Privacy & AVG in onderwijs: Aantoonbaar in control of in het nieuws?

Transcriptie

1 Privacy & AVG in onderwijs: Aantoonbaar in control of in het nieuws? Ronald Koorn, 9 februari 2018 KPMG.nl

2 Agenda Privacy-assurance & certificering Privacy by Design

3 Intro: 10 privacyprincipes Toezicht & Handhaving Naleving van privacybeleid en -procedures dient te worden gemonitord. Werknemers die persoonsgegevens verwerken moeten opgeleid worden om vragen, klachten of issues op een juiste wijze af te handelen. Management neemt verantwoordelijkheid voor privacybeleid en -processen en kan deze ook aantonen. Gegevens mogen alleen met precieze doelomschrijving en niet onbeperkt worden verzameld en verwerkt. Verplichting om betrokkenen te informeren over hoe gegevens worden verzameld en verwerkt. Persoonsgegevens zijn accuraat, proportioneel, geminimaliseerd en worden niet te lang bewaard. Individuen hebben mogelijkheid om te kiezen of en welke gegevens worden verzameld en verwerkt. Een organisatie moet weten hoe het gegevens verzamelt, hoeveel, en op basis van welke grondslag. Beveiligingsmaatregelen, waaronder toegangscontrole, encryptie, e.d. moet risicogebaseerd worden toegepast. Personen hebben recht om hun gegevens in te zien, corrigeren en het recht om gegevens te laten wissen. Verwerking door een bewerker Persoonsgegevens kunnen alleen worden verstrekt aan derde partijen wanneer specifieke overeenkomsten zijn aangegaan en hierop wordt toegezien.

4 Intro: relevante wijzigingen (t.o.v. huidige Wbp) Boete Een trapsgewijze boete structuur afhankelijk van inbreuk. Niveau 1 is 2% van de totale omzet of 10 miljoen (afhankelijk van welke hoger is). Niveau 2 is 4% van de totale omzet van 20 miljoen (indien dit hoger is) Privacy Impact Assessments (PIA s) Organisaties moeten PIA s uitvoeren, indien de activiteit risicovol wordt geacht Privacy Officer Handhavingsbevoegdheden toezichthouder Privacy Officer (of FG) is vereist voor overheidsinstellingen en organisaties die grootschalige controles of massale verwerking van bijzondere categorieën gegevens uitvoeren Autoriteit Persoonsgegevens (AP) krijgt bredere handhavings- en boetebevoegdheden Rechten van betrokkenen Gevoelige persoonsgegevens Rechten uitgebreid met dataportabiliteit en om gegevens te laten wissen Uitgebreid met biometrische en genetische gegevens Register De organisatie moet over register cq. inventarisatie van alle verwering van persoonsgegevens beschikken Toestemming Ondubbelzinnige toestemming (dat wil zeggen expliciete) vereist Meldplicht Verplichting om privacy-inbreuken binnen 72 uur aan de AP en potentieel aan de betrokkene te melden Databewerkers Bewerkers zijn ook in scope. De verantwoordelijke moet geschiktheid bewerkers vaststellen Beveiliging Specifieke eisen rond controle, beveiliging en anonimiseren Privacy by Design Privacy-eisen moeten bij nieuwe ontwikkelingen b.v. nieuwe dienst of IT-systeem vanaf het begin worden meegenomen in het ontwerp ervan De wijzigingen zijn lastig te interpreteren voor de eigen situatie en kunnen leiden tot significante veranderingen in de manier waarop organisaties persoonsgegevens verzamelen en verwerken. Voor de eerste keer is er uniforme Privacyregelgeving in de gehele EU; deze harmonisatie gaat zelfs breder aangezien de GDPR/AVG kruis-territoriale gevolgen heeft.

5 Doelstellingen privacy-auditing / certificering Verhogen privacybewustzijn Identificeren kritieke risicogebieden en maatregelen Vaststellen compliancestatus t.o.v. eigen privacypolicy en wet/regelgeving (AVG & sectorspecifieke vereisten) Aantonen privacycompliance voor klanten, medewerkers en andere belanghebbenden (toezichthouders, pers, NGO s, e.d.) Ontwikkelen verbeterplan TRUST me TELL me SHOW me PROVE me 2018 KPMG Advisory N.V., registered with the trade register in the Netherlands under number , is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

6 Informatiemanagement als uitgangspunt Visie op privacy: dient breder te zijn dan alleen juridische of technische perspectief Nadruk op praktisch implementatie Focus op techniek Rol Informatiemanagement: Schakel tussen IT en bedrijfsvoering Dataflow staat hierin centraal 2018 KPMG Advisory N.V., registered with the trade register in the Netherlands under number , is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

7 Bestaande raamwerken Raamwerk Privacy Audit & NOREA Richtlijn 3600 EuroPriSe Framework AICPA GAPP Framework NIST SP800-R54 Privacy Control Catalog ISACA CobIT Privacy Principles 2018 KPMG Advisory N.V., registered with the trade register in the Netherlands under number , is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

8 Raamwerk privacyaudit Raamwerk ontwikkeld door CBP en ICT-auditors Onderwerpen: V1 Voornemen & Melding V2 Transparantie V3 Doelbinding V4 Rechtmatige grondslag V5 Gegevenskwaliteit V6 Rechten van de betrokkenen V7 Beveiliging V8 Verwerking door bewerker V9 Gegevensuitwisseling buiten EU 2018 KPMG Advisory N.V., registered with the trade register in the Netherlands under number , is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

9 Brede speelveld van privacy-assurance Volledige Privacy-assurance (met rapport/webzegel) KPMG EU Privacy-assurance/zegel (Richtlijn 3000) NOREA Privacy Control Framework Privacy Audit Proof -certificaat (Richtlijn 3000 / 3600) Selectieve Privacy-audits (met rapport/zegel) Privacy-assurancetypes Privacy Controls Audit eigen set, evt. ook SURFaudit? (Richtlijn 3000) Privacy-assessment (met rapport) AICPA SOC 2 3, CobIT (ISACA) of Generally Accepted Privacy Principles (GAPP, US) Overeengekomen privacyscope & bevindingenrapport zonder oordeel (intern of 1- op-1 relaties) (Richtlijn 4401) Privacycertificering (lichte variant, met alleen webzegel of certificaat) Privacycertificaat / webzegel (ISO 27001/18 / / / BS 10012) PSD2 Privacy-keurmerk, EuroPriSe, ZekerOnline, BBB Online, Truste/TrustArc, etc. Overige Privacyreviews, -onderzoeken, -benchmarken & self-assessments Legenda: Rapport voor gesloten gebruikersgroep Rapport met webzegel

10 Overeenkomsten/verschillen IT-assurance en ISO-certificering IT-assurance ISO-certificering Klantspecifieke opzet/aanpak Toetsing strategische processen Toetsing tactische processen (ISO27001 alleen bestaan, geen werking) Toetsing operationele processen (ISO27001 alleen bestaan, geen werking) / Toetsing operationele maatregelen Toetsing technische implementatie (ICT-niveau) 2018 KPMG Advisory N.V., registered with the trade register in the Netherlands under number , is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

11 Structurering controls o.b.v. levenscyclus Vertaalslag van wettelijke eisen naar privacy controls a.h.v. stappen en risico s van levenscyclus van informatie 2018 KPMG Advisory N.V., registered with the trade register in the Netherlands under number , is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

12 Resultaat: Privacy Control Framework Horizontale toetsing Privacyrisico Link levenscyclusmodel Compenserende maatregelen Link specifieke control ID 2018 KPMG Advisory N.V., registered with the trade register in the Netherlands under number , is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

13 Aanpak privacyaudit Fase 1 Bepalen doel, scope, diepgang & aanpak Fase 2 Opstellen auditaanpak Fase 3 Identificeer wet- en regelgeving (gedragscode) Fase 4 Fase 5 Fase 6 Fase 7 Opstellen normenkader Identificeer persoonsgegevens, verwerkingen & in/externe gegevensuitwisseling Review documentatie, eigen waarnemingen & validatie Reportage, presentatie en eventuele certificering 2018 KPMG Advisory N.V., registered with the trade register in the Netherlands under number , is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

14 Accreditatie & certificering Competente toezichthouder (AP) Nationale accreditatieinstelling volgens EC 765/2008 (RvA) Accreditatie Certificeringsinstelling Verantwoordelijken & verwerkers Auditproces Certificering Privacyzegel, -rapport of -keurmerk

15 Enquête Privacy-auditing & standaarden

16 Agenda Privacy-assurance & certificering Privacy by Design

17 Privacy by design Als IT privacyproblemen veroorzaakt, kan het ook (deel van de) oplossing zijn? Waarom IT benutten voor privacycompliance? Mogelijk maken van verwerken van gevoelige persoonsgegevens Technisch afdwingen privacycompliance, minder afhankelijk van naleving procedures Verhogen datakwaliteit en beveiligingsniveau Waarom nu? AVG Toenemende in/externe gegevensuitwisseling (ook in ketens) Breder gebruik van ID s & risico op ID-diefstal Corporate governance & transparantie (CSR/MVO) Toepassing Big Data Beschikbaar komen privacytechnologies & IT providers En privacybewustzijn is (eindelijk) ontstaan

18 Privacy by Design Dataclassificatie Privacy Impact Assessment (PIA) Privacy-eisen (wet- & regelgeving) Ontwerp Architectuur (incl. privacy): Processen Data & dataflows Systemen, portals & infrastructuur PIA / risicoanalyse Implementeer Privacy EnhancingTechnologies: Generieke PET-controls (eg. encryptie, RBAC, dataminimalisatie) Data aggregatie, onderdrukking, masking, swapping, ruis, domeinscheiding, synthese, e.d. Privacy (policy) management systems & PIMS Pseudonimisering / anonimisering Beheers & monitor

19 Privacy by design benadering: 7 principes Toepassen Privacy By Design 7 principes 1. Proactief niet reactief Pas controls toe voor / bij dataverzameling 2. Privacy als default setting Veilig voorgeconfigureerd ( opt-out ) 3. Privacy embedded Privacycontrols in ontwerp/architectuur 4. Volledige functionaliteit Privacy limiteert niet ( positive-sum ) 5. End-to-end beveiliging Privacy dekt gehele keten & levenscyclus Privacy Impact Assessment 6. Zichtbaarheid & transparantie Informeer gebruikers open 7. Respecteer gebruikersprivacy Bied keuzes op individueel niveau Resultaat Van privacy compliance naar default operationele modus * Source: Cavoukian - Reed: Big Privacy: Bridging Big Data and the Personal Data Ecosystem through Privacy by Design (2013)

20 Continuüm van persoonsgegevens Identiteitsloos, anonieme gegevens Pseudo-identeitsgegevens Identeitsgegevens Identiteitsrijke gegevens Geaggregeerde of niet-herleidbare attributen Niet-herleidbare attributen / pseudo-id NAW, O-nr, IP-nr, telephone nr, etc. Medisch, BSN, etniciteit, multimediale gegevens Identiteitscontinuüm 2018 KPMG Advisory N.V., registered with the trade register in the Netherlands under number , is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

21 Privacy by Design Privacy Enhancing Technologies (PET) Effectiviteit maatregelen Level 1 Algemene PETcontrols Role-based Access Controls & Logging Encryptie Level 2 Datadomeinen Scheiding van data in domeinen Pseudonimisering Gebruik Trusted Third Party Level 3 Privacy Mgtsystemen Geavanceerde datamanagement tools P3P / EPAL Privacy Rights Management Level 4 Data Anonimisering No recording of personal data Anonimisering / datavernietiging bij bron Permissiemgt. Eisen aan systeemontwerp

22 Voorbeeld pseudonimisering Authenticatie & autorisatielaag (inloggen en rolkoppeling) Logicalaag (geprogrammeerde procedures ten behoeve van versleuteling en ontsleuteling) Gegevenslaag Patiëntendatabase Beveiligingsdatabase Tabel medische gegevens Versleutelde NAW-tabel Tabellen met rollen, gebruikers en autorisaties 23

23 Privacy by Design: ano- / pseudonimisering Anonimisering: Geen privacywetgeving van toepassing Geheel anoniem is uitdagend met grote of meerdere data sets Minder bruikbaar bij combinatie van interne en externe gegevens Beperkte beveiligingseisen na deidentificering Pseudonimisering: Door AP inmiddels wel aangemerkt als persoonsgegevens Nuttig voor longitudinale data-analyse & research Dichtbij de gegevensbron toepassen Gebruik van Trusted Third Party is effectieve oplossing No indirecte herleiding mogelijk (onomkeerbaar, b.v. via one-way hash) Vatbaar voor heridentificatie (b.v. i.c.m. andere datasets)

24 Enquête Privacy by Design

25 Afsluiting: Top 6 PRIVACYBESCHERMING = RISICOMANAGEMENT 1. Accountability & data governance 2. Privacybewustzijn via voorlichten & (dilemma) training 3. Privacy & Trust by Design 4. Balans van hard & soft controls o.b.v. Privacy Impact Assessment) 5. Toepassen permissiemanagement / opt-in 6. Transparantie & communicatie t.b.v. publieke vertrouwen

26 Eens of.? Privacy is te belangrijk en te multidisciplinair om over te laten aan IT-ers en om (uitsluitend) over te laten aan juristen!

27 Vragen? drs.ing. Ronald Koorn RE CIPP/E Partner KPMG IT Advisory Tel: