• No results found

Ontwikkelingen binnen Privacy

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Ontwikkelingen binnen Privacy"

Copied!
16
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 16 pagina )

Hele tekst

(1)

Ontwikkelingen binnen Privacy

Tony de Bos – EMEIA Privacy leader EY

(2)

• Introductie GDPR

• Belangrijke veranderingen

• Compliance

• Het hanteren van een geschikte aanpak

• Privacy Maturity Assessment

• Privacy Impact Assessment

• Accountability

• Documentatie

Index

(3)

Introductie GDPR

(4)

Belangrijkste veranderingen (1/2)

De GDPR is van toepassing op alle verantwoordelijken en bewerkers die zijn gevestigd in de EU en organisaties die persoonsgegevens van EU-burgers verwerken.

Uitgebreide reikwijdte

De vereisten voor het verkrijgen van toestemming worden op basis van de GDPR strenger. Zo dienen de betrokkenen voorafgaand beter te worden geïnformeerd en dient de toestemming explicieter te worden gegeven.

Toestemming

Het recht om vergeten te worden is het recht waarbij verantwoordelijken verzocht kunnen worden om alle persoonsgegevens, zonder vertraging te verwijderen onder bepaalde omstandigheden.

Het recht op het overdragen van persoonsgegevens waarbij betrokkenen het recht hebben om hun persoonsgegevens van een dienstverlener naar een andere dienstverlener over te later dragen in gangbare vorm zonder daarbij gehinderd te worden.

Het recht om bezwaar te maken tegen profilering, is het recht dat er op toeziet dat betrokkenen geen onderwerp mogen worden van beslissingen op basis van geautomatiseerde processen, zonder menselijke tussenkomst.

Nieuwe rechten

Op het moment dat organisaties bijzondere persoonsgegevens of op grote schaal

persoonsgegevens verwerken dient een privacy impact assessment (PIA) te worden uitgevoerd.

Privacy Impact Assessments

Op het moment dat ontwikkelingen zich in organisatieprocessen voordoen of wanneer nieuwe systemen worden geïmplementeerd, dienen organisaties privacy in het ontwerp mee te nemen.

Privacy by Design

(5)

Belangrijkste veranderingen (2/2)

Een FG dient te worden benoemd wanneer een organisatie op grote schaal systematische monitoring van persoonsgegevens uitvoert of interne processen heeft waarbij grote

hoeveelheden gevoelige persoonsgegevens worden verwerkt.

Functionaris gegevens- bescherming (FG)

Organisaties dienen aan te tonen dat zij aan de AVG voldoen, onder andere door:

•het monitoren, reviewen en beoordelen van verwerkingen;

•het minimaliseren van verwerkingen en bewaren van persoonsgegevens;

•het documenteren van activiteiten;

•het opstellen van beleidsstukken en procedures.

Indien verzocht zal deze documentatie aan de autoriteit beschikbaar moeten worden gesteld.

Accountability

Nieuwe verplichtingen van de GDPR ook voor bewerkers.

Verplichten voor bewerkers

Organisaties dienen de autoriteit, zonder vertraging en binnen 72 uur in geval van een datalek op de hoogte te stellen.

Indien er een hoog risico voor betrokkenen bestaat, dient het datalek ook aan deze betrokkenen te worden gemeld.

Verplichte meldplicht datalekken

Boetes voor overtreding van de GDPR zijn substantieel. Autoriteiten kunnen boetes van maximaal EUR 20.000.000,- of 4% van de jaarlijkse omzet opleggen.

Boetes tot 4% van de jaarlijkse wereldwijde

omzet

(6)

Meer dan alleen compliance

(7)

Voorbeeld Connected cars

The global telematics market is poised to grow

exponentially. By 2025:

90%

of new cars will have embedded telematics

€18 billion

revenue from embedded telematics

€11 billion

of the revenue from service and content providers Traditional insurance

Use the following as proxy of the true risk:

Car factors

Age of the car

Make and model of the car

Value of the car Driver factors

Age of the driver

Claims history Other

Socio demographic

Geographic True risk of the insured

Car

Age of the car

Make and model of the car

Condition of the car Driver

Age of the driver

Experience of the driver Where the car is driven

Traffic density

Type of road

Traffic enforcement (e.g. Speed cameras)

When the car is driven

Day or night

Weather conditions

Seasonal use only

How the car is driven (DBD)

General adherence to laws & regulation

Length of journeys

Acceleration, deceleration and speed of car on different road types / traffic

density

Telematics Data

Image Source: http://www.wired.com/autopia/2007/05/will_auto_safet/

(8)

Voorbeeld Wearables

(9)

Een mogelijke aanpak

(10)

Privacy Maturity Assesment

Identificatie van risico’s en onvolwassenheden in de huidige inrichting van privacy,

inclusief processen met een hoog risico. Hierbij maken we gebruik van ons AVG maturity assessment framework, interviews en beoordelingen van documentatie.

Privacy Strategy Privacy Policy

Training & Awareness Regulatory Reporting Executive Reporting

Managing Public Perception Privacy by Design

Risk Management Breach Management Vendor Due-Diligence

Consumer Compliants/Requests Data Classification

Cross Border Data Management Appropriate Collection of Data Relevant Use of Data

Managed Disclosures

Appropriate Retention and Disposal

Regulatory Expectations Privacy Audit

Data Flow Management

AVG assessment domains

(11)

Privacy Impact Assessments

Dataflow inventory

Risk

assessment dataflow

Prioritize

dataflows Perform PIA Define

actions Defining risk

appetite

PIA onderwerpen Applicaties Retentie

Fair and lawful Vendoren

Purposes Speciale categorieen

Adequaatheid Transfer

Rights and transparency Incident management

Security Profiling

Compliance Data analytics Privacy by Design bevestigd

het beeld dat de toekomst van privacy niet enkel kan worden ingevuld met

compliance en regulerende frameworks. Idealiter dient Privacy assurance een

standaard onderdeel binnen de organisatie te zijn.

(12)

Accountability

Het principe ‘Accountability’

Accountability vraagt controllers om een actieve implementatie van maatregen in data protection te promoten om zo de business processen binnen de organisatie te beveiligen. Voorbeelden hiervan kunnen data minimalisering en het gebruik van pseudonimisering zijn.

Controllers zijn verantwoordelijk om binnen hun business processen compliant te zijn aan de data protection vereisten.

Indien een persoon of instantie informatie opvraagt met betrekking tot data protectie en haar subjects dienen controllers dit beschikbaar te stellen.

Personal Data Lifecycle Management

Verzamelen van data Relevant gebruik van

data Het beheer van

openbaarmaking Geschikte retentie en

verwijdering Herzien van privacy vereisten

(13)

Documentatie

• Register of processing

• Privacy Impact Assessments

• Privacy Control Framework

• Risk register

• Privacy analytics

• ….

(14)

Privacy Control Framework

GDPR

Article Sub Scope Critical risk Link to

business strategy

Root causes Risk owner Risk guidance Risk ranking

Description of applicable scope

Descibre the critical risk

Does this article link to strategy?

Any root causes of non

compliance?

Who is de risk owner can accept risk?

Guidance on which areas risk appetite and risk decision can be made

What is the risk level

H/M/L/NA

1ste line

Critical controls to migitate risk

Control Owner Guidance

Management review Control sef-assessment KPIS (data analytics driven DPO Unit risk manager Group risk Group ompliance Group legal Internal audit External audit independant assurance Insurance

Controls to mitigate risk?

Multiple controls can be defined

Who is the owner?

Guidance on how to implement controls?

Management of monitoring

How is the control effectiveness measured (multiple options, )?

2 line

Independant assurance

How is independant assurance provided?

3 line

(15)

Internal audit & Assurance

• Privacy Certificering

• SOC 2 rapportages

• ISAE (3000) verklaring

• …

• (Independent) Assessments

• Program Assurance

(16)

V R A G E N ?

Referenties

Download het nu ( PDF - 16 pagina - 1.80 MB )

GERELATEERDE DOCUMENTEN

van de burger / het recht van burgers op privacy 1 Uitleg:

− “Voor jongeren die strafbare feiten hebben gepleegd, wordt door de minister van Justitie een beleidsprogramma ‘Aanpak Jeugdcriminaliteit’. opgesteld.”

Nog veel onzekerheden over het recht om te worden vergeten

Op grond daarvan heeft dege- ne over wie gegevens worden verwerkt (‘de betrokkene’) aanspraken ten opzichte van degene die verantwoordelijk is voor die verwerking

Het recht om fouten te maken

Daarbij wordt juist door de toenemende gedigitaliseerde communicatie tus- sen burger en overheid ‘ieder formulier al snel zijn eigen regel.’ Voor burgers is het vaak een

Is productenaansprakelijkheid nog een risicoaansprakelijkheid? Nieuwe ontwikkelingen in het Amerikaanse recht

Om hetzij het debat dat volgde, wees Twerski er op dat ook als slachtoffer clan wel als producent aannemelijk in cle benadering van de Restatement al deze fac- te maken clat

Het recht om niet gekwetst te worden

door kunstuitingen, heeft de ander dan niet het recht niet aangestoten te worden, in gevoe- lens die hem afhaar dierbaar zijn, door religieuze ui- tingen.. De voetbalbond had op

Een recht op vergeten: Vergeet het maar?

Opval­ lend daarin was de opmerking: ‘Iedereen heeft het recht te worden “vergeten”, wanneer gegevens niet langer nodig zijn of wanneer iemand zijn gegevens wil laten wis­

De Mandatory Disclosure-regels in het licht van het recht op privacy en de bescherming van persoonsgegevens

In het geval van de melding van potentieel agressieve belas- tingstructuren moet een afweging worden gemaakt of de (fases van) verwerkingen van de verzamelde persoons-

Heilige graal of werkelijkheid? Het recht om gehoord te worden voor kinderen in juridische procedures

Het feit dat dit recht is opgenomen in het IVRK wordt gezien als een van de belangrijkste innovaties van het Kinderrechtenverdrag: dit recht impliceert dat kinderen dragers van