Privacy Implementatie Methode voor ePortfolio-aanbieders Henk Fernald, FG Infodoc Privacy Management

1. Wbp in de praktijk
StePS Invitational Expertmeeting ePortfolio en Privacy
Henk Fernald
g g
Functionaris voor de Gegevensbescherming.
Utrecht, woensdag 28 maart 2012
InfoDoc Privacy Management
Postbus 3580
4800 DN Breda
E-mail: Infodoc@ziggo.nl
Mobiel: 06-40232495

2. ePortfolio in Juridisch Perspectief
Het ePortfolio Juridisch Perspectief ePortfolio
Het ePortfolio is een instrument waarmee kan worden Juridische Risico’s van Providers
Risico s
bijgehouden over welke talenten, ervaringscertificaten en
diploma's een lerende /werkende beschikt.  Civielrechtelijke schade (onrechtmatige daad)
 Aanvullende schadevergoeding (art.49 Wbp)
Het gebruik van ePortfolio's biedt de mogelijkheid om producten  Bestuursrechtelijke sancties (Awb c.s.)
(werkstukken, video's etc.), reflectie, feedback en vastgelegde
sturing van leeractiviteiten op te slaan
slaan.  Rechtelijk verbod van verboden gedraging (art. 50 Wbp)
 Strafrechtelijk sancties (art. 75 Wbp)
Een bijdrage te leveren aan het verbeteren van de  Strafrechtelijke overtredingen
informatiesystemen en uitwisselings mogelijkheden op dit terrein  Strafrechtelijke misdrijven
bij ketenpartners  Una via (boete: strafrecht)
 Reputatieschade
Te helpen bij de implementatie van het ePortfolio bij een  Datalekken (€ 200.000,00)
gelijktijdig in te richten multifunctionele voorziening voor  Aansprakelijkheid voor bedrijfsschade
begeleiding van de doelgroep naar de arbeidsmarkt  Aansprakelijkheid voor psychische schade
Een betere overgang te bevorderen voor de leerlingen van Overige aandachtspunten
opleiding naar werk, zodat deze niet steeds weer opnieuw
p g , p
dezelfde procedures voor intake, training en plaatsing hoeven te
doorlopen.  Boete & Zwijgrecht (art 68 Wbp)
 Dwangbevel (art. 73 lid 4)
Als ‘goodpractice’ voor andere regio’s waarin wordt  Geautomatiseerd individueel besluit (art.42)
samengewerkt in dezelfde keten.  Disproportionele administratiekosten
 Hoge kosten van legal recovery
 Belang van permanente educatie: vinger aan de pols houden

3. Privacyaspecten Provider ePortfolio
Plan van Aanpak voor ePortfolio Providers Privacyaspecten systeembeheer
 Wbp status bepalen van de organisatie (P.I.A.)  Beveiliging ePortfolio
 Administratieve en organisatorische maatregelen  Informatiebeveiliging ICT-beheer (ITIL)
 Inventarisatie en toetsing processen (Pré Proces Audit©)  Service Level Agreement
 Inventarisatie verwerkingen  Calamiteitenplan
 Beheer en nazorg (Privacy Management Dossier (P.M.D.)  Incidentbeheer/ Data lekken
 Registratie verwerkingen (openbaarregister)  Bewaren/verwijderen
 Jaarlijkse controle
 Informatieplicht
Art. 8 Wbp
Verwerkings
g
grond

4. Afspraken met gebruikers
Privacyaspecten gebruikersorganisatie ePortfolio gebruikersorganisatie
Bron: CBP, Privacy Enhancing Technologies, The Path to Anonimity, A&V Studie
, y g g , y,
 Wb status gebruikersorganisatie
Wbp t t b ik i ti Nr.11 (revised) 2000, p. 26
 Bewerkersovereenkomst
 Backup procedure
 I f ti li ht
Informatieplicht
 Beveiligingprocedures
 Service Level Agreement
Incidentbeheer/Datalekken
 I id b h /D l kk
 Calamiteitenplan
Art. 8 Wbp
Verwerkings
g
grond

5. Privacy Implementatie Methode
Privacy Management Methode© Grafisch overzicht implementatie proces
De Privacy Management Methode© is vooral bedoeld als Stap I Directie Privacy Impact Audit©
verbeterinstrument. Dit model beoogt de leiding van een
organisatie inzicht te geven in welke mate de organisatie voldoet
Administratieve
aan de Wbp en wat er aan gedaan kan worden. Stap II Strategie & beleid Organisatie
De doelstelling van de Privacy Management Methode© is specifiek
Stap III Procesmanagement
g Pré Proces Audit©
toegesneden op de analyse van de verwerking- en beveiliging van
verwerking
persoonsgegevens in een organisatie binnen het kader van de
WBP. Inventarisatie
Stap IV Uitvoering/Middelen
verwerkingen
Het is van groot belang dat er wordt vastgestelt welke wettelijke
vereisten vanuit de WBP, maar ook vanuit andere wetgevingen Privacy Management
Stap V Beheer & Nazorg
Dossier©
(GBA, Politiewet, etc.)
(GBA Politiewet etc ) van toepassing zijn op de verwerking van
persoonsgegevens binnen de organisatie.
Waardering
Medewerkers van
medewerkers
Ei
ind resultaat
Processen
Directeur
Waardering
Strategie &
door klanten
beleid en leveranciers
Waardering
Middelen door
maatschappij
Organisatie Resultaat
Leren en verbeteren

6. 10 Praktische Conclusies
10 Praktische Conclusies
1. Privacyaspecten van ePortfolio zijn vaak complexer dan gedacht
2. Veel parallelle ontwikkelingen waardoor actualisering onontbeerlijk is
(EU)
3. Privacy Booby Traps: Vaak wordt onbewust/ onbedoeld niet voldaan
aan privacywet- en regelgeving
i t l i
4. Verantwoordelijken lopen reputatierisico’s  verhoogde dijkbewaking
5. Toezichthouders vragen om accountability (don’t tell, but show privacy
compliance)
6. Hogere privacybewustzijn van eindgebruikers (klanten/patiënten)
7. Zwaar boeteregime bij non-compliance (b.v.b. datalek,
, )
€ 200.000,00/incident)
8. Aankomend boeteregime icm profileringsdrang toezichthouder (poison
pill)
Met andere woorden:
9. Toenemende claimcultuur i.v.m. juridische aansprakelijkheid
10. Praktische oplossingen voor privacy compliance zijn relatief eenvoudig
en goedkoop in vergelijking tot boetekosten, legal recovery support tijd voor
relatief goedkope
en bijkomende administratieve herstelkosten.
preventieve actie (PIA)

7. InfoDoc Privacy Management
E www.privacyloket.nl
E infodoc@ziggo.nl
T 06 – 40232495
G Kosteloos, vrijblijvend eerste gesprek op uw kantoor