Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Vergelijkbare documenten
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Nieuwe Privacywetgeving per Wat betekent dit voor u?

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Eerste Kamer der Staten-Generaal

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

Protocol meldplicht datalekken

A2 PROCEDURE MELDEN DATALEKKEN

Sta eens stil bij de Wet Meldplicht Datalekken

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje- Nassau, enz. enz. enz.

Meldplicht Datalekken CBP RICHTSNOEREN

Help een datalek! Wat nu?

Meldplicht Datalekken

Protocol datalekken Samenwerkingsverband ROOS VO

Privacywetgeving: AVG /GDPR. Wat betekent dat voor u?

Beleid en procedures meldpunt datalekken

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Protocol Meldplicht Data-lekken

Juridische blik op: hacking en bescherming van persoonsgevens. Nieuwe wetgeving op komst!

Protocol informatiebeveiligingsincidenten en datalekken

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Melden van datalekken

Actualiteiten Privacy. NGB Extra

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Privacy in de afvalbranche

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

27 maart 2014 Advocaat mr. Eva N.M. Visser. Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

Protocol informatiebeveiligingsincidenten en datalekken

Meldplicht Datalekken

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

PROTOCOL BEVEILIGINGSINCIDENTEN EN DATALEKKEN SKOSO

In dit protocol is weergegeven hoe te handelen bij beveiligingsincidenten en datalekken. 2

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Protocol beveiligingsincidenten en datalekken

Wet Meldplicht Datalekken. Jeroen Terstegge

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Protocol Beveiligingsincidenten en datalekken

Wet meldplicht datalekken

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Overzicht van stemmingen in de Tweede Kamer

PROCEDURE MELDPLICHT DATALEKKEN

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

1. Bedrijfsnaam:... Gevestigd te:... Straatnaam, huisnummer:... Vertegenwoordigd door dhr. / mevr... Functie:... adres:...

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

MELDPLICHT DATALEKKEN

De impact van Cybercrime & GDPR

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Procedure Meldplicht Datalekken

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner.

PRIVACY & DATALEKKEN

Mobile (in)security and the law. Marianne Korpershoek

MELDPLICHT DATALEKKEN HOE STAAN WE ERVOOR?

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

Bestuur. scholengemeenschap voor vmbo havo atheneum gymnasium. school voor praktijkonderwijs. Bezoekadres: Stationslaan CA Stadskanaal

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Advocaten en notarissen

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Cloud computing Helena Verhagen & Gert-Jan Kroese

Agenda. De AVG: wat nu?

De grootste veranderingen in hoofdlijnen

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken

WET MELDPLICHT DATALEKKEN FACTSHEET

Raadsmededeling - Openbaar

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

Plan

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

De impact van nieuwe privacyregels op payrolling

Procedure datalekken NoorderBasis

Stappenplan naar GDPR compliance

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Privacy en de meldplicht datalekken

Meldplicht Datalekken

LOKO kijkt continu vooruit zodat ICT voor u blijft werken

Protocol informatiebeveiligingsincidenten en datalekken

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

Privacy & online. 9iC9I

Databeheer in de kerk

checklist in 10 stappen voorbereid op de AVG. human forward.

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Procedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam

Stappenplan naar GDPR compliance

Protocol informatiebeveiligingsincidenten

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Algemene Verordening Gegevensbescherming

Nieuwsbrief. Privacy en bescherming van persoonsgegevens. Inhoud

Transcriptie:

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van persoonsgegevens. De wetswijziging in de Wet Bescherming Persoonsgegevens is op 1 januari 2016 in werking getreden. Deze verandering in de wetgeving heeft gevolgen voor het bedrijfsleven. Voorbereiding is van groot belang. De veranderingen die zijn aangebracht omvatten een meldplicht voor datalekken en een verhoging van de boetebevoegdheid van de toezichthouder. In dit artikel zetten we de kernpunten van de wijzigingen voor u op een rij. Het is belangrijk dat bedrijven zich realiseren dat dit niet alleen een ICTaangelegenheid is. Deze nieuwe wetgeving heeft gevolgen voor de accountancy (goedkeuring van de jaarstukken), de aansprakelijkheid (bewerkersovereenkomsten), HR (Security Awareness, veilig en verantwoordelijk gedrag van medewerkers met ICT middelen en bedrijfsinformatie), de compliance (hoge boetebevoegdheid van toezichthouder), de marketing & communicatie (Hoe gaan we een datalek communiceren naar buiten?) en de reputatie (ivm de meldplicht voor datalekken) van iedere organisatie. Meldplicht Datalekken (Artikel 34A WBP) Het kan gebeuren dat gegevens van bedrijven toegankelijk worden voor mensen die geen recht hebben op kennisname van die gegevens. (Datalek) De oorzaak van een dergelijk datalek zou bijvoorbeeld kunnen zijn: Inbreuk op de beveiliging Hackersaanval waarbij persoonsgegevens zijn gestolen Verlies/diefstal van een laptop of smartphone waarop persoonsgegevens staan Geen adequate beveiliging van persoonsgegevens Onveilige omgang met ICT middelen en persoonsgegevens door medewerkers De Meldplicht Datalekken verplicht bedrijven en organisaties om een datalek onverwijld te melden bij de toezichthouder en in sommige situaties ook bij alle betrokkenen waarover de data is gelekt. Een meldplicht voor datalekken is niet nieuw. Het bestaat al langer voor de overheid en voor kritische infractructuur (bijv. energiebedrijven). Telecom-bedrijven en financiële instellingen hebben ook al langer een meldplicht voor datalekken vanuit specifieke wetgeving waaraan zij moeten voldoen (Telecommunicatie-wet en de wet op het financieel toezicht). 1

De letterlijke tekst in de nieuwe wetgeving (art. 34A lid 1) zegt dat het gaat om een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Deze inbreuken dienen onverwijld te worden gemeld aan de toezichthouder. Vervolgens zegt Artikel 34A lid 2 dat de alle betrokkenen ook in kennis gesteld moeten worden indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Melding aan alle betrokkenen volgens lid 2 is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. (Bijvoorbeeld door middel van encryption) De melding aan de toezichthouder omvat een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. De kennisgeving aan de toezichthouder en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Boetebevoegdheid van de toezichthouder (Artikel 66 WBP) Een belangrijke verandering in de wetgeving is de verhoging van de boetebevoegdheid van de toezichthouder. De toezichthouder kan nu bestuurlijke boetes opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dit is een boete van materieel belang: 820.000 Euro. De toezichthouder legt geen bestuurlijke boete op dan nadat het een bindende aanwijzing heeft gegeven. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. Deze bindende aanwijzing is niet van toepassing indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. Naamsverandering van de toezichthouder De toezichthouder (College Bescherming Persoonsgegevens) zal een naamsverandering krijgen. De toezichthouder zal in het maatschappelijk verkeer worden aangeduid als: Autoriteit persoonsgegevens. 2

Voorbereiding op deze nieuwe wetgeving De wijziging in de wetgeving heeft gevolgen voor bedrijven die persoonsgegevens verwerken. Bedrijven dienen zich voor te bereiden op mogelijke calamiteiten waarvan een melding gemaakt moet worden aan de toezichthouder. Sebyde heeft een programma ontwikkeld waarmee bedrijven ondersteund worden bij de voorbereiding op de nieuwe wetgeving. Het is een modulair programma bestaande uit 5 duidelijke stappen. Het programma bestaat uit de volgende stappen: 1. RI&E (Hoe staan we er voor?) De eerste stap is een nulmeting. Bij deze Privacy RI&E (Risico Inventarisatie & Evaluatie) brengen we in kaart welke gegevensverwerkingen er in de organisatie worden gedaan en hoe de verantwoordelijkheden liggen en welke systemen en applicaties betrokken zijn bij deze gegevensverwerkingen. De praktische uitvoering van deze stap bestaat uit het invullen van een RI&E vragenlijst en een aantal interview-sessies met de betrokken personen / afdelingen om de benodigde informatie te verkrijgen. Vervolgens wordt de verkregen informatie beoordeeld door onze FG (Functionaris Gegevensbescherming). Waar nodig zal een beoordeling van de bedrijfsjurist gevraagd worden met betrekking tot overige wetgeving waaraan het bedrijf moet voldoen. De praktische uitvoering van de RI&E begint met het invullen van de RI&E checklist. Deze checklist is vrijblijvend aan te vragen via www.sebyde.nl/rie-privacy 3

