Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
GDPR REVEALED
EU privacy wetgeving in het juiste perspectief
Brussel, 14 maart 2018
Jan Guldentops ( j@ba.be )
BA N.V. ( h...
Wie ben ik ?
 Jan Guldentops (°1973)
 Dit jaar bouw ik 20 jaar server en netwerk infrastructuren
 Oprichter Better Acce...
COMMON SENSE
AS A SERVICE
(CAAS)
Wat is GDPR / AVG
➢
General Data Protection Resolution
(GDPR) / Algemene verordening
gegevensverwerking (AVG) / règlement
...
Magische oplossingen
Zijn we klaar ?
http://datanews.knack.be/ict/nieuws/de-grote-gdpr-enquete-belgische-bedrijven-dreigen-deadline
-te-missen/...
Waarom GDPR ?
Waarom GDPR? (2)
 “Verloren” persoonsgegevens
 Open S3 bucket met massa’s klantengegevens ( id-kaarten,
transportdocumen...
Privacy
= “bescherming van de persoonlijke levenssfeer
en daaraan gerelateerde (persoons)gegevens.”
Niks nieuws onder de zon
➢
Bescherming van persoonsgegevens bestaat in België al sinds 1992 ( 25 jaar !)
➢
Strenger, duide...
Doelstellingen van GDPR
➢
Persoonsgegevens
beter beschermen
➢
Inventaris
➢
Degelijk register
➢
Goeie backups
➢
DPO
➢
Meldp...
Persoonsgegevens
➢
Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon die
rechtstreeks of onrechtstr...
Wat is informatie ?
➢
Een set gegevens die zodanig bijeen zijn gebracht en worden voorgesteld
zodat er betekenis of waarde...
Terminologie: verwerking
➢
„verwerking”: een bewerking of een geheel van
bewerkingen met betrekking tot persoonsgegevens
o...
Terminologie: toestemming
➢
„toestemming” van de betrokkene:elke vrije,
specifieke, geïnformeerde en ondubbelzinnige
wilsu...
Protagonisten
➢
Betrokkene
➢
Ook data subject genoemd
➢
Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtsper...
Wie moet er aan de GDPR
wetgeving voldoen ?
➢
GDPR geldt voor alle bedrijven en organisaties die :
➢
Gevestigd zijn in de ...
Belangrijke bijkomende vraag
➢
Verwerkt u gevoelige informatie, dit wil zeggen informatie over :
➢
Ras
➢
Politieke opvatti...
Eenvoudig stappenplan
➢
Privacycomissie :
➢
https://www.privac
ycommission.be/si
tes/privacycommis
sion/files/docume
nts/S...
13 stappen
➢
Bewustmaking
➢
Dataregister
➢
Communicatie
➢
Rechten van de
betrokkene
➢
Verzoek tot toegang
➢
Wettelijke gro...
1. Bewustmaking
➢
“Informeer sleutelfiguren en beleidsmakers van de aankomende veranderingen. Zij
moeten inschatten welke ...
2. Dataregister
➢
“ Breng in kaart welke persoonsgegevens je bijhoudt, waar deze vandaan komen en met wie je deze hebt
ged...
3. Communicatie van privacy
informatie
➢
Duidelijk en transparant communiceren over :
➢
Wat de wettelijke basis is voor he...
4. Rechten van de betrokkene
(aka data subject of individu)
➢
Recht van informatie
➢
Recht van inzage
➢
Recht van correcti...
5. Verzoek tot toegang
➢
“Update je bestaande toegangsprocedures en bedenk
hoe je verzoeken tot toegang voortaan zal behan...
6. Wettelijke grondslag
verwerking persoonsgegevens
➢
Toestemming van de betrokken persoon.
➢
De gegevensverwerking is noo...
7. Toestemming
➢
Evalueer de wijze waarop je toestemming vraagt,
verkrijgt en registreert, en wijzig waar nodig.
➢
Als je ...
8. Kinderen
➢
“Ontwikkel systemen die de leeftijd van de betrokkene
nagaan en ouder(s) of voogd(en) expliciet om toestemmi...
9. Datalekken
➢
Voorzie adequate procedures om persoonlijke datalekken op te
sporen, te rapporteren en te onderzoeken.
➢
N...
10. Privacy by Design / PIA
➢
“Maak je vertrouwd met de begrippen
“gegevensbescherming door ontwerp” en
“gegevensbeschermi...
11. DPO
➢
“Duid, indien nodig, een functionaris voor gegevensbescherming aan, of iemand die de
verantwoordelijkheid draagt...
12. Internationaal
➢
Is je bedrijf internationaal actief dan val je
onder de toezichtshouder van de
hoofdvestiging.
➢
Pas ...
13. Bestaande contracten
➢
“Beoordeel je bestaande contracten, hoofdzakelijk met
verwerkers en onderaannemers, en breng ti...
Beveiligen van
persoonsgegevens
➢
Totnogtoe heel theoretisch en
vooral ook organisatorisch
➢
Veel ICT/security-bedrijven d...
Artikel 32 ( passende beveiliging)
➢
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de...
Eenvoudiger Artikel 32
➢
PASSENDE BEVEILIGING PERSOONSGEGEVENS VOORZIEN
➢
Passende technische en organisatorische maatrege...
Wat is informatieveiligheid ?

Beschermen van informatie en informatiesystemen tegen :

Ongeautoriseerde toegang / gebru...
Moeilijk evenwicht
Moeilijke (soms onmogelijke) balans tussen :
– veiligheid
– functionaliteit
– gebruikersgemak
– Budget
Datalekken voorkomen
➢
Definitie datalek (data breach) (GDPR art.4)
“een inbreuk op de beveiliging die per ongeluk
of op o...
Hoe kan je een datalek hebben?
➢
Nonchalance, pech.
➢
Vandaag de dag zijn allerlei cybercriminelen zeer sterk
geïnteressee...
Datalekken in cijfers
Gezond verstand
Gezond verstand is zo
zeldzaam dat het wel
een superkracht lijkt.
Mijn doel is dat jullie
kunnen nadenken
...
Realisme
Absolute veiligheid
bestaat niet !
Vroeg of laat heb je
een security probleem
of een datalek met
persoonsgegevens...
Geen papieren tijgers !
Gebruik GDPR als opportuniteit
➢
Maak een plan !
➢
Dura Lex sed Lex – 25 mei komt eraan
➢
Outsource het niet volledig, hou...
Thank You
Contact us
016/29.80.45
016/29.80.46
www.ba.be / Twitter: batweets
Remy Toren
Vaartdijk 3/501
B-3018 Wijgmaal
in...
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
Upcoming SlideShare
Loading in …5
×

of

GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 1 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 2 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 3 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 4 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 5 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 6 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 7 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 8 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 9 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 10 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 11 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 12 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 13 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 14 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 15 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 16 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 17 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 18 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 19 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 20 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 21 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 22 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 23 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 24 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 25 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 26 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 27 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 28 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 29 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 30 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 31 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 32 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 33 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 34 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 35 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 36 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 37 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 38 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 39 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 40 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 41 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 42 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 43 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 44 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 45 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 46 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 47 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 48 GDPR Revealed: EU privacy wetgeving in het juiste perspectief Slide 49
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

1 Like

Share

Download to read offline

GDPR Revealed: EU privacy wetgeving in het juiste perspectief

Download to read offline

Korte presentatie @ infosecurity 2018 beurs, 14 maart 2018 in de Brussels Expo. De organisatie vroeg me om in te vallen voor de oorspronkelijke spreker Eddy Vanderstock. Poging om op een bevattelijke manier met mijn beperkte kennis GDPR praktisch te duiden.

