PIA. Rechten en vrijheden. Verwerkingen van persoonsgegevens. Persoonsgegevens

Transcriptie

1

2

3 PIA Rechten en vrijheden Persoonsgegevens Verwerkingen van persoonsgegevens

4

5 Soorten gevolgen: Imago schade, schade aan beeldvorming, integriteit. Middel daarvoor is bv social media. Materiele schade, gebruiken of ontnemen van eigendommen. Middel daarvoor is bv identiteitsfraude.

6 Identiteitsfraude = Met identiteitsfraude wordt bedoeld dat iemand (door gebruikt te maken van diens persoonsgegevens) de schijn oproept van een identiteit die niet bij hem hoort, met als doel deze te misbruiken voor criminele doeleinden. Waarvoor kan een crimineel persoonsgegevens oa voor gebruiken: Verkrijgen vals paspoort met persoonsgegevens van slachtoffer Producten en diensten bij medische zorgaanbieders afnemen Bankrekening openen Creditcard aanvragen Producten (auto) huren Telefoon abonnement Persoonlijk krediet afsluiten Op aflossing kopen Toeslagen aanvragen Hotels boeken Inschrijven bij KvK Identiteitsfraude heeft het grootste gevolg voor betrokkenen.

7 Gevolgen van (financiële) identiteitsfraude: o Een mobiel abonnement, lening, creditcard of hypotheek wordt geweigerd (registratie BKR). o Schulden die de misdadigers hebben veroorzaakt zijn voor rekening van het slachtoffer. o Problemen met solliciteren (VOG of VGB, verklaring van geen bezwaar). o Additionele kosten voor de slachtoffers om de situatie weer recht te zetten, notariskosten, advocatenkosten, proces- en gerechtskosten. o Tijdverlies, verliezen werk- en vakantie-uren en hun productiviteit lijdt eronder. o Bedrijven willen geen informatie prijsgeven (in het kader van privacy). o Emotionele stress, woede, een verslechtering van hun relaties en een gevoel van machteloosheid. o Moeilijk en haast onmogelijk om het bedrijf of de financiële instelling aansprakelijk te houden voor hun insolvente status ondanks het feit dat de instellingen een fout hebben gemaakt bij het verifiëren van de informatie van de cliënt. o Geen serieuze ondersteuning (prioriteit) politie en justitie.

8 Gevolgen van (criminele) identiteitsfraude: o Onterechte rekeningen, boetes en incasso s voor door de crimineel afgenomen producten/diensten. o Beslaglegging bankrekening. o Worden aangehouden voor te hard rijden en in plaats van een boete te krijgen worden meegenomen naar het politiebureau omdat er een bevel voor arrestatie openstaat op hun naam. o Worden aangehouden bij het inchecken voor een vliegreis of bij de douane. o Opbouw van een onterecht strafblad (hele leven een strafblad zonder dat het slachtoffer ooit een misdaad heeft gepleegd). Credit-related identity theft can ruin your life for a couple of years. Criminal record identity theft can ruin your life forever. It is virtually impossible to wipe the slate clean (Beth Givens, Privacy Rights Clearinghouse).

9 4 - met een (negatief) gevolg op de rechten en vrijheden van betrokkenen.

10 Wat zijn verwerkingen? Op welk detailniveau vastleggen? Waar haal ik die info vandaan? Welke info heb ik nodig voor een PIA? Op organisatie niveau? Op werknemersniveau? Op technisch niveau?

11 Directie Visie, missie en strategie Globaal: Onze onderneming verwerkt Management team Diensten beschrijving Onze dienst verwerkt Kader Proces procedure beschrijving Binnen de procedure worden verwerkt Werkvloer Functioneel ontwerp \ werkinstructies Onze medewerker verwerkt Ondersteunende middelen Technisch ontwerp Binnen de database worden verwerkt Gedetailleerd:

12 Klant met gehoorproblemen Start behandelrelatie Analyse gehoorprobleem Controle identiteit klant Controle verzekering klant Controle en vastlegging klant gegevens Aanmeten gehoorapparaat PG PG PG Verwerkingen: Opvragen Kopiëren Versturen (cat.) persoonsgegevens: Naamgegevens Geboortegegevens Geslacht Verzekeringsgegevens KIS COV Verwerkingen: Vastleggen Opvragen Controleren Bijwerken KIS Klant dossier (cat.) persoonsgegevens: BSN Naamgegevens Geslacht Geboortegegevens Adresgegevens Verzekeringsgegevens Bestellen gehoorapparaat Ontvangen gehoorapparaat Controle verzekering klant Declareren Aan klant overdragen gehoorapparaat Einde behandelrelatie Tevreden klant PG PG PG KIS KIS KIS COV LH307 LH308

