Kennen en herkennen van risico's

Een uitgave van N. van Es Management & Advies

De impact van de Algemene Verordening Gegevensbescherming

25 mei 2018 is voorbij. Wat nu?

Te laat voor het adequaat invullen van de verantwoordingsplicht??

Deze aanpak?















Of toch maar onze aanpak: AVG - Verantwoorden en in control"?


Voor meer informatie en hoe te bestellen, zie securityenprivacy.nl

Algemene verordening gegevensbescherming

Wat verandert er als de algemene verordening gegevensbescherming (AVG) van toepassing is? Waar moeten organisaties dan aan voldoen? En hoe kunnen zij zich nu alvast voorbereiden?

Hoe ver bent u met het implementeren van de gevolgen van de Wetbescherming persoonsgegevens en de Meldplicht Datalekken?

Ongeacht de huidige situatie binnen uw organisatie zullen wij u helpen om per 25 mei 2018 uw privacy zaken op orde te hebben. Weloverwogen, niet te veel, maar zeker niet te weinig. En geïmplementeerd als een standaard onderdeel van uw bedrijfsvoering EN product-/dienstontwikkeling.

en niet de (nationale) pers bereiken ..... zoals bijvoorbeeld


Hier wil je dus niet bijstaan!!!

Als de Algemene Verordening Gegevensbescherming van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability).

Documentatieplicht

Organisaties hebben daarom een documentatieplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

Hulp bij naleving wet

Maar de AVG biedt organisaties tegelijkertijd meer instrumenten die hen helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor de relatie tussen de verantwoordelijke en de verwerker (in de Wbp heet dit de bewerker) en voor doorgifte van persoonsgegevens.

Wijzigingen per 25 mei 2018

Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:

  • zij hoeven verwerkingen van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens;

  • zij kunnen verplicht zijn een privacy impact assessment (PIA) uit te voeren;

  • zij kunnen verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen;

  • privacy bij design.


Privacy by design houdt in dat u als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Ten tweede houdt u rekening met dataminimalisatie: u verwerkt zo min mogelijk persoonsgegevens, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Op deze manier kunt u een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afdwingen.

Dienstverlening Informatiebeveiliging

Onze dienstverlening is gericht op het ondersteunen van organisaties bij het kunnen voldoen aan de eisen, gesteld  door wetgevers en de toezichthouders; specifiek die voor de bescherming van de privacy, de informatiebeveiliging en de daarbij behorende Governance. Recent dus ook de eis dat 25 mei 2018 "privacy by design en privacy by default" vanuit Europa een verplichting is.

Voorbeelden portfolio

  • Informatiebeveiliging en gegevensbescherming
  • Functionaris Gegevensbescherming/Data Protection Officer
  • Assessments, audits en second opinion
  • Masterclass en workshops
  • Interimmanagement en project management
  • Privacy en security vraagstukken binnen: bedrijfsvoering, marketing, design (diensten en producten) en boardroom
  • Vlottrekken vastgelopen projecten.


Organisaties kijken anders tegen informatiebeveiliging aan dan overheden. Voor hen zijn beschikbaarheid en integriteit van informatie van vitaal belang voor de continuïteit van de bedrijfsvoering en het halen van de beoogde bedrijfsdoelstellingen. Het hier niet aan kunnen voldoen heeft direct gevolgen op klantentevredenheid, (financiële) resultaten, reputatie en concurrentiepositie. Voor de organisaties zijn er dus voldoende strategische redenen om Informatiebeveiliging op de agenda te zetten en de juiste waarde toe te kennen. Dus niet per se ingegeven door privacy en vertrouwelijkheid. 

Informatiebeveiliging opdrachten voeren wij daarom bij voorkeur uit vanuit de totale samenhang: bedrijfsvoering en continuïteit, de Algemene Verordening Gegevensbescherming (AVG) en de best-practices. In de aanpak zijn daarbij de voor organisaties belangrijkste zaken leidend en uitgangspunt. Met als gevolg meer management aandacht en draagvlak.


Wij beschikken over de inhoudelijke deskundigheid om organisaties daarbij voortvarend te helpen. Ook bij het maken van keuzes, in samenhang met risico analyses en de feitelijke stand van zaken. Afhankelijk van het type organisatie maken wij gebruik van de vele best-practices die beschikbaar zijn. Best-practices op het gebied van Governance, Informatie Risico Management, Informatiebeveiliging en ICT bedrijfsvoering.

Indien gewenst kan ik organisaties begeleiden bij het behalen van de gewenste certificering(en).

Door de ruime en praktische ervaring zijn wij in staat om veel soorten organisaties van dienst te zijn met de diverse vraagstukken richting 2018.


De context van Informatiebeveiliging 

  • Bedrijfsvoering, Plan Do Check Act )PDCA) cyclus, (juridisch) eigenaarschap.
  • Governance, Informatie Risico Management en Informatiebeveiliging.
  • Business Impact Analyse (BIA): Beschikbaarheid, Integriteit en Veiligheid.



De context van de aanpak en van de (projectmatig) uitgevoerde werkzaamheden:

Bepalen van de positie. Waar staan wij, wat is er niet goed, wat ontbreekt er, welke risico’s zijn er en welke schade kan er ontstaan?

 ‘In control’ komen en blijven. Definiëren en implementeren standaard. Doorvoeren van verbeterpunten, anticiperen op toekomstige audits en het (her) inrichten van AO/IC frameworks.

Verbinden van de Governance, Informatie Beveiliging en Informatie Risk Management met de bestaande c.q. gewenste Outsourcing en ICT activiteiten, processen en rollen(functioneel en technisch).

Adequaat reageren op bevindingen van externe derden, zoals toezichthouders en externe/interne auditeurs.

Audit, op orde brengen en houden van de Plan-Do-Check-Act cyclus voor Informatiebeveiliging. 


Voorbeelden van diensten en opdrachten:

Workshops impact Privacywetgeving en de Meldplicht Datalekken.

Doelgroepen: ondernemers en bestuurders; de (juridisch) verantwoordelijken).

Doelstelling workshop:

  • Inzicht in de plaats van Informatiebeveiligin:
    – Als onderdeel van de bedrijfsvoering
    – Als een standaard onderdeel van de producten en diensten
    – Als een verplichting voor persoonsgegevens vanuit de wetgeving
  • De verantwoordelijke weet wat de impact van de wetgeving is op:
    – De bedrijfsvoering vanaf 1-1-2016 en per 25 mei 2018
    – De reeds genomen beveiligingsmaatregelen
  • De verantwoordelijke weet wat hij/zij nog niet weet en/of nog niet geregeld heeft
  • De verantwoordelijke is in staat de risico’s af te wegen
  • De verantwoordelijke weet waar de relevante informatie te vinden is.
  • De verantwoordelijke weet wat minimaal nu moet worden gedaan en wat later kan 

____________________________________________________________________________________________________________________________________

Consultancy/sparring partner diverse organisaties: gezondheidszorg, personeelsdiensten, dienstverlener business consultancy,  kerkgenootschappen, stichtingen, MKB, service providers (cloud, SAAS, e.d.), financiële dienstverleners, enz.

___________________________________________________________________________________

Bij een overheidsorganisatie binnen een innovatief Programma verantwoordelijk voor het definiëren van de nieuwe standaard voor informatiebeveiliging, waarin de meest recente best practices, standpunten en ontwikkelingen zijn meegenomen. Het beleid en Governance van de overheid en het ministerie zijn daarbij getoetst op bruikbaarheid. Hierbij zijn zaken aan de orde geweest als:

  • VIR, Wet bescherming Persoonsgegevens. Definities en verantwoordelijkheid en rol systeem/proces eigenaar in het bedrijfsproces en de informatiebeveiliging. Uitvoeren van risk assessment (conform ISF/IRAM methodiek). Vaststellen BIA classificatie (vertrouwelijkheid, integriteit, beschikbaarheid) en mitigerende maatregelen. 
  • Security assessment leveranciers. Opstellen en toetsen requirements voor uitbesteden.
  • BIR, BIG, ISO/NEN 27000 serie, Architectuur (NORA, ICTU). Cybersecurity.
  • Rol en adviezen van het NCIC (BYOD, whitepapers,..).
  • Kabinet standpunten betreffende Responsible Disclosure, Cloud/SaaS diensten, e.d.
  • Kwaliteitscirkel (PDCA cyclus) als hulpmiddel voor borging/onderhoud van het beleid.
____________________________________________________________________________________________

Bij een productiebedrijf.

Naar aanleiding van geconstateerde onvolkomenheden in de verwerking van gegevens is een nader onderzoek uitgevoerd naar de mogelijke oorzaken. Na het vaststellen van de oorzaken zijn aanvullende maatregelen voorbereid en doorgevoerd. Deze maatregelen zijn vooral gericht op 1) het voorkomen van ongeoorloofde toegang tot systemen en gegevens en 2) het “loggen” van wijzigen in de Master Data.
Een aantal genomen maatregelen:
inventariseren van alle informatie Assets, invoeren Eigenaarschap (rol/verantwoordelijkheden), doorvoeren verbeterpunten in informatiebeveiliging en beveiligingincident aanpak en procedures, herdefiniëren en update van de Governance (J-SOX/ISAE 3402/COSO, beveiligingsbeleid, richtlijnen voor audit & control, functiescheiding), opfrissen awareness, aanpassen processen en AO (access cotrol, autorisatie, afstemmen met de Outsourcing partij), de procedures en de werkinstructies. Gezamenlijk met HRM, ICT, Finance en AO/IC zijn de diverse verbeterpunten voorbereid en doorgevoerd.
____________________________________________________________________________________________
Diverse organisaties (overheid en bedrijfsleven, privaat en publiek)
Service Management en security. Opstellen van SLA’s en uitvoeren en verantwoorden van werkzaamheden conform SLA’s. Specifieke aandachtspunten daarbij: beveiligingsincidenten (melden/afhandelen), escalatieproces, uitwijk en ketentesten beheer.
____________________________________________________________________________________________
Air France KLM. Identity Management en role based access. In samenwerking met de systeem/proces eigenaren, functioneel beheer en de ICT afdeling.
___________________________________________________________________________________
Financiële instellingen
  • Ten behoeve van een Europees bedrijfsonderdeel. Verantwoordelijk voor het realiseren van certificeer faciliteiten ten behoeve van externe koppelingen (requirements, processen, systemen en mensen) en de daarbij behorende Governance, spelregels en procedures.
  • Corporate Taskforce. Doel: op orde brengen van zaken rondom de vele externe koppelingen met uitbestedingpartners en het (doen) certificeren van deze externe koppelingen.
  • Vanuit de bedrijfsvoering (marketing en verzekeringen) waren diverse uitbestedinginitiatieven opgestart. Het ontbrak bij de desbetreffende bedrijfsonderdeel aan voldoende/up to date kennis van: het beleid, de afspraken en spelregels, de inhoud van de overeenkomsten, de eisen van de toezichthouders, de technische mogelijkheden, de Security/Risk Management best practices en regels.
  • De organisatie was volgens de toezichthouder onvoldoende In Control met betrekking tot de beveiliging van de externe koppelingen (van en naar derde partijen). De situaties is hersteld door de set aan maatregelen die gelden voor outsourcing te hanteren. Hiermede werd voldaan aan de SAS 70 (nu ISAE 3402) voorwaarden.