Nieuwe privacyregels: Eitje of zwarte zwaan?

Maat: px

Weergave met pagina beginnen:

Download "Nieuwe privacyregels: Eitje of zwarte zwaan?"

Annemie van den Brink
8 jaren geleden
Aantal bezoeken:

1 1 Nieuwe privacyregels: Eitje of zwarte zwaan? Jaarvergadering Ledengroep Intern en Overheidsaccountants Nederlandse Beroepsorganisatie van Accountants Donderdag 14 september 2013 Wolter Karssenberg RE Management Consultant en Mede-eigenaar Social Force

Nederlandse Beroepsorganisatie van Accountants Donderdag 14

2 Agenda 2 Innovatie in Big Data: belangrijk! Innovatie in Big Privacy: belangrijk! Privacy: uitdagingen en kansen! Balanceren: noodzakelijk! Privacy dilemma s: cases!

3 3 Innovatie in Big Data: belangrijk!

4 Innovatie in Big Data: belangrijk! 4 Voorbeelden: Gegevens van sociale media -> inzicht in consumentengedrag, -voorkeur, -productbeleving Gegevens van fysieke sensoren -> plannen van preventief onderhoud Gegevens van klantinteractie -> fijnmazige commerciële segmentering Gegevens van aanvragen voor financiële of verzekeringsproducten -> risicovoorspelling Gegevens van medische behandeling -> risicovoorspelling en interventiebepaling Gegevens van alles ( ) -> gebruiken voor voorspelling van terrorismerisico

sensoren -> plannen van preventief onderhoud Gegevens van klantinteractie -> fijnmazige commerciële segmentering Gegevens van

5 Innovatie in Big Data: belangrijk! 5 Voorbeeld: bijzonder beheer bij banken Direct vs. indirect relevante data Bv. betalingsachterstanden vs. verloop betaalrekening Interne vs. externe relevante data Bv. betalingsachterstanden op eigen vorderingen vs. betalingsachterstanden op vorderingen van derden Feitelijke data vs. (persuasive) profiling Bv. betalingsachterstanden, verloop betaalrekening en betalingsachterstanden op vorderingen van derden vs. het verwerken van niet-relevante feitelijke data tot profielen voor het voorspellen (en beïnvloeden) van toekomstig gedrag

betalingsachterstanden op vorderingen van derden Feitelijke data vs. (persuasive) profiling Bv.

6 6 Innovatie in Big Privacy: belangrijk!

7 Innovatie in Big Privacy: belangrijk! 7 Voorbeelden: Midata Qiy Betere toegang tot de eigen data voor consumenten Betere controle over het gebruik door organisaties Persoonlijk domein voor het beheer van persoonlijke gegevens Je bepaalt zelf hoe en wanneer je toegang geeft Privacy Enhancing Technologies, waaronder bijv.: Scheiding van gegevens: loskoppelen identificerende persoonsgegevens van overige persoonsgegevens (koppeling alleen mogelijk met identiteitsbeschermer) Privacymanagementsystemen: geautomatiseerde toepassing van het privacybeleid

Persoonlijk domein voor het beheer van persoonlijke gegevens Je bepaalt zelf hoe en wanneer je toegang geeft Privacy Enhancing

8 Privacy: uitdagingen en kansen! 8 Privacyprincipes OESO (1980!... en 2013) Dataminimalisatie Gegevenskwaliteit Doelbinding Gebruiksminimalisatie Beveiliging Transparantie Participatie Verantwoording

9 Privacy: uitdagingen en kansen! 9 Modern privacyjargon Voorbeelden Doe maar gewoon Privacy Impact Assessment Privacy by Design Privacy Enhancing Technologies Accountability Consumer in Control Specifieke risico-analyse voor privacy-aspecten Bak privacy mee in je product- en systeemontwerp Pas moderne technieken van gegevensbescherming toe Verifieer dat je voldoet aan wet- en regelgeving en leg verantwoording af Leg uit wat je doet en geeft de consument controle over zijn gegevens

Technologies Accountability Consumer in Control Specifieke risico-analyse voor privacy-aspecten Bak privacy mee in je

10 Privacy: uitdagingen en kansen! 10 Fase Vernieuwing Beheer Formeel juridisch (, zorgvuldig, gerechtvaardigd, rechtmatige grondslag, verenigbaar, toereikend, ter zake dienend, inzage, ) Soort criterium Kwaliteit (integriteit, exclusiviteit, beschikbaarheid) PIA Compliance-onderzoek

gerechtvaardigd, rechtmatige grondslag, verenigbaar, toereikend, ter

11 Privacy: uitdagingen en kansen! 11 Privacy Impact Assessment Motie Franken: bij wetsvoorstellen o.a. PIA Regeerakkoord: PIA vanzelfsprekend Doel: vroegtijdig inzicht in privacyrisico s Risicogebieden: OESO-principes

12 Privacy: uitdagingen en kansen! 12 Privacy Impact Assessment Toetsmodel PIA (Rijksdienst) PIA (NOREA)

13 Privacy: uitdagingen en kansen! 13 Privacy by Design (1) Ann Cavoukian / Inf & Privacy Officer, Ontario Proactief ipv reactief; preventief ipv herstellend Privacy als standaard Privacy geïntegreerd in het ontwerp Volledige functionaliteit positive-sum ipv zero-sum Veiligheid van begin tot eind bescherming tijdens de volledige levenscyclus Zichtbaarheid en transparantie houd het open Respect voor de privacy laat de gebruiker centraal staan

herstellend Privacy als standaard Privacy geïntegreerd in het ontwerp Volledige functionaliteit positive-sum

14 Privacy: uitdagingen en kansen! 14 Privacy by Design (2) TNO / Stimulerende en remmende factoren van Privacy by Design in Nederland

15 Privacy: uitdagingen en kansen! 15 Audit: Richtlijn 3600 / Privacy Audit Proof Gericht op: Stelsel van maatregelen en procedures van een verwerking Bestuursverklaring Resultaat: assurance rapport mbt opzet, bestaan en werking van het stelsel over een periode de juistheid van het gestelde in de bestuursverklaring Deskundigheid: ICT controls Juridische en praktische kennis Wbp e.a. Gecertificeerde verwerkingen: Qiy, NFI/DNA-databank, Liander/Slimme meter, BKR/CKI

Bestuursverklaring Resultaat: assurance rapport mbt opzet, bestaan en werking van het stelsel over een periode de

16 Privacy: uitdagingen en kansen! 16 Accountability

17 Privacy: uitdagingen en kansen! 17 Aandachtspunten interne of overheidsaccountant Toenemend belang privacy Impact veranderend boeteregime Impact veranderende maatschappelijke en politieke gevoeligheid Dekking privacy in GRC-proces Adopteer actuele methoden en technieken Schakel specialisten in In privacy gespecialiseerde (IT-)auditors In privacy gespecialiseerde juristen Toon privacycompliance aan, evt. certificering

boeteregime Impact veranderende maatschappelijke en politieke gevoeligheid Dekking privacy in GRC-proces

18 Balanceren: noodzakelijk! 18 Privacywetgeving is principle based

19 Balanceren: noodzakelijk! 19 Proportionaliteit Subsidiariteit

20 Balanceren: noodzakelijk! 20 Roloverschrijding 1 Nee Ja Nee Gedragsprofilering Gevoelige gegevens Ja Laag Hoog Gemiddeld Zeer hoog 1 Roloverschrijding: als gegevens van verschillende rollen van het individu (werknemer, partner, vriend, etc.) worden gecombineerd in de toepassing

gegevens Ja Laag Hoog Gemiddeld Zeer hoog 1 Roloverschrijding: als

21 21 Aspect Balanceren: noodzakelijk! Lichte druk op privacybalans Zware druk op privacybalans Gediende belangen Maatschappelijk Commercieel Geografische dekking Plaatselijk Landelijk Sectorale dekking Binnensectoraal Bovensectoraal Toegankelijkheid Enkele personen Tienduizenden personen Aard gegevens Ongevoelig Gevoelig Gevolgen voor betrokkene Vrijblijvend Uitsluiting Bewaartermijn Korte tijd Beperkt Profilering Niet Wel Precisie Weinig fout positieven/negatieven Veel fout positieven/negatieven Informatievoorziening aan betrokkene Snel en duidelijk Achteraf en globaal

22 22 Privacy dilemma s: cases! Handhaving

23 23 Privacy dilemma s: cases! Geanonimiseerde informatiedeling

24 Vragen? 24 Wolter Karssenberg RE Telefoon: Linkedin: Kijktip:

Vergelijkbare documenten

Privacy Impact Assessment

De NOREA-PIA Wolter Karssenberg RE 24 juni 2014 Privacy Impact Assessment Agenda 1. Achtergrond 2. Inhoud 3. Ervaring 4. Vragen Agenda 1. Achtergrond 2. Inhoud 3. Ervaring 4. Vragen (Big) Data & Privacy: