SlideShare une entreprise Scribd logo

GDPR Revealed: EU privacy wetgeving in het juiste perspectief

B.A.
B.A.

Korte presentatie @ infosecurity 2018 beurs, 14 maart 2018 in de Brussels Expo. De organisatie vroeg me om in te vallen voor de oorspronkelijke spreker Eddy Vanderstock. Poging om op een bevattelijke manier met mijn beperkte kennis GDPR praktisch te duiden.

Internet
1  sur  49
Télécharger pour lire hors ligne
GDPR REVEALED EU privacy wetgeving in het juiste perspectief Brussel, 14 maart 2018 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
Wie ben ik ?  Jan Guldentops (°1973)  Dit jaar bouw ik 20 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging  Ben toevallig terechtgekomen in de securitywereld  Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline)  Plotseling ben je security expert  R&D (vooral security)  “Gecertificieerd” Data Protection Officer ( DPO )
COMMON SENSE AS A SERVICE (CAAS)
Wat is GDPR / AVG ➢ General Data Protection Resolution (GDPR) / Algemene verordening gegevensverwerking (AVG) / règlement général sur la protection des données ➢ Gaat enkel over bescherming van één specifiek type Data: Persoonsgegevens ➢ Geeft burger ook meer rechten ➢ Nieuwe EU wetgeving ➢ in voege sinds mei 2017 ➢ afdwingbaar vanaf 25 mei 2018 ➢ Grote (potentiële) boetes ! ➢ 4% globale revenue ➢ max € 20.000.000
Magische oplossingen
Zijn we klaar ? http://datanews.knack.be/ict/nieuws/de-grote-gdpr-enquete-belgische-bedrijven-dreigen-deadline -te-missen/article-longread-959299.html
Waarom GDPR ?
Waarom GDPR? (2)  “Verloren” persoonsgegevens  Open S3 bucket met massa’s klantengegevens ( id-kaarten, transportdocumenten, etc. )  Gegevens van 700.000 klanten ( geboortedatum, gsm, telefoonnummer, etc.)  Konden zelfs niet vertellen wat er aan de hand was!  Gegevens van 70.000.000 klanten  Exit security officer, CIO & CEO  19GB aan klantendata  Josh Duggar
Privacy = “bescherming van de persoonlijke levenssfeer en daaraan gerelateerde (persoons)gegevens.”
Niks nieuws onder de zon ➢ Bescherming van persoonsgegevens bestaat in België al sinds 1992 ( 25 jaar !) ➢ Strenger, duidelijker geworden ➢ Vooral toevoegen boeteclausules ➢ Informatieveiligheidsindustrie werkt al jaren volgens dezelfde principes ➢ ISO27000, Cobit, etc. ➢ Vereisten van GDPR zijn eigenlijk best practices ➢ Inventaris ➢ Nadenken over security ➢ Etc. ➢ Er is heel veel bangmakerij – Het nieuwe Y2K – Opportuniteit voor advocaten, IT-bedrijven en security-consultants en consultants – De wereld gaat niet vergaan op 25 mei 2018
Doelstellingen van GDPR ➢ Persoonsgegevens beter beschermen ➢ Inventaris ➢ Degelijk register ➢ Goeie backups ➢ DPO ➢ Meldplicht bij datalekken ➢ Etc. ➢ Meer rechten aan de burgers geven ➢ Duidelijke afspraken ➢ Inzage- en verbeterrecht ➢ Right-to-be- forgotten ➢ Data-overdracht
Persoonsgegevens ➢ Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon die rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden. Dus : ➢ de naam van een persoon ➢ een foto ➢ een telefoonnummer (zelfs een telefoonnummer op het werk) ➢ een code ➢ een bankrekeningnummer ➢ een e-mailadres ➢ een vingerafdruk of andere biometrische gegevens ➢ adressen ➢ leeftijd ➢ gezinssituatie ➢ nummerplaat ➢ Strafregister ➢ DNA ➢ Enz.
Wat is informatie ? ➢ Een set gegevens die zodanig bijeen zijn gebracht en worden voorgesteld zodat er betekenis of waarde aan kan worden toegekend. ➢ Gestructureerd ➢ Logisch ➢ Betekenisvol ➢ Te gebruiken in een context ➢ Waarde ➢ Kan in vele vormen : ➢ Papier ( ook geschreven ) ➢ Electronisch ➢ Mondeling ➢ Fysieke media ➢ Kennis
Terminologie: verwerking ➢ „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
Terminologie: toestemming ➢ „toestemming” van de betrokkene:elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;
Protagonisten ➢ Betrokkene ➢ Ook data subject genoemd ➢ Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; ➢ Ook data controller genoemd ➢ verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt ➢ Ook data processor genoemd ➢ derde : een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken; ➢ Ook third party genoemd
Wie moet er aan de GDPR wetgeving voldoen ? ➢ GDPR geldt voor alle bedrijven en organisaties die : ➢ Gevestigd zijn in de EU ➢ Gevestigd zijn buiten de EU maar goederen en/of diensten leveren aan EU burgers ➢ Persoonlijke gegevens verzamelen of het gedrag van EU burgers monitoren ➢ DUS: ZO GOED ALS IEDEREEN
Belangrijke bijkomende vraag ➢ Verwerkt u gevoelige informatie, dit wil zeggen informatie over : ➢ Ras ➢ Politieke opvattingen ➢ Religie ➢ Biometrische gegevens ➢ Genetische gegevens ➢ Gezondheid ➢ Seksuele geaardheid ➢ Strafrechterlijke vervolgingen ➢ Bent u een overheidsorganisatie ?
Eenvoudig stappenplan ➢ Privacycomissie : ➢ https://www.privac ycommission.be/si tes/privacycommis sion/files/docume nts/STAPPENPLA N%20NL%20- %20V2.pdf
13 stappen ➢ Bewustmaking ➢ Dataregister ➢ Communicatie ➢ Rechten van de betrokkene ➢ Verzoek tot toegang ➢ Wettelijke grondslag verwerking persoonsgegevens ➢ Toestemming ➢ Kinderen ➢ Datalekken ➢ Privacy by design en PIA ➢ Functionaris voor gegevensverwerking (DPO ) ➢ Internationaal ➢ Bestaande contracten ➢ Stap 14 + Passende beveiliging
1. Bewustmaking ➢ “Informeer sleutelfiguren en beleidsmakers van de aankomende veranderingen. Zij moeten inschatten welke gevolgen de AVG zal hebben voor het bedrijf of de organisatie. “ ➢ Awareness doorheen het hele bedrijf : ➢ Top tot bodem ➢ “Vis rot van de kop” - nood aan een management-buyin ➢ Mensen zijn de zwakste schakel ➢ Ook voor de leveranciers ➢ Zeker doen : ➢ Geef bijvoorbeeld een awareness training ➢ Moet geregeld op de management agenda komen ➢ Controleer je leveranciers, maak goeie afspraken ➢ Maar : ➢ kijk ook verder dan GDPR. ➢ Zijn er nog andere wettelijke vereisten ? Afspraken met klanten ? ➢ Verkoop het als een opportuniteit, niet als een verplicht nummer !
2. Dataregister ➢ “ Breng in kaart welke persoonsgegevens je bijhoudt, waar deze vandaan komen en met wie je deze hebt gedeeld. Registreer je verwerkingen. Mogelijks dien je hiervoor een informatie-audit te organiseren” ➢ Welke persoonsgegevens hou je bij en waar komen deze vandaan ? ➢ Waar worden deze allemaal gebruikt en verwerkt ? ➢ Waar worden ze opgeslagen ( toestel, plaats, applicatie) ➢ Deel je ze met andere partijen ? ➢ Zijn ze versleuteld ? ➢ Informatie-audit ➢ Moet voor alle verwerkingen die niet-incidentieel zijn ➢ Geldt voor verantwoordelijke ( controllers ) als verwerkers ( processors ) ➢ Belangrijk : ➢ Documentatie ( een dataregister ) • Er is geen vast model voor het register, zolang het schriftelijk, electronisch en begrijpelijk is... ➢ Hoeft geen applicatie te zijn, kan bijvoorbeeld ook een rekenblad zijn. ➢ Vb. Unizo ➢ Vervangt aangifte die je vroeger bij de privacycommissie moest doen. ➢ Wat men wil bereiken is accountability ! • Verantwoordingsplicht
3. Communicatie van privacy informatie ➢ Duidelijk en transparant communiceren over : ➢ Wat de wettelijke basis is voor het verwerken van de gegevens ➢ Hoe lang je de gegevens gaat bijhouden ( data retentie ) ➢ En vermelden wat de rechten van het individu ( data subject of burger) zijn. ➢ Nadruk op duidelijk en transparant ➢ Moet duidelijk in de privacy policy op je website staan, privacy notice bij verwerking en je verkoopsvoorwaarden. ➢ Verschil rechtstreekse / onrechtstreekse inzameling
4. Rechten van de betrokkene (aka data subject of individu) ➢ Recht van informatie ➢ Recht van inzage ➢ Recht van correctie ➢ Recht van verwijdering ( right-to-be-forgotten) ➢ Recht op beperking ➢ Recht op overdraagbaarheid van gegevens ➢ Recht op bezwaar ➢ Geautomatiseerde besluitvorming / profilering
5. Verzoek tot toegang ➢ “Update je bestaande toegangsprocedures en bedenk hoe je verzoeken tot toegang voortaan zal behandelen onder de nieuwe termijnen in de AVG.” ➢ Wettelijk moet je kostenloos en binnen de 30 dagen kunnen reageren op de vragen van de betrokkenen ➢ Kan enkel als je hier klaar voor bent ➢ Nood aan : ➢ Data register ➢ Procedures ➢ Automatisering ? Webformulier ? Etc.
6. Wettelijke grondslag verwerking persoonsgegevens ➢ Toestemming van de betrokken persoon. ➢ De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. ➢ De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. ➢ Bv bevel van politie, belastingen,BTW,etc. ➢ Maar: verantwoordingsplicht ➢ De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. – essentieel is voor iemands leven of gezondheid ➢ De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. ➢ Vervulling van een openbare taak ➢ De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. – Maar hou rekening met proportionaliteit en subsidiariteit • Dus: noodzakelijk zijn en in verhouding tot het doel !
7. Toestemming ➢ Evalueer de wijze waarop je toestemming vraagt, verkrijgt en registreert, en wijzig waar nodig. ➢ Als je geen wettelijke basis hebt voor verwerking moet je toestemming / consent vragen aan het individu ➢ Moeilijkheid / opportuniteit ➢ Transparant en eenduidig ➢ Bewijslast ligt bij jou ! ( dus moet bewaard worden) ➢ Opt-in ipv opt-out ➢ Expliciete toestemming
8. Kinderen ➢ “Ontwikkel systemen die de leeftijd van de betrokkene nagaan en ouder(s) of voogd(en) expliciet om toestemming vragen voor de gegevensverwerking van minderjarige kinderen. “ ➢ Je mag geen gegevens van kinderen verwerken zonder toestemming van de ouders/voogd. ➢ Dus controleer je de leeftijd van individuen ➢ Heb je een procedure om ouders / voogd toestemming te vragen ? ➢ Staat er in je privacy policy een leeftijdsbeperking ? ➢ Is die begrijpbaar voor kinderen ?
9. Datalekken ➢ Voorzie adequate procedures om persoonlijke datalekken op te sporen, te rapporteren en te onderzoeken. ➢ Niet enkel om ze op te sporen, ook om ze te voorkomen. Er zijn immers minimale veiligheidsvereisten ! ( hebben we het volgende keer over ) ➢ Zowel qua business continuity ( Backups en zo) als veiligheid ! ➢ Maar je moet ze opsporen en rapporteren ➢ Logging, rapporting ➢ Register van lekken en problemen ! ➢ En als er data gelekt of verloren gegaan is, moet dit gemeld worden binnen de 72 uur aan het individu en de regulator ! ➢ Niet eenvoudig ➢ Zorg dat de procedures en de communicatie klaar ligt !
10. Privacy by Design / PIA ➢ “Maak je vertrouwd met de begrippen “gegevensbescherming door ontwerp” en “gegevensbeschermingseffectbeoordeling” en ga na hoe je deze concepten in de werking van jouw bedrijf of organisatie kan implementeren. ➢ Bij alles wat je doet hou je vanaf het eerste moment rekening met privacy en security. ➢ Belangrijk hierbij is ook privacy by default ➢ Analyseren wat de privacy-risico’s van een project, procedure, stuk software of iets anders is, heet een privacy impact assessment.
11. DPO ➢ “Duid, indien nodig, een functionaris voor gegevensbescherming aan, of iemand die de verantwoordelijkheid draagt voor het naleven van de databeschermingsregels. Beoordeel welke plaats deze inneemt binnen de structuur en het beleid van jouw bedrijf of organisatie.” ➢ DPO = Data Protection Officer ➢ > 250 werknemers ➢ Of Publieke overheid ➢ Of verwerker van gevoelige informatie (cfr. Infra) ➢ Of regelmatig en stelselmatig observeren van betrokkenen op grote schaal ➢ Beschermd statuut : moet beschermd zijn om te kunnen werken en rechtstreeks rapporteren aan het management-comité ➢ Dit is een risico ! ➢ Volgt de verwerking en opslag van persoonsgegevens op. ➢ Rapporteert bij lekken ➢ Kan een extern persoon zijn ➢ Uitzondering maar maak iemand verantwoordelijk, noem hem gewoon geen DPO…
12. Internationaal ➢ Is je bedrijf internationaal actief dan val je onder de toezichtshouder van de hoofdvestiging. ➢ Pas ook op met het opslaan, exporteren van persoonsgegevens buiten de EU ➢ Maar: de grote cloudjongens zijn hier al oplossingen beginnen rond bouwen ➢ Microsoft ➢ Google
13. Bestaande contracten ➢ “Beoordeel je bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng tijdig de noodzakelijke veranderingen aan.” ➢ Herzie je overeenkomsten ➢ Dit geldt ook met je klanten ! ➢ Ga een goeie verwerkingsovereenkomst met duidelijke afspraken aan met je leveranciers. ➢ Belangrijk zijn meldingsplicht, SLA’s minimale veiligheidsvereisten, etc. ➢ Geen papieren tijgers ! Duidelijke afspraken.
Beveiligen van persoonsgegevens ➢ Totnogtoe heel theoretisch en vooral ook organisatorisch ➢ Veel ICT/security-bedrijven die je iets proberen te verkopen voor GDPR ➢ Waar moet je nu zelf op letten ? Wat moet je minimaal hebben ? ➢ Quid cloud ? ➢ Doel van vandaag is niet dat jullie experts worden op het vlak van antivirus, firewalls, etc. Wel dat jullie ICT en/of ICT partners kunnen aansturen.
Artikel 32 ( passende beveiliging) ➢ 1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: ➢ a. de pseudonimisering en versleuteling van persoonsgegevens; ➢ b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwer kingssystemen en diensten te garanderen: ➢ c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;- ➢ d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. ➢ 2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsri sico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. ➢ 3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsme chanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd. ➢ 4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierech telijk of lidstaatrechtelijk is gehouden.
Eenvoudiger Artikel 32 ➢ PASSENDE BEVEILIGING PERSOONSGEGEVENS VOORZIEN ➢ Passende technische en organisatorische maatregelen nemen, rekening houdend met de stand van de techniek, uitvoeringskosten, context,.… ➢ Rekening houden met verwerkingsrisico’s (vernietiging, verlies, ongeoorloofde toegang,...) ➢ Pseudonimersering en versleuteling ➢ Vertrouwelijkheid, beschikbaarheid, integriteit + veerkracht systemen waarborgen ➢ Herstel na incident (fysiek-technisch) ➢ Testen, beoordelen en evalueren maatregelen ➢ Aansluiten bij goedgekeurde gedragscodes ➢ Toegang persoonsgegevens altijd onder gezag verwerkingsverantwoordelijke ( data controller )
Wat is informatieveiligheid ?  Beschermen van informatie en informatiesystemen tegen :  Ongeautoriseerde toegang / gebruik / bekendmaking  Integriteit an die gegevens  Beschikbaarheid / verlies van gegevens of systemen  Kortom : Garanderen van CIA  Confidentiality  Integrity  Availibility
Moeilijk evenwicht Moeilijke (soms onmogelijke) balans tussen : – veiligheid – functionaliteit – gebruikersgemak – Budget
Datalekken voorkomen ➢ Definitie datalek (data breach) (GDPR art.4) “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”
Hoe kan je een datalek hebben? ➢ Nonchalance, pech. ➢ Vandaag de dag zijn allerlei cybercriminelen zeer sterk geïnteresseerd om binnen te geraken op de informaticasystemen van uw bedrijf en de data die ze daar kunnen terugvonden. ➢ Er zijn vele technieken en trucks om dit te doen. ➢ Dit is niet alleen het probleem van ICT omdat ze vaak binnengeraken via de gewone gebruiker ! ➢ Heeft meestal niet eens met moeilijke hackingtechnieken te maken maar is puur common sense !
Datalekken in cijfers
Gezond verstand Gezond verstand is zo zeldzaam dat het wel een superkracht lijkt. Mijn doel is dat jullie kunnen nadenken over de wetgeving en zijn consequenties ! Denk na !
Realisme Absolute veiligheid bestaat niet ! Vroeg of laat heb je een security probleem of een datalek met persoonsgegevens Niemand is onfeilbaar, tenzij de paus
Geen papieren tijgers !
Gebruik GDPR als opportuniteit ➢ Maak een plan ! ➢ Dura Lex sed Lex – 25 mei komt eraan ➢ Outsource het niet volledig, hou het in eigen handen ➢ zoek hulp voor de stukken die je niet begrijpt. ➢ 25 mei eindigt de wereld niet ➢ Maar steek uw kop niet in het zand ! ➢ Gebruik het als opportuniteit ➢ Om duidelijkheid en goeie afspraken te maken ➢ Om goed te communiceren met uw klanten ➢ Uw bedrijfsprocessen te verbeteren
Thank You Contact us 016/29.80.45 016/29.80.46 www.ba.be / Twitter: batweets Remy Toren Vaartdijk 3/501 B-3018 Wijgmaal info@ba.be Twitter: JanGuldentops http://be.linkedin.com/in/janguldentops/

Recommandé

Nieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieNieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieCopernica BV
 
Big data en privacy
Big data en privacyBig data en privacy
Big data en privacyFruytier Lawyers in Business
 
De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017HOlink
 
Privacy: de AVG voor decentrale overheden
Privacy: de AVG voor decentrale overhedenPrivacy: de AVG voor decentrale overheden
Privacy: de AVG voor decentrale overhedenAKD
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalBart Van Den Brande
 
Avg in de praktijk
Avg in de praktijkAvg in de praktijk
Avg in de praktijkJorgen Holzmann
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
20171005 e commerce conference
20171005 e commerce conference20171005 e commerce conference
20171005 e commerce conferenceBart Van Den Brande
 

Recommandé

Nieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieNieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieCopernica BV
 
Big data en privacy
Big data en privacyBig data en privacy
Big data en privacyFruytier Lawyers in Business
 
De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017HOlink
 
Privacy: de AVG voor decentrale overheden
Privacy: de AVG voor decentrale overhedenPrivacy: de AVG voor decentrale overheden
Privacy: de AVG voor decentrale overhedenAKD
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalBart Van Den Brande
 
Avg in de praktijk
Avg in de praktijkAvg in de praktijk
Avg in de praktijkJorgen Holzmann
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
20171005 e commerce conference
20171005 e commerce conference20171005 e commerce conference
20171005 e commerce conferenceBart Van Den Brande
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyB.A.
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareBart Van Den Brande
 
Kneppelhout
KneppelhoutKneppelhout
Kneppelhoutwebwinkelvakdag
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocatenBart Van Den Brande
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectorenBart Van Den Brande
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015Bart Van Den Brande
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenGemeente Zwijndrecht
 
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGEN
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGENHet beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGEN
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGENJeroen Oversteegen
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefRichard Claassens CIPPE
 
Workshop Juridische zaken en merkenrecht: Skoop advocaten
Workshop Juridische zaken en merkenrecht: Skoop advocatenWorkshop Juridische zaken en merkenrecht: Skoop advocaten
Workshop Juridische zaken en merkenrecht: Skoop advocatenMedia Perspectives
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Wilma van de Meerakker
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr complianceBart Van Den Brande
 
AVG - Stonefield
AVG - Stonefield AVG - Stonefield
AVG - Stonefield stonefield
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosSLBdiensten
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy Redactie ZiPconomy
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure
 
ASMC 2018 Sessie 1.5 Privacy onder de plint
ASMC 2018 Sessie 1.5 Privacy onder de plintASMC 2018 Sessie 1.5 Privacy onder de plint
ASMC 2018 Sessie 1.5 Privacy onder de plintPlatformSecurityManagement
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
GDPR. Et alors?
GDPR. Et alors?GDPR. Et alors?
GDPR. Et alors?Matthias Dobbelaere-Welvaert
 
GDPR for Nerders - OpenTechTalks Gent 2019
GDPR for Nerders - OpenTechTalks Gent 2019GDPR for Nerders - OpenTechTalks Gent 2019
GDPR for Nerders - OpenTechTalks Gent 2019Frank Louwers
 

Contenu connexe

Tendances

Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyB.A.
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareBart Van Den Brande
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocatenBart Van Den Brande
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectorenBart Van Den Brande
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenGemeente Zwijndrecht
 
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGEN
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGENHet beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGEN
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGENJeroen Oversteegen
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefRichard Claassens CIPPE
 
Workshop Juridische zaken en merkenrecht: Skoop advocaten
Workshop Juridische zaken en merkenrecht: Skoop advocatenWorkshop Juridische zaken en merkenrecht: Skoop advocaten
Workshop Juridische zaken en merkenrecht: Skoop advocatenMedia Perspectives
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Wilma van de Meerakker
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
 
AVG - Stonefield
AVG - Stonefield AVG - Stonefield
AVG - Stonefield stonefield
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosSLBdiensten
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure
 

Tendances (19)

Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacy
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
 
Kneppelhout
KneppelhoutKneppelhout
Kneppelhout
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingen
 
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGEN
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGENHet beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGEN
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGEN
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitief
 
Workshop Juridische zaken en merkenrecht: Skoop advocaten
Workshop Juridische zaken en merkenrecht: Skoop advocatenWorkshop Juridische zaken en merkenrecht: Skoop advocaten
Workshop Juridische zaken en merkenrecht: Skoop advocaten
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
 
AVG - Stonefield
AVG - Stonefield AVG - Stonefield
AVG - Stonefield
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door Sophos
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht Datalekken
 
ASMC 2018 Sessie 1.5 Privacy onder de plint
ASMC 2018 Sessie 1.5 Privacy onder de plintASMC 2018 Sessie 1.5 Privacy onder de plint
ASMC 2018 Sessie 1.5 Privacy onder de plint
 

Similaire à GDPR Revealed: EU privacy wetgeving in het juiste perspectief

USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
GDPR for Nerders - OpenTechTalks Gent 2019
GDPR for Nerders - OpenTechTalks Gent 2019GDPR for Nerders - OpenTechTalks Gent 2019
GDPR for Nerders - OpenTechTalks Gent 2019Frank Louwers
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoIkinnoveer
 
gdpr - avg algemene introductie voor marketeers
gdpr - avg algemene introductie voor marketeersgdpr - avg algemene introductie voor marketeers
gdpr - avg algemene introductie voor marketeersThe CMR Agency
 
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgGDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgBart Van Den Brande
 
Businessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRBusinessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRMarketing Team
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
 
20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketingBart Van Den Brande
 
IAB - The CMR Agency | gdpr introduction for marketeers
IAB - The CMR Agency | gdpr introduction for marketeers IAB - The CMR Agency | gdpr introduction for marketeers
IAB - The CMR Agency | gdpr introduction for marketeers The CMR Agency
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenMedia Perspectives
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
Digitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboeteDigitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboetevalantic NL
 
GDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRMGDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRMZinnovation
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
 

Similaire à GDPR Revealed: EU privacy wetgeving in het juiste perspectief (20)

USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
 
GDPR. Et alors?
GDPR. Et alors?GDPR. Et alors?
GDPR. Et alors?
 
GDPR for Nerders - OpenTechTalks Gent 2019
GDPR for Nerders - OpenTechTalks Gent 2019GDPR for Nerders - OpenTechTalks Gent 2019
GDPR for Nerders - OpenTechTalks Gent 2019
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
 
Gdpr
GdprGdpr
Gdpr
 
GDPR
GDPRGDPR
GDPR
 
gdpr - avg algemene introductie voor marketeers
gdpr - avg algemene introductie voor marketeersgdpr - avg algemene introductie voor marketeers
gdpr - avg algemene introductie voor marketeers
 
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgGDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
 
Businessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRBusinessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPR
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
 
20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing
 
IAB - The CMR Agency | gdpr introduction for marketeers
IAB - The CMR Agency | gdpr introduction for marketeers IAB - The CMR Agency | gdpr introduction for marketeers
IAB - The CMR Agency | gdpr introduction for marketeers
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman Advocaten
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
 
Digitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboeteDigitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboete
 
GDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRMGDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRM
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
 
Factsheet wbp
Factsheet wbpFactsheet wbp
Factsheet wbp
 

Plus de B.A.

GDPR one year in: Observations
GDPR one year in: ObservationsGDPR one year in: Observations
GDPR one year in: ObservationsB.A.
 
Multicloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuurMulticloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuurB.A.
 
Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ? Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ? B.A.
 
BC, DR & SLA's
BC, DR & SLA'sBC, DR & SLA's
BC, DR & SLA'sB.A.
 
Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...B.A.
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenB.A.
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenB.A.
 
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginnersBelgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginnersB.A.
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurB.A.
 
Business Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductieBusiness Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductieB.A.
 
Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learned Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learnedB.A.
 
Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )B.A.
 
Storage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveatsStorage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveatsB.A.
 
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesDe verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesB.A.
 
Random thoughts on security
Random thoughts on securityRandom thoughts on security
Random thoughts on securityB.A.
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceB.A.
 
Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source B.A.
 
Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"B.A.
 
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...B.A.
 
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014B.A.
 

Plus de B.A. (20)

GDPR one year in: Observations
GDPR one year in: ObservationsGDPR one year in: Observations
GDPR one year in: Observations
 
Multicloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuurMulticloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuur
 
Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ? Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ?
 
BC, DR & SLA's
BC, DR & SLA'sBC, DR & SLA's
BC, DR & SLA's
 
Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgraven
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
 
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginnersBelgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseur
 
Business Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductieBusiness Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductie
 
Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learned Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learned
 
Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )
 
Storage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveatsStorage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveats
 
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesDe verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
 
Random thoughts on security
Random thoughts on securityRandom thoughts on security
Random thoughts on security
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
 
Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source
 
Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"
 
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
 
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
 

GDPR Revealed: EU privacy wetgeving in het juiste perspectief

  • 1. GDPR REVEALED EU privacy wetgeving in het juiste perspectief Brussel, 14 maart 2018 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
  • 2. Wie ben ik ?  Jan Guldentops (°1973)  Dit jaar bouw ik 20 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging  Ben toevallig terechtgekomen in de securitywereld  Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline)  Plotseling ben je security expert  R&D (vooral security)  “Gecertificieerd” Data Protection Officer ( DPO )
  • 3. COMMON SENSE AS A SERVICE (CAAS)
  • 4. Wat is GDPR / AVG ➢ General Data Protection Resolution (GDPR) / Algemene verordening gegevensverwerking (AVG) / règlement général sur la protection des données ➢ Gaat enkel over bescherming van één specifiek type Data: Persoonsgegevens ➢ Geeft burger ook meer rechten ➢ Nieuwe EU wetgeving ➢ in voege sinds mei 2017 ➢ afdwingbaar vanaf 25 mei 2018 ➢ Grote (potentiële) boetes ! ➢ 4% globale revenue ➢ max € 20.000.000
  • 5.
  • 7. Zijn we klaar ? http://datanews.knack.be/ict/nieuws/de-grote-gdpr-enquete-belgische-bedrijven-dreigen-deadline -te-missen/article-longread-959299.html
  • 9.
  • 10. Waarom GDPR? (2)  “Verloren” persoonsgegevens  Open S3 bucket met massa’s klantengegevens ( id-kaarten, transportdocumenten, etc. )  Gegevens van 700.000 klanten ( geboortedatum, gsm, telefoonnummer, etc.)  Konden zelfs niet vertellen wat er aan de hand was!  Gegevens van 70.000.000 klanten  Exit security officer, CIO & CEO  19GB aan klantendata  Josh Duggar
  • 11. Privacy = “bescherming van de persoonlijke levenssfeer en daaraan gerelateerde (persoons)gegevens.”
  • 12. Niks nieuws onder de zon ➢ Bescherming van persoonsgegevens bestaat in België al sinds 1992 ( 25 jaar !) ➢ Strenger, duidelijker geworden ➢ Vooral toevoegen boeteclausules ➢ Informatieveiligheidsindustrie werkt al jaren volgens dezelfde principes ➢ ISO27000, Cobit, etc. ➢ Vereisten van GDPR zijn eigenlijk best practices ➢ Inventaris ➢ Nadenken over security ➢ Etc. ➢ Er is heel veel bangmakerij – Het nieuwe Y2K – Opportuniteit voor advocaten, IT-bedrijven en security-consultants en consultants – De wereld gaat niet vergaan op 25 mei 2018
  • 13. Doelstellingen van GDPR ➢ Persoonsgegevens beter beschermen ➢ Inventaris ➢ Degelijk register ➢ Goeie backups ➢ DPO ➢ Meldplicht bij datalekken ➢ Etc. ➢ Meer rechten aan de burgers geven ➢ Duidelijke afspraken ➢ Inzage- en verbeterrecht ➢ Right-to-be- forgotten ➢ Data-overdracht
  • 14. Persoonsgegevens ➢ Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon die rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden. Dus : ➢ de naam van een persoon ➢ een foto ➢ een telefoonnummer (zelfs een telefoonnummer op het werk) ➢ een code ➢ een bankrekeningnummer ➢ een e-mailadres ➢ een vingerafdruk of andere biometrische gegevens ➢ adressen ➢ leeftijd ➢ gezinssituatie ➢ nummerplaat ➢ Strafregister ➢ DNA ➢ Enz.
  • 15. Wat is informatie ? ➢ Een set gegevens die zodanig bijeen zijn gebracht en worden voorgesteld zodat er betekenis of waarde aan kan worden toegekend. ➢ Gestructureerd ➢ Logisch ➢ Betekenisvol ➢ Te gebruiken in een context ➢ Waarde ➢ Kan in vele vormen : ➢ Papier ( ook geschreven ) ➢ Electronisch ➢ Mondeling ➢ Fysieke media ➢ Kennis
  • 16.
  • 17. Terminologie: verwerking ➢ „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
  • 18. Terminologie: toestemming ➢ „toestemming” van de betrokkene:elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;
  • 19. Protagonisten ➢ Betrokkene ➢ Ook data subject genoemd ➢ Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; ➢ Ook data controller genoemd ➢ verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt ➢ Ook data processor genoemd ➢ derde : een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken; ➢ Ook third party genoemd
  • 20. Wie moet er aan de GDPR wetgeving voldoen ? ➢ GDPR geldt voor alle bedrijven en organisaties die : ➢ Gevestigd zijn in de EU ➢ Gevestigd zijn buiten de EU maar goederen en/of diensten leveren aan EU burgers ➢ Persoonlijke gegevens verzamelen of het gedrag van EU burgers monitoren ➢ DUS: ZO GOED ALS IEDEREEN
  • 21. Belangrijke bijkomende vraag ➢ Verwerkt u gevoelige informatie, dit wil zeggen informatie over : ➢ Ras ➢ Politieke opvattingen ➢ Religie ➢ Biometrische gegevens ➢ Genetische gegevens ➢ Gezondheid ➢ Seksuele geaardheid ➢ Strafrechterlijke vervolgingen ➢ Bent u een overheidsorganisatie ?
  • 23. 13 stappen ➢ Bewustmaking ➢ Dataregister ➢ Communicatie ➢ Rechten van de betrokkene ➢ Verzoek tot toegang ➢ Wettelijke grondslag verwerking persoonsgegevens ➢ Toestemming ➢ Kinderen ➢ Datalekken ➢ Privacy by design en PIA ➢ Functionaris voor gegevensverwerking (DPO ) ➢ Internationaal ➢ Bestaande contracten ➢ Stap 14 + Passende beveiliging
  • 24. 1. Bewustmaking ➢ “Informeer sleutelfiguren en beleidsmakers van de aankomende veranderingen. Zij moeten inschatten welke gevolgen de AVG zal hebben voor het bedrijf of de organisatie. “ ➢ Awareness doorheen het hele bedrijf : ➢ Top tot bodem ➢ “Vis rot van de kop” - nood aan een management-buyin ➢ Mensen zijn de zwakste schakel ➢ Ook voor de leveranciers ➢ Zeker doen : ➢ Geef bijvoorbeeld een awareness training ➢ Moet geregeld op de management agenda komen ➢ Controleer je leveranciers, maak goeie afspraken ➢ Maar : ➢ kijk ook verder dan GDPR. ➢ Zijn er nog andere wettelijke vereisten ? Afspraken met klanten ? ➢ Verkoop het als een opportuniteit, niet als een verplicht nummer !
  • 25. 2. Dataregister ➢ “ Breng in kaart welke persoonsgegevens je bijhoudt, waar deze vandaan komen en met wie je deze hebt gedeeld. Registreer je verwerkingen. Mogelijks dien je hiervoor een informatie-audit te organiseren” ➢ Welke persoonsgegevens hou je bij en waar komen deze vandaan ? ➢ Waar worden deze allemaal gebruikt en verwerkt ? ➢ Waar worden ze opgeslagen ( toestel, plaats, applicatie) ➢ Deel je ze met andere partijen ? ➢ Zijn ze versleuteld ? ➢ Informatie-audit ➢ Moet voor alle verwerkingen die niet-incidentieel zijn ➢ Geldt voor verantwoordelijke ( controllers ) als verwerkers ( processors ) ➢ Belangrijk : ➢ Documentatie ( een dataregister ) • Er is geen vast model voor het register, zolang het schriftelijk, electronisch en begrijpelijk is... ➢ Hoeft geen applicatie te zijn, kan bijvoorbeeld ook een rekenblad zijn. ➢ Vb. Unizo ➢ Vervangt aangifte die je vroeger bij de privacycommissie moest doen. ➢ Wat men wil bereiken is accountability ! • Verantwoordingsplicht
  • 26. 3. Communicatie van privacy informatie ➢ Duidelijk en transparant communiceren over : ➢ Wat de wettelijke basis is voor het verwerken van de gegevens ➢ Hoe lang je de gegevens gaat bijhouden ( data retentie ) ➢ En vermelden wat de rechten van het individu ( data subject of burger) zijn. ➢ Nadruk op duidelijk en transparant ➢ Moet duidelijk in de privacy policy op je website staan, privacy notice bij verwerking en je verkoopsvoorwaarden. ➢ Verschil rechtstreekse / onrechtstreekse inzameling
  • 27. 4. Rechten van de betrokkene (aka data subject of individu) ➢ Recht van informatie ➢ Recht van inzage ➢ Recht van correctie ➢ Recht van verwijdering ( right-to-be-forgotten) ➢ Recht op beperking ➢ Recht op overdraagbaarheid van gegevens ➢ Recht op bezwaar ➢ Geautomatiseerde besluitvorming / profilering
  • 28. 5. Verzoek tot toegang ➢ “Update je bestaande toegangsprocedures en bedenk hoe je verzoeken tot toegang voortaan zal behandelen onder de nieuwe termijnen in de AVG.” ➢ Wettelijk moet je kostenloos en binnen de 30 dagen kunnen reageren op de vragen van de betrokkenen ➢ Kan enkel als je hier klaar voor bent ➢ Nood aan : ➢ Data register ➢ Procedures ➢ Automatisering ? Webformulier ? Etc.
  • 29. 6. Wettelijke grondslag verwerking persoonsgegevens ➢ Toestemming van de betrokken persoon. ➢ De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. ➢ De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. ➢ Bv bevel van politie, belastingen,BTW,etc. ➢ Maar: verantwoordingsplicht ➢ De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. – essentieel is voor iemands leven of gezondheid ➢ De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. ➢ Vervulling van een openbare taak ➢ De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. – Maar hou rekening met proportionaliteit en subsidiariteit • Dus: noodzakelijk zijn en in verhouding tot het doel !
  • 30. 7. Toestemming ➢ Evalueer de wijze waarop je toestemming vraagt, verkrijgt en registreert, en wijzig waar nodig. ➢ Als je geen wettelijke basis hebt voor verwerking moet je toestemming / consent vragen aan het individu ➢ Moeilijkheid / opportuniteit ➢ Transparant en eenduidig ➢ Bewijslast ligt bij jou ! ( dus moet bewaard worden) ➢ Opt-in ipv opt-out ➢ Expliciete toestemming
  • 31. 8. Kinderen ➢ “Ontwikkel systemen die de leeftijd van de betrokkene nagaan en ouder(s) of voogd(en) expliciet om toestemming vragen voor de gegevensverwerking van minderjarige kinderen. “ ➢ Je mag geen gegevens van kinderen verwerken zonder toestemming van de ouders/voogd. ➢ Dus controleer je de leeftijd van individuen ➢ Heb je een procedure om ouders / voogd toestemming te vragen ? ➢ Staat er in je privacy policy een leeftijdsbeperking ? ➢ Is die begrijpbaar voor kinderen ?
  • 32. 9. Datalekken ➢ Voorzie adequate procedures om persoonlijke datalekken op te sporen, te rapporteren en te onderzoeken. ➢ Niet enkel om ze op te sporen, ook om ze te voorkomen. Er zijn immers minimale veiligheidsvereisten ! ( hebben we het volgende keer over ) ➢ Zowel qua business continuity ( Backups en zo) als veiligheid ! ➢ Maar je moet ze opsporen en rapporteren ➢ Logging, rapporting ➢ Register van lekken en problemen ! ➢ En als er data gelekt of verloren gegaan is, moet dit gemeld worden binnen de 72 uur aan het individu en de regulator ! ➢ Niet eenvoudig ➢ Zorg dat de procedures en de communicatie klaar ligt !
  • 33. 10. Privacy by Design / PIA ➢ “Maak je vertrouwd met de begrippen “gegevensbescherming door ontwerp” en “gegevensbeschermingseffectbeoordeling” en ga na hoe je deze concepten in de werking van jouw bedrijf of organisatie kan implementeren. ➢ Bij alles wat je doet hou je vanaf het eerste moment rekening met privacy en security. ➢ Belangrijk hierbij is ook privacy by default ➢ Analyseren wat de privacy-risico’s van een project, procedure, stuk software of iets anders is, heet een privacy impact assessment.
  • 34. 11. DPO ➢ “Duid, indien nodig, een functionaris voor gegevensbescherming aan, of iemand die de verantwoordelijkheid draagt voor het naleven van de databeschermingsregels. Beoordeel welke plaats deze inneemt binnen de structuur en het beleid van jouw bedrijf of organisatie.” ➢ DPO = Data Protection Officer ➢ > 250 werknemers ➢ Of Publieke overheid ➢ Of verwerker van gevoelige informatie (cfr. Infra) ➢ Of regelmatig en stelselmatig observeren van betrokkenen op grote schaal ➢ Beschermd statuut : moet beschermd zijn om te kunnen werken en rechtstreeks rapporteren aan het management-comité ➢ Dit is een risico ! ➢ Volgt de verwerking en opslag van persoonsgegevens op. ➢ Rapporteert bij lekken ➢ Kan een extern persoon zijn ➢ Uitzondering maar maak iemand verantwoordelijk, noem hem gewoon geen DPO…
  • 35. 12. Internationaal ➢ Is je bedrijf internationaal actief dan val je onder de toezichtshouder van de hoofdvestiging. ➢ Pas ook op met het opslaan, exporteren van persoonsgegevens buiten de EU ➢ Maar: de grote cloudjongens zijn hier al oplossingen beginnen rond bouwen ➢ Microsoft ➢ Google
  • 36. 13. Bestaande contracten ➢ “Beoordeel je bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng tijdig de noodzakelijke veranderingen aan.” ➢ Herzie je overeenkomsten ➢ Dit geldt ook met je klanten ! ➢ Ga een goeie verwerkingsovereenkomst met duidelijke afspraken aan met je leveranciers. ➢ Belangrijk zijn meldingsplicht, SLA’s minimale veiligheidsvereisten, etc. ➢ Geen papieren tijgers ! Duidelijke afspraken.
  • 37. Beveiligen van persoonsgegevens ➢ Totnogtoe heel theoretisch en vooral ook organisatorisch ➢ Veel ICT/security-bedrijven die je iets proberen te verkopen voor GDPR ➢ Waar moet je nu zelf op letten ? Wat moet je minimaal hebben ? ➢ Quid cloud ? ➢ Doel van vandaag is niet dat jullie experts worden op het vlak van antivirus, firewalls, etc. Wel dat jullie ICT en/of ICT partners kunnen aansturen.
  • 38. Artikel 32 ( passende beveiliging) ➢ 1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: ➢ a. de pseudonimisering en versleuteling van persoonsgegevens; ➢ b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwer kingssystemen en diensten te garanderen: ➢ c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;- ➢ d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. ➢ 2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsri sico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. ➢ 3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsme chanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd. ➢ 4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierech telijk of lidstaatrechtelijk is gehouden.
  • 39. Eenvoudiger Artikel 32 ➢ PASSENDE BEVEILIGING PERSOONSGEGEVENS VOORZIEN ➢ Passende technische en organisatorische maatregelen nemen, rekening houdend met de stand van de techniek, uitvoeringskosten, context,.… ➢ Rekening houden met verwerkingsrisico’s (vernietiging, verlies, ongeoorloofde toegang,...) ➢ Pseudonimersering en versleuteling ➢ Vertrouwelijkheid, beschikbaarheid, integriteit + veerkracht systemen waarborgen ➢ Herstel na incident (fysiek-technisch) ➢ Testen, beoordelen en evalueren maatregelen ➢ Aansluiten bij goedgekeurde gedragscodes ➢ Toegang persoonsgegevens altijd onder gezag verwerkingsverantwoordelijke ( data controller )
  • 40. Wat is informatieveiligheid ?  Beschermen van informatie en informatiesystemen tegen :  Ongeautoriseerde toegang / gebruik / bekendmaking  Integriteit an die gegevens  Beschikbaarheid / verlies van gegevens of systemen  Kortom : Garanderen van CIA  Confidentiality  Integrity  Availibility
  • 41. Moeilijk evenwicht Moeilijke (soms onmogelijke) balans tussen : – veiligheid – functionaliteit – gebruikersgemak – Budget
  • 42. Datalekken voorkomen ➢ Definitie datalek (data breach) (GDPR art.4) “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”
  • 43. Hoe kan je een datalek hebben? ➢ Nonchalance, pech. ➢ Vandaag de dag zijn allerlei cybercriminelen zeer sterk geïnteresseerd om binnen te geraken op de informaticasystemen van uw bedrijf en de data die ze daar kunnen terugvonden. ➢ Er zijn vele technieken en trucks om dit te doen. ➢ Dit is niet alleen het probleem van ICT omdat ze vaak binnengeraken via de gewone gebruiker ! ➢ Heeft meestal niet eens met moeilijke hackingtechnieken te maken maar is puur common sense !
  • 45. Gezond verstand Gezond verstand is zo zeldzaam dat het wel een superkracht lijkt. Mijn doel is dat jullie kunnen nadenken over de wetgeving en zijn consequenties ! Denk na !
  • 46. Realisme Absolute veiligheid bestaat niet ! Vroeg of laat heb je een security probleem of een datalek met persoonsgegevens Niemand is onfeilbaar, tenzij de paus
  • 48. Gebruik GDPR als opportuniteit ➢ Maak een plan ! ➢ Dura Lex sed Lex – 25 mei komt eraan ➢ Outsource het niet volledig, hou het in eigen handen ➢ zoek hulp voor de stukken die je niet begrijpt. ➢ 25 mei eindigt de wereld niet ➢ Maar steek uw kop niet in het zand ! ➢ Gebruik het als opportuniteit ➢ Om duidelijkheid en goeie afspraken te maken ➢ Om goed te communiceren met uw klanten ➢ Uw bedrijfsprocessen te verbeteren
  • 49. Thank You Contact us 016/29.80.45 016/29.80.46 www.ba.be / Twitter: batweets Remy Toren Vaartdijk 3/501 B-3018 Wijgmaal info@ba.be Twitter: JanGuldentops http://be.linkedin.com/in/janguldentops/