Privacy Impact Assessments: Wat is het, hoe doe je het en hoe pak je het aan?

Transcriptie

1 Privacy Impact Assessments: Wat is het, hoe doe je het en hoe pak je het aan?

2 Privacyvraagstukken als risico voor uw project De laatste jaren is er veel te doen rondom het onderwerp privacy. De onthullingen van Edward Snowden, het gebruik van persoonsgegevens in het kader van Big Data en nieuwe technologieën zoals drones en wearable compu5ng roepen steeds meer privacyvragen op. Onzekerheid over privacybescherming slaat snel om in weerstand. Hierdoor hebben projecten zoals de Slimme Energiemeter, de OV- chipkaart en het Elektronisch PaDëntendossier jarenlange vertraging opgelopen. Ook de polidek wordt steeds kridscher als het gaat om privacy. In mei 2011 werd de mode Franken aangenomen in de Eerste Kamer.* De mode eist dat bij wetsvoorstellen die de persoonlijke levenssfeer van de burger kunnen raken een inschamng wordt gemaakt van de privacyrisico s. In 2012 is in het regeerakkoord deze verplichdng tot het doen van een Privacy Impact Assessment (PIA) vastgelegd. Een andere belangrijke ontwikkeling is de Europese Privacy Verordening.** Deze verordening zal naar alle waarschijnlijkheid in 2014 of 2015 worden aangenomen en grote veranderingen op het gebied van privacywetgeving met zich meebrengen. Een van de eisen uit de Verordening is dat organisades die persoonsgegevens willen verwerken, verplicht zijn om een PIA te doen. Overheden en bedrijven die géén PIA doen lopen het risico op torenhoge boetes tot wel 100 miljoen euro of 5% van de wereldwijde jaaromzet. Wilt u reputadeschade en handhavingsrisico s voorkomen, dan is het verstandig om een PIA te doen. In deze whitepaper beschrijw ConsideraD hoe u dat moet doen. Wilt u reputadeschade en handhavingsrisico s voorkomen, dan is het verstandig om een PIA te doen. In deze whitepaper beschrijw ConsideraD hoe u dat doet. * MoDe- Franken (CDA) c.s. over criteria in het geval van nieuwe wetsvoorstellen waarbij van een beperking op het grondrecht van de bescherming van de persoonlijke levenssfeer sprake is (EK , D). ** Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), Brussel (COM)2012.

3 I. Waarom een PIA? U kunt een PIA doen voor wetgeving en voorgenomen beleid, maar ook voor concrete producten, diensten en systemen. In alle gevallen krijgt u met een PIA in een vroeg stadium zicht op de mogelijke privacyrisico s van uw project. U gebruikt de resultaten van een PIA om uw project aan te passen of noodzakelijke privacybeschermende maatregelen door te voeren in de technologie en organisade (privacy by design). Hoe eerder u een PIA laat uitvoeren, hoe meer kosten u bespaart. Het aanpassen van een idee is immers goedkoper dan het achteraf aanpassen van een afgerond project omdat het niet in lijn is met de privacywetgeving of verwachdngen van burgers. ConsideraD 2014 Zorgvuldig omgaan met privacy creëert tenslo`e meer maatschappelijk draagvlak voor uw product of dienst. Zoals het mislukken van grote ICT projecten door privacyproblemen laat zien, is maatschappelijk draagvlak van cruciaal belang voor het slagen van een project.

4 Een goede PIA moet bijdragen aan het realiseren van de volgende doelstellingen: Het idendficeren en adresseren van privacyrisico s binnen het project; Het verantwoorden van gemaakte keuzes binnen het project; Het vergroten van het maatschappelijk draagvlak voor het project. Een Privacy Impact Assessment is dan ook geen compliance- of audit instrument. Een PIA is een iteradef proces waarbij vanaf het begin van het ontwikkeltraject wordt nagedacht over privacyrisico s en het voorkomen daarvan. Het PIA proces bestaat uit verschillende stappen, te weten: 1. PIA pre- screening 2. Voorbereiding PIA 3. IniDële assessment 4. Externe ConsultaDe 5. Gedetailleerde assessment 6. Rapportage 7. Review & Audit ConsideraD 2014 Hieronder worden de stappen een voor een toegelicht.

5 Stap 1: PIA pre-screening Allereerst moet u bepalen of het uitvoeren van een PIA voor uw beleid, product of dienst noodzakelijk is. Aan de hand van een aantal pre- screening vragen kunt u inscha`en of u een PIA moet doen. Voorbeelden van screening vragen zijn: Worden voor het project meerdere gegevensbronnen aan elkaar gekoppeld, met elkaar vergeleken of anderszins geïntegreerd? Worden voor het project (nieuwe) technologieën toegepast die mogelijk een bedreiging voor de privacy vormen, zoals biometrie, RFID of data mining? Deze stap kunt u gemakkelijk en snel zelf uitvoeren door de Privacy Impact Assessment Quickscan te doen op PrivacyChecker.nl. Aan de hand van Den eenvoudige vragen verkrijgt u inzicht in de vraag of het doen van een PIA noodzakelijk of wenselijk is. Deze door ConsideraD ontwikkelde tool won in 2013 de Privacy InnovaDon Award van de InternaDonal AssociaDon of Privacy Professionals (IAPP). ConsideraD 2014

6 Stap 2: Voorbereiding Een goede voorbereiding is essendeel om de PIA zo efficiënt en zorgvuldig mogelijk uit te kunnen voeren. In de voorbereidingsfase wordt allereerst vastgesteld waarop de PIA betrekking heew en welke doelen de PIA heew. Een PIA kan op verschillende niveaus worden uitgevoerd. Binnen het bedrijfsleven heew een PIA meestal betrekking op een nieuw product of een nieuwe dienst. Binnen de overheid kan een PIA betrekking hebben op wetgeving of voorgenomen beleid, maar ook op de concrete uitvoering van het beleid en op de systemen en processen die nodig zijn om het beleid uit te voeren. Het doel van een PIA is mede- alankelijk van het object van de PIA: heew de PIA betrekking op wetgeving dan wordt gekeken naar de effecten van de wetgeving op de burger, heew de PIA betrekking op een systeem dat wordt gekeken hoe dit systeem in concreto wordt gebruikt en welke privacyrisico s dat mogelijk oplevert. ConsideraD 2014 Na het vaststellen van het object van de PIA en de doelstellingen, bepaalt u aan wie de resultaten van de PIA worden gericht. Dit kan bijvoorbeeld de FuncDonaris voor Gegevensbescherming binnen uw organisade zijn, de Chief InformaDon Officer (CIO), de directeur of het management.

7 Vervolgens wordt het team samengesteld dat de PIA uitvoert. Binnen de organisade zullen dit meestal mensen zijn van de operadonele-, juridische-, beleids-, ICT- en compliance afdelingen. Het is noodzakelijk om een goede mix van diverse disciplines te betrekken bij het PIA proces. Dit vergroot niet alleen het draagvlak voor de resultaten van de PIA binnen de organisade, maar maakt het ook mogelijk om samen naar oplossingen te zoeken voor gesignaleerde privacyproblemen. In de voorbereidingsfase wordt de scope van het project en de PIA voor de inidële assessment ook vastgelegd. In deze fase bepaalt u tenslo`e of het noodzakelijk is om een externe pardj te betrekken bij het PIA proces. Het voordeel van een externe pardj is niet alleen dat zij gespecialiseerd zijn in privacyrecht en het doen van PIA s, maar ook dat zij buiten uw organisade staan. Naast experdse kan de externe pardj door haar onalankelijke poside de organisade een spiegel voorhouden en als aanjager/projectleider voor het PIA proces dienen.

8 Stap 3: Initiële assessment In de eerste fase van het assessment wordt vastgesteld wat de doelen van het project zijn, welke gegevens er worden verzameld en uitgewisseld (de zogenaamde data flow), welke pardjen betrokken zijn en wat hun rol is. In dit stadium wordt ook een eerste inschamng gemaakt van de legidmiteit van de verwerkingen. Hierbij bepaalt u of de doelen een gerechtvaardigde grondslag hebben op grond van de Wet bescherming persoonsgegevens. Hierbij moet u zich ook telkens afvragen: zijn de verwerkingen van persoonsgegevens binnen ons project effecdef, propordoneel en zijn er geen minder ingrijpende middelen voorhanden (subsidiariteit)? ConsideraD 2014 Om een goede beoordeling te maken van de legidmiteit moet u uiteraard ook op hoofdlijnen de privacyrisico s voor de betrokkenen in kaart brengen en kijken welke risicobeperkende maatregelen genomen kunnen worden (subsidiariteit). Voor deze stap kunt u onder andere de vragen uit het Toetsmodel Privacy Impact Assessment Rijksdiensten gebruiken.

9 Stap 4: Externe consultatie Bij een externe consultade wordt bepaald welke maatschappelijke actoren relevant zijn in het kader van het project en of het noodzakelijk of wenselijk is om ze erbij te betrekken. Denk bijvoorbeeld aan consumentenorganisades, vakbonden, burgerrechtenorganisades en academici. Aan de hand van de inidële assessment kunt u deze actoren om hun mening vragen en feedback krijgen op het voorgenomen project. Daarnaast wordt maatschappelijk draagvlak gecreëerd doordat u laat zien dat u privacy serieus neemt en stappen onderneemt om de risico s zoveel mogelijk te beperken. Nota bene: De externe consulta5e is een op5onele stap in het PIA- proces. U kunt ervoor kiezen deze stap over te slaan, bijvoorbeeld in verband met de vertrouwelijkheid van het project. Mocht u hiervoor kiezen, dan vallen het ini5ële en het gedetailleerde assessment (gedeeltelijk) samen. Stap 5: Gedetailleerde assessment In het gedetailleerde assessment wordt op gekeken naar de gegevensuitwisselingen binnen de organisade en gaat u diep in op alle aspecten van de beveiliging van gegevens. Alle betrokken actoren worden geïdendficeerd en hun rol (verantwoordelijke, bewerker, betrokkene) wordt vastgesteld. De systemen waarmee persoonsgegevens worden verwerkt worden geïdendficeerd en er wordt per systeem vastgesteld welke gegevens er worden verwerkt en door wie. Daarnaast worden koppelvlakken en gegevensoverdrachten, zowel inkomend, intern als uitgaand, geanalyseerd en worden de privacy controls vastgesteld voor alle gegevensverwerkingen. De risico s die in deze fase naar voren komen worden geadresseerd door Privacy by Design en Privacy Enhancing Technologies (PET) toe te passen.

10 Stap 6: Rapportage De resultaten van de PIA worden vastgelegd in een eindrapportage. Hierbij kan indien gewenst onderscheid worden gemaakt tussen een interne rapportage en een externe rapportage. De interne rapportage is bedoeld voor de interne opdrachtgever (meestal het management), de externe rapportage is bedoeld om openbaar te maken aan het publiek. In de rapportage legt u vast welke risico s er zijn geïdendficeerd en of deze risico s zijn weggenomen, verminderd of geaccepteerd. Een duidelijke beschrijving van uw keuzes en overwegingen is noodzakelijk voor de maatschappelijke acceptade van uw project. Wanneer risico s nog niet zijn weggenomen beschrijw u welke acdes er nog ondernomen moeten worden en door wie. Stap 7: Review & Audit Indien u de PIA heew uitgevoerd zonder behulp van een externe pardj kunt u uw bevindingen ter controle alsnog voorleggen aan een expert van buitenaf. ConsideraD adviseert echter om er vanaf het begin van het proces een externe pardj bij de PIA te betrekken, omdat achteraf vaak nog maar beperkt wijzigingen door te voeren zijn. Om deze reden is de stap review & audit ook facultadef.

11 III. Tot slot: PIA s in een breder verband Het laten uitvoeren van een PIA staat niet op zichzelf, maar is onderdeel van de bredere privacy governance & compliance binnen uw organisade. Daar waar een PIA gericht is op het idendficeren van privacyrisico s van een project, is een privacy governance & compliance programma gericht op de zorgvuldige omgang met persoonsgegevens binnen de organisade als geheel. Een zorgvuldig beleid voor privacy governance en compliance verkleint de algemene risico s die u als organisade loopt op het gebied van privacy. Uiteraard betekent een onzorgvuldige omgang met privacy in het algemeen vaak ook dat de risico s binnen het project waarvoor u de PIA doet groter worden. Privacy governance is een doorlopend verbeterproces op basis van de Plan- Do- Check- Act cyclus. Een PIA helpt u bij het in kaart brengen van de stand van zaken op het gebied van privacy en het formuleren van een privacystrategie. Samen met andere instrumenten zoals een compliance check en een maturity scan krijgt u een goed overzicht van de risico s voor uw organisade (plan). Op basis van de door u geformuleerde privacystrategie kunt u vervolgens werk maken van het verbeteren van het privacybeleid (do), monitoring, handhaving (check) maken het mogelijk om vervolgens het beleid bij te stellen (act). ConsideraD 2014 Voor meer informade over privacy governance & compliance zie:

12 Meer weten? Wilt u meer weten over het doen van een PIA of zoekt u naar professionele en prakdsche hulp bij het uitvoeren van een PIA? Neem dan contact op met de experts van ConsideraD: mr. dr. Bart W. Schermer Partner E- mail: schermer@considerad.com Telefoon: mr. drs. Mar8ne Wubben CIPP/E Senior Adviseur E- mail: wubben@considerad.com Telefoon:

13 Over Considerati ConsideraD is het enige adviesbureau dat volledig gespecialiseerd is in zowel juridisch advies als strategische communicade / public affairs voor ICT en nieuwe technologieën. Onze kernspecialismen zijn privacy, cybersecurity, ISP- aansprakelijkheid, digitaal vertrouwen en copyright. Wij bieden een unieke combinade van juridisch advies, public affairs en consultancy en zorgen voor prakdsche oplossingen die organisades helpen om juridische en compliance risico s te vermijden en reputadeschade te voorkomen. ConsideraD heew veel ervaring met het uitvoeren van PIA s voor overheden en bedrijven. ConsideraD heew in november 2013 de HP- IAPP Privacy InnovaDon Award gewonnen voor PrivacyChecker.eu, een tool waarmee bedrijven en overheden snel en gemakkelijk aan de hand van een aantal vragen kunnen kijken of zij voldoen aan de Wet bescherming persoonsgegevens, hoe hoog de boete is die ze riskeren onder de aankomende nieuwe privacywetgeving en of het doen van een Privacy Impact Assessment noodzakelijk is. ConsideraD bestaat uit een team van ervaren experts met een juridische achtergrond en veel ervaring met technologie. ConsideraD werkt discreet en op vertrouwelijke basis. Al onze medewerkers hebben een veiligheidsscreening doorlopen. Daarnaast draagt ConsideraD bij aan het ontwikkelen van kennis van en begrip voor de digitale samenleving door wetenschappelijke publicades, docentschappen en onderzoeksposides aan gerenommeerde universiteiten als Leiden en Oxford. Wilt u op de hoogte gehouden worden van veranderingen in privacyregels of innovades op het gebied van privacy, stuur dan een e- mail naar info@considerad.com, schrijf u in voor onze nieuwsbrief of kijk op onze website