IMMA special Privacy. Amersfoort, 20 april 2016



Vergelijkbare documenten
IMMA special Privacy AVG/GDPR

IMMA special Privacy AVG/GDPR

Privacy Referentie Architectuur

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Privacy in de afvalbranche

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Agenda. De AVG: wat nu?

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Cloud computing Helena Verhagen & Gert-Jan Kroese

Privacy en de meldplicht datalekken

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

De Algemene Verordening Gegevensbescherming

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016

De impact van nieuwe privacyregels op payrolling

Wettelijke kaders voor de omgang met gegevens

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

De grootste veranderingen in hoofdlijnen

GAAT U NETJES MET PERSOONSGEGEVENS OM?

Privacy wetgeving: Wat verandert er in 2018?

Auteurs: Edwin Adams Tangram

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance

Algemene verordening gegevensbescherming (AVG)

Blockchain Smart Contracts AVG

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

PRIVACY GOED GEREGELD. Voorjaar 2018

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

Vita Zwaan, 16 november 2017

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Algemene verordening gegevensbescherming

Privacy ontwikkelingen in het mbo Informatiebeveiliging en privacy in het mbo

SHK - Senioren Hollands

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

DE AVG IN EEN NOTENDOP. Maike van Zutphen Legal, Compliance & Privacy Officer

Privacy in de afvalbranche Juridisch kader

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Procedure meldplicht datalekken

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

Algemene Verordening Gegevensbescherming

Privacyverordening gemeente Utrecht. Utrecht.nl

Privacy dit moet je weten over de wet

Plan

Randvoorwaarden Privacy & Security

Privacybeleid gemeente Wierden

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Wat moet je weten over... privacy en passend onderwijs?

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Wat moet je weten over... privacy en passend onderwijs?

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Is uw onderneming privacy proof?

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Protocol Meldplicht Data-lekken

Privacy Maturity Scan (PMS)

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner.

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Presentatie Jaarcongres ICT Accountancy Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 2 november 2016

Is uw bibliotheek klaar voor de nieuwe privacywetgeving?

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Nieuwe Privacywetgeving per Wat betekent dit voor u?

Protocol meldplicht datalekken

Wet meldplicht datalekken

checklist in 10 stappen voorbereid op de AVG. human forward.

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Privacy en Security AVGewogen beleid 29 november 2017

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

Gegevensbescherming/Privacy

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

2018 Privacy Reglement

Protocol informatiebeveiligingsincidenten en datalekken

AVG EN DE IMPACT OP UW BUSINESS

Meldplicht Datalekken CBP RICHTSNOEREN


In 10 stappen voorbereid op de AVG

Privacyverklaring Therapeuten VVET

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

MELDPLICHT DATALEKKEN

AVG / GDPR en Onderwijs Algemene verordening gegevensbescherming General Data Protection Regulation

De bewerkersovereenkomst

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Voorbereid op de nieuwe privacywet in 10 stappen

Algemene Verordening Gegevensbescherming

Wat betekent de nieuwe privacywet voor uw organisatie?!! prof mr. Gerrit-Jan Zwenne

Een nieuwe identiteit, voor je het weet heb je hem nodig! Anita van Nieuwenborg Kwartiermaker Privacydienstverlening KING

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Algemene Verordening Gegevensbescherming (AVG)

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

COMPLIANCE: PRIVACY & DATALEKKEN

Transcriptie:

IMMA special Privacy Amersfoort, 20 april 2016 Iris Koetsenruijter: koetsenruijter@considerati.com, 06-28613217 Rob Mouris: rob.mouris@minienm.nl, 06-27061622 1

Opzet Special 09.30-09.45 Voorstelronde 09.45-10.15 Nut & noodzaak Privacy waarborging 10.15-11.00 Privacy Referentie Architectuur (PRA) 11.00-11.15 Korte pauze 11.15-11.45 Omgaan met privacy binnen projecten: voorbeeld Spitsmijden Galecopperbrug 11.45-12.00 Discussie & vragen 12.00 Afsluiting Privacy special 20 april 2016

Wie zijn wij? Iris Koetsenruijter: privacy adviseur van IMMA Rob Mouris: Adviseur Spitsmijden en IMMA Privacy special 20 april 2016 3

Nut & noodzaak privacywaarborging Iris & Rob

Wat is privacy? Privacy special 20 april 2016 5

Definitie van privacy volgens Wikipedia: Privacy special 20 april 2016 6

Wat is een persoonsgegeven? Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Geïdentificeerd houdt in dat een natuurlijk persoon uniek te onderscheiden is van andere personen op basis van identificerende gegevens (bijvoorbeeld NAW), of dat de persoon geïndividualiseerd kan worden binnen een groep (to single out). Identificeerbaar betekent dat een persoon nog niet geïdentificeerd is, maar dat identificatie door de verantwoordelijke en/of derden redelijkerwijs mogelijk is. Privacy special 20 april 2016 7

Enkele ontwikkelingen met invloed op de privacy Digitaliseringstijdperk Social media Internet of Things Databases + koppeling Big data & profiling (Smart)phones locatiegegevens Navigatiesystemen auto s locatiegegevens Internet Cookies en opslag zoekhistorie webbrowsers Gratis apps bestaan niet! Privacy special 20 april 2016 8

Dichterbij de Beter Benutten praktijk Parkeren o.a. kentekenregistratie en apps Nulmeting en werving deelnemers o.a. ANPR en OV-chipdata Opzetten en beheren van deelnemersbestanden Volgen van deelnemers diverse registratietechnieken Koppeling van deelnemersbestanden Enquêteren van reizigers Aanbiedingen versturen Nieuwsbrieven versturen Focusgroepen opzetten en bevragen Etc. Privacy special 20 april 2016 9

Privacy special 20 april 2016 10

Privacy special 20 april 2016 11

Privacy special 20 april 2016 12

Privacy special 20 april 2016 13

Iedereen kijkt mee en vormt een mening Pers en media Politieke partijen Belangenorganisaties: Bits of freedom Privacyfirst Toezichthouder: Autoriteit Persoonsgegevens (voorheen CBP, College Bescherming Persoonsgegevens) Privacy special 20 april 2016 14

Gevolgen Persoonlijk leed Imagoschade Politieke afbreukrisico s Bestuurlijke boete toezichthouder: Sinds 1 januari 2016: maximaal 820.000,-- bij niet melden van datalek en overige overtredingen uit de Wet bescherming persoonsgegevens Of max 10% v.d. jaaromzet indien voor die overtreding een boete van 820.000 euro naar het oordeel van de AP geen passende straf is voor die rechtspersoon. Privacy special 20 april 2016 15

Privacy special 20 april 2016 16

Privacy Referentie Architectuur (PRA): handreiking toepassing privacywetgeving in (mobiliteits)projecten. Iris Koetsenruijter

Doelstellingen IMMA Privacy Referentie Architectuur Eenduidige regels voor gebruik persoonsgegevens binnen spitsmijden mobiliteitsprojecten Nadere invulling vage Wbp eisen Best practices voor privacy compliance aanreiken Mogelijkheden voor (her)gebruik data creëren Privacy special 20 april 2016 18

Uitgangspunten IMMA Privacy Referentie Architectuur Applicaties moeten Privacy by Design & by Default zijn Gebruik persoonsgegevens alleen toegestaan indien noodzakelijk Proportionaliteit Subsidiariteit Verwerking alleen met een legitieme basis Compliance met alle materiële eisen Wbp (én Verordening) Privacy special 20 april 2016 19

Overzicht van de Privacy Referentie Architectuur: 11 eisen 1. Verantwoordelijkheid 2. Legitiem doel en grondslag 3. Dataminimalisatie 4. Doelbinding 5. Informatie en transparantie 6. Delen van gegevens met derden 7. Rechten van de betrokkene 8. Informatiebeveiliging 9. Bewaren en vernietigen 10.Gegevensexport 11.Meldplicht datalekken Privacy special 20 april 2016 20

Verantwoordelijkheid Privacy special 20 april 2016 21

Legitimiteit Privacy special 20 april 2016 22

Dataminimalisatie Privacy special 20 april 2016 23

Doelbinding Privacy special 20 april 2016 24

Informatie en transparantie Privacy special 20 april 2016 25

Delen van gegevens met derden Privacy special 20 april 2016 26

Rechten van betrokkene Privacy special 20 april 2016 27

Informatiebeveiliging Fysieke maatregelen - Toegangsbeveiliging - Beveiligde ruimtes voor IT systemen Organisatorische maatregelen - Beveiligingsbeleid Sluit aan bij erkende standaarden - Incident response zoals ISO 27001 en 27002 - Beveiligingsbewustzijn Technische maatregelen - Beveiliging van IT voorzieningen - Netwerkbeveiliging - Logging en monitoring Privacy special 20 april 2016 28

Bewaren en vernietigen Privacy special 20 april 2016 29

Gegevensexport Uitgangspunt is dat persoonsgegevens alleen mogen worden verwerkt in landen waar goede privacywetgeving is. Landen waar een adequaat niveau van bescherming is zijn: 1. De landen binnen de Europese Economische Ruimte; 2. Landen die volgens de Europese Commissie een adequaat niveau van bescherming bieden. Privacy special 20 april 2016 30

Meldplicht datalekken Melden bij de Autoriteit Persoonsgegevens - Bij datalek (verlies of onrechtmatige verwerking) dat leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming van persoonsgegevens. - In beoordeling of gemeld moet worden moet aard en omvang van de gegevens worden meegenomen. - Melden binnen 72 uur, via webformulier op site van AP Melding aan betrokkene - Indien datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Bijv. kans op identiteitsfraude of discriminatie. - Melding mag achterwege blijven indien gegevens ontoegankelijk zijn voor onbevoegden (bijv. doordat ze voldoende geencrypt zijn) Privacy special 20 april 2016 31

Algemene Verordening Gegevensbescherming - Extraterritoriaal effect - Leeftijd - Informatieplicht - Recht om vergeten te worden - Recht op dataportabiliteit - Accountability - Data protection by design and by default - Data protection impact assessment - Data protection officer - Meldplicht datalekken - One stop shop - Boetes Privacy special 20 april 2016 32

Korte pauze Privacy special 20 april 2016 33

Omgaan met privacy binnen projecten Voorbeeld: spitsmijden A12 Galecopperbrug Rob Mouris

Privacy special 20 april 2016 35

Privacy special 20 april 2016 36

Privacy gerelateerde componenten Spitsmijden A12 1. Nulmeting met kentekenregistratie (ANPR) 2. Werving van deelnemers onder kentekenhouders 3. Volgen van deelnemers met kentekenregistratie (ANPR) 4. Deelnemerbeheer t.b.v. uitkeren beloningen 5. Fraudecontroles 6. Enquêtes 7. Monitoring & Evaluatie data deelnemers Privacy special 20 april 2016 37

Deel van de 11-PRA-eisen vertaald naar Spitsmijden A12 1. Verantwoordelijkheid 2. Doel (a) en grondslag (b) 3. Dataminimalisatie 4. Doelbinding 5. Informatie en transparantie 6. Delen van gegevens met derden 7. Recht van de betrokkene 8. Informatiebeveiliging 9. Bewaren en vernietigen 10.Gegevensexport 11.Meldplicht datalekken Privacy special 20 april 2016 38

Ad 1 Verantwoordelijkheid 1. Rijkswaterstaat bepaalde doel en middelen in PvE: dus verantwoordelijke in de zin van Wbp. 2. Wbp-melding intern verricht aan Functionaris Gegevensbescherming van het Ministerie van IenM + privacycoördinator RWS. 3. Bewerkersovereenkomsten gesloten met: Connection Systems: kentekenregistrator ARS T&TT: service provider Privacy special 20 april 2016 39

Ad 2b grondslag (1) De gehanteerde grondslag voor ongevraagde kentekenregistratie betrof artikel 8e van Wbp: Publieke taak : Het project beoogt de bereikbaarheid van de A12 gedurende de renovatie van de Galecopperbrug te verbeteren. Dit doel sluit aan bij de publieke taak van Rijkswaterstaat als wegbeheerder op grond van de Wegenverkeerswet. De verantwoordelijkheid van RWS voor de verkeersdoorstroming is bovendien vastgelegd in het Instellingsbesluit van Rijkswaterstaat. Het voorgaande vormt de basis voor het vastleggen van de kentekens in een stadium waarin de betrokkene zich nog niet als deelnemer heeft aangemeld. Privacy special 20 april 2016 40

Ad 2b grondslag (2) De gehanteerde grondslag voor deelnemerbeheer en het volgen van deelnemers betrof artikel 8a van Wbp: ondubbelzinnige toestemming betrokkene : Deelname gebaseerd op vrijwilligheid. Via Voorwaarden voor Deelname actief een vinkje laten plaatsen voor akkoord bij aanmelding via website. Eveneens toestemming geregeld voor enquêteren, fraudecontroles en nameting. Privacy special 20 april 2016 41

Ad 3 Dataminimalisatie Met name via PvE Kentekenregistrator: 1. Alleen kentekens van Nederlandse Personenauto s 2. Alleen data op werkdagen (geen weekend en vakantiedagen) 3. Alleen data tussen 05.00 en 21.00 uur 4. Bewust gekozen voor maximaal 10 Werkweken opslag (maximaal nodig voor nulmeten, werven en fraudecontroles) Privacy special 20 april 2016 42

Ad 4 Doelbinding Data uitsluitend voor doelen binnen project Spitsmijden A12! Wel mogelijk: Geanonimiseerde verkeerstellingen (voertuigklasses en intensiteiten). Ganonimiseerde enquêtegegevens en ritgegevens deelnemers landelijke database IenM. Gepseudonimiseerde HB-relaties Wettelijke vorderingen data van het OM. Niet mogelijk: Deelnemergegevens verstrekken aan derden voor andere projecten. Structurele (kenteken)datakoppeling met KLPD Privacy special 20 april 2016 43

Ad 5 Informatie en transparantie De betrokkene helder aangeven welke persoonsgegevens voor welke doelen worden verwerkt: Privacy statement op website (zie minimale eisen PRA) Q&A o.a. rondom privacy en verwerking op website Q&A in bijlage bij wervingsbrief Privacy special 20 april 2016 44

Ad 6 Delen van gegevens met derden 1. Telgegevens en voertuigklasses gemeente Utrecht en intern RWS 2. M&E-data gepseudonimiseerd naar Sogeti / IenM 3. Vordering van het OM (Wetboek Strafrecht) Privacy special 20 april 2016 45

Ad 9 Bewaren en vernietigen 1. Eisen in PvE opgenomen over maximale opslagtermijnen 2. Hoge boetes opgenomen bij schending privacy 3. Getoetst op naleving eisen 4. Eind project verklaring van vernietiging alle gegevens gevraagd aan bewerkers. Privacy special 20 april 2016 46

Ad 10 Gegevensexport Expliciet voor gunning gevraagd waar de gegevens verwerkt werden en systemen gemonitord. Dit aangezien bekend was dat 1 van de bewerkers deel uitbesteedde aan een land waar geen adequaat niveau van privacybescherming is. Privacy special 20 april 2016 47

Aanbevelingen Voer indien mogelijk voorafgaand aan project een PIA uit: Privacy Impact Assessment. Betrek de privacy officer van je organisatie en opdrachtgever. Waar nodig betrek juridische expertise. Check of je project voldoet aan de 11 eisen uit de PRA. Ieder project is maatwerk en dient te voldoen aan weten regelgeving. Kwalificatie binnen IMMA is geen 100% garantie! Voer zelf periodiek toetsen uit op je processen: voorkom papieren tijgers en controleer of je ook echt voldoet aan je processen. Wacht niet totdat een opdrachtgever komt auditten. Privacy special 20 april 2016 48

Discussie en vragen? Dank voor jullie aandacht! Privacy special 20 april 2016

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback