Hoe EMM u helpt bij de naleving van de algemene verordening gegevensbescherming

Vergelijkbare documenten
B2BE Data Processing Overeenkomst 1. DEFINITIES

PRIVACY STATEMENT. Samenwerkingsverband Voortgezet Onderwijs Zuid Utrecht. Nieuwegein, september 2018

Algemene verordening gegevensbescherming

PRIVACY STATEMENT. Samenwerkingsverband Voortgezet Onderwijs Regio Utrecht West

Clausules betreffende de verwerking van persoonsgegevens

PRIVACYVERKLARING VAN ROEY VASTGOED

Privacyverklaring Fiscaliade. 24 mei 2018

Wat betekent de GDPR voor mijn bedrijf? TOM VAN NUNEN ONLINQ BEST

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018

SGS DATAPRIVACYBELEID

Recht om te worden vergeten Individuele personen hebben het recht om hun persoonsgegevens zonder onnodige vertraging te laten wissen.

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

ALGEMENE VERORDENING GEGEVENSBESCHERMING

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy

NHAG_WEB_022_NL_01 3. GEVOLGEN VAN HET NIET VERSTREKKEN VAN GEGEVENS

Privacy Policy. Privacy Policy Mei 2018 Page 1 of 9

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

AQUA TURBO SYSTEMS kan de volgende persoonlijke gegevens verzamelen en verwerken:

bezoekers en gebruikers van de website

Privacy Statement Anderz Organiseren. 1. Inleiding en bedrijfsgegevens

PRIVACYBELEID - AccFides

met jouw toestemming om de overeenkomst en/of gebruikersvoorwaarden die we met je zijn overeengekomen goed uit te kunnen voeren

Cursus privacyrecht Jeroen Naves 7 september 2017

PRIVACYBELEID VRIENDEN MONUMENT JOHANNES DE DOPER

De Algemene Verordening Gegevensbescherming.

PRIVACYREGLEMENT Springkussenverhuur Nederland

Algemene begrippen AVG

GEGEVENSVERWERKINGSOVEREENKOMST

PRIVACYVERKLARING. 1. Inleiding

Toepasselijkheid privacy statement

Privacybeleid Balvert Handel B.V.

Stappenplan naar GDPR compliance

MGH Privacy verklaring

Privacy policy. AGH (Administratie Groep Holland) Postbus CA Rijswijk ZH BIC ABNANL2A 1

Privacyverklaring Allargando Training & Advies...2

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Privacybeleid. Versie 2018 TOTAL SOLUTIONS PNG

Bijlage Gegevensverwerking. Artikel 1 - Definities

PRIVACY STATEMENT KLANTEN LOOGMAN TANKEN EN WASSEN BV, LOOGMAN CARWASH BV, HOLLAND CARWASH BV, HUUREENBOX BV EN GOLFCENTRUM AMSTELDIJK BV.

Verwerkersovereenkomst

Op welke manier verzamelen wij persoonsgegevens? Webdesign-bb kan op de volgende manieren informatie van jou ontvangen:

PRIVACY STATEMENT RECOMMENDR

De gevolgen van de AVG

ROC Rivor 23 mei Privacyreglement

Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (individu).

Verwerkersovereenkomst INTRAMED ONLINE

PRIVACYVERKLARING 1. WERKINGSSFEER

Handvatten bij de implementatie van de AVG

Stappenplan naar GDPR compliance

Privacy statement voor sollicitanten KiesZon

Privacyverklaring Sympathisanten en Donateurs

Borging privacy op P4 data ODA zomersessie 7 juli 2017

1. Algemeen In deze Verwerkersovereenkomst wordt verstaan onder:

Privacy Verklaring. Ik, Priscilla Vreugdenhil Loopbaanadvies & Coaching, vind jouw privacy net zo belangrijk als jij. Daarom doe ik er alles

1. Verplichtingen. 2. Subverwerkers

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

PRIVACYBELEID VAN DER BURG ADVOCAAT & MEDIATOR

Verwerkersovereenkomst

Privacybeleid. van. Easysource

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

PRIVACYVERKLARING. Wie verwerkt de Persoonsgegevens? Verwerkingsverantwoordelijke(n):

Zonder voorafgaande schriftelijke toestemming van Bronsvast is het niet toegestaan links naar onze website te plaatsen.

Beleid Gegevensverwerking binnen G4S België

Privacy in de afvalbranche

Verwerkersovereenkomst Oefenen.nl Bijlage 3 bij de Licentieovereenkomst

PRIVACYVERKLARING VAN INKOOPBUREAU WEST-BRABANT

PRIVACYVERKLARING 1. VOORAFGAAND

Functieprofiel Functionaris Gegevensbescherming

Als u een account aanmaakt en gebruikt, verstrekt u ons de volgende (persoons)gegevens die gebruikt kunnen worden om u te identificeren, zoals:

VERKLARING MET BETREKKING TOT PRIVACY EN GEGEVENSBESCHERMING (PRIVACY NOTICE) (Versie )

Verwerkersovereenkomst Openworx

Data Protection Impact Assessment (DPIA)

Privacybeleid.

Privacy Statement. Stichting Sectorinstituut Transport en Logistiek, en Sectorinstituut Transport en Logistiek B.V. en STL Werk B.V.

Het verzamelen, vastleggen, opslaan en doorgeven van uw gegevens wordt het verwerken van persoonsgegevens genoemd.

Laatste versie:

In deze Voorwaarden voor Gegevensverwerking geldt dat:

Nimava Group B.V. privacy- en cookiebeleid

PRIVACY VOORWAARDEN. Pagina 1 6

Wij kunnen ons privacy beleid van tijd tot tijd wijzigen. Dit privacy beleid is voor het laatst bijgewerkt op 1 december 2018.

Goedgekeurd op 23 april Beleid inzake gegevensbescherming en privacy

Privacyverklaring. Falke & Verbaan

Privacybeleid Beckers Financieel Advies

Privacy policy. Op welke manier verzamelen wij persoonsgegevens? bijstox kan op de volgende manieren informatie van jou ontvangen:

Welke informatie Het Fonds verzamelt in het kader van haar werkzaamheden; Voor welke doeleinden Het Fonds deze gegevens gebruikt;

PRIVACYVERKLARING. Contactgegevens: Hogenkamp Agrarische Coaching Nijverdalsestraat AH Wierden

VERKLARING PERSOONSGEGEVENS- BEVEILIGING

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

PRIVACY STATEMENT 1 AMP

PROTOCOL. Onze vereniging

PROCEDURE MELDPLICHT DATALEKKEN

Ons kenmerk z Onderwerp Advies concept besluit verplichte geestelijke gezondheidszorg

Privacy Protocol. Naar aanleiding van. Algemene Verordening Gegevensbescherming. Ten behoeve van

Privacy statement AVG

Privacy Statement. Klanten. HuurEenBox bv

Privacy Statement. Klanten. Golfcentrum Amsteldijk bv

Het onderstaande beleid is geschreven op basis van de Algemene Verordening Gegevensbescherming (AVG) ingaande op 25 mei 2018.

Transcriptie:

Hoe EMM u helpt bij de naleving van de algemene verordening Redelijke, verstandige beveiligingsstandaarden worden in tal van regio's overal ter wereld omgezet in wetgeving. De algemene is sinds april 2016 van kracht in de EU en wordt op 25 mei 2018 volledig van toepassing. De algemene zorgt voor één allesomvattend, geharmoniseerd juridisch systeem in de EU voor de bescherming van gegevens en privacy. De geldboetes en reputatieschade als gevolg van niet-naleving van de algemene zijn aanzienlijk. De maximumboete bedraagt meer dan 20 miljoen euro of 4% van de wereldwijde bedrijfsomzet. info@mobileiron.com www.mobileiron.com Tel: +1.877.819.3451 Fax :+1.650.919.8006 De algemene is van toepassing op verwerkingsverantwoordelijken en verwerkers in de EU en op verwerkingsverantwoordelijken en verwerkers buiten de EU wanneer zij persoonsgegevens van EU-burgers verwerken.

EMM wordt cruciaal voor de naleving van de algemene. IDC (februari 2017)* Verwerkingsverantwoordelijke wordt gedefinieerd als de organisatie die doel en methode van de gegevensverwerking bepaalt. Verwerker wordt gedefinieerd als de organisatie die de verwerking uitvoert namens en onder aanwijzing van de verwerkingsverantwoordelijke. In dit document gaan wij ervan uit dat de verwerker en de verwerkingsverantwoordelijke dezelfde entiteit zijn: de onderneming met werknemers of klanten in de EU. Een allesomvattend en goed gestructureerd EMMprogramma (Enterprise Mobility Management) is een belangrijk onderdeel van bedrijfsinitiatieven die zijn gericht op naleving van de algemene. Dit document biedt ondernemingen een kader om de privacy, het beveiligingsbeleid ten aanzien van mobiele apparaten en handhavingsmodellen proactief te beoordelen. Dit document biedt geen juridisch advies. Elke onderneming dient ervoor te zorgen dat haar EMM-implementatie goed aansluit op haar interne juridische kader en nalevingskader. De principes voor het verwerken van persoonsgegevens volgens de algemene verordening zijn gebaseerd op standaarden en consistent met nieuwe privacykaders in andere regio's. De principes van de algemene Elke werkgever bewaart bepaalde persoonsgegevens. Het logische beginpunt voor de naleving van de algemene verordening is om een minimum aan noodzakelijke persoonsgegevens te bewaren en redelijke voorzorgsmaatregelen te treffen om de risico's voor burgers te beperken. Hoewel Europa in de hele wereld vooroploopt op het gebied van en privacy, zijn de principes voor de verwerking van persoonsgegevens onder de algemene verordening gebaseerd op standaarden en consistent met nieuwe privacykaders in andere regio's. Deze principes zijn onder meer: Rechtmatige, behoorlijke en transparante verwerking: ondernemingen moeten geldige redenen hebben om persoonsgegevens te verwerken en moeten die informatie aan de betrokkene geven. Doelbinding: er moet een duidelijke en uitdrukkelijke reden zijn voor de verwerking van persoonsgegevens. De gegevens mogen alleen worden verwerkt voor het doel waarvoor de gegevens zijn verzameld. Instemming: de betrokkene van wie persoonsgegevens worden verwerkt, moet over het algemeen hiervoor zijn instemming geven. Minimale gegevensverwerking: de verwerkte gegevens moeten beperkt zijn tot wat strikt noodzakelijk is voor een specifiek doel. Toegang mag alleen worden gegeven aan degenen die die gegevens voor dat specifieke doel nodig hebben. * Market Analysis Perspective: Western Europe Enterprise Mobility, 2017 van IDC Europe, februari 2017. 2

Juistheid: de gegevens moeten juist zijn en onjuistheden moeten gemakkelijk kunnen worden gecorrigeerd. Een betrokkene moet het recht hebben om een dergelijke rectificatie te vragen. Opslagbeperking: de gegevens mogen alleen worden bewaard zolang ze noodzakelijk zijn voor het beoogde doel. Integriteit en vertrouwelijkheid: de gegevens moeten worden verwerkt op een wijze die adequate beveiliging van de gegevens garandeert, waaronder voorkoming van ongeoorloofde verwerking en onopzettelijk verlies. Verantwoordingsplicht: de onderneming moet in staat zijn de naleving van bovenstaande principes en gerelateerde corrigerende maatregelen aan te tonen. Een onderneming moet kunnen aantonen dat zij afdoende veiligheidsmaatregelen heeft genomen en dat naleving adequaat wordt gecontroleerd. Privacy is geen bijzaak. Gegevensbescherming door ontwerp en door standaardinstellingen Artikel 25 van de algemene verordening Privacy is geen bijzaak. Artikel 25 van de algemene beschrijft het concept van door ontwerp en door standaardinstellingen, ook bekend als privacy door ontwerp en door standaardinstellingen. Gegevensbescherming door ontwerp: de onderneming moet gegevens gedurende haar gehele operationele levenscyclus beschermen, van het eerste ontwerp van processen en systemen tot aan buitendienststelling ervan en gegevensvernietiging. Gegevensbescherming door standaardinstellingen: de onderneming moet ervoor zorgen dat standaard alleen de benodigde hoeveelheid persoonsgegevens worden verzameld en verwerkt. De betrokkene moet zich niet hoeven af te melden om inwinning van aanvullende gegevens te voorkomen. De onderneming mag geen informatie verzamelen voor het geval dat zij die eventueel later wil gebruiken. Stand van de techniek Artikel 32 van de algemene verordening Artikel 32 van de algemene schetst het belang van het gebruik van de allerbeste actuele technologieën voor de ondersteuning van informatiebeheer: Rekening houdend met de stand van de techniek treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Hoewel de algemene verordening geen specifieke technische implementaties voorschrijft, verwijst artikel 32 naar onder andere versleuteling, integriteit, beschikbaarheid en tests als voorbeeldmaatregelen, waarvoor de onderneming de meest geavanceerde oplossingen moet overwegen. 3

Een EMM-kader voor de algemene EMM-oplossingen, zoals MobileIron, zijn een belangrijke component van een beveiligingsprogramma dat aan de algemene verordening voldoet. Voor ondernemingen zonder effectieve EMM kan het een uitdaging zijn aan autoriteiten uit te leggen waarom zij geen geavanceerde, technische maatregelen hebben genomen om het risico van gegevensverlies te beperken. Voor ondernemingen zonder effectieve EMM kan het een uitdaging zijn aan autoriteiten uit te leggen waarom zij geen geavanceerde, technische maatregelen hebben genomen. Een EMM-kader voor de algemene verordening moet onder meer bestaan uit de volgende MobileIron-functionaliteit: 1. Met het MobileIron-platform kan de onderneming gegevensversleuteling afdwingen bij het apparaat door versleutelingsinstellingen voor het apparaat te bewaken en secundaire versleuteling aan te bieden voor zakelijke apps en bedrijfsgegevens. 2. Met het MobileIron-platform kan de onderneming een duidelijke scheiding tot stand brengen tussen persoonsgegevens en bedrijfsgegevens op het apparaat. De onderneming heeft geen toegang tot de inhoud van persoonlijke apps of persoonlijke e-mailaccounts. Elke onderneming moet ook beoordelen of toegang tot andere soorten persoonsgegevens, zoals app-inventaris of apparaatlocatie, een rechtvaardig beveiligingsdoel of operationeel doel dient. Als dat het geval is, moet dat doel duidelijk worden verwoord en gecommuniceerd, en moeten de maatregelen voor wat betreft door standaardinstellingen en instemming proactief worden geïmplementeerd. 3. Met het MobileIron-platform kan de onderneming vertrouwde toegang tot bedrijfsservices afdwingen. MobileIron Access biedt de onderneming inzicht in welke mobiele apparaten en apps verbinding proberen te maken met back-endservices. Ongeoorloofde toegang kan dan worden geblokkeerd. MobileIron Sentry beschermt het gegevensverkeer en kan dit indien nodig ook langs aanvullende beveiligingsen inspectiegateways routeren. 4. Met het MobileIron-platform kan de onderneming auditlogs raadplegen om te bepalen welke acties plaatsvonden voorafgaand aan een inbreuk op gegevens en welke acties daarna plaatsvonden. In bepaalde situaties bedraagt de verplichte melding krachtens de algemene slechts 72 uur en is een snelle reactie vereist. 5. Met het MobileIron-platform kan de onderneming maatregelen tegen gegevensverlies afdwingen. Dankzij deze maatregelen kan de onderneming vertrouwelijke gegevens op een verloren apparaat op afstand wissen en ervoor zorgen dat zakelijke apps op een apparaat geen gegevens kunnen delen met ongeoorloofde apps. Deze maatregelen identificeren ook aanvallen op de integriteit van het besturingssysteem van het mobiele apparaat (jailbreaking of rooting). Als er sprake is van een nalevingsprobleem, kan de onderneming met het MobileIron-platform de juiste correctieve maatregelen nemen, zoals meldingen verzenden, bestanden in quarantaine plaatsen of gegevens wissen. 4

Onbeheerde mobiele apparaten maken geen deel uit van een grondige verdedigingsstrategie. EMM implementeren voor de algemene Elke onderneming die wordt getroffen door de algemene doet er verstandig aan haar bestaande EMMimplementatie en configuratiemodel onder de loep te nemen. Ten eerste identificeert een dergelijke inventarisatie hiaten waarin EMM onvoldoende wordt ingezet voor de naleving van de algemene. Ten tweede vormt deze inventarisatie de basis voor het ontwerp en de implementatie van een duurzaam nalevingstoezicht- en correctieprogramma. Hier is een beginpunt voor de implementatie van EMM als onderdeel van een beveiligingsprogramma dat aan de algemene verordening voldoet. 1. Plaats alle mobiele apparaten onder beheer als deze toegang hebben tot bedrijfsgegevens. Onbeheerde mobiele apparaten maken geen deel uit van een grondige verdedigingsstrategie die een redelijk niveau van biedt aan verloren of gecompromitteerde apparaten. 2. Pas actuele configuratieprofielen toe. Dwing beleid af voor wachtwoorden, versleuteling, beveiliging van apparaten, verbindingen en andere relevante zakelijke functies. 5. Dwing voor alle zakelijke services vertrouwde toegang af. Blokkeer de toegang vanaf ongeoorloofde, onbeheerde of niet-conforme apparaten, apps en gebruikers. Sta niet toe dat vertrouwelijke gegevens worden opgeslagen op een apparaat buiten het zicht en de controle van de onderneming. 6. Stel sbeleid en beveiligingsbeleid op en communiceer het beleid regelmatig in heldere bewoordingen naar werknemers. 7. Verzamel adequate auditlogs met informatie over inventaris en gebruik om in het geval van inbreuk op gegevens snel te kunnen reageren. Conclusie Een onderneming kan alleen adequate beveiliging bieden voor persoonsgegevens als zij kan aantonen dat zij afdoende EMM-controlemaatregelen en procedures heeft geïmplementeerd. Deze maatregelen moeten ervoor zorgen dat de persoonsgegevens die door de onderneming worden verkregen, worden beschermd tegen dreigingen van buitenaf en tegen ongeoorloofd gebruik of ongeoorloofde openbaarmaking. Het MobileIron-platform biedt een robuust kader voor de naleving van de principes van de algemene : de minimalisering, integriteit en vertrouwelijkheid van gegevens evenals verantwoordingsplicht. 3. Distribueer alle zakelijke apps als beheerde apps via een app store van de onderneming, zodat de apps in een door de onderneming gecontroleerd beveiligingskader worden gebruikt. 4. Dwing adequaat beleid af om gegevensverlies te voorkomen en app-gegevens op het apparaat te beschermen. Vrijwaringsclausule: dit document is alleen van informatieve aard en mag in geen geval worden opgevat als juridisch advies of een juridische mening. Dit document is niet bedoeld om een advocaat-cliëntrelatie te vormen tussen u en een advocaat. U dient uw eigen juridische advies in te winnen. De informatie in dit document vertegenwoordigt de huidige inzichten met betrekking tot de betrokken problemen. MobileIron aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voortvloeiend uit enig vertrouwen in of gebruik van deze informatie. 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback