GDPR. General Data Protection Regulation

Transcriptie

1 GDPR General Data Protection Regulation

2 Waarom?

3 Veiligheid van data bevorderen Nood aan een uniforme wetgeving Verouderde Europese richtlijn

4 1995

5 % Gezinnen met minstens 1 internetverbinding Jaar EU Belgie Bron: Statbel (Overheidsdienst voor statistiek)

6 2011 voorstel tot vernieuwen 95 EU richtlijn EC 2016 stemming en publicatie 2012 Officieel ontwerp Mei 2018 GDPR gaat van kracht

7 Richtlijn Wetgevend Instrument EU Verbindend tot het te bereiken resultaat Wetgeving aanpassen om doel te bereiken Verordening Wetgevend Instrument EU Verbindend in al haar onderdelen en rechtstreeks toepasselijk

8 Voor wie? Overheidsbedrijven & -instellingen Alle Europese ondernemingen Niet-Europese ondernemingen die goederen of diensten verkopen in de EU of gedrag monitoren van Europese burgers (vertegenwoordiger in EU)

9 Persoonsgegevens? Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon Naam Adres Geboortedatum adres Bankrekeningnummer Biometrische gegevens (bv vingerafdruk) Wat met: IP? Telefoonnummer thuis?!! Ook (online) identifiers zijn persoonlijke gegevens

10 Proces: persoonlijke gegevens

11 Allemaal persoonlijke gegevens Wettelijk recht (naam werknemers) Contractueel (adres, telefoon en naam leverancier) Toestemming vragen (nieuwsbrief)

12 Rechten van het individu

13 Inkijken Wijzigen Wissen Toestemming Gestructureerde en machine leesbare vorm Verbeteren Vervolledigen Recht om vergeten te worden In mate van mogelijke Onomkeerbaar (Back-ups!) Beperkt in toepassing Beperkt in tijd Makkelijk in te trekken

14 Giovanni Buttarelli, Europees Data Protection Supervisor (Boedapest, 26/05/2016) I have been arguing that the biggest policy and legal innovation in the GDPR is the notion of accountability That notion requires controllers to comply and to demonstrate compliance with the new rules.

15

16 Organisatorische & Technische maatregelen

17 Data Flow mapping Wie, wat, waar, wanneer, hoe? Ook goed voor andere redenen Omslachtig en moeilijk Data audit (CCISP, Certified Information Systems Security Professional) Data verwerkingsregister Verplicht vanaf 250 werknemers (wel bij verwerking gevoelige gegevens!) Beschrijft stap voor stap wat er met de data gebeurt. Doel Categorieën Ontvangers Veiligheidsmaatregelen Tijdslimiet

18 Privacy Impact Assessment Privacy risico's op een gestructureerde en duidelijke manier in kaart brengen Verplicht: gevoelige informatie ( artikel 75) verwerking op grote schaal monitoring publieke ruimtes (bv beveiligingscamera s) lijst toezichthoudende autoriteit (nog niet in België)

19 Privacy by design & Privacy by default Reeds bij ontwerp rekening houden met verplichtingen Passende technische & organisatorische maatregelen Standaard = meest strikte privacy setting Slechts minimum aan noodzakelijke gegevens en tijdslimiet

20 Data protection officer Overheidsorgaan of bedrijf Hoofdactiviteit is regelmatige en stelselmatige observatie op grote schaal Hoofdactiviteit is verwerken van gevoelige informatie Rapporteren (hoogste niveau management) Advies Informatie Controle Training Kan een medewerker zijn of externe persoon (DPO as a service)

21 Meldingsplicht datalek Zonder onredelijke vertraging en indien mogelijk binnen 72 uur Datalek = lek in de beveiliging dat leidt tot accidenteel of onwettig vernietigen, verwijderen, veranderen, inkijken en kopiëren van persoonlijke data. Onbevoegde toegang (ook inbraak kan datalek zijn) USB verloren verkeerd verzenden

22 Technische veiligheidsmaatregelen Marktverkenning Budget & plan van aanpak Dossier samenstellen en actueel houden!! Verantwoordelijkheid ligt bij verantwoordelijke en verwerker, NIET bij technologieleverancier.

23 Waarom aan GDPR voldoen??? Het is de WET, BOETES Reputatie beschermen Creëert vertrouwen Class-action (Groepsvordering) Toezichthoudende autoriteit heeft het recht om audits uit te voeren. PAS OP: Concurrenten kunnen aangifte doen Misnoegde klanten Leveranciers en klanten kunnen audit laten doen

24 Wat moet ik als bedrijf nu doen????

25 Kader gegevensbeveiliging Analyseer Bescherm Ontdek Reageer

26 1. Analyseer & Informeer Data flow mapping Informeer Gegevens nog up-to-date? Audits (data en technisch) ACTUEEL ARCHIEF VERNIETIG (data is duur onder GDPR)

27 2. Bescherm Anonimisering Pseudonimisering (ziekenhuis patiëntennummer) (Awareness) training Technische beveiligingen Encryptie Toegangsbeheer & Multi-Factor Authentication Firewall Anti-virus Sandboxen van verkeer

28 3. Ontdek SIEM Monitoring Emergency Detection and Response service LOGS analyseren

29 4. Reacties Toezichthoudende autoriteit op de hoogte brengen Andere organisatie met connectie op datagebied op de hoogte brengen Betrokken natuurlijke personen op de hoogte brengen =Niet zo moeilijk mits voorbereiding: DRP!!! Hoe kan ik het lek voorkomen in de toekomst? Aanpassen verwerkingsproces Verbeteren beveiliging

30 Besluit 1. Begin vandaag. 2. Grote schoonmaak data, wiscultuur introduceren. 3. Processen documenteren en definiëren, verfijnen. 4. Hoe is het met de beveiliging gesteld? Doe een audit, 5. Security op punt stellen en houden!

31