Sebyde Privacy Onderzoek. 6 december 2013

Transcriptie

1 Sebyde Privacy Onderzoek 6 december 2013

2 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten en producten om webapplicaties / websites veilig te maken en het bewustzijn op het gebied van IT security te verhogen. We helpen bedrijven bij het verlagen van de risico s en het beschermen van hun bedrijfsgegevens en reputatie. We leveren hiervoor de volgende diensten: 1. Web Applicatie Security Scan 2. IBM Authorised reseller 3. Security Awareness training + specialistische Security Certificeringen 4. Security Assessments Ad 1. We controleren websites en andere web applicaties op de zwakke punten in de beveiliging. De scan van de websites wordt uitgevoerd met behulp van IBM Security Appscan, het beste product wat hiervoor ingezet kan worden. In een gedetailleerd rapport kan de klant vervolgens lezen waar de zwakke punten in de beveiliging van de website zitten. We geven advies over hoe die kwetsbaarheden verholpen kunnen worden door middel van aanpassingen in de programmacode van de website. Ad 2. Bedrijven die het security-testen van hun web applicaties in eigen beheer willen houden kunnen bij Sebyde BV terecht voor een advies over de aan te schaffen eigen versie van de IBM Security AppScan scanning tool, de implementatie en de training. Sebyde BV is een Certified IBM Reseller. Ad 3. Security Awareness training geeft de deelnemers een goed overzicht over de verschillende aspecten van IT-Security. Tijdens 2-3 halve-dag-sessies maken we de deelnemers bewust van de risico s van het werken met informatiesystemen en vertrouwelijke (bedrijfs)informatie. Na deze training begrijpen de deelnemers de security aspecten en zullen die meenemen tijdens hun dagelijkse activiteiten. Naast de Security Awareness training bieden wij ook zeer specialistische trainingen aan op het gebied van security. Deze trainingen worden verzorgd door een van s werelds grootste onafhankelijke aanbieders van IT trainingen en leiden u op voor de officiële EC-Council certificeringen. Ad 4. Sebyde Security Assessments zijn verschillende vormen van (security) assessments die wij kunnen uitvoeren. Hierbij denken we bijvoorbeeld aan de volgende mogelijkheden: Sebyde Security Quick Assessment Netwerk Penetratie test Systeem test Sebyde Privacy onderzoek 2

3 Achtergrond. In verband met de veranderingen die er zijn aangekondigd in de Europese Privacy wetgeving is het verstandig om uw organisatie voor te bereiden aan de eisen die straks in verband met deze nieuwe wetgeving gesteld worden. Hierbij zal er gekeken worden naar de mogelijke privacyimpact van de systemen en de processen die binnen de organisatie worden gebruikt. Privacybescherming staat in toenemende mate in de belangstelling. Voor het bedrijfsleven, maar ook voor de rijksoverheid, de lagere overheden en de overige publieke sector (zoals onderwijsen zorginstellingen) is het van belang om zorgvuldig om te gaan met persoonsgegevens. In het belang van de burger, maar ook in het belang van een goede en integere dienstverlening. Voor een groeiend aantal bedrijven is het zorgvuldig omgaan met persoonsgegevens een onderwerp waarmee zij zich in positieve zin willen onderscheiden van concurrerende bedrijven. Zij zien privacybescherming als unique selling point. In het regeerakkoord (PvdA/VVD-2012) is vastgelegd dat de uitvoering van een Privacy Impact Assessment een vanzelfsprekende maatregel is bij de bouw van systemen en het aanleggen van databestanden. Voor het meewegen van privacybelangen in de besluitvorming over de ontwikkeling van producten, diensten of ook wetgeving is het van groot belang dat dit in een vroegtijdig stadium gebeurt. Als de risico s voor inbreuken op de privacy pas worden onderkend als de ontwikkeling van het product, dienst of wetsvoorstel al in een vergevorderd stadium verkeert, is de kans immers groot dat noodzakelijke aanpassingen zeer tijdrovend en kostbaar zijn. Er staan belangrijke veranderingen voor de deur met betrekking tot de Privacy wetgeving. Binnen de Europese commissie ligt vanaf januari 2012 een voorstel voor een aanscherping van de wet- en regelgeving. Dit gaat belangrijke gevolgen hebben voor het bedrijfsleven. De nieuwe wetgeving dicteert concrete maatregelen om de privacy van opgeslagen informatie te waarborgen. Organisaties worden verplicht een intern privacy beleid vast te stellen, in bepaalde gevallen een functionaris voor de gegevensbescherming aan te stellen, privacy te integreren als vast onderwerp binnen de bedrijfsvoering, en de werking daarvan jaarlijks te (laten) controleren. Dit is bepaald niet vrijblijvend. Het niet naleven van deze verplichtingen kan een materieel risico opleveren omdat er Neelie Kroes-achtige sancties opgelegd kunnen worden door de toezichthouder. Boetes kunnen oplopen tot een miljoen euro of twee procent van de jaaromzet. Daarnaast wordt de toepassing van Privacy Impact Assessments (PIA) verplicht in geval nieuwe systemen worden ontwikkeld of aangeschaft en in gebruik genomen. Ook moeten nieuwe systemen voldoen aan de principes van privacy by design and default. Gezien de implicaties van de nieuwe wetgeving is een goede voorbereiding daarop onontkoombaar. 3

4 Wat is privacy? Privacy is een breed begrip. Privacy wordt vaak omschreven als het recht om met rust te worden gelaten. Tegenwoordig zien we steeds vaker de omschrijving Het recht om vergeten te worden in de literatuur. Het begrip privacy gaat vaak over zaken in de persoonlijke levenssfeer. Voorbeelden hiervan zijn het eigen lichaam, de eigen woning, het familie- en gezinsleven, vertrouwelijke communicatie en persoonsgegevens. De bescherming van deze dimensies zijn grondrechten. In dit document heeft privacy vooral betrekking op de bescherming van persoonsgegevens. De bescherming van persoonsgegevens kan omschreven worden als het recht op eerlijke, veilige en betrouwbare informatieverwerking. Startpunt van de discussie rond de bescherming van persoonsgegevens zijn de privacy principes van de OECD/OESO. Momenteel regelt de EU Richtlijn 95/46/EG de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. In Nederland is deze Richtlijn geïmplementeerd in de Wet Bescherming Persoonsgegevens (Wbp). Naar verwachting zal in 2014 de nieuwe EU privacyverordening in werking treden. Organisaties dienen er rekening mee te houden dat de nieuwe verordening consequenties zal hebben die tot heroverweging van de beheersmaatregelen met betrekking tot privacy moeten leiden. Voorbereiding op Privacy wetgeving Bedrijven kunnen zich voorbereiden op de nieuwe wetgeving door middel van een onderzoek naar de privacy-risico s die binnen een organisatie aanwezig (kunnen) zijn. Dit onderzoek kan plaatsvinden op nieuw te bouwen systemen of op bestaande systemen. Het onderzoek is een onmisbaar hulpmiddel voor organisaties om de privacy-impact van hun projecten en gebruikte systemen te evalueren. Een onderzoek legt in de eerste plaats de risico s bloot van projecten en systemen die te maken hebben met privacy. Op basis van de bevindingen tijdens dit onderzoek wordt op systematische wijze inzichtelijk gemaakt of er een kans bestaat dat de privacy van betrokkenen wordt geschaad, hoe hoog deze kans is en op welke gebieden dit is. Het onderzoek dient: de mogelijk (negatieve) gevolgen van het gebruik van persoonsgegevens voor de betrokken personen en organisaties in kaart te brengen de risico s voor de betrokken personen en organisaties zo veel mogelijk te lokaliseren. De maatregelen die genomen kunnen worden aan de hand van de resultaten van het onderzoek helpt de organisatie bij het vermijden of verminderen van deze privacy-risico s. 4

5 Het verdient sterke aanbeveling een dergelijk onderzoek onderdeel te laten uitmaken van de privacy-strategie en het kwaliteitssysteem van een organisatie alsmede van de kwaliteitsbeheersing van projecten waardoor verwerking van persoonsgegevens tot stand komt. Door het gebruik van de resultaten van het onderzoek kan bescherming van persoonsgegevens op een gestructureerde manier onderdeel uitmaken van de belangenafweging en besluitvorming. Wat levert een onderzoek op? Het onderzoek kent een aantal belangrijke doelen. Bij het in gebruik nemen van nieuwe systemen is het belangrijkste doel het voorkomen van kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project door vroegtijdig inzicht in de belangrijkste privacy-risico s. Daarnaast kunnen nog de volgende doelen worden onderscheiden: Het verminderen van de gevolgen van toezicht en handhaving. Het verbeteren van de kwaliteit van gegevens. Het verbeteren van de dienstverlening. Het verbeteren van de besluitvorming. Het verhogen van het privacy-bewustzijn binnen een organisatie. (Awareness) Het verbeteren van de haalbaarheid van een project. Het verstevigen van het vertrouwen van de klanten, werknemers of burgers in de wijze waarop persoonsgegevens worden verwerkt en privacy wordt gerespecteerd. Het verbeteren van de communicatie over privacy en de bescherming van persoonsgegevens. Het verbeteren van de security van de gegevens, systemen, applicaties en netwerken Voor wie is het onderzoek bedoeld? Het onderzoek kan gebruikt worden door alle typen organisaties. In het algemeen kan worden gezegd dat het zinvol is om bij elk nieuw project of grote wijziging van een bestaand systeem of proces waarbij persoonsgegevens worden verwerkt een onderzoek te laten uitvoeren naar de privacy aspecten. Hoeveel tijd kost het om een onderzoek uit te voeren? Er zijn verschillende factoren van invloed op de tijd die het kost om een Privacy onderzoek uit te voeren. De belangrijkste zijn: het aantal belanghebbenden bij het project en/of het systeem en de mate waarin deze vragen of twijfels hebben over de consequenties voor privacy de impact en het belang van het project en/of het systeem op de organisatie en de samenleving de (technische en organisatorische) complexiteit van de verwerking. De hoeveelheid tijd en doorlooptijd die het uitvoeren van een onderzoek kost, zal per situatie verschillen en is van veel factoren afhankelijk. 5

6 6

7 Sebyde privacy onderzoek Voordat begonnen wordt met het uitvoeren van een Privacy onderzoek is het belangrijk vast te stellen wat de klant wil bereiken, wie wat met de resultaten gaat doen en op welke manier de resultaten gebruikt gaan worden. Het is van belang om deze gegevens (inclusief de succes- en faalfactoren) door te nemen en te bepalen hoe hiermee omgegaan wordt. Alle gegevens worden samengevat in een plan van aanpak zodat hier geen verwarring over kan ontstaan. 6-stappen proces. Hieronder geven we een beknopt overzicht van het proces van een Sebyde Privacy onderzoek. Het onderzoek zal bestaan uit de volgende 6 stappen: 7

8 1. Inventarisatie Verzamelen van relevante informatie Voordat er begonnen wordt met het invullen van de vragenlijsten, is er een hoeveelheid algemene informatie nodig over hoe de organisatie met informatie omgaat. Dit betreft algemene informatie zoals bijvoorbeeld: Mens (Wie is betrokken bij het onderzoek?) Het onderzoek kan worden uitgevoerd in samenwerking met één persoon van de organisatie maar onze voorkeur gaat uit om dit te doen met een team. De resultaten van het onderzoek worden daardoor beter omdat de verschillende deelnemers ieder vanuit hun eigen invalshoek het project kunnen bekijken. Indien dit om praktische redenen niet mogelijk is, kan ervoor gekozen worden om het onderzoek met één persoon uit te voeren en te laten reviewen door een tweede persoon. Wie zijn de belanghebbenden en welke eisen en wensen hebben zij? Organisatie / Processen Wordt het onderzoek gedragen door de directie? Wat is de organisatiestructuur? Zijn de processen binnen de organisatie gedocumenteerd? Is de organisatie gecertificeerd? Zoja, welke? Moet de organisatie voldoen aan bepaalde wet/regelgeving/ standaards? Valt de organisatie onder een PIA verplichting? Heeft de organisatie een FG? (Functionaris Gegevensbescherming) Bestaat er een Security Awareness programma? Techniek De verschillende systemen en/of projecten die gebruikt (gaan) worden om de gegevens te verzamelen, op te slaan en te versturen. Bestaat er (bijgewerkte) documentatie over de systemen? Hebben de systemen een maatschappelijke context? Het type gegevens (o.a. de gevoeligheid) dat gebruikt wordt / gaat worden. Welke persoonsgegevens gaat het om? o Identity Management? o Toegangssystemen? o HR/Sollicitanten?, etc. De wijze waarop deze gegevens verzameld en verwerkt gaan worden (de bron?) De manier waarop de gegevens tussen de verschillende systemen worden uitgewisseld. De bedrijfsprocessen die dit doel ondersteunen of realiseren. Waar de gegevens voor worden gebruikt (het doel of doelen). De reikwijdte van de verdere verwerking van de gegevens. Of op basis van de gegevens persoonsprofielen worden gegenereerd. 8

9 2. Invullen van onderzoeks-vragenlijst(en) De volgende fase van het Privacy onderzoek is de invulling van de vragenlijsten. De risicogebieden die in de vragenlijst worden gebruikt zijn: Risicogebieden in relatie tot: o Het type project en/of systeem wat wordt gebruikt o De gegevens die u wilt gebruiken o De partijen die betrokken zijn bij de uitvoering van het project o Een bepaalde fase van de verwerking: Het verzamelen van de gegevens Het gebruik van de gegevens Het bewaren en vernietigen van de gegevens o De beveiliging van de gegevens De risicogebieden met betrekking tot de privacy-principes: o Dataminimalisatie o Gegevenskwaliteit o Doelbinding en verenigbaarheid van verdere verwerking o Limitering van gebruik van gegevens o Beveiliging van gegevens o Transparantie o Rechten van betrokkenen o Verantwoording 3. Beoordeling van de Privacy impact en de risico s Op basis van het overzicht van de risicogebieden waar de privacy van de betrokkene mogelijk wordt geschaad kan er een inschatting gemaakt worden hoe groot de impact is binnen het project en/of de gebruikte systemen op de betrokkenen en op de organisatie. 4. Maatregelen nemen om risico s te verkleinen of weg te nemen Op basis van de inschatting van de impact op de betrokkenen of de organisatie, moet worden nagegaan op welke wijze de risico s vermeden of verkleind kunnen worden. Hierbij wordt geadviseerd na te gaan of de negatieve privacy-impact op de betrokkene noodzakelijk is en kan worden gerechtvaardigd. De belangen van de doelen van het project, het belang van de organisatie en het belang van het individu moeten hierbij worden afgewogen. 9

10 5. Aanmaak van het onderzoeksrapport De resultaten van het onderzoek worden vastgelegd in een verslag. In de rapportage zal in elk geval aan de orde komen: Een korte beschrijving van het uitgevoerde onderzoek (door wie uitgevoerd, wanneer, met welk doel, en door wie eventueel gevalideerd en/of gecontroleerd). Een korte beschrijving van het betrokken project en/of systeem, waaronder een beschrijving van het gegevensmodel en gegevensstroom (data flow analysis / gegevensstroomanalyse). Een beschrijving van de impact die naar voren is gekomen en de risico s voor de betrokkenen en de organisatie. Antwoord op de vraag: is er reden om af te zien van de gegevensverwerking? (go/no go). Aandachtspunten voor degene die het systeem/beleid/enzovoorts verder gaat ontwikkelen. Beschrijving van oplossingsrichtingen (bestaande uit mogelijke privacy maatregelen en compliance mechanismen). Naam functionaris die verantwoordelijk is voor het beheer en de evaluatie van het onderzoek. In de rapportage is ruimte voor de opdrachtgever om de uitkomsten en bevindingen van het onderzoek te becommentariëren, en eventueel te accorderen. De verspreiding van de PIA moet in het rapport expliciet worden benoemd. Minimaal al degenen die in het onderzoek zijn geraadpleegd hebben recht op de rapportage. Op basis van dit verslag kan de gebruiker van de resultaten van het onderzoek eventueel noodzakelijke beslissingen nemen. De risicogebieden waar de privacy van de betrokkene mogelijk wordt geschaad volgen uit het in ingevulde Privacy onderzoek. Vervolgens wordt in de rapportage ruimte geboden om de impact op de betrokkenen en op de organisatie zelf in te vullen. Ook is ruimte opgenomen voor een advies hoe hiermee dient te worden omgegaan. De overwegingen die ten grondslag liggen aan de antwoorden op de vragenlijst zijn een belangrijk onderdeel van het verslag. Het verslag kan een dynamisch document zijn. Hiermee wordt bedoeld dat in geval van wijzigingen in het project of in de gebruikte systemen het onderzoek (deels) opnieuw doorlopen kan worden en waar nodig het verslag op onderdelen geactualiseerd kan worden. 6. Uitvoeren / implementatie van de maatregelen Als laatste stap dienen de uitgebrachte adviezen met betrekking tot de maatregelen uitgevoerd worden. Dit kan een breed pakket van maatregelen zijn die kunnen/moeten worden uitgevoerd door verschillende partijen / betrokkenen. 10

11 Contact gegevens Sebyde Sebyde BV Legerland NG Koog aan de Zaan Telefoon: LinkedIn: Twitter: Facebook: