Het belang van een Privacy Impact Assessment

Het belang van een Privacy Impact Assessment

DearBytesBlogHet belang van een Privacy Impact Assessment

woensdag 2 september 2015

“Heb jij je PIA al gedaan?”

Deze vraag van een compliance officer aan zijn collega privacy officer zal de komende tijd steeds vaker worden gehoord. De afkorting PIA, die voor velen waarschijnlijk onbekend is, staat voor ‘Privacy Impact Assessment’. Het begrip is afkomstig uit de vereisten van de privacywetgeving en zal steeds vaker onderwerp van gesprek zijn, want per 1 januari 2016 is de brede meldplicht datalekken van kracht.

Er zal gejuich door het privacy kamp gegaan zijn toen op 10 februari 2015 het wetsvoorstel voor de meldplicht werd aangenomen in de Tweede Kamer (en op 1 juli 2015 door de Eerste Kamer werd goedgekeurd). Organisaties krijgen een veel grotere verantwoordelijkheid om veilig, zorgvuldig en transparant met persoonsgegevens om te gaan. Dat geldt ook voor leveranciersrelaties: er moet vanuit ‘ketens’ worden gedacht. Dit betekent dat het aansprakelijkheidsrisico stijgt voor de organisatie. Een en ander wordt verder aangescherpt doordat de toezichthouder hogere bestuurlijke boetes kan uitdelen.

Aan de slag!

Iedere organisatie die te maken heeft met persoonsgegevens, staat de komende maanden voor de uitdaging om de vereisten van de meldplicht te implementeren. Voor de ene organisatie is dit een grotere uitdaging dan voor de andere, maar dezelfde vragen staan centraal, namelijk:

  • Wat is de impact van de meldplicht op uw organisatie?
  • Wat zijn de informatiebeveiligingsrisico’s voor uw organisatie?
  • Welke (aanvullende) informatiebeveiligingsmaatregelen moet u implementeren?

Het begint uiteraard met het kennen van de wetgeving en de daaruit voortvloeiende vereisten. Er is de laatste tijd veel geschreven over de vereisten vanuit de Wet bescherming persoonsgegevens (Wbp) en de meldplicht. Hierover kunt u meer lezen in een eerdere blog van Dearbytes: https://www.dearbytes.com/blog/meldplicht-datalekken-aangenomen/

Stel bijvoorbeeld dat uw organisatie voor commerciële doeleinden een klantenbestand bijhoudt met daarin per klant de NAW-gegevens, het bankrekeningnummer en de producten die de klant heeft afgenomen. Deze gegevens staan bij u opgeslagen, maar u stuurt ze bijvoorbeeld ook naar een marketingbureau dat mailings en marketinguitingen verzorgt.

We kunnen in dit voorbeeld vaststellen dat u persoonsgegevens verwerkt en dat de meldplicht datalekken voor u relevant is. De eerste stap is het verkrijgen van inzicht door het stellen van de volgende vragen:

  • In welke systemen/processen/afdelingen worden persoonsgegevens verwerkt?
  • Wie is hierbij betrokken?

We stellen ook vast dat u persoonsgegevens uitwisselt met een leverancier, een ‘bewerker’. Ook hiervoor geldt dat je inzicht wilt krijgen door het stellen van de volgende vragen:

  • Wat doet deze bewerker met deze persoonsgegevens?
  • Waar slaat de bewerker deze gegevens op?

Het is namelijk te allen tijde de verantwoordelijkheid van uw organisatie dat de veiligheid van deze persoonsgegevens gewaarborgd blijft!

Bij twijfel melden!

pia meldknop afbeeldingOp de vraag wanneer er gemeld moet worden, geeft het CBP op dit moment aan dat er gemeld moet worden indien een datalek ‘ernstige nadelige gevolