GDPR Nieuwe verplichtingen? Hoe audit uitvoeren? 27 april 2017

Vergelijkbare documenten
Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Data Protection Same Game, Other Rules

Algemene Verordening Gegevensverwerking ( GDPR )

Verwerkersovereenkomst

Nieuwsbrief AVG Social Profit

Bijlage: Verwerkersovereenkomst

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Bijlage Gegevensverwerking. Artikel 1 - Definities

Krachtlijnen van de Algemene Verordening Gegevensbescherming (AVG) voor de onderwijssector Nieuwe wind, geen orkaan!

AVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

checklist in 10 stappen voorbereid op de AVG. human forward.

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Data Protection Impact Assessment (DPIA)

Verwerkersovereenkomst

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

Verwerkersovereenkomst

Algemene begrippen AVG

Handvatten bij de implementatie van de AVG

Algemene Verordening Gegevensbescherming (AVG)

GDPR. To panic or not to panic?

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

GDPR, wat betekent deze nieuwe privacywet voor jou?'

Diessen, 13 februari 2018

Bijlage: Verwerkersovereenkomst

AVG in de praktijk, tips!

Themabijeenkomst Wat betekent de nieuwe Europese privacywetging voor HR?

Agenda. De AVG: wat nu?

Hoe word ik Privacy-proof? 21 november 2017

De Algemene Verordening Gegevensbescherming

versie: januari 2018 Voor de digitale economie 1.

GDPR sessie. GDPR-sessie. scwitch

Algemene verordening gegevensbescherming

Stappenplan naar GDPR compliance

Verwerkersovereenkomst

2. De besloten vennootschap 123webshop, kantoorhoudende te () aan, hierbij rechtsgeldig vertegenwoordigd door, hierna te noemen: Verwerker

Bijlage: Verwerkersovereenkomst

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

Verwerkersovereenkomst Personeelshandboek.nl

Verwerkersovereenkomst

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Verwerkersovereenkomst

Hoe word ik Privacy-proof? 16 JANUARI 2017

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

GDPR (General Data Protection Regulation ) The journey we take together

IBAN: NL 63 INGB BIC: INGBNL2A K.v.K. Rivierenland: BTW nr. NL B01. zaterdag 12 mei 2018 Pagina 1 van 8

De Partijen: overwegende, dat:

BoZ Verwerkersovereenkomst Aanpassingen vanuit Infoland op de BoZ modelovereenkomst

GDPR. General Data Protection Regulation

PRIVACY POLICY. Wij raden u ten stelligste aan deze privacy policy zorgvuldig door te nemen.

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

De grootste veranderingen in hoofdlijnen

Verwerkersovereenkomst

Verwerkersovereenkomst TriFact365

1. Algemeen In deze Verwerkersovereenkomst wordt verstaan onder:

Verwerkersovereenkomst voor SaaS-diensten

Verwerkersvoorwaarden versie 1.02

Data Protection Officer

Praktijkgerichte aanpak van informatieveiligheid: hoe overeenstemmen met GDPR?


Verwerkersovereenkomst

PRIVACY POLICY. Wij raden u ten stelligste aan deze privacy policy zorgvuldig door te nemen.

Nieuwsbrief AVG Ziekenhuizen

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje

Verwerkersovereenkomst

IBAN: NL45 ABNA BIC: ABNANL2A. De Ronde CZ Best yolknet.nl. KvK: BTW NL B01

AVG EN DE IMPACT OP UW BUSINESS

Plan

Privacy wetgeving: Wat verandert er in 2018?

De impact van Cybercrime & GDPR

Inleiding. Uitleg tienstappenplan AVG

staat is om de AVG na te komen.

Privacyverklaring. FROS Multisport Vlaanderen hecht veel waarde aan je privacy en de bescherming van je persoonsgegevens.

NVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht

WEBSITE EN PRIVACYVERKLARING VOOR KLANTEN VAN WATTS WATER TECHNOLOGIES

DPO / Door Privacy Ondernemen

Cursus privacyrecht Jeroen Naves 7 september 2017

27 maart 2014 Advocaat mr. Eva N.M. Visser. Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk

Hoe omgaan met verwerkers?

De partijen: De klant, ook wel opdrachtgever, hierna te noemen verantwoordelijke ; gezamenlijk te noemen de partijen en afzonderlijk partij ;

Verwerkersovereenkomst

ALGEMENE VERORDENING GEGEVENSBESCHERMING

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

VERWERKERSOVEREENKOMST

Verwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER

Stappenplan naar GDPR compliance

PRIVACY VOORWAARDEN. Pagina 1 6

PRIVACY POLICY. Wij raden u ten stelligste aan deze privacy policy zorgvuldig door te nemen.

