O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Privacy management volgens de nieuwe Europese regelgeving: Lezing 13/10/2014

1.428 visualizações

Publicada em

Interesse in trending topics zoals Informatie en Privacy Management? Op 13 november organiseerde het BICC Thomas More een lezing om te informeren over grondige wijzigingen die ons allemaal zullen raken als persoon en organisatie: begin 2016 zal er immers een nieuwe Europese Privacywet (de General Data Protection Regulation) in voege treden die een aanzienlijke hervorming betekent van de verwerking van persoonsgegevens in heel Europa.

Tijdens deze informatieavond heeft Peter Berghmans een inleiding gegeven in de problematiek. Is Privacy dood?

De gastspreker voor deze avond was Bart van Buitenen. Als trendwatcher én Data Protection Officer adviseert hij klanten in de publieke en private sector dagelijks op het gebied van privacy en informatieveiligheid. Bart kent dan ook als geen ander de ontwerptekst van de nieuwe Europese verordening en heeft inzicht gegeven in de meestgehoorde vraag rond deze nieuwe wetgeving: wat betekent de nieuwe Europese Privacywet nu voor ons als organisatie?

Bart van Buitenen is een Security en Toegepaste Privacy consultant met ervaring binnen zowel Federale als Vlaamse instellingen en ministeries. Binnen deze organisaties is hij betrokken bij de toepassing van de Privacywet vanuit zijn rol als veiligheidsconsulent. In totaal is hij al meer dan 12 jaar actief binnen diverse IT-, controle- en auditfuncties bij overheden, multinationals en KMO’s waarvan de laatste vier jaar specifiek op het gebied van informatiebeveiliging en de bescherming van persoonsgegevens.
Vanuit deze diverse achtergrond is Bart uitstekend in staat om tijdens de opleidingen en in de praktijk de link te leggen tussen aan de ene kant de privacywet en informatiebeveiliging en aan de andere kant de toepassing hiervan binnen complexe organisaties en IT-omgevingen.

Peter Berghmans is een Security & Privacy specialist. Als veiligheidsconsulent voor GZA ziekenhuizen adviseert hij het ziekenhuis om hun informatieveiligheid te optimaliseren. Vanuit deze ervaring tracht hij informatieveiligheid te optimaliseren binnen de gezondheidssector, onder meer als lesgever voor de FOD Volksgezondheid. Hij werkt bovendien als veiligheidsconsulent voor de Vlaamse instellingen.
Les geven zit in zijn bloed: hij doceert onder andere het topic Informatieveiligheid aan de Thomas More Hogeschool en bouwt er als onderzoeker mee aan het Business Intelligence Competence Center en het Mobilab platform. Daarbuiten is hij betrokken bij de uitbouw van informatieveiligheid bij Vlaamse steden en OCMW’s, onder meer als auditor samen met AudiO.

Deze lezeing vond plaats op Donderdag 13 november 2014 in Campus De Ham van Thomas More Mechelen

  • Seja o primeiro a comentar

Privacy management volgens de nieuwe Europese regelgeving: Lezing 13/10/2014

  1. 1. 1 Privacy 1948 – 2014
  2. 2. Is Privacy Dead? 1/10 2
  3. 3. Is Privacy Dead? 2/10 3
  4. 4. Is Privacy Dead? 3/10 4
  5. 5. Is Privacy Dead? 4/10 5
  6. 6. 6Is Privacy Dead? 5/10
  7. 7. 7Is Privacy Dead? 6/10
  8. 8. 8Is Privacy Dead? 7/10 Bron: Jaguar owner’s manual
  9. 9. 99Is Privacy Dead? 8/10
  10. 10. 1010Is Privacy Dead? 9/10 Bron: Itunes Rijd je te snel of ben je vaak op drukke (en dus minder veilige) trajecten te vinden. Dan dreig je straks meer te betalen voor je autoverzekering. Rijd je veilig en meestal op kalme wegen, dan krijg je korting. Dat is althans de weg die steeds meer verzekeraars op willen (destandaard.be).
  11. 11. • The database with CV’s is leaked • The data came from an organization helping unemployed people to find employment • The data come from an institution supporting gay people rights • The data come from an organization helping recovering gay drug addicts to find employment. 11Is Privacy Dead? 10/10
  12. 12. 12 Privacy 1950 – 2014
  13. 13. Privacy en de General Data Protection Regulation ... en wat houdt de GDPR in
  14. 14. Wie ben ik? Bart van Buitenen • Veiligheidsconsulent • Data Protection Officer • Docent • Informatieveiligheid Professioneel dagelijks bezig met informatieveiligheid en privacy en de impact ervan op ons dagelijks leven
  15. 15. Waarom doet privacy er toe? Waarom privacy méér is dan iets willen verbergen
  16. 16. 'If you have something you don’t want anyone to know, maybe you shouldn’t be doing it in the first place'
  17. 17. Heb je iets te verbergen? Ieder heeft dingen die hij liever niet aan de grote klok hangt: • Criminele activiteiten • Dingen waar je je voor schaamt • Of andere redenen waarom je simpelweg iets voor jezelf wilt houden Maar eigenlijk gaat dit voorbij aan belangrijkere principes die privacy vertegenwoordigd, het is meer dan “iets te verbergen hebben” Dit is ook de reden waarom het (mogelijk) opsporen van criminelen niet voldoende argumentatie is om privacy inbreuken als “collateral damage” te zien
  18. 18. Vrijheid van denken, persoonlijke ontwikkeling Vrijheid van meningsuiting en de mogelijkheid tot het onderzoeken van iets nieuws hangen nauw samen aan privacy • Monitoring of controle leidt tot conformiteit, niet tot innovatie • Kritiek kunnen en mogen uiten, zonder dit meteen met de hele wereld te delen, leidt tot nieuwe denkbeelden en ideeen • Niet alle keuzes die wij in ons leven maken moeten onbeperkt herinnerd blijven
  19. 19. Sociale interacties Hoeveel sociale interacties zouden veranderen als men alles van elkaar wist? Privacy maakt veel van onze sociale interacties mogelijk: • Iemands reputatie beinvloedt zijn interacties • Aangepaste gebruiken of omgangsvormen afhankelijk van context • Natuurlijke grenzen aan interacties: werkomgeving, thuissituatie, school of universiteit Iedereen heeft behoefte aan een persoonlijke ruimte die hij of zij zelf controleert
  20. 20. Huidige maatschappij dankzij privacy • Een vrije maatschappij vs. een gecontroleerde maatschappij • Ondanks vele bezwaren en reeds bestaande inbreuken op privacy: al met al leven we in vrije maatschappij • Kennis is macht, en het recht op privacy beheert en controleert die macht • Kennis over ons doen en laten beinvloedt ons leven: of we wel of geen lening krijgen, of we aangenomen worden voor een job, of we onderdeel zijn van een onderzoek door politie of justitie
  21. 21. Ton Siedsma, de lopende metadata generator Activeerde app op zijn telefoon, ging louter om meta data verzamelen -> geen inhoudelijke gegevens, niet wat hij communiceert Maar wel • Welk nummer • Met wie (bellen, mailen, whatsapp) • Wanneer • Van waaruit (waar is de telefoon) https://decorrespondent.nl/528/Hoe-je-onschuldige-smartphone-bijna-je-hele-leven-doorgeeft-aan-de-geheime- dienst/25712016-b07ce737
  22. 22. Verzamelen, minen, profileren • Veel bedrijven en/of (sommige) overheden zouden graag zoveel mogelijk data onbeperkt verwerken, en lang niet altijd met kwade bedoelingen, maar voor: • Betere dienst verlening • Meer winst • Dienen van de burger Niet allemaal even nobel maar zelden bewust “evil”, echter in de tijd van “the internet of things” kan op het oog onschuldige data veel meer onthullen dan we denken Ook in deze gedigitaliseerde maatschappij de basis principes van de verwerking van persoonsgegevens niet vergeten: • Finaliteit: verzamelen voor een welbepaald specifiek doeleinde • Proportionaliteit: niet meer verzamelen dan nodig voor dit doeleinde • Transparantie: betrokkene weet precies hoe of wat, geeft toestemming of trekt die in
  23. 23. Enter: General Data Protection Regulation Een broodnodige update aan privaywetgeving
  24. 24. De hoogste tijd • Tijd voor nieuwe wet: • Originele richtlijn waar wet op is gebaseerd dateert van ’96 met update in 2001 • Ter illustratie: • Facebook: februari 2004 • Twitter: maart 2006 • Linkedin: mei 2003 • Kortom, een andere tijd • Tijd voor een Europese wet • Ieder land heeft zijn eigen interpretatie gemaakt van de oorspronkelijke richtlijn • Geen richtlijn meer maar een verordening
  25. 25. Tijdslijn en stand van zaken • 25 januari 2012: Commissie kondigt GDPR aan • 21 oktober 2013: Europees Parlement (EP) heeft “Compromise Text”, definitieve draft na maandenlange onderhandelingen tussen verschillende EP commisies • [ongoing]: Raad van Europa werkt aan zijn eigen draft • Oktober 2014: laatste grote update rond wijzigingen sectie IV • [ongoing]: RvE en EP gaan in discussie over finale versie • [ongoing]: finale versie wordt vastgesteld • 01-01-2016: General Data Protection Regulation treedt in werking met een overgangsperiode van max. 2 jaar • Timing eind 2015 in juni 2014 bevestigd door Viviane Reading (destijds nog Eurocommissaris Justitie) • Recent opnieuw bevestigd door Juncker (nieuwe Commissie voorzitter)
  26. 26. Belangrijkste aspecten GDPR Wat zijn de hoofdlijnen in de GDPR, met nadruk op bedrijven
  27. 27. Territoriale Scope Waar geldig? • Grondgebied van de EU, de lidstaten • Niet enkel fysieke aanwezigheid: vestiging op EU grondgebied niet noodzakelijk • Zaken doen in de EU • Producten of diensten aanbieden die gericht zijn op EU burgers
  28. 28. One Stop Shop Bedrijf met vestigingen doorheen de EU heeft één Data Protection Authority (DPA) aanspreekpunt voor al zijn data verwerkingen op EU grondgebied Algemene insteek: • One Stop Shop geldt automatisch bij verwerkingen in meerdere vestigingen • Eén DPA zal uitspraken doen over een bedrijf die geldig zijn over gehele EU • Nog zwaar bediscussieerd vanwege praktische implicaties • Moet, bij data verwerkingen in meerdere EU lidstaten, een One Stop Shop mechanisme automatisch zijn of kan men de keuze hebben om er geen gebruik van te maken? • Hoe voorkom je “one stop shop” shopping? (door specifieke vestiging te kiezen) • Kan één DPA wel instaan voor alle issues die in een andere lidstaat kunnen ontstaan? • Zullen uitspraken of opdrachten aan een bedrijf in lidstaat A wel uitvoerbaar zijn in alle andere lidstaten? • Is het wenselijk als een betrokkene voor zijn issues naar de Italiaanse DPA moet?
  29. 29. Toestemming betrokkene (art. 7) Bestaat ook in huidige privacywet reeds, maar wordt uitgediept: • Bewijslast voor bestaan toestemming ligt bij controller • Wanneer de toestemming wordt verkregen in een grotere algemene context dient de toestemming specifiek en onderscheiden zichtbaar te zijn • Betrokkene kan toestemming intrekken en moet dan geinformeerd worden over mogelijke gevolgen • Toestemming is gerelateerd aan specifiek doeleinde en vervalt indien dit doeleinde niet langer van toepassing is
  30. 30. Toestemming betrokkene (art 7)
  31. 31. Toestemming betrokkene (art 7)
  32. 32. Inzage recht betrokkene (art. 12) • Indien verwerkingen automatisch gebeuren zal een controller zorgen voor eveneens automatische mogelijkheden tot uitoefening inzage recht • Gratis, tenzij de betrokkene overdrijft (frequentie en/of omvang): redelijke bijdrage
  33. 33. Data Portability (art 15 2a) Wanneer een betrokkene zijn data heeft verstrekt en deze wordt electronisch verwerkt heeft hij het recht op: • De verstrekking van deze data in electronische vorm, • Op een wijze die interoperabel is (niet software afhankelijk), • En die verder gebruik niet afhankelijk maakt van de controller • Wanneer realistisch mogelijk dient de data van controller naar controller te worden doorgegeven Doel van deze clausule is het voorkomen van “vendor lock-in” voor een betrokkene, hoe men dit in de praktijk wil gaan uitwerken zal nog enige voeten in de aarde hebben
  34. 34. Right to be forgotten / to erasure (art. 17) • Betrokkene heeft recht om verwerkte informatie over hem of haar te laten verwijderen wanneer: • De data niet langer noodzakelijk is voor het doeleinde • De betrokkene zijn toestemming intrekt, de bewaartermijn is verstreken of er geen wettelijke basis meer is • De betrokkene zich verzet tegen de wijze van verwerking (zie ook art 19 rond bezwaar) • Een rechtbank besluit definitief dat de data vernietigd moet worden • De data is onrechtmatig verwerkt Wat ontbreekt (nog): voorwaarde die in artikel 7 en 19 (right to object) wel staat, nl. de mogelijkheid moet expliciet duidelijk gemaakt worden aan de betrokkene
  35. 35. Right to be forgotten / to erasure (art. 17) Bekendste voorbeeld: Google rechtszaak bij European Court of Justice • https://support.google.com/legal/contact/lr_eudpa?product=websearch
  36. 36. Right to be forgotten (art. 17) • Right to be forgotten is geen vrijgeleide om onwelvallige informatie te laten verwijderen
  37. 37. Datalek notificatie (art. 31 en 32) Twee aspecten: • Verwittigen DPA binnen 72 uur • Indien mogelijk inbreuk op privacy, gerechtvaardigd belang of de rechten van de betrokkene dient ook de betrokkene verwittigd te worden “without undue delay” • DPA dient een publiek register bij te houden Meest concrete gevolgen: • Vertrouwen van klanten/betrokkenen • reputatieschade
  38. 38. Datalek notificatie (art. 31 en 32) Opvallend: In de top 10 zijn 5 van 10 incidenten uit de laatste twee jaar. -> datalekken komen niet noodzakelijk vaker voor, maar als ze gebeuren zijn ze wel veel groter en de gevolgen dus ook Bron: datalossdb.org
  39. 39. Uitvoeren Data Protection Impact Assessment (art 33) Indien het gaat om een mogelijk risicovolle verwerking of een verwerking met potentieel grote gevolgen voor de betrokkene dient er een Data Protection Impact Assessment uitgevoerd te worden. DPIA bevat onder andere: • Een beschrijving van de beoogde processen • Een toelichting mbt deze processen in relatie tot beoogde doeleinde • Overzicht van mogelijke risico’s voor de betrokkenen • Lijst met veiligheidsmaatregelen die genomen zullen worden • Bewaartermijnen • Lijst met ontvangers van de data Een DPIA is beschikbaar, op verzoek, voor de DPA
  40. 40. New York en 20gb aan taxi ritjes • Maart 2014 krijgt Chris Whong toegang tot 20 gb aan taxirit informatie over 2013 • Op het oog anoniem, zie kolom Medaillon (taxi nr) en License, verder info over prijs, fooi, GPS coordinaten, etc.
  41. 41. New York en 20gb aan taxi ritjes • Eén taxi chauffeur leek echter wel heel veel ritjes te maken: • CFCD208495D565EF66E7DFF9F98764DA • Dit getal bleek de MD5 hash van het getal 0 • Met de wetenschap dat de “anonimisering” gebeurde met een MD5 hash konden alle taxi nummers en license nummers ontcijferd worden • Wat kan men hiermee? B.v. • Jaarlijkse inkomen van taxi chauffeur • Rijdt hij wel eens te snel? • Of omgekeerd, maakt hij omwegen? Maar interessanter: passagiers info
  42. 42. New York en 20gb aan taxi ritjes • Hollywood sterren worden overal gefotografeerd, ook als ze in een taxi stappen • Met de info wanneer een ster instapte in welke taxi en waar kan alle info van de rit worden uitgelezen • Bv: wel of geen fooi, waar gingen ze heen: niet schokkend, maar wel informatie die voordien niet bschikbaar was Bron: http://research.neustar.biz/2014/09/1 5/riding-with-the-stars-passenger- privacy-in-the-nyc-taxicab-dataset/
  43. 43. Aanstellen Data Protection Officer (art. 35-37) In definitieve draft van Europees Parlement spreekt men over verplichte aanstelling van een DPO indien: • De verwerking gebeurt door een overheidsinstelling • De verwerking gebeurt door een rechtspersoon en meer dan 5.000 data subjects betreft over een aaneengesloten periode van 12 mnd. • De verwerking betreft gevoelige persoonsgegevens • Het verwerkingen betreft die leiden tot het systematisch en structureel monitoren van data subjects Let op: in een eerste versie van de RvE over dit artikel zet men in op géén verplichte aanstelling DPO -> gezien de risico gebaseerde aanpak zal dit moeilijk standhouden
  44. 44. Administratieve sancties (art 79) Een groot manco van de huidige privacywet wil men aanpakken: handhaving. De verordening bevat onder andere specifieke sancties bij niet naleven die de DPA kan opleggen: • Een brief in het geval van eerste of onregelmatige overtreding • Regelmatige audits door de DPA • Boete van €100.000.000,- of 5% jaarlijkse omzet Concrete invulling hiervan zal nog veel voer voor discussie zijn
  45. 45. Administratieve sancties (art 79) ICO heeft deze mogelijkheid ook vandaag reeds:
  46. 46. Een nieuw kader voor de verwerking van persoonsgegevens De GDPR is niet perfect maar betekent een grote stap voorwaarts op het gebied van de bescherming van persoonsgegevens • Ondanks de vele becijferingen zullen de kosten m.i. wel meevallen • Google’s en Facebooks van deze wereld zijn ten onrechte bang dat hun business model in het water valt • Genoeg mensen hebben, in ruil voor hun diensten, geen enkele moeite met het verstrekken van hun gegevens • Maar belangrijkste aspect van de GDPR: men zal er transparant over moeten zijn • Kleine ondernemingen worden mogelijk voor het eerst geconfronteerd met nieuwe wetgeving • Op termijn zal het echter de norm zijn • het is een kleine prijs om in onze steeds verregaandere digitale samenleving de controle over gegevens te houden waar hij hoort: bij de betrokkene
  47. 47. Bedankt! Bart@lorica.be

×