Privacy is het nieuwe goud

Vergelijkbare documenten
Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Sta eens stil bij de Wet Meldplicht Datalekken

Wet meldplicht datalekken

Cloud computing Helena Verhagen & Gert-Jan Kroese

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Meldplicht Datalekken

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Beleid en procedures meldpunt datalekken

Help een datalek! Wat nu?

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Nieuwe Privacywetgeving per Wat betekent dit voor u?

Raadsmededeling - Openbaar

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

WET MELDPLICHT DATALEKKEN FACTSHEET

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Protocol meldplicht datalekken

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

De grootste veranderingen in hoofdlijnen

Regeling datalekken StOVOG

Meldplicht datalekken

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Procedure datalekken NoorderBasis

Impact van de meldplicht datalekken

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner.

Procedure Melden beveiligingsincidenten

Plan

Werkprogramma Meldplicht Datalekken

Hierbij zend ik u de antwoorden op de vragen van het Kamerlid De Lange (VVD) over Nederlandse patiëntgegevens in Belgische gevangenis (2016Z01580).

Stappenplan naar GDPR compliance

De impact van Cybercrime & GDPR

PRIVACY & DATALEKKEN

Stappenplan naar GDPR compliance

Mobile (in)security and the law. Marianne Korpershoek

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

E. Procedure datalekken

Algemene verordening gegevensbescherming

Meldplicht Datalekken CBP RICHTSNOEREN

Checklist Beveiliging Persoonsgegevens

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

IMMA special Privacy. Amersfoort, 20 april 2016

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Privacy management. Scope privacy Wet op de administratieve organisatie Privacy. ü Meldplicht datalekken ü Uitbreiding boetebevoegdheden CBP

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Protocol meldplicht datalekken

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Informatiebeveiliging & Privacy - by Design

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Algemene Verordening Gegevensbescherming

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

Wat betekent de meldplicht datalekken voor u?

Protocol Meldplicht Data-lekken

DATAHACKING HALLOWEEN EVENT

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Gegevensverzameling en gegevensverwerking

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Meldplicht Datalekken en het MKB

Privacy en Security AVGewogen beleid 29 november 2017

A2 PROCEDURE MELDEN DATALEKKEN

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

In 10 stappen voorbereid op de AVG

Wet Meldplicht Datalekken. Jeroen Terstegge

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Privacy Impact Assessment

Agenda. De AVG: wat nu?

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

De gevolgen van de AVG

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Protocol informatiebeveiligingsincidenten en datalekken

BEWERKERSOVEREENKOMST

Privacy in de afvalbranche

S E C U R I T Y C O N G R E S D A T A I N T H E F U T U R E Bent u voorbereid op de meldplicht datalekken?

Meldplicht Datalekken: bent u er klaar voor?

GDPR, wat betekent deze nieuwe privacywet voor jou?'

Datalekken: preventie & privacy

Wettelijke kaders voor de omgang met gegevens

FAQ - Veelgestelde Vragen. Over het incident

Procedure melden beveiligingsincidenten en datalekken

Meldplicht Datalekken

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

Privacy Referentie Architectuur

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

Datalekken. Presenta(e Datalekken 9 juni 2016

Protocol Beveiligingsincidenten en datalekken

Protocol meldplicht datalekken Voor financiële ondernemingen

Transcriptie:

Privacy is het nieuwe goud Wat wordt er van u verwacht om het te beschermen? LWV 2 februari 2016 1

Zijn cybersecurity of datalekken überhaupt issues voor u? Target Corporation Target Corporation is een Amerikaanse winkelketen. Het bedrijf is in 1902 opgericht als Dayton Dry Goods en uitgegroeid tot de op één na grootste winkelketen van de Verenigde Staten, na Wal-Mart. 2

Zijn cybersecurity of datalekken überhaupt issues voor u? Fazio Mechanical, a small heating and air conditioning firm in Pennsylvania that worked with Target and had suffered its own breach via malware delivered in an email. In that intrusion, the thieves managed to steal the virtual private network credentials that Fazio s technicians used to remotely connect to Target s network. 3

Zijn cybersecurity of datalekken überhaupt issues voor u? the third party (Fazio) had deployed Malwarebytes free edition (antimalware), which doesn t offer real-time protection 4

Zijn cybersecurity of datalekken überhaupt issues voor u? Target to Settle Claims Over Data Breach Retailer to pay Visa issuers up to $67 million, is working with MasterCard on similar deal 5

Zijn cybersecurity of datalekken überhaupt issues voor u? Heeft Cyber Security iets met privacy of datalekken te maken? Nationaal Cyber Security Center (NCSC): Cyber Security is het vrij zijn van gevaar of schade veroorzaakt door verstoring of uitval van ICT of misbruik van ICT. Het gevaar of de schade door misbruik, verstoring of uitval kan bestaan uit beperking van beschikbaarheid en betrouwbaarheid van de ICT, schending van de vertrouwelijkheid van in ICT opgeslagen informatie of schade aan de integriteit van die informatie. Cyber Security is daarmee direct te koppelen aan Datalekken en Privacy Bescherming. 6

Zijn cybersecurity of datalekken überhaupt issues voor u? Kaspersky Lap geeft aan dat mkb-ondernemingen het favoriete doelwit zijn van hackers. Vorig jaar heeft 23% te maken gehad met hackers en waren de herstelkosten gemiddeld 40K per onderneming. 7

Is cybersecurity of datalekken überhaubt een issue voor u? 19 januari 2016 Een hacker heeft in België een grote hoeveelheid persoonsgegevens, die hij had gestolen bij dertien bedrijven, op afgeschermde websites gezet. De hacker, die zich Rex Mundi ('koning van de wereld') noemt, stal de gegevens bij onder andere de medische controledienst Mensura, pizzaketen Domino's en online kredietverstrekker Buyway. Ook het Nederlandse uitzendbureau Accord werd bestolen. 8

Zijn cybersecurity of datalekken überhaupt issues voor u? 19 januari 2016 23 september 2015 Cybercriminelen Een die persoonsgegevens hacker heeft in België hebben een gestolen, grote hoeveelheid bieden hun buit steeds goedkoper persoonsgegevens, aan op internet. die hij De had prijzen gestolen zijn bij dertien bedrijven, op gedaald omdat er afgeschermde steeds meer informatie websites te gezet. koop wordt De hacker, die zich Rex Mundi aangeboden. ('koning van de wereld') noemt, stal de gegevens bij onder De gemiddelde prijs andere voor de gegevens medische van controledienst een persoon is Mensura, gedaald pizzaketen van 4 dollar vorig Domino's jaar tot 1 en dollar online dit jaar, kredietverstrekker blijkt uit een woensdag Buyway. Ook het gepubliceerd rapport Nederlandse van antivirusbedrijf uitzendbureau Trend Accord Micro. werd bestolen. Voor een dollar kan de naam, geboortedatum en het woonadres en burgerservicenummer van een slachtoffer worden gekocht. Daarmee kan gemakkelijk identiteitsfraude worden gepleegd. Creditcardinformatie en bankgegevens worden voor ongeveer 25 dollar per stuk verhandeld. 9

Zijn cybersecurity of datalekken überhaupt issues voor u? Criminelen blijven veel gebruik maken van netwerken in Nederland om cyberaanvallen te plegen. De servers verwerken veel spam, phishing, botnets en andere digitale dreigingen. Nederland is zo geliefd bij criminelen, omdat de internetvoorzieningen hier goed zijn. De verbindingen zijn snel en betrouwbaar, veel mensen zijn online en Amsterdam heeft een van de grootste internetknooppunten ter wereld. 19 januari 2016 23 september 2015 Cybercriminelen Een die persoonsgegevens hacker heeft in België hebben een gestolen, grote hoeveelheid bieden hun buit steeds goedkoper persoonsgegevens, aan op internet. die hij De had prijzen gestolen zijn bij dertien bedrijven, op gedaald omdat er afgeschermde steeds meer informatie websites te gezet. koop wordt De hacker, die zich Rex Mundi aangeboden. ('koning van de wereld') noemt, stal de gegevens bij onder De gemiddelde prijs andere voor de gegevens medische van controledienst een persoon is Mensura, gedaald pizzaketen van 4 dollar vorig Domino's jaar tot 1 en dollar online dit jaar, kredietverstrekker blijkt uit een woensdag Buyway. Ook het gepubliceerd rapport Nederlandse van antivirusbedrijf uitzendbureau Trend Accord Micro. werd bestolen. Voor een dollar kan de naam, geboortedatum en het woonadres en burgerservicenummer van een slachtoffer worden gekocht. Daarmee kan gemakkelijk identiteitsfraude worden gepleegd. Creditcardinformatie en bankgegevens worden voor ongeveer 25 dollar per stuk verhandeld. 10

Zijn cybersecurity of datalekken überhaupt issues voor u? Criminelen blijven veel gebruik maken van netwerken in Nederland om cyberaanvallen te plegen. De servers verwerken veel spam, phishing, botnets en andere digitale dreigingen. Nederland is zo geliefd bij criminelen, omdat de internetvoorzieningen hier goed zijn. De verbindingen zijn snel en betrouwbaar, veel mensen zijn online en Amsterdam heeft een van de grootste internetknooppunten ter wereld. 19 januari 2016 23 september 2015 Cybercriminelen Een die persoonsgegevens hacker heeft in België hebben een gestolen, grote hoeveelheid bieden hun buit steeds goedkoper persoonsgegevens, aan op internet. die hij De had prijzen gestolen zijn bij dertien bedrijven, op gedaald omdat er afgeschermde steeds meer informatie websites te gezet. koop wordt De hacker, die zich Rex Mundi aangeboden. ('koning van de wereld') noemt, stal de gegevens Uit een bij brief onder van Minister Plasterk (2 april 2013) De gemiddelde prijs andere voor de gegevens medische van controledienst een persoon is Mensura, gedaald komt pizzaketen naar voren dat is berekend dat in 2012 van 4 dollar vorig Domino's jaar tot 1 en dollar online dit jaar, kredietverstrekker blijkt uit een woensdag Buyway. tussen Ook de het 670 en 870 duizend Nederlanders gepubliceerd rapport Nederlandse van antivirusbedrijf uitzendbureau Trend Accord Micro. werd bestolen. slachteroffer zijn geweest van identiteitsfraude Voor een dollar kan de naam, geboortedatum en het woonadres en dat die gezamenlijk een schade hebben en burgerservicenummer van een slachtoffer worden gekocht. gelden tussen de 400 en 500 miljoen euro. Daarmee kan gemakkelijk identiteitsfraude worden gepleegd. Creditcardinformatie en bankgegevens worden voor ongeveer 25 dollar per stuk verhandeld. 11

Zijn cybersecurity of datalekken überhaupt issues voor u? Criminelen blijven veel gebruik maken van netwerken in Nederland om cyberaanvallen te plegen. De servers verwerken veel spam, phishing, botnets en andere digitale dreigingen. Nederland is zo geliefd bij criminelen, omdat de internetvoorzieningen hier goed zijn. De verbindingen zijn snel en betrouwbaar, veel mensen zijn online en Amsterdam heeft een van de grootste internetknooppunten ter wereld. 19 januari 2016 23 september 2015 Cybercriminelen Een die persoonsgegevens hacker heeft in België hebben een gestolen, grote hoeveelheid bieden persoonsgegevens, 25 januari 2016 hun buit steeds goedkoper aan op internet. die hij De had prijzen gestolen zijn bij dertien bedrijven, op gedaald omdat er afgeschermde De steeds gegevens meer informatie websites van zeker te gezet. koop 158.000 wordt De hacker, Nederlandse die zich Rex en Mundi aangeboden. ('koning Belgische van de patiënten wereld') noemt, van het stal Sint de gegevens Anna Uit Ziekenhuis een bij brief onder van Minister Plasterk (2 april 2013) De gemiddelde prijs andere in Geldrop voor de gegevens medische en het van controledienst Canisius-Wilhelmina een persoon Mensura, gedaald komt pizzaketen Ziekenhuis naar voren dat is berekend dat in 2012 van 4 dollar vorig Domino's jaar tot 1 en dollar online dit jaar, kredietverstrekker blijkt uit een woensdag Buyway. tussen Ook de het 670 en 870 duizend Nederlanders gepubliceerd rapport in Nijmegen Nederlandse van antivirusbedrijf zijn door uitzendbureau Trend een Accord Micro. datalek ruim een maand werd bestolen. slachteroffer zijn geweest van identiteitsfraude Voor een dollar kan lang de naam, toegankelijk geboortedatum geweest en het voor woonadres onbevoegden. en dat die gezamenlijk een schade hebben en burgerservicenummer van een slachtoffer worden gekocht. gelden tussen de 400 en 500 miljoen euro. Daarmee kan gemakkelijk Aangetoond identiteitsfraude is dat in worden ieder gepleegd. geval medische Creditcardinformatie en bankgegevens worden voor ongeveer 25 dollar per stuk verhandeld. dossiers van het Zwolse ziekenhuis Isala en het Amphia Ziekenhuis in Breda scanklaar zijn gemaakt door de gevangenis in Leuven. Dat betekent dat gevangenen bijvoorbeeld nietjes uit papieren dossiers verwijderden, om ze klaar te maken voor een automatisch scanproces. 12

Zijn cybersecurity of datalekken überhaupt issues voor u? Als het een issue voor u is, kunt u er dan ook een kans van maken? Kan privacy (blijven) bestaan zonder innovatie te frustreren? Ja zeker, maar dan dient privacy onderdeel te zijn van je bedrijfsvoering, o.a.: product/dienstontwikkeling (PET?) Inrichting en bewaking van bedrijfsprocessen Aansturing en beoordeling van je mensen Bepalen en monitoren van je doelstellingen. 13

Zijn cybersecurity of datalekken überhaupt issues voor u? Als het een issue voor u is, kunt u er dan ook een kans van maken? Hoe kan je dat Kan privacy (blijven) bestaan zonder innovatie te frustreren? aanpakken? Ja zeker, maar dan dient privacy onderdeel te zijn van je bedrijfsvoering, o.a.: product/dienstontwikkeling Inrichting en bewaking van bedrijfsprocessen Aansturing en beoordeling van je mensen Bepalen en monitoren van je doelstellingen. 14

Maar hoe zou u dat kunnen aanpakken? Drie belangrijke uitgangspunten: 1. Privacy wordt hygiëne factor omdat we anders teruggaan in de tijd. Het is geen hype en geen trend. 2. Privacy is een multidisciplinair vraagstuk; juridische kennis, kennis van (technische) informatiebeveiliging en data-analyse kan noodzakelijk/wenselijk zijn. 3. Gedachtegang: van wet -> naar risicoanalyse -> naar informatiebeveiligingstandaard -> naar informatiebeveiligingsmaatregelen -> naar inbedding in organisatie -> naar monitoring & verbetering (PDCA-cycle). 15

Maar hoe zou u dat kunnen aanpakken? Wet Drie belangrijke uitgangspunten: 1. Privacy wordt hygiëne factor omdat we anders terug gaan in de tijd. Bewaak Het is geen hype en geen trend. Risico 2. Privacy & is een multidisciplinair vraagstuk; juridische kennis, kennis van (technische) informatiebeveiliging en data-analyse analyse kan noodzakelijk/wenselijk Verbeter zijn. 3. Denklijn: van wet -> naar risicoanalyse -> naar informatiebeveiligingstandaard -> naar informatiebeveiligingsmaatregelen -> naar inbedding in organisatie -> naar monitoring & verbetering (PDCA-cycle). Inbedding Maatregelen Standaard 16

Maar hoe zou u dat kunnen aanpakken? Voorbereiding Plannen Ontwikkeling detail aanpak (modulair) Onderzoek (per module) Opstellen verbeterplan (per module) Uitvoering Verbeterprojectplan (per module) Monitoren en Continue verbeteren (per module) Inzicht verkrijgen Detail Inzicht verkrijgen Plannning & scoping Privacy Impact Assessment Cybersecurity Assessment Compliance Check Verzamelen van informatie Invullen vragenlijst(en) Beoordelen impact en maatregelen Bespreken bevindingen met management Opstellen conceptverbeterplan Afstemming en inbedding Opstellen projectplan Bespreking verbeterprojectplan met Management Opstellen conceptimplementatie plan Uitvoering conform plan Overdracht van project- naar lijnorganisatie Opstellen monitoring raamwerk Periodiek vullen monitoring raamwerk Opstellen verslag Periodiek rapporteren aan Management

Maar hoe zou u dat kunnen aanpakken? Voorbereiding Plannen Ontwikkeling detail aanpak (modulair) Onderzoek (per module) Opstellen verbeterplan (per module) Uitvoering Verbeterprojectplan (per module) Monitoren en Continue verbeteren (per module) Inzicht verkrijgen Detail Inzicht verkrijgen Plannning & scoping Privacy Impact Assessment Cybersecurity Assessment Compliance Check Verzamelen van informatie Invullen vragenlijst(en) Beoordelen impact en maatregelen Bespreken bevindingen met management Opstellen conceptverbeterplan Afstemming en inbedding Opstellen projectplan Bespreking verbeterprojectplan met Management Opstellen conceptimplementatie plan Uitvoering conform plan Overdracht van project- naar lijnorganisatie Opstellen monitoring raamwerk Periodiek vullen monitoring raamwerk Opstellen verslag Periodiek rapporteren aan Management

Stel vast of u überhaupt privacyrisico s heeft door het uitvoeren van een Privacy Impact Assessment (PIA) Een PIA is vrij beschikbaar (zie: www.allesoverdatalekken.nl) Zij heeft tot doel het blootleggen van privacyrisico s en het verminderen daarvan. De Autoriteit Persoonsgegevens gaat in het kader van de zorgplicht er vanuit dat minimaal een PIA ( privacy effect beoordeling ) is uitgevoerd. In de Algemene Verordening Gegevensbescherming zullen verplichtingen hiervoor worden opgenomen. 19

Wat zijn de stappen in een PIA proces? 1. Bepaal wie en hoe de PIA uitgevoerd moet worden 2. Verzamel en bestudeer informatie 3. Vul de vragenlijst in 4. Beoordeel de impact en ontwikkel maatregelen 5. Stel het verslag op 6. Laat eventueel een onafhankelijke toets uitvoeren 20

Wat zijn de stappen in een PIA proces? 1. Bepaal wie en hoe de PIA uitgevoerd moet worden Privacy behoeft een multidisciplinaire insteek 2. Verzamel en bestudeer informatie 3. Vul de vragenlijst in 4. Beoordeel de impact en ontwikkel maatregelen 5. Stel het verslag op 6. Laat eventueel een onafhankelijke toets uitvoeren 21

Wat zijn de stappen in een PIA proces? 1. Bepaal wie en hoe de PIA uitgevoerd moet worden 2. Verzamel en bestudeer informatie Denk hierbij aan: - Welke gegevens, waar, wie? - Wie is wanneer Verantwoordelijk of Bewerker - Welke technologieën? - Wie zijn betrokkenen? - Wat is er al qua Informatiebeveiliging geregeld? 3. Vul de vragenlijst in 4. Beoordeel de impact en ontwikkel maatregelen 5. Stel het verslag op 6. Laat eventueel een onafhankelijke toets uitvoeren 22

Wat zijn de stappen in een PIA proces? 1. Bepaal wie en hoe de PIA uitgevoerd moet worden 2. Verzamel en bestudeer informatie 3. Vul de vragenlijst in 4. Beoordeel de impact en ontwikkel maatregelen Risico factoren zijn o.a.: Limitering van het verzamelen van gegevens; Gegevenskwaliteit; Doelbinding; Limitering van het gebruik van gegevens;. Beveiliging van gegevens; Transparantie, etc. Impact o.a. op basis van aantasting waarden.: Zelfstandigheid Bescherming tegen stigmatisering Gelijkheid Bewegingsvrijheid Ongestoord leven etc. 5. Stel het verslag op 6. Laat eventueel een onafhankelijke toets uitvoeren 23

Wat zijn de stappen in een PIA proces? 1. Bepaal wie en hoe de PIA uitgevoerd moet worden 2. Verzamel en bestudeer informatie 3. Vul de vragenlijst in 4. Beoordeel de impact en ontwikkel maatregelen Maatregelen o.a..: Algemeen: passende organisatorische en technische Maatregelen: -> adequate informatiebeveiliging! Waarbij risico s worden vermeden door bijvoorbeeld: Opslag gegevens bij individu i.p.v. organisatie Gebruik van anonieme gegevens of pseudoniemen (let op stand der techniek) Of risico s worden verminderd door: Limitering van verzamelen/gebruik van gegevens; Waarborgen gegevenskwaliteit (controles); Beveiliging van gegevens (encryptie LTB) Doelbinding (evt. aan te passen na akkoord?) Transparantie (o.a. gedragscode, certificeren verwerking) Invoeren van periodieke controle 5. Stel het verslag op 6. Laat eventueel een onafhankelijke toets uitvoeren 24

Waar kunt u aan denken bij een verbeterplan? Het gaat niet alleen om u als Verantwoordelijke maar ook om uw Bewerkers (en andersom)! Maak gebruik van één of meerdere beveiligingsstandaarden, en kies daarbij de juiste. Zoals ISO 27001/27002, SoGP, CRF, CCfECD, CobiT, ETZI ISO 27032. 25

Ik heb een datalek! Wat nu? Stel vast of het een datalek (doorbreking van de beveiliging) is in de zin van de wet. Kans op aanzienlijke nadelige gevolgen : Aard van de gegevens: gevoelige aard (o.a. financiële situatie, bijzondere gegevens, gebruikersnamen & wachtwoorden, die kunnen leiden tot identiteitsfraude) Omvang van de gegevens (per persoon of veel personen). Meld het lek via webformulier bij Autoriteit Persoonsgegevens binnen 72 uur na de ontdekking. Meld het lek aan de betrokkenen, behalve bij voldoende technische bescherming (o.a. cryptografie), geen ongunstige gevolgen betrokkenen en zwaarwegende redenen (b.v. ter bescherming van betrokkenen). Meld u niet en de AP is van mening dat dit onterecht is, kan dit, na bindende aanwijzing, leiden tot een boete van de 6 e categorie (820K). Bewaar de gegevens over de lek 1 3 jaar. Alleen als er sprake is van overtreding van de Wbp die opzettelijk of het gevolg is van ernstige verwijtbare nalatigheid, kan direct een boete worden opgelegd. Als er geen sprake is van opzet of ernstige verwijtbare nalatigheid, volgt eerst een bindende aanwijzing. Wordt deze niet adequaat opgevolgd kan een boete volgen van de zesde categorie van art 23 van het Wetboek van Strafrecht (820K). 26

Privacy is het nieuwe goud; 10 gouden tips! 1. Zorg dat u weet of, en zo ja, waar, u privacy (gevoelige) informatie heeft. 2. Zorg dat alleen die mensen bij deze gegevens kunnen die ze ook écht nodig hebben. 3. Zorg voor de juiste Bewerkersovereenkomst(en) (indien van toepassing). 4. Zorg voor passende organisatorische en technische maatregelen of pas gegevensverzameling en bewerking aan. 5. Zorg voor de juiste aantoonbaarheid van uw maatregelen en de continue aandacht hiervoor. 6. Laat u periodiek door externen toetsen. De materie is vaak te complex voor bijvoorbeeld 1 persoon binnen de organisatie. 7. Gebruik Whitelisting desktop virusscan om Remote Access Trojan (RAT) te detecteren. 8. Bij een datalek welke gemeld moet worden; melden. Negatieve impact op veel vlakken is waarschijnlijk groter bij niet melden. 27

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback