Post on 09-Aug-2020
ActieplanDataveiligheidAlgemeneInleiding
Eensectorbredeaanpakvoorverhoogdeprivacybijdeuitwisselingvangegevensuitcentraleregisters
FirstConsulting
20juni2017,Amersfoort
20-06-2017 VoorlichtingActieplanDataveiligheid 2
• Aanleiding
• Projectinrichting
• Opdrachtenuitgangspunten
• ActieplanDataveiligheid• MaatregelenAanbodopMaat• Maatregelenpre-switcheninhuizing• Overigemaatregelen• Natraject
• Uitdagingen
AgendaIntroductievoorlichtingActieplanDataveiligheid
1
2
3
4
5
20-06-2017 VoorlichtingActieplanDataveiligheid 3
1.AanleidingAanloopnaar1december2016
StartActieplanDataveiligheid
1dec.
20162015
ToenemendeaandachtvoorPrivacy
Datalek
Zomer2016
Toezichthouders(ACM/AP)vragenombeleiddataveiligheidklantgegevens
Netbeheerderspresenteren“Rechtmatigeraadpleging
CentraleRegisters”
30sept.
ACMbeoordeeltplan
netbeheerdersalsontoereikend
16nov.
ALVNEDU
Toezichthouders
20-06-2017 VoorlichtingActieplanDataveiligheid 4
2.ProjectinrichtingStakeholdervertegenwoordiging1dec– 31jan
- Operationele,technischeenjuridischeexperts- Gezamenlijkeoplossingenontwikkelen- IC-Kvertegenwoordigd
- Vertegenwoordigingleveranciers,netbeheerders,Meetverantwoordelijken,NEDU
- Verzorgenvankaders,monitoringvoortgang- Besluitvorming
Stuurgroep
Taskforce
20-06-2017 VoorlichtingActieplanDataveiligheid 5
3.UitgangspuntenOpdrachtomschrijving
Opdrachtomschrijving
1. Ontwikkeleengezamenlijkonderschrevenwerkbareoplossingdieervoorzorgtdathet(huidige)gebruikvandecentraleregisters(CER,C-ARenTMR)doormarktpartijeninrelatietotniet-”eigenklanten”vollediginlijnwordtgebrachtmetdeeisenuitdeWbp enzoveelalsrealistischmetdepuntenvanACMenAP.
2. Maakduidelijkwelkeanderemaatregelennualdoornetbeheerders(incl.EDSN),deleveranciersenNEDUwordenofkunnenwordengenomenomhetbeschermingsniveauvandegegevensteverhogen(o.a.o.b.v.PIAnetbeheerdersendegezamenlijkegevraagdeadviezenvanBrinkhof.
Belangrijksteuitgangspunten
Gezamenlijkeketen-
verantwoordelijkheid
Toestemmingconsumentbij
gegevensverstrekking
Data-minimalisatie
Rechtmatigenjuistgebruikdata(registers)
Geschiktbeschermings-niveau gegevens
ConformWbp-wetgeving
20-06-2017 VoorlichtingActieplanDataveiligheid
KLANTAfnemervanelektriciteitengas,wienspersoonsgegevensincentraleregisterswordenopgeslagen• houdtzekerheidvanvertrouwelijke,veiligeenjuistebehandelingvangegevens• heeft mogelijkheidtotvergelijkenvanaanbiedingenvanverschillendeleveranciers
3.UitgangspuntenDrieperspectievenbijhetopstellenvanhetactieplandataveiligheid
LEVERANCIERAanbiedervanelektriciteitengas,engebruikervanpersoonsgegevensuitcentraleregisters• wordtnietbeperktinmarktwerking• behoudtbestaandeprocessenzoveelmogelijk
NETBEHEERDERBeheerderenverstrekkervanpersoonsgegevensuitcentraleregisters
• heeftvoorafzekerheiddaterenkelgegevensverstrektwordenmettoestemmingvandeklantenvoorhetbetreffendedoel
• verhoogtopkortetermijndegegevensbescherming
6
20-06-2017 VoorlichtingActieplanDataveiligheid 7
4.ActieplanDataveiligheidEenambitieuzeenintegraleaanpakvoorverhogingvangegevensbescherming
Hoogbeschermingsniveau
Klantstaatcentraal
Breedpakketaanmaatregelen
Breedgedragendoorsector
Behoudenmarktwerking
Uitbreiding:(pre)switchen-inhuizing
Dataminimalisatie
20-06-2017 ActieplanDataveiligheid 8
4.ActieplanDataveiligheidFasestijdensoffrerenencontracteren
Borgingtoestemmingd.m.v.
Leveringscontract?
Leverancieropaansluiting?
FaseIIdentificerenaansluiting
FaseIIAanbodfase
FaseIIIPre-switch&pre-inhuizing
FaseIVLeverancieropaansluiting
û û ü ü
û û û ü
N.v.t. Klantsleutel&toestemmingssleutel Leveringscontract Leveringscontract
Basisgegevensaansluiting StandaardgegevenssetAoM (alleenbijswitch)
Standaardgegevenssetpre-switch&pre-inhuizing
Gegevensbenodigdvooruitvoeringleveranciersrol
Initiëlefocus:AanbodopMaat
20-06-2017 VoorlichtingActieplanDataveiligheid 9
FilmVanvoornaamsteveranderingen
20-06-2017 ActieplanDataveiligheid 10
4.ActieplanDataveiligheidOverigemaatregelen– reedsinganggezet
2.Voorlichtenmarktpartijen
inzakedataprivacy
3.Beperkendirectetoegangvoorderde
partijen
4.Standaardiserenaccountbeleid
1.Limiterenenmonitorenaantal
opvragen
5.Doorvoerendataminimalisatie
• Opvraaglimietperleverancier
• Continuemonitoring• Live:1april2017
• Onderaannemersenkeltoegangvialeverancier
• Bewerkers-overeenkomstnoodzakelijk
• Leverancierisverantwoordelijk
• Dataverzoekentotdepersoonherleidbaar
• Controleoptoegangsrechten
20-06-2017 VoorlichtingActieplanDataveiligheid
HetActieplanisvantoepassingopallekleinverbruikers
• Consumenten• Kleinzakelijke klantenenmultisites
(Wbp nietaltijdvantoepassing)
Alleklantsleutelsvanbestaandeklantenmoeteninderegisterswordengezet
• Klantsleutelsaanleverenvoorregisters:veeladministratiefwerk
• Onderlingeafhankelijkheidleveranciers:AanbodopMaato.b.v.klantsleutel
11
5.Uitdagingen
20-06-2017 VoorlichtingActieplanDataveiligheid 12
‘Hierbijwordtbovendienhetvolgendeonderuwaandachtgebracht.
Uitwet- enregelgevingvolgtde verplichtingdatnetbeheerders(periodiek)detoestemmingvan
potentiëleklantenaanleveranciersvoorhetgebruikvanhunpersoonsgegevenscontroleren.Deze
controleverplichtingmaaktonderdeeluitvandemaatregelendiedenetbeheerderinzijn
algemeenheidmoettreffenteneindeeenrechtmatigegegevensverurerking tekunnengaranderen.
HoewelhetActieplandedataveiligheidnaarverwachtingzalvergroten,merkende Ap endeACM
opdatdevoorgesteldecontrolesystematiekvandezetoestemminginhetActieplanonvolledigis.
DeAPendeACMvindenditeentekortkominginhetActieplanengaanervanuitdatstelselmatige
controlesintegraalonderdeeluitmakenvandegegevensvennrerkingen’
ExtractuitbriefACMenAP
Reactie ACMen APopaktieplan
Dankvooruwaandacht.
Vragen?
NieuwewerkwijzevoorhetverkrijgenvangegevenstenbehoevevaneenAanbodopMaat:1. Klantgeefttoestemmingenklantsleutel2. Leverancierlegttoestemmingdecentraal
vast3. Leveranciergenereerttoestemmingssleutel4. Leverancierdoetgegevensverzoekmet
klant- entoestemmingssleutel5. Netbeheerdercontroleertklantsleutels,
registreerttoestemmingssleutelenverstrektstandaardgegevensset
6. LeverancierdoetAanbodopMaataanklanto.b.v.standaardgegevensset
20-06-2017 ActieplanDataveiligheid 14
4.ActieplanDataveiligheidMaatregelenAanbodopMaat(faseII)
1 23
4
6
5
2
3
5
6
1
4
20-06-2017 ActieplanDataveiligheid 15
4.ActieplanDataveiligheidMaatregelenpre-switchenpre-inhuizing (faseIII)
Nieuwewerkwijzevoorhetverkrijgenvangegevensnahetafsluitenvaneencontract,voorstartlevering:
1. Klantsluitovereenkomstmetnieuweleverancier
2. Leverancierdoetpre-registratieovereenkomstinCER
3. LeverancierdoetgegevensverzoekfaseIII4. Netbeheerdercontroleertpre-registratieinCER5. Netbeheerderlevertstandaardgegevensset
aanleverancier6. Leverancierstartvervolgprocessenobv
gegevensset- Bevestigencontractklant- Registratiecontracteindedatumenopzegtermijn- Voorbereidenlevering
1
2
3
4
6
1
2
4
3
6
5
5