Meldplicht datalekken Een slim bedrijf is op de meldplicht voorbereid de beroepsorganisatie van IT-auditors Duthler Associates > Juristen, adviseurs & auditors Speerpunt: privacy en veiligheid > Partner: drs. André J. Biesheuvel RE RA | Duthler Associates > Advocaat - partner: mr. dr. Anne-Wil Duthler | First Lawyers > Bezoek onze website: www.duthler.nl de beroepsorganisatie van IT-auditors Status behandeling > Wetsvoorstel meldplicht datalekken > Aanpalende wetten en regels > Telecommunicatiewet > NIB-richtlijn > Europese Privacyverordening de beroepsorganisatie van IT-auditors Doel wettelijke meldplicht Informatiebeveiliging op orde brengen > Verantwoordelijke biedt werkelijk transparantie over verwerkingen > Boetes zijn bedoeld als stok achter de deur > Datalek op zichzelf levert geen boete van € 810.000,op > Het niet melden levert forse boete op. > de beroepsorganisatie van IT-auditors Meldplicht datalekken > Verantwoordelijke is verplicht het CBP onverwijld in kennis te stellen van een datalek: een inbreuk op de beveiliging, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de privacybescherming. > Verantwoordelijke is verplicht de betrokkene onverwijld in kennis te stellen, wanneer het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. de beroepsorganisatie van IT-auditors Meldplicht datalekken > Inbreuken moeten worden gemeld als: technische en organisatorische maatregelen hebben niet gefunctioneerd én redelijkerwijs kan worden aangenomen dat die leiden tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens > Inbreuken: niet noodzakelijkerwijs tekortschietende beveiligingsmaatregelen. Ook indien de beveiliging van voldoende niveau is, kunnen de maatregelen worden teniet gedaan of omzeild. de beroepsorganisatie van IT-auditors Meldplicht datalekken Melding aan betrokkenen en CBP omvat tenminste: • • • • • Aard van de inbreuk Aanbevelingen om nadelige gevolgen te verminderen Instanties waar meer informatie kan worden verkregen Gevolgen van de inbreuk voor de verwerking (alleen CBP) Maatregelen die verantwoordelijke heeft voorgesteld of genomen om inbreuk aan te pakken (alleen CBP). En dit alles moet allemaal worden gedocumenteerd, zodat het CBP kan controleren. de beroepsorganisatie van IT-auditors Meldplicht datalekken Art. 14 Wbp: De verantwoordelijke draagt er zorg voor dat: • De bewerker de verplichtingen nakomt die op de verantwoordelijke rusten om datalekken te melden. • De beveiligingsmaatregelen en de meldingsplicht schriftelijk worden vastgelegd. Bewerkersovereenkomsten aanpassen! de beroepsorganisatie van IT-auditors Clouddienstverlener is een bewerker in de zin van de wet • Wij hebben het over ketenaansprakelijkheid de beroepsorganisatie van IT-auditors Risico’s? Terug naar het doel: beveiliging en transparantie. • Het niet onverwijld melden levert risico op. Niet het hebben van het datalek zelf. • Het niet signaleren van een datalek levert risico op. • Het niet gedocumenteerd hebben van verwerkingen levert risico op. Namelijk non-compliance met Wbp staat bij voorbaat vast. de beroepsorganisatie van IT-auditors Managen van datalekken en de meldplicht 1. Er is nog geen datalek > Vaststellen scope verantwoordelijkheid, “corporate family” organisatie > Overzicht en inzicht van verwerkingen per entiteit, gedocumenteerd > Beveiliging op orde 2. Er is een datalek > Draaiboek in werking > Afweging: melden of niet > Vastleggen van afweging! 3. Boete van CBP wegens niet melden (2 varianten) > Bezwaar en beroep Claim van betrokkenen > Verweer 4. Verzekeren de beroepsorganisatie van IT-auditors Managen van datalekken en de meldplicht Verzekering verantwoordelijke Dekking: > Kosten om verweer te voeren > Opgelegde sanctie?! > Civiele vordering betrokkenen Verzekeraar stelt regres in bij bewerker. Verzekering bewerker Dekking: > Kosten om verweer te voeren > Opgelegde sanctie?! > Civiele vordering betrokkenen > Civiele vordering verantwoordelijke Verzekeraar stelt regres in bij verantwoordelijke. de beroepsorganisatie van IT-auditors Een datalek, wat nu? Het is niet de vraag of, maar meer: bent u voorbereid > Overzicht en inzicht > Integrale benadering noodzakelijk > Het gaat om de juiste response Voorbereiding > Quick scan > Nulmeting > In control de beroepsorganisatie van IT-auditors Na een datalek • Documenteer al dan niet gerealiseerde datalek, gerelateerd aan getroffen verwerkingen, processen en informatiesystemen. • Documenteer afweging al dan niet te melden • Meld datalek bij verzekeraar en documenteer dit • Bouw dossier op en wees daarin uiterst zorgvuldig • Maak bezwaar tegen evt. boete en handel evt. schadeclaims af. de beroepsorganisatie van IT-auditors De accountant belast met de wettelijke controle of het samenstellen van de jaarrekening > Is de gegevensbescherming en borgen privacy op orde? > Is er in de contracten met verbonden partijen sprake een evenredige verdeling van verantwoordelijkheden en aansprakelijkheden? > Zijn de voorbereidingen op meldplicht datalekken toereikend? Zijn alle incidenten / datalekken vastgelegd en gedocumenteerd!? Controle- / samenstellingsrisico: > Is er sprake van een sancties van (materieel) belang > Is er sprake van regreskosten van (materieel) belang de beroepsorganisatie van IT-auditors > Achtergrond Duthler Associates is een nichekantoor, dat opereert op het snijvlak van recht, ICT & organisatie. Multidisciplinaire teams bestaande uit juristen, ITauditors, register accountants en organisatieadviseurs . Het multidisciplinaire team adviseert overheden, midkappers en internationaal opererende ondernemingen. Betrouwbaar, degelijk en werkbaar. Duthler Associates innoveert vanuit een sterke kennisbasis. Samen met haar cliënten werkt Duthler Associates aan efficiënte en innovatieve oplossingen voor complexe uitdagingen. Dit doet zij binnen de grenzen van het perspectief, belang en budget van de cliënt. Duthler Associates staat voor kwaliteit, doortastendheid en resultaat. > Benadering Duthler Associates heeft als doel het privacybewustzijn bij haar cliënten te vergroten en zodoende aansprakelijkheden te verkleinen. Dat doet zij aan de hand van een multidisciplinaire aanpak. Deze multidisciplinaire aanpak heeft er ook toe geleid dat zij, naast de inhoudelijke dienstverlening in de vorm van advies en ondersteuning, op zoek is gegaan naar oplossingen voor het verkrijgen van overzicht en inzicht, kosten te minimaliseren en concurrentievoordelen te realiseren. > Hoe kan Duthler Associates uw organisatie helpen? Om ervoor te zorgen dat uw organisatie persoonsgegevens verwerkt conform de wet- en regelgeving, is allereerst vereist dat u overzicht en inzicht verkrijgt in uw verantwoordelijkheden en aansprakelijkheden. Duthler Associates biedt diensten en tooling aan die op een efficiënte en adequate wijze uw verantwoordelijkheden en aansprakelijkheden in kaart brengen, waaronder: – het ontwikkelen en uitvoeren van Legal Entity Framework|Legal Entity Management, waarbij de corporate family en verbonden partijen van uw organisatie in beeld wordt gebracht; – het ontwikkelen en uitvoeren van een Policy Framework, waarbij de formeel juridische kaders waaraan uw corporate family dient te voldoen in beeld wordt gebracht; – het uitvoeren van Privacy Impact Assessments (PIA’s), teneinde de risico’s van de gegevensverwerking in kaart te brengen. De uitkomsten van een PIA zijn bepalend voor het treffen van passende en kosten effectieve beheersmaatregelen; – het ontwikkelen van een wereldwijd privacybeleid en complianceprogramma inclusief Safe Harbor Certification, model contracten en Corporate Binding Rules; – voor het verkrijgen en behouden van overzicht en inzicht over alle verwerkingen heeft Duthler Associates in samenwerking met haar cliënten een taxonomiegedreven toepassing ontwikkeld waarmee de organisatie de vereiste gegevens niet alleen kan vastleggen en beheren, maar ook kan delen. Wij noemen het DNA Privacy. DNA Privacy is bovendien voorzien van consistentiecontroles en kan omgaan met de Corporate Binding Rules. Het vormt bovendien de basis voor lifecycle privacy protection management; – het bieden van een FG-leergang; Duthler Associates heeft een cursusprogramma ontwikkeld voor de toekomstige Functionaris Gegevensbescherming; – het bieden van diverse cursussen: Duthler Associates organiseert regelmatig bijeenkomsten om het privacybewustzijn binnen organisaties te vergroten. de beroepsorganisatie van IT-auditors Contactinformatie Voor meer informatie kunt u contact opnemen met: Duthler Associates Drs. A.J. Biesheuvel RE RA Partner First Lawyers Mr. dr. A.W. Duthler Partner Frankenslag 137 2582 HH Den Haag Frankenslag 137 2582 HH Den Haag Tel: 070 - 392 22 09 Mail: [email protected] Tel: 070 – 306 00 33 Mail: [email protected] de beroepsorganisatie van IT-auditors
© Copyright 2024 ExpyDoc
