Privacy een ICT-ding? Juist niet!
Enkele praktijkvoorbeelden
Even wat statistische gegevens... 29 % 35 % Menselijk oorzaken: Oorzaken datalekken 71 % Onwetendheid 35 % Slordigheid Bewuste overtredingen/inbreuken - 37 % 37 % Technische oorzaken: Apparatuur/hardware Programmatuur/software 29 % Bron: Symantec and the Ponemon Institute
Statistische gegevens, iets meer recent... Bericht op barometer.nl van 10 april 2017
Statistische gegevens, iets meer recent... Ruim 70 % (!) van de werknemers legt de verantwoordelijkheid voor de beveiliging van data bij de IT-afdeling. 92 % (!!!) gaat er van uit dat zij zelf niets hoeven te doen als het gaat om security.. Bericht op computable.nl van 11 april 2017
Het is een complex geheel Er zijn veel verschillende (soorten) gebruikers Er zijn veel verschillende technologische hulpmiddelen Er is veel ruimte voor het maken van fouten Slecht aangegeven gevaarlijke situaties Foute interpretatie van de regels Onoplettendheid Bewuste overtredingen Falende vervoersmiddelen
Wat te doen om tijdig AVG-compliant te zijn? Gebaseerd op AP 10 stappenplan d.d. 13-04-2017 en VNG ledenbrief Lbr. 16/058 d.d. 12 juli 2016 1. Bewustwording 2. Rechten van betrokkene 3. Verwerkingsregister - accountability 4. Gegevensbeschermingseffectbeoordeling (PIA) 5. Privacy by Design / Privacy by Default 6. Functionaris Gegevensbescherming 7. Meldplicht datalekken 8. Verwerkersovereenkomsten 9. Leidende toezichthouder 10.Toestemming Recht om: Inzage Rectificatie Vergeten te worden Bezwaar te maken Verwerking te beperking: gegevensminimalisatie Dataportabiliteit
Agenda Autoriteit Persoonsgegevens 2017 Twee hoofdtaken: Voorlichting en advisering over AVG Handhaven Wbp met focus op: Drie thema s: Profilering opstellen van profielen Focus op transparantie Bijzondere persoonsgegevens Focus op naleving van verbod op verwerking van bijzondere persoonsgegevens Beveiliging van persoonsgegevens Focus op Meldplicht Datalekken (art 16 Wbp art 9 AVG) Genetische gegevens Biometrische gegevens Ras/Etnische afkomst Religieuze/ levensbeschouwelijke opvattingen Lidmaatschap van een vakbond Seksuele geaardheid Politieke opvatting Gegevens over gezondheid Burgerservicenummer
Even terug naar...
Hoe dun de pannekoek ook is... De harde, technische kant: Opzet Bestaan Werking De zachte, menselijke, culturele kant: Kennis Houding Gedrag
Wat Bewustwording te doen om of AVG het compliant creëren van te worden? bewustzijn 13-04-2017
Het creëren van bewustzijn... Bewustwording Inspireren Verbeteren PLAN-DO- CHECK-ACT Monitoren & Verantwoorden Kennis Houding Gedrag
Hoe bereik je gedragsverandering? 1. Laat het belang van privacy bewustzijn inzien 2. Laat een oplossing zien 3. Creëer draagvlak in de organisatie 4. Start met een succes quickwin 5. Aandacht voor kennis, houding en gedrag 6. Creëer een cultuur waarin men elkaar aanspreekt op gedrag 7. Maak proactief melding van incidenten 8. Zet door! Borg de aanpak
Draagvlak Zorg voor zichtbaarheid van de privacy officer bij het bestuur/college Benoem het belang van privacy (door bestuur) Neem privacy als onderwerp op in de planning & control cyclus Maak tijd en middelen vrij Zorg voor betrokkenheid Toon voorbeeldgedrag
Kennis, houding en gedrag Start een traject en doe dit op een leuke manier Toetsen heeft men het begrepen Achterhaal fout gedrag waar komt het vandaan Zet verbeteringen in en stuur op gedragsverandering Communiceer positieve resultaten Herhaal en toets in de praktijk Maak het persoonlijk
Cultuur van de organisatie Zorg voor een open houding Zorg dat datalekken veiligheidsincidenten - actief worden gemeld Spreek elkaar, zowel elkaar als vreemden, aan bij ongewenst gedrag, Creëer een wij-gevoel
Hoe verbeter je het gedrag? (1) Belonen in plaats van bestraffen Bevorder het wij-gevoel Zet duidelijke verwachtingen neer Geen gedoogsfeer meer, het elkaar aanspreken mag Zorg voor zichtbaarheid van de privacy officer ga de werkvloer op Heb aandacht voor omgangsvormen en... Communiceren, communiceren, communiceren...
Hoe verbeter je het gedrag? (2) Zorg voor een concrete boodschap die medewerkers direct kunnen toepassen in hun dagelijkse werkzaamheden Zorg voor een campagne in huisstijl Zorg voor het gebruik van een mix van communicatiemiddelen
Bewustzijn = gedragsverandering
Een kort resumé..
Veilige verwerking van persoonsgegevens is de taak van iedere medewerker Het veilig omgaan met persoonsgegevens is essentieel: voor de continuïteit van de dienstverlening om het vertrouwen van bijv. burgers in de gemeente te versterken Het is de verantwoordelijkheid van iedere medewerker om: informatiesystemen en persoonsgegevens te beschermen computerapparatuur, software en persoonsgegevens veilig te gebruiken
Interne bedreigingen Onzorgvuldigheid (te veel of verkeerde informatie geven) Slordigheid (typefouten, onjuist gebruik cc/bcc) Onwetendheid (men kent de regels niet) Onbewust handelen (aannemen dat iets zo is zonder het te checken) Je niet houden aan gemeentelijke regels (regels bewust overtreden) Bijvoorbeeld: Gebruiken van onveilige software E-mailen van gemeentelijke informatie naar privé e-mail, opschrijven wachtwoorden Je niet houden aan de clean desk Policy Over gevoelige informatie praten in openbare ruimten Ongeveer de helft van de incidenten komt van binnenuit de organisatie!
U heeft nog maar 372 dagen...
Bedankt voor uw aandacht Ing Erik Steijn CDPO Odinfo e.steijn@odinfo.nl Overschiestraat 61C +31642219773 1062 XD Amsterdam