Privacy Impact Assessment Privacy by design

Maat: px

Weergave met pagina beginnen:

Download "Privacy Impact Assessment Privacy by design"

Marina van der Laan
4 jaren geleden
Aantal bezoeken:

1 Privacy Impact Assessment Privacy by design André van Peppen (0)

2 Agenda Privacy als mensenrecht ICT ontwikkeling Verwerken & persoonsgegevens Risico s en bedreigingen Privacy wet- en regelgeving Meldplicht datalekken Privacy Impact Assessment (PIA); nulmeting en vervolgmeting Privacy by design

3 Privacy als mensenrecht 1948, General Assembly UN, Universal Declaration of Human Rights: No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence. 1950, Council of Europe, European Convention on the Protection of Human Rights and Fundamental Freedoms: Everyone has the right to respect for his private and family life, his home, and his correspondence. European Court of human Rights; (groups of) individuals, organisations, and countries can file complaints against Council of Europe member states.

4 Enkele ICT ontwikkelingen Toenemende informatisering Krachtigere, meer omvattende ICT systemen Grotere dataverzamelingen Explosive van connectiviteit Verknoping van IT-systemen over organisaties heen Grotere sociaal-economische afhankelijkheid van ICT systemen Explosie van de verwerking van persoonsgegevens

5 Verwerken Kernwoord Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming Verwerken = alles wat je met persoonsgegevens kunt doen ü Opslaan, wissen, doorgeven, kopiëren, archiveren, bijwerken, raadplegen, verspreiden, samenbrengen, etc. Verwerken = aantoonbaar beschermen

6 Persoonsgegevens Ieder gegeven dat direct en/of indirect naar een natuurlijk persoon herleidbaar is. Naam, adres, postcode, woonplaats, IP adressen, adressen, telefoon /mobiele nummers, etc., etc. Verwerking onder voorwaarden

7 Persoonsgegevens Identificatienummers bij wet geregeld Burgerservicenummer (BSN) Vreemdelingennummer Strafketennummer. Verwerking onder voorwaarden van specifieke wet; anders verboden

8 Gevoelige persoonsgegevens Persoonsgegevens met hogere impact bij onrechtmatig inzage/gebruik. Godsdienst of levensovertuiging, etniciteit, seksuele geaardheid, gezondheid, politieke gezindheid, lidmaatschap vakvereniging, strafrechtelijke gegevens Verwerking verboden, tenzij

9 Enkele bedreigingen Cybercrime en risico s nemen toe Hacking, malware, DDoS, social engineering, spoofing Uitval, verlies data integriteit, datalekken, economische schade, reputatie-schade, aansprakelijkheid, sancties, Veel aandacht media / meer bewustwording over incidenten, schendingen en fraude Verwachting dat u het goed regelt, nemen toe Compliance eisen nemen toe

10 ID fraude in Nederland Circa 5,6% van de burgers slachtoffer van ID fraude in In was dit circa 13,3 %. Naar schatting 9,5% van de gehele bevolking heeft financiële schade geleden. Over 2012 zijn tussen de en burgers slachtoffer geweest. Totale schade tussen 393 tot 508 miljoen. BRON: Brief minister Plasterk aan Tweede Kamer op 2 april 2013 over de Voortgang Toekomstbestendigheid Identiteitsinfrastructuur.

11 Privacy wet- en regelgeving Europese Richtlijn bescherming persoonsgegevens 95/46/EC Wet bescherming persoonsgegevens (Wbp) bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens het vrije verkeer van die gegevens Meldplicht datalekken (uitbreiding Wbp) Algemene Verordening Gegevensbescherming 2016/679 - van kracht per 25 mei 2018 in lidstaten EER

12 Privacy wet- en regelgeving Meldplicht datalekken Per 1 januari 2016 Binnen 72 uur aan Autoriteit Persoonsgegevens Informeren betrokkenen (geregistreerden) bij kans op schade Sancties: max of 10% netto jaaromzet (afhankelijk van hetgeen passend wordt geacht)

13 Privacy wet- en regelgeving Algemene Verordening Gegevensbescherming (1) Meldplicht datalekken aan autoriteiten en betrokkenen Aanscherping van rechten betrokkenen Verplicht uitvoeren Privacy Impact Assessments (PIAs) Beveiliging verplicht: Privacy by Design, Privacy Enhancing Technologies, security by default

14 Privacy wet- en regelgeving Algemene Verordening Gegevensbescherming (2) Verplicht bijhouden register van verwerkingen (inhoud, techniek, getroffen maatregelen beveiliging, etc.) Verplicht aanstellen functionaris gegevensbescherming Privacy-risico s aantoonbaar (audits) beheerst en beperkt (omkering bewijslast) ook bij uitbesteding (!) Sancties tot 20 miljoen euro of tot 4% wereldwijde jaaromzet

15 Privacy principes Noodzaak, gerechtvaardigd belang, wettelijke basis/context (grondslag) Beperk verzamelen en gebruik (proportionaliteit/subsidiariteit) Doelbinding Transparantie Rechten van de betrokkene (geregistreerde) Toestemming/bezwaar (verwijderen/anonimiseren); inzage; correctie en aanvulling Data kwaliteit/integriteit Beveiliging Verantwoording

16 PIA 0-meting Zonder beveiliging Intrinsieke privacy-risico s voor de betrokkene (geregistreerde) Non-compliance risico s voor organisatie Vóóraf aan de wijziging van wetgeving (compliance) Vóóraf aan de wijziging van de business Vóóraf aan de wijziging van het (privacy)beleid van de organisatie Vóóraf aan de ontwikkeling nieuwe ICT systemen

17 PIA 0-meting Aantal betrokkenen; kwetsbaarheid betrokkenen (minderjarigen, asielzoekers, verslaafden, etc.) Hoeveelheid en gevoeligheid van de te verwerken persoonsgegevens; bij wet voorgeschreven identificatienummers Hoeveelheid gebruikers, gebruiker-organisaties en derden waarmee data worden uitgewisseld Consequenties van geautoriseerde verwerking < > autonomie van geregistreerde (medische behandeling, verblijfstatus, financiële positie, etc.) Consequenties van ongeautoriseerde verwerking < > autonomie van geregistreerde (fraude, stigmatisering, reputatieschade, etc.)

18 PIA vervolgmeting 0-meeting + beveiliging zoals geimplementeerd of voorgenomen Dus inclusief security assessment (operationele effectiviteit van de maatregelen) Privacy-risico s voor de betrokkene (geregistreerde) Non-compliance risico s voor organisatie Vóóraf aan de wijziging van wetgeving (compliance) Vóóraf aan de wijziging van de business Vóóraf aan de wijziging van het (privacy)beleid van de organisatie Vóóraf aan de (belangrijke) wijziging van ICT systemen

19 Privacy by design Strikte authenticatie en autorisatie (rollen & rechten; need to know; conflict of interest, etc.) Logische splitsing data; data classificatie; data life cycle Input/output validatie; procesvalidatie en exceptieprocedures Signalering en correctie foutieve registratie (dubbeling, incomplete, etc.) Encryptie van alle (waardevolle/risico-volle) data Alle data over beveiligde verbindingen/domeinen/infrastructuur

20 Privacy by design Data-arme gegevensuitwisseling (geen NAW, geboortedatum, etc., maar uitsluitend uniek (tijdelijk/situationeel) Idnummer Data link / voorkom onnodig kopieren en distribueren Poly-instantiation, pseudonimiseren en anonimiseren (no need to know) Logging + definitie wat daaruit wanneer te rapporteren Incident detection & respons Non-disclosure, bewerkingscontracten, uitwisselingscontracten

21 Privacy by design

Vergelijkbare documenten

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E GDPR voor providers Woensdag 28 maart 2018 14.15-15.00 uur mr. Michelle Wijnant ICTRecht CIPP/E PROGRAMMA: GDPR MASTERCLASS Ontwikkeling privacywetgeving begrippen Rolverdeling beginselen AVG: 10 belangrijkste