20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders...

15
Actieplan Dataveiligheid Algemene Inleiding Een sectorbrede aanpak voor verhoogde privacy bij de uitwisseling van gegevens uit centrale registers First Consulting 20 juni 2017, Amersfoort

Transcript of 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders...

Page 1: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

ActieplanDataveiligheidAlgemeneInleiding

Eensectorbredeaanpakvoorverhoogdeprivacybijdeuitwisselingvangegevensuitcentraleregisters

FirstConsulting

20juni2017,Amersfoort

Page 2: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

20-06-2017 VoorlichtingActieplanDataveiligheid 2

• Aanleiding

• Projectinrichting

• Opdrachtenuitgangspunten

• ActieplanDataveiligheid• MaatregelenAanbodopMaat• Maatregelenpre-switcheninhuizing• Overigemaatregelen• Natraject

• Uitdagingen

AgendaIntroductievoorlichtingActieplanDataveiligheid

1

2

3

4

5

Page 3: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

20-06-2017 VoorlichtingActieplanDataveiligheid 3

1.AanleidingAanloopnaar1december2016

StartActieplanDataveiligheid

1dec.

20162015

ToenemendeaandachtvoorPrivacy

Datalek

Zomer2016

Toezichthouders(ACM/AP)vragenombeleiddataveiligheidklantgegevens

Netbeheerderspresenteren“Rechtmatigeraadpleging

CentraleRegisters”

30sept.

ACMbeoordeeltplan

netbeheerdersalsontoereikend

16nov.

Page 4: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

ALVNEDU

Toezichthouders

20-06-2017 VoorlichtingActieplanDataveiligheid 4

2.ProjectinrichtingStakeholdervertegenwoordiging1dec– 31jan

- Operationele,technischeenjuridischeexperts- Gezamenlijkeoplossingenontwikkelen- IC-Kvertegenwoordigd

- Vertegenwoordigingleveranciers,netbeheerders,Meetverantwoordelijken,NEDU

- Verzorgenvankaders,monitoringvoortgang- Besluitvorming

Stuurgroep

Taskforce

Page 5: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

20-06-2017 VoorlichtingActieplanDataveiligheid 5

3.UitgangspuntenOpdrachtomschrijving

Opdrachtomschrijving

1. Ontwikkeleengezamenlijkonderschrevenwerkbareoplossingdieervoorzorgtdathet(huidige)gebruikvandecentraleregisters(CER,C-ARenTMR)doormarktpartijeninrelatietotniet-”eigenklanten”vollediginlijnwordtgebrachtmetdeeisenuitdeWbp enzoveelalsrealistischmetdepuntenvanACMenAP.

2. Maakduidelijkwelkeanderemaatregelennualdoornetbeheerders(incl.EDSN),deleveranciersenNEDUwordenofkunnenwordengenomenomhetbeschermingsniveauvandegegevensteverhogen(o.a.o.b.v.PIAnetbeheerdersendegezamenlijkegevraagdeadviezenvanBrinkhof.

Belangrijksteuitgangspunten

Gezamenlijkeketen-

verantwoordelijkheid

Toestemmingconsumentbij

gegevensverstrekking

Data-minimalisatie

Rechtmatigenjuistgebruikdata(registers)

Geschiktbeschermings-niveau gegevens

ConformWbp-wetgeving

Page 6: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

20-06-2017 VoorlichtingActieplanDataveiligheid

KLANTAfnemervanelektriciteitengas,wienspersoonsgegevensincentraleregisterswordenopgeslagen• houdtzekerheidvanvertrouwelijke,veiligeenjuistebehandelingvangegevens• heeft mogelijkheidtotvergelijkenvanaanbiedingenvanverschillendeleveranciers

3.UitgangspuntenDrieperspectievenbijhetopstellenvanhetactieplandataveiligheid

LEVERANCIERAanbiedervanelektriciteitengas,engebruikervanpersoonsgegevensuitcentraleregisters• wordtnietbeperktinmarktwerking• behoudtbestaandeprocessenzoveelmogelijk

NETBEHEERDERBeheerderenverstrekkervanpersoonsgegevensuitcentraleregisters

• heeftvoorafzekerheiddaterenkelgegevensverstrektwordenmettoestemmingvandeklantenvoorhetbetreffendedoel

• verhoogtopkortetermijndegegevensbescherming

6

Page 7: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

20-06-2017 VoorlichtingActieplanDataveiligheid 7

4.ActieplanDataveiligheidEenambitieuzeenintegraleaanpakvoorverhogingvangegevensbescherming

Hoogbeschermingsniveau

Klantstaatcentraal

Breedpakketaanmaatregelen

Breedgedragendoorsector

Behoudenmarktwerking

Page 8: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

Uitbreiding:(pre)switchen-inhuizing

Dataminimalisatie

20-06-2017 ActieplanDataveiligheid 8

4.ActieplanDataveiligheidFasestijdensoffrerenencontracteren

Borgingtoestemmingd.m.v.

Leveringscontract?

Leverancieropaansluiting?

FaseIIdentificerenaansluiting

FaseIIAanbodfase

FaseIIIPre-switch&pre-inhuizing

FaseIVLeverancieropaansluiting

û û ü ü

û û û ü

N.v.t. Klantsleutel&toestemmingssleutel Leveringscontract Leveringscontract

Basisgegevensaansluiting StandaardgegevenssetAoM (alleenbijswitch)

Standaardgegevenssetpre-switch&pre-inhuizing

Gegevensbenodigdvooruitvoeringleveranciersrol

Initiëlefocus:AanbodopMaat

Page 9: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

20-06-2017 VoorlichtingActieplanDataveiligheid 9

FilmVanvoornaamsteveranderingen

Page 10: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

20-06-2017 ActieplanDataveiligheid 10

4.ActieplanDataveiligheidOverigemaatregelen– reedsinganggezet

2.Voorlichtenmarktpartijen

inzakedataprivacy

3.Beperkendirectetoegangvoorderde

partijen

4.Standaardiserenaccountbeleid

1.Limiterenenmonitorenaantal

opvragen

5.Doorvoerendataminimalisatie

• Opvraaglimietperleverancier

• Continuemonitoring• Live:1april2017

• Onderaannemersenkeltoegangvialeverancier

• Bewerkers-overeenkomstnoodzakelijk

• Leverancierisverantwoordelijk

• Dataverzoekentotdepersoonherleidbaar

• Controleoptoegangsrechten

Page 11: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

20-06-2017 VoorlichtingActieplanDataveiligheid

HetActieplanisvantoepassingopallekleinverbruikers

• Consumenten• Kleinzakelijke klantenenmultisites

(Wbp nietaltijdvantoepassing)

Alleklantsleutelsvanbestaandeklantenmoeteninderegisterswordengezet

• Klantsleutelsaanleverenvoorregisters:veeladministratiefwerk

• Onderlingeafhankelijkheidleveranciers:AanbodopMaato.b.v.klantsleutel

11

5.Uitdagingen

Page 12: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

20-06-2017 VoorlichtingActieplanDataveiligheid 12

‘Hierbijwordtbovendienhetvolgendeonderuwaandachtgebracht.

Uitwet- enregelgevingvolgtde verplichtingdatnetbeheerders(periodiek)detoestemmingvan

potentiëleklantenaanleveranciersvoorhetgebruikvanhunpersoonsgegevenscontroleren.Deze

controleverplichtingmaaktonderdeeluitvandemaatregelendiedenetbeheerderinzijn

algemeenheidmoettreffenteneindeeenrechtmatigegegevensverurerking tekunnengaranderen.

HoewelhetActieplandedataveiligheidnaarverwachtingzalvergroten,merkende Ap endeACM

opdatdevoorgesteldecontrolesystematiekvandezetoestemminginhetActieplanonvolledigis.

DeAPendeACMvindenditeentekortkominginhetActieplanengaanervanuitdatstelselmatige

controlesintegraalonderdeeluitmakenvandegegevensvennrerkingen’

ExtractuitbriefACMenAP

Reactie ACMen APopaktieplan

Page 13: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

Dankvooruwaandacht.

Vragen?

Page 14: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

NieuwewerkwijzevoorhetverkrijgenvangegevenstenbehoevevaneenAanbodopMaat:1. Klantgeefttoestemmingenklantsleutel2. Leverancierlegttoestemmingdecentraal

vast3. Leveranciergenereerttoestemmingssleutel4. Leverancierdoetgegevensverzoekmet

klant- entoestemmingssleutel5. Netbeheerdercontroleertklantsleutels,

registreerttoestemmingssleutelenverstrektstandaardgegevensset

6. LeverancierdoetAanbodopMaataanklanto.b.v.standaardgegevensset

20-06-2017 ActieplanDataveiligheid 14

4.ActieplanDataveiligheidMaatregelenAanbodopMaat(faseII)

1 23

4

6

5

2

3

5

6

1

4

Page 15: 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders 20-06-2017 Voorlichting Actieplan Dataveiligheid 4 2. Projectinrichting Stakeholdervertegenwoordiging

20-06-2017 ActieplanDataveiligheid 15

4.ActieplanDataveiligheidMaatregelenpre-switchenpre-inhuizing (faseIII)

Nieuwewerkwijzevoorhetverkrijgenvangegevensnahetafsluitenvaneencontract,voorstartlevering:

1. Klantsluitovereenkomstmetnieuweleverancier

2. Leverancierdoetpre-registratieovereenkomstinCER

3. LeverancierdoetgegevensverzoekfaseIII4. Netbeheerdercontroleertpre-registratieinCER5. Netbeheerderlevertstandaardgegevensset

aanleverancier6. Leverancierstartvervolgprocessenobv

gegevensset- Bevestigencontractklant- Registratiecontracteindedatumenopzegtermijn- Voorbereidenlevering

1

2

3

4

6

1

2

4

3

6

5

5