Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Vergelijkbare documenten
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Nieuwe Privacywetgeving per Wat betekent dit voor u?

Eerste Kamer der Staten-Generaal

Privacywetgeving: AVG /GDPR. Wat betekent dat voor u?

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

Protocol meldplicht datalekken

A2 PROCEDURE MELDEN DATALEKKEN

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Sta eens stil bij de Wet Meldplicht Datalekken

Meldplicht Datalekken CBP RICHTSNOEREN

Help een datalek! Wat nu?

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje- Nassau, enz. enz. enz.

Beleid en procedures meldpunt datalekken

Protocol datalekken Samenwerkingsverband ROOS VO

Meldplicht Datalekken

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Protocol Meldplicht Data-lekken

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Protocol informatiebeveiligingsincidenten en datalekken

Melden van datalekken

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Actualiteiten Privacy. NGB Extra

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Privacy in de afvalbranche

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Wet meldplicht datalekken

Juridische blik op: hacking en bescherming van persoonsgevens. Nieuwe wetgeving op komst!

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

De impact van Cybercrime & GDPR

In dit protocol is weergegeven hoe te handelen bij beveiligingsincidenten en datalekken. 2

Meldplicht Datalekken

Overzicht van stemmingen in de Tweede Kamer

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Protocol Beveiligingsincidenten en datalekken

27 maart 2014 Advocaat mr. Eva N.M. Visser. Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

1. Bedrijfsnaam:... Gevestigd te:... Straatnaam, huisnummer:... Vertegenwoordigd door dhr. / mevr... Functie:... adres:...

PROCEDURE MELDPLICHT DATALEKKEN

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Agenda. De AVG: wat nu?

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

PRIVACY & DATALEKKEN

Mobile (in)security and the law. Marianne Korpershoek

Procedure Meldplicht Datalekken

MELDPLICHT DATALEKKEN HOE STAAN WE ERVOOR?

Wet Meldplicht Datalekken. Jeroen Terstegge

Advocaten en notarissen

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

PROTOCOL BEVEILIGINGSINCIDENTEN EN DATALEKKEN SKOSO

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

De impact van nieuwe privacyregels op payrolling

MELDPLICHT DATALEKKEN

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Meldplicht Datalekken

Plan

Cloud computing Helena Verhagen & Gert-Jan Kroese

Privacy en de meldplicht datalekken

Protocol informatiebeveiligingsincidenten en datalekken

Raadsmededeling - Openbaar

Databeheer in de kerk

De grootste veranderingen in hoofdlijnen

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Stappenplan naar GDPR compliance

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Datalekprotocol binnen Reto

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

WET MELDPLICHT DATALEKKEN FACTSHEET

Protocol meldplicht datalekken Voor financiële ondernemingen

Algemene Verordening Gegevensbescherming

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Scala College en Coenecoop College

Procedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam

LOKO kijkt continu vooruit zodat ICT voor u blijft werken

Meldplicht datalekken

Bestuur. scholengemeenschap voor vmbo havo atheneum gymnasium. school voor praktijkonderwijs. Bezoekadres: Stationslaan CA Stadskanaal

Stappenplan naar GDPR compliance

Privacy & online. 9iC9I

Transcriptie:

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy van persoonsgegevens. De wetswijziging in de Wet Bescherming Persoonsgegevens is in 2015 goedgekeurd en zal op 1 januari 2016 in werking treden. Deze verandering in de wetgeving heeft gevolgen voor bedrijven die moeten voldoen aan de privacy wetgeving. Voorbereiding is van groot belang. De veranderingen die zijn aangebracht omvatten een meldplicht voor datalekken en een verhoging van de boetebevoegdheid van de toezichthouder. In dit artikel zetten we de kernpunten van de wijzigingen voor u op een rij. Het is belangrijk dat bedrijven zich realiseren dat dit niet alleen een ICTaangelegenheid is. Deze nieuwe wetgeving heeft gevolgen voor de accountancy (goedkeuring van de jaarstukken), de aansprakelijkheid (bewerkersovereenkomsten), HR (Security Awareness, veilig en verantwoordelijk gedrag van medewerkers met ICT middelen en bedrijfsinformatie), de compliance (hoge boetebevoegdheid van toezichthouder), de marketing & communicatie (Hoe gaan we een datalek communiceren naar buiten?) en de reputatie (ivm de meldplicht voor datalekken) van iedere organisatie. Meldplicht Datalekken (Artikel 34A WBP) Het kan gebeuren dat gegevens van bedrijven toegankelijk worden voor mensen die geen recht hebben op kennisname van die gegevens. (Datalek) De oorzaak van een dergelijk datalek zou bijvoorbeeld kunnen zijn: Inbreuk op de beveiliging Hackersaanval waarbij persoonsgegevens zijn gestolen Verlies/diefstal van een laptop of smartphone waarop persoonsgegevens staan Geen adequate beveiliging van persoonsgegevens Onveilige omgang met ICT middelen en persoonsgegevens door medewerkers De Meldplicht Datalekken verplicht bedrijven en organisaties om een datalek onverwijld te melden bij de toezichthouder en in sommige situaties ook bij alle betrokkenen waarover de data is gelekt. Een meldplicht voor datalekken is niet nieuw. Het bestaat al langer voor de overheid en voor kritische infractructuur (bijv. energiebedrijven). Telecom-bedrijven en financiële instellingen hebben ook al langer een meldplicht voor datalekken vanuit specifieke wetgeving waaraan zij moeten voldoen (Telecommunicatie-wet en de wet op het financieel toezicht). 1

De letterlijke tekst in de nieuwe wetgeving (art. 34A lid 1) zegt dat het gaat om een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Deze inbreuken dienen onverwijld te worden gemeld aan de toezichthouder. Vervolgens zegt Artikel 34A lid 2 dat de alle betrokkenen ook in kennis gesteld moeten worden indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Melding aan alle betrokkenen volgens lid 2 is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. (Bijvoorbeeld door middel van encryption) De melding aan de toezichthouder omvat een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. De kennisgeving aan de toezichthouder en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Boetebevoegdheid van de toezichthouder (Artikel 66 WBP) Een belangrijke verandering in de wetgeving is de verhoging van de boetebevoegdheid van de toezichthouder. De toezichthouder kan nu bestuurlijke boetes opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dit is een boete van materieel belang: 810.000 Euro. De toezichthouder legt geen bestuurlijke boete op dan nadat het een bindende aanwijzing heeft gegeven. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. Deze bindende aanwijzing is niet van toepassing indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. Naamsverandering van de toezichthouder De toezichthouder (College Bescherming Persoonsgegevens) zal een naamsverandering krijgen. De toezichthouder zal in het maatschappelijk verkeer worden aangeduid als: Autoriteit persoonsgegevens. 2

Voorbereiding op deze nieuwe wetgeving De wijziging in de wetgeving heeft gevolgen voor bedrijven die persoonsgegevens verwerken. Bedrijven dienen zich voor te bereiden op mogelijke calamiteiten waarvan een melding gemaakt moet worden aan de toezichthouder. Sebyde heeft een programma ontwikkeld waarmee bedrijven ondersteund worden bij de voorbereiding op de nieuwe wetgeving. Het is een modulair programma bestaande uit 5 duidelijke stappen. Het programma bestaat uit de volgende stappen: 1. RI&E (Hoe staan we er voor?) De eerste stap is een nulmeting. Bij deze Privacy RI&E (Risico Inventarisatie & Evaluatie) brengen we in kaart welke gegevensverwerkingen er in de organisatie worden gedaan en hoe de verantwoordelijkheden liggen en welke systemen en applicaties betrokken zijn bij deze gegevensverwerkingen. De praktische uitvoering van deze stap bestaat uit het invullen van een RI&E vragenlijst en een aantal interview-sessies met de betrokken personen / afdelingen om de benodigde informatie te verkrijgen. Vervolgens wordt de verkregen informatie beoordeeld door onze FG (Functionaris Gegevensbescherming). Waar nodig zal een beoordeling van de bedrijfsjurist gevraagd worden met betrekking tot overige wetgeving waaraan het bedrijf moet voldoen. 3

2. Analyse (Wat en waar zijn de risico s?) De tweede stap van het Privacy Impact Programma is om te bepalen aan welke risico s de informatie die in stap 1 is verkregen blootstaat. Behalve verschillende security testen op netwerk, systemen en de applicaties wordt in deze stap ook de zachte kant van de security meegenomen. 3. Maatregel (Wat kunnen we doen?) Stap drie is de bepaling welke maatregelen er genomen kunnen / moeten worden om compliant te zijn aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te minimaliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën: Mens, Processen (organisatie), Techniek 4. Aanpak (Aan de slag!) In deze stap documenteren we alle bevindingen en aanbevelingen en maken we een plan van aanpak voor de door te voeren maatregelen, verdeeld in de eerder genoemde categorieën Mens, Organisatie en Techniek. 5. Check (Is de aanpak succesvol?) Het is van groot belang dat het effect van de genomen maatregelen periodiek gecontroleerd en gemeten wordt. Er kan bijvoorbeeld gekeken worden naar de weerbaarheid van de medewerkers in de organisatie en aan de hand van het resultaat kunnen verbeterpunten worden aangebracht. Sebyde maakt graag een offerte voor het uitvoeren van een Privacy RI&E (stap 1) bij u in de organisatie. Neem hierover gerust contact op via onderstaande contactgegevens. 4

Sebyde en Sebyde Academy Sebyde en de Sebyde Academy helpt bedrijven bij het vergroten van het bewustzijn op het gebied van security en het verlagen van het aantal security incidenten. Dit doen we door middel van security onderzoeken op netwerken en applicatiesoftware. Vanuit onze Sebyde Academy bieden we training, workshops en presentaties die mensen stimuleren en motiveren naar veilig gedrag. Het Sebyde Internet Weerbaarheid programma helpt bedrijven naar duurzaam veilig gedrag. Bewuste en gemotiveerde medewerkers vergroot de cyber-weerbaarheid van uw organisatie en verlaagt het aantal security incidenten. Sebyde Academy helpt bij de introductie van een Security Awareness programma. Tijdens onze speciale management workshop maken we samen met u de speerpunten, verwachtingen en doelstellingen van een dergelijk programma helder. Contact gegevens Sebyde en Sebyde Academy Sebyde BV Legerland 56 1541 NG Koog aan de Zaan Telefoon: 06-53233269 Email: (algemeen) info@sebyde.nl Website Sebyde BV: Website Sebyde Academy: LinkedIn: Twitter: Facebook: www.sebyde.nl www.sebydeacademy.nl www.linkedin.com/company/sebyde-bv www.twitter.com/sebydebv www.facebook.com/sebydebv 5