Phytalis-Verwerkersovereenkomst

Verwerkersovereenkomst

AVG Algemeen PRIVACYREGLEMENT

VERANTWOORDINGSPLICHT

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018

Privacyverklaring Stichting Speelotheek Pinoccio

Privacyreglement Medewerkers Welzijn Stede Broec

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

DATA PRIVACY VERKLARING

AVG. ALGEMENE VERORDENING GEGEVENS BESCHERMING (General Data Protection Regulation GDPR)

Clausules betreffende de verwerking van persoonsgegevens

Transcriptie:

GDPR Nieuwe verplichtingen? Hoe audit uitvoeren? 27 april 2017

Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 2

Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 3

1. Aanpassen contracten co-verantwoordelijken 1. Verplicht in een contract ( vastleggen in een onderlinge regeling ) 2. Respectieve verantwoordelijkheden en rol, o.a. m.b.t. : Informatieverstrekking Uitoefening rechten betrokkenen 3. Respectieve verhouding met betrokkenen 4. Wezenlijke inhoud aan betrokkenen beschikbaar stellen 5. Ongeacht regeling kan betrokkene zijn rechten uitoefenen m.b.t. en jegens elke verantwoordelijke 4

2. Aanpassen contracten verwerkers 1. Ook verplichting voor verwerkers 2. Nieuwe verplichte clausules in schriftelijk contract : Enkel verwerken op schriftelijke instructie van verantwoordelijke, o.a. m.b.t. doorgiften buiten EU Waarborg vertrouwelijkheidsverplichting van personen die verwerken Waarborg nemen beveiligingsmaatregelen art. 32 Naleving voorwaarden voor inhuren van sub-verwerkers Bijstand aan verantwoordelijke bij uitoefening rechten van betrokkenen Bijstand aan verantwoordelijke voor diens naleving van beveiligingsmaatregelen, meldplicht bij datalekken, en privacy impact assessment Wissen of terugbezorgen van gegevens bij einde van contract Bijstand aan verantwoordelijke om diens naleving van artikel over relatie met verwerkers aan te tonen Audits door verantwoordelijke mogelijk maken en eraan meewerken 5

3. Voorwaarden voor inhuren sub-verwerkers : Enkel na voorafgaande schriftelijke toestemming van verantwoordelijke Specifieke toestemming Algemene toestemming : informatie over beoogde veranderingen + verantwoordelijke mogelijkheid bieden bezwaar te maken Schriftelijk contract met sub-verwerker met dezelfde clausules als in contract verantwoordelijke-verwerker Hoofdverwerker is aansprakelijk t.a.v. verantwoordelijke voor inbreuken door subverwerker 4. Europese Commissie en privacycommissies kunnen standaardcontractbepalingen opstellen 5. Contracten kunnen ook elektronisch 6. Als verwerker doel en middelen bepaalt : wordt beschouwd als verantwoordelijke 6

3. Aanpassen privacy policies 1. Nieuwe voorwaarden voor geldige toestemming Expliciet Gelaagd 2. Vermelding nieuwe rechten van betrokkenen Recht op beperkte verwerking Recht op overdraagbaarheid 3. Vermelding nieuwe informatie, bv. : Rechtsgrond verwerking Als rechtsgrond = gerechtvaardigd belang vermelding gerechtvaardigd belang Mogelijk tot intrekking van toestemming Bewaartermijn Contactgegevens van Data Protection Officer Recht op klacht bij Privacycommissie 7

4. Melden van datalekken 1. Wat is een datalek ( data breach )? 8

9

10

11

12

13

14

15

16

17

18

2. Melden aan Privacycommissie Binnen 72 uur na kennisname Uitzondering : als niet waarschijnlijk dat lek risico inhoudt voor rechten betrokkene Als niet binnen 72 uur : motivering voor vertraging Als onmogelijk alle informatie in één keer : gefaseerd Documenteerplicht van de inbreuken (o.a. feiten, gevolgen en maatregelen) Meldplicht verwerker aan verantwoordelijke : zonder onredelijke vertraging Inhoud minstens : Aard van de inbreuk Indien mogelijk categorieën van betrokkenen en persoonsgegevensregisters Bij benadering aantal betrokkenen en persoonsgegevensregisters Naam en contactgegevens Data Protection Officer of ander contactpunt De waarschijnlijke gevolgen Voorgestelde of reeds getroffen maatregelen om lek aan te pakken 19

3. Melden aan betrokkenen Enkel als inbreuk waarschijnlijk een hoog risico inhoudt voor betrokkene Onverwijld Uitzonderingen : Technische en organisatorische beschermingsmaatregelen getroffen (bv. encryptie) Intussen maatregelen genomen waardoor hoog risico zich waarschijnlijk niet meer zal voordoen Onevenredige inspanningen mededeling aan het publiek Als nog geen melding aan betrokkenen, Privacycommissie kan : Melding aan betrokkenen verplichten Beslissen dat een uitzondering van toepassing is 20

21

22

23

24

25

26

27

28

29

30

31

5. Data Protection Officer 1. Verplicht in slechts 3 gevallen : Overheidsinstanties (= nationaal recht) Kernactiviteit = regelmatige en stelselmatige observatie op grote schaal van mensen Kernactiviteit = verwerking op grote schaal van gevoelige gegevens en misdrijven 2. Bij twijfel en geen aanstelling : interne motivering 3. Kan vrijwillig : maar moet dan wel voldoen aan vereisten 4. Kan gezamenlijk voor bedrijvengroep, op voorwaarde dat DPO : Bereikbaar is vanuit elke vestiging Met privacycommissies kan communiceren in de lokale taal 32

