Privacy management. Wetgeving bindende aanwijzing tenzij: opzet ernstige nalatigheid. AVG EU-brede superwet. WBP+ EU-richtlijn 95/46/EG

Transcriptie

1 Privacy management De vijf kenmerken van géén opzet of ernstige nalatigheid 11 juni 2015 Sergej Katus Partner Mr S.H. Katus CIPM Wetgeving bindende aanwijzing tenzij: opzet ernstige nalatigheid Art. 66 lid 4 WBP WBP EU-richtlijn 95/46/EG Reputatieschade Aansprakelijkheid Inspectie & dwang WBP+ EU-richtlijn 95/46/EG Reputatieschade Aansprakelijkheid Inspectie & dwang AVG EU-brede superwet Reputatieschade Aansprakelijkheid Inspectie & dwang > < >

2 Systeem van de wet Waarborgen voor de gegevensprivacy 1. Borging (governance) 2. Bijzondere thema s 3. Operationele aspecten Doel van de wet Evenwichtsbeginsel WBP/AVG Fair play 2

3 Fair play-principes 3. Legitimiteit ( grondslag ) 7. Informatiekwaliteit 8. Informatieveiligheid 9. Beleidstransparantie 10. Privacy services (inzage etc.) Spoort met artikel 66 WBP Geen boete (grof gezegd) 1. Voldoen aan de meldplichten 2. Voldoen aan een bindende aanwijzing 3. Voldoen aan hoofdstuk 2 WBP 4. Voldoen aan hoofdstuk 6 WBP 5. Voldoen aan hoofdstuk 11 WBP Welbeschouwd verwijst art. 66 naar de basisprincipes Basisprincipes van deugdelijk privacy management Effectiviteit Beleid en maatregelen Voldoen aan de wet Praktisch Technocratisch Naar de bedoeling Oplossingsgericht Naar de letter administratieve lasten Onbezonnen Symbolisch Niet voldoen aan de wet 3

4 Bijvoorbeeld HR 9 sept 2011 ECLI Legitimiteit 7. Informatiekwaliteit 8. Informatieveiligheid 9. Beleidstransparantie 10. Privacy services Of uzelf Melding datalek 3. Legitimiteit 7. Informatiekwaliteit 8. Informatieveiligheid 9. Beleidstransparantie 10. Privacy services Informatiebeveiliging Voorkomen is veruit te verkiezen boven genezen Privacy management 4

5 De essentie van de WBP Managementinstructies Bijvoorbeeld artikel 13 WBP De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer ( ) Ten uitvoer leggen Sturing Act Plan Check Do 5

6 Zonder governance geen waarborgen Governance Rekenschap Legitimiteit Proportionaliteit Doelbinding Relevantie Informatiekwaliteit Informatieveiligheid Beleidstransparantie Privacy services Negatieve persoonlijke impact (risico s voor personen) Passende waarborgen Privacy Impact Assessment Gebalanceerde mix van maatregelen Hoog Organisatie3impact C C1 B1 B2 B3 Laag A C3 Midden B C2 A1 0 A2 A3 Laag Midden 1 2 Hoog 3. Legitimiteit 7. Informatiekwaliteit 8. Informatieveiligheid 9. Beleidstransparantie 10. Privacy services 3 Persoonlijke+ impact 6

7 Risicobeheersing Organisatorisch, technisch, juridisch Privacy by Design Privacybestendigheid 3. Legitimiteit 7. Informatiek waliteit 8. Informatiev eiligheid 9. Beleidstransparantie 10. Priv acy services Regievoering A B C Documentatie Wettelijk, behoorlijk, zorgvuldig (art. 6 WBP) 7

8 Organiseren op privacy Integraal privacy management Good governance Visie Risicomanagement Bescherming van personen Voldoen aan de wet Sturing Act Management Beleid Plan Efficiënter Effectiever Klantgerichter Veiliger Maatschappelijk vertrouwen License to operate Ruimte voor innovatie Duurzaam Processen PIA Check Uitrol Do Mensen Rekenschap*& Transparantie Belangenafwegingen ICT Wettelijke eisen pmpartners.nl Privacy3 waarborgen De drijvende kracht Data Protection Officer Functionaris voor de Gegevensbescherming 2-toezichthouder (62-64 WBP) Toezicht Advies Ombudsfunctie Regulatory affairs expert op het gebied van privacywetgeving;; praktijkdeskundig (kennis van organisaties, processen, ICT en informatiebeveiliging);; onafhankelijk en betrouwbaar;; gevoel voor de interne en externe verhoudingen;; beroepservaring die past bij zijn verantwoordelijkheden;; vaardigheden op het gebied van PR & communicatie / regulatory affairs. Organisatiecoach / privacy-accountant 8

9 Governance-structuur Privacy Management Systeem (PMS) Overkoepelend privacybeleid Privacybeleidskaders Evt. binding corporate rules Sturing 3. Legitimiteit 7. Informatiekwalit eit 8. Informatieveilig hei d 9. Beleidstranspar an tie 10. Privacy services Privacy office Data Protection Officer Directie Afdelingen JZ, IT-security, risk, audit, compliance, communicatie, ICT, inkoop 2 e lijn ondersteuning Klantgegevens Personeelsgeg eve ns Beveiligingsgegev en s Chef Commercie Chef Personeelszaken Chef Veiligheid Klantprocessen Werkgeverpro ces se n Processen bedrijfsbeveiliging /fraudebestriji dn g Leidinggevend en Leidinggevend en Leidinggevend en Themabeleid Themabeleid Themabeleid Organisatiecultuur verantwoordelijkheid nemen verantwoordelijkheidafleggen geest van de wet evenwichtig handelen consistent handelen bespreekbaarheid voorbeeldgedrag uitvoerbaarheid transparantie handhaving 9

10 Voortgangsmonitoring PMP PrivacyManager SMART-controls & workflow management De vijf kenmerken key controls van géén opzet of nalatigheid 1. Bestuurlijke portefeuillehouder Privacy & Informatiebeveiliging 2. Ondersteuning door een gekwalificeerde Data Protection Officer 3. Functionerend Privacy Management Systeem (PDCA) 4. Sturing op resultaten en gedrag 5. Klantvriendelijke privacy-services ( optimaliserend ) Privacy maturity index 5 Optimaliserend Organisatiebreed privacybeleid gekenmerkt door vanzelfsprekendheid en natuurlijke samenwerking. Optimalisering van beheersmaatregelen is een continu proces en gebeurt op basis van feedback en evaluaties. 4 Gemanaged Organisatiebreed privacybeleid gekenmerkt door hoge awareness, en bijsturing van beheersmaatregelen op basis van periodieke evaluaties. 3 Afgebakend Organisatiebeleid op de onderdelen die het meest in het oog springen als risicovol. Processen worden in kaart gebracht en voorzien van bijpassende beheersmaatregelen. 2 Herhaalbaar De organisatie beschikt over beheersmaatregelen maar risico s zijn niet noodzakelijk overal afgedekt en gedocumenteerd. 1 Ad hoc Maatregelen staan op zichzelf en ontbreken bij andere aandachtsgebieden. Ze zijn vaak te operationeel, missen consistentie en zijn niet noodzakelijk toereikend. 0 Nalatig Privacy leeft niet. De wet wordt genegeerd. Privacywaarborgen zijn afwezig. 10

11 Hoe nalatig bent u? Doe de quick scan op 11