SlideShare une entreprise Scribd logo

Privacy Impact Assessment - Do's en Don'ts

Télécharger en tant que PPTX, PDF
Balance - Advies, Projecten, Interim
Balance - Advies, Projecten, Interim

Benut kansen, bescherm reputatie: daar draait het om bij de inzet van persoonsgegevens voor organisaties. Met het Privacy Impact Assessment (PIA) heb je als bedrijf een tool in handen om privacy risico's te beheersen. Zo kunt u gecontroleerd uw data inzetten, de privacy van uw klanten beschermen en daarmee uw imago. Bekijk de do's en don'ts over hoe je de PIA op een juiste manier gebruikt, in deze presentatie.

Business
1  sur  12
Privacy Impact Assessment Privacy Impact Assessment: de do’s & don’ts mr. Lydia Faltas maart 2015
Daarom een Privacy Impact Assessment (PIA) • In kaart brengen risicoprofiel nieuwe technologie • Hoog risicoprofiel = hoge eisen privacy bescherming • Veel persoonsgegevens = risico • Bijzondere persoonsgegevens (bijv. gezondheid) = risico • Gegevens in een land buiten EU = risico Privacy Impact Assessment
Gebruik het stappenplan van de PIA van NOREA Privacy Impact Assessment 1. Introductie: achtergrond en belang 2. Proces: stappen en aandachtspunten 3. Vragenlijst: vragen en toelichting 4. Bijlagen: begrippen en afkortingen 1 • Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren 2 • Verzamel relevante informatie over het project 3 • Vul de PIA vragenlijst in 4 • Beoordeel de impact en bedenk waar nodig aanvullende maatregelen 5 • Stel het PIA rapport op 6 • Optie: (onafhankelijke) toets op de PIA
Onderwerpen van de NOREA-PIA vragenlijst Privacy Impact Assessment 1. Introductie: achtergrond en belang 2. Proces: stappen en aandachtspunten 3. Vragenlijst: vragen en toelichting 4. Bijlagen: begrippen en afkortingen Het initiatief / project De gegevens levenscyclus Type project Gegevens Betrokken partijen Verzamelen Gebruiken Bewaren / Vernietigen Beveiliging
Zo checkt u al uw data en concludeer: bewaren of vernietigen? Privacy Impact Assessment 5
Voorbeeld uit de vragenlijst Privacy Impact Assessment Onderdeel Voorbeeld: koppelingsvraag Vraag Is een bewaartermijn voor de gegevens vastgesteld? Extra informatie Houdt hierbij rekening met het doel waarvoor de gegevens zijn verzameld en vervolgens worden verwerkt en bedrijfsrichtlijnen en wettelijk vastgestelde bewaartermijnen zoals bijvoorbeeld in de Archiefwet, belastingwet. Ja Ga verder. Nee U loopt een verhoogd risico. Indien gegevens oneindig bewaard worden wordt het risico dat deze gebruikt worden door ongeautoriseerde personen hoger. Eveneens brengt het kosten met zich mee om de gegevens te bewaren (en onderhouden). U loopt hiermee ook een compliance risico (zie art. 10 Wbp). U dient gegevens slechts zo lang te bewaren als nodig is voor het voldoen aan de doelstellingen. U kunt gegevens na deze periode wel geanonimiseerd bewaren.
De te voorkomen valkuilen bij het uitvoeren van een PIA Te laat: “Klaar voor productie, nog even een PIA doen!” Te smal: “Leuk zo’n PIA, maar scope maar zo smal als mogelijk!” Te ondiep: “Een stel vragen met Ja of Nee beantwoorden. Klaar!” Te hoge verwachtingen: “Privacy geregeld? Ja hoor, PIA uitgevoerd!” Te dom: “Dat kan ik wel in m’n eentje, ik ben toch IT-auditor?” “A fool with a tool is still a fool If all you have is a hammer, everything looks like a nail” Privacy Impact Assessment
De te benutten kwaliteiten: juiste positionering Privacy Impact Assessment Enterprise Risk Management Ontwikkeling Formeel juridisch Kwaliteit en beveiliging PbD PET PIA Accountability Privacy Risk Management PIA Operatie
Eerste toets… Durft u van de daken te schreeuwen wat u met persoonsgegevens doet? Privacy Impact Assessment
Contact Wilt u de risico’s die uw bedrijf loopt door data-gebruik meten en beheersen? Neem gerust contact op met onze Privacy-expert voor meer informatie: Privacy Impact Assessment Lydia Faltas business consultant Privacy T 020 – 676 3993 M 06 – 5393 5695 E lydiafaltas@balance.nl www.balance.nl
Meer Privacy producten en diensten Tools: Quick scan, Privacy Impact Assessment (PIA), Website check Advies: Privacy Legal review, Data breach management Interim: Data Protection Officer, Privacy Awareness training Check voor meer informatie: www.balance.nl/expertise/privacy Privacy Impact Assessment
Privacy Impact Assessment

Recommandé

Privacy Impact Assessment workshop
Privacy Impact Assessment workshopPrivacy Impact Assessment workshop
Privacy Impact Assessment workshopHenk Fernald
 
Workshop ketenunits jeugdcriminaliteit
Workshop ketenunits jeugdcriminaliteitWorkshop ketenunits jeugdcriminaliteit
Workshop ketenunits jeugdcriminaliteitHenk Fernald
 
Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari KING
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Robbert Hoendervanger ✓
 
Privacy Impact Assessment Final
Privacy Impact Assessment FinalPrivacy Impact Assessment Final
Privacy Impact Assessment FinalBen Omoakin Oguntala, developingafrica(dot)net
 
Leveranciersbijeenkomst big
Leveranciersbijeenkomst bigLeveranciersbijeenkomst big
Leveranciersbijeenkomst bigKING
 
69736_CDPO_web
69736_CDPO_web69736_CDPO_web
69736_CDPO_webHuib Tilanus
 
20201211 DPIA webinar
20201211 DPIA webinar20201211 DPIA webinar
20201211 DPIA webinarBart Van Den Brande
 

Recommandé

Privacy Impact Assessment workshop
Privacy Impact Assessment workshopPrivacy Impact Assessment workshop
Privacy Impact Assessment workshopHenk Fernald
 
Workshop ketenunits jeugdcriminaliteit
Workshop ketenunits jeugdcriminaliteitWorkshop ketenunits jeugdcriminaliteit
Workshop ketenunits jeugdcriminaliteitHenk Fernald
 
Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari KING
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Robbert Hoendervanger ✓
 
Privacy Impact Assessment Final
Privacy Impact Assessment FinalPrivacy Impact Assessment Final
Privacy Impact Assessment FinalBen Omoakin Oguntala, developingafrica(dot)net
 
Leveranciersbijeenkomst big
Leveranciersbijeenkomst bigLeveranciersbijeenkomst big
Leveranciersbijeenkomst bigKING
 
69736_CDPO_web
69736_CDPO_web69736_CDPO_web
69736_CDPO_webHuib Tilanus
 
20201211 DPIA webinar
20201211 DPIA webinar20201211 DPIA webinar
20201211 DPIA webinarBart Van Den Brande
 
Slides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalSlides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalKennisnet
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0marcsluiter
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijVNG Realisatie
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avgAad Weesenaar (CS)
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avgAad Weesenaar (CS)
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
Drieluik sebyde privacy 2 pagina's
Drieluik sebyde privacy 2 pagina'sDrieluik sebyde privacy 2 pagina's
Drieluik sebyde privacy 2 pagina'sSebyde
 
210604 (wr) v1 presentatie formatief evalueren
210604 (wr) v1 presentatie formatief evalueren210604 (wr) v1 presentatie formatief evalueren
210604 (wr) v1 presentatie formatief evaluerenWilfredRubens.com
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awarenessSURFnet
 
Voetballen is simpel
Voetballen is simpelVoetballen is simpel
Voetballen is simpelroelanddegraaff
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductieAgentschap Innoveren & Ondernemen
 
Rolf Kleef, IATI 3 oktober PARTOS
Rolf Kleef, IATI 3 oktober PARTOSRolf Kleef, IATI 3 oktober PARTOS
Rolf Kleef, IATI 3 oktober PARTOSJasper Middendorp
 
