Hoe ziet de organisatie privacy? > Waar staat de organisatie? > Wie moet iets doen? > Wat moet er gedaan worden? > Hoe doe je dat?

Transcriptie

1 Hoe ziet de organisatie privacy? > Waar staat de organisatie? > Wie moet iets doen? > Wat moet er gedaan worden? > Hoe doe je dat? 31 januari 2018 Huib Gardeniers

2 De evolutie van het privacyrecht Gelijk niveau van bescherming persoonsgegevens in alle EU-lidstaten 1980 Privacy beginselen Nationale wetgeving 1995 Europese Privacy richtlijn 2001 Wet Bescherming Persoonsgegevens Voorstel EU Verordening 25 mei AVG Europees verdrag voor de rechten van de mens Database Compliance Beginnende compliance t.a.v. verwerkingen en organisatie Business compliance Continu in control + accountability

3 Meer en meer samenloop van onderwerpen Verschuiving van focus Steeds minder juridisch Meer ICT en beveiliging (datalekken) Governance, Risk en Compliance Communicatie en voorlichting

4 Waar staat de organisatie? Inzicht in niveau van maturity van de organisatie: Kennisniveau: niet herkennen = niet erkennen van problemen Is er voldoende basis kennis? op de werkvloer en bij uitvoerders? bij de leiding en aan de top? Waar is aanwezige deskundige kennis: intern en/of extern? Ambitieniveau: Niveau van de implementatie van informatiebeveiliging Zowel t.a.v. van privacy als dataprotectie regelgeving Tijdig toetsen en analyseren van risico's

5 appetite Privacy als risico: Operationeel/financieel risico i.v.m. continuïteit bedrijfsvoering Bijvoorbeeld door stopzetten verwerking en/of vertraging door herstelwerkzaamheden Verlies vertrouwen, verstoorde relatie, beschadigde reputatie Maatschappelijke verontwaardiging Boete, dwangsom, schade? Non-compliance: onwetende waaghalzerij - of - gebalanceerde risk-appetite?

6 Zoals: Eerdere incidenten Grote gegevensverzamelingen Veel bijzondere of gegevens van gevoelige aard (Complexe) samenwerkingsverbanden Internationaal Veel vraagstukken met zware afwegingen Maatschappelijk snel ervaren als onacceptabel (moeten) nemen, open, pro- of inactief)

7 Governance (Wie) Verantwoordelijke voor de gegevensverwerking 1 e lijn bedrijfsonderdelen 2 e lijn FG + ondersteuning (C)ISO, Risk, Compliance Officer 3 e lijn Audit

8 De interne functionaris voor privacy De Functionaris Gegevensbescherming De compliance officer De privacyfunctionaris toezicht houden inventarisatie van gegevensverwerkingen register van gegevensverwerkingen aanspreekpunt voor vragen en klachten betrokkenen binnen+buiten de organisatie interne regelingen en procedures ontwikkelen adviseren over technologie en beveiliging (privacy by design / DPIA) toetsen compliance (rechtmatigheid)

9 WAT & HOE voor 9 onderwerpen 1 Documentatieplicht 2 Transparantie (geïnformeerd) 3 DPIA s 4 Privacy by design & Privacy by default 5 Verwerkersovereenkomsten 6 Toezicht en rapportages incl. datalekken 7 Rechten betrokkenen 8 Informatiebeveiliging en naleving 9 Bewustwording Compliance (onderdeel Documentatieplicht en DPIA s)

10 1. Documentatieplicht: WAT Laten zien (letterlijk) wat je doet + dat het mag (compliance) Documentatie per verwerking (proces) Basis info over verwerking (soort gegevens, betrokkenen, ect). Juridische basis (compliance - mag het?) Hoe wordt voldaan aan informatieverplichting? Klachten en incidenten zoals datalekken Bewaartermijnen Beleid en maatregelen om compliance aan te tonen Gegevensbeveiliging (Beveiligingsbeleid en plannen + risicobeoordelingen) Meer dan enkel art. 30 AVG. Zie ook art. 5, lid 2, 13/14 en 32, lid 1

11 1. Inventariseren: HOE Inventarisatie : verwerkingen processen systemen Juridische fictie van een verwerking <> datamapping

12 2. Transparantie (geïnformeerd): WAT Eigen organisatie Toezichthouders Betrokkenen (zoals medewerkers en klanten)

13 2. Transparantie (geïnformeerd): HOE Intern en toezichthouders Documentatieplicht Toezichtrapportages Betrokkenen Beschrijven wat er met gegevens gebeurt i.p.v. juridisch gebabbel: van iconen tot simpel taalgebruik Gebruik als en voor zover mogelijk de Mijn-omgeving

14 Informatieplicht Nu al: identiteit verantwoordelijke en doeleinden waarborgen behoorlijke en zorgvuldige verwerking rechten betrokkene AVG ook: Bewaartermijn Nieuwe rechten Ontvangers Internationale verstrekking Verstrekken gegevens verplicht of vrijwillig + gevolgen Bron van niet bij betrokkene verkregen gegevens

15 3. (D)PIA s: WAT & HOE WAT Als het nodig is wordt een (D)PIA uitgevoerd die ziet op compliance en risico s HOE Gebruik WP 248 van de art. 29 Groep met de Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is likely to result in a high risk for the purposes of Regulation 2016/679 van 4 oktober 2017 Vanmiddag hoort u er meer over

16 4. Privacy by design & Privacy by default: WAT & HOE Privacy by design houdt in dat vanaf het ontwerpen van een nieuw of aangepast proces, product of dienst of informatiesysteem wordt nagedacht over compliance Privacy by default betekent dat de werkwijze in de praktijk (systemen en procedures) maximale privacy bescherming te borgen. Bij maximaal lees: wat gelet op de bedrijfsvoering mogelijk is

17 5. Verwerkersovereenkomsten: WAT Bij uitbesteding van werkzaamheden moet de verwerking van gegevens zorgvuldig en rechtmatig blijven en moet de informatiebeveiliging in stand blijven Duidelijk moet zijn welke partijen verwerker zijn Duidelijk moet zijn welke partijen van wie gegevens verkregen worden en aan wie gegevens verstrekt worden zelf verantwoordelijke zijn (en dus geen verwerker) Duidelijk moet zijn of er mede-verantwoordelijken zijn Volgende week hoort u er meer over

18 5. Verwerkersovereenkomsten: HOE Afspraken maken volgens interne richtlijn en modelverwerkersovereenkomst Denk bij IT aan: Levering applicatie Gebruik dagelijkse werkzaamheden Database beheer (inhoud) Technisch beheer (up & running) 1e en 2 e lijns gebruikersondersteuning autorisaties toekennen en technisch inregelen Back-ups Hosting Denk bij uitbesteding van inhoudelijke werkzaamheden aan instructies (uitvoering)

19 6. Toezicht en rapportages: WAT & HOE WAT Audit / rapportages / verklaringen van verwerkers / Functionaris gegevensbescherming / PIA / Datalekkenrapportage (alle) en procedure / Leidende toezichthouder HOE stel de controleur vast (FG / IBF / Bedrijfsjurist) stel de documenten vast en wie daar voor zorgt

20 Datalekken: WAT De grip op gegevens is verloren Gegevens kunnen onterecht terecht komen bij personen. De gegevens zijn weg terwijl dat niet had gemoeten (brand bijvoorbeeld) De gegevens zijn onterecht nog aanwezig (niet verwijderd / vernietigd)

21 Datalekken: HOE Eigen register 33 lid 5 AVG (alle) Melden bij toezichthouder (AP of ook buitenland?) 33 lid 1 AVG + vooral bij bijzondere en gegevens van gevoelige aard Melden bij betrokkene 34 AVG (als er echt schade dreigt). NIET o.g.v. AVG voor Wft?!

22 Sommige gegevens zijn belangrijker dan andere Bijzondere persoonsgegevens (AVG + Uitvoeringswet t.a.v. strafrecht etc.) Religieuze of levensbeschouwelijke overtuigingen Ras of etnische afkomst Politieke opvattingen Lidmaatschap van een vakbond Gezondheid + Genetische gegevens Seksueel gedrag of gerichtheid Biometrische gegevens identificatie Strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen / door rechter opgelegd verbod n.a.v. onrechtmatig of hinderlijk gedrag Verwerking is verboden, behoudens.... bij wet bepaald + uitzonderingen (art.23 Wbp / art. 9 AVG en Uitvoeringswet) Gegevens van gevoelige aard (gegevens met verhoogd risico) Burger Service Nummer (wettelijke persoonsnummers) Gegevens over de financiële of economische situatie van de betrokkene (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, prestaties op school, relatieproblemen, etc.) Gebruiksnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden gebruikt voor (identiteits)fraude Gegevens over kinderen Van belang bij datalekken, informatiebeveiliging, noodzaak gegevens

23 7 Rechten van de betrokkene (Wat) 1.Informatieplicht 2.Recht op kennisneming 3. Recht op correctie 4. Recht van verzet 5. Recht op vergetelheid 6. Nieuwe rechten

24 De Verordening: extra rechten Profilering recht om niet te worden onderworpen aan een maatregel waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die deze in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking. Recht op beperking van de verwerking bij betwisten juistheid, onrechtmatig, niet meer nodig, bezwaar. Recht om gegevens mee te nemen (dataportabiliteit) recht op een kopie van de gegevens in een vorm waarbij deze verder door de betrokkene kunnen worden gebruikt. Recht op gegevenswissing (recht op vergetelheid)

25 7. Rechten betrokkenen: HOE Centraal versus decentraal behandelen? Procedures waar nodig Gebruik de Mijn-omgeving Bedenk dat de klantrelatie waarschijnlijk al verstoord is Klachten AP en intern

26 8. Informatiebeveiliging en naleving informatiebeveiliging WAT Aangetoond kan worden dat de informatiebeveiligingsmaatregelen toereikend zijn en dat ze in de praktijk ook toegepast worden HOE Er is informatiebeveiligingsbeleid Er zijn risicoanalyses Er is op basis van de risicoanalyse een overzicht van maatregelen die getroffen moeten worden De maatregelen zijn getroffen Het is gecontroleerd

27 9. Bewustwording (maturity): WAT Ingebakken in de werkprocessen : 1) in AO-beschrijvingen ook de gegevensverwerking opnemen (registratie en verwerking van administratieve gegevens en overzicht èn inzicht omtrent de bedrijfsprocessen en benodigde middelen) 2) de systeemhandleidingen voor medewerkers die systemen gebruiken Met Privacy by design & Privacy by default gaat het bewust goed Behoort tot goed werknemerschap (vertrouwelijkheid) Niet als iets aparts aan denken, maar als vanzelf doen

28 9. Bewustwording: HOE Iedereen weet dat het rechtmatig, behoorlijk en transparant moet Het bestaand papier van de documentatieplicht met: als er iets wijzigt, dan dat melden Datalekken: straffen of belonen? Iedereen doet aan informatiebeveiliging: gewoon doen (maar overvraag niet) en verlies de grip op de gegevens niet met concrete instructies voor medewerkers bijv. neem geen dossiers mee naar huis, laat je bedrijfslaptop niet slingeren, let op wat je per verstuurd en vooral aan wie je mailt, meldt het als je je laptop of telefoon verliest

29 Compliance Het mag pas als Rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens Doel, doelbinding, bewaren en allerlei hergebruik (managementrapportages/ zicht op klanten/profilering). Volgende week meer hergebruik en profileren Gegevens zijn juist, actueel, accuraat, toereikend, niet overmatig Let op bijzondere gegevens en gegevens van gevoelige aard De juridische basis voor verwerken van gegevens met (a) gerechtvaardigd doel (= + grondslag) (b) bijzondere gegevens (c) doorgifte buiten de EU (EER)

30 De grondslagen van artikel 8 Wbp / 6 AVG Ondubbelzinnige toestemming Overeenkomst (betrokkene partij) Wettelijke verplichting Vitaal belang Goede vervulling publiekrechtelijke taak Gerechtvaardigd belang

31 De 10 stappen van de AP STAP 1: BEWUSTWORDING STAP 2: RECHTEN VAN BETROKKENEN STAP 3: OVERZICHT VERWERKINGEN STAP 4: DATA PROTECTION IMPACT ASSESSMENT STAP 5: PRIVACY BY DESIGN & PRIVACY BY DEFAULT STAP 6: FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING STAP 7: MELDPLICHT DATALEKKEN STAP 8: VERWERKERSOVEREENKOMSTEN STAP 9: LEIDENDE TOEZICHTHOUDER STAP 10: TOESTEMMING

32 Extra stappen 1. Privacy governance 2. Beveiliging 3. Informatieplichten 4. Toezicht, Monitoring en auditing 5. Opleiding en Communicatie 6. Uitwerkingen van beleid