Waarom privacy een relevant thema is En wat u morgen kunt doen

Transcriptie

1 Waarom privacy een relevant thema is En wat u morgen kunt doen

2 Voorstellen Frank van Vonderen audit, informatiebeveiliging & privacy Management Consultant Adviseur én in de modder 20 jaar in 5 stappen: 1. Trainee 2. Big4 3. ZZP / Ondernemer 4. Global company 5. VKA 2

3 Waarschuwing vooraf! Het privacy vakgebied is onvolwassen 3

4 Agenda Waarom is privacy een relevant onderwerp, ook al weet Google toch al alles van je? Hoe het zit met al die wetgeving, datalekken en boetes? Wat organisaties morgen kunnen/moeten doen

5 Zo gebruikt u Mentimeter Stap 2 - Vul de code in Stap 1 - Ga naar: menti.com op je mobiele telefoon of tablet 5

6 Waarom is het een relevant onderwerp ook al weten Google en Facebook toch al alles van je

7 3 perspectieven Als individu Als medewerker Als burger/consument

8 = Juridische relevantie Privacy is een grondrecht Communicatie via telefoon en andere communicatiemiddelen Het recht om niet te worden bespied of afgeluisterd Het recht op zorgvuldige behandeling van persoonlijke gegevens Artikel 10 Grondwet Persoonlijke levenssfeer Beperkt door: Opsporing van misdaden Regels voor het gebruik van privacygevoelige gegevens

9 Als individu Wie weet wat van u? Weet u wie welke gegevens van u heeft? Weet u wat zij er mee doen? 9

10 Ghostery & Disconnect Meer informatie: Meer informatie: 10

11 Wat laat de demo zien? Privacy is een vertrouwensvraagstuk: wil ik wel dat die organisatie over mijn gegevens beschikt? Anonimiteit bestaat niet en je gedrag is bekend Adverteerders bepalen wat jij ziet Risico = selectief beeld van de wereld Eens gegeven, blijft gegeven Ohja en directe schade: identiteitsfraude, phishing, naming en shaming, boetes Perspectief uitdaging: in de ogen van uw medewerker / uw klant bent U degene die bepaalt wat er met zijn gegevens gebeurt

12 Complicerende factor It s the context De consument bepaalt of deze zijn gegevens wil delen, maar De vraag of je je gegevens wilt delen hangt af van de context 12

13 Conclusie Privacy is niet zwart wit! Of we gegevens willen delen hangt af van; Gevoeligheid Context Persoonlijk & situatieafhankelijk (en daarom een grondrecht) 13

14 14 Hoe zit het met die wetgeving, datalekken en boetes? GDPR, WBP, AVG, AP

15 Persoonsgegevens Direct, indirect en bijzondere Direct herleidbaar Naam, ( -)adres, geslacht, leeftijd, geboorteplaats, IQ Functie (CEO van bedrijf X) weliswaar openbare informatie, maar wel persoonsgegeven! Persoonsgegeven Indirect herleidbaar Bijzondere persoonsgegevens Locatie, IP-adres, gegevens over vervoer, gegevens over transacties Combinatie van niet herleidbare attributen, dat alsnog herleidbaar wordt (Big data!) Godsdienst of levensovertuiging Ras Politieke gezindheid Gezondheid Seksuele leven Lidmaatschap van een vakvereniging Burger Service Nummer

16 Bijzondere persoonsgegevens Ook op het oog normale persoonsgegevens kunnen bijzondere persoonsgegevens zijn Een busabonnement voor speciaal vervoer is gezondheidsgegeven

17 Privacy wetgeving Van Wbp naar AVG (GDPR) Sinds 2001 Wet bescherming persoonsgegevens Vanaf 25 mei 2018 Algemene Verordening Gegevensbescherming Vooruitlopend al ingevoerd 17

18 Toezichthouder Interpretaties Beleidsregels Autoriteit Persoonsgegevens College Bescherming Persoonsgegevens Wetgeving Open normen Jurisprudentie Rapporten 18

19 Hoofdlijnen privacy wetgeving Alleen maar gegevens verzamelen die je nodig hebt & alleen voor het doel waarvoor je ze hebt verzameld Dat wat je nodig hebt adequaat beschermen Gedrag toeleveranciers Transparant en helder zijn over de gegevens die je gebruikt Burgers / consumenten het recht aanbieden om over hun eigen gegevens te beschikken En als er wat fout gaat: melden! 19

20 Datalekmelding - Wat en hoe melden? Aan de AP de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens getroffen en/of voorgestelde maatregelen om deze gevolgen te verhelpen Let op! Administratieplicht van alle meldingsplichtige datalekken! Aan betrokkene(n) per brief, krant, website, , telefoon e.d. en mogelijkheden tot correctie/reactie Afwegen kosten vs zorgvuldige informatievoorziening toegestaan Aan de AP & de betrokkene(n) de aard van de inbreuk; de instanties waar meer informatie over de inbreuk kan worden verkregen de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken Indien u beslist de betrokkene niet in te lichten, kan de AP verlangen dat u de betrokkene alsnog inlicht 20

21 Hoeveel bedraagt de boete? Tot mei 2018 Kun je zomaar een boete krijgen? Nee: aanwijzing (last onder dwangsom) -> niet voldoen aan de aanwijzing kan hogere boete tot gevolg hebben Let op! Na mei 2018 mogelijk niet meer Hoe hoog is de maximale boete? of 10% jaaromzet (welke het hoogst is) Let op! na mei of 4% jaaromzet Kan AP alleen boetes geven voor niet-nakoming meldplicht datalekken? Nee, ook voor export persoonsgegevens buiten Europa, medewerking aan AP bij uitoefening toezicht, onrechtmatig verwerken van persoonsgegevens (BSN), niet voldoen aan informatieplicht aan betrokkene en meer 21

22 22 Wat organisaties morgen moeten doen Activiteiten en valkuilen

23 Voorbereiden op de AVG Algemene checklist 23

24 Wat zijn risico verhogende factoren? Sociaal zwakkeren Consumenten Profiling Medische gegevens BSN Hoge werkdruk Gegevensoverdracht buiten EU < 16 jaar Veel bijzondere persoonsgegevens Biometrische gegevens 24

25 Hoe efficiënt inrichten? Ga met de business na waar de privacy risico s zitten (eigen medewerkers, klanten, burgers, ) Vertaal de open normen naar concrete eisen Zoek bestaande contouren voor risico-beheersing, planning & control en kwaliteitsmanagement Maak vrienden met bedrijfsfuncties (HR, inkoop, legal, IT, security, safety, kwaliteit) Wijs een board sponsor aan (COO, CFO, CEO) Bespreek het juiste ambitieniveau (risk based) voortrekker, minimal requirements 25

26 Faalfactoren Er is geen rekening mee gehouden in het jaarplan. Kunnen we dit verplaatsen naar volgend jaar? Benaderen als project zonder borging in de lijn Geen multidisciplinaire benadering (legal, ICT, organisatie) We doen het alleen maar omdat het moet (bestuursaansprakelijkheid, boetes) Ik ga er van uit dat mijn leverancier dit wel oplost 26

27 Meer weten