Privacy by Design in de praktijk!

Transcriptie

1 Privacy by Design in de praktijk! 17 november 2016, Jaarcongres ECP

2 Inhoud Privacy by Design Wat wordt vereist? Wat was er al? Een praktisch framework!

3 Privacy by Design Betekent dat je in het ontwerp van diensten rekening houdt met privacy Standaard maatregelen voor bescherming van gegevens, zowel organisatorisch als technisch Als vereiste opgenomen in de Algemene Verordening Gegevensbescherming

4 Wat wordt vereist? Artikel 25 (1) AVG: Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

5 Wat wordt vereist? Passende technische en organisatorische maatregelen Om rechten van betrokkenen te beschermen

6 Wat was er al? Uitgangspunten zoals door Privacy Commissioner Ontario geformuleerd (Ann Cavoukian) Rapport Actieplan Privacy met best technologies en best practices voor privacy innovaties (PI.lab 2014) Privacy design patterns (Hoepman, en recent ECP bijeenkomst) PIA s Vaak alleen technische of organisatorische insteek

7 Wat was er al? Bij elkaar aardig wat materiaal, maar veel theoretisch of juridische opsommingen van principes Nog geen raamwerk voor praktische toepassing En ook geen duidelijkheid over wat precies vereist wordt en op basis waarvan toezichthouder toezicht zal uitoefenen Dus

8 Privacy by Design Framework Ontwikkeld door Privacy Company Als onderdeel van Big Privacy project dat wordt ondersteund door het SIDN Fonds Overzicht juridische onderdelen PbD Koppeling aan techniek en organisatorische maatregelen Alternatieve waarborgen In een handig overzicht aan de hand waarvan een organisatie PbD kan implementeren en documenteren

9 Privacy by Design Framework Laat je leiden door onze eigen Captain Privacy

10 Anonimiseren Eerste stap, want bij anonieme gegevens geen privacy issue De rest van het schema hoeft dan niet meer doorlopen te worden

11 Anonimiseren Vaak samen met aggregeren

12 Dataminimalisatie Gaat samen met doelomschrijving Minimale gegevensset

13 Pseudonimiseren Beleid voor gescheiden houden identificerende gegevens en overige gegevens, contracten

14 Encryptie Conform standaarden informatiebeveiliging

15 Access control Bijhouden autorisatiematrix en logging Need toknow en need toaccess

16 Data protection by default Registraties opt-in en opt-out Registratie permissies

17 Verwijderen/bewaartermijnen Beleid en overzicht bewaartermijnen Omgang met e-waste

18 Faciliteren rechten van betrokkenen Privacy statement Beleid bij verzoeken inzage/correctie/verwijdering

19 Framework is onderdeel Van algehele data governance van een organisatie Van governance specifiek voor dienst/proces (incl. contracten, bewerkersovereenkomsten, juridische grondslag, intern beleid, etc.) En regelmatig een privacy audit helpt compliant te blijven Een PIA kan helpen inzichtelijk te maken of aan overige juridische eisen is voldaan Dit schema kan ook bij een PIA behulpzaam zijn

20

21 Dank voor uw aandacht!