20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders...
15
Actieplan Dataveiligheid Algemene Inleiding Een sectorbrede aanpak voor verhoogde privacy bij de uitwisseling van gegevens uit centrale registers First Consulting 20 juni 2017, Amersfoort
Transcript of 20170704 Introductie Voorlichting NEDU VMNED Voorlichting... · 2017-07-14 · NEDU Toezichthouders...
ActieplanDataveiligheidAlgemeneInleiding
Eensectorbredeaanpakvoorverhoogdeprivacybijdeuitwisselingvangegevensuitcentraleregisters
FirstConsulting
20juni2017,Amersfoort
20-06-2017 VoorlichtingActieplanDataveiligheid 2
• Aanleiding
• Projectinrichting
• Opdrachtenuitgangspunten
• ActieplanDataveiligheid• MaatregelenAanbodopMaat• Maatregelenpre-switcheninhuizing• Overigemaatregelen• Natraject
• Uitdagingen
AgendaIntroductievoorlichtingActieplanDataveiligheid
1
2
3
4
5
20-06-2017 VoorlichtingActieplanDataveiligheid 3
1.AanleidingAanloopnaar1december2016
StartActieplanDataveiligheid
1dec.
20162015
ToenemendeaandachtvoorPrivacy
Datalek
Zomer2016
Toezichthouders(ACM/AP)vragenombeleiddataveiligheidklantgegevens
Netbeheerderspresenteren“Rechtmatigeraadpleging
CentraleRegisters”
30sept.
ACMbeoordeeltplan
netbeheerdersalsontoereikend
16nov.
ALVNEDU
Toezichthouders
20-06-2017 VoorlichtingActieplanDataveiligheid 4
2.ProjectinrichtingStakeholdervertegenwoordiging1dec– 31jan
- Operationele,technischeenjuridischeexperts- Gezamenlijkeoplossingenontwikkelen- IC-Kvertegenwoordigd
- Vertegenwoordigingleveranciers,netbeheerders,Meetverantwoordelijken,NEDU
- Verzorgenvankaders,monitoringvoortgang- Besluitvorming
Stuurgroep
Taskforce
20-06-2017 VoorlichtingActieplanDataveiligheid 5
3.UitgangspuntenOpdrachtomschrijving
Opdrachtomschrijving
1. Ontwikkeleengezamenlijkonderschrevenwerkbareoplossingdieervoorzorgtdathet(huidige)gebruikvandecentraleregisters(CER,C-ARenTMR)doormarktpartijeninrelatietotniet-”eigenklanten”vollediginlijnwordtgebrachtmetdeeisenuitdeWbp enzoveelalsrealistischmetdepuntenvanACMenAP.
2. Maakduidelijkwelkeanderemaatregelennualdoornetbeheerders(incl.EDSN),deleveranciersenNEDUwordenofkunnenwordengenomenomhetbeschermingsniveauvandegegevensteverhogen(o.a.o.b.v.PIAnetbeheerdersendegezamenlijkegevraagdeadviezenvanBrinkhof.
Belangrijksteuitgangspunten
Gezamenlijkeketen-
verantwoordelijkheid
Toestemmingconsumentbij
gegevensverstrekking
Data-minimalisatie
Rechtmatigenjuistgebruikdata(registers)
Geschiktbeschermings-niveau gegevens
ConformWbp-wetgeving
20-06-2017 VoorlichtingActieplanDataveiligheid
KLANTAfnemervanelektriciteitengas,wienspersoonsgegevensincentraleregisterswordenopgeslagen• houdtzekerheidvanvertrouwelijke,veiligeenjuistebehandelingvangegevens• heeft mogelijkheidtotvergelijkenvanaanbiedingenvanverschillendeleveranciers
3.UitgangspuntenDrieperspectievenbijhetopstellenvanhetactieplandataveiligheid
LEVERANCIERAanbiedervanelektriciteitengas,engebruikervanpersoonsgegevensuitcentraleregisters• wordtnietbeperktinmarktwerking• behoudtbestaandeprocessenzoveelmogelijk
NETBEHEERDERBeheerderenverstrekkervanpersoonsgegevensuitcentraleregisters
• heeftvoorafzekerheiddaterenkelgegevensverstrektwordenmettoestemmingvandeklantenvoorhetbetreffendedoel
• verhoogtopkortetermijndegegevensbescherming
6
20-06-2017 VoorlichtingActieplanDataveiligheid 7
4.ActieplanDataveiligheidEenambitieuzeenintegraleaanpakvoorverhogingvangegevensbescherming
Hoogbeschermingsniveau
Klantstaatcentraal
Breedpakketaanmaatregelen
Breedgedragendoorsector
Behoudenmarktwerking
Uitbreiding:(pre)switchen-inhuizing
Dataminimalisatie
20-06-2017 ActieplanDataveiligheid 8
4.ActieplanDataveiligheidFasestijdensoffrerenencontracteren
Borgingtoestemmingd.m.v.
Leveringscontract?
Leverancieropaansluiting?
FaseIIdentificerenaansluiting
FaseIIAanbodfase
FaseIIIPre-switch&pre-inhuizing
FaseIVLeverancieropaansluiting
û û ü ü
û û û ü
N.v.t. Klantsleutel&toestemmingssleutel Leveringscontract Leveringscontract
Basisgegevensaansluiting StandaardgegevenssetAoM (alleenbijswitch)
Standaardgegevenssetpre-switch&pre-inhuizing
Gegevensbenodigdvooruitvoeringleveranciersrol
Initiëlefocus:AanbodopMaat
20-06-2017 VoorlichtingActieplanDataveiligheid 9
FilmVanvoornaamsteveranderingen
20-06-2017 ActieplanDataveiligheid 10
4.ActieplanDataveiligheidOverigemaatregelen– reedsinganggezet
2.Voorlichtenmarktpartijen
inzakedataprivacy
3.Beperkendirectetoegangvoorderde
partijen
4.Standaardiserenaccountbeleid
1.Limiterenenmonitorenaantal
opvragen
5.Doorvoerendataminimalisatie
• Opvraaglimietperleverancier
• Continuemonitoring• Live:1april2017
• Onderaannemersenkeltoegangvialeverancier
• Bewerkers-overeenkomstnoodzakelijk
• Leverancierisverantwoordelijk
• Dataverzoekentotdepersoonherleidbaar
• Controleoptoegangsrechten
20-06-2017 VoorlichtingActieplanDataveiligheid
HetActieplanisvantoepassingopallekleinverbruikers
• Consumenten• Kleinzakelijke klantenenmultisites
(Wbp nietaltijdvantoepassing)
Alleklantsleutelsvanbestaandeklantenmoeteninderegisterswordengezet
• Klantsleutelsaanleverenvoorregisters:veeladministratiefwerk
• Onderlingeafhankelijkheidleveranciers:AanbodopMaato.b.v.klantsleutel
11
5.Uitdagingen
20-06-2017 VoorlichtingActieplanDataveiligheid 12
‘Hierbijwordtbovendienhetvolgendeonderuwaandachtgebracht.
Uitwet- enregelgevingvolgtde verplichtingdatnetbeheerders(periodiek)detoestemmingvan
potentiëleklantenaanleveranciersvoorhetgebruikvanhunpersoonsgegevenscontroleren.Deze
controleverplichtingmaaktonderdeeluitvandemaatregelendiedenetbeheerderinzijn
algemeenheidmoettreffenteneindeeenrechtmatigegegevensverurerking tekunnengaranderen.
HoewelhetActieplandedataveiligheidnaarverwachtingzalvergroten,merkende Ap endeACM
opdatdevoorgesteldecontrolesystematiekvandezetoestemminginhetActieplanonvolledigis.
DeAPendeACMvindenditeentekortkominginhetActieplanengaanervanuitdatstelselmatige
controlesintegraalonderdeeluitmakenvandegegevensvennrerkingen’
ExtractuitbriefACMenAP
Reactie ACMen APopaktieplan
Dankvooruwaandacht.
Vragen?
NieuwewerkwijzevoorhetverkrijgenvangegevenstenbehoevevaneenAanbodopMaat:1. Klantgeefttoestemmingenklantsleutel2. Leverancierlegttoestemmingdecentraal
vast3. Leveranciergenereerttoestemmingssleutel4. Leverancierdoetgegevensverzoekmet
klant- entoestemmingssleutel5. Netbeheerdercontroleertklantsleutels,
registreerttoestemmingssleutelenverstrektstandaardgegevensset
6. LeverancierdoetAanbodopMaataanklanto.b.v.standaardgegevensset
20-06-2017 ActieplanDataveiligheid 14
4.ActieplanDataveiligheidMaatregelenAanbodopMaat(faseII)
1 23
4
6
5
2
3
5
6
1
4
20-06-2017 ActieplanDataveiligheid 15
4.ActieplanDataveiligheidMaatregelenpre-switchenpre-inhuizing (faseIII)
Nieuwewerkwijzevoorhetverkrijgenvangegevensnahetafsluitenvaneencontract,voorstartlevering:
1. Klantsluitovereenkomstmetnieuweleverancier
2. Leverancierdoetpre-registratieovereenkomstinCER
3. LeverancierdoetgegevensverzoekfaseIII4. Netbeheerdercontroleertpre-registratieinCER5. Netbeheerderlevertstandaardgegevensset
aanleverancier6. Leverancierstartvervolgprocessenobv
gegevensset- Bevestigencontractklant- Registratiecontracteindedatumenopzegtermijn- Voorbereidenlevering
1
2
3
4
6
1
2
4
3
6
5
5
