Privacy onderzoeken in het kader van de meldplicht Datalekken

Informatie wordt steeds vaker in grotere volumes gedigitaliseerd en informatie moet altijd en overal beschikbaar zijn. Deze verandering heeft als gevolg dat digitale informatie steeds meer waarde vertegenwoordigt voor iedereen binnen onze moderne samenleving. Deze waarde wordt uitgedrukt als de ‘te beschermen belangen’. Het is van belang te weten wat de ‘te beschermen belangen’ zijn en vast te stellen welke waarde hierin wordt vertegenwoordigd. Aan de hand van deze waarde kunnen de juiste prioriteiten worden gesteld bij het selecteren van maatregelen om de gegevens te beschermen.

Om de privacy van burgers te beschermen worden wetgevingen inzake persoonsgegevens op nationaal en internationaal niveau gemoderniseerd. Op 1 januari 2016 is de Wet bescherming persoonsgegevens aangescherpt. Deze wijziging is beter bekend als de Meldplicht Datalekken. Sinds 1 januari 2016 is het voor persoonsgegevensverwerkende organisaties verplicht om melding te maken wanneer sprake is van toegang tot, vernietiging, wijziging of lekken van persoonsgegevens zonder dat dit de bedoeling is van de organisatie. Tevens is de Europese verordening bescherming persoonsgegevens in ontwikkeling en zal deze op termijn de huidige richtlijn 95/46/EG vervangen. Hierbij wordt de aanpak van privacy op Europees niveau gemoderniseerd en krijgen handhavers meer bevoegdheden om overtreders aan te pakken. De verorderning wordt naar verwachting in 2018 geimplementeerd.

Deze ontwikkelingen vraagt organisaties aantoonbaar te maken dat afdoende passende technische en organisatorische maatregelen zijn getroffen om datalekken vroegtijdig te signaleren en te voorkomen. Noordbeek ondersteunt bij het inzichtelijk maken of op een veilige en rechtmatige wijze wordt gewerkt.

Een Privacy Impact Assessment (PIA) heeft als doel in een vroeg stadium zicht te krijgen op de mogelijke privacy risico’s en de noodzakelijke door te voeren privacybeschermende maatregelen in de technologie en organisatie. Een PIA kan afhankelijk van de behoefte of volwassenheidsniveau van een organisatie op verschillende wijzen worden ingestoken.

Privacy Impact Assessment (PIA)

Bij een volledige PIA wordt getoetst of de verwerking van persoonsgegevens voldoet aan de eisen uit de Wet bescherming persoonsgegevens (Wbp). Het object van onderzoek wordt in overeenstemming met de organisatie bepaald. De analyse kan worden uitgevoerd op de gehele organisatie, een bedrijfsproces, een applicatie of een project. Onze werkwijze is gebaseerd op de handreiking Privacy Impact Assessment van NOREA en het Toetsmodel Privacy Impact Assessment Rijksdienst. Er wordt onder andere gekeken naar de rechtsgrond voor een verwerking, meldingsplicht, inzagerecht, dataminimalisatie, verwijdertermijnen en afspraken met eventuele bewerkers. Het resultaat van een PIA is een rapportage van bevindingen in hoeverre de organisatie voldoet aan de vooraf gestelde eisen.

Privacy scan

Een privacy scan heeft een minder formeel karakter. Wanneer een organisatie nog geen duidelijk beeld heeft op welke gebieden er privacy risico’s zijn en hulp nodig heeft bij de beveiliging van deze gegevens kunt u besluiten een privacy scan te laten uitvoeren. Hiervoor wordt er voor de gehele organisatie nagegaan waar persoonsgegevens worden opgeslagen, verwerkt en of aan de wettelijke eisen wordt voldaan. Per verzameling persoonsgegevens wordt inzichtelijk gemaakt wat de risico’s zijn van diefstal, verlies of misbruik en wat de mogelijke impact is voor de organisatie. Tevens wordt onderzocht in hoeverre de risico’s door maatregelen worden gemitigeerd en of sprake is van restrisico’s. Indien dit het geval is, wordt een voorstel gedaan voor mitigerende maatregelen.

Voor wie

Met de komst van de Meldplicht Datalekken is het uitvoeren van een PIA aan te raden voor alle typen organisaties die persoonsgegevens verwerken.

De voordelen van een PIA of Privacy Scan

  • Inzicht waar en wat voor persoonsgegevens binnen de organisatie worden opgeslagen en verwerkt;
  • Aantoonbaar voldoen aan de Wet meldplicht datalekken door de implementatie van maatregelen ter beveiliging van persoonsgegevens en het komen tot een procedure voor het melden van datalekken;
  • Het versterken van het vertrouwen van klanten, werknemers of burgers in de wijze waarop persoonsgegevens worden verwerkt en privacy wordt gerespecteerd;
  • Beter inzicht in een dienst of systeem wat tot (efficiëntie) verbeteringen kan leiden;
  • Verhoging van het privacy bewustzijn binnen de organisatie;
  • Kostenreductie op het moment dat een PIA bij aanvang van een ontwikkeltraject of project wordt uitgevoerd. Het is immers goedkoper om iets in de ontwerp- of initiatiefase aan de passen dan als het in productie is, of onderdeel uitmaakt van de staande organisatie.

De resultaten

U ontvangt een rapport van bevindingen. Tevens wordt geadviseerd welke maatregelen kunnen worden getroffen om het risico op een datalek en de gevolgen daarvan waar mogelijk te mitigeren.