Slides van een gastcollege aan de UT over privacy.

1. 1
Gastcollege privacy
Universiteit Twente
mr. drs. Walter van Holst, Mitopics
19 maart 2012

2. 2
Agenda
 Belang van privacy
 Wbp
 IT en privacy
 Doorgifte
 Toezichthouder

3. 3

4. 4

5. 5

6. 6
Wet bescherming persoonsgegevens
 Verwerken
 Persoonsgegevens
 Bijzondere
persoonsgegevens
 Verantwoordelijke
 Betrokkene

7. 7
Doel van de verwerking
 Toestemming van betrokkene
 Noodzakelijk wettelijke plicht (belasting)
 Noodzakelijk voor publieke taak (gemeenten)
 Noodzakelijk voor gerechtvaardigd belang
(goede bedrijfsvoering)
 tenzij het belang van de betrokkene zwaarder
weegt (direct mail)

8. 8
Verplichtingen
 Informatieplicht
 Inzageplicht
 Correctieplicht

9. 9
Maatregelen
 Technisch
 directe bescherming bij het verzamelen
 gebruik en opslag identificerende gegevens beperken
of achterwege laten
 Organisatorisch
 Richtsnoeren Cbp en witboek

10. 10
Veiligheid- en continuïteit
 Risico- en impactanalyse
 Risicoclassificatie (oud):
 Risicoklasse 0: Publiek niveau
 Risicoklasse I: Basisniveau
 Risicoklasse II: Verhoogd risico
 Risicoklasse III :Hoog risico

11. 11
Inhoud plan van aanpak
 Inventarisatie huidige situatie
 Doelstellingen
 Kosten en inzet
 Haalbaarheid
 Prioriteiten
 Planning
 Projectorganisatie (hoe)
 Uitvoering
 Externe auditors

12. 12
Inhoudelijk
 Beveiliging
 Informatiebeveiligingsbeleid
 Informatiebeveiligingsproces
 Informatiebeveiligingsorganisatie
 Risicoanalyse
 Gegevensuitwisseling
 Online gegevens
 Bedrijfsdocumenten en persoonsgegevens
 Incidentmelding

13. 13
Waarborgen van privacy
 Vier elementen
 Wet-en regelgeving
 Cultuur
 Externe partijen
 Beheersen

14. 14
Regelgeving
Beheersing Cultuur
Externerelaties
Compliance

15. 15
Beveiliging (regelgeving en werkprocessen)
 Is de wet- en regelgeving geïmplementeerd in
de werkprocessen?
 Hoe vaak kan men proberen in te loggen?
 Worden de wijzigingen in persoonsgegevens
gelogd?
 Worden persoonsgegevens op de juiste wijze
vernietigd?

16. 16
Beveiliging (cultuur)
 Mensen opleiden (bekendmaken
beveiligingsbeleid)
 Pasjes goed bewaren
 Clean desk policy
 Niet onder een andere naam doorwerken

17. 17
Beveiliging (externe relaties)
 Welke relaties verwerken persoonsgegevens?
 Zijn er bewerkersovereenkomsten?
 Is de continuïteit van mijn systeem contractueel
gewaarborgd?
 Beschikbaarheid
 Oplossen van storingen
 Faillissement van de leverancier

18. 18
Beveiliging (externe relaties vervolg)
 Beveiliging contractueel gewaarborgd
 Voldoen alle leveranciers aan NEN normen of code van
informatiebeveiliging
 Voldoen ze aan het beveiligingsbeleid van de
verantwoordelijke
 Vastleggen in overeenkomst
 Auditrechten Cbp/ controleren of voldaan wordt aan
privacy wet- en regelgeving.
 Bewerkersovereenkomst
 Beveiliging conform beveiligingsbeleid
 continuïteit

19. 19
Beveiliging (beheer)
 Risico’s zijn niet bekend en niet in kaart
gebracht
 Risico’s zijn globaal in kaart gebracht
 Welke maatregelen zijn er genomen om risico’s
te voorkomen.

20. 20
Doorgifte
 Persoonsgegevens buiten EU
 land een passend beschermingsniveau waarborgt
 Aard, doel en duur van de gegevens(verwerking),
 Algemene en sectoriële rechtsregels in derde land
 Naleving van beroepsregels en veiligheidsmaatregelen
 Geen waarborgen buiten de EU
 artikel 77 Wbp, o.a. toestemming

21. 21
Taken en bevoegdheden Cbp
 Advies (wetgeving en doorgifte)
 Voorlichting
 Toetsing (reglementen en gedragscodes)
 Onderzoek (ambtshalve, melding, voorafgaand)
 Ontheffing (verbod bijzondere gegevens)
 Bemiddeling en klachtbehandeling
 Handhaving

22. 22
Toekomst
 Richtlijn wordt herzien -> verordening
 Hoofdpunten:
 Meldplicht lekken
 Afschaffen meldplicht gegevensverwerking
 Stroomlijning toezicht
 Boetes bij schendingen

23. 23
Vragen?