Wbp in de praktijk

StePS Invitational Expertmeeting ePortfolio en Privacy

Henk Fernald Functionaris voor de Gegevensbescherming.g g

Utrecht, woensdag 28 maart 2012

InfoDoc Privacy ManagementPostbus 35804800 DN BredaE-mail: Infodoc@ziggo.nlMobiel: 06-40232495

ePortfolio in Juridisch PerspectiefHet ePortfolio

Het ePortfolio is een instrument waarmee kan worden

Juridisch Perspectief ePortfolio

Juridische Risico’s van ProvidersHet ePortfolio is een instrument waarmee kan wordenbijgehouden over welke talenten, ervaringscertificaten endiploma's een lerende /werkende beschikt.

Het gebruik van ePortfolio's biedt de mogelijkheid om producten (werkstukken, video's etc.), reflectie, feedback en vastgelegde sturing van leeractiviteiten op te slaan

Juridische Risico s van Providers

Civielrechtelijke schade (onrechtmatige daad) Aanvullende schadevergoeding (art.49 Wbp) Bestuursrechtelijke sancties (Awb c.s.) Rechtelijk verbod van verboden gedraging (art. 50 Wbp)sturing van leeractiviteiten op te slaan.

Een bijdrage te leveren aan het verbeteren van deinformatiesystemen en uitwisselings mogelijkheden op dit terreinbij ketenpartners

Strafrechtelijk sancties (art. 75 Wbp) Strafrechtelijke overtredingen Strafrechtelijke misdrijven Una via (boete: strafrecht) Reputatieschade

Te helpen bij de implementatie van het ePortfolio bij eengelijktijdig in te richten multifunctionele voorziening voorbegeleiding van de doelgroep naar de arbeidsmarkt

Een betere overgang te bevorderen voor de leerlingen vanopleiding naar werk, zodat deze niet steeds weer opnieuw

Datalekken (€ 200.000,00) Aansprakelijkheid voor bedrijfsschade Aansprakelijkheid voor psychische schade

Overige aandachtspuntenp g , p

dezelfde procedures voor intake, training en plaatsing hoeven tedoorlopen.

Als ‘goodpractice’ voor andere regio’s waarin wordtsamengewerkt in dezelfde keten.

Boete & Zwijgrecht (art 68 Wbp) Dwangbevel (art. 73 lid 4) Geautomatiseerd individueel besluit (art.42) Disproportionele administratiekosten Hoge kosten van legal recovery Hoge kosten van legal recovery Belang van permanente educatie: vinger aan de pols houden

Privacyaspecten Provider ePortfolioPlan van Aanpak voor ePortfolio Providers Privacyaspecten systeembeheer

Beveiliging ePortfolio Wbp status bepalen van de organisatie (P.I.A.) Beveiliging ePortfolio

Informatiebeveiliging ICT-beheer (ITIL)

Service Level Agreement

Wbp status bepalen van de organisatie (P.I.A.)

Administratieve en organisatorische maatregelen

Inventarisatie en toetsing processen (Pré Proces Audit©)

Calamiteitenplan

Incidentbeheer/ Data lekken

Bewaren/verwijderen

Inventarisatie verwerkingen

Beheer en nazorg (Privacy Management Dossier (P.M.D.)

Registratie verwerkingen (openbaarregister)

Jaarlijkse controle

Informatieplicht

Art. 8 WbpVerwerkings

grondg

Afspraken met gebruikersPrivacyaspecten gebruikersorganisatie

Wb t t b ik i tiBron: CBP, Privacy Enhancing Technologies, The Path to Anonimity, A&V Studie

ePortfolio gebruikersorganisatie

Wbp status gebruikersorganisatie

Bewerkersovereenkomst

Backup procedure

I f ti li ht

, y g g , y,Nr.11 (revised) 2000, p. 26

Informatieplicht

Beveiligingprocedures

Service Level Agreement

I id b h /D l kk Incidentbeheer/Datalekken

Calamiteitenplan

Art. 8 WbpVerwerkings

grondg

Privacy Implementatie MethodePrivacy Management Methode©

De Privacy Management Methode© is vooral bedoeld als

Grafisch overzicht implementatie proces

Stap I Privacy Impact Audit©DirectieDe Privacy Management Methode© is vooral bedoeld alsverbeterinstrument. Dit model beoogt de leiding van eenorganisatie inzicht te geven in welke mate de organisatie voldoetaan de Wbp en wat er aan gedaan kan worden.

De doelstelling van de Privacy Management Methode© is specifiektoegesneden op de analyse van de verwerking- en beveiliging van

Stap I Privacy Impact Audit©

Pré Proces Audit©

Administratieve Organisatie

Directie

Stap II

Stap III

Strategie & beleid

Procesmanagementtoegesneden op de analyse van de verwerking en beveiliging vanpersoonsgegevens in een organisatie binnen het kader van deWBP.

Het is van groot belang dat er wordt vastgestelt welke wettelijkevereisten vanuit de WBP, maar ook vanuit andere wetgevingen(GBA Politiewet etc ) van toepassing zijn op de verwerking van

Privacy Management Dossier©Stap V

Stap IVInventarisatie verwerkingenUitvoering/Middelen

Beheer & Nazorg

g

(GBA, Politiewet, etc.) van toepassing zijn op de verwerking vanpersoonsgegevens binnen de organisatie.

Medewerkers

Ei

Waardering van

medewerkers

Directeur

Processen

Strategie & beleid

Middelen

ind resultaat

Waardering door klanten

en leveranciers

Waardering door

maatschappij

Leren en verbeteren

ResultaatOrganisatie

10 Praktische Conclusies 10 Praktische Conclusies

1. Privacyaspecten van ePortfolio zijn vaak complexer dan gedacht1. Privacyaspecten van ePortfolio zijn vaak complexer dan gedacht

2. Veel parallelle ontwikkelingen waardoor actualisering onontbeerlijk is (EU)

3. Privacy Booby Traps: Vaak wordt onbewust/ onbedoeld niet voldaan i t l iaan privacywet- en regelgeving

4. Verantwoordelijken lopen reputatierisico’s verhoogde dijkbewaking

5. Toezichthouders vragen om accountability (don’t tell, but show privacy compliance)compliance)

6. Hogere privacybewustzijn van eindgebruikers (klanten/patiënten)

7. Zwaar boeteregime bij non-compliance (b.v.b. datalek, € 200.000,00/incident), )

8. Aankomend boeteregime icm profileringsdrang toezichthouder (poisonpill)

9. Toenemende claimcultuur i.v.m. juridische aansprakelijkheidMet andere woorden:

10. Praktische oplossingen voor privacy compliance zijn relatief eenvoudig en goedkoop in vergelijking tot boetekosten, legal recovery support en bijkomende administratieve herstelkosten.

tijd voor relatief goedkope

preventieve actie (PIA)preventieve actie (PIA)

InfoDoc Privacy Management

E www.privacyloket.nlE infodoc@ziggo.nlT 06 – 40232495G Kosteloos, vrijblijvend eerste gesprek op uw kantoor