even voorstellen - unica.nl · even voorstellen dennis van hoof risk & compliance officer -...
TRANSCRIPT
Even voorstellen
Dennis van HoofRisk & Compliance Officer - Unica Schutte ICT
Leonie OuwerslootAdvocaat - JPR Advocaten
Wim BoerendansSecurity Consultant - Unica Schutte ICT
Mark LacroixSalesmanager - Unica Schutte ICT
Over Unica Schutte ICT
• Landelijke ICT-dienstverlener
• Ruim 25 jaar ervaring
• Breed aanbod van ICT en telecom
• Circa 185 professionals
• Zelfstandig onderdeel van Unica Groep
Portfolio Unica Schutte ICT
Consultancy, ICT-strategie en continuiteït
Business Process Solutions & Dynamics 365
Modern Workspace & Office 365
Business Intelligence & Datamanagement
Vaste & mobiele telefonie
Security & Governance
Training & Adoptie
Connectivity & wireless networking
Cloud, On-premise & Azure
Managed Services & Support
Samenwerking JPR & Unica Schutte ICT
Grondslagen
Toestemmingen
Territoriale werking
Document management
Retentiebeleid
Documentclassificatie
Versleuteling
Kwetsbaarhedenmanagement
Logische toegangsbeveiliging
Juridisch
Technisch Organisatorisch
Het programma
Deel 1:GDPR vanuit juridisch oogpunt
Behandeling case 1
Deel 2:GDPR in uw organisatie
GDPR en technische maatregelen
Behandeling case 2
Via uw mobiele telefoon kunt u stemmen op stellingen.
Technisch Organisatorisch
Juridisch
Wat zijn persoonsgegevens?
Persoonsgegevens
127.0.0.1
Directe persoonsgegevens
Indirecte persoonsgegevens
Bijzondere persoonsgegevens
Verordening is op 25 mei 2016 vastgesteld. De
verordening treedt in werking op 25 mei 2018.
Intrede van accountabilityprincipe binnen Europa:
Bedrijven moeten vanaf dat moment voldoen aan
de verordening.
Bij niet naleven AVG: kans op boetes tot 20
miljoen of 4% van wereldwijde omzet
Algemene Verordening
Gegevensbescherming
Belangrijkste wijzigingen:
- Accountability en documentatieplicht
- Invoering Functionaris Gegevensbescherming
- Voor Europa invoering Meldplicht Datalekken
- Meer rechten betrokkenen
Algemene Verordening
Gegevensbescherming
Alle organisaties dienen aan te kunnen tonen dat
zij voldoen aan de wetgeving. Dit houdt in dat zij
met documenten moeten kunnen aantonen dat zij
de juiste organisatorische en technische
maatregelen hebben genomen om aan de AVG te
voldoen.
Documentatieplicht
Stelling:
Bedrijven met minder dan 250
werknemers hoeven niet aan de
documentatieplicht te voldoen
In beginsel correct, maar….
- Let op accountability
- Let op verwerking bijzondere
persoonsgegevens
- Let op impact rechten van betrokkenen
Documentatieplicht
Hoe voldoe je als organisatie aan de
documentatieplicht?
Een belangrijk uitgangspunt van de AVG is dat
‘verwerking’ van persoonsgegevens slechts is
toegestaan voor zover deze gebaseerd kan
worden op ten minste één van de limitatief
opgesomde verwerkingsgronden.
Daarnaast is van belang dat gegevens alleen
verwerkt worden in lijn met beginselen van de
AVG
Documentatieplicht
De 6 beginselen van het verwerken van
persoonsgegevens:
• Rechtmatigheid; behoorlijkheid; transparantie
• Doelbindingsprincipe
• Dataminimalisatie
• Juistheid
• Opslagbeperking
• Integriteit en vertrouwelijkheid
Europese privacy verordening
De grondslagen:
• Wettelijke plicht
• Gerechtvaardigd belang
• Publiek taak of algemeen belang
• Uitvoering overeenkomst
• Toestemming
Europese privacy verordening
Het registreren van alle relevante informatie ten aanzien van
persoonsgegevensverwerking wordt gedaan in het
verwerkingsregister.
Verwerkingsregister
Een Excelbestand is in veel gevallen
niet geschikt als verwerkingsregister!
1. Rollen en verantwoordelijkheden
Welke afdeling verwerkt de persoonsgegevens (bv. Marketing)?
Welke rol is verantwoordelijk voor de verwerking (bv. Directeur
Marketing)?
Waar komt de informatie vandaan, de bron (bv. Betrokkene)?
Waar hebben de persoonsgegevens betrekking op (bv. Klanten)?
Contactgegevens van de FG (Naam, adres, E-mail, telefoonnummer)
Verwerkingsregister
2. Persoonsgegevens
Soort (bv. Regulier en bijzonder)?
Specificatie (bv. Naam, Adres, Telefoonnummer)
Grondslag van verwerking (bv. Toestemming)
Doel van verwerking (bv. Marketingdoeleinden)
Ontvangers van de persoonsgegevens (bv. Verwerker)
Uitvoer (bv. Binnen Europa of Derde landen)
Bewaartermijn (bv. 7 jaar)
3. Beveiliging en techniek
Veiligheidsmaatregelen (bv. versleuteling of autorisaties)?
Waar is de informatie opgeslagen (bv. server001 of database001)?
• Meer informatieverplichtingen, denk aan
privacyverklaring
• Recht van inzage
• Recht op rectificatie
• Recht om vergeten te worden (niet bij sub f)
• Nieuw: recht op dataportabiliteit
Recht van betrokkenen
Persoonlijke aansprakelijkheid boetes
Art. 34a Wbp Primair de rechtspersoon
Parlementaire geschiedenis:
“Dit staat niet in de weg dat daarnaast of in plaats daarvan natuurlijke personen
binnen deze rechtspersoon kunnen worden beboet indien zij feitelijk leiding hebben
gegeven respectievelijk opdracht hebben gegeven tot het verrichten van de verboden
gedraging en hebben nagelaten om maatregelen te treffen ter voorkoming van een
verboden gedraging en daarmee bewust de kans wordt aanvaard dat deze gedraging
zal plaatsvinden.” (Slavenburg arrest)
Art. 5:1 lid 3 Awb jo. 51 lid 2 Sr
Geldt ook na inwerkingtreding Avg (Art. 1 lid 1 jo. 14 lid 1 Uw Avg)
Persoonlijke aansprakelijkheid boetes
Criteria geformuleerd in strafrechtspraak:
-Wie kan er beschikken over de gedraging binnen de
onderneming? (bestuurder/manager/leidinggevende)
-Wordt de gedraging binnen de onderneming aanvaard?
Verruiming criterium:
-Onder aanvaarden wordt tevens begrepen het niet
betrachten van de zorg die verwacht mag worden.
Persoonlijke aansprakelijkheid boetes
Altijd de bestuurder?
Papieren werkelijkheid - feitelijke werkelijkheid
Uitgangspunt: Feitelijk leidinggeven aan de gedraging (niet
rechtspersoon).
Dit kan ook een afdelingsmanager zijn!
Technisch Organisatorisch
Juridisch
Juridisch
Technisch Organisatorisch
Verantwoording
DocumentatieTransparantie
Juistheid
Integriteit & Vertrouwelijkeheid
Doelbeperking
Bewaarbeperking
Gegevensbeperking
Document Life Cycle
Informatiemanagement is noodzakelijk om informatie te
herkennen en traceren, zowel binnen als buiten je
organisatie.
Wat kunnen we zoal afspreken over informatie?
• Titel
• Auteur
• Eigenaar
• Document type
• Soort informatie
• Versienummer/beheer
• Classificatie
• Datum
Informatiemanagement
• Review datum
• Autorisatie
• Autorisatiedatum
• Status
• Versiegeschiedenis
• Distributielijst
• Naamconventies
1. Aanpassing
document2. Nieuw
documentTemplate
document
3. Aanpassen/nieuw
document (auteur)
4. Review inhoud
(eigenaar)
5. Review taal & stijl
(eigenaar)
6. Publicatie DMS
Automatiseren is de sleutel tot succes
(Document Management Systeem)
Informatieclassificatie & labeling
-> Waarde van informatie tastbaar maken
-> Bepaalt zwaarte van te nemen maatregelen
(hoe vertrouwelijker de informatie hoe zwaarder
de maatregelen).
Wat kunnen we zoal afspreken over
classificatie & labeling?
• Distributie (wie mag het document ontvangen?)
• Omgang en opslag (welke
beveiligingsmaatregelen?)
• Afvoer/vernietiging (bv. papierbak of
versnipperaar)
• Sanctie (bv. maatregelen bij het niet naleven)
• Label (INTERN, PUBLIEK, VERTROUWELIJK)
Automatiseren is de sleutel tot succes
(Document Management Systeem)
Data retentiebeleid
Een data retentiebeleid is nodig om uniform te bepalen hoe lang of hoe kort bepaalde informatie
maximaal of minimaal opgeslagen mag worden.
Wat kunnen we zoal afspreken over retentie?
• Minimale bewaartermijn (hoe lang moet ik informatie minimaal bewaren)?
• Maximale bewaartermijn (wanneer moet ik informatie zeker verwijderd hebben)?
• Wanneer gaat een bewaartermijn in (wanneer gaat de teller lopen)?
• Wet- en regelgeving (referentie naar het relevante artikel voor naslag)
Change Management en Risicomanagement
Verandermanagement
Misschien wel de meest onderschatte en onderbelichte discipline binnen organisaties als het gaat om het implementeren
van de bepalingen uit de AVG.
1. Urgentiebesef
Waarom veranderen (wat als we niets doen)?
Wat betekent dit voor mij (wat levert het op en wat als ik niets doe)?
Heb ik voorbeelden van eerdere successen?
2. Slagvaardige groep
Wie zijn de kartrekkers?
Wie heeft de passie om dit tot een succes te maken?
Wie kan overtuigen?
Wie komt tot meetbaar resultaat?
Wie zijn mijn kritische mensen?
3. Visie & Strategie
Wat willen bereiken en waarom?
Wat is de business case?
Zorg ervoor dat de visie binnen 5 minuten duidelijk is voor
ontvangers
4. Veranderingsvisie
De koffieautomaat
Rondje langs de velden
Bespreek knelpunten en zorgen van mensen
5. Draagvlak
Zorg dat alle voorbereidingen getroffen zijn
Maak hier mensen voor vrij binnen je organisatie
Beloon de toppers
Herken weerstand en acteer hier op
Verwijder obstakels snel en zichtbaar
6. Quick wins (korte termijn successen)
Ga voor de quick wins (snel resultaat)
Kleine teams met slagvaardige mensen (momentum)
Beloon mensen die een actieve bijdrage leveren
7. Continu leren
Zorg ervoor dat de veranderingen geborgd zijn
Communiceer ook dat het een continu proces is
8. Veranderingen verankeren
Blijf communiceren
Nieuwsbrieven
Bedrijfspresentaties
“Een risico is een onzekere gebeurtenis die ervoor
kan zorgen dat doelstellingen niet behaald worden
als deze gebeurtenis daadwerkelijk plaatsvindt.”
Risicomanagement
Risicomanagement
Risico mitigeren, vermijden, overdragen
of accepteren?
Kwetsbaar voor welke dreigingen (DA) en
effect op de business (BIA)?
Bepalen wie hiertoe geautoriseerd is en
vastleggen (bv. in Management review)?
Wat zijn mijn kritieke processen en
bedrijfsmiddelen?
• Dwingt om inzicht te krijgen in het onderwerp van onderzoek (de inventarisatie)
• Elimineert emotie uit eventuele besluitvorming (eerst denken, dan doen)
• Zorgt voor een goede onderbouwing voor besluitvorming (de business case)
• Zorgt voor een raamwerk voor goede prioritering (waar moeten we beginnen)
• Geeft antwoord op de belangrijkste compliance vraag (ben ik in control?)
Waarom risicomanagement?
Wat kunt u doen?
Focus op gegevensverwerking Focus op informatie(beveiliging)
Projectmatige aanpak Continu lerend systeem (Plan, do, check, act)
Beperkte groep betrokkenen (Projectgroep) Integraal onderdeel organisatie (iedereen doet mee)
Projectmatig risicomanagement Integraal risicomanagement
Geen concurrentievoordeel Wel concurrentievoordeel
Minder kostbaar Meer kosten
Efficiënter Effectiever
Data-Driven aanpak
(Privacy Impact Assessment)
Business-Driven
(Certificeren Managementsysteem)
Juridisch
OrganisatorischTechnisch
Hoe?
Wees weerbaar en veerkrachtig
PET
Privacy Enhancing Technologies
Technische maatregelen
Informatiebeveiliging Privacy beveiliging
Antivirus Toegangscontrole
Anti-Spam Scheiding van gegevens
Firewall Encryptie
Disaster en Recovery Dataclassificatie en labeling
Back-up Anonimiseren
Patches en updates Gegevensminimalisatie
Mobile Device Management Retentie
Toegangscontrole
• Identity Management
• Multi-factor authenticatie
• Named accounts
• Role Bases Access Control
• Conditional Access
Scheiding van gegevens
Scheiding van gegevens
Encryptie
• In rest
• In transit
SECRET
CONFIDENTIAL
INTERNAL
NOT RESTRICTED
IT admin sets policies,
templates, and rules
PERSONAL
Vaststellen beveiligingsniveau op data
Beveiligingseisen koppelen aan
beveiligingsniveau
Dataclassificatie en labeling
Dataclassificatie en labeling
Retentie beleid
• Verklein aanvalsoppervlak
• Elimineer blinde netwerkvlekken
• Optimaliseer netwerk verdediging
• Bewijslast in geval van cybercrime
• Informatie verzameling t.b.v. wet- en
regelgeving
• Bewaak compliance / beleid
Logging, controle en audit
Logging, controle en audit
Hoe nu verder…?
Durf kwetsbaar
te zijn,
Maar wees
weerbaar
en veerkrachtig
• ICT-beleid
• GAP-analyse
• Technisch risicomanagement
Casus GGZ instelling
Vragen
BEDANKTVOOR UW AANDACHT!