20131003 iati-hoe
20131003 iati-hoe20131003 iati-hoe
20131003 iati-hoeRolf Kleef
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacySebyde
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
[Dutch] Analytics is waarde-loos
[Dutch] Analytics is waarde-loos[Dutch] Analytics is waarde-loos
[Dutch] Analytics is waarde-loosPrudenza B.V
 
Simone van dulmen de proms toolbox
Simone van dulmen de proms toolboxSimone van dulmen de proms toolbox
Simone van dulmen de proms toolboxKelly Adegeest
 
Leaflet RI&E Privacy
Leaflet RI&E PrivacyLeaflet RI&E Privacy
Leaflet RI&E PrivacySebyde
 

Contenu connexe

Similaire à Privacy Impact Assessment - Do's en Don'ts

Slides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalSlides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalKennisnet
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0marcsluiter
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijVNG Realisatie
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
Drieluik sebyde privacy 2 pagina's
Drieluik sebyde privacy 2 pagina'sDrieluik sebyde privacy 2 pagina's
Drieluik sebyde privacy 2 pagina'sSebyde
 
210604 (wr) v1 presentatie formatief evalueren
210604 (wr) v1 presentatie formatief evalueren210604 (wr) v1 presentatie formatief evalueren
210604 (wr) v1 presentatie formatief evaluerenWilfredRubens.com
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awarenessSURFnet
 
Rolf Kleef, IATI 3 oktober PARTOS
Rolf Kleef, IATI 3 oktober PARTOSRolf Kleef, IATI 3 oktober PARTOS
Rolf Kleef, IATI 3 oktober PARTOSJasper Middendorp
 
20131003 iati-hoe
20131003 iati-hoe20131003 iati-hoe
20131003 iati-hoeRolf Kleef
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacySebyde
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
[Dutch] Analytics is waarde-loos
[Dutch] Analytics is waarde-loos[Dutch] Analytics is waarde-loos
[Dutch] Analytics is waarde-loosPrudenza B.V
 
Simone van dulmen de proms toolbox
Simone van dulmen de proms toolboxSimone van dulmen de proms toolbox
Simone van dulmen de proms toolboxKelly Adegeest
 
Leaflet RI&E Privacy
Leaflet RI&E PrivacyLeaflet RI&E Privacy
Leaflet RI&E PrivacySebyde
 

Similaire à Privacy Impact Assessment - Do's en Don'ts (20)

Slides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalSlides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraal
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
 
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbij
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018
 
Drieluik sebyde privacy 2 pagina's
Drieluik sebyde privacy 2 pagina'sDrieluik sebyde privacy 2 pagina's
Drieluik sebyde privacy 2 pagina's
 
210604 (wr) v1 presentatie formatief evalueren
210604 (wr) v1 presentatie formatief evalueren210604 (wr) v1 presentatie formatief evalueren
210604 (wr) v1 presentatie formatief evalueren
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awareness
 
Voetballen is simpel
Voetballen is simpelVoetballen is simpel
Voetballen is simpel
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie
 
Rolf Kleef, IATI 3 oktober PARTOS
Rolf Kleef, IATI 3 oktober PARTOSRolf Kleef, IATI 3 oktober PARTOS
Rolf Kleef, IATI 3 oktober PARTOS
 
20131003 iati-hoe
20131003 iati-hoe20131003 iati-hoe
20131003 iati-hoe
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 
[Dutch] Analytics is waarde-loos
[Dutch] Analytics is waarde-loos[Dutch] Analytics is waarde-loos
[Dutch] Analytics is waarde-loos
 
Simone van dulmen de proms toolbox
Simone van dulmen de proms toolboxSimone van dulmen de proms toolbox
Simone van dulmen de proms toolbox
 
Leaflet RI&E Privacy
Leaflet RI&E PrivacyLeaflet RI&E Privacy
Leaflet RI&E Privacy
 

Privacy Impact Assessment - Do's en Don'ts

  • 1. Privacy Impact Assessment Privacy Impact Assessment: de do’s & don’ts mr. Lydia Faltas maart 2015
  • 2. Daarom een Privacy Impact Assessment (PIA) • In kaart brengen risicoprofiel nieuwe technologie • Hoog risicoprofiel = hoge eisen privacy bescherming • Veel persoonsgegevens = risico • Bijzondere persoonsgegevens (bijv. gezondheid) = risico • Gegevens in een land buiten EU = risico Privacy Impact Assessment
  • 3. Gebruik het stappenplan van de PIA van NOREA Privacy Impact Assessment 1. Introductie: achtergrond en belang 2. Proces: stappen en aandachtspunten 3. Vragenlijst: vragen en toelichting 4. Bijlagen: begrippen en afkortingen 1 • Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren 2 • Verzamel relevante informatie over het project 3 • Vul de PIA vragenlijst in 4 • Beoordeel de impact en bedenk waar nodig aanvullende maatregelen 5 • Stel het PIA rapport op 6 • Optie: (onafhankelijke) toets op de PIA
  • 4. Onderwerpen van de NOREA-PIA vragenlijst Privacy Impact Assessment 1. Introductie: achtergrond en belang 2. Proces: stappen en aandachtspunten 3. Vragenlijst: vragen en toelichting 4. Bijlagen: begrippen en afkortingen Het initiatief / project De gegevens levenscyclus Type project Gegevens Betrokken partijen Verzamelen Gebruiken Bewaren / Vernietigen Beveiliging
  • 5. Zo checkt u al uw data en concludeer: bewaren of vernietigen? Privacy Impact Assessment 5
  • 6. Voorbeeld uit de vragenlijst Privacy Impact Assessment Onderdeel Voorbeeld: koppelingsvraag Vraag Is een bewaartermijn voor de gegevens vastgesteld? Extra informatie Houdt hierbij rekening met het doel waarvoor de gegevens zijn verzameld en vervolgens worden verwerkt en bedrijfsrichtlijnen en wettelijk vastgestelde bewaartermijnen zoals bijvoorbeeld in de Archiefwet, belastingwet. Ja Ga verder. Nee U loopt een verhoogd risico. Indien gegevens oneindig bewaard worden wordt het risico dat deze gebruikt worden door ongeautoriseerde personen hoger. Eveneens brengt het kosten met zich mee om de gegevens te bewaren (en onderhouden). U loopt hiermee ook een compliance risico (zie art. 10 Wbp). U dient gegevens slechts zo lang te bewaren als nodig is voor het voldoen aan de doelstellingen. U kunt gegevens na deze periode wel geanonimiseerd bewaren.
  • 7. De te voorkomen valkuilen bij het uitvoeren van een PIA Te laat: “Klaar voor productie, nog even een PIA doen!” Te smal: “Leuk zo’n PIA, maar scope maar zo smal als mogelijk!” Te ondiep: “Een stel vragen met Ja of Nee beantwoorden. Klaar!” Te hoge verwachtingen: “Privacy geregeld? Ja hoor, PIA uitgevoerd!” Te dom: “Dat kan ik wel in m’n eentje, ik ben toch IT-auditor?” “A fool with a tool is still a fool If all you have is a hammer, everything looks like a nail” Privacy Impact Assessment
  • 8. De te benutten kwaliteiten: juiste positionering Privacy Impact Assessment Enterprise Risk Management Ontwikkeling Formeel juridisch Kwaliteit en beveiliging PbD PET PIA Accountability Privacy Risk Management PIA Operatie
  • 9. Eerste toets… Durft u van de daken te schreeuwen wat u met persoonsgegevens doet? Privacy Impact Assessment
  • 10. Contact Wilt u de risico’s die uw bedrijf loopt door data-gebruik meten en beheersen? Neem gerust contact op met onze Privacy-expert voor meer informatie: Privacy Impact Assessment Lydia Faltas business consultant Privacy T 020 – 676 3993 M 06 – 5393 5695 E lydiafaltas@balance.nl www.balance.nl
  • 11. Meer Privacy producten en diensten Tools: Quick scan, Privacy Impact Assessment (PIA), Website check Advies: Privacy Legal review, Data breach management Interim: Data Protection Officer, Privacy Awareness training Check voor meer informatie: www.balance.nl/expertise/privacy Privacy Impact Assessment