Nadat u de checklist heeft ingevuld kunt u deze opsturen aan Sebyde. De ingevulde Checklist zal dan worden geëvalueerd door onze ICT architect en onze FG (Functionaris Gegevensbescherming). Voor deze evaluatie brengen we een bedrag in rekening van 495 Euro. U ontvangt hiervoor een rapport met in grote lijnen onze bevindingen en de aandachtspunten op het gebied van de privacywetgeving. Aan de hand van de ingevulde checklist hebben we een goed idee van de grootte en complexiteit van uw organisatie. We kunnen u dan een gepaste offerte sturen voor het uitvoeren van de complete RI&E, waarbij we alle gegevensverwerkingen in kaart zullen brengen en de privacy van uw organisatie zullen doorlichten. De praktische uitvoering bestaat uit 1 of meerdere gesprekken met of vragenlijsten voor de betrokken personen / afdelingen om de benodigde informatie te verkrijgen. Vervolgens wordt de verkregen informatie beoordeeld door onze FG (Functionaris Gegevensbescherming). 2. Analyse (Wat en waar zijn de risico s?) De tweede stap van het Privacy Impact Programma is om te bepalen aan welke risico s de informatie die in stap 1 is verkregen blootstaat. Behalve verschillende security testen op netwerk, systemen en de applicaties wordt in deze stap ook de zachte kant van de security meegenomen. 3. Maatregel (Wat kunnen we doen?) Stap drie is de bepaling welke maatregelen er genomen kunnen / moeten worden om compliant te zijn aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te minimaliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën: Mens, Processen (organisatie), Techniek 4. Aanpak (Aan de slag!) In deze stap documenteren we alle bevindingen en aanbevelingen en maken we een plan van aanpak voor de door te voeren maatregelen, verdeeld in de eerder genoemde categorieën Mens, Organisatie en Techniek. 5. Check (Is de aanpak succesvol?) Het is van groot belang dat het effect van de genomen maatregelen periodiek gecontroleerd en gemeten wordt. Er kan bijvoorbeeld gekeken worden naar de weerbaarheid van de medewerkers in de organisatie en aan de hand van het resultaat kunnen verbeterpunten worden aangebracht. Sebyde maakt graag een offerte voor het uitvoeren van een Privacy RI&E (stap 1) bij u in de organisatie. Neem hierover gerust contact op via onderstaande contactgegevens. 4

Sebyde en Sebyde Academy Sebyde en de Sebyde Academy helpt bedrijven bij het vergroten van het bewustzijn op het gebied van security en het verlagen van het aantal security incidenten. Dit doen we door middel van security onderzoeken op netwerken en applicatiesoftware. Vanuit onze Sebyde Academy bieden we training, workshops en presentaties die mensen stimuleren en motiveren naar veilig gedrag. Het Sebyde Internet Weerbaarheid programma helpt bedrijven naar duurzaam veilig gedrag. Bewuste en gemotiveerde medewerkers vergroot de cyber-weerbaarheid van uw organisatie en verlaagt het aantal security incidenten. Sebyde Academy helpt bij de introductie van een Security Awareness programma. Tijdens onze speciale management workshop maken we samen met u de speerpunten, verwachtingen en doelstellingen van een dergelijk programma helder. Contact gegevens Sebyde en Sebyde Academy Sebyde BV Legerland 56 1541 NG Koog aan de Zaan Telefoon: 06-53233269 Email: (algemeen) info@sebyde.nl Website Sebyde BV: Website Sebyde Academy: LinkedIn: Twitter: Facebook: www.sebyde.nl www.sebydeacademy.nl www.linkedin.com/company/sebyde-bv www.twitter.com/sebydebv www.facebook.com/sebydebv 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback