Korte presentatie @ infosecurity 2018 beurs, 14 maart 2018 in de Brussels Expo. De organisatie vroeg me om in te vallen voor de oorspronkelijke spreker Eddy Vanderstock. Poging om op een bevattelijke manier met mijn beperkte kennis GDPR praktisch te duiden.
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
1. GDPR REVEALED
EU privacy wetgeving in het juiste perspectief
Brussel, 14 maart 2018
Jan Guldentops ( j@ba.be )
BA N.V. ( http://www.ba.be )
2. Wie ben ik ?
Jan Guldentops (°1973)
Dit jaar bouw ik 20 jaar server en netwerk infrastructuren
Oprichter Better Access (°1996) en BA (°2003)
Open Source Fundamentalist (na mijn uren)
Sterke praktische achtergrond op het vlak van ICT
beveiliging
Ben toevallig terechtgekomen in de securitywereld
Documenteerde in 1996 de securityproblemen in de eerste Belgische
internetbank ( Beroepskrediet / Belgium Offline)
Plotseling ben je security expert
R&D (vooral security)
“Gecertificieerd” Data Protection Officer ( DPO )
4. Wat is GDPR / AVG
➢
General Data Protection Resolution
(GDPR) / Algemene verordening
gegevensverwerking (AVG) / règlement
général sur la protection des données
➢
Gaat enkel over bescherming van één
specifiek type Data: Persoonsgegevens
➢
Geeft burger ook meer rechten
➢
Nieuwe EU wetgeving
➢
in voege sinds mei 2017
➢
afdwingbaar vanaf 25 mei 2018
➢
Grote (potentiële) boetes !
➢
4% globale revenue
➢
max € 20.000.000
7. Zijn we klaar ?
http://datanews.knack.be/ict/nieuws/de-grote-gdpr-enquete-belgische-bedrijven-dreigen-deadline
-te-missen/article-longread-959299.html
10. Waarom GDPR? (2)
“Verloren” persoonsgegevens
Open S3 bucket met massa’s klantengegevens ( id-kaarten,
transportdocumenten, etc. )
Gegevens van 700.000 klanten ( geboortedatum, gsm,
telefoonnummer, etc.)
Konden zelfs niet vertellen wat er aan de hand was!
Gegevens van 70.000.000 klanten
Exit security officer, CIO & CEO
19GB aan klantendata
Josh Duggar
12. Niks nieuws onder de zon
➢
Bescherming van persoonsgegevens bestaat in België al sinds 1992 ( 25 jaar !)
➢
Strenger, duidelijker geworden
➢
Vooral toevoegen boeteclausules
➢
Informatieveiligheidsindustrie werkt al jaren volgens dezelfde principes
➢
ISO27000, Cobit, etc.
➢
Vereisten van GDPR zijn eigenlijk best practices
➢
Inventaris
➢
Nadenken over security
➢
Etc.
➢
Er is heel veel bangmakerij
– Het nieuwe Y2K
– Opportuniteit voor advocaten, IT-bedrijven en security-consultants en consultants
– De wereld gaat niet vergaan op 25 mei 2018
13. Doelstellingen van GDPR
➢
Persoonsgegevens
beter beschermen
➢
Inventaris
➢
Degelijk register
➢
Goeie backups
➢
DPO
➢
Meldplicht bij
datalekken
➢
Etc.
➢
Meer rechten aan
de burgers geven
➢
Duidelijke
afspraken
➢
Inzage- en
verbeterrecht
➢
Right-to-be-
forgotten
➢
Data-overdracht
14. Persoonsgegevens
➢
Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon die
rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden.
Dus :
➢
de naam van een persoon
➢
een foto
➢
een telefoonnummer (zelfs een telefoonnummer op het werk)
➢
een code
➢
een bankrekeningnummer
➢
een e-mailadres
➢
een vingerafdruk of andere biometrische gegevens
➢
adressen
➢
leeftijd
➢
gezinssituatie
➢
nummerplaat
➢
Strafregister
➢
DNA
➢
Enz.
15. Wat is informatie ?
➢
Een set gegevens die zodanig bijeen zijn gebracht en worden voorgesteld
zodat er betekenis of waarde aan kan worden toegekend.
➢
Gestructureerd
➢
Logisch
➢
Betekenisvol
➢
Te gebruiken in een context
➢
Waarde
➢
Kan in vele vormen :
➢
Papier ( ook geschreven )
➢
Electronisch
➢
Mondeling
➢
Fysieke media
➢
Kennis
16.
17. Terminologie: verwerking
➢
„verwerking”: een bewerking of een geheel van
bewerkingen met betrekking tot persoonsgegevens
of een geheel van persoonsgegevens, al dan niet
uitgevoerd via geautomatiseerde procédés, zoals
het verzamelen, vastleggen, ordenen, structureren,
opslaan, bijwerken of wijzigen, opvragen,
raadplegen, gebruiken, verstrekken door middel van
doorzending, verspreiden of op andere wijze ter
beschikking stellen, aligneren of combineren,
afschermen, wissen of vernietigen van gegevens;
18. Terminologie: toestemming
➢
„toestemming” van de betrokkene:elke vrije,
specifieke, geïnformeerde en ondubbelzinnige
wilsuiting waarmee de betrokkene door middel
van een verklaring of een ondubbelzinnige
actieve handeling hem betreffende verwerking
van persoonsgegevens aanvaardt;
19. Protagonisten
➢
Betrokkene
➢
Ook data subject genoemd
➢
Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie,
een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor
de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor
deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden
bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
➢
Ook data controller genoemd
➢
verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander
orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt
➢
Ook data processor genoemd
➢
derde : een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander
orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de
personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker
gemachtigd zijn om de persoonsgegevens te verwerken;
➢
Ook third party genoemd
20. Wie moet er aan de GDPR
wetgeving voldoen ?
➢
GDPR geldt voor alle bedrijven en organisaties die :
➢
Gevestigd zijn in de EU
➢
Gevestigd zijn buiten de EU maar goederen en/of
diensten leveren aan EU burgers
➢
Persoonlijke gegevens verzamelen of het gedrag van
EU burgers monitoren
➢
DUS: ZO GOED ALS IEDEREEN
21. Belangrijke bijkomende vraag
➢
Verwerkt u gevoelige informatie, dit wil zeggen informatie over :
➢
Ras
➢
Politieke opvattingen
➢
Religie
➢
Biometrische gegevens
➢
Genetische gegevens
➢
Gezondheid
➢
Seksuele geaardheid
➢
Strafrechterlijke vervolgingen
➢
Bent u een overheidsorganisatie ?
23. 13 stappen
➢
Bewustmaking
➢
Dataregister
➢
Communicatie
➢
Rechten van de
betrokkene
➢
Verzoek tot toegang
➢
Wettelijke grondslag
verwerking
persoonsgegevens
➢
Toestemming
➢
Kinderen
➢
Datalekken
➢
Privacy by design en PIA
➢
Functionaris voor
gegevensverwerking (DPO )
➢
Internationaal
➢
Bestaande contracten
➢
Stap 14 + Passende
beveiliging
24. 1. Bewustmaking
➢
“Informeer sleutelfiguren en beleidsmakers van de aankomende veranderingen. Zij
moeten inschatten welke gevolgen de AVG zal hebben voor het bedrijf of de organisatie. “
➢
Awareness doorheen het hele bedrijf :
➢
Top tot bodem
➢
“Vis rot van de kop” - nood aan een management-buyin
➢
Mensen zijn de zwakste schakel
➢
Ook voor de leveranciers
➢
Zeker doen :
➢
Geef bijvoorbeeld een awareness training
➢
Moet geregeld op de management agenda komen
➢
Controleer je leveranciers, maak goeie afspraken
➢
Maar :
➢
kijk ook verder dan GDPR.
➢
Zijn er nog andere wettelijke vereisten ? Afspraken met klanten ?
➢
Verkoop het als een opportuniteit, niet als een verplicht nummer !
25. 2. Dataregister
➢
“ Breng in kaart welke persoonsgegevens je bijhoudt, waar deze vandaan komen en met wie je deze hebt
gedeeld. Registreer je verwerkingen. Mogelijks dien je hiervoor een informatie-audit te organiseren”
➢
Welke persoonsgegevens hou je bij en waar komen deze vandaan ?
➢
Waar worden deze allemaal gebruikt en verwerkt ?
➢
Waar worden ze opgeslagen ( toestel, plaats, applicatie)
➢
Deel je ze met andere partijen ?
➢
Zijn ze versleuteld ?
➢
Informatie-audit
➢
Moet voor alle verwerkingen die niet-incidentieel zijn
➢
Geldt voor verantwoordelijke ( controllers ) als verwerkers ( processors )
➢
Belangrijk :
➢
Documentatie ( een dataregister )
• Er is geen vast model voor het register, zolang het schriftelijk, electronisch en begrijpelijk is...
➢
Hoeft geen applicatie te zijn, kan bijvoorbeeld ook een rekenblad zijn.
➢
Vb. Unizo
➢
Vervangt aangifte die je vroeger bij de privacycommissie moest doen.
➢
Wat men wil bereiken is accountability !
• Verantwoordingsplicht
26. 3. Communicatie van privacy
informatie
➢
Duidelijk en transparant communiceren over :
➢
Wat de wettelijke basis is voor het verwerken van de
gegevens
➢
Hoe lang je de gegevens gaat bijhouden ( data retentie )
➢
En vermelden wat de rechten van het individu ( data subject
of burger) zijn.
➢
Nadruk op duidelijk en transparant
➢
Moet duidelijk in de privacy policy op je website staan,
privacy notice bij verwerking en je verkoopsvoorwaarden.
➢
Verschil rechtstreekse / onrechtstreekse inzameling
27. 4. Rechten van de betrokkene
(aka data subject of individu)
➢
Recht van informatie
➢
Recht van inzage
➢
Recht van correctie
➢
Recht van verwijdering ( right-to-be-forgotten)
➢
Recht op beperking
➢
Recht op overdraagbaarheid van gegevens
➢
Recht op bezwaar
➢
Geautomatiseerde besluitvorming / profilering
28. 5. Verzoek tot toegang
➢
“Update je bestaande toegangsprocedures en bedenk
hoe je verzoeken tot toegang voortaan zal behandelen
onder de nieuwe termijnen in de AVG.”
➢
Wettelijk moet je kostenloos en binnen de 30 dagen
kunnen reageren op de vragen van de betrokkenen
➢
Kan enkel als je hier klaar voor bent
➢
Nood aan :
➢
Data register
➢
Procedures
➢
Automatisering ? Webformulier ? Etc.
29. 6. Wettelijke grondslag
verwerking persoonsgegevens
➢
Toestemming van de betrokken persoon.
➢
De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
➢
De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
➢
Bv bevel van politie, belastingen,BTW,etc.
➢
Maar: verantwoordingsplicht
➢
De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
– essentieel is voor iemands leven of gezondheid
➢
De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen
belang of uitoefening van openbaar gezag.
➢
Vervulling van een openbare taak
➢
De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde
belangen.
– Maar hou rekening met proportionaliteit en subsidiariteit
• Dus: noodzakelijk zijn en in verhouding tot het doel !
30. 7. Toestemming
➢
Evalueer de wijze waarop je toestemming vraagt,
verkrijgt en registreert, en wijzig waar nodig.
➢
Als je geen wettelijke basis hebt voor verwerking
moet je toestemming / consent vragen aan het individu
➢
Moeilijkheid / opportuniteit
➢
Transparant en eenduidig
➢
Bewijslast ligt bij jou ! ( dus moet bewaard worden)
➢
Opt-in ipv opt-out
➢
Expliciete toestemming
31. 8. Kinderen
➢
“Ontwikkel systemen die de leeftijd van de betrokkene
nagaan en ouder(s) of voogd(en) expliciet om toestemming
vragen voor de gegevensverwerking van minderjarige
kinderen. “
➢
Je mag geen gegevens van kinderen verwerken zonder
toestemming van de ouders/voogd.
➢
Dus controleer je de leeftijd van individuen
➢
Heb je een procedure om ouders / voogd toestemming te
vragen ?
➢
Staat er in je privacy policy een leeftijdsbeperking ?
➢
Is die begrijpbaar voor kinderen ?
32. 9. Datalekken
➢
Voorzie adequate procedures om persoonlijke datalekken op te
sporen, te rapporteren en te onderzoeken.
➢
Niet enkel om ze op te sporen, ook om ze te voorkomen. Er zijn immers
minimale veiligheidsvereisten ! ( hebben we het volgende keer over )
➢
Zowel qua business continuity ( Backups en zo) als veiligheid !
➢
Maar je moet ze opsporen en rapporteren
➢
Logging, rapporting
➢
Register van lekken en problemen !
➢
En als er data gelekt of verloren gegaan is, moet dit gemeld worden
binnen de 72 uur aan het individu en de regulator !
➢
Niet eenvoudig
➢
Zorg dat de procedures en de communicatie klaar ligt !
33. 10. Privacy by Design / PIA
➢
“Maak je vertrouwd met de begrippen
“gegevensbescherming door ontwerp” en
“gegevensbeschermingseffectbeoordeling” en ga na hoe
je deze concepten in de werking van jouw bedrijf of
organisatie kan implementeren.
➢
Bij alles wat je doet hou je vanaf het eerste moment
rekening met privacy en security.
➢
Belangrijk hierbij is ook privacy by default
➢
Analyseren wat de privacy-risico’s van een project,
procedure, stuk software of iets anders is, heet een
privacy impact assessment.
34. 11. DPO
➢
“Duid, indien nodig, een functionaris voor gegevensbescherming aan, of iemand die de
verantwoordelijkheid draagt voor het naleven van de databeschermingsregels. Beoordeel
welke plaats deze inneemt binnen de structuur en het beleid van jouw bedrijf of organisatie.”
➢
DPO = Data Protection Officer
➢
> 250 werknemers
➢
Of Publieke overheid
➢
Of verwerker van gevoelige informatie (cfr. Infra)
➢
Of regelmatig en stelselmatig observeren van betrokkenen op grote schaal
➢
Beschermd statuut : moet beschermd zijn om te kunnen werken en rechtstreeks rapporteren
aan het management-comité
➢
Dit is een risico !
➢
Volgt de verwerking en opslag van persoonsgegevens op.
➢
Rapporteert bij lekken
➢
Kan een extern persoon zijn
➢
Uitzondering maar maak iemand verantwoordelijk, noem hem gewoon geen DPO…
35. 12. Internationaal
➢
Is je bedrijf internationaal actief dan val je
onder de toezichtshouder van de
hoofdvestiging.
➢
Pas ook op met het opslaan, exporteren van
persoonsgegevens buiten de EU
➢
Maar: de grote cloudjongens zijn hier al
oplossingen beginnen rond bouwen
➢
Microsoft
➢
Google
36. 13. Bestaande contracten
➢
“Beoordeel je bestaande contracten, hoofdzakelijk met
verwerkers en onderaannemers, en breng tijdig de
noodzakelijke veranderingen aan.”
➢
Herzie je overeenkomsten
➢
Dit geldt ook met je klanten !
➢
Ga een goeie verwerkingsovereenkomst met duidelijke
afspraken aan met je leveranciers.
➢
Belangrijk zijn meldingsplicht, SLA’s minimale
veiligheidsvereisten, etc.
➢
Geen papieren tijgers ! Duidelijke afspraken.
37. Beveiligen van
persoonsgegevens
➢
Totnogtoe heel theoretisch en
vooral ook organisatorisch
➢
Veel ICT/security-bedrijven die je
iets proberen te verkopen voor
GDPR
➢
Waar moet je nu zelf op letten ?
Wat moet je minimaal hebben ?
➢
Quid cloud ?
➢
Doel van vandaag is niet dat jullie
experts worden op het vlak van
antivirus, firewalls, etc. Wel dat jullie
ICT en/of ICT partners kunnen
aansturen.
38. Artikel 32 ( passende beveiliging)
➢
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en
de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van
personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische
maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het
volgende omvatten:
➢
a. de pseudonimisering en versleuteling van persoonsgegevens;
➢
b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwer
kingssystemen en diensten te garanderen:
➢
c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te
herstellen;-
➢
d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en
organisatorische maatregelen ter beveiliging van de verwerking.
➢
2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsri
sico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde
toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
➢
3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsme
chanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel
bedoelde vereisten worden nageleefd.
➢
4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke
persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot
persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierech
telijk of lidstaatrechtelijk is gehouden.
39. Eenvoudiger Artikel 32
➢
PASSENDE BEVEILIGING PERSOONSGEGEVENS VOORZIEN
➢
Passende technische en organisatorische maatregelen nemen, rekening houdend
met de stand van de techniek, uitvoeringskosten, context,.…
➢
Rekening houden met verwerkingsrisico’s (vernietiging, verlies, ongeoorloofde
toegang,...)
➢
Pseudonimersering en versleuteling
➢
Vertrouwelijkheid, beschikbaarheid, integriteit + veerkracht systemen waarborgen
➢
Herstel na incident (fysiek-technisch)
➢
Testen, beoordelen en evalueren maatregelen
➢
Aansluiten bij goedgekeurde gedragscodes
➢
Toegang persoonsgegevens altijd onder gezag verwerkingsverantwoordelijke
( data controller )
40. Wat is informatieveiligheid ?
Beschermen van informatie en informatiesystemen tegen :
Ongeautoriseerde toegang / gebruik / bekendmaking
Integriteit an die gegevens
Beschikbaarheid / verlies van gegevens of systemen
Kortom : Garanderen van CIA
Confidentiality
Integrity
Availibility
42. Datalekken voorkomen
➢
Definitie datalek (data breach) (GDPR art.4)
“een inbreuk op de beveiliging die per ongeluk
of op onrechtmatige wijze leidt tot de
vernietiging, het verlies, de wijziging of de
ongeoorloofde verstrekking van of de
ongeoorloofde toegang tot doorgezonden,
opgeslagen of anderszins verwerkte gegevens.”
43. Hoe kan je een datalek hebben?
➢
Nonchalance, pech.
➢
Vandaag de dag zijn allerlei cybercriminelen zeer sterk
geïnteresseerd om binnen te geraken op de
informaticasystemen van uw bedrijf en de data die ze daar
kunnen terugvonden.
➢
Er zijn vele technieken en trucks om dit te doen.
➢
Dit is niet alleen het probleem van ICT omdat ze vaak
binnengeraken via de gewone gebruiker !
➢
Heeft meestal niet eens met moeilijke hackingtechnieken te
maken maar is puur common sense !
45. Gezond verstand
Gezond verstand is zo
zeldzaam dat het wel
een superkracht lijkt.
Mijn doel is dat jullie
kunnen nadenken
over de wetgeving en
zijn consequenties !
Denk na !
48. Gebruik GDPR als opportuniteit
➢
Maak een plan !
➢
Dura Lex sed Lex – 25 mei komt eraan
➢
Outsource het niet volledig, hou het in eigen handen
➢
zoek hulp voor de stukken die je niet begrijpt.
➢
25 mei eindigt de wereld niet
➢
Maar steek uw kop niet in het zand !
➢
Gebruik het als opportuniteit
➢
Om duidelijkheid en goeie afspraken te maken
➢
Om goed te communiceren met uw klanten
➢
Uw bedrijfsprocessen te verbeteren