Aanscherping WBP Meldplicht datalekken
Mr S.H. Katus, CIPM Partner
[email protected] www.pmpartners.nl
PMP in het kort Privacy Management Partners Het eerste DPO-bureau van Nederland • • • • • •
Data Protection Officer-services Begeleiding bij opzet Ondersteuning bij uitvoering Trainingen & e-learning Regulatory affairs Tooling
Expertise en ervaring van professionals die hun sporen hebben verdiend in het bedrijfsleven, bij de overheid en het College Bescherming Persoonsgegevens.
Wij zijn aangesloten bij:
Uw vragen 1. 2. 3. 4. 5. 6.
Is een Functionaris Gegevensbescherming verplicht na 01-01-16? Wanneer wel en wanneer niet melden? Welke security maatregelen moeten er extra genomen worden? Moet er aan de BIG/NEN worden voldaan voor 01-01-2016? Wat zijn de addertjes onder het gras? Welke regels hoeven we niet te serieus te nemen?
Onvermogen
Groeiend onbehagen Ook bij úw doelgroepen
Privacybeleving op het internet in Nederland (feb. 2015) Percentages in de grafiek hier weergegeven in hele getallen
Privacy is strategisch
Quick scan www.pmpartners.nl Voldoen aan de wet
Evenwichtig
Inefficiënt
Naar de geest Principle based
Naar de letter Rule driven
Data cowboy
Symbolisch
Niet voldoen aan de wet
Aanscherping
AVG EU-brede superwet
WBP+ EU-richtlijn 95/46/EG
WBP EU-richtlijn 95/46/EG
• Reputatieschade • Aansprakelijkheid • Inspectie & dwang
< 2016
• • • •
Reputatieschade Aansprakelijkheid Inspectie & dwang € 810.000 / 10%
2016
• • • •
Reputatieschade Aansprakelijkheid Inspectie & dwang € > 1 miljoen / … %
> 2016
Wat zien we niet..?
MELDPLICHT DATALEKKEN
Security breach Beveiliging in de zin van art. 13 WBP
Beschikbaarheid Integriteit Vertrouwelijkheid
Lekke ‘bewerkers’ Aansprakelijkheid bij uitbesteding – art. 14 WBP
…
A B Dienstenplatform
E
C D
Melding aan de APg Artikel 34a lid 1 WBP
WEL
Wél ernstige security breach verwerking persoonsgegevens
Géén ernstige security breach verwerking persoonsgegevens NIET
Informeren van personen Artikel 34a lid 2 WBP
WEL
Wél ongunstige gevolgen voor personen
Géén ongunstige gevolgen voor personen NIET
Tenzij gegevens onbegrijpelijk of ontoegankelijk zijn gebleven
Iedereen toezichthouder Kans x impact
Extra: meldprocedure Privacy Impact Assessment (PIA) op incident
APg
!
PIA
Directie Pers.
Stappen 1. 2. 3. 4. 5. 6.
Signaleer het lek Dicht het lek Privacy Impact Assessement Meld het lek Evalueer lek / meldproces Stel bij
Detecteer
Evalueer
Meld
Dicht het lek
Incident PIA
Ook bredere aanpak
IB-beleid
NEN / ISO 2700x
ADDER ONDER HET GRAS
Signaal van een symptoom van een fundamenteel probleem
Melding datalek
Informatiebeveiliging
Privacy management
Privacywaarborgen Key controls van privacy management
Bestuurlijke privacywaarborgen 1. Governance 2. Legitimiteit 3. Beleidstransparantie 4. Privacy services (inzage etc.) 5. Rekenschap Operationele privacywaarborgen 6. Proportionaliteit 7. Doelbinding 8. Relevantie 9. Informatiekwaliteit 10. Informatiebeveiliging
Nieuwe boetebevoegdheden Boeterisico’s (grof gezegd) 1. 2. 3. 4. 5.
Niet voldoen aan de meldplichten Niet voldoen aan APg-instructies Niet voldoen aan hoofdstuk 2 WBP Niet voldoen aan hoofdstuk 6 WBP Niet voldoen aan hoofdstuk 11 WBP
Governance-wetgeving Control & accountability
Sturing Directie
Act
Afdelingen JZ, IT-security, risk, compliance, communicatie, ICT, inkoop
Onafhankelijk Advies & toezicht
Ondersteunende rol
Data Protection Officer
Klantgegevens
Chef Commercie
Check
Klantprocessen
Leidinggevenden
Plan
Personeelsgegevens
Chef Personeelszaken
Werkgeverprocessen
Leidinggevenden
Beveiligingsgegevens
Chef Veiligheid
Do
Processen bedrijfsbeveiliging /fraudebestrijidng Leidinggevenden
Data Protection Officer Niet verplicht, wel aanbevolen – art. 62-64 WBP
Functionaris voor de Gegevensbescherming § 2-toezichthouder
• Toezicht • Advies • Ombudsfunctie • Regulatory affairs
expert op het gebied van privacywetgeving; praktijkdeskundig (kennis van organisaties, processen, ICT en informatiebeveiliging); onafhankelijk en betrouwbaar; gevoel voor de interne en externe verhoudingen; beroepservaring die past bij zijn verantwoordelijkheden; vaardigheden op het gebied van PR & communicatie / regulatory affairs.
Organisatiecoach / ‘privacy-accountant’
Risicogedreven Privacy Impact Assessments
Heeft u vragen?
[email protected]