5. Inhoudelijke vereiste : Deskundigheid ( expert knowledge ) op gebied van wetgeving en praktijk inzake gegevensverwerking 6. Functionele vereisten Onafhankelijkheid Geen instructies Autonomie en resources Geen ontslag of bestraffing voor uitoefening van taken Rechtstreeks rapporteren aan hoogste leidinggevende Geen belangenconflict Intern of extern (dienstencontract) 33

7. Taken : Intern : Informeren (o.a. opleidingen personeel) Toezien op naleving Audits begeleiden Moet intern bij alles betrokken worden Hoe : pragmatisch door selectie en prioritisering volgens hoogste risicos s Naar buiten toe : Contactpersoon voor Privacycommissie Contactpersoon voor betrokkenen 8. Geheimhoudingsplicht Contacteren van Privacycommissie voor advies wel toegelaten 34

6. Gedragscodes per sector 1. Lidstaten en privacycommissies moeten die bevorderen 2. Voordelen : Het wiel niet heruitvinden Verhoogde rechtszekerheid Kan worden gebruikt als een element om aan te tonen dat is voldaan aan verplichtingen omtrent : Technische en organisatorische maatregelen Gegevensbeschermingsbeleid Relatie met verwerkers Beveiliging Privacy impact assessments Aansluiting is factor bij beoordeling hoogte boete 3. Bij twijfel en geen aanstelling : interne motivering 35

4. Goedkeuring door Privacycommissie 5. Bekendmaking door Privacycommissie 6. Toezichtsorgaan en -mechanisme voorzien 7. Accreditatie toezichtsorgaan door Privacycommissie Onafhankelijkheid en deskundigheid omtrent onderwerp gedragscode Procedures voor toezicht Procedures en structuren voor behandeling van klachten Geen belangenconflict 8. Timingprobleem? 36

Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 37

GDPR 26 april 2016 Persoonsgegevens Iedereen NIS-Richtlijn 6 juli 2016 N&I veiligheid Essentiële diensten Digitale diensten 1) Energie (gas/elektriciteit/olie) 2) Vervoer (lucht/spoor/water/weg 3) Banken 4) Infrastructuur voor financiële markten 5) Zorgaanbieders 6) Levering/distributie drinkwater 7) Digitale infrastructuur : internetknooppunten, DNS-dienstverleners, registers voor TL-domeinnamen 1) Onlinemarktplaatsen 2) Zoekmachines 3) Clouddiensten Mei 2018

1. Informatieveiligheidsbeleid 2. Technische en organisatorische maatregelen 3. Periodieke audit van implementatie van informatieveiligheidsbeleid 4. Meldplicht incidenten aan Centrum voor Cyberveiligheid 39

Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 40

Klanten Sociaal secretar. incidenten Leveranciers Verzekering Datacenter Melding Periodiekvan auditeren Marketing Werknemers Bedrijf Adviseurs

Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 42

Voorbereiding Fase 1 Fase 2 Fase 3 Mapping van : As-is Gaps Oplossingen Prioritisering Implementatie Opvolging Organogram Samenstellen projectteam Budget fase 1 Interviews Documenten Procedures Budget fase 2 Overleg Drafting Onderhandelen Communicatie Budget fase 3 Opleidingen Testen Evalueren Updaten

Groepsstructuur Company US Inc. Company France SA Periodiek auditeren Melding van incidenten Company Belgium NV Beveiligingsbeleid Company Production BVBA Company Netherlands B.V. Company Germany GmbH

Organisatiestructuur CEO IT Manager Infrastruct. Team HR Sales Manager Manager Melding Periodiekvan auditeren incidenten E-Commerce Werknemers Team Applications Team Beveiligingsbeleid Onthaal Product line 1 Team Product line 2 Team

Voorbereiding Fase 1 Fase 2 Fase 3 Mapping van : As-is Gaps Oplossingen Prioritisering Implementatie Opvolging Organogram Samenstellen projectteam Budget fase 1 Interviews Documenten Procedures Budget fase 2 Overleg Drafting Onderhandelen Communicatie Budget fase 3 Opleidingen Testen Evalueren Updaten

Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 47

2017 2018 Feb Maa Apr Mei Jun Jul Aug Sep Okt Nov Dec Jan Feb Maa Apr Mei Kick-off + interviews + technische analyses Inventarisatie Assessment Periodiek auditeren Melding van incidenten Prioritiseren + drafting Implementatie Communicatie

Over time.lex Nicheadvocatenkantoor in : Privacy, data protection & security Software IT contracten IT litigation Internet E-business E-payments Intellectuele eigendom This TMT boutique is highly praised for its IT and data protection expertise Sources say: "High marks for expertise and prompt, well-executed work." "In data protection, I doubt that there are other firms more aware of the key compliance and regulatory issues than this firm." 49

Vragen? Joseph Stevensstraat 7 1000 Brussel T 02 893 20 95 M 0479 19 12 97 frederic.debussere@timelex.eu www.timelex.eu Frederic Debusseré Advocaat Partner 50

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback