De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

Transcriptie

1 De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances? Hans van Impelen Privacyfunctionaris/ Functionaris voor de Gegevensbescherming (FG)

2 De start in Utrecht (2015) De Gemeente Utrecht stelt een Functionaris voor de gegevensbescherming (FG) ofwel een Privacy Officer aan. Dit vloeit voort uit de eigen Privacyverordening, maar ook uit de wens om intensiever te sturen op grond van data (datagedreven sturing). de wetgeving verandert, zowel nationaal, Europees en internationaal. Hierdoor zullen naar verwachting meer privacyvraagstukken ontstaan.

3 Functionaris Gegevensbescherming (FG) Een FG is adviseur en toezichthouder Nu nog een mogelijkheid om de FG functie in te stellen (Wbp) FG is verplicht voor overheidsorganisaties op grond van de Algemene Verordening Gegevensbescherming (AVG), ook bekend als de General Data Protection Regulation (GDPR) (Verordening (EU) 2016/679) Check: Er zijn nu 70 gemeentelijke FG s en er zijn 388 gemeenten (18 % heeft een FG) Balance? In Utrecht: Positionering bij de Bestuurs- en Concernstaf Werkt onafhankelijk Korte lijnen met organisatie en bestuurders Samenwerking met CIO, CISO, juristen, ICT ers en uitvoering

4 Privacy is het recht van de individu / data protectie is de plicht van de verantwoordelijke. Check: Hoe goed slagen we er nu al in om de data te beschermen? Datalekken 2016 gemeld bij de Autoriteit Persoonsgegevens datalekken 5500 Meldingen per sector % Aantal 1 Gezondheid en welzijn Financiële dienstverlening 17% Openbaar bestuur 15% Informatie en communicatie 11% Overig 10% Vervoer 6% Onderwijs 4% Specialistische zakelijke dienstverlening 3% Overige zakelijke dienstverlening 2% Energie 2% Industrie 1% 55 Bron: Autoriteit Persoonsgegevens Industrie Energie Overige zakelijke dienstverlening Specialistische zakelijke Onderwijs Vervoer Overig Informatie en communicatie Openbaar bestuur Financiële dienstverlening Gezondheid en welzijn Balance: We staan als openbaar bestuur in de landelijke top 3 van de AP van meest lekkende sectoren.en de risico s zijn groot. 1% 2% 2% 3% 4% 6% 10% 11% 15% 17% 29%

5 Risico s Imagoschade Politiek risico Financieel risico Aansprakelijkheidsrisico Boeterisico Boetes zijn nu mogelijk tot maximaal ,- (onder Wbp), straks tot maximaal 20 mln of 4% van de wereldwijde omzet. (na mei 18 AVG). Nationale wetgever moet de maximale boeteomvang voor overheidsinstellingen volgens de AVG bij wet bepalen.

6 Het Utrechtse speelveld: Beslaat ruim 700 applicaties en circa 800 processen Volwassenheidsniveau organisatieonderdelen verschilt Big data/ datagedreven sturing / open data Meldplicht datalekken Baseline Informatiebeveiliging Gemeenten (BIG) Gekoppeld aan Bewustwordingscampagne BIG Intern vertaald naar BIG = Bewust Informatie Gebruiken BIG op intranet BIG op Yammer BIG in het Stadskantoor Mistery guest Game

7 Recente ontwikkelingen en de nabije toekomst Nieuwe Privacyverordening gemeente Utrecht (September 2016) Privacy Impact Assessments verplicht bij nieuwe verwerkingen en wijziging bestaande verwerkingen Transparantie: openbaar register verwerkingen en register datalekken Contactpersoon voor de gegevensbescherming (P&IB) in elk organisatieonderdeel Implementatie Algemene Verordening Gegevensbescherming (AVG) Privacy by design Privacy Impact Assessments (Data Protection Impact Assessment) Documentatieplicht voor alle verwerkingen Geen vrijstellingen zoals in de Wbp Ander begrip van bijzondere gegevens Ander audit- en verantwoordingsregime (accountability en auditability) Check: Implementatietermijn van twee jaar loopt al U heeft nog 15 maanden. Balance: Bent u al gestart/hoe ver bent u?. feb-17 mrt-17 apr-17 mei-17 jun-17 jul-17 aug-17 sep-17 okt-17 nov-17 dec-17 jan-18 feb-18 mrt-18 apr-18 mei

8 Normen (back to basic) BIG, NEN en ISO kennen veel zeer veel gedetailleerde normen, het management moet je daar niet mee lastig vallen. Kiss principe: Keep It Simple & Smart 7 basale normen voor Privacy & Informatiebeveiliging Norm 1: Is er beleid vastgesteld (strategisch, tactisch en operationeel)? Norm 2: Wordt het beleid periodiek op gestructureerde wijze herzien? Norm 3: Wordt het beleid uitgedragen in de organisatie? Norm 4: Is de organisatie van Privacybescherming en Informatiebeveiliging vormgegeven? Norm 5: Wordt er met privacywetgeving rekening gehouden bij nieuwe verwerkingen? Norm 6: Is er voldoende aandacht voor bewustwording en gedragsverandering? Norm 7: Is er sprake van geautoriseerd gebruik van persoonsgegevens?

9 Aanpak AVG implementatie Utrecht Plan van aanpak in vogelvlucht Mijlpaal Datum afgerond Vaststelling plan van aanpak (akkoord) November 2016 Pilot December 2016 Contactpersonen per OO helder en geïnstrueerd Januari 2017 Informatiesessies met MT s van alle organisatieonderdelen December 2016/januari 2017 Voorbereidingssessie met alle Informatiemanagers Januari 2017 Scrumsessies en opstellen PvA per organisatieonderdeel Februari tot december 2017 Integrale toetsing en advisering over aanvullende maatregelen Januari 2018 Eindevaluatie uitvoering plannen van aanpak Maart 2018 Laatste toetsing en overdracht aan business April 2018 Presentatie projectresultaat Half mei 2018 Compliant aan AVG 25 mei 2018

10 Samenwerking, o.a. met G4 en diverse andere gemeenten Ministeries V&J, SZW en BiZa Hiemstra & de Vries Stimulansz (PInzicht) Centrum voor Informatiebeveiliging en Privacybescherming (CIP) Nederlands Genootschap van Functionarissen Gegevensbescherming (NGFG) Utrecht IT cirkel VNG Autoriteit Persoonsgegevens Eiffel Verdonck, Klooster Associetes (VKA)

11 Dank voor uw aandacht vragen? Persoonsgegevens? Denk BIG! Bewust Informatie Gebruiken