Privacy Impact Assessment

Privacy Impact Assessment


Privacy Impact Assessment De NOREA-PIA Wolter Karssenberg RE 24 juni 2014


Agenda 1. 2. 3. 4.

Achtergrond Inhoud Ervaring Vragen


Agenda 1. Achtergrond 2. Inhoud 3. Ervaring 4. Vragen


(Big) Data & Privacy: een evenwichtsoefening Productieve inzet van (Big) Data

Bescherming van Informationele Privacy


(Big) Data & Privacy


(Big) Data & Privacy 20 juni 2014


(Big) Data & Privacy


Kritiek EKD, Eerste Kamer, 30 juni 2009


Verwerpen EPD, Eerste Kamer, 5 april 2011


Motie Franken, Eerste Kamer, 17 mei 2011 “De Kamer, gehoord de beraadslaging, overwegende, (…) dat bij het totstandbrengen van nieuwe wetgeving uitdrukkelijk aandacht moet worden gegeven aan de vraag of de beperkingen op het grondrecht tot bescherming van de persoonlijke levenssfeer gerechtvaardigd zijn, (…) moet worden getoetst aan de volgende criteria: (…)

3. De resultaten van een Privacy Impact Assessment, zodat vooraf is onderzocht welke risico’s de maatregel met zich meebrengt, (…) verzoekt de regering bij wetsvoorstellen (…) de hierboven genoemde criteria in de afweging en besluitvorming te betrekken en daarvan in de memorie van toelichting bij het betreffende wetsvoorstel verslag te doen, en gaat over tot de orde van de dag.”


Regeerakkoord VVD - PvdA, 29 oktober 2012 “De privacytoezichthouder, het College Bescherming Persoonsgegevens, krijgt meer bevoegdheden, waaronder de bevoegdheid meer boetes uit te delen. Bij de bouw van systemen en het aanleggen van databestanden is bescherming van

Daar hoort een zogenaamd privacy impact assessment (PIA) standaard bij. Inbreuken door de overheid zijn voorzien van een persoonsgegevens uitgangspunt.

horizonbepaling en worden geëvalueerd.”


PIA NOREA, 16 mei 2013


Toetsmodel PIA Rijksdienst, 21 juni 2013


AVG EP, 21 oktober 2013, Overweging 71 bis essentiële spil van elk duurzaam gegevensbeschermingskader en zorgen “Privacyeffectbeoordelingen zijn de

ervoor dat ondernemingen zich vanaf het allereerste begin bewust zijn van alle mogelijke gevolgen van hun gegevensverwerkingen. Indien privacyeffectbeoordelingen grondig worden uitgevoerd, kan de kans op gegevensinbreuk en inbreuk op de privacy verregaand worden beperkt. (…)


AVG EP, 21 oktober 2013, Overweging 71 bis (…) Effectbeoordelingen op het gebied van gegevensverwerking moeten dientengevolge consequent betrekking hebben op het beheer van de gehele levenscyclus van persoonsgegevens, vanaf verzameling tot aan verwerking tot aan verwijdering, waarbij de voorgenomen verwerkingen nauwkeurig worden beschreven, alsmede de risico's voor de rechten en vrijheden van betrokkenen, de voorgenomen maatregelen ter beteugeling van de risico's, de waarborgen, de veiligheidsmaatregelen en de mechanismen ter naleving van de verordening.”


AVG EP, 21 oktober 2013, Overweging 74 bis “Effectbeoordelingen kunnen alleen van nut zijn indien voor de verwerking verantwoordelijken ervoor zorgen dat zij de oorspronkelijk erin vervatte beloften naleven. Voor de verwerking

verantwoordelijken moeten daarom periodieke evaluaties inzake gegevensbescherming uitvoeren waaruit blijkt dat de ingestelde mechanismen voor gegevensverwerking in overeenstemming zijn met de in de effectbeoordeling inzake gegevensbescherming gedane toezeggingen. Verder moet blijken dat de voor de verwerking verantwoordelijke in staat is de onafhankelijke keuzes van de betrokkenen te eerbiedigen. Indien er inconsistenties uit de evaluatie blijken, dienen deze bovendien in de evaluatie te worden uitgelicht en moeten er aanbevelingen worden gedaan voor het bewerkstelligen van volledige naleving.”


AVG EP, 21 oktober 2013, Artikel 32bis “1. De voor de verwerking verantwoordelijke, of in voorkomend geval de verwerker, voert een risicoanalyse uit van de mogelijke effecten van de bedoelde gegevensverwerking op de rechten en vrijheden van de betrokkenen, waarbij wordt beoordeeld of de verwerkingen waarschijnlijk specifieke risico's inhouden. 2. De volgende verwerkingen kunnen specifieke risico's inhouden: a) de verwerking van persoonsgegevens van

meer dan 5000

betrokkenen gedurende een achtereenvolgende periode van 12 maanden;

b) de verwerking van bijzondere categorieën persoonsgegevens zoals bedoeld in artikel 9, lid 1; (…) d) de verwerking van persoonsgegevens voor het bieden van

gezondheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geestes- of besmettelijke ziekten, (…)”


AVG EP, 21 oktober 2013, Artikel 33 lid 3 “(…) Deze bevat ten minste: a) een systematische beschrijving van de beoogde verwerkingen, de doeleinden van de verwerking (…); b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot het doel; c) een beoordeling van de

risico's voor de rechten en

vrijheden van de betrokkenen, (…); d) een beschrijving van de beoogde maatregelen om de

risico's te beperken en de hoeveelheid persoonsgegevens die wordt verwerkt, te minimaliseren;

waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te e) een lijst

garanderen, (…)


AVG EP, 21 oktober 2013, Artikel 33 lid 3 en ter “(…) Deze bevat ten minste: f) een algemene aanwijzing betreffende de termijnen waarbinnen de

gewist; h) een uitleg over welke privacy by design en by default verschillende categorieën gegevens moeten worden

praktijken overeenkomstig artikel 23 zijn toegepast; (…)

ter) De beoordeling wordt gedocumenteerd en bevat een schema ten behoeve van reguliere periodieke

nalevingscontroles

gegevensbescherming (…) De voor de verwerking verantwoordelijke en de verwerker (…) stellen de toezichthoudende de beoordeling op verzoek ter beschikking.”

autoriteit


AVG EP, 21 oktober 2013, Artikel 33 bis “1. De voor de verwerking verantwoordelijke (…), voert uiterlijk twee jaar na uitvoering van een effectbeoordeling overeenkomstig artikel 33, lid 1, een

nalevingscontrole gegevensbescherming uit. (…)

2. De nalevingscontrole wordt periodiek, tenminste

eens per twee jaar, uitgevoerd of anderszins onmiddellijk

nadat de specifieke risico’s in verband met de verwerkingen zijn

gewijzigd.

3. Ingeval de nalevingscontrole inconsistenties in de naleving laat

zien, worden er in de nalevingscontrole tevens aanbevelingen opgenomen om tot volledige naleving te kunnen komen. 4. De nalevingscontrole en de daaruit voortvloeiende aanbevelingen

gedocumenteerd. De voor de verwerking verantwoordelijke (…) stellen de toezichthoudende autoriteit worden

de nalevingscontrole op verzoek ter beschikking.”


Privacy Impact Assessments: “here to stay” Situatie

voor invoering AVG:

Publieke sector: toepassing PIA bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien Private sector: toepassing PIA niet verplicht maar wel verstandig Situatie

na invoering AVG:

Publieke én private sector: toepassing PIA in nagenoeg alle situaties wettelijk verplicht tweejaarlijkse herhalingsverplichting en bij wijzigingen risico’s inhoudelijke eisen aan PIA periodieke nalevingscontrole, opvraagbaar door toezichthouder


Agenda 1. Achtergrond

2. Inhoud 3. Ervaring 4. Vragen


NOREA-PIA: doelstellingen Bijdragen aan het vermijden of verminderen van privacyrisico’s Door het in kaart brengen van de kans op het schaden van de privacy van de betrokkenen Door de in kaart gebrachte privacyrisico’s om te zetten in gerichte

actie om de risico’s te verminderen


NOREA-PIA: doelstellingen Verder: Voorkomen kostbare aanpassingen Verminderen gevolgen toezicht en handhaving Verbeteren kwaliteit gegevens Verbeteren dienstverlening Verbeteren besluitvorming Verhogen privacybewustzijn Verbeteren haalbaarheid Verstevigen vertrouwen Verbeteren communicatie


NOREA-PIA: data protection principles (OECD) OECD Privacy Principles

OESO Privacy Principes

Collection Limitation Principle

Dataminimalisatie

Data Quality Principle

Gegevenskwaliteit

Purpose Specification Principle

Doelbinding

Use Limitation Principle

Gebruiksminimalisatie

Security Safeguards Principle

Beveiliging

Openness Principle

Transparantie

Individual Participation Principle

Participatie

Accountability Principle

Verantwoording


NOREA-PIA: structuur 1. Introductie: achtergrond en belang 2. Proces: stappen en aandachtspunten

3. Vragenlijst: vragen en toelichting

4. Bijlagen: begrippen en afkortingen


NOREA-PIA: stappen 1

2 3 4 5 6

• Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren

1. Introductie: en het project • Verzamel relevante achtergrond informatie over belang • Vul de PIA vragenlijst in

2. 3. Proces: Vragenlijst: stappen en aanvullende maatregelen • Beoordeel de impact en en bedenk vragen waar nodig aandachtspunten toelichting • Stel het PIA rapport op

4. Bijlagen: begrippen • Optie: (onafhankelijke) toets open de PIA afkortingen


NOREA-PIA: vragenlijst Het initiatief / project Type project

1. Introductie: Gegevens achtergrond en belang

Betrokken partijen

2. 3. Proces: Vragenlijst: stappen en vragen en De gegevens levenscyclus aandachtspunten toelichting Verzamelen

Bewaren / Vernietigen Bijlagen:

Gebruiken 4.

begrippen en afkortingen

Beveiliging


NOREA-PIA: vragenlijst, type project

30


NOREA-PIA: vragenlijst, gegevens

31


NOREA-PIA: vragenlijst, betrokken partijen

32


NOREA-PIA: vragenlijst, verzamelen

33


NOREA-PIA: vragenlijst, gebruiken

34


NOREA-PIA: vragenlijst, bewaren/vernietigen

35


NOREA-PIA: vragenlijst, beveiliging

36


Agenda 1. Achtergrond 2. Inhoud

3. Ervaring 4. Vragen


De te voorkomen valkuilen Te laat: “Klaar voor productie, nog even een PIA doen!” Te smal: “Leuk zo’n PIA, maar scope maar zo smal als mogelijk!” Te ondiep: “Een stel vragen met Ja of Nee beantwoorden. Klaar!” Te hoge verwachtingen: “Privacy geregeld? Ja hoor, PIA uitgevoerd!” Te dom: “Dat kan ik wel in m’n eentje, ik ben toch IT-auditor?” A fool with a tool is still a fool If all you have is a hammer, everything looks like a nail


De te voorkomen valkuilen


De te benutten kwaliteiten


De te benutten kwaliteiten: juiste positie Enterprise Risk Management Ontwikkeling Operatie Privacy Risk Management

Formeel juridisch

PIA

PIA

Kwaliteit en beveiliging PET

Accountability

PbD


PIA- diepte

De te benutten kwaliteiten: juiste scope

Gedeeltelijke compliance assessment

Volledige compliance assessment

Gedeeltelijke vragenlijst

Volledige vragenlijst

PIA-breedte


De te benutten kwaliteiten Goede PIA-uitvoering bewerkstelligt een gebalanceerde aandacht voor de verwerkingsdoelstelling en tegelijkertijd voor de bescherming van de privacy: Vertrouwenverhogend Kwaliteitsverbeterend Bewustheidsbevorderend Kostenbesparend Noodzakelijk is dat de PIA-uitvoering: Tijdig Gestructureerd Risicogericht Multidisciplinair plaatsvindt


Eerste toets… Durft u van de daken te schreeuwen wat u met persoonsgegevens doet?


Agenda 1. Achtergrond 2. Inhoud 3. Ervaring

4. Vragen

Bedankt voor uw aandacht



Privacy Impact Assessment

Recommend Documents