IMMA special Privacy Amersfoort, 20 april 2016 Iris Koetsenruijter: koetsenruijter@considerati.com, 06-28613217 Rob Mouris: rob.mouris@minienm.nl, 06-27061622 1
Opzet Special 09.30-09.45 Voorstelronde 09.45-10.15 Nut & noodzaak Privacy waarborging 10.15-11.00 Privacy Referentie Architectuur (PRA) 11.00-11.15 Korte pauze 11.15-11.45 Omgaan met privacy binnen projecten: voorbeeld Spitsmijden Galecopperbrug 11.45-12.00 Discussie & vragen 12.00 Afsluiting Privacy special 20 april 2016
Wie zijn wij? Iris Koetsenruijter: privacy adviseur van IMMA Rob Mouris: Adviseur Spitsmijden en IMMA Privacy special 20 april 2016 3
Nut & noodzaak privacywaarborging Iris & Rob
Wat is privacy? Privacy special 20 april 2016 5
Definitie van privacy volgens Wikipedia: Privacy special 20 april 2016 6
Wat is een persoonsgegeven? Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Geïdentificeerd houdt in dat een natuurlijk persoon uniek te onderscheiden is van andere personen op basis van identificerende gegevens (bijvoorbeeld NAW), of dat de persoon geïndividualiseerd kan worden binnen een groep (to single out). Identificeerbaar betekent dat een persoon nog niet geïdentificeerd is, maar dat identificatie door de verantwoordelijke en/of derden redelijkerwijs mogelijk is. Privacy special 20 april 2016 7
Enkele ontwikkelingen met invloed op de privacy Digitaliseringstijdperk Social media Internet of Things Databases + koppeling Big data & profiling (Smart)phones locatiegegevens Navigatiesystemen auto s locatiegegevens Internet Cookies en opslag zoekhistorie webbrowsers Gratis apps bestaan niet! Privacy special 20 april 2016 8
Dichterbij de Beter Benutten praktijk Parkeren o.a. kentekenregistratie en apps Nulmeting en werving deelnemers o.a. ANPR en OV-chipdata Opzetten en beheren van deelnemersbestanden Volgen van deelnemers diverse registratietechnieken Koppeling van deelnemersbestanden Enquêteren van reizigers Aanbiedingen versturen Nieuwsbrieven versturen Focusgroepen opzetten en bevragen Etc. Privacy special 20 april 2016 9
Privacy special 20 april 2016 10
Privacy special 20 april 2016 11
Privacy special 20 april 2016 12
Privacy special 20 april 2016 13
Iedereen kijkt mee en vormt een mening Pers en media Politieke partijen Belangenorganisaties: Bits of freedom Privacyfirst Toezichthouder: Autoriteit Persoonsgegevens (voorheen CBP, College Bescherming Persoonsgegevens) Privacy special 20 april 2016 14
Gevolgen Persoonlijk leed Imagoschade Politieke afbreukrisico s Bestuurlijke boete toezichthouder: Sinds 1 januari 2016: maximaal 820.000,-- bij niet melden van datalek en overige overtredingen uit de Wet bescherming persoonsgegevens Of max 10% v.d. jaaromzet indien voor die overtreding een boete van 820.000 euro naar het oordeel van de AP geen passende straf is voor die rechtspersoon. Privacy special 20 april 2016 15
Privacy special 20 april 2016 16
Privacy Referentie Architectuur (PRA): handreiking toepassing privacywetgeving in (mobiliteits)projecten. Iris Koetsenruijter
Doelstellingen IMMA Privacy Referentie Architectuur Eenduidige regels voor gebruik persoonsgegevens binnen spitsmijden mobiliteitsprojecten Nadere invulling vage Wbp eisen Best practices voor privacy compliance aanreiken Mogelijkheden voor (her)gebruik data creëren Privacy special 20 april 2016 18
Uitgangspunten IMMA Privacy Referentie Architectuur Applicaties moeten Privacy by Design & by Default zijn Gebruik persoonsgegevens alleen toegestaan indien noodzakelijk Proportionaliteit Subsidiariteit Verwerking alleen met een legitieme basis Compliance met alle materiële eisen Wbp (én Verordening) Privacy special 20 april 2016 19
Overzicht van de Privacy Referentie Architectuur: 11 eisen 1. Verantwoordelijkheid 2. Legitiem doel en grondslag 3. Dataminimalisatie 4. Doelbinding 5. Informatie en transparantie 6. Delen van gegevens met derden 7. Rechten van de betrokkene 8. Informatiebeveiliging 9. Bewaren en vernietigen 10.Gegevensexport 11.Meldplicht datalekken Privacy special 20 april 2016 20
Verantwoordelijkheid Privacy special 20 april 2016 21
Legitimiteit Privacy special 20 april 2016 22
Dataminimalisatie Privacy special 20 april 2016 23
Doelbinding Privacy special 20 april 2016 24
Informatie en transparantie Privacy special 20 april 2016 25
Delen van gegevens met derden Privacy special 20 april 2016 26
Rechten van betrokkene Privacy special 20 april 2016 27
Informatiebeveiliging Fysieke maatregelen - Toegangsbeveiliging - Beveiligde ruimtes voor IT systemen Organisatorische maatregelen - Beveiligingsbeleid Sluit aan bij erkende standaarden - Incident response zoals ISO 27001 en 27002 - Beveiligingsbewustzijn Technische maatregelen - Beveiliging van IT voorzieningen - Netwerkbeveiliging - Logging en monitoring Privacy special 20 april 2016 28
Bewaren en vernietigen Privacy special 20 april 2016 29
Gegevensexport Uitgangspunt is dat persoonsgegevens alleen mogen worden verwerkt in landen waar goede privacywetgeving is. Landen waar een adequaat niveau van bescherming is zijn: 1. De landen binnen de Europese Economische Ruimte; 2. Landen die volgens de Europese Commissie een adequaat niveau van bescherming bieden. Privacy special 20 april 2016 30
Meldplicht datalekken Melden bij de Autoriteit Persoonsgegevens - Bij datalek (verlies of onrechtmatige verwerking) dat leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming van persoonsgegevens. - In beoordeling of gemeld moet worden moet aard en omvang van de gegevens worden meegenomen. - Melden binnen 72 uur, via webformulier op site van AP Melding aan betrokkene - Indien datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Bijv. kans op identiteitsfraude of discriminatie. - Melding mag achterwege blijven indien gegevens ontoegankelijk zijn voor onbevoegden (bijv. doordat ze voldoende geencrypt zijn) Privacy special 20 april 2016 31
Algemene Verordening Gegevensbescherming - Extraterritoriaal effect - Leeftijd - Informatieplicht - Recht om vergeten te worden - Recht op dataportabiliteit - Accountability - Data protection by design and by default - Data protection impact assessment - Data protection officer - Meldplicht datalekken - One stop shop - Boetes Privacy special 20 april 2016 32
Korte pauze Privacy special 20 april 2016 33
Omgaan met privacy binnen projecten Voorbeeld: spitsmijden A12 Galecopperbrug Rob Mouris
Privacy special 20 april 2016 35
Privacy special 20 april 2016 36
Privacy gerelateerde componenten Spitsmijden A12 1. Nulmeting met kentekenregistratie (ANPR) 2. Werving van deelnemers onder kentekenhouders 3. Volgen van deelnemers met kentekenregistratie (ANPR) 4. Deelnemerbeheer t.b.v. uitkeren beloningen 5. Fraudecontroles 6. Enquêtes 7. Monitoring & Evaluatie data deelnemers Privacy special 20 april 2016 37
Deel van de 11-PRA-eisen vertaald naar Spitsmijden A12 1. Verantwoordelijkheid 2. Doel (a) en grondslag (b) 3. Dataminimalisatie 4. Doelbinding 5. Informatie en transparantie 6. Delen van gegevens met derden 7. Recht van de betrokkene 8. Informatiebeveiliging 9. Bewaren en vernietigen 10.Gegevensexport 11.Meldplicht datalekken Privacy special 20 april 2016 38
Ad 1 Verantwoordelijkheid 1. Rijkswaterstaat bepaalde doel en middelen in PvE: dus verantwoordelijke in de zin van Wbp. 2. Wbp-melding intern verricht aan Functionaris Gegevensbescherming van het Ministerie van IenM + privacycoördinator RWS. 3. Bewerkersovereenkomsten gesloten met: Connection Systems: kentekenregistrator ARS T&TT: service provider Privacy special 20 april 2016 39
Ad 2b grondslag (1) De gehanteerde grondslag voor ongevraagde kentekenregistratie betrof artikel 8e van Wbp: Publieke taak : Het project beoogt de bereikbaarheid van de A12 gedurende de renovatie van de Galecopperbrug te verbeteren. Dit doel sluit aan bij de publieke taak van Rijkswaterstaat als wegbeheerder op grond van de Wegenverkeerswet. De verantwoordelijkheid van RWS voor de verkeersdoorstroming is bovendien vastgelegd in het Instellingsbesluit van Rijkswaterstaat. Het voorgaande vormt de basis voor het vastleggen van de kentekens in een stadium waarin de betrokkene zich nog niet als deelnemer heeft aangemeld. Privacy special 20 april 2016 40
Ad 2b grondslag (2) De gehanteerde grondslag voor deelnemerbeheer en het volgen van deelnemers betrof artikel 8a van Wbp: ondubbelzinnige toestemming betrokkene : Deelname gebaseerd op vrijwilligheid. Via Voorwaarden voor Deelname actief een vinkje laten plaatsen voor akkoord bij aanmelding via website. Eveneens toestemming geregeld voor enquêteren, fraudecontroles en nameting. Privacy special 20 april 2016 41
Ad 3 Dataminimalisatie Met name via PvE Kentekenregistrator: 1. Alleen kentekens van Nederlandse Personenauto s 2. Alleen data op werkdagen (geen weekend en vakantiedagen) 3. Alleen data tussen 05.00 en 21.00 uur 4. Bewust gekozen voor maximaal 10 Werkweken opslag (maximaal nodig voor nulmeten, werven en fraudecontroles) Privacy special 20 april 2016 42
Ad 4 Doelbinding Data uitsluitend voor doelen binnen project Spitsmijden A12! Wel mogelijk: Geanonimiseerde verkeerstellingen (voertuigklasses en intensiteiten). Ganonimiseerde enquêtegegevens en ritgegevens deelnemers landelijke database IenM. Gepseudonimiseerde HB-relaties Wettelijke vorderingen data van het OM. Niet mogelijk: Deelnemergegevens verstrekken aan derden voor andere projecten. Structurele (kenteken)datakoppeling met KLPD Privacy special 20 april 2016 43
Ad 5 Informatie en transparantie De betrokkene helder aangeven welke persoonsgegevens voor welke doelen worden verwerkt: Privacy statement op website (zie minimale eisen PRA) Q&A o.a. rondom privacy en verwerking op website Q&A in bijlage bij wervingsbrief Privacy special 20 april 2016 44
Ad 6 Delen van gegevens met derden 1. Telgegevens en voertuigklasses gemeente Utrecht en intern RWS 2. M&E-data gepseudonimiseerd naar Sogeti / IenM 3. Vordering van het OM (Wetboek Strafrecht) Privacy special 20 april 2016 45
Ad 9 Bewaren en vernietigen 1. Eisen in PvE opgenomen over maximale opslagtermijnen 2. Hoge boetes opgenomen bij schending privacy 3. Getoetst op naleving eisen 4. Eind project verklaring van vernietiging alle gegevens gevraagd aan bewerkers. Privacy special 20 april 2016 46
Ad 10 Gegevensexport Expliciet voor gunning gevraagd waar de gegevens verwerkt werden en systemen gemonitord. Dit aangezien bekend was dat 1 van de bewerkers deel uitbesteedde aan een land waar geen adequaat niveau van privacybescherming is. Privacy special 20 april 2016 47
Aanbevelingen Voer indien mogelijk voorafgaand aan project een PIA uit: Privacy Impact Assessment. Betrek de privacy officer van je organisatie en opdrachtgever. Waar nodig betrek juridische expertise. Check of je project voldoet aan de 11 eisen uit de PRA. Ieder project is maatwerk en dient te voldoen aan weten regelgeving. Kwalificatie binnen IMMA is geen 100% garantie! Voer zelf periodiek toetsen uit op je processen: voorkom papieren tijgers en controleer of je ook echt voldoet aan je processen. Wacht niet totdat een opdrachtgever komt auditten. Privacy special 20 april 2016 48
Discussie en vragen? Dank voor jullie aandacht! Privacy special 20 april 2016