Grip op privacy. Bestuurlijk belang bij privacybeleidsvoering. De Zeeuwse Leertuin Middagprogramma. Middelburg, 1 juli 2015

Transcriptie

1 Grip op privacy Bestuurlijk belang bij privacybeleidsvoering De Zeeuwse Leertuin Middagprogramma Middelburg, 1 juli 2015 Mr S.H. Katus CIPM Partner Privacy Management Partners sergej.katus@pmpartners.nl

2 Agenda 1. Waarom privacy 2. Uitkomst privacyscan gemeenten 3. Beheersmaatregelen

3 Wat is privacy? Wet Bescherming Persoonsgegevens en aanverwante wetten Gegevensprivacy Lichamelijke privacy Huiselijke privacy Communicatieprivacy GEEN Toestemming tenzij Altijd Toestemming tenzij Altijd Toestemming tenzij Altijd Toestemming tenzij Art. 10 Grondwet Art. 11 Grondwet Art. 12 Grondwet Art. 13 Grondwet

4 Klantgerichtheid Positief en negatief effect van informatieverwerking

5 Hoog Bestuurlijk effect Midden Laag Beleidsdoel Passende waarborgen ( privacybescherming ) C B A 0 C1 C2 C3 B1 B2 B3 A1 A2 A3 Laag Midden Hoog Persoonlijk effect Mix van maatregelen 1. Governance 2. Rekenschap 3. Legitimiteit ( grondslag ) 4. Proportionaliteit 5. Doelbinding 6. Relevantie 7. Informatiekwaliteit 8. Informatieveiligheid 9. Beleidstransparantie 10. Privacy services (inzage etc.)

6 Rechtmatige overheid Ruimte voor gemeentelijke taakuitoefening Behoorlijk, zorgvuldig en in overeenstemming met de wet

7 15 jaar achterop Brevet van onvermogen

8 Effectiviteit Beleid en maatregelen Voldoen aan de wet Praktisch Technocratisch Naar de bedoeling Oplossingsgericht Naar de letter administratieve lasten Onbezonnen Symbolisch Niet voldoen aan de wet

9 Aanscherping Bestuurlijke risico s WBP EU-richtlijn 95/46/EG Reputatieschade Aansprakelijkheid Inspectie & dwang WBP+ EU-richtlijn 95/46/EG Reputatieschade Aansprakelijkheid Inspectie & dwang / 10% AVG EU-brede superwet Reputatieschade Aansprakelijkheid Inspectie & dwang > 1 miljoen / 5% (?) < > 2015

10 Vertrouwen Hoe vaak denkt u aan privacy? Privacybeleving op het internet in Nederland (feb. 2015) Percentages in de grafiek hier weergegeven in hele getallen

11 Politiek Privacy is het nieuwe groen

12 Geprioriteerd

13 Iedereen toezichthouder Kans x impact

14 Uzelf melden Meldplicht datalekken Melding datalek Informatiebeveiliging Artikel 34a WBP Privacy management 1. Melding aan het CBP 2. Melding aan inwoners

15 UITKOMST PRIVACYSCAN

16 Quick scan Sociaal domein

17 Respons 100%

18 Beleidsadvies Inclusief stappenplan

19 Conclusie Meeste gemeenten onnodig kwetsbaar

20 BEHEERSMAATREGELEN

21 Systeem van de wet Handleiding privacy risicomanagement 1. Bestuurlijke borging & bewaking Good governance 2. Wettelijke aanvullingen Bijv. 3D-wetgeving en SUWI-wet 3. Operationele waarborgen Bijv. wel/geen toestemming, datakwaliteit, informatiebeveiliging

22 Bijvoorbeeld artikel 13 Informatiebeveiliging De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen ( ) Mix van maatregelen 1. Governance 2. Rekenschap 3. Legitimiteit ( grondslag ) 4. Proportionaliteit 5. Doelbinding 6. Relevantie 7. Informatiekwaliteit 8. Informatieveiligheid 9. Beleidstransparantie 10. Privacy services (inzage etc.)

23 Ten uitvoer leggen Sturing / management Act Plan Check Do

24 Vaak complex Multidisciplinair vraagstuk

25 Supervisie Data Protection Officer ( privacyfunctionaris ) Privacyaccountant Coaching / coördinatie (bestuursadviseur) Toezicht Hulp bij verantwoording (wettelijk zwaarwegend oordeel) Ombudsfunctie Buffer CBP Kennisborging Modaliteiten In dienst Ingehuurd Gezamenlijk Wettelijk profiel Expert op het gebied van privacywetgeving Kennis van ICT, processen, etc. Onafhankelijk en betrouwbaar Aanjager / kwaliteitsbewaker

26 Borging / governance Rollen & verantwoordelijkheden Overkoepelend privacybeleid 1. Governance 2. Rekenschap 3. Legitimiteit 4. Proportionaliteit 5. Doelbinding 6. Relevantie 7. Informatiekwaliteit 8. Informatieveiligheid 9. Beleidstransparantie 10. Privacy services Advies & toezicht Sturing College van B&W Privacyfunctionaris Gemeentelijke voorzieningen BRP Jeugdzaken WMO-taken Werk en Inkomen Openbare orde en veiligheid Chef burgerzaken Chef jeugdzaken Chef zorgtaken Chef W&I Chef O&V BRP-processen Processen jeugdzorg Processen WMO Processen W&I Processen O&V Leidinggevenden Leidinggevenden Leidinggevenden Leidinggevenden Leidinggevenden Themabeleid Themabeleid Themabeleid Themabeleid Themabeleid

27 Privacybewust-zijn Organisatiecultuur verantwoordelijkheid nemen verantwoordelijkheid afleggen geest van de wet evenwichtig handelen consistent handelen bespreekbaarheid voorbeeldgedrag uitvoerbaarheid transparantie handhaving Gedrag

28 Rekenschap Beleidsdocumentatie, monitoring, bewijs PMP PrivacyManager Account-ability

29 Doel: wettelijk niveau Voldoen aan de wet

30 Bestuurlijke voordelen MVO met informatie Behoorlijk Bestuur Visie Bescherming van burgers Beheersing van bestuurlijke risico s Publieke taakuitoefening Voldoen aan de wet Sturing Act Management Beleid Plan Efficiënter Effectiever Klantgerichter Veiliger Maatschappelijk vertrouwen Legitimiteit Ruimte voor innovatie Processen PIA Check Digitale Duurzaamheid Uitrol Do Mensen Rekenschap & Transparantie Privacywaarborgen Belangenafwegingen ICT Wettelijke eisen pmpartners.nl

31 Logische stappen Begin van good governance 1. Overnemen beleidsadvies (aangeleverde beleidsnotitie) 2. Beheersing bestuurlijke risico s (quick win) Privacyfunctionaris (aanbevolen of verplicht) Privacybeleidskaders Privacy Management Systeem (ijkpunten / control framework) 3. Verdere uitwerking In kaart brengen werkprocessen, informatiestromen en gegevensopslag Toetsing gebruikte oplossingen Optimalisering privacywaarborgen (organisatorisch, technisch, juridisch) Bewustwording en training Beleidstransparantie (maatschappelijk, bestuurlijk) 4. Regionale samenwerking? (schaalvoordelen) Privacyfunctionaris Kennis, expertise, training Gezamenlijke ketenregie & informatiedeling