13 AVG artikel 30: lid 1: Elke verwerkingsverantwoordelijke. houdt een register van de verwerkingsactiviteiten lid 2: De verwerker. houdt een register van de verwerkingsactiviteiten Dit register bevat de volgende gegevens: Naam verwerking Omschrijving verwerking Interne (Juridisch) verantwoordelijke Verantwoordelijke FG Categorieën persoonsgegevens Categorieën betrokkenen Categorieën ontvangers Buiten EU Verwerkingsdoel Vernietigingstermijn Maatregelen Salarisadministratie Uitbetalen salaris en vergoedingen P&O Mainservice Klaphekstraat XX Ewijk Dhr Janssen Uitvoering arbeidscontract, Loonbelastingswet Kopie identiteitsbewijs, bankgegevens, gegevens over salaris, gewerkte uren en onkosten Medewerker, stagaire Corento, Raet, pensioenfonds, Belastingdienst Nvt?? Indiensttreding Klantenregistratie Indiensttreding en aanleg personeelsdossier P&O Registreren en Sales beheren van abonnees Mainservice Klaphekstraat XX Ewijk Mainservice Klaphekstraat XX Ewijk Dhr Janssen Dhr Janssen Uitvoering arbeidscontract Uitvoering overeenkomst (abonnement) BSN, kopie identiteitsbewijs, bankgegevens, NAW, salaris, opleidingen NAW, bankgegevens, contactgegevesn Medewerker, stagaire, BBL-er Karmac, Raet, pensioenfonds, UWV Klanten, abonnees Reproprint Nvt 3 maanden? Internationale postdientsen??

14 Groepjes van 4. 2 personen maken template register. 2 personen tekenen een stukje proces met een verwerking. Vul register met info van verwerking. Vul proces eventueel aan met info. Deel ervaring en leerpunten Bruikbaar template register maken. Bruikbare bron in de vorm van proces. Vullen van register obv bron.

15 Naam Proces beschrijving Technisch ontwerp AVG art 30 (Juridisch) FG Verwerkings- Categorieën Categorieën Categorieën Buiten EU Vernietigings- Maatregelen Omschrijving Interne Verantwoordelijke doel persoonsgegevens betrokkenen ontvangers termijn verwerking verwerking verantwoordelijke Functioneel ontwerp \ werkinstructies Diensten beschrijving Mainservice Klaphekstraat XX Ewijk Mainservice Klaphekstraat XX Ewijk Mainservice Klaphekstraat XX Ewijk Dhr Janssen Dhr Janssen Dhr Janssen Uitvoering Kopie identiteitsbewijs, Medewerker, Corento, Raet, arbeidscontract, bankgegevens, gegevens over stagaire pensioenfonds, Loonbelastingswet salaris, gewerkte uren en onkosten Belastingdienst Uitvoering BSN, kopie identiteitsbewijs, Medewerker, Karmac, Raet, arbeidscontract bankgegevens, NAW, salaris, stagaire, BBL-er pensioenfonds, opleidingen UWV Uitvoering NAW, bankgegevens, Klanten, abonnees Reproprint overeenkomst contactgegevesn (abonnement) Nvt?? Nvt 3 maanden? Internationale?? postdientsen Salarisadministratie Uitbetalen salaris en P&O vergoedingen Indiensttreding Indiensttreding en P&O aanleg personeelsdossier Klantenregistratie Registreren en Sales beheren van abonnees

16 Change management Wijziging verwerking PG Risk management (PIA) Informatie over verwerkingen Naam en contactgegevens van Naam en contactgegevens In geval van uitbesteding Categorieën van verwerkingen. Elke Doel (Juridisch) van de Categorieën van (mede-) Verantwoordelijke of van de Functionaris van de verwerking de (geautomatiseerde en/of handmatige) verwerking persoonsgegevens. diens vertegenwoordiger Gegevensbescherming naam en handeling of elk geheel van contactgegevens van handelingen met betrekking tot Verwerker(s) persoonsgegevens (keuzelijst). Op welke rechtsgrond vindt de Omschrijving van Van welke categorieën van Wat is de bron Categorieën van verwerking plaats? (Toestemming, gerechtvaardig belang Betrokkenen worden de van de ontvangers van de overeenkomst, wettelijke verplichting, (Archivering in gegevens verwerkt? gegevens? persoonsgegevens. vitaal belang, algemeen belang, algemeen belang, openbaar gezag, gerechtvaardig wetenschappelijk of belang) [AVG A6] (keuzelijst) historisch onderzoek, statistische doeleinden) Naam en Indien ontvangers buiten de Vernietigingstermijn Motivatie (criteria) Algemene beschrijving van contactgegevens van EU of internationaal indien gegevens worden van genomen technische en/of ontvanger(s) organisatie, naam van land of opgeslagen bewaartermijn organisatorische maatregelen. organisatie. Gelet op de aard, de omvang, de context en de doeleinden waarschijnlijk een hoog risico. Is geautomatiseerde Hoeveel besluitvorming persoonsgegevens onderdeel van de worden verwerkt? verwerking [Ja of Nee] Stelselmatig en grootschalige monitoring van openbare ruimtes. PIA vereist PIA Aan de verwerking doorlopen gerelateerde inbreuken op de beveiligingsmaatregele n. Naam verwerking Proces(-eigenaar) Ondersteunende systemen Verantwoordelijke FG Verwerker(s) Categorieën verwerkingen Verwerkingsdoel Categorieën persoonsgegevens Rechtmatigheid van verwerking Toelichting belang Categorieën betrokkenen Bron Categorieën ontvangers Ontvanger(s) Buiten EU Vernietigingstermijn Toelichting bewaartermijn Maatregel Kans op hoog risico Geautomatiseerde besluitvorming Schaalgrootte van verwerking Monitoring ruimten PIA vereist PIA Gerelateerde uitgevoerd inbreuken (incidenten) Controle verzekering klant Verkoop hoortoestellen KIS Beter Horen hoofdvestiging KVK Dhr Janssen Vestigingsnr Leigraafseweg 8, 6983BP Doesburg Geen Ontvangen Opslaan Bewerken Muteren Raadplegen Doorsturen Archiveren Verwijderen Het aanmeten, bestellen Naamgegevens en aan de klant Bijzondere overhandigen van persoonsgegevens hoortoestellen. Financiële persoonsgegevens Contactgegevens Overeenkomst Klanten De klant Zorg gerelateerde partij VECOZO Nee 1 jaar Contract management Gegevens uit verwerkers overeenkomst Informatie over verwerkingen Communicatie (informeren betrokkenen ea) Informatie over verwerkingen Incident management (datalekken)

17 3 - binnen de verwerking van persoonsgegevens, 4 - met een (negatief) gevolg op de rechten en vrijheden van betrokkenen.

18 Dreiging = aanval, vaak incidenteel, moeilijk te beïnvloeden. Kans: Bij een gehoorapparaat > laag Bij amputeren van ledemaat > nihil Bij verslavende medicatie > redelijk Bij facelift > groot Voorbeeld: klant wil niet onder eigen naam een behandeling ondergaan. Kwetsbaarheid = zwak punt, vaak blijvende aard, te beïnvloeden. Voorbeeld: Vergeten te vragen. Klant niet willen beledigen. Onvoldoende kennis om te beoordelen. Niet durven doorvragen. Verkeerde uitvoering (kopie paspoort) Gunst aan klant verlenen. Controle apparaat niet beschikbaar Tijdgebrek.

19 1 - kans op dreiging, 2 - welke misbruik maakt van een kwetsbaarheid, 3 - binnen de verwerking van persoonsgegevens, 4 - met een (negatief) gevolg op de rechten en vrijheden van betrokkenen. Het risico bij [situatie] dat [dreiging] door gebruik te maken van [kwetsbaarheid] met als mogelijk gevolg dat [gevolg] is [niveau]. Het risico bij het controleren van de identiteit van de klant dat de klant niet onder eigen naam een behandeling wil ondergaan door gebruik te maken van onvoldoende kennis om te beoordelen met als mogelijk gevolg dat de schulden die de misdadigers hebben veroorzaakt voor rekening van het slachtoffer zijn is gemiddeld. Kans op dreiging x mate van kwetsbaarheid x gevolg voor betrokkenen = 3 x 4 x 5 = 60 (max. waarde 125)

20 het controleren van de identiteit van de klant de klant niet onder eigen naam een behandeling wil ondergaan onvoldoende kennis om te beoordelen schulden die de misdadigers hebben veroorzaakt voor rekening van het slachtoffer zijn

21 Groepjes van 4. Maak gebruik van eerdere registratie van je verwerking. Bedenk bij de verwerking: een kans op dreiging een kwetsbaarheid een gevolg voor de betrokkenen Bepaal de bijbehorende waardes en bereken het risico. Bepaal de 2 maatregelen om het risico te verlagen. Het risico bij [situatie] dat [dreiging] door gebruik te maken van [kwetsbaarheid] met als mogelijk gevolg dat [gevolg] is [niveau]. Kans op dreiging x mate van kwetsbaarheid x gevolg voor betrokkenen = 3 x 4 x 5 = 60 (maximaal waarde 125) Deel ervaring en leerpunten Invullen van criteria (dreiging, kwetsbaarheid en gevolg). Formuleren en berekenen van het risico. Bepalen van de juiste maatregelen.

22 Deels uit het register Risico management proces Risico management proces

23 Maak eventueel gebruik van bestaande PIA methodieken, zie: AP ( NOREA ( IBD KING (