Nieuwe privacyregels: Eitje of zwarte zwaan?

1

Nieuwe privacyregels: Eitje of zwarte zwaan? Jaarvergadering Ledengroep Intern en Overheidsaccountants Nederlandse Beroepsorganisatie van Accountants Donderdag 14 september 2013

Wolter Karssenberg RE Management Consultant en Mede-eigenaar Social Force

Agenda 2

Innovatie in Big Data: belangrijk! Innovatie in Big Privacy: belangrijk! Privacy: uitdagingen en kansen! Balanceren: noodzakelijk! Privacy dilemma’s: cases!

Innovatie in Big Data: belangrijk! 3


Voorbeelden:

Gegevens van sociale media -> inzicht in consumentengedrag, -voorkeur, -productbeleving Gegevens van fysieke sensoren -> plannen van preventief onderhoud Gegevens van klantinteractie -> fijnmazige commerciële segmentering Gegevens van aanvragen voor financiële of verzekeringsproducten -> risicovoorspelling Gegevens van medische behandeling -> risicovoorspelling en interventiebepaling Gegevens van “alles” (…) -> gebruiken voor voorspelling van terrorismerisico


Voorbeeld: bijzonder beheer bij banken

Direct vs. indirect relevante data

Interne vs. externe relevante data

Bv. betalingsachterstanden vs. verloop betaalrekening Bv. betalingsachterstanden op eigen vorderingen vs. betalingsachterstanden op vorderingen van derden

Feitelijke data vs. (persuasive) profiling

Bv. betalingsachterstanden, verloop betaalrekening en betalingsachterstanden op vorderingen van derden vs. het verwerken van “niet-relevante” feitelijke data tot profielen voor het voorspellen (en beïnvloeden) van toekomstig gedrag

Innovatie in Big Privacy: belangrijk! 6

Innovatie in Big Privacy: belangrijk! 7

Voorbeelden:

Midata

Betere toegang tot de eigen data voor consumenten

Betere controle over het gebruik door organisaties

Qiy

Persoonlijk domein voor het beheer van persoonlijke gegevens

Je bepaalt zelf hoe en wanneer je toegang geeft

Privacy Enhancing Technologies, waaronder bijv.:

Scheiding van gegevens: loskoppelen identificerende persoonsgegevens van overige persoonsgegevens (koppeling alleen mogelijk met identiteitsbeschermer)

Privacymanagementsystemen: geautomatiseerde toepassing van het privacybeleid

Privacy: uitdagingen en kansen! 8

Privacyprincipes OESO (1980!... en 2013) Dataminimalisatie Gegevenskwaliteit Doelbinding Gebruiksminimalisatie Beveiliging Transparantie Participatie Verantwoording


Modern privacyjargon

Voorbeelden

Doe maar gewoon…

Privacy Impact Assessment

Specifieke risico-analyse voor privacy-aspecten

Privacy by Design

Bak privacy mee in je product- en systeemontwerp

Privacy Enhancing Technologies

Pas moderne technieken van gegevensbescherming toe

Accountability

Verifieer dat je voldoet aan wet- en regelgeving en leg verantwoording af

Consumer in Control

Leg uit wat je doet en geeft de consument controle over zijn gegevens


Fase Vernieuwing Beheer Formeel juridisch (…, zorgvuldig, gerechtvaardigd, rechtmatige grondslag, verenigbaar, toereikend, ter zake dienend, inzage, …)

Compliance-onderzoek

Soort criterium Kwaliteit (integriteit, exclusiviteit, beschikbaarheid)

PIA


Privacy Impact Assessment Motie Franken: bij wetsvoorstellen o.a. PIA Regeerakkoord: PIA vanzelfsprekend Doel: vroegtijdig inzicht in privacyrisico’s Risicogebieden: OESO-principes


Privacy Impact Assessment Toetsmodel PIA (Rijksdienst) PIA (NOREA)


Privacy by Design (1) Ann Cavoukian / Inf & Privacy Officer, Ontario

Proactief ipv reactief; preventief ipv herstellend

Privacy als standaard

Privacy geïntegreerd in het ontwerp

Volledige functionaliteit – positive-sum ipv zero-sum

Veiligheid van begin tot eind – bescherming tijdens de volledige levenscyclus

Zichtbaarheid en transparantie – houd het open

Respect voor de privacy – laat de gebruiker centraal staan


Privacy by Design (2) TNO / Stimulerende en remmende factoren van Privacy by Design in Nederland


Audit: Richtlijn 3600 / Privacy Audit Proof

Gericht op:

Stelsel van maatregelen en procedures van een verwerking

Bestuursverklaring

Resultaat: assurance rapport mbt

opzet, bestaan en werking van het stelsel over een periode

de juistheid van het gestelde in de bestuursverklaring

Deskundigheid:

ICT controls

Juridische en praktische kennis Wbp e.a.

Gecertificeerde verwerkingen: Qiy, NFI/DNA-databank, Liander/Slimme meter, BKR/CKI


Accountability


Aandachtspunten interne of overheidsaccountant Toenemend belang privacy

Impact veranderend boeteregime

Impact veranderende maatschappelijke en politieke gevoeligheid

Dekking privacy in GRC-proces Adopteer actuele methoden en technieken Schakel specialisten in

In privacy gespecialiseerde (IT-)auditors

In privacy gespecialiseerde juristen

Toon privacycompliance aan, evt. certificering

Balanceren: noodzakelijk! 18

Privacywetgeving is “principle based”


Proportionaliteit

Subsidiariteit


Roloverschrijding1 Nee Ja Nee

Laag

Gemiddeld

Hoog

Zeer hoog

Gedragsprofilering Gevoelige gegevens Ja 1

Roloverschrijding: als gegevens van verschillende rollen van het individu (werknemer, partner, vriend, etc.) worden gecombineerd in de toepassing


Aspect

Lichte druk op privacybalans

Zware druk op privacybalans

Gediende belangen

Maatschappelijk

Commercieel

Geografische dekking

Plaatselijk

Landelijk

Sectorale dekking

Binnensectoraal

Bovensectoraal

Toegankelijkheid

Enkele personen

Tienduizenden personen

Aard gegevens

Ongevoelig

Gevoelig

Gevolgen voor betrokkene

Vrijblijvend

Uitsluiting

Bewaartermijn

Korte tijd

Beperkt

Profilering

Niet

Wel

Precisie

Weinig fout positieven/negatieven

Veel fout positieven/negatieven

Informatievoorziening aan betrokkene

Snel en duidelijk

Achteraf en globaal

22

Privacy dilemma’s: cases! Handhaving

23

Privacy dilemma’s: cases! Geanonimiseerde informatiedeling

Vragen? 24

Wolter Karssenberg RE

Email: [email protected]

Telefoon: +31 6 22 39 37 49

Linkedin: http://www.linkedin.com/in/wkarssenberg

Twitter: @WolterKarss

Kijktip:

www.panopticondefilm.nl

Nieuwe privacyregels: Eitje of zwarte zwaan?

Recommend Documents