangen? SOC 2 rapporten, ISAE 3402 rapportages Third party statements Audit rapportages door onafhankelijke audit organisaties (Denk aan PWC, EY, DNV-GL, BSI etc.)

Tot ziens op de PvIB Thema avond - Vulnerability management 14 mei 2019 van der Valk Hotel Utrecht

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback