IMMA special Privacy. Amersfoort, 20 april 2016

Transcriptie

1 IMMA special Privacy Amersfoort, 20 april 2016 Iris Koetsenruijter: Rob Mouris:

2 Opzet Special Voorstelronde Nut & noodzaak Privacy waarborging Privacy Referentie Architectuur (PRA) Korte pauze Omgaan met privacy binnen projecten: voorbeeld Spitsmijden Galecopperbrug Discussie & vragen Afsluiting Privacy special 20 april 2016

3 Wie zijn wij? Iris Koetsenruijter: privacy adviseur van IMMA Rob Mouris: Adviseur Spitsmijden en IMMA Privacy special 20 april

4 Nut & noodzaak privacywaarborging Iris & Rob

5 Wat is privacy? Privacy special 20 april

6 Definitie van privacy volgens Wikipedia: Privacy special 20 april

7 Wat is een persoonsgegeven? Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Geïdentificeerd houdt in dat een natuurlijk persoon uniek te onderscheiden is van andere personen op basis van identificerende gegevens (bijvoorbeeld NAW), of dat de persoon geïndividualiseerd kan worden binnen een groep (to single out). Identificeerbaar betekent dat een persoon nog niet geïdentificeerd is, maar dat identificatie door de verantwoordelijke en/of derden redelijkerwijs mogelijk is. Privacy special 20 april

8 Enkele ontwikkelingen met invloed op de privacy Digitaliseringstijdperk Social media Internet of Things Databases + koppeling Big data & profiling (Smart)phones locatiegegevens Navigatiesystemen auto s locatiegegevens Internet Cookies en opslag zoekhistorie webbrowsers Gratis apps bestaan niet! Privacy special 20 april

9 Dichterbij de Beter Benutten praktijk Parkeren o.a. kentekenregistratie en apps Nulmeting en werving deelnemers o.a. ANPR en OV-chipdata Opzetten en beheren van deelnemersbestanden Volgen van deelnemers diverse registratietechnieken Koppeling van deelnemersbestanden Enquêteren van reizigers Aanbiedingen versturen Nieuwsbrieven versturen Focusgroepen opzetten en bevragen Etc. Privacy special 20 april

10 Privacy special 20 april

14 Iedereen kijkt mee en vormt een mening Pers en media Politieke partijen Belangenorganisaties: Bits of freedom Privacyfirst Toezichthouder: Autoriteit Persoonsgegevens (voorheen CBP, College Bescherming Persoonsgegevens) Privacy special 20 april

15 Gevolgen Persoonlijk leed Imagoschade Politieke afbreukrisico s Bestuurlijke boete toezichthouder: Sinds 1 januari 2016: maximaal ,-- bij niet melden van datalek en overige overtredingen uit de Wet bescherming persoonsgegevens Of max 10% v.d. jaaromzet indien voor die overtreding een boete van euro naar het oordeel van de AP geen passende straf is voor die rechtspersoon. Privacy special 20 april

17 Privacy Referentie Architectuur (PRA): handreiking toepassing privacywetgeving in (mobiliteits)projecten. Iris Koetsenruijter

18 Doelstellingen IMMA Privacy Referentie Architectuur Eenduidige regels voor gebruik persoonsgegevens binnen spitsmijden mobiliteitsprojecten Nadere invulling vage Wbp eisen Best practices voor privacy compliance aanreiken Mogelijkheden voor (her)gebruik data creëren Privacy special 20 april

19 Uitgangspunten IMMA Privacy Referentie Architectuur Applicaties moeten Privacy by Design & by Default zijn Gebruik persoonsgegevens alleen toegestaan indien noodzakelijk Proportionaliteit Subsidiariteit Verwerking alleen met een legitieme basis Compliance met alle materiële eisen Wbp (én Verordening) Privacy special 20 april

20 Overzicht van de Privacy Referentie Architectuur: 11 eisen 1. Verantwoordelijkheid 2. Legitiem doel en grondslag 3. Dataminimalisatie 4. Doelbinding 5. Informatie en transparantie 6. Delen van gegevens met derden 7. Rechten van de betrokkene 8. Informatiebeveiliging 9. Bewaren en vernietigen 10.Gegevensexport 11.Meldplicht datalekken Privacy special 20 april

21 Verantwoordelijkheid Privacy special 20 april

22 Legitimiteit Privacy special 20 april

23 Dataminimalisatie Privacy special 20 april

24 Doelbinding Privacy special 20 april

25 Informatie en transparantie Privacy special 20 april

26 Delen van gegevens met derden Privacy special 20 april

27 Rechten van betrokkene Privacy special 20 april

28 Informatiebeveiliging Fysieke maatregelen - Toegangsbeveiliging - Beveiligde ruimtes voor IT systemen Organisatorische maatregelen - Beveiligingsbeleid Sluit aan bij erkende standaarden - Incident response zoals ISO en Beveiligingsbewustzijn Technische maatregelen - Beveiliging van IT voorzieningen - Netwerkbeveiliging - Logging en monitoring Privacy special 20 april

29 Bewaren en vernietigen Privacy special 20 april

30 Gegevensexport Uitgangspunt is dat persoonsgegevens alleen mogen worden verwerkt in landen waar goede privacywetgeving is. Landen waar een adequaat niveau van bescherming is zijn: 1. De landen binnen de Europese Economische Ruimte; 2. Landen die volgens de Europese Commissie een adequaat niveau van bescherming bieden. Privacy special 20 april

31 Meldplicht datalekken Melden bij de Autoriteit Persoonsgegevens - Bij datalek (verlies of onrechtmatige verwerking) dat leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming van persoonsgegevens. - In beoordeling of gemeld moet worden moet aard en omvang van de gegevens worden meegenomen. - Melden binnen 72 uur, via webformulier op site van AP Melding aan betrokkene - Indien datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Bijv. kans op identiteitsfraude of discriminatie. - Melding mag achterwege blijven indien gegevens ontoegankelijk zijn voor onbevoegden (bijv. doordat ze voldoende geencrypt zijn) Privacy special 20 april

32 Algemene Verordening Gegevensbescherming - Extraterritoriaal effect - Leeftijd - Informatieplicht - Recht om vergeten te worden - Recht op dataportabiliteit - Accountability - Data protection by design and by default - Data protection impact assessment - Data protection officer - Meldplicht datalekken - One stop shop - Boetes Privacy special 20 april

33 Korte pauze Privacy special 20 april

34 Omgaan met privacy binnen projecten Voorbeeld: spitsmijden A12 Galecopperbrug Rob Mouris

37 Privacy gerelateerde componenten Spitsmijden A12 1. Nulmeting met kentekenregistratie (ANPR) 2. Werving van deelnemers onder kentekenhouders 3. Volgen van deelnemers met kentekenregistratie (ANPR) 4. Deelnemerbeheer t.b.v. uitkeren beloningen 5. Fraudecontroles 6. Enquêtes 7. Monitoring & Evaluatie data deelnemers Privacy special 20 april

38 Deel van de 11-PRA-eisen vertaald naar Spitsmijden A12 1. Verantwoordelijkheid 2. Doel (a) en grondslag (b) 3. Dataminimalisatie 4. Doelbinding 5. Informatie en transparantie 6. Delen van gegevens met derden 7. Recht van de betrokkene 8. Informatiebeveiliging 9. Bewaren en vernietigen 10.Gegevensexport 11.Meldplicht datalekken Privacy special 20 april

39 Ad 1 Verantwoordelijkheid 1. Rijkswaterstaat bepaalde doel en middelen in PvE: dus verantwoordelijke in de zin van Wbp. 2. Wbp-melding intern verricht aan Functionaris Gegevensbescherming van het Ministerie van IenM + privacycoördinator RWS. 3. Bewerkersovereenkomsten gesloten met: Connection Systems: kentekenregistrator ARS T&TT: service provider Privacy special 20 april

40 Ad 2b grondslag (1) De gehanteerde grondslag voor ongevraagde kentekenregistratie betrof artikel 8e van Wbp: Publieke taak : Het project beoogt de bereikbaarheid van de A12 gedurende de renovatie van de Galecopperbrug te verbeteren. Dit doel sluit aan bij de publieke taak van Rijkswaterstaat als wegbeheerder op grond van de Wegenverkeerswet. De verantwoordelijkheid van RWS voor de verkeersdoorstroming is bovendien vastgelegd in het Instellingsbesluit van Rijkswaterstaat. Het voorgaande vormt de basis voor het vastleggen van de kentekens in een stadium waarin de betrokkene zich nog niet als deelnemer heeft aangemeld. Privacy special 20 april

41 Ad 2b grondslag (2) De gehanteerde grondslag voor deelnemerbeheer en het volgen van deelnemers betrof artikel 8a van Wbp: ondubbelzinnige toestemming betrokkene : Deelname gebaseerd op vrijwilligheid. Via Voorwaarden voor Deelname actief een vinkje laten plaatsen voor akkoord bij aanmelding via website. Eveneens toestemming geregeld voor enquêteren, fraudecontroles en nameting. Privacy special 20 april

42 Ad 3 Dataminimalisatie Met name via PvE Kentekenregistrator: 1. Alleen kentekens van Nederlandse Personenauto s 2. Alleen data op werkdagen (geen weekend en vakantiedagen) 3. Alleen data tussen en uur 4. Bewust gekozen voor maximaal 10 Werkweken opslag (maximaal nodig voor nulmeten, werven en fraudecontroles) Privacy special 20 april

43 Ad 4 Doelbinding Data uitsluitend voor doelen binnen project Spitsmijden A12! Wel mogelijk: Geanonimiseerde verkeerstellingen (voertuigklasses en intensiteiten). Ganonimiseerde enquêtegegevens en ritgegevens deelnemers landelijke database IenM. Gepseudonimiseerde HB-relaties Wettelijke vorderingen data van het OM. Niet mogelijk: Deelnemergegevens verstrekken aan derden voor andere projecten. Structurele (kenteken)datakoppeling met KLPD Privacy special 20 april

44 Ad 5 Informatie en transparantie De betrokkene helder aangeven welke persoonsgegevens voor welke doelen worden verwerkt: Privacy statement op website (zie minimale eisen PRA) Q&A o.a. rondom privacy en verwerking op website Q&A in bijlage bij wervingsbrief Privacy special 20 april

45 Ad 6 Delen van gegevens met derden 1. Telgegevens en voertuigklasses gemeente Utrecht en intern RWS 2. M&E-data gepseudonimiseerd naar Sogeti / IenM 3. Vordering van het OM (Wetboek Strafrecht) Privacy special 20 april

46 Ad 9 Bewaren en vernietigen 1. Eisen in PvE opgenomen over maximale opslagtermijnen 2. Hoge boetes opgenomen bij schending privacy 3. Getoetst op naleving eisen 4. Eind project verklaring van vernietiging alle gegevens gevraagd aan bewerkers. Privacy special 20 april

47 Ad 10 Gegevensexport Expliciet voor gunning gevraagd waar de gegevens verwerkt werden en systemen gemonitord. Dit aangezien bekend was dat 1 van de bewerkers deel uitbesteedde aan een land waar geen adequaat niveau van privacybescherming is. Privacy special 20 april

48 Aanbevelingen Voer indien mogelijk voorafgaand aan project een PIA uit: Privacy Impact Assessment. Betrek de privacy officer van je organisatie en opdrachtgever. Waar nodig betrek juridische expertise. Check of je project voldoet aan de 11 eisen uit de PRA. Ieder project is maatwerk en dient te voldoen aan weten regelgeving. Kwalificatie binnen IMMA is geen 100% garantie! Voer zelf periodiek toetsen uit op je processen: voorkom papieren tijgers en controleer of je ook echt voldoet aan je processen. Wacht niet totdat een opdrachtgever komt auditten. Privacy special 20 april

49 Discussie en vragen? Dank voor jullie aandacht! Privacy special 20 april 2016