Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Transcriptie

1 Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

2 Even voorstellen Maurice Steffin Maurice is Manager Privacy binnen het Privacy team. Hij combineert zijn privacy kennis (wetgeving) met zijn ervaring als IT en security auditor. Maurice is een gecertificeerde privacy professional met ruim 5 jaar ervaring. Zijn ervaring binnen het privacy vakgebied bestaat uit het beoordelen en adviseren van klanten op gebied van bescherming van persoonsgegevens en compliant zijn aan de Nederlandse/ Europese privacy wetgeving. Maurice leidt samen met de verantwoordelijk Director de ontwikkeling en uitvoering van de Privacy Governance Health check. Tevens is hij lid van de Kennisgroep privacy binnen de NOREA en lid van het IAPP.

3 Agenda Inleiding Wijzigingen privacy wetgeving De Privacy Audit Veel voorkomende bevindingen en valkuilen Vragen 3

4 Wijzigingen privacy wetgeving 1. Meldplicht datalekken (NL wetgeving) 2. Algemene Verordening Gegevensbescherming (EU wetgeving) 4

5 Meldplicht Datalekken 5

6 Datalekken: zelfmoorden door hack vreemdgangerssite 6

7 Datalekken: patiëntenbestand ziekenhuis 7

8 Datalekken bij gemeente 8

9 Algemene Verordening Gegevensbescherming 9

10 Wat gaat er dan zoal veranderen? 10

11 Wat is het risico van non-compliance? 11

12 Stelling 1 : Privacy Audit is onnodig Groen: Eens Rood: Oneens 12

13 De Privacy Audit 13

14 Inleiding Waarom een Privacy Audit? Laat aan het maatschappelijk verkeer zien dat de organisatie bewust bezig is met de privacy bescherming van haar klanten. Het geeft inzicht in waar de organisatie staat als het gaat om privacy en de bescherming van persoonsgegevens. Het geeft een redelijke mate van zekerheid over de maatregelen en procedures die voor een verwerking van persoonsgegevens zijn genomen om gegevens in overeenstemming met de Wbp te verwerken. De AP stelt zich terughoudend op bij verwerkingen met een privacy certificering. 14

15 Doelstelling & Scope van de Privacy Audit Bepaling doelstelling - Assurance - Informatie & Inzicht Bepaling scope - Op basis van de verwerking (melding bij de AP) - In overleg met klant 15

16 Privacy Audit Wet Bescherming Persoonsgegevens AP: Richtsnoeren Beveiliging van persoonsgegevens (2013) AP: Beleidsregels voor toepassing van artikel 34a van de Wbp (2016) Audit is op basis van Richtlijn 3600 'Assurance-opdrachten met betrekking tot de bescherming van persoonsgegevens (Privacy Audits). Raamwerk Privacy Audit Audit is op basis van 9 Verwerkingseisen + 2 Evaluatie eisen (zie volgende slide). 16

17 Privacy Audit in 9 Verwerkingseisen + 2 Evaluatie eisen V1: Voornemen en melden V2: Transparantie V3: Doelbinding V4: Rechtmatige grondslag V5: Kwaliteit V6: Rechten van betrokkenen V7: Beveiliging V8: Verwerking door een bewerker E1: Beheersen van de processen V9: Gegevensverkeer met landen buiten de EU E2: Verkrijgen van deskundig oordeel 17

18 Privacy Certificaat Geldigheidstermijn van 12 maanden. Verlenging, indien binnen 3 maanden na afloop van de 12 maandsperiode opnieuw een Assurance-rapport met een positief oordeel met betrekking tot dezelfde verwerking van persoonsgegevens is afgegeven. 18

19 Privacy als onderdeel van de Jaarrekeningcontrole 19

20 Stelling 2 : Privacy als onderdeel van de jaarrekeningcontrole is onnodig Groen: Eens Rood: Oneens 20

21 Privacy in de Jaarrekeningcontrole Risico op materiele boetes Zorgplicht richting klant & maatschappij Toegevoegde waarde 21

22 Aandachtspunten voor de IT-auditor Wanneer, wat, hoe en aan wie melden: complexe materie Een goede afweging maken kan alleen op basis van: o Juiste voorbereiding o Juiste processen o Juiste expertise 22

23 Beheersen: Risico s afwegen Afwegen Voorkomen Detecteren Opvolgen 23

24 Welke rol heeft IT security Voorkomen o Nut & Noodzaak o Risico management 24

25 Niet alléén IT security Detecteren o IT management o Klanten o Medewerkers o Hackers o Q& A, 15: How the data breach was discovered (healthcare organizations) Fifth Annual Benchmark Study on Privacy & Security of Healthcare Data Ponemon Institute

26 Wees voorbereid Opvolgen o Beoordelen en afwegen o Registreren o Stoppen o Melden o Voorkomen 26

27 Haak in op bestaande processen en structuren IT-operations o Security, Event, Incident, Problem o Business operations o Inkoop / Outsourcing / Contract management o Customer Services / klant contact centrum Governance o Risk management o Public relations management o Stakeholder management 27

28 Aandachtspunten voor de IT-auditor De meldplicht datalekken raakt vele beheersprocessen en organisatiedelen De relevante beheersprocessen moeten aangevuld en aangepast De relevante organisatiedelen moeten daarbij betrokken zijn 28

29 Veel voorkomende bevindingen en valkuilen 29

30 Meest voorkomende bevindingen Incidenten procedure (incl. meldplicht datalekken) Inrichting PDCA-cyclus Verwerking van te veel gegevens Implementatie van bewaartermijnen Definitie van Bewerkers en contracten/ controle daarop 30

31 Valkuilen voor en tijdens een Privacy Audit Onderschatting van het proces (diepgang en benodigde tijd) Scope bepaling Weinig documentatie/ procedures Verantwoordelijkheden zijn niet belegd binnen de organisatie 31

32 Meer informatie & Vragen Maurice Steffin Manager Privacy Phone: +31 (0) Mobile: +31 (0) All rights reserved. Not for further distribution without the permission of. IIA "" PAS refers conferentie to the network 2016 of - Privacy member firms in de of Audit PricewaterhouseCoopers International Limited (IL), or, as the context requires, individual member firms of the network. Please see for further details. 32