De Data Protection Officer Astrid Gobardhan AdvocaatDPO NIBC
De Data Protection Officer Astrid Gobardhan Advocaat/DPO NIBC Bank N. V. November 2017 1 1 1
The information given is confidential and is not to be circulated to any person or entity without the consent of NIBC Bank N. V. (“NIBC”). The information and opinions presented here have been obtained or derived from sources believed by NIBC to be reliable at the date of publication of this report. No representations are made as to their accuracy or completeness and they are subject to change without notice. NIBC accepts no liability for loss arising from the use of the figures presented. The presentation and/or the information and opinions presented are not to be relied upon in substitution for the exercise of independent judgement. 2
Inhoud § POSITIONERING IN DE ORGANISATIE Ø VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO Ø SAMENWERKING MET ISO, IT, LEGAL, COMPLIANCE, AUDIT, ETC Ø POSITIONERING BINNEN DE ORGANISATIE EN EXTERNE STAKEHOLDERS Ø KENNIS OVER CLOUD EN BEVEILIGING Ø VERHOGEN PRIVACY AWARENESS, HOE EN BIJ WIE? Ø EEN PRIVACY INCIDENT, WAT NU? • PRIVACY PROGRAMMA 3
POSITIONERING IN DE ORGANISATIE 4 4 4
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO § Artikel 62, 63 en 64 Wbp: Indien de functionaris wordt aangesteld, dan dient deze op onafhankelijke wijze toezicht te kunnen uitoefenen op de naleving van de Wbp (en eventueel van toepassing zijnde gedragscode) binnen de organisatie of branche waar hij is aangesteld. Om zijn toezicht daadwerkelijk te kunnen uitoefenen, is het noodzakelijk dat de functionaris toegang heeft tot alle systemenen waar mogelijk gegevens worden verwerkt. Treft de functionaris onregelmatigheden aan, dan ligt in zijn taakopdracht en in zijn aanstelling besloten dat hij daarover verslag uitbrengt aan de verantwoordelijk of de organisatie waardoor hij is aangesteld. Hij heeft een adviserende rol tegenover de verantwoordelijke en in gevallen van twijfel kan hij overleggen met het CBP. Het is aan de verantwoordelijke om te beslissen of hij het advies van de functionaris opvolgt. De functionaris heeft geen verplichting onregelmatigheden te melden bij het CBP. Daar staat tegenover dat het CBP te allen tijde zijn beboegdheden kan uitoefenen, ook al is er een functionaris aangesteld binnen de organisatie of branche. 5
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO § Artikel 63 en 64 Wbp Privacycommissie Deze artikelen gaan uit van een individuele funtionaris. Daar waar er privacycommissies werkzaam zijn, is het dus nodig dat een van de leden de veranwtoordelijkheid op zich neemt voor het uit te oefenen toezicht. Hij kan zich laten vertegenwoordigen door anderen; bijvoorbeeld leden van een privacycommissie. Dit staat echter los van de verantwoordleijkheid van de individuele functionaris Toereikende kennis De toezichthoudende functionaris moet over toereikende kennis beschikken. Hieronder wordt verstaan kennis van de organisatie, de gegevensverwerkingen die zich binnen de organisatie afspelen, de belangen die daarbij betrokken zijn en uiteraard kennis van de privacywetgeving die op de verwerkingen binnen zijn organisatie van toepassing is. 6
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO Betrouwbaar De toezichthoudende functionaris moet bovendien voldoende betrouwbaar zijn. Bijvoorbeeld door in staat te zijn alle bij de verwerkingen betrokken belangen op een onafhankelijke wijze tegen elkaar af te wegen. De functionaris moet in staat zijn op een juiste en zorgvuldige wijze gebruik te maken van zijn bevoegdheden zoals geregeld in afdeling 5. 2 van de Algemene Wet Bestuursrecht Informeren CBP Het CBP moet op de hoogte gebracht worden van de naam van de functionaris om met hem contact te kunnen onderhouden in geval navraag wordt gedaan over gegevensverwerkingen die niet zijn vrijgesteld. Positie CBP Bij benoeming van een functionaris voor de gegevensbescherming blijven de bevoegdheden van het CBP bestaan. De functionaris vervangt de toezichthouder slechts voor wat betreft de medlingen van de meldingsplichtige gegevensverwerkingen. 7
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO Bevoegdheden functionaris De verantwoordelijke draagt er zorg voor dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan zijn bevoegdheden zoals geregeld in titel 5. 2 van de Awb Onafhankelijkheid De functionaris kan wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van de verantwoordelijke of van de organisatie die hem heeft benoemd. Hij ondervindt geen nadeel van de uitoefening van zijn taak. De verantwoordelijke stelt de functionaris in de gelegenheid zijn taak naar behoren te vervullen. De functionaris kan de kantonrechter verzoeken te bepalen dat de verantwoordeljike gevolg dient te geven aan de tweede volzin. 8
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO Hoe staat het in de Privacy Verordening? Overweging 97: Indien de verwerking door een overheidsinstantie wordt uitgevoerd, met uitzondering van gerechten of onafhankelijke rechterlijke autoriteiten die handelen in het kader van hun gerechtelijke taken, of indien in de particuliere sector de verwerking door een verwerkingsverantwoordelijke wordt uitgevoerd die als kerntaak heeft verwerkingsactiviteiten uit te voeren die grootschalige regelmatige en systematische observatie van betrokkenen vereisen, indien de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van persoonsgegevens en van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, dient een persoon met deskundige kennis van gegevensbeschermingswetgeving en -praktijken de verwerkingsverantwoordelijke of de verwerker bij te staan bij het toezicht op de interne naleving van deze verordening. In de particuliere sector hebben de kerntaken van een verwerkingsverantwoordelijke betrekking op diens hoofdactiviteiten en niet op de verwerking van persoonsgegevens als nevenactiviteit. Het vereiste niveau van deskundigheid dient met name te worden bepaald op grond van de uitgevoerde gegevensverwerkingsactiviteiten en de bescherming die voor de door de verwerkingsverantwoordelijke of de verwerker verwerkte gegevens vereist is. Dergelijke functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk te vervullen, ongeacht of zij in dienst zijn van de verwerkingsverantwoordelijke. 9
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO Artikel 35 lid 2 (PIA) Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verantwoordelijke bij het uitvoeren van een privacyeffectbeoordeling diens advies in. Sectie artikelen 37, 38 en 39 Artikel 37 1. De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin: a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; b) een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of c) de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10. 10
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO Article 29 WP Guidelines: a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken Ø Dit dient uitgelegd te worden naar nationaal recht. b) een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen Ø “hoofdzakelijk”: brede interpretatie; inclusief verwerkingsactiviteiten welke een onafscheidelijk deel vormen van de activiteiten van de verantwoordelijke of de verwerker. Bijvoorbeeld: o Het verwerken van persoonsgegevens door een ziekenhuis. Hoofdzakelijk is het ziekenhuis belast met het verlenen van zorg, echter ze kan gen zorg verlenen zonder de medische gegevens te verwerken; o Een beveiligingsbedrijf: hoofdzakelijk belast met het beveiligen van panden maar verwerkt wellicht ook persoonsgegevens in het kader van de beveiliging 11
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO Article 29 WP Guidelines: In de GDPR is niet opgenomen wat onder “op grootschalige verwerking” dient te worden verstaan. Om die reden dient elke verwerkingsactiviteit in dit licht worden bekeken. Hierbij dienen de volgende factoren meegenomen te worden: Ø Aantal data subjects Ø De volume van de data of de verschillende data categorieen Ø De uur of tijdelijke karakter van de verwerking Ø De geografische impact van de verwerking Voorbeelden van grootschalige verwerking: o Verwerking van real time geo-locatie van clienten van een internationale keten voor statistische doeleinden o Het verwerken van persoonsgegevens voor de normale bedrijfsvoering van een bank of verzekeraar o Het monitoren van gedrag op internet door een zoekmachine 12
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO Article 29 WP Guidelines: WP 29 beveelt aan om een DPO op vrijwillige basis te benoemen. Echter let hierbij op de functiebenaming! Anders GDPR (37 -39) van toepassing. 13
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO Artikel 37 lid 5, 6 en 7 5. De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen. 6. De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten. 7. De verwerkingsverantwoordelijke of de verwerker maakt de contactgegevens van de functionaris voor gegevensbescherming bekend en deelt die mee aan de toezichthoudende autoriteit. 14
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO Article 29 WP Guidelines Expertise: - Expertise in nationaal en Europees recht mbt privacy - Gedegen kennis van de AVG - Kennis van de organisatie en de verwerkingsactiviteiten, IT-systemen data security en behoeften aan data protectie 15
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO Artikel 38 positie DPO 1. De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de verwerking van gegevens. 2. De verwerkingsverantwoordelijke en de verwerker ondersteunen de functionaris voor gegevensbescherming bij de vervulling van de in artikel 39 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid. 3. De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker. 4. Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van deze verordening. 5. De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn taken overeenkomstig het Unierecht of het lidstatelijk recht tot geheimhouding of vertrouwelijkheid gehouden. 6. De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden. 16
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO Artikel 39 de taken van de DPO 1. De functionaris voor gegevensbescherming vervult ten minste de volgende taken: a) de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen; b) toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits; c) desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 35; d) met de toezichthoudende autoriteit samenwerken; e) optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid. 17
VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN DPO 2. De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn taken naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden. 18
Samenwerking met andere disciplines DPO onderdeel van Risk? DPO en ISO? DPO en Legal? DPO en Compliance? Binnen NIBC is de DPO onderdeel van Risk 19
Positionering binnen de organisatie DPO Three lines of defence 20
Positionering binnen de organisatie Managing Board (CRO) RMC Quarterly reporting Escalation line DPO Corporate Center Compliance Legal Risk Management Information Security Officer Consumer Banking Corporate Banking 21
Kennis over cloud en beveiliging § De DPO is geen IT-functie § Beveiliging is echter een belangrijk deel van de Wbp (privacy by design, PET, etc), zie artikel 13 Wbp § Veel overleg met Information Security Officer, CIO en afdeling IT, echter weten deze mensen wat de Wbp eist? § DPO moet algemene kennis hebben van beveiligingstandaarden, standaarden voor vernietiging van bestanden en documenten (European Association for Data Media Security, DMS-2008 is een goede basisbeveiliging). Bijvoorbeeld doorverkoop van PC’s. Echter ook: vernietigen van papier. § DPO moet algemene kennis hebben van opslag van gegevens in de cloud, hoe werkt het met servers, wanneer is sprake van doorgifte? 22
Verhogen privacy awareness, hoe en bij wie § Persoonlijke awareness trainingen met afdelingsspecifieke elementen § E-learning § Bijeenkomst nieuwe medewerkers § Zelf Evaluatie § maak een indeling § maak een jaarplanning 23
Een privacy incident, wat nu? Binnen NIBC kennen wij een Incident Respons Handling Protocol Overleg met Information Security Officer Bepalen wie geinformeerd dient te worden (CBP, DNB, AFM of betrokkene, intern: medewerker, management en HR) Incidentenregister, deze wordt meegenomen in de quarterly dashboard Escaleren naar CRO/CIO? Een incident sluiten Regelmatig training crisimanagement met extern bureau 24
Privacy Programma § Jaarlijks privacy awareness training § Jaarlijks/een keer per twee jaar de Zelf Evaluatie gekoppeld aan de “Ïn control statement” § Leg dit vast, wanneer wat, wanneer wie en actielijsten met follow up 25
Zelf Evaluatie Instructies voor de Zelf Evaluatie: a. Volg een workshop data protectie verzorgt door de Data Privacy Officer. Hierdoor wordt de awareness vergroot en wordt een denkkader gecreëerd. Ook kunnen ervaringen worden uitgewisseld. b. Stel een geschikt team samen. Eventueel kan een deskundige worden toegevoegd die als procesbegeleider moet zorgen voor een goede procesgang. c. Bespreek op welke wijze de zelf-evaluatie zal worden uitgevoerd. Bespreek ook op welke wijze een actieplan per onderdeel van de vragenlijst wordt opgesteld (met eventuele prioriteitsstelling). Voor de uitvoering van een actieplan is het van belang dat het management het actieplan vast stelt en goedkeurt. d. Zorg voor een rapportage waaruit achteraf blijkt op welke wijze de evaluatie is uitgevoerd, wat de uitkomsten waren, wat de actiepunten waren en wanneer de actiepunten zijn voltooid. e. Zorg voor een goede communicatie gedurende het gehele proces naar andere stakeholders. f. De vragen die horen bij de onderdelen die blauw zijn gemaakt (vragen ten aanzien van de beveiliging) hoeven niet beantwoord te worden omdat deze vragen door de Information Security Officer worden gesteld. Desalniettemin kan het praktisch zijn om deze vragen wel alvast te bekijken. 26
Privacy programma De vragen van de WBP Zelfevaluatie gaan over de volgende onderwerpen: § Melding § Transparantie § Doelbinding § Rechtmatige grondslag § Kwaliteit § Rechten § Beveiliging/bewustzijn § Beveiliging/IT-voorzieningen § Beveiliging/Toegangsbeveiliging § Beveiliging/Netwerken § Beveiliging/Bewaring en vernietiging § Beveiliging/Calamiteitenplan § Bewerker § Niet EER-landen 27
Voorbeeld vragen “doelbinding” Doelbinding § Zijn er maatregelen getroffen die waarborgen dat het verwerken van persoonsgegevens plaatsvindt voor de doelen waarvoor ze zijn verkregen? § Worden er gegevens voor andere doeleinden verwerkt dan waarvoor ze zijn verkregen of verzameld? § Zijn er maatregelen getroffen om te waarborgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor de realisering van het doel waarvoor ze worden verzameld of verwerkt? 28
Voorbeeld vragen kwaliteit Kwaliteit § Zijn er maatregelen getroffen om te waarborgen dat de kwaliteit van de gegevens gewaarborgd wordt? Zijn er bijvoorbeeld invoerformulieren of invoerschermen waarmee fouten worden geminimaliseerd? § Worden tijdens het verwerken van gegevens fouten en onregelmatigheden ontdekt, gemeld en gecorrigeerd? § Worden brondocumenten bewaard? Zo ja, voor hoe lang? § Worden gegevens alleen door geautoriseerd personeel ingevoerd? § Worden ingevoerde gegevens naderhand gecontroleerd op juistheid, volledigheid en autorisatie. Worden tevens de ingevoerde gegevens zo dicht mogelijk bij de bron gevalideerd? 29
Voorbeeld vragen rechten Rechten § Is er een procedure waarin is beschreven hoe om te gaan met een verzoek van een betrokkene om inzage? § Is er een procedure waarin is beschreven hoe om te gaan met een verzoek tot verbetering, aanvulling, verwijdering of afscherming, indien de gegevens feitelijk onjuist zijn? § Worden er gegevens verwerkt voor marketing doeleinden? Zo ja, zijn er maatregelen genomen om betrokkene te wijzen op de mogelijkheid zich hiertegen te verzetten? § Op welke wijze vindt deze bekendmaking plaats? § Kan het verzet kosteloos worden gedaan? § Wordt de verwerking direct beëindigd nadat verzet is aangetekend? § Wordt er een register bijgehouden waaruit blijkt welke betrokkenen verzet hebben aangetekend? § Vindt er “profiling” plaats? Profiling is op basis van geautomatiseerde verwerking van persoonsgegevens een beeld krijgen over iemands persoonlijkheid. 30
Voorbeeld vragen Beveiliging/bewustzijn § Is er beleid voor de beveiliging van gegevens? Zo ja, is er ook een communicatieplan voor dit beleidsplan? § Worden alle medewerkers geïnstrueerd over het beveiligingsbeleid? § Wordt beveiligingsbeleid schriftelijk verstrekt? § Wordt regelmatig getoetst of medewerkers zich gedragen overeenkomstig het beveiligingsbeleid? § Is er een procedure om vast te stellen dat het personeel het beveiligingsbeleid heeft begrepen en opgevolgd? § Wordt het management jaarlijks geïnformeerd over het beveiligingsbewustzijn van de medewerkers? § Is er een systeem waarbij sprake is van continu bewaking en vernieuwing/verbetering van de procedures? § Tekenen alle medewerkers een geheimhoudingsverklaring? § Wordt bij navraag van referenties de omgang met persoonsgegevens nagetrokken? § Is informatiebeveiliging onderwerp gedurende functioneringsgesprekken en beoordelingen? § Worden alle medewerkers inclusief derden zoals uitzendkrachten/consultants gewezen op het beveiligingsbeleid? § Is er een overzicht van alle medewerkers die een training informatiebeveiliging hebben gevolgd? § Worden beveiligingsincidenten door de verantwoordelijke medewerkers direct gerapporteerd aan hun manager en aan de security officer? § Worden er disciplinaire maatregelen getroffen wanneer een personeelslid de geheimhoudingsverklaring schendt of procedures en maatregelen niet goed uitvoert? 31
Voorbeeld vragen Beveiliging/bewaring en vernietiging § Worden er back-ups gemaakt van bestanden? § Zo ja, is er een back-up cyclus vastgesteld in een procedure? § Wordt gecontroleerd of deze procedure wordt nageleefd? § Is er een bewaartermijn van back-ups? § Wordt een exemplaar van de back-ups op een externe locatie bewaard? § Worden gegevensdragers met persoonsgegevens bewaard in afsluitbare ruimten? § Zo ja, zijn deze ruimten voorzien van een beveiliging tegen inbraak? § Zijn de persoonsgegevens op de gegevensdragers extra beveiligd bijvoorbeeld door middel van encryptie? § Is bij het vernietigen van persoonsgegevens geregeld dat: § Gegevens niet fysiek aanwezig blijven op de gegevensdragers? § Speciale vernietigingsmethoden worden gehanteerd voor gegevens die op optische media zijn vastgelegd? § Het verwijderen van tussen- en testresultaten die bij de gegevensverwerking horen eveneens plaatsvindt? § Er een administratie wordt bijgehouden van de gegevens die worden vernietigd? Met daarin vastgelegd door wie de gegevens zijn vernietigd, het tijdstip waarop de gegevens zijn vernietigd en in opdracht van wie de gegevens zijn vernietigd? 32
- Slides: 32