Wet Meldplicht Datalekken: waar staan we nu?
Transcript of Wet Meldplicht Datalekken: waar staan we nu?
1
Ad Schaafsma
Security Consultant bij Axians
Stand van zaken en vooruitblik: De WBP en de komende Europese verordening
WET MELDPLICHTDATALEKKEN
2
EVEN VOORSTELLEN
Persoonsgegevens en datalekken|17.11.2016 ● INN STYLE ● MAARSSEN
JURIST & IT’ER
INFRASTRUCTUREN
IT SECURITY & PRIVACY
3
MIJN AGENDA
Wat ik vandaag met u wil delen
• Recapitulatie: na 1 jaar meldplicht datalekken
• De mogelijke agenda van de toezichthouder in
2017
• Intermezzo: twee casussen ter lering
• Van Wet bescherming persoonsgegevens naar
de Europese verordening gegevensbescherming
• Belang en functie van gedragscodes en
certificeringen
• Uw agenda voor 2017 en 2018
Vragenronde ter afsluiting
Persoonsgegevens en datalekken|17.11.2016 ● INN STYLE ● MAARSSEN
4
1 JAAR MELDPLICHT DATALEKKEN
Datalekken bij gemeenten en ziekenhuizen
(Amersfoort, Isala)
>4000 datalekken gemeld (stand Q3)
Tientallen lopende onderzoeken
10% Gemelde datalekken bij gemeenten!
“De boetes komen”: provider TalkTalk (UK)
Zorgen over de zorg (WMO, ziekenhuizen)
Link referentie en bijlage:
http://www.nu.nl/weekend/4332953/nieuw-jasje-autoriteit-
persoonsgegevens-de-boetes-komen.html?redirect=1
Persoonsgegevens en datalekken|17.11.2016 ● INN STYLE ● MAARSSEN
5
DE AGENDA VAN DE TOEZICHTHOUDER IN 2017
(VERWACHTING)
De eerste bestuurlijke boetes!
• Verwacht boetes in consumentensfeer of gemeenten
• Gegevens(her)gebruik in social-media of zorgdomein
Aandacht voor lagere overheden: gemeenten
• Algemeen
• Uitvoering WMO door gemeenten
Ziekenhuizen en gezondheidszorg
• Gegevensintegriteit, toegangsvertrouwelijkheid
• EPD - schakelpunt
Voorlichting over en voorsorteren op
Europese verordening (25 mei 2018)
Persoonsgegevens en datalekken|17.11.2016 ● INN STYLE ● MAARSSEN
6
INTERMEZZO: CASUSSEN
Gemeente Amersfoort
• Excel bestand verkeerd verstuurd: 2000 WMO dossiers gelekt
• “Menselijke fout”: echt waar?
• Pas op met ‘afgeleide verwerkingen’!
Isala ziekenhuis
• Privé laptop gestolen: 400 artsendossiers gecompromitteerd
• “Overtreding interne regels”!
• Waar waren bewustzijn en toezicht?
Persoonsgegevens en datalekken|17.11.2016 ● INN STYLE ● MAARSSEN
7
VAN WBP NAAR AVG
Europese verordening gegevensbescherming treedt op 25 mei 2018 in werking
Wat betekent dat voor u?
• U moet weten wat u doet of in huis heeft
• U moet aan kunnen tonen uw zaken rond beveiliging op orde te hebben
• Als u ter verantwoording wordt geroepen, moet u een dossier hebben
• Als u een verwerking start, houdt u rekening met privacy ‘by design’ en ‘by default’
“Wees auditable”
Hulpmiddelen
• Gedocumenteerde zelfregulering (PIA)
• Cybersecurity scans en pentesten
• Normen op het gebied van IT beveiliging
• Heel belangrijk: procedure hoe te handelen bij datalekken
“Van systeembeveiliging naar databescherming”
Persoonsgegevens en datalekken|17.11.2016 ● INN STYLE ● MAARSSEN
8
VAN WBP NAAR AVG: DE FG
De Functionaris voor gegevensbescherming
Verplicht in de volgende gevallen
• U bent een overheidsinstelling
• U houdt u bezig met regelmatige en stelselmatige observatie
• U verwerkt bijzondere persoonsgegevens
• U verwerkt strafrechtelijke gegevens
“De FG is onafhankelijk”
Taken van de FG
• Informeren en adviseren
• Toezien op gegevensbeschermingseffectbeoordelingen
• Met de toezichthouder samenwerken
• Als contactpersoon optreden
“De FG is een interne toezichthouder”
Persoonsgegevens en datalekken|17.11.2016 ● INN STYLE ● MAARSSEN
9
GEDRAGSCODES EN CERTIFICERING
Gedragscodes
• Goedkeuring en registratie door nationale
toezichthouder
• EU Commissie kan algemeen verbindend verklaren!
Certificering
• ‘Vrijwillig’ voor de verwerkingsverantwoordelijke
• Certificering voor auditors vereist
• Denk aan ISO 27001/NEN 7510/ISAE 3402 e.a.
• Afgegeven aan verantwoordelijke, niet aan bewerker
Gedragscodes of certificeringen geven vermoeden van compliance!
Persoonsgegevens en datalekken|17.11.2016 ● INN STYLE ● MAARSSEN
10
HOE ZIET UW AGENDA ERUIT?
Welke persoonsgegevens verwerkt u?
• Verzamelen informatie uit de organisatie
• Vaststellen of u juridisch compliant bent
• Samen met business beoordelen
Uw security beoordelen
• Cybersecurity scan en pentest
• Bewustzijn en kennis van uw medewerkers
• Overweeg ISO 27001/NEN 7510/ISAE 3402 e.d.
Niets doen is geen optie (meer)!
Persoonsgegevens en datalekken│ 17.11.2016 ● INN STYLE ● MAARSSEN
11
VRAGEN EN AFSLUITING
Vragenronde
Verder lezen
• Sdu Commentaar Wet bescherming
Persoonsgegevens, Editie 2016
• Bestelcode 9789012398084
Mijn gegevens
• Mr. Ad Schaafsma CDPO, senior Consultant
• Tel: +31 88 988 96 29
• Mobiel: +31 653 96 45 40
Persoonsgegevens en datalekken|17.11.2016 ● INN STYLE ● MAARSSEN