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

GDPR Revealed: EU privacy wetgeving in het juiste perspectief

  1. 1. GDPR REVEALED EU privacy wetgeving in het juiste perspectief Brussel, 14 maart 2018 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
  2. 2. Wie ben ik ?  Jan Guldentops (°1973)  Dit jaar bouw ik 20 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging  Ben toevallig terechtgekomen in de securitywereld  Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline)  Plotseling ben je security expert  R&D (vooral security)  “Gecertificieerd” Data Protection Officer ( DPO )
  3. 3. COMMON SENSE AS A SERVICE (CAAS)
  4. 4. Wat is GDPR / AVG ➢ General Data Protection Resolution (GDPR) / Algemene verordening gegevensverwerking (AVG) / règlement général sur la protection des données ➢ Gaat enkel over bescherming van één specifiek type Data: Persoonsgegevens ➢ Geeft burger ook meer rechten ➢ Nieuwe EU wetgeving ➢ in voege sinds mei 2017 ➢ afdwingbaar vanaf 25 mei 2018 ➢ Grote (potentiële) boetes ! ➢ 4% globale revenue ➢ max € 20.000.000
  5. 5. Magische oplossingen
  6. 6. Zijn we klaar ? http://datanews.knack.be/ict/nieuws/de-grote-gdpr-enquete-belgische-bedrijven-dreigen-deadline -te-missen/article-longread-959299.html
  7. 7. Waarom GDPR ?
  8. 8. Waarom GDPR? (2)  “Verloren” persoonsgegevens  Open S3 bucket met massa’s klantengegevens ( id-kaarten, transportdocumenten, etc. )  Gegevens van 700.000 klanten ( geboortedatum, gsm, telefoonnummer, etc.)  Konden zelfs niet vertellen wat er aan de hand was!  Gegevens van 70.000.000 klanten  Exit security officer, CIO & CEO  19GB aan klantendata  Josh Duggar
  9. 9. Privacy = “bescherming van de persoonlijke levenssfeer en daaraan gerelateerde (persoons)gegevens.”
  10. 10. Niks nieuws onder de zon ➢ Bescherming van persoonsgegevens bestaat in België al sinds 1992 ( 25 jaar !) ➢ Strenger, duidelijker geworden ➢ Vooral toevoegen boeteclausules ➢ Informatieveiligheidsindustrie werkt al jaren volgens dezelfde principes ➢ ISO27000, Cobit, etc. ➢ Vereisten van GDPR zijn eigenlijk best practices ➢ Inventaris ➢ Nadenken over security ➢ Etc. ➢ Er is heel veel bangmakerij – Het nieuwe Y2K – Opportuniteit voor advocaten, IT-bedrijven en security-consultants en consultants – De wereld gaat niet vergaan op 25 mei 2018
  11. 11. Doelstellingen van GDPR ➢ Persoonsgegevens beter beschermen ➢ Inventaris ➢ Degelijk register ➢ Goeie backups ➢ DPO ➢ Meldplicht bij datalekken ➢ Etc. ➢ Meer rechten aan de burgers geven ➢ Duidelijke afspraken ➢ Inzage- en verbeterrecht ➢ Right-to-be- forgotten ➢ Data-overdracht
  12. 12. Persoonsgegevens ➢ Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon die rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden. Dus : ➢ de naam van een persoon ➢ een foto ➢ een telefoonnummer (zelfs een telefoonnummer op het werk) ➢ een code ➢ een bankrekeningnummer ➢ een e-mailadres ➢ een vingerafdruk of andere biometrische gegevens ➢ adressen ➢ leeftijd ➢ gezinssituatie ➢ nummerplaat ➢ Strafregister ➢ DNA ➢ Enz.
  13. 13. Wat is informatie ? ➢ Een set gegevens die zodanig bijeen zijn gebracht en worden voorgesteld zodat er betekenis of waarde aan kan worden toegekend. ➢ Gestructureerd ➢ Logisch ➢ Betekenisvol ➢ Te gebruiken in een context ➢ Waarde ➢ Kan in vele vormen : ➢ Papier ( ook geschreven ) ➢ Electronisch ➢ Mondeling ➢ Fysieke media ➢ Kennis
  14. 14. Terminologie: verwerking ➢ „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
  15. 15. Terminologie: toestemming ➢ „toestemming” van de betrokkene:elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;
  16. 16. Protagonisten ➢ Betrokkene ➢ Ook data subject genoemd ➢ Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; ➢ Ook data controller genoemd ➢ verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt ➢ Ook data processor genoemd ➢ derde : een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken; ➢ Ook third party genoemd
  17. 17. Wie moet er aan de GDPR wetgeving voldoen ? ➢ GDPR geldt voor alle bedrijven en organisaties die : ➢ Gevestigd zijn in de EU ➢ Gevestigd zijn buiten de EU maar goederen en/of diensten leveren aan EU burgers ➢ Persoonlijke gegevens verzamelen of het gedrag van EU burgers monitoren ➢ DUS: ZO GOED ALS IEDEREEN
  18. 18. Belangrijke bijkomende vraag ➢ Verwerkt u gevoelige informatie, dit wil zeggen informatie over : ➢ Ras ➢ Politieke opvattingen ➢ Religie ➢ Biometrische gegevens ➢ Genetische gegevens ➢ Gezondheid ➢ Seksuele geaardheid ➢ Strafrechterlijke vervolgingen ➢ Bent u een overheidsorganisatie ?
  19. 19. Eenvoudig stappenplan ➢ Privacycomissie : ➢ https://www.privac ycommission.be/si tes/privacycommis sion/files/docume nts/STAPPENPLA N%20NL%20- %20V2.pdf
  20. 20. 13 stappen ➢ Bewustmaking ➢ Dataregister ➢ Communicatie ➢ Rechten van de betrokkene ➢ Verzoek tot toegang ➢ Wettelijke grondslag verwerking persoonsgegevens ➢ Toestemming ➢ Kinderen ➢ Datalekken ➢ Privacy by design en PIA ➢ Functionaris voor gegevensverwerking (DPO ) ➢ Internationaal ➢ Bestaande contracten ➢ Stap 14 + Passende beveiliging
  21. 21. 1. Bewustmaking ➢ “Informeer sleutelfiguren en beleidsmakers van de aankomende veranderingen. Zij moeten inschatten welke gevolgen de AVG zal hebben voor het bedrijf of de organisatie. “ ➢ Awareness doorheen het hele bedrijf : ➢ Top tot bodem ➢ “Vis rot van de kop” - nood aan een management-buyin ➢ Mensen zijn de zwakste schakel ➢ Ook voor de leveranciers ➢ Zeker doen : ➢ Geef bijvoorbeeld een awareness training ➢ Moet geregeld op de management agenda komen ➢ Controleer je leveranciers, maak goeie afspraken ➢ Maar : ➢ kijk ook verder dan GDPR. ➢ Zijn er nog andere wettelijke vereisten ? Afspraken met klanten ? ➢ Verkoop het als een opportuniteit, niet als een verplicht nummer !
  22. 22. 2. Dataregister ➢ “ Breng in kaart welke persoonsgegevens je bijhoudt, waar deze vandaan komen en met wie je deze hebt gedeeld. Registreer je verwerkingen. Mogelijks dien je hiervoor een informatie-audit te organiseren” ➢ Welke persoonsgegevens hou je bij en waar komen deze vandaan ? ➢ Waar worden deze allemaal gebruikt en verwerkt ? ➢ Waar worden ze opgeslagen ( toestel, plaats, applicatie) ➢ Deel je ze met andere partijen ? ➢ Zijn ze versleuteld ? ➢ Informatie-audit ➢ Moet voor alle verwerkingen die niet-incidentieel zijn ➢ Geldt voor verantwoordelijke ( controllers ) als verwerkers ( processors ) ➢ Belangrijk : ➢ Documentatie ( een dataregister ) • Er is geen vast model voor het register, zolang het schriftelijk, electronisch en begrijpelijk is... ➢ Hoeft geen applicatie te zijn, kan bijvoorbeeld ook een rekenblad zijn. ➢ Vb. Unizo ➢ Vervangt aangifte die je vroeger bij de privacycommissie moest doen. ➢ Wat men wil bereiken is accountability ! • Verantwoordingsplicht
