07-10-15
Privacy management ü Meldplicht datalekken ü Uitbreiding boetebevoegdheden CBP
Mr S.H. Katus, CIPM Partner
[email protected] www.pmpartners.nl
Scope ‘privacy’ Wet op de administratieve organisatie
Bedrijfsvoering
Dataverwerking
Privacy Applicaties
ICT
1
07-10-15
Wie wij zijn Privacy Management Partners Het eerste DPO-bureau van Nederland Wij helpen organisaties in de publieke en private sector om privacybestendig te opereren • • • • • •
Begeleiding bij vormgeving privacybeleid Data Protection Officer-services Support in-huis compliancefunctie Trainingen & e-learning Regulatory affairs Tooling
ü Expertise en ervaring van professionals die hun sporen hebben verdiend in het bedrijfsleven, bij de overheid en het College Bescherming Persoonsgegevens.
Aanpak 1. 2. 3. 4.
Trends & ontwikkelingen Meldplicht datalekken Privacy management Vragen / discussie
2
07-10-15
FAQ’s
1. 2. 3. 4. 5. 6. 7. 8. 9.
Wat houdt de meldplicht datalekken in? Wanneer wel / niet melden? Hoe zit het met cloudoplossingen zoals Office365? Welke security maatregelen moeten er extra genomen worden? Moet er aan NEN/ISO 2700x worden voldaan voor 01-01-2016? Wat zijn de addertjes onder het gras? Is een Functionaris Gegevensbescherming verplicht na 01-01-16? Bestaat er certificering? Welke regels hoeven we niet te serieus te nemen?
TRENDS
3
07-10-15
Onvermogen 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.
Betaalgegevens Europeanen via SWIFT toegankelijk voor opsporingsinstanties VS. Half miljoen euro boete voor SD&P Interactive voor versturen SMS zonder afmeldmogelijkheid. Diefstal creditcardgegevens van 31.000 klanten bij TellSell. Persdienst GPD lekt telefoonnummers van bekende Nederlanders. Rechter verliest strafdossier op USB-stick in de trein. Sociale Inlichtingendienst (SIOD) koppelt illegaal gegevens. T-Mobile verkoopt miljoenen klantgegevens aan derden. Politie IJsselland in opspraak door kentekenregistratiebeleid bij Zwolle Hewlett-Packard schikt voor 14,5 miljoen dollar voor illegaal onderzoek belgedrag medewerkers. Topvrouw stapt op. Wereldwijd risico’s voor personen na Diginotar-hack. Privacy-onderzoeker downloadt persoonlijke profielen 3.330 zakelijke klanten Rabobank. 6,5 miljoen wachtwoorden van Facebook-gebruikers op straat na hack. 22,5 miljoen dollar boete voor Google wegens illegaal cookiebeleid. KPN ernstig in verlegenheid na hack door 17 jarige jongen. Verzuimverzekeraars verwerken onrechtmatig ziektegegevens. Enzovoorts, enzovoorts … … enzovoort, enzovoort …
4
07-10-15
Groeiend onbehagen Ook bij úw doelgroepen
Privacybeleving
op het internet in Nederland
(feb. 2015)
Pe rc e nta ge s in de gra fie k hie r we erge gev e n in hele ge ta lle n
Duurzaamheid Maatschappelijk Verantwoord Omgaan (MVO) met data
5
07-10-15
Privacy is strategisch Neem bijvoorbeeld KPN…
De politiek Privacy is het nieuw groen
6
07-10-15
Aanscherping
AVG EU-brede superwet
WBP+ EU-richtlijn 95/46/EG
WBP EU-richtlijn 95/46/EG
• Reputatieschade • Aansprakelijkheid • Inspectie & dwang
• • • •
Reputatieschade Aansprakelijkheid Inspectie & dwang € 810.000 / 10%
< 2016
• • • •
Reputatieschade Aansprakelijkheid Inspectie & dwang € > 1 miljoen / … %
2016
> 2016
Bent u er klaar voor? Doe de quick scan op www.pmpartners.nl Voldoen aan de wet
Evenwichtig
Overcompliance
Naar de geest Principle based
Naar de letter Rule driven
Data cowboy
Symbolisch
Niet voldoen aan de wet
7
07-10-15
MELDPLICHT DATALEKKEN
Wat zien we niet..?
8
07-10-15
Security breach Beveiliging in de zin van art. 13 WBP
Beschikbaarheid I ntegriteit Vertrouwelijkheid
Lekke ‘bewerkers’ Aansprakelijkheid bij uitbesteding – art. 14 WBP
A …
B Dienstenplatform
E
C D
9
07-10-15
Wel/niet melden (AP) Artikel 34a lid 1 WBP
WEL
Ernstige security breach verwerking persoonsgegevens
Géén ernstige security breach verwerking persoonsgegevens NIET
Informeren van personen Artikel 34a lid 2 WBP
WEL
(Waarschijnlijk) wél ongunstige gevolgen voor personen
(Waarschijnlijk) géén ongunstige gevolgen voor personen NIET
Tenzij gegevens onbegrijpelijk of ontoegankelijk zijn gebleven
10
07-10-15
Extra: meldprocedure Privacy Impact Assessment (PIA) op incident
AP
!
PIA
Directie Pers.
Stappen 1. 2. 3. 4. 5. 6.
Signaleer het lek Dicht het lek Privacy Impact Assessement Meld het lek Evalueer lek / meldproces Stel bij
Detecteer
Evalueer
Meld
Dicht het lek
Incident PIA
11
07-10-15
Ook bredere aanpak
Niet melden? Iedereen is toezichthouder (kans x impact)
12
07-10-15
ADDER ONDER HET GRAS
Signaal van een symptoom van een fundamenteel probleem
Melding datalek
Informatiebeveiliging
Privacy management
13
07-10-15
IB-beleid
NEN / ISO 2700x
Privacy management
Good governance
Visie • Risicomanagement • Bescherming van personen • Voldoen aan de wet
Efficiënter Effectiever Klantgerichter Veiliger Maatschappelijk vertrouwen • License to operate • Ruimte voor innovatie • • • • •
Management
Sturing
Beleid
Act
Plan
Digitale* Duurzaamheid Processen
Mensen Uitrol
PIA Check
Do
Belangenafwegingen
Rekenschap*& Transparantie
Wettelijke eisen
ICT
© pmpartners.nl
Privacy3 waarborgen
14
07-10-15
Privacywaarborgen Key controls van privacy management
Bestuurlijke privacywaarborgen 1. Governance 2. Legitimiteit 3. Beleidstransparantie 4. Privacy services (inzage etc.) 5. Rekenschap Operationele privacywaarborgen 6. Proportionaliteit 7. Doelbinding 8. Relevantie 9. Informatiekwaliteit 10. Informatiebeveiliging
Nieuwe boetebevoegdheden Boeterisico’s (grof gezegd) 1. 2. 3. 4. 5.
Niet voldoen aan de meldplichten Niet voldoen aan AP-instructies Niet voldoen aan hoofdstuk 2 WBP Niet voldoen aan hoofdstuk 6 WBP Niet voldoen aan hoofdstuk 11 WBP
Evenwichtige oplossingen Laag
Midden
Hoog
15
07-10-15
Data Protection Officer Niet verplicht, wel aanbevolen – art. 62-64 WBP
Functionaris voor de Gegevensbescherming § 2-toezichthouder
• • • • ü ü ü ü ü ü
Toezicht Advies Ombudsfunctie Regulatory affairs expert op het gebied van privacywetgeving; praktijkdeskundig (kennis van organisaties, processen, ICT en informatiebeveiliging); onafhankelijk en betrouwbaar; gevoel voor de interne en externe verhoudingen; beroepservaring die past bij zijn verantwoordelijkheden; vaardigheden op het gebied van PR & communicatie / regulatory affairs.
Organisatiecoach / ‘privacy-accountant’
Trainingen www.tstc.nl
• • •
Netwerk van privacy professionals Internationaal erkende certificering (ISO 17024) Basiskennis DPO
16
07-10-15
Heeft u vragen?
[email protected]
17
