Data Protection Impact Assessment (DPIA) · PDF filePrivacy Management en de AVG Respect to...

[ 28 januari 2015 ]

Data Protection

Impact Assessment (DPIA)

van Theorie naar Praktijk

[ 28-01-2015 ] | [ Privacypaleis: Wolter Karssenberg ] 2


Data Protection Impact Assessments: agenda

1. Wat zegt de Algemene Verordening Gegevensbescherming?

2. Hoe productief privacy management toepassen en integreren?


Privacy Management en de AVG

Respect to risk

oog voor risico

32a AVG

Impact Assessment

privacyeffect-beoordeling 32a, 33 AVG

Compliance Review

nalevingscontrole gegevens-

bescherming 33a AVG

ResponsibilityAccountability

verantwoordelijk-heden

verantwoordings-plicht

22 AVG

Certification

certificering 39 AVG


AVG over Oog voor risico

▶ EU Parlement (32a AVG):

– Risico-analyse op effecten op rechten en vrijheden betrokkenen

– Beoordeling of verwerking specifieke risico’s inhoudt

▶ EU Commissie, Raad van de EU: geen separate risico-analyse opgenomen


AVG over Privacyeffectbeoordeling - Algemeen

▶ Europees Parlement (Ovw 71a AVG)

– Essentiële spil van elk duurzaam gegevensbeschermingskader

– Vanaf allereerste begin bewust van mogelijke gevolgen

– Bij grondige uitvoering, kans op inbreuk verregaand beperkt

– Betrekking op de gehele levenscyclus van persoonsgegevens


AVG over Privacyeffectbeoordeling - Wanneer

▶ EU Commissie (33 AVG)

▶ Verwerkingen met bijzondere risico’s gezien aard, reikwijdte of doeleinden Met name:

– Beoordeling persoonlijkheid voor analyse en voorspelling waaraan rechtsgevolgen zijn verbonden of die aanzienlijk treffen

– Bijzondere categorieën voor nemen maatregelen en besluiten (grote schaal)

– Bewaking openbaar toegankelijke ruimten, m.n. videobewaking (grote schaal)

– Kinderen en genetische of biometrische gegevens (grote bestanden)

– Specifieke risico's voor de rechten en vrijheden betrokkenen



▶ EU Parlement (32a AVG)

▶ Zie EU Commissie, aanvullend:

– > 5.000 betrokkenen / jaar

– Werknemers (grote bestanden)

– Gezondheidszorg voor nemen van maatregelen en besluiten (grote schaal)

– Wschl negatieve gevolgen voor privacy, rechten, gerechtvaardigde belangen

– Regelmatige en stelselmatige observatie (gezien aard, omvang en doel)



▶ Raad van de EU (33 AVG)


– Verwerkingen die door de toezichthouder zijn benoemd.

– Risico’s zoals: discriminatie, identiteitsdiefstal of –fraude, financiële schade, reputatieschade, schending van pseudonimiteit, verlies vertrouwelijkheid bij geheimhoudinsgplicht, belangrijk economisch en sociaal nadeel


AVG over Privacyeffectbeoordeling - Wat

▶ EU Commissie en Raad van de EU (33 AVG)

– Algemene beschrijving verwerking

– Beoordeling van de risico’s voor rechten en vrijheden betrokkenen

– Maatregelen risicobeperking

– Waarborgen, beveiligingsmaatregelen en mechanismen die bescherming persoonsgegevens verzekeren en aantonen dat aan verordening is voldaan



▶ EU Parlement (33 AVG)


– Beschrijving doeleinden, gerechtvaardigde belangen

– Beoordeling noodzaak en evenredigheid verwerking m.b.t. doel

– Beoordeling risico's voor rechten en vrijheden betrokkenen, incl. discriminatie

– Maatregelen minimaliseren hoeveelheid persoonsgeg’s

– Bewaartermijnen

– ()




– ()

– Uitleg toegepaste privacy by design en by default praktijken

– (Categorieën) ontvangers persoonsgegevens

– Voorgenomen doorgiften gegevens naar een derde land

– Beoordeling context gegevensverwerking

– Schema periodieke nalevingscontroles


AVG over Nalevingscontrole – Wanneer en Wat

▶ EU Parlement (33a AVG)

– Tenminste tweejaarlijks of onmiddellijk nadat specifieke risico’s van verwerking zijn gewijzigd

– Uit nalevingscontrole moet blijken dat gegevens zijn verwerkt overeenkomstig de privacyeffectbeoordeling

– Indien nalevingsinconsistenties: aanbevelingen voor volledige naleving

– Documentatie nalevingscontrole desgevraagd ter beschikking toezichthouder

▶ EU Commissie, Raad van de EU: geen nalevingscontrole opgenomen


AVG over Verantwoordingsplicht – Wat

▶ EU Commissie (22 AVG)

– Beleid en maatregelen om ervoor te zorgen en te kunnen aantonen dat verwerking in overeenstemming met Verordening wordt uitgevoerd Dit betreft met name (verwijzing naar andere verplichtingen):

• Bewaren documentatie (cf. 28 AVG)

• Voldoen aan beveiligingsplicht (cf. 30 AVG)

• Uitvoeren van privacyeffectbeoordeling (cf. 33 AVG)

• Voldoen aan eisen voorafgaande toestemming of raadpleging (cf. 34 AVG)

• Aanwijzen Functionaris voor de Gegevensbescherming (cf. 35 AVG)

– Mechanismen voor toetsen doeltreffendheid maatregelen ingesteld




▶ Zie EU Commissie, geen verwijzingen naar andere verplichtingen, maar aanvullend

– Transparant

– Rekening houdend met:

• Stand van de techniek

• Soort, context, omvang en doel verwerking

• Risico’s voor rechten en vrijheden van betrokkenen

• Type organisatie

– Nalevingsbeleid en -procedures, tweejaarlijks te evalueren

– In staat doeltreffendheid en toereikendheid maatregelen aan te tonen



▶ Raad van de EU (22 AVG)

▶ Zie EU Commissie, geen verwijzingen naar andere verplichtingen, maar aanvullend

– Rekening houdend met:

• Soort, scope, context en doel verwerking

• Risico’s voor rechten en vrijheden van betrokkenen

– Implementatie van gegevensbeveiligingsbeleid (indien proportioneel)

– Relatie met gedragscodes (cf. 38 AVG) en certificering (cf. 39 AVG)


AVG over Certificering – Wat

▶ EU Commissie, Raad van de EU (39 AVG)

– Bevorderen certificeringsmechanismen voor zegels en merktekens waardoor betrokkenen niveau van gegevensbescherming kunnen beoordelen

▶ EU Parlement

– Verantwoordelijke kan toezichthouder verzoeken overeenstemming verwerking met verordening te certificeren (Europees gegevensbeschermingszegel)

– Certificering is vrijwillig, betaalbaar en toegankelijk via een transparant en niet onnodig zwaar proces


Privacy Management Program (PMP)

▶ Definitie PMP

– Strategisch kader voor bouwen robuuste privacy infrastructuur

▶ Doelstellingen PMP

– “Van theorie naar praktijk” als het gaat om privacybescherming

– Privacybescherming als onderdeel corporate governance verantwoordelijkheden

– Privacy risicomanagement als onderdeel organisatiebrede risicomanagement


Privacy Management Program (PMP)

▶ Randvoorwaarden voor een effectief, efficiënt en duurzaam PMP

Géén: Dús

Schaamlap Organiseer topmanagement support

Monopolie Bemens multidisciplinair

Afvoerputje Toets juiste kennis, ervaring, competenties, drive

Nieuw wiel Integreer in staande processen, methoden, technieken


Privacy Management Program

Enterprise Risk Management

Development

Legal

Quality and security

PbD

PET

Ris

k

An

aly

sis

Privacy Risk Management

Production

Imp

act

Assessm

t

Com

pli

an

ce R

evie

w

Accou

nta

bil

ity

Cert

ific

ati

on


Privacy Management en de AVG

Respect to risk

oog voor risico

32a AVG

Impact Assessment

privacyeffect-beoordeling 32a, 33 AVG

Compliance Review

nalevingscontrole gegevens-

bescherming 33a AVG

ResponsibilityAccountability

verantwoordelijk-heden

verantwoordings-plicht

22 AVG

Certification

certificering 39 AVG


Be good and tell about it!

© 2014 NOREA. Deze vertrouwelijke informatie van NOREA is alleen te gebruiken door de ontvanger. Dit document, of welk onderdeel ervan dan ook, mag niet gereproduceerd of verspreid worden, zonder schriftelijke toestemming vooraf van NOREA.

[ 28 januari 2015 ]

Bedankt

Voor meer informatie kun je contact opnemen met:

[ Wolter Karssenberg RE ] [ 06-22393749 ]

Data Protection Impact Assessment (DPIA) · PDF filePrivacy Management en de AVG Respect to...

Documents

Transcript of Data Protection Impact Assessment (DPIA) · PDF filePrivacy Management en de AVG Respect to...