  23. 23. 3. Communicatie van privacy informatie ➢ Duidelijk en transparant communiceren over : ➢ Wat de wettelijke basis is voor het verwerken van de gegevens ➢ Hoe lang je de gegevens gaat bijhouden ( data retentie ) ➢ En vermelden wat de rechten van het individu ( data subject of burger) zijn. ➢ Nadruk op duidelijk en transparant ➢ Moet duidelijk in de privacy policy op je website staan, privacy notice bij verwerking en je verkoopsvoorwaarden. ➢ Verschil rechtstreekse / onrechtstreekse inzameling
  24. 24. 4. Rechten van de betrokkene (aka data subject of individu) ➢ Recht van informatie ➢ Recht van inzage ➢ Recht van correctie ➢ Recht van verwijdering ( right-to-be-forgotten) ➢ Recht op beperking ➢ Recht op overdraagbaarheid van gegevens ➢ Recht op bezwaar ➢ Geautomatiseerde besluitvorming / profilering
  25. 25. 5. Verzoek tot toegang ➢ “Update je bestaande toegangsprocedures en bedenk hoe je verzoeken tot toegang voortaan zal behandelen onder de nieuwe termijnen in de AVG.” ➢ Wettelijk moet je kostenloos en binnen de 30 dagen kunnen reageren op de vragen van de betrokkenen ➢ Kan enkel als je hier klaar voor bent ➢ Nood aan : ➢ Data register ➢ Procedures ➢ Automatisering ? Webformulier ? Etc.
  26. 26. 6. Wettelijke grondslag verwerking persoonsgegevens ➢ Toestemming van de betrokken persoon. ➢ De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. ➢ De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. ➢ Bv bevel van politie, belastingen,BTW,etc. ➢ Maar: verantwoordingsplicht ➢ De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. – essentieel is voor iemands leven of gezondheid ➢ De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. ➢ Vervulling van een openbare taak ➢ De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. – Maar hou rekening met proportionaliteit en subsidiariteit • Dus: noodzakelijk zijn en in verhouding tot het doel !
  27. 27. 7. Toestemming ➢ Evalueer de wijze waarop je toestemming vraagt, verkrijgt en registreert, en wijzig waar nodig. ➢ Als je geen wettelijke basis hebt voor verwerking moet je toestemming / consent vragen aan het individu ➢ Moeilijkheid / opportuniteit ➢ Transparant en eenduidig ➢ Bewijslast ligt bij jou ! ( dus moet bewaard worden) ➢ Opt-in ipv opt-out ➢ Expliciete toestemming
  28. 28. 8. Kinderen ➢ “Ontwikkel systemen die de leeftijd van de betrokkene nagaan en ouder(s) of voogd(en) expliciet om toestemming vragen voor de gegevensverwerking van minderjarige kinderen. “ ➢ Je mag geen gegevens van kinderen verwerken zonder toestemming van de ouders/voogd. ➢ Dus controleer je de leeftijd van individuen ➢ Heb je een procedure om ouders / voogd toestemming te vragen ? ➢ Staat er in je privacy policy een leeftijdsbeperking ? ➢ Is die begrijpbaar voor kinderen ?
  29. 29. 9. Datalekken ➢ Voorzie adequate procedures om persoonlijke datalekken op te sporen, te rapporteren en te onderzoeken. ➢ Niet enkel om ze op te sporen, ook om ze te voorkomen. Er zijn immers minimale veiligheidsvereisten ! ( hebben we het volgende keer over ) ➢ Zowel qua business continuity ( Backups en zo) als veiligheid ! ➢ Maar je moet ze opsporen en rapporteren ➢ Logging, rapporting ➢ Register van lekken en problemen ! ➢ En als er data gelekt of verloren gegaan is, moet dit gemeld worden binnen de 72 uur aan het individu en de regulator ! ➢ Niet eenvoudig ➢ Zorg dat de procedures en de communicatie klaar ligt !
  30. 30. 10. Privacy by Design / PIA ➢ “Maak je vertrouwd met de begrippen “gegevensbescherming door ontwerp” en “gegevensbeschermingseffectbeoordeling” en ga na hoe je deze concepten in de werking van jouw bedrijf of organisatie kan implementeren. ➢ Bij alles wat je doet hou je vanaf het eerste moment rekening met privacy en security. ➢ Belangrijk hierbij is ook privacy by default ➢ Analyseren wat de privacy-risico’s van een project, procedure, stuk software of iets anders is, heet een privacy impact assessment.
  31. 31. 11. DPO ➢ “Duid, indien nodig, een functionaris voor gegevensbescherming aan, of iemand die de verantwoordelijkheid draagt voor het naleven van de databeschermingsregels. Beoordeel welke plaats deze inneemt binnen de structuur en het beleid van jouw bedrijf of organisatie.” ➢ DPO = Data Protection Officer ➢ > 250 werknemers ➢ Of Publieke overheid ➢ Of verwerker van gevoelige informatie (cfr. Infra) ➢ Of regelmatig en stelselmatig observeren van betrokkenen op grote schaal ➢ Beschermd statuut : moet beschermd zijn om te kunnen werken en rechtstreeks rapporteren aan het management-comité ➢ Dit is een risico ! ➢ Volgt de verwerking en opslag van persoonsgegevens op. ➢ Rapporteert bij lekken ➢ Kan een extern persoon zijn ➢ Uitzondering maar maak iemand verantwoordelijk, noem hem gewoon geen DPO…
  32. 32. 12. Internationaal ➢ Is je bedrijf internationaal actief dan val je onder de toezichtshouder van de hoofdvestiging. ➢ Pas ook op met het opslaan, exporteren van persoonsgegevens buiten de EU ➢ Maar: de grote cloudjongens zijn hier al oplossingen beginnen rond bouwen ➢ Microsoft ➢ Google
  33. 33. 13. Bestaande contracten ➢ “Beoordeel je bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng tijdig de noodzakelijke veranderingen aan.” ➢ Herzie je overeenkomsten ➢ Dit geldt ook met je klanten ! ➢ Ga een goeie verwerkingsovereenkomst met duidelijke afspraken aan met je leveranciers. ➢ Belangrijk zijn meldingsplicht, SLA’s minimale veiligheidsvereisten, etc. ➢ Geen papieren tijgers ! Duidelijke afspraken.
  34. 34. Beveiligen van persoonsgegevens ➢ Totnogtoe heel theoretisch en vooral ook organisatorisch ➢ Veel ICT/security-bedrijven die je iets proberen te verkopen voor GDPR ➢ Waar moet je nu zelf op letten ? Wat moet je minimaal hebben ? ➢ Quid cloud ? ➢ Doel van vandaag is niet dat jullie experts worden op het vlak van antivirus, firewalls, etc. Wel dat jullie ICT en/of ICT partners kunnen aansturen.
  35. 35. Artikel 32 ( passende beveiliging) ➢ 1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: ➢ a. de pseudonimisering en versleuteling van persoonsgegevens; ➢ b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwer kingssystemen en diensten te garanderen: ➢ c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;- ➢ d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. ➢ 2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsri sico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. ➢ 3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsme chanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd. ➢ 4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierech telijk of lidstaatrechtelijk is gehouden.
  36. 36. Eenvoudiger Artikel 32 ➢ PASSENDE BEVEILIGING PERSOONSGEGEVENS VOORZIEN ➢ Passende technische en organisatorische maatregelen nemen, rekening houdend met de stand van de techniek, uitvoeringskosten, context,.… ➢ Rekening houden met verwerkingsrisico’s (vernietiging, verlies, ongeoorloofde toegang,...) ➢ Pseudonimersering en versleuteling ➢ Vertrouwelijkheid, beschikbaarheid, integriteit + veerkracht systemen waarborgen ➢ Herstel na incident (fysiek-technisch) ➢ Testen, beoordelen en evalueren maatregelen ➢ Aansluiten bij goedgekeurde gedragscodes ➢ Toegang persoonsgegevens altijd onder gezag verwerkingsverantwoordelijke ( data controller )
  37. 37. Wat is informatieveiligheid ?  Beschermen van informatie en informatiesystemen tegen :  Ongeautoriseerde toegang / gebruik / bekendmaking  Integriteit an die gegevens  Beschikbaarheid / verlies van gegevens of systemen  Kortom : Garanderen van CIA  Confidentiality  Integrity  Availibility
  38. 38. Moeilijk evenwicht Moeilijke (soms onmogelijke) balans tussen : – veiligheid – functionaliteit – gebruikersgemak – Budget
  39. 39. Datalekken voorkomen ➢ Definitie datalek (data breach) (GDPR art.4) “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”
  40. 40. Hoe kan je een datalek hebben? ➢ Nonchalance, pech. ➢ Vandaag de dag zijn allerlei cybercriminelen zeer sterk geïnteresseerd om binnen te geraken op de informaticasystemen van uw bedrijf en de data die ze daar kunnen terugvonden. ➢ Er zijn vele technieken en trucks om dit te doen. ➢ Dit is niet alleen het probleem van ICT omdat ze vaak binnengeraken via de gewone gebruiker ! ➢ Heeft meestal niet eens met moeilijke hackingtechnieken te maken maar is puur common sense !
  41. 41. Datalekken in cijfers
  42. 42. Gezond verstand Gezond verstand is zo zeldzaam dat het wel een superkracht lijkt. Mijn doel is dat jullie kunnen nadenken over de wetgeving en zijn consequenties ! Denk na !
  43. 43. Realisme Absolute veiligheid bestaat niet ! Vroeg of laat heb je een security probleem of een datalek met persoonsgegevens Niemand is onfeilbaar, tenzij de paus
  44. 44. Geen papieren tijgers !
  45. 45. Gebruik GDPR als opportuniteit ➢ Maak een plan ! ➢ Dura Lex sed Lex – 25 mei komt eraan ➢ Outsource het niet volledig, hou het in eigen handen ➢ zoek hulp voor de stukken die je niet begrijpt. ➢ 25 mei eindigt de wereld niet ➢ Maar steek uw kop niet in het zand ! ➢ Gebruik het als opportuniteit ➢ Om duidelijkheid en goeie afspraken te maken ➢ Om goed te communiceren met uw klanten ➢ Uw bedrijfsprocessen te verbeteren
  46. 46. Thank You Contact us 016/29.80.45 016/29.80.46 www.ba.be / Twitter: batweets Remy Toren Vaartdijk 3/501 B-3018 Wijgmaal info@ba.be Twitter: JanGuldentops http://be.linkedin.com/in/janguldentops/
  • BiekeJanssen1

    Mar. 22, 2018

Korte presentatie @ infosecurity 2018 beurs, 14 maart 2018 in de Brussels Expo. De organisatie vroeg me om in te vallen voor de oorspronkelijke spreker Eddy Vanderstock. Poging om op een bevattelijke manier met mijn beperkte kennis GDPR praktisch te duiden.

Views

Total views

348

On Slideshare

0

From embeds

0

Number of embeds

2

Actions

Downloads

2

Shares

0

Comments

0

Likes

1

×