Privacy Impact Assessment

Transcriptie

1

2 De NOREA-PIA Wolter Karssenberg RE 24 juni 2014 Privacy Impact Assessment

3 Agenda 1. Achtergrond 2. Inhoud 3. Ervaring 4. Vragen

4 Agenda 1. Achtergrond 2. Inhoud 3. Ervaring 4. Vragen

5 (Big) Data & Privacy: een evenwichtsoefening Productieve inzet van (Big) Data Bescherming van Informationele Privacy

6 (Big) Data & Privacy Privacy Impact Assessment

7 (Big) Data & Privacy 20 juni 2014

8 (Big) Data & Privacy Privacy Impact Assessment

9 Kritiek EKD, Eerste Kamer, 30 juni 2009 Privacy Impact Assessment

10 Verwerpen EPD, Eerste Kamer, 5 april 2011

11 Motie Franken, Eerste Kamer, 17 mei 2011 De Kamer, gehoord de beraadslaging, overwegende, ( ) dat bij het totstandbrengen van nieuwe wetgeving uitdrukkelijk aandacht moet worden gegeven aan de vraag of de beperkingen op het grondrecht tot bescherming van de persoonlijke levenssfeer gerechtvaardigd zijn, ( ) moet worden getoetst aan de volgende criteria: ( ) 3. De resultaten van een Privacy Impact Assessment, zodat vooraf is onderzocht welke risico s de maatregel met zich meebrengt, ( ) verzoekt de regering bij wetsvoorstellen ( ) de hierboven genoemde criteria in de afweging en besluitvorming te betrekken en daarvan in de memorie van toelichting bij het betreffende wetsvoorstel verslag te doen, en gaat over tot de orde van de dag.

12 Regeerakkoord VVD - PvdA, 29 oktober 2012 De privacytoezichthouder, het College Bescherming Persoonsgegevens, krijgt meer bevoegdheden, waaronder de bevoegdheid meer boetes uit te delen. Bij de bouw van systemen en het aanleggen van databestanden is bescherming van persoonsgegevens uitgangspunt. Daar hoort een zogenaamd privacy impact assessment (PIA) standaard bij. Inbreuken door de overheid zijn voorzien van een horizonbepaling en worden geëvalueerd.

13 PIA NOREA, 16 mei 2013 Privacy Impact Assessment

14 Toetsmodel PIA Rijksdienst, 21 juni 2013 Privacy Impact Assessment

15 AVG EP, 21 oktober 2013, Overweging 71 bis Privacyeffectbeoordelingen zijn de essentiële spil van elk duurzaam gegevensbeschermingskader en zorgen ervoor dat ondernemingen zich vanaf het allereerste begin bewust zijn van alle mogelijke gevolgen van hun gegevensverwerkingen. Indien privacyeffectbeoordelingen grondig worden uitgevoerd, kan de kans op gegevensinbreuk en inbreuk op de privacy verregaand worden beperkt. ( )

16 AVG EP, 21 oktober 2013, Overweging 71 bis ( ) Effectbeoordelingen op het gebied van gegevensverwerking moeten dientengevolge consequent betrekking hebben op het beheer van de gehele levenscyclus van persoonsgegevens, vanaf verzameling tot aan verwerking tot aan verwijdering, waarbij de voorgenomen verwerkingen nauwkeurig worden beschreven, alsmede de risico's voor de rechten en vrijheden van betrokkenen, de voorgenomen maatregelen ter beteugeling van de risico's, de waarborgen, de veiligheidsmaatregelen en de mechanismen ter naleving van de verordening.

17 AVG EP, 21 oktober 2013, Overweging 74 bis Effectbeoordelingen kunnen alleen van nut zijn indien voor de verwerking verantwoordelijken ervoor zorgen dat zij de oorspronkelijk erin vervatte beloften naleven. Voor de verwerking verantwoordelijken moeten daarom periodieke evaluaties inzake gegevensbescherming uitvoeren waaruit blijkt dat de ingestelde mechanismen voor gegevensverwerking in overeenstemming zijn met de in de effectbeoordeling inzake gegevensbescherming gedane toezeggingen. Verder moet blijken dat de voor de verwerking verantwoordelijke in staat is de onafhankelijke keuzes van de betrokkenen te eerbiedigen. Indien er inconsistenties uit de evaluatie blijken, dienen deze bovendien in de evaluatie te worden uitgelicht en moeten er aanbevelingen worden gedaan voor het bewerkstelligen van volledige naleving.

18 AVG EP, 21 oktober 2013, Artikel 32bis 1. De voor de verwerking verantwoordelijke, of in voorkomend geval de verwerker, voert een risicoanalyse uit van de mogelijke effecten van de bedoelde gegevensverwerking op de rechten en vrijheden van de betrokkenen, waarbij wordt beoordeeld of de verwerkingen waarschijnlijk specifieke risico's inhouden. 2. De volgende verwerkingen kunnen specifieke risico's inhouden: a) de verwerking van persoonsgegevens van meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden; b) de verwerking van bijzondere categorieën persoonsgegevens zoals bedoeld in artikel 9, lid 1; ( ) d) de verwerking van persoonsgegevens voor het bieden van gezondheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geestes- of besmettelijke ziekten, ( )

19 AVG EP, 21 oktober 2013, Artikel 33 lid 3 ( ) Deze bevat ten minste: a) een systematische beschrijving van de beoogde verwerkingen, de doeleinden van de verwerking ( ); b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot het doel; c) een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen, ( ); d) een beschrijving van de beoogde maatregelen om de risico's te beperken en de hoeveelheid persoonsgegevens die wordt verwerkt, te minimaliseren; e) een lijst waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen, ( )

20 AVG EP, 21 oktober 2013, Artikel 33 lid 3 en ter ( ) Deze bevat ten minste: f) een algemene aanwijzing betreffende de termijnen waarbinnen de verschillende categorieën gegevens moeten worden gewist; h) een uitleg over welke privacy by design en by default praktijken overeenkomstig artikel 23 zijn toegepast; ( ) ter) De beoordeling wordt gedocumenteerd en bevat een schema ten behoeve van reguliere periodieke nalevingscontroles gegevensbescherming ( ) De voor de verwerking verantwoordelijke en de verwerker ( ) stellen de toezichthoudende autoriteit de beoordeling op verzoek ter beschikking.

21 AVG EP, 21 oktober 2013, Artikel 33 bis 1. De voor de verwerking verantwoordelijke ( ), voert uiterlijk twee jaar na uitvoering van een effectbeoordeling overeenkomstig artikel 33, lid 1, een nalevingscontrole gegevensbescherming uit. ( ) 2. De nalevingscontrole wordt periodiek, tenminste eens per twee jaar, uitgevoerd of anderszins onmiddellijk nadat de specifieke risico s in verband met de verwerkingen zijn gewijzigd. 3. Ingeval de nalevingscontrole inconsistenties in de naleving laat zien, worden er in de nalevingscontrole tevens aanbevelingen opgenomen om tot volledige naleving te kunnen komen. 4. De nalevingscontrole en de daaruit voortvloeiende aanbevelingen worden gedocumenteerd. De voor de verwerking verantwoordelijke ( ) stellen de toezichthoudende autoriteit de nalevingscontrole op verzoek ter beschikking.

22 Privacy Impact Assessments: here to stay Situatie voor invoering AVG: Publieke sector: toepassing PIA bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien Private sector: toepassing PIA niet verplicht maar wel verstandig Situatie na invoering AVG: Publieke én private sector: toepassing PIA in nagenoeg alle situaties wettelijk verplicht tweejaarlijkse herhalingsverplichting en bij wijzigingen risico s inhoudelijke eisen aan PIA periodieke nalevingscontrole, opvraagbaar door toezichthouder

23 Agenda 1. Achtergrond 2. Inhoud 3. Ervaring 4. Vragen

24 NOREA-PIA: doelstellingen Bijdragen aan het vermijden of verminderen van privacyrisico s Door het in kaart brengen van de kans op het schaden van de privacy van de betrokkenen Door de in kaart gebrachte privacyrisico s om te zetten in gerichte actie om de risico s te verminderen

25 NOREA-PIA: doelstellingen Verder: Voorkomen kostbare aanpassingen Verminderen gevolgen toezicht en handhaving Verbeteren kwaliteit gegevens Verbeteren dienstverlening Verbeteren besluitvorming Verhogen privacybewustzijn Verbeteren haalbaarheid Verstevigen vertrouwen Verbeteren communicatie

26 NOREA-PIA: data protection principles (OECD) OECD Privacy Principles Collection Limitation Principle Data Quality Principle Purpose Specification Principle Use Limitation Principle Security Safeguards Principle Openness Principle Individual Participation Principle Accountability Principle OESO Privacy Principes Dataminimalisatie Gegevenskwaliteit Doelbinding Gebruiksminimalisatie Beveiliging Transparantie Participatie Verantwoording

27 NOREA-PIA: structuur 1. Introductie: achtergrond en belang 2. Proces: stappen en aandachtspunten 3. Vragenlijst: vragen en toelichting 4. Bijlagen: begrippen en afkortingen

28 NOREA-PIA: stappen Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren 1. Introductie: Verzamel relevante achtergrond informatie over en het project belang Vul de PIA vragenlijst in Proces: Vragenlijst: Beoordeel de stappen impact en bedenk vragen waar nodig en aanvullende maatregelen aandachtspunten toelichting Stel het PIA rapport op 4. Bijlagen: Optie: (onafhankelijke) begrippen toets op en de PIA afkortingen

29 NOREA-PIA: vragenlijst Het initiatief / project Type project 1. Introductie: achtergrond en belang Gegevens Betrokken partijen 2. Proces: stappen en aandachtspunten De gegevens levenscyclus 3. Vragenlijst: vragen en toelichting Verzamelen 4. Bijlagen: begrippen en afkortingen Gebruiken Bewaren / Vernietigen Beveiliging

30 NOREA-PIA: vragenlijst, type project 30

31 NOREA-PIA: vragenlijst, gegevens 31

32 NOREA-PIA: vragenlijst, betrokken partijen 32

33 NOREA-PIA: vragenlijst, verzamelen 33

34 NOREA-PIA: vragenlijst, gebruiken 34

35 NOREA-PIA: vragenlijst, bewaren/vernietigen 35

36 NOREA-PIA: vragenlijst, beveiliging 36

37 Agenda 1. Achtergrond 2. Inhoud 3. Ervaring 4. Vragen

38 De te voorkomen valkuilen Te laat: Klaar voor productie, nog even een PIA doen! Te smal: Leuk zo n PIA, maar scope maar zo smal als mogelijk! Te ondiep: Een stel vragen met Ja of Nee beantwoorden. Klaar! Te hoge verwachtingen: Privacy geregeld? Ja hoor, PIA uitgevoerd! Te dom: Dat kan ik wel in m n eentje, ik ben toch IT-auditor? A fool with a tool is still a fool If all you have is a hammer, everything looks like a nail

39 De te voorkomen valkuilen Privacy Impact Assessment

40 De te benutten kwaliteiten Privacy Impact Assessment

41 Accountability Privacy Impact Assessment De te benutten kwaliteiten: juiste positie Enterprise Risk Management Ontwikkeling Operatie Privacy Risk Management Formeel juridisch PIA PbD PIA Kwaliteit en beveiliging PET

42 PIA- diepte Privacy Impact Assessment De te benutten kwaliteiten: juiste scope Gedeeltelijke compliance assessment Volledige compliance assessment Gedeeltelijke vragenlijst Volledige vragenlijst PIA-breedte

43 De te benutten kwaliteiten Goede PIA-uitvoering bewerkstelligt een gebalanceerde aandacht voor de verwerkingsdoelstelling en tegelijkertijd voor de bescherming van de privacy: Vertrouwenverhogend Kwaliteitsverbeterend Bewustheidsbevorderend Kostenbesparend Noodzakelijk is dat de PIA-uitvoering: Tijdig Gestructureerd Risicogericht Multidisciplinair plaatsvindt

44 Eerste toets Durft u van de daken te schreeuwen wat u met persoonsgegevens doet?

45 Agenda 1. Achtergrond 2. Inhoud 3. Ervaring 4. Vragen

46 Bedankt voor uw aandacht Privacy Impact Assessment

47