Veranderingen privacy wet- en regelgeving

Transcriptie

1 Veranderingen privacy wet- en regelgeving

2 Inhoudsopgave Privacy veranderingen, bent u er klaar voor? Voorbereiding op de Algemene Verordening Hoe kunnen wij u helpen? Q-Concepts team bij privacy onderzoeken Bijlage I Richtlijnen en werkprogramma s

3 Privacy veranderingen, bent u er klaar voor? Onder druk van de globale digitalisering is de aandacht voor privacy en risico s rondom datalekken in de afgelopen jaren steeds verder toegenomen. Organisaties zijn zich steeds beter bewust van het belang van een goede beveiliging van persoonsgegevens, mede ingegeven door veranderingen in wet- en regelgeving. Een belangrijke wetswijziging op gebied van privacy is de meldplicht datalekken die in 2016 is toegevoegd aan de Wet bescherming persoonsgegevens (Wbp). Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aan de Autoriteit Persoonsgegevens (AP). Een tweede belangrijke wijziging is in aantocht en betreft de invoering van de Algemene Verordening (AVG), de grootste wetswijziging op dit gebied in twee decennia. Wat betekent dit voor u? Sinds 1 januari 2016 bent u reeds verplicht zich te houden aan de meldplicht datalekken en kan de AP boetes opleggen, indien u hier niet aan voldoet. De AVG is in mei 2016 in werking getreden en organisaties krijgen twee jaar de tijd om aan deze nieuwe regels te voldoen. Per 25 mei 2018 wordt de AVG gehandhaafd in alle EU-lidstaten, wat onder meer betekent dat eisen ten aanzien van de meldplicht datalekken worden aangescherpt. Met de meldplicht datalekken loopt Nederland vooruit op de meldplicht die onder de AVG gaat gelden. Uit recente cijfers van de AP blijkt dat er in 2016 circa meldingen van datalekken zijn gedaan, in de periode van januari tot en met maart 2017 zijn er ruim 2300 datalekken gemeld. Van al die meldingen is 29 procent afkomstig uit de sectoren zorg en welzijn. Meer dan honderd organisaties kregen het afgelopen jaar een waarschuwing van de AP over slechte informatiebeveiliging. EU: Data Protection Directive 95/46/EG NL: Wet bescherming persoonsgegevens (Wbp) NL: Wet Meldplicht Datalekken (WMD) EU: Algemene Verordening (AVG) NL: Wet bescherming persoonsgegevens Europese privacy Richtlijn (1995) De Wbp is de implementatie van de Europese Richtlijn (2001) Melding van datalekken bij de Autoriteit Persoonsgegevens (1 januari 2016) Europese verordening die in alle lidstaten als wetgeving geldt (25 mei 2018) De Wbp zal op het moment dat de AVG effectief is ingetrokken worden Figuur: Ontwikkeling van privacy wet- en regelgeving in de laatste 2 decennia

4 Voorbereiding op de Algemene Verordering Experts waarschuwen voor de gevolgen van de invoering van de nieuwe wet en verwijzen daarbij naar boetes die kunnen oplopen tot 4% van de wereldwijde jaaromzet of een bedrag van 20 miljoen euro. Belangrijke veranderingen vanuit de AVG zijn het vooraf inzichtelijk maken van de verwerkingen van persoonsgegevens en datastromen, daarnaast ook het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design en privacy by default). Een gedegen voorbereiding is essentieel om u dadelijk aantoonbaar aan de AVG te kunnen houden. De Autoriteit Persoonsgegevens (AP) heeft de 10 belangrijkste stappen en guidelines beschikbaar gesteld op haar website om te kunnen voldoen aan de AVG. De inrichting van de AVG geldt voor alle organisaties! Onderstaand hebben we de stappen zo concreet en bondig mogelijk weergegeven. 10 stappen ter voorbereiding op de AVG 1. Bewustwording: Medewerkers verantwoordelijk voor de inrichting dienen op de hoogte te zijn van de privacyregels en bewustwording hoe hiermee om te gaan dient gecreëerd te worden door de gehele organisatie middels bijvoorbeeld workshops, campagnes (flyer, , phising mail test). 2. Rechten van betrokkenen Personen waarvan u persoonsgegevens verwerkt (inclusief enkel opslaan) hebben onder de AVG meer en verbeterde privacyrechten, zoals recht op inzage, correctie en verwijdering (vergeteldheid) en dataportabiliteit (overdragen van gegevens). 3. Overzicht verwerkingen Alle gegevensverwerking van persoonsgegevens dient u in kaart te brengen. Hierbij geldt een verantwoordingsplicht, waarbij aangetoond moet kunnen worden dat uw organisatie in overeenstemming met de AVG handelt.

5 Voorbereiding op de Algemene Verordering 4. Data protection impact assessment (DPIA) Indien een beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt dient een DPIA uitgevoerd te worden. Een DPIA is een instrument om vooraf de privacyrisico s in kaart te brengen en vervolgens maatregelen te nemen om de risico s te verkleinen. 5. Privacy by design & privacy by default - Privacy by design: bij het ontwerpen van producten en diensten waarborgen dat persoonsgegevens goed worden bescherm. - Privacy by default: technische en organisatorische maatregelen dienen ingericht te zijn die ervoor zorgdragen dat alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. 6. Functionaris voor de gegevensbescherming (FG) Verschillende type organisaties zijn onder de AVG verplicht om een FG aan te stellen. Dit geldt voor overheden en publieke instanties, organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen en organisatie die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. 7. Meldplicht datalekken De meldplicht was onder de WBP reeds van toepassing en blijft onder de AVG grotendeels hetzelfde. Aan de registratie van datalekken die zich in uw organisatie hebben voorgedaan worden wel strengere eisen gesteld (alle datalekken documenteren, huidige protocolplicht uit de WBP heeft alleen betrekking op gemelde datalekken). 8. Verwerkersovereenkomsten Indien gegevensverwerking uitbesteed is aan een verwerker dan dienen overeengekomen maatregelen in bestaande contracten te voldoen aan de vereisten in de AVG. 9. Leidende toezichthouder Indien uw organisatie vestigingen heeft in meerdere EUlidstaten dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. 10. Toestemming U moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. Daarnaast moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

6 Hoe kunnen wij u helpen? Ondersteuning bij de meldplicht datalekken Sinds 1 januari 2016 is een wijziging van de Wet bescherming persoonsgegevens (Wbp) van kracht die een meldplicht regelt voor datalekken. Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aan de Autoriteit Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens), en in bepaalde gevallen ook aan de betrokkene. Wij kunnen een uitstekende rol vervullen bij de gevolgen van de meldplicht datalekken, o.a. door: Het aanscherpen van uw huidige meldplicht op basis van de strengere eisen die vanuit de AVG worden gesteld; Het beoordelen van de opzet, bestaan en werking van het stelsel van getroffen maatregelen gericht op de bescherming van persoonsgegeven; Het beoordelen van de aanwezigheid van datalekken; Het opstellen of beoordelen van procedures voor het ontdekken, beoordelen en opvolgen van eventuele datalekken; Het adviseren over en beoordelen van verbetermaatregelen na geconstateerde datalekken. Uitvoer van de Privacy Impact Assessment Voor (overheids)organisaties en bedrijven is het van belang om stelselmatig de impact van projecten, producten of diensten op de privacy van de betrokkenen vast te stellen. Daarom heeft de Kennisgroep Privacy in 2013 voor ITauditors en hun klanten of opdrachtgevers een methodische handreiking voor de uitvoering van een Privacy Impact Assessment ontwikkeld. Wij kunnen deze Privacy Impact Assessment voor u uitvoeren, welke onder de AVG straks onder bepaalde voorwaarden (bij hoog risico) is verplicht gesteld. Privacy Audit Richtlijn 3600 is de standaard voor de uitvoer van privacy audits en is een antwoord op de toenemende vraag uit de markt naar een onafhankelijk oordeel van een derde over het stelsel van maatregelen en procedures van een organisatie met betrekking tot de bescherming van persoonsgegevens. Op basis van een positief oordeel van de privacy-auditor, kan het keurmerk 'Privacy-audit-proof' onder bepaalde voorwaarden worden aangevraagd. Wij hebben uitgebreide ervaring met (privacy) audits en rapporteren onze onderzoeksresultaten conform de geldende richtlijn voor assurance-opdrachten.

7 Q-Concepts team bij privacy onderzoeken Geïnteresseerd in de mogelijkheden voor uw organisatie? Neem vrijblijvend contact met ons op om de opties te bespreken. Flip van Ooij IT auditor Direct: +31 (0) GSM: +31 (0) Chiel Meulendijks IT auditor Direct: +31 (0) GSM: +31 (0) Flip is 10 jaar actief binnen het IT audit & advisory vak en heeft ruime ervaring opgedaan in verschillende type controle- en advies opdrachten, zoals bijvoorbeeld IT audit ondersteuning bij de jaarrekeningcontrole, pakket selectie/ implementatie trajecten, ISAE3402/3000 audits en DigiD beveiligingsassessments. In die hoedanigheid heeft Flip organisaties vanuit een natuurlijke adviesfunctie aanbevelingen gedaan op het gebied van privacy wet- en regelgeving. Uniek voor Flip is dat hij door zijn achtergrond in de reguliere controlepraktijk de taal spreekt van zowel IT auditors als reguliere auditors. Chiel heeft ruim 16 jaar ervaring op het gebied van IT-dienstverlening. Na het afronden van zijn studies hogere informatica, bestuurlijke informatiekunde en IT-auditing heeft hij zich verder ontwikkeld tot allround IT-auditor met oog voor de laatste technologische ontwikkelingen. In die hoedanigheid stuurt hij teams aan en beoordeelt hij kritisch de IT-omgevingen en bedrijfsprocessen bij tal van uiteenlopende organisaties of voorziet hij deze van verbeteradviezen. Chiel heeft in de afgelopen jaren privacy compliance onderzoeken uitgevoerd in het kader van de Wet Bescherming Persoonsgegevens. Daarnaast maakte hij onderdeel uit van het privacy kernteam binnen een van de Big4-kantoren.

8 Bijlage I Toelichting richtlijnen en werkprogramma s

9 Richtlijnen en werkprogramma s Bij de uitvoer van onze werkzaamheden maken wij gebruik van de meest recente privacy richtlijnen en werkprogramma s. Hieronder hebben wij de belangrijkste bronnen opgenomen: Beleidsregels meldplicht datalekken Factsheet datalekken en de rol van de IT-auditor Privacy Impact Assessment (versie 1.2) Richtlijn 3600 Assurance-opdrachten met betrekking tot de bescherming van persoonsgegevens (privacyaudits) Wet Bescherming Persoonsgegevens Richtsnoeren beveiliging van persoonsgegevens (ter vervanging van Achtergrondstudies & Verkenningen nr 23) Raamwerk Privacy Audit Handreiking bij het Raamwerk Privacy Audit Website Autoriteit Persoonsgegevens ten aanzien van updates over de Algemene Verordening Nieuw te verschijnen richtlijnen en werkprogramma s: Werkprogramma Meldplicht Datalekken (2017) Addendum Richtlijn 3600 tot overgang naar AVG (2017) Aanpassing Richtlijn 3600 op basis AVG (naar verwachting 2018)