Privacy by Design & Privacy Auditing NBIC Ronald Koorn, 12 april 2013
Agenda 1. Privacy-ontwikkelingen 2. Uitkomsten KPMG privacy survey 3. Privacy by Design 4. Privacy Auditing 2
Vrijstellingen Schema WBP Regelgeving WBP Melding Transparantie Doelbinding Grondslag Beleid Maatregelen Verwerkingen Persoonsgegevens Procedures Compliance Niet-EU-landen Rechten Kwaliteit Beveiliging Bewerker Gedragscode 3
Raakvlakken met privacy Compliance Juridisch Integriteit MVO / CSR Bedrijfsprocessen Privacy Documentmanagement/ Bewaartermijnen Beveiliging Controls / Auditing Gegevenskwaliteit 4
Privacy-ontwikkelingen: in het nieuws DNA hack could make medical privacy impossible Researchers could find your name by taking samples from a distant cousin Wisconsin Researcher Charged With Stealing Cancer Data For China 5
Privacy-ontwikkelingen: wet- & regelgeving Huidig wetgeving: Wbp & WGBO Overig: cookies/telecom, HR, e.d. Nieuwe EU-verordening: Genetische gegevens Data Privacy Officer Kinderen / toestemming ouders Privacy Impact Assessment Meldplicht datalekken Bewaartermijnen & vernietiging ( Right to be forgotten ) Toezicht CBP (en IGZ & OPTA) Boetes 6
KPMG privacy survey
Uitkomsten KPMG privacy survey Veel privacy incidenten Het aantal privacyincidenten in Nederland is hoog Hebben binnen uw organisatie de afgelopen 3 jaar privacy incidenten plaatsgevonden? 18,0% 16,0% 14,0% 12,0% 10,0% 8,0% 6,0% 4,0% 2,0% 0,0% Financiele sector ICE Industrie Detailhandel Publieke sector Topje van de ijsberg: Overige enquêtes 8
Uitkomsten KPMG privacy survey Privacy is niet gelijk aan beveiliging. = 9
Uitkomsten KPMG privacy survey Privacy is niet gelijk aan beveiliging. Privacy Privacybeleid Melding Rechten betrokkenen Doelbinding Proportionaliteit Gegevenskwaliteit Gegevensuitwisseling (incl. buiten EU) Beveiligingsbeleid Gegevensclassificatie Logische beveiliging Fysieke beveiliging Incidentmanagement Beschikbaarheid Naleving Beveiliging Beveilgingsorganisatie Personele beveiliging ICT-beheer Systeemontwikkeling 10
Uitkomsten KPMG privacy survey Privacy staat niet hoog op de prioriteitenlijst Privacy krijgt onvoldoende prioriteit Complexiteit wet - en regelgeving Onvoldoende aandacht / prioriteit Gebrek aan tijd / capaciteit Gebrek aan kennis Operationeel maken en toepassen van regelgeving Complexiteit ICT Complexiteit van de eigen organisatie Kosten / budget Menselijke factor (meewerken, fouten maken) Overig 0,0% 5,0% 10,0% 15,0% 20,0% 11
Uitkomsten KPMG privacy survey Gevoel van compliance Privacy compliance 7,5% 3,1% 7,5%,1% 3,1% 4,1% Zijn we al Zijn we al 20,1% 65,2% 65,2% Binnen nu en een paar jaar Binnen nu en een paar jaar Verdere toekomst Verdere toekomst Nooit Nooit Weet niet / geen antwoord Weet niet / geen antwoord Toegepaste evaluatiemiddelen voor het bepalen van mate Totaal van privacybescherming Privacy Quick-scan 14% 11% WBP Zelfevaluatie (interne audit) 14% Privacy audit (interne audit) 44% 14% Privacy audit (externe audit) Geen van deze 3% Weet niet 12
Privacy by Design
Uitgangspunten Privacy by Design is geen rocket science Privacy by Design omvat meer dan identiteitsbeschermer c.q. pseudo-identiteiten Privacy by Design is niet één concept, maar kan met diverse maatregelen worden gerealiseerd Privacy by Design gaat niet zozeer om steeds dikkere muren om persoonsgegevens heen, maar met name om minder persoonsgegevens te verwerken Enhancing is niet voor niets als term gekozen Privacy by Design ontstaan in Nederland, invoering hier ook gestart Privacy by Design-oplossingen niet alleen internetgerelateerd Stapsgewijs toe te passen Privacy by Design is een manier van denken en niet louter invoering van technologie 14
Privacy Enhancing Technologies (PET): effectiviteitsmodel Complexiteit toepassing 15
PET-trap : voorbeelden 16
Voorbeeld: scheiding gegevensdomeinen Privileges Monitoring Pseudo-domein I Database Bewerker/ Betrokkene Aanbieders diensten Identiteitsbeschermer (TTP) Diensten Diensten Identiteitsdomein Privileges Monitoring Database Pseudo-domein II 17
Voorbeeld TTP-gebaseerde pseudonomiseringsoplossing 18
Voorbeeld: traumasysteem Autorisatielaag (inloggen en koppeling met rollen) Logicalaag (geprogrammeerde procedures ten behoeve van versleuteling en ontsleuteling) Gegevenslaag Patiëntendatabase Beveiligingsdatabase Tabel medische gegevens Deels versleutelde NAW-tabel Tabellen met rollen, gebruikers en autorisaties 19
Aanpak 1. Doelbinding: noodzaak verwerking? 2. Gegevensclassificatie & risicoanalyse: PET gewenst? 3. Basisontwerp: bepalen PET-vorm 4. Detailontwerp: technische uitwerking benodigde PET-maatregelen 5. Ontwikkeling: make or buy PET? 6. Testen: hanteren privacyregels 7. Implementatie: PET-specifieke procesaanpassing nodig? 8. Beheer & onderhoud: geen of gereguleerde doorbreking PET mogelijk 9. Evaluatie/audit & bijstelling: complete managementcyclus 20
Eisen pseudonomisering College Bescherming Persoonsgegevens (CBP) heeft aangegeven dat pseudonimisering moet voldoen aan: Vakkundig gebruik van pseudonimisering, met eerste encryptie bij de bron Gebruik technische en organisatorische maatregelen om herleidbaarheid van de versleuteling ( replay back ) te voorkomen Verwerkte gegevens zijn niet indirect identificerend Onafhankelijk deskundig oordeel (audit) voor aanvang van verwerking en periodiek geeft aan dat aan voorwaarden is voldaan Pseudonimiseringsoplossing is helder en volledig beschreven in openbaar document, zodat iedere betrokkene de garanties van oplossing kan afleiden In de concept EU-privacyverordening wordt gesteld: gepseudonimiseerde gegevens = persoonsgegevens 21
Privacy by Design is méér dan methode om persoonsgegevens te beschermen Privacy by Design kan! Al vele malen succesvol toegepast Privacy by Design willen! Bevordert de informatiekwaliteit Technieken zijn beschikbaar Naleving privacyreglement Beperkte invloed op ontwikkelkosten geautomatiseerd afgedwongen Geeft innovatief imago Biedt betere inzage- en controlemogelijkheden (ook voor burgers) Privacy by Design moet! Eenvoudiger voldoen aan Wbp Is voorwaardenscheppend voor vertrouwen van burger Maakt werken met gevoelige persoonsgegevens mogelijk Privacy by Design mag! Attitude van beslissers en projectleiders Positieve houding bij privacybetrokkenen en operational/ict-auditors Rol Privacy Officer? 22
Privacyauditing
Privacy-instrumenten College Bescherming Persoonsgegevens Privacy Quick Scan Privacy Zelfevaluatie (evt. met externe review) Privacyaudit Privacycertificering o.b.v. privacyaudit (resulterend in Privacy Proof -certificaat) Aangevuld met diverse richtlijnen en CBP Richtsnoer Beveiliging van persoonsgegevens (nieuwe versie van februari 2013) 24
Doelstellingen privacyaudit Verhogen privacybewustzijn Identificeren kritieke risicogebieden en maatregelen Vaststellen compliancestatus met eigen privacypolicy en relevante wet- en regelgeving Aantonen privacycompliance voor klanten, zorgverleners en andere belanghebbenden (toezichthouders, pers, e.d.) Ontwikkelen verbeterplan 26 26
Raamwerk privacyaudit April 2001 Raamwerk ontwikkeld door CBP en ICT-auditors 27
Onderwerpen privacyaudit V1 V2 V3 V4 V5 V6 V7 V8 V9 Voornemen & Melding Transparantie Doelbinding Rechtmatige grondslag Gegevenskwaliteit Rechten van de betrokkenen Beveiliging Verwerking door bewerker Gegevensuitwisseling buiten EU 28
Aanpak privacyaudit Fase 1 Bepalen doel, scope, diepgang & aanpak Fase 2 Opstellen auditaanpak Fase 3 Identificeer wet- en regelgeving (gedragscode) Fase 4 Fase 5 Fase 6 Fase 7 Opstellen normenkader Identificeer persoonsgegevens, verwerkingen & in/externe gegevensuitwisseling Review documentatie, eigen waarnemingen & validatie Reportage, presentatie en eventuele certificering 29
Privacy proof -certificaat Basis is positieve conclusie privacy audit Certificeringschema 30
Normenkader 31
Tenslotte
Discussiestellingen Privacybewustzijn is fundament Het is duidelijk wie verantwoordelijk is voor privacynaleving Privacy is vrijwel een nonissue bij programmeren Hoe zwaarder de toegangsbeveiliging, hoe meer privacygevoelige gegevens benodigd zijn Wat zijn belangrijkste redenen om Privacy by Design al dan niet bij ontwikkeling te betrekken Voldoen aan NEN 7510 is bijna toereikend voor privacycompliance 33
Zo zwaar is privacycompliance niet! 34
Vragen? Drs.ing. Ronald Koorn RE Partner KPMG IT Advisory Postbus 43004 3540 AA Utrecht Tel. 06 2292 8127 koorn.ronald@kpmg.nl