Data Protection Impact Assessment (DPIA)

Transcriptie

1 Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ]

2 2

3 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief privacy management toepassen en integreren? 3

4 Privacy Management en de AVG Respect to risk oog voor risico 32a AVG Impact Assessment privacyeffectbeoordeling 32a, 33 AVG Compliance Review nalevingscontrole gegevensbescherming 33a AVG Responsibility Accountability verantwoordelijkheden verantwoordingsplicht 22 AVG Certification certificering 39 AVG 4

5 AVG over Oog voor risico EU Parlement (32a AVG): Risico-analyse op effecten op rechten en vrijheden betrokkenen Beoordeling of verwerking specifieke risico s inhoudt EU Commissie, Raad van de EU: geen separate risico-analyse opgenomen 5

6 AVG over Privacyeffectbeoordeling - Algemeen Europees Parlement (Ovw 71a AVG) Essentiële spil van elk duurzaam gegevensbeschermingskader Vanaf allereerste begin bewust van mogelijke gevolgen Bij grondige uitvoering, kans op inbreuk verregaand beperkt Betrekking op de gehele levenscyclus van persoonsgegevens 6

7 AVG over Privacyeffectbeoordeling - Wanneer EU Commissie (33 AVG) Verwerkingen met bijzondere risico s gezien aard, reikwijdte of doeleinden Met name: Beoordeling persoonlijkheid voor analyse en voorspelling waaraan rechtsgevolgen zijn verbonden of die aanzienlijk treffen Bijzondere categorieën voor nemen maatregelen en besluiten (grote schaal) Bewaking openbaar toegankelijke ruimten, m.n. videobewaking (grote schaal) Kinderen en genetische of biometrische gegevens (grote bestanden) Specifieke risico's voor de rechten en vrijheden betrokkenen 7

8 AVG over Privacyeffectbeoordeling - Wanneer EU Parlement (32a AVG) Zie EU Commissie, aanvullend: > betrokkenen / jaar Werknemers (grote bestanden) Gezondheidszorg voor nemen van maatregelen en besluiten (grote schaal) Wschl negatieve gevolgen voor privacy, rechten, gerechtvaardigde belangen Regelmatige en stelselmatige observatie (gezien aard, omvang en doel) 8

9 AVG over Privacyeffectbeoordeling - Wanneer Raad van de EU (33 AVG) Zie EU Commissie, aanvullend: Verwerkingen die door de toezichthouder zijn benoemd. Risico s zoals: discriminatie, identiteitsdiefstal of fraude, financiële schade, reputatieschade, schending van pseudonimiteit, verlies vertrouwelijkheid bij geheimhoudinsgplicht, belangrijk economisch en sociaal nadeel 9

10 AVG over Privacyeffectbeoordeling - Wat EU Commissie en Raad van de EU (33 AVG) Algemene beschrijving verwerking Beoordeling van de risico s voor rechten en vrijheden betrokkenen Maatregelen risicobeperking Waarborgen, beveiligingsmaatregelen en mechanismen die bescherming persoonsgegevens verzekeren en aantonen dat aan verordening is voldaan 10

11 AVG over Privacyeffectbeoordeling - Wat EU Parlement (33 AVG) Zie EU Commissie, aanvullend: Beschrijving doeleinden, gerechtvaardigde belangen Beoordeling noodzaak en evenredigheid verwerking m.b.t. doel Beoordeling risico's voor rechten en vrijheden betrokkenen, incl. discriminatie Maatregelen minimaliseren hoeveelheid persoonsgeg s Bewaartermijnen ( ) 11

12 AVG over Privacyeffectbeoordeling - Wat EU Parlement (33 AVG) ( ) Uitleg toegepaste privacy by design en by default praktijken (Categorieën) ontvangers persoonsgegevens Voorgenomen doorgiften gegevens naar een derde land Beoordeling context gegevensverwerking Schema periodieke nalevingscontroles 12

13 AVG over Nalevingscontrole Wanneer en Wat EU Parlement (33a AVG) Tenminste tweejaarlijks of onmiddellijk nadat specifieke risico s van verwerking zijn gewijzigd Uit nalevingscontrole moet blijken dat gegevens zijn verwerkt overeenkomstig de privacyeffectbeoordeling Indien nalevingsinconsistenties: aanbevelingen voor volledige naleving Documentatie nalevingscontrole desgevraagd ter beschikking toezichthouder EU Commissie, Raad van de EU: geen nalevingscontrole opgenomen 13

14 AVG over Verantwoordingsplicht Wat EU Commissie (22 AVG) Beleid en maatregelen om ervoor te zorgen en te kunnen aantonen dat verwerking in overeenstemming met Verordening wordt uitgevoerd Dit betreft met name (verwijzing naar andere verplichtingen): Bewaren documentatie (cf. 28 AVG) Voldoen aan beveiligingsplicht (cf. 30 AVG) Uitvoeren van privacyeffectbeoordeling (cf. 33 AVG) Voldoen aan eisen voorafgaande toestemming of raadpleging (cf. 34 AVG) Aanwijzen Functionaris voor de Gegevensbescherming (cf. 35 AVG) Mechanismen voor toetsen doeltreffendheid maatregelen ingesteld 14

15 AVG over Verantwoordingsplicht Wat EU Parlement (22 AVG) Zie EU Commissie, geen verwijzingen naar andere verplichtingen, maar aanvullend Transparant Rekening houdend met: Stand van de techniek Soort, context, omvang en doel verwerking Risico s voor rechten en vrijheden van betrokkenen Type organisatie Nalevingsbeleid en -procedures, tweejaarlijks te evalueren In staat doeltreffendheid en toereikendheid maatregelen aan te tonen 15

16 AVG over Verantwoordingsplicht Wat Raad van de EU (22 AVG) Zie EU Commissie, geen verwijzingen naar andere verplichtingen, maar aanvullend Rekening houdend met: Soort, scope, context en doel verwerking Risico s voor rechten en vrijheden van betrokkenen Implementatie van gegevensbeveiligingsbeleid (indien proportioneel) Relatie met gedragscodes (cf. 38 AVG) en certificering (cf. 39 AVG) 16

17 AVG over Certificering Wat EU Commissie, Raad van de EU (39 AVG) Bevorderen certificeringsmechanismen voor zegels en merktekens waardoor betrokkenen niveau van gegevensbescherming kunnen beoordelen EU Parlement Verantwoordelijke kan toezichthouder verzoeken overeenstemming verwerking met verordening te certificeren (Europees gegevensbeschermingszegel) Certificering is vrijwillig, betaalbaar en toegankelijk via een transparant en niet onnodig zwaar proces 17

18 Privacy Management Program (PMP) Definitie PMP Strategisch kader voor bouwen robuuste privacy infrastructuur Doelstellingen PMP Van theorie naar praktijk als het gaat om privacybescherming Privacybescherming als onderdeel corporate governance verantwoordelijkheden Privacy risicomanagement als onderdeel organisatiebrede risicomanagement 18

19 Privacy Management Program (PMP) Randvoorwaarden voor een effectief, efficiënt en duurzaam PMP Géén: Schaamlap Monopolie Afvoerputje Nieuw wiel Dús Organiseer topmanagement support Bemens multidisciplinair Toets juiste kennis, ervaring, competenties, drive Integreer in staande processen, methoden, technieken 19

20 Risk Analysis Impact Assessmt Compliance Review Accountability Certification Privacy Management Program Privacy Risk Management Enterprise Risk Management Development Production PbD Legal Quality and security PET 20

21 Privacy Management en de AVG Respect to risk oog voor risico 32a AVG Impact Assessment privacyeffectbeoordeling 32a, 33 AVG Compliance Review nalevingscontrole gegevensbescherming 33a AVG Responsibility Accountability verantwoordelijkheden verantwoordingsplicht 22 AVG Certification certificering 39 AVG 21

22 Be good and tell about it! 22

23 Bedankt Voor meer informatie kun je contact opnemen met: [ Wolter Karssenberg RE ] [ ] 2014 NOREA. Deze vertrouwelijke informatie van NOREA is alleen te gebruiken door de ontvanger. Dit document, of welk onderdeel ervan dan ook, mag niet gereproduceerd of verspreid worden, zonder schriftelijke toestemming vooraf van NOREA. [ 28 januari 2015 ]