Agenda: 1. Doel en context van PIA 2. Output van een PIA 3. Wat is een PIA? 4. Bepalen mitigerende maatregelen Vingeroefening

Maat: px

Weergave met pagina beginnen:

Download "Agenda: 1. Doel en context van PIA 2. Output van een PIA 3. Wat is een PIA? 4. Bepalen mitigerende maatregelen Vingeroefening"

Stijn de Backer
5 jaren geleden
Aantal bezoeken:

1 Agenda: 1. Doel en context van PIA 2. Output van een PIA 3. Wat is een PIA? a) Gevolgen voor betrokkenen b) (kans op) dreigingen en kwetsbaarheden c) Risicobepaling 4. Bepalen mitigerende maatregelen Vingeroefening

2 1 - Doel en context van PIA AVG art 1 lid 1: bescherming van natuurlijke personen ivm de verwerking van persoonsgegevens. Hoe beschermen? 1. Nemen van verplichte maatregelen (FG, overeenkomsten, PbD 2 enz) 2. Nemen van maatregelen op basis van een Gegevensbeschermingseffectbeoordeling (PIA). AVG artikel 35 lid 1. Doel: Inzicht hebben in de risico s voor de betrokkenen van een verwerking van hun persoonsgegevens en daar waar nodig maatregelen nemen om die risico s te verlagen.

3 1 - Doel en context van PIA AVG artikel 35 lid 1. PIA Persoonsgegevens Verwerkingen van persoonsgegevens

4 2 - Output van een PIA Eisen aan een PIA rapport (AVG artikel 35 lid 7 ) Grotendeels uit het register Risico management proces

5 3 - Wat is een PIA? Gegevensbeschermingseffectbeoordeling = beoordeling privacy risico s. Risico beoordeling (PIA) moet inzicht geven in: - kans op dreiging, - welke misbruik maakt van een kwetsbaarheid, - met een (negatief) gevolg op de rechten en vrijheden van betrokkenen. - De noodzakelijke maatregelen om eventuele risico s te mitigeren. Risico Beoogde maatregelen

6 3a - Gevolgen voor betrokkenen Gevolgen van (financiële) identiteitsfraude: o Een mobiel abonnement, lening, creditcard of hypotheek wordt geweigerd (registratie BKR). o Problemen met solliciteren (VOG of VGB, verklaring van geen bezwaar). o Additionele kosten voor de slachtoffers om de situatie weer recht te zetten, notariskosten, advocatenkosten, proces- en gerechtskosten. o Tijdverlies, verliezen werk- en vakantie-uren en hun productiviteit lijdt eronder. o Emotionele stress, woede, een verslechtering van hun relaties en een gevoel van machteloosheid. o Moeilijk en haast onmogelijk om het bedrijf of de financiële instelling aansprakelijk te houden voor hun insolvente status ondanks het feit dat de instellingen een fout hebben gemaakt bij het verifiëren van de informatie van de cliënt.

7 3a - Gevolgen voor betrokkenen Gevolgen van (criminele) identiteitsfraude: o Onterechte rekeningen, boetes en incasso s voor door de crimineel afgenomen producten/diensten. o Beslaglegging bankrekening. o Worden aangehouden voor te hard rijden en in plaats van een boete te krijgen worden meegenomen naar het politiebureau omdat er een bevel voor arrestatie openstaat op hun naam. o Worden aangehouden bij het inchecken voor een vliegreis of bij de douane. o Opbouw van een onterecht strafblad (hele leven een strafblad zonder dat het slachtoffer ooit een misdaad heeft gepleegd).

8 3 - Wat is een PIA? Gegevensbeschermingseffectbeoordeling = beoordeling privacy risico s. Risico beoordeling (PIA) moet inzicht geven in: - kans op dreiging, - welke misbruik maakt van een kwetsbaarheid, - met een (negatief) gevolg op de rechten en vrijheden van betrokkenen. - De noodzakelijke maatregelen om eventuele risico s te mitigeren. Risico Beoogde maatregelen

dreiging: klant wil niet geïdentificeerd worden. Kwetsbaarheid = zwak punt, vaak blijvende aard, te beïnvloeden.

9 3b (kans op) dreigingen en kwetsbaarheden Dreiging = aanval, vaak incidenteel, moeilijk te beïnvloeden. Kans: Bij een gehoorapparaat > laag Bij amputeren van ledemaat > nihil Bij verslavende medicatie > redelijk Bij facelift > groot Voorbeeld van een dreiging: klant wil niet geïdentificeerd worden. Kwetsbaarheid = zwak punt, vaak blijvende aard, te beïnvloeden. Voorbeeld van kwetsbaarheid: Vergeten te vragen. Klant niet willen beledigen. Onvoldoende kennis om te beoordelen. Niet durven doorvragen. Verkeerde uitvoering (kopie paspoort) Gunst aan klant verlenen. Controle apparaat niet beschikbaar Tijdgebrek.

10 3 - Wat is een PIA? Gegevensbeschermingseffectbeoordeling = beoordeling privacy risico s. Risico beoordeling (PIA) moet inzicht geven in: - kans op dreiging, - welke misbruik maakt van een kwetsbaarheid, - met een (negatief) gevolg op de rechten en vrijheden van betrokkenen. - De noodzakelijke maatregelen om eventuele risico s te mitigeren. Risico Beoogde maatregelen

3c - Risicobepaling - kans op dreiging, - welke misbruik maakt van een kwetsbaarheid, - met een (negatief) gevolg op de rechten en vrijheden van betrokkenen.

11 3c - Risicobepaling - kans op dreiging, - welke misbruik maakt van een kwetsbaarheid, - met een (negatief) gevolg op de rechten en vrijheden van betrokkenen. Het risico bij het controleren van de identiteit van de klant dat [dreiging] de klant niet geïdentificeerd wil worden door gebruik te maken van [kwetsbaarheid] onvoldoende kennis van de medewerker met als resultaat dat [gevolg] de kosten van de behandeling voor rekening van het slachtoffer zijn is [niveau] gemiddeld. Kans op dreiging x mate van kwetsbaarheid x gevolg voor betrokkenen

12 4 - Mitigerende maatregelen Het risico bij het controleren van de identiteit van de klant dat de klant niet geïdentificeerd wil worden door gebruik te maken van onvoldoende kennis van de medewerker met als gevolg dat de kosten van de behandeling voor rekening van het slachtoffer zijn is gemiddeld. Mogelijke maatregelen: Kennis van de medewerker vergroten om de identiteit te kunnen controleren (verlaging van kwetsbaarheid). De klanten direct zelf te laten betalen voor de behandeling (verlaging van het gevolg).

13 Vingeroefening Groepjes van 4. Maak gebruik van eerdere registratie van je verwerking. Bedenk bij de verwerking: een kans op dreiging een kwetsbaarheid een gevolg voor de betrokkenen Bepaal de bijbehorende waardes en bereken het risico. Bepaal de 2 maatregelen om het risico te verlagen. Deel ervaring en leerpunten Het risico bij [verwerking] dat [dreiging] door gebruik te maken van [kwetsbaarheid] met als resultaat dat [gevolg] is [niveau]. Invullen van criteria (dreiging, kwetsbaarheid en gevolg). Formuleren en berekenen van het risico. Bepalen van de juiste maatregelen.

Samenvatting en tips Maak voor de uitvoering van de PIA gebruik van: een quickscan voor de organisatie om te beoordelen of een RfC (Request for Change) of een project een PIA moet doorlopen.

14 Samenvatting en tips Maak voor de uitvoering van de PIA gebruik van: een quickscan voor de organisatie om te beoordelen of een RfC (Request for Change) of een project een PIA moet doorlopen. het bestaande risico management proces het verwerkingsregister Concentreer je op het duidelijk (vooraf) benoemen van de risicocriteria (kans op dreiging, kwetsbaarheid en gevolg), dan komt het risico vanzelf. Zorg voor aantoonbaarheid (PIA rapport) Ja, rapport moet voldoen aan de eisen maar laat het vooral nuttig en begrijpbaar zijn voor de organisatie Maak eventueel gebruik van bestaande PIA methodieken, zie: AP ( NOREA ( IBD KING (

Vergelijkbare documenten

Wie ben ik? Marc Hagemeijer Senior security en privacy consultant

Wie ben ik? Marc Hagemeijer Senior security en privacy consultant marc.hagemeijer@isatis-cybersecurity.nl +31 6 111 676 48 LinkedIn https://www.linkedin.com/in/mhagemeijer/ Agenda: 1. Doel en context van