Big Data: Privacy & Auditing

Vergelijkbare documenten
Privacy & AVG in onderwijs: Aantoonbaar in control of in het nieuws?

Privacy by Design & Privacy Auditing

Privacybescherming bij het delen van medische data

Nieuwe privacyregels: Eitje of zwarte zwaan?

Big Data en Testen samen in een veranderend speelveld. Testnet 10 april 2014 Paul Rakké

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Privacyverordening gemeente Utrecht. Utrecht.nl

AVG. #IABnl. Algemene Verordening Gegevensbescherming. Deloitte Privacy Advisory. 6 juni 2017

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Wat betekent de nieuwe privacywet voor uw organisatie?!! prof mr. Gerrit-Jan Zwenne

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016

Gegevensuitwisseling en gegevensbescherming Wmo en AWBZ

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Beveiliging van smartphones in de zorg

PSEUDONIMISEREN VAN PERSOONSGEGEVENS

Stappenplan naar GDPR compliance

DPO Opleiding Considerati

Seriously Seeking Security

Naar een nieuw Privacy Control Framework (PCF)

onderzoek en privacy WAT ZEGT DE WET

Plan

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

Juridische uitdagingen van CC

Cloud computing Helena Verhagen & Gert-Jan Kroese

"Baselines: eigenwijsheid of wijsheid?"

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Privacy ondersteuning VNG/KING/IBD

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

IMMA special Privacy. Amersfoort, 20 april 2016

Europese Privacy Verordening (EPV) Een wet met Tanden

Invalshoek Vertrouwen, veiligheid en privacy

Stappenplan naar GDPR compliance

Investment Management. De COO-agenda

Informatiebeveiliging & Privacy - by Design

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Presentatie Jaarcongres ICT Accountancy Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 2 november 2016

De nieuwe privacywetgeving:

NVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht

Checklist Beveiliging Persoonsgegevens

AVG & NEN 7510:2017. Theo Hooghiemstra. 7 december 2017

Privacy by Design in de praktijk!

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Privacy wetgeving: Wat verandert er in 2018?

Moshe Beukers Dalila Dizdar Robert van Asch

Data Protection Impact Assessment (DPIA)

Privacy in de afvalbranche

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

2010 Integrated reporting

Privacy Compliance in een Cloud Omgeving

LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING.

In 10 stappen voorbereid op de AVG

De Algemene Verordening Gegevensbescherming

Algemene Verordening Gegevensverwerking ( GDPR )

(Big) Data in het sociaal domein

AVG meets Magento. Somewhere in the middle. Mats van de Seijp

Meldplicht Datalekken

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Impact Investing: Hoe positieve impact op maatschappij te vergroten met beleggingen. 7 september 2017

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Vita Zwaan, 16 november 2017

Privacy Maturity Scan (PMS)

Cursus privacyrecht Jeroen Naves 7 september 2017

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

From business transactions to process insights. BPM Round Table, TU/e 26 mei 2014

General Data Protection Regulation GDPR INFORMATIE. Hoe gaat Alphabet om met de privacy wetgeving GDPR/AVG?

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING

Transcriptie:

Big Data: Privacy & Auditing Is Big Data-analyse op persoonsgegevens mogelijk zonder privacyschending? Ronald Koorn ALV NOREA, 11 juni 2014

Agenda? Wat is 'Big Data'? Privacy-implicaties Privacy by Design Privacy Auditing 1

Privacy in het nieuws 2

Wat is Big Data? Evolutie of revolutie? 3

Wat is Big Data? Ronald Koorn 4

Wat is Big Data? Big data is high-volume, high-velocity & high-variety information assets that demand cost-effective, innovative forms of information processing for enhanced insight & decision-making (Gartner) Volume + = Velocity Variety Value Ongestructureerd Gestructureerd Big Data iedere dag meer dan 2.5 exabytes (2.5 10 18 ) wordt toegevoegd 5

Voorbeelden van Big Data-toepassingen: Analyse van antenne-opbrengsten Measurement of revenue per antenna cell at one single day. Green dots indicate the antennae with relative large amount of revenue, while the red dots indicate antennae with relatively low revenue. Dots in the sea indicate antennae on oil rigs. Measurement of the average revenue per antenna versus the amount of connections. The size of the dots indicate the total sum of revenue. Outliers can be spotted easily to find out issues with costly antennae. Based on this information it is possible to prioritize maintenance of infrastructure by identifying the most important antennae. 6

Voorbeelden van Big Data-toepassingen: Kroningsdag & crowd control Widget (left) from waarisdekoning.nl that monitors crowd density during the coronation of the new King in Amsterdam on the 30 th of April 2013. The crowd density was determined by projecting the mobile traffic load on antennae of a Telco on any given location in the city. The website (below) also showed tweets, including sentiment, on the map. Animation of tweets in The Netherlands regarding Project X on 21 st of September 2012: a party in Haren (North-East of Holland) organized through an accidental open invite on Facebook resulted in riots. 7

Agenda? Wat is 'Big Data'? Privacy-implicaties Privacy by Design Privacy Auditing 8

Privacy-context Big Data Natuurlijke vs. rechtspersonen Compliance Juridisch MVO / Corporate Social Responsibility Integriteit & fraudebestrijding Personalisering Business Procesmanagement Big Data & Privacy Records mgt. / Dataretentie Beveiliging Datakwaliteit Controls/ Auditing 9

Waarom is naleving privacywetten uitdagend? Veel obstacles: Geen privacy- of gegevenseigenaren, verantwoordelijkheden en budget Organisaties zijn verzadigd met persoonsgegevens Vele legacysystemen / databases, geen uniform klantbeeld Autonome business units Miscommunicatie tussen advocaten, projectmanagers, proceseigenaren, systeemontwikkelaars, beheerders, marketeers en (eind) gebruikers Focus op andere (corporate) governance & compliance initiatieven Privacy is (veel) meer dan informatiebeveiliging Diverse & conflicterende internationale wet- en regelgeving Onvoldoende privacy-expertise, bewustzijn en gevoel van urgentie 10 10

Big Data & Privacyregelgeving Fraude-analyse Profiling Analytics Service & Marketing Privacy (Predictive) Trending BIG DATA Procesverbeteringen (Master) Data Management Doelbinding Uitbesteding & derde partijen Data minimalisering Rechten van betrokkenen Privacy Impact Assessments Privacy by Design 11

Privacyvereisten voor Big Data-projecten 101010101010101011100110100011111000101100010010001111000111000111100011110001111000111110101010010001110011000011110001110001011010101 010111010010011100111010010001011101000100001110100100100101010011100111001110001110011000110001110100101010101010010001110000111101010 Privacyprincipes Big Data-gevolgen 011001010011100001010100001110001010111010001000011101001001001010100111001110011100011100110001100011101001010101010100100011100001111 010100110010100111000010101000011100010101010101010101011100110010001011101000100001110100100100101010011100111001110001110011000110001 110100101010101010010001110000111101010011001010011100001010100001110001010111010001000011101001001001010100111001110011100011100110001 100011101001010101010100100011100001111010100110010100111000010101000011100010101010101010101011100110101010101010101011100110100011111 Melden Melden bij CBP (afh. van toepassing) 000101100010010001111000111000111100011110001111000111110101010010001110011000011110001110001011010101010111010010011100111010010001011 100111010010001011101000100001110100100100101010011100111001110001110011000110001110100101010101010010001110000111101010011001010011100 001010100001110001010111010001000011101001001001010100111001110011100011100110001100011101001010101010100100011100001111010100110010100 Transparantie Geregistreerden (en OR) te informeren 111000010101000011100010101010101010101011100110100011111000101100010010001111000111000111100011110001111000111110101010010001110011000 (met name bij geautom. beslissingen) 011110001110001011010101010111010010011100111010010001011101000100001110100100100101010011100111001110001110011000110001110100101010101 010010001110000111101010011001010011100001010100001110001010111010001000011101001000111000011110101001100101001110000101010000111000101 011101000100001110100100100101010011100111001110001110011000110001110100101010101010010001110000111101010011001010011100001010100001110 Doelbinding Beperken verder onverenigbaar gebruik 001010101010101010101110011010101010101010101110011010001111100010110001001000111100011100011110001111000111100011111010101001000111001 100001111000111000101101010101011101001001110011101001000101110011101001000101110100010000111010010010010101001110101110100100111001110 100100010111010001000011101001001001010100111001110011100011100110001100011101001010101010100100011100001111010100110010100111000010101 Wettelijke grondslag Opt-in bij individuele profiling 000011100010101110100010000111010010010010101001110011100111000111001100011000111010010101010101001000111000011110101001100101001110000 101010000111000101010111000101010101010101010111001101000111110001011000100100011110001110001111000111100011110001111101010100100011100 110000111100011100010110101010101110100100111001110100100010111010001000011101001001001010100111001110011100011100110001100011101001010 Datakwaliteit Matching & verrijken met in/externe 101010100100011100001111010100110010100111000010101000011100010101110100010000111010010001110000111101010011001010011100001010100001110 001010111010001000011101001001001010100111001110011100011100110001100011101001010101010100100011100001111010100110010100111000010101000 databronnen 011100010101010101010101011100110101010101010101011100110100011111000101100010010001111000111000111100011110001111000111110101010010001 110011000011110001110001011010101010111010010011100111010010001011100111010010001011101000100001110100100100101010011101011101001001110 000101100010010001111000111000111100011110001111000111110101010010001110011000011110001110001011010101010111010010011100111010010001011 Rechten van betrokkenen Mogelijkheid tot weigeren en opt-out 100111010010001011101000100001110100100100101010011100111001110001110011000110001110100101010101010010001110000111101010011001010011100 001010100001110001010111010001000011101001001001010100111001110011100011100110001100011101001010101010100100011100001111010100110010100 111000010101000011100010101010101010101011100110100011111000101100010010001111000111000111100011110001111000111110101010010001110011000 Beveiliging Datawarehouse is single point of failure /; 011110001110001011010101010111010010011100111010010001011101000100001110100100100101010011100111001110001110011000110001110100101010101 sterke ITGC/autorisaties. Logging, 010010001110000111101010011001010011100001010100001110001010111010001000011101001000111000011110101001100101001110000101010000111000101 011101000100001110100100100101010011100111001110001110011000110001110100101010101010010001110000111101010011001010011100001010100001110 monitoring & datavernietiging 001010101010101010101110011010101010101010101110011010001111100010110001001000111100011100011110001111000111100011111010101001000111001 100001111000111000101101010101011101001001110011101001000101110011101001000101110100010000111010010010010101001110101110100100111001110 100100010111010001000011101001001001010100111001110011100011100110001100011101001010101010100100011100001111010100110010100111000010101 Doorgifte (incl. uitbesteding) Verantwoordelijkheden, bewerkersover- 000011100010101110100010000111010010010010101001110011100111000111001100011000111010010101010101001000111000011110101001100101001110000 101010000111000101010111000101010101010101010111001101000111110001011000100100011110001110001111000111100011110001111101010100100011100 eenkomst, contracten/sla s 12

Agenda? What is 'Big Data'? Privacy Implications Privacy by Design Privacy Auditing 13

Oorsprong Privacy by Design 14

Privacy by design Als IT privacyproblemen veroorzaakt, kan het ook (deel van de) oplossing zijn? Waarom IT benutten voor privacycompliance? Mogelijk maken van verwerken van gevoelige persoonsgegevens Technisch afdwingen privacycompliance, minder afhankelijk van naleving procedures Verhogen datakwaliteit en beveiligingsniveau Waarom nu? Toenemende in/externe gegevensuitwisseling (ook in ketens) Breder gebruik van ID s & risico op ID-diefstal Corporate governance & transparantie (CSR/MVO) Toepassing Big Data Beschikbaar komen privacytechnologies & IT providers En privacybewustzijn is ontstaan 15

Privacy by Design: Privacy Impact Assessment Fase 1 Bepalen scope & aanpak PIA Fase 2 Inventariseer databronnen/flows & gegevenselementen Fase 3 Identificeer toepasselijke wetgeving & verwachtingen Fase 4 Mapping wettelijke eisen op Big Data-analyse Fase 5 Identificeer Big Data-privacyrisico s Fase 6 Select eer Privacy by Design oplossing Fase 7 Implementeer & Audit 16

Privacy by Design: Beveiliging is onvoldoende voor (Data) Privacy Privacy Privacybeleid Melden Rechten van betrokkenen Doelbinding Wettelijke grondslag Datakwaliteit Rechtmatige doorgifte (incl. buiten EU) Beveiligingsbeleid Dataclassificatie Logische toegangsbeveiliging Fysieke toegangsbeveiliging Systeemontwikkeling Beschikbaarheid Naleving Incidentmgt. Beveiliging Beveiligingsorganisatie Personele beveiliging IT-beheer 17

Effectiviteit maatregelen Privacy by Design Privacy Enhancing Technologies (PET) Level 4 Data Anonimisering Level 1 Algemene PETcontrols Role-based Access Controls & Logging Encryptie Level 2 Datadomeinen Scheiding van data in domeinen Pseudonimisering Gebruik Trusted Third Party Level 3 Privacy Mgtsystemen Geavanceerde datamanagement tools P3P / EPAL Privacy Rights Management No recording of personal data Anonimisering / datavernietiging bij bron Permissiemgt. Eisen aan systeemontwerp 18

Voorbeeld pseudonimisering Authenticatie & autorisatielaag (inloggen en rol-koppeling) Logicalaag (geprogrammeerde procedures ten behoeve van versleuteling en ontsleuteling) Gegevenslaag Patiëntendatabase Beveiligingsdatabase Tabel medische gegevens Versleutelde NAW-tabel Tabellen met rollen, gebruikers en autorisaties 2014 KPMG Advisory N.V., registered with the trade register in the Netherlands under number 33263682, is a subsidiary of KPMG Europe LLP and 19 a member firm of the KPMG network of 19

Privacy by Design: Anonimisering vs. Pseudonimisering Anonimisering: Geen privacywetgeving van toepassing Geheel anoniem is uitdagend met grote of meerdere data sets Minder bruikbaar bij combinatie van interne en externe gegevens Beperkte beveiligingseisen na deidentificering Pseudonimisering: EU-richtlijn wel van toepassing, Wbp onder voorwaarden CBP niet Nuttig voor longitudinale data-analyse & research Dichtbij de gegevensbron toepassen Gebruik van Trusted Third Party is effectieve oplossing No indirecte herleiding mogelijk (onomkeerbaar, b.v. via one-way hash) Vatbaar voor heridentificering 20

CBP-randvoorwaarden 1. Er wordt (vakkundig) gebruikgemaakt van pseudonimisering, waarbij de eerste encryptie plaatsvindt bij de aanbieder van de gegevens. 2. Er zijn technische en organisatorische maatregelen genomen om herleidbaarheid van de versleuteling ( replay back ) te voorkomen. 3. De verwerkte gegevens zijn niet indirect identificerend. 4. De pseudonimiseringsoplossing dient op heldere en volledige wijze te zijn beschreven in een openbaar document, zodat iedere betrokkene kan nagaan welke garanties de gekozen oplossing biedt. 5. De pseudonimiseringsoplossing wordt geaudit. 21

Agenda? Wat is 'Big Data'? Privacy-implicaties Privacy by Design Privacy Auditing 22

Privacy (audit-) proof? CBP Richtsnoeren Beveiliging van persoonsgegevens Privacy Quickscan Privacy Zelfevaluatie Raamwerk Privacy Audit Countouren voor compliance NOREA PIA 23

Doelstellingen privacyaudit Verhogen privacybewustzijn Identificeren kritieke risicogebieden en maatregelen Vaststellen compliancestatus t.o.v. eigen privacypolicy en relevante wet/regelgeving Aantonen privacycompliance voor klanten, medewerkers en andere belanghebbenden (toezichthouders, pers, NGO s, e.d.) Ontwikkelen verbeterplan 24 24

Raamwerk privacyaudit Raamwerk ontwikkeld door CBP en ICT-auditors Onderwerpen: V1 Voornemen & Melding V2 Transparantie V3 Doelbinding V4 Rechtmatige grondslag V5 Gegevenskwaliteit V6 Rechten van de betrokkenen V7 Beveiliging V8 Verwerking door bewerker V9 Gegevensuitwisseling buiten EU 25

Aanpak privacyaudit Fase 1 Bepalen doel, scope, diepgang & aanpak Fase 2 Opstellen auditaanpak Fase 3 Identificeer wet- en regelgeving (gedragscode) Fase 4 Fase 5 Fase 6 Fase 7 Opstellen normenkader Identificeer persoonsgegevens, verwerkingen & in/externe gegevensuitwisseling Review documentatie, eigen waarnemingen & validatie Reportage, presentatie en eventuele certificering 26

Agenda? Wat is 'Big Data'? Privacy-implicaties Privacy by Design Privacy Auditing 27

Effecten van aanstaande EU privacyverordening op Big Data US-gebaseerd datawarehouse met EU-burgers in scope, dus ook US-multinationals Privacy Impact Assessment verplicht Dataminimalisering & profiling alleen mogelijk met anonimisering / pseudonimisering Afzonderlijke & expliciete toestemming voor (big) data analyse mogelijk noodzakelijk (incl. ouders voor minderjarigen) Uitgebreide melding datalekken Dataportabiliteit eenvoudiger Recht op vergeten worden (voor registraties & transfers) Privacy by Design Hoge boetes (% van omzet tot 100 miljoen) 28

Afsluiting Big Data-analyses zijn mogelijk met gedegen aandacht voor volgende gebieden: 1. Accountability / Datagovernance 2. Privacy Impact Assessment 3. Anonimisering / Pseudonimisering 4. Organisatorische, contractuele en technische beheersingsmaatregelen (gehele levenscyclus!) 5. Verkrijgen opt-in / toestemming 6. Publieke opinie & vertrouwen 29

Eens of.? Big Data is te belangrijk om over te laten aan (IT & data) nerds Privacy is te belangrijk om (uitsluitend) over te laten aan advocaten 30

Bedankt KPMG IT Advisory Postbus 43004 3540 AA Utrecht Tel. 030 658 2150 koorn.ronald@kpmg.nl

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback