Grip op privacy Bestuurlijk belang bij privacybeleidsvoering De Zeeuwse Leertuin Middagprogramma Middelburg, 1 juli 2015 Mr S.H. Katus CIPM Partner Privacy Management Partners sergej.katus@pmpartners.nl www.pmpartners.nl
Agenda 1. Waarom privacy 2. Uitkomst privacyscan gemeenten 3. Beheersmaatregelen
Wat is privacy? Wet Bescherming Persoonsgegevens en aanverwante wetten Gegevensprivacy Lichamelijke privacy Huiselijke privacy Communicatieprivacy GEEN Toestemming tenzij Altijd Toestemming tenzij Altijd Toestemming tenzij Altijd Toestemming tenzij Art. 10 Grondwet Art. 11 Grondwet Art. 12 Grondwet Art. 13 Grondwet
Klantgerichtheid Positief en negatief effect van informatieverwerking
Hoog Bestuurlijk effect Midden Laag Beleidsdoel Passende waarborgen ( privacybescherming ) C B A 0 C1 C2 C3 B1 B2 B3 A1 A2 A3 Laag Midden Hoog 1 2 3 Persoonlijk effect Mix van maatregelen 1. Governance 2. Rekenschap 3. Legitimiteit ( grondslag ) 4. Proportionaliteit 5. Doelbinding 6. Relevantie 7. Informatiekwaliteit 8. Informatieveiligheid 9. Beleidstransparantie 10. Privacy services (inzage etc.)
Rechtmatige overheid Ruimte voor gemeentelijke taakuitoefening Behoorlijk, zorgvuldig en in overeenstemming met de wet
15 jaar achterop Brevet van onvermogen
Effectiviteit Beleid en maatregelen Voldoen aan de wet Praktisch Technocratisch Naar de bedoeling Oplossingsgericht Naar de letter administratieve lasten Onbezonnen Symbolisch Niet voldoen aan de wet
Aanscherping Bestuurlijke risico s WBP EU-richtlijn 95/46/EG Reputatieschade Aansprakelijkheid Inspectie & dwang WBP+ EU-richtlijn 95/46/EG Reputatieschade Aansprakelijkheid Inspectie & dwang 810.000 / 10% AVG EU-brede superwet Reputatieschade Aansprakelijkheid Inspectie & dwang > 1 miljoen / 5% (?) < 2015 2015 > 2015
Vertrouwen Hoe vaak denkt u aan privacy? Privacybeleving op het internet in Nederland (feb. 2015) Percentages in de grafiek hier weergegeven in hele getallen
Politiek Privacy is het nieuwe groen
Geprioriteerd
Iedereen toezichthouder Kans x impact
Uzelf melden Meldplicht datalekken Melding datalek Informatiebeveiliging Artikel 34a WBP Privacy management 1. Melding aan het CBP 2. Melding aan inwoners
UITKOMST PRIVACYSCAN
Quick scan Sociaal domein
Respons 100%
Beleidsadvies Inclusief stappenplan
Conclusie Meeste gemeenten onnodig kwetsbaar
BEHEERSMAATREGELEN
Systeem van de wet Handleiding privacy risicomanagement 1. Bestuurlijke borging & bewaking Good governance 2. Wettelijke aanvullingen Bijv. 3D-wetgeving en SUWI-wet 3. Operationele waarborgen Bijv. wel/geen toestemming, datakwaliteit, informatiebeveiliging
Bijvoorbeeld artikel 13 Informatiebeveiliging De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen ( ) Mix van maatregelen 1. Governance 2. Rekenschap 3. Legitimiteit ( grondslag ) 4. Proportionaliteit 5. Doelbinding 6. Relevantie 7. Informatiekwaliteit 8. Informatieveiligheid 9. Beleidstransparantie 10. Privacy services (inzage etc.)
Ten uitvoer leggen Sturing / management Act Plan Check Do
Vaak complex Multidisciplinair vraagstuk
Supervisie Data Protection Officer ( privacyfunctionaris ) Privacyaccountant Coaching / coördinatie (bestuursadviseur) Toezicht Hulp bij verantwoording (wettelijk zwaarwegend oordeel) Ombudsfunctie Buffer CBP Kennisborging Modaliteiten In dienst Ingehuurd Gezamenlijk Wettelijk profiel Expert op het gebied van privacywetgeving Kennis van ICT, processen, etc. Onafhankelijk en betrouwbaar Aanjager / kwaliteitsbewaker
Borging / governance Rollen & verantwoordelijkheden Overkoepelend privacybeleid 1. Governance 2. Rekenschap 3. Legitimiteit 4. Proportionaliteit 5. Doelbinding 6. Relevantie 7. Informatiekwaliteit 8. Informatieveiligheid 9. Beleidstransparantie 10. Privacy services Advies & toezicht Sturing College van B&W Privacyfunctionaris Gemeentelijke voorzieningen BRP Jeugdzaken WMO-taken Werk en Inkomen Openbare orde en veiligheid Chef burgerzaken Chef jeugdzaken Chef zorgtaken Chef W&I Chef O&V BRP-processen Processen jeugdzorg Processen WMO Processen W&I Processen O&V Leidinggevenden Leidinggevenden Leidinggevenden Leidinggevenden Leidinggevenden Themabeleid Themabeleid Themabeleid Themabeleid Themabeleid
Privacybewust-zijn Organisatiecultuur verantwoordelijkheid nemen verantwoordelijkheid afleggen geest van de wet evenwichtig handelen consistent handelen bespreekbaarheid voorbeeldgedrag uitvoerbaarheid transparantie handhaving Gedrag
Rekenschap Beleidsdocumentatie, monitoring, bewijs PMP PrivacyManager Account-ability
Doel: wettelijk niveau Voldoen aan de wet
Bestuurlijke voordelen MVO met informatie Behoorlijk Bestuur Visie Bescherming van burgers Beheersing van bestuurlijke risico s Publieke taakuitoefening Voldoen aan de wet Sturing Act Management Beleid Plan Efficiënter Effectiever Klantgerichter Veiliger Maatschappelijk vertrouwen Legitimiteit Ruimte voor innovatie Processen PIA Check Digitale Duurzaamheid Uitrol Do Mensen Rekenschap & Transparantie Privacywaarborgen Belangenafwegingen ICT Wettelijke eisen pmpartners.nl
Logische stappen Begin van good governance 1. Overnemen beleidsadvies (aangeleverde beleidsnotitie) 2. Beheersing bestuurlijke risico s (quick win) Privacyfunctionaris (aanbevolen of verplicht) Privacybeleidskaders Privacy Management Systeem (ijkpunten / control framework) 3. Verdere uitwerking In kaart brengen werkprocessen, informatiestromen en gegevensopslag Toetsing gebruikte oplossingen Optimalisering privacywaarborgen (organisatorisch, technisch, juridisch) Bewustwording en training Beleidstransparantie (maatschappelijk, bestuurlijk) 4. Regionale samenwerking? (schaalvoordelen) Privacyfunctionaris Kennis, expertise, training Gezamenlijke ketenregie & informatiedeling