Privacy Proof?! Richard Weurding 5 maart 2013
Privacy = Vertrouwen • Maatschappelijk belang voor samenleving, politiek en verzekeraars • Vernieuwen & versterken
• Klantbelang centraal • Transparantie (in acties van de branche op privacy gebied) • Zakelijk belang (versterken reputatie)
2
Privacy wet- en regelgeving • Nationaal privacybeleid • Beleid op beveiliging persoonsgegevens strenger
• Wijziging Wbp aankomende meldplicht datalekken
3
Europa & Privacy • Europese Commissie benoemt dataprotectie tot speerpunt 2013-2014 • Voorstel tot Europese Dataprotectie Verordening • “Only a high level of data protection will generate trust between citizens and private enterprises.” Reding ( Eurocommissaris Justice)
4
Privacy zelfregulering • Zelfregulering toont aan dat verzekeraars integer zijn en hun verantwoordelijkheid nemen • Gedragscode Verwerking Persoonsgegevens Financiële Instellingen
5
Privacy in de praktijk • Uitkomsten Self Assessment 2012 • Heeft effect op andere dossiers • Blijf scherp op bescherming gegevens • Eerste aanzet tot verhoging awareness
6
Programma 09.30-10.00uur Inloop 10.00-10.15uur Welkom en inleiding, Richard Weurding 10.15-10.35uur Privacy en Self Assessment, Ron van Kesteren 10.35-10.50uur Privacy beleid Verbond, Nicole Lemmen 10.50-11.00uur PAUZE 11.00-11.25uur Privacy Proof?!: een praktijkvoorbeeld, Judith van der Kleij 11.25-11.50uur Organiseren op Privacy, Sergej Katus 11.50-12.00uur Discussie en wrap up
12.00-12.30uur Einde en lunch
7
Privacy Proof?!
Privacy interesseert de klant geen bliksem, zolang hij maar een goede verzekering krijgt en snel geholpen wordt.
8
Themabijeenkomst Privacy Proof?!
Ron van Kesteren Directeur Stv 5 maart 2013
9
Wat ga ik u vertellen? • Stichting toetsing verzekeraars • Toetsing zelfregulering • Gedragscode verwerking persoonsgegevens • Opzet SA 2013
10
Stichting toetsing verzekeraars • Onafhankelijke stichting sinds 8/5/2009 Doelstelling: “de stichting heeft tot doel het vertrouwen van consumenten in de verzekeringssector te bevorderen door: o toetsen van zelfregulering o ontwikkelen van Keurmerk voor verzekeraars” 11
Stichting toetsing verzekeraars Onafhankelijke stichting Bestuur o Mw Ieke van den Burg (vz), oud europarlementariër o Dick Westendorp, oud directeur CB o Willem van Boom, hoogleraar EUR o Peter Kok, oud CFO Delta Lloyd o Tom Roos, oud DNB divisiedirecteur Toezicht Verzekeraars 12
Toetsing zelfregulering
Nagaan of leden van het Verbond zich houden aan de bindende zelfregulering van het Verbond
13
Rolverdeling Stv – Verbond 1. Verbond is verantwoordelijk voor de inhoud van de gedragscodes 2. Verbond bepaalt welke gedragscodes worden getoetst 3. Stv stelt (in overleg met Verbond) de vragen vast voor het self assessment
14
Rolverdeling Stv – Verbond 4. Stv voert de toetsing uit. Deelname van verbondsleden is verplicht 5. Stv stelt een rapportage over de bevindingen op, zowel algemeen als per verzekeraar. De rapportage wordt aangeboden aan het Verbond en gepubliceerd 6. Verbond bepaalt de vervolgacties richting individuele leden
15
Ontwikkeling toetsing zelfregulering 1e toets: 2009 o o o
Online vragenlijst Awareness. Is men bekend met de code? Zijn er procedures om te voldoen aan de code ? Rapportage beperkt
16
Ontwikkeling toetsing zelfregulering 2e toets: 2010 o Online vragenlijst o Heeft u aantoonbaar gewaarborgd dat voldaan wordt aan de code?
17
Ontwikkeling toetsing zelfregulering 2e toets: 2010 Rapportage: o (non) compliance per vraag / code o noncompliance per verzekeraar o Uitkomst: 74 % 26 %
18
Ontwikkeling toetsing zelfregulering 3e toets: 2012 o o
Online vragenlijst, opvragen informatie, controle websites en bedrijfsbezoek Hoe heeft u aantoonbaar gewaarborgd dat voldaan wordt aan de code?
19
Ontwikkeling toetsing zelfregulering 3e toets: 2012 Rapportage: o (non) compliance per vraag / code o noncompliance per verzekeraar o Uitkomst: 61 % 39 %
20
Ontwikkeling toetsing zelfregulering Nieuwe beoordelingscyclus van 3 jaar • 1: Algemeen Self Assessment. We toetsen alle leden met vragenlijst • 2: Risicogebaseerd. We toetsen de leden die vorig jaar niet alles op orde hadden, aangevuld met steekproeven • 3: Doelgroep / regeling. We bepalen in overleg met Verbond een regeling of specifieke doelgroep en deze wordt intensiever bevraagd. 21
Resultaten Gedragscode Verwerking Persoonsgegevens 2010 Vraag 5.1: Heeft u het stelsel van zelfevaluatie aantoonbaar binnen uw maatschappij geïmplementeerd?
Aantal
%
Na verwerken reacties op oranje
%
102
79%
127
86%
Nee, maar wij zullen voor 1 februari 2011 aan deze vereiste voldoen
34
23%
-
-
Nee, wij voldoen niet aan deze vereiste
12
85
21
14%
Ja
Totaal
148 100%
148 100%
22
Resultaten Gedragscode Verwerking Persoonsgegevens 2012 Vraag 9: Heeft u een stelsel van Aantal zelfevaluatie aantoonbaar binnen uw maatschappij geïmplementeerd?
Ja Nee nog niet, dat is per 1 april 2012 geregeld Nee NVT Totaal
94 11
%
Na verwerken reacties vervolgvragenlijst
%
73% 9%
103 -
80% -
21 16% 2 2% 128 100%
23 18% 2 2% 128 100% 23
Resultaten Gedragscode Verwerking Persoonsgegevens 2012 Vraag 10: De herziene Gedragscode Verwerking Persoonsgegevens is van kracht geworden per 1 mei 2010. Is in uw organisatie sinds 1 mei 2010 via een vorm van zelfevaluatie een periodieke risicoanalyse gedaan op welke wijze met de verwerking van persoonsgegevens wordt omgegaan? Ja Dit is nog niet uitgevoerd maar wordt voor 1-42012 uitgevoerd Dit is nog niet uitgevoerd maar staat gepland na 1-4-2012 Dit is nog niet gedaan en is nog niet ingepland NVT Totaal
Aantal
%
Na verwerken reacties vervolgvragenlijst
%
70 1
55% 1%
71 -
55% -
45
35%
45
35%
10 8% 2 2% 128 100%
10 2 128
8% 2% 100% 24
Aanpak toetsing 2013 Risicogebaseerd. We toetsen de leden die vorig jaar niet alles op orde hadden, aangevuld met steekproeven.
25
Aanpak toetsing 2013 Twee uitvoeringen: - Nieuwe vragenlijst met verzoek om toelichting en bewijs - Bedrijfsbezoek
26
Aanpak toetsing 2013 Planning: - Eind maart brieven met uitnodiging vragenlijst of bedrijfsbezoek - Beantwoorden / bezoeken tot medio mei - Rapportage in september
27
Dank voor uw aandacht! Ron van Kesteren 070 – 7508216
[email protected] 28
Privacybeleid Verbond Nicole Lemmen 5 maart 2013
Beleid Verbond op Privacy • Gedragscode Verwerking Persoonsgegevens Financiële Instellingen • Transparantie richting klant
• Zelfregulering is geen restrictie maar openheid naar consument • Behoud vertrouwen en voorkomen reputatieschade • Voorwaarde lidschap Verbond
30
Wetgeving op privacy • Beleid Verbond sluit goed aan bij huidige verplichtingen van Wbp • Nationale wetgeving in beweging: meldplicht datalekken, uitbreiding boete bevoegdheid CBP, cookiebeleid • Nieuwe Europese Verordening: nieuwe verplichtingen zoals aanstellen Dataprotectie Officer, uitvoeren van PIA, strengere documentatieplicht
31
Toetsing en naleving Privacy • Wbp is uitgangspunt voor verwerken persoonsgegevens • Gedragscode is uitwerking van Wbp gericht op verzekeraars • Gedragscode biedt belangrijk toetsingskader voor Rechter en CBP
• Evaluatie en toetsing op naleving Wbp en Gedragscode verplicht • MZE Verbond is een hulpmiddel bij evaluatie 32
Model Zelfevaluatie (MZE) Verbond
33
Aandachtspunten MZE •
Zijn alle verwerkingen gemeld bij CBP?
•
Informatieplicht goed ingeregeld?
•
Bewaartermijnen bekend?
•
Recht op verzet?
•
Vergunningen
•
Strafrechtelijke gegevens
34
Privacy Proof?!
Vragen ?
35
Privacy Proof: een praktijkvoorbeeld Judith van der Kleij / Bedrijfsjurist Directe Divisie Achmea Verbond van Verzekeraars / 5 maart 2013
Agenda Privacy Proof: een praktijkvoorbeeld
1. Uitgangspunten voor het verwerken persoonsgegevens. 2. Organisatie beheersing regelgeving risico (compliance). 3. Organisatie beheersing privacy risico specifiek (rollen). 4. Toezicht op naleving privacy regelgeving.
Uitgangspunten verwerken persoonsgegevens
Het kunnen verwerken van persoonsgegevens is voor Achmea van cruciaal belang! Dat dit binnen de grenzen van wet- en regelgeving gebeurt eveneens. Eén verantwoordelijke; Eenduidig en efficiënt gebruik van persoonsgegevens; Gebruik persoonsgegevens voor cross selling: Groepswijd gebruik van binnen de groep beschikbare persoonsgegevens (mits op grond van wet- en regelgeving en andere afspraken - bijvoorbeeld portefeuillerecht tussenpersonen - toegestaan). Branding: Duidelijke communicatie richting klant (informatieverplichting) dat hij/zij via de verschillende labels, klant is bij de Achmea Groep. Functionaris voor de gegevensbescherming: Geen formele functionaris in de zin van de Wbp, wel een Compliance Officer Privacy.
Organisatie beheersing risico’s regelgeving (compliance) 1/2 Drie inrichtingslijnen: 1e lijn: Management Control/Internal Control: De primaire verantwoordelijkheid van het lijnmanagement voor het compliant zijn van zijn organisatie en processen. 2e lijn: Risk Management/Compliance: Omvat o.a. de verantwoordelijkheid van de compliancefunctie, voor de coördinatie van en het toezicht op de beheersing van compliance binnen de organisatie. 3e lijn: Internal Audit: De verantwoordelijkheid van de afdeling Internal Audit voor de onafhankelijke toetsing op de opzet, het bestaan en de werking van de eerste en tweede inrichtingslijn.
Organisatie beheersing risico’s regelgeving (compliance) 2/2 Ondersteuning eerste lijn door tweede lijn (enabelen): Signalering regelgeving ten behoeve van (groepsbrede) Commissie Wet & Regelgeving; Samenvoegen van relevante (toezichthouders)regelgeving in Compliancethema’s (normenkaders). Bijv. Consumentenbescherming, Corporate Governance, Uitbesteding, Ken uw cliënt, Mededinging, Privacy; Opnemen van de Compliancethema’s in een Control Framework (Key Risks / Key Controls per thema) waarmee bijgehouden wordt in hoeverre de betreffende risico’s worden gemanaged; Awareness vergroten door het aanbieden van een (actuele) E-learning module privacy.
Organisatie beheersing privacy risico specifiek (rollen) 1/3 Uitgangspunt: Centrale Achmea Privacybeleid - Compliancethema Privacy Bedrijfsonderdelen Binnen de bedrijfsonderdelen is een medewerker benoemd, die het verwerken van persoonsgegevens binnen het bedrijfsonderdeel in aandachtsgebied heeft; Veelal is “bescherming van persoonsgegevens” een deel van het takenpak-ket van deze medewerker; Algemene taak: Toezien op het blijven voldoen aan het centrale privacybeleid van Achmea; Specifieke taken: opgenomen in het normenkader dat hoort bij het Compliancethema Privacy. O.a. het monitoren van gehanteerde privacyteksten (transparantie); Deze medewerker neemt deel aan het Achmeabrede Privacytafel overleg (zie hierna).
Organisatie beheersing privacy risico specifiek (rollen) 2/3 Groepsniveau Compliance Officer Privacy (COP): -
Volgen van ontwikkelingen op het gebied van wet- en regelgeving; Bewaken en actueel houden van het centrale privacybeleid; Ondersteuning bedrijfsonderdelen; Leiden periodiek intern overleg (Privacytafel); Deelnemen aan Kennisteam (juridisch inhoudelijk); Beleidsvoorbereidend overleg (Commissie Privacy Verbond); Contacten met het College Bescherming Persoonsgegevens (meldingen); Formele positie: adviseur van de Group Compliance Officer; Niet de functionaris voor de gegevensbescherming als bedoeld in de Wbp;
Organisatie beheersing privacy risico specifiek (rollen) 3/3 Groepsniveau Privacytafel: -
Overleg tussen COP en vertegenwoordigers van de bedrijfsonderdelen; Behandelen privacyspecifieke operationele issues; Vaststellen Achmea privacybeleid; Advies over specifieke operationele privacy vragen; Ondersteuning oplossen privacy audit issues; Formele positie (met COP): adviseur van Group Compliance Officer.
Kennisteam privacy: - Overleg juridisch team over interpretatie/duiding regelgeving; - Juristen die in hun dagelijkse praktijk in aanraking komen met privacy; - Juridisch inhoudelijk advies aan Privacytafel.
Toezicht op naleving privacy regelgeving Uitgangspunt:Compliancethema Privacy. Opgesteld mede aan de hand van het Model Zelfevaluatie van het Verbond. Bevat normen, key risks en key controls (waar liggen de grootste risico’s op het niet naleven van privacy regelgeving). Zelfevaluatie: Periodieke analyse – in principe éénmaal per kwartaal – aan de hand van het Compliancethema. Doel: bepalen stand van zaken mbt het voldoen aan privacyregelgeving (compliance) en ontwikkelingen daarin. Leidt tot: rapportage aan directie bedrijfsonderdeel, Raad van Bestuur Achmea en Audit & Risk Committee Achmea. Audit door IA: Onafhankelijke analyse, beoordelen eigen analyse van de bedrijfsonderdelen. Leidt tot auditissues (wanneer niet goed). Oplossen issues wordt gevolgd. Input voor het bijstellen van het Compliancethema Privacy.
[email protected] (Compliance Officer Privacy)
Organiseren op privacy Privacy compliance in 10 stappen
Verbond van Verzekeraars Den Haag, 5 maart 2013 Mr. S.H. Katus Privacy officer
[email protected] www.skvprivacy.nl
Voorbeeld
Analyse
• Accountability
• Proportioneel
• Eerlijk & veilig
• Doelbinding
• Transparant
• Interactief
• Correct
• Privacy by Design
EU Privacyverordening
Boeterisico tot 2% jaaromzet
Individual empowerment
Privacy is breed
Informatieverwerking is een kernactiviteit
Privacy risk management
Privacy Impact Assessments (PIA’s)
Bestuurlijke compliance 1. 2. 3. 4. 5. 6. 7. 8.
Vaststelling beleid en maatregelen Aanwijzing privacy officer Waarborgen contact CBP Algemene voorlichting Informatiebeveiligingsbeleid Effectiviteitsaudits Documentatieplicht Duurzaamheidsverslag
Compliance op bestuursniveau
Beleid en maatregelen
Digitale duurzaamheid
Operationele compliance
Intern en extern
Lessen van anderen
Awareness
Multidisciplinair
Praktische maatregelen
Privacy officer
Privacy compliance Doeltreffend
Efficiënt
Inefficiënt
Praktische risicomitigatie
Regels en procedures
Onbehoorlijk
Symbolisch
Niet-doeltreffend
Compliance in 10 stappen • • • • • • • • • •
Voorzie in een kwartiermaker / privacy officer Stel beleid en verantwoordelijkheden vast Inventariseer processen Inventariseer systemen Voer bedrijfsbreed risicoscans uit (PIA’s) Inventariseer beheersmaatregelen Inventariseer communicatie & services Bepaal mate van compliance Stel aanbevelingen vast en stuur bij Audit op effectiviteit en doe verslag
Documenteer!
Klantgerichtheid
Effectief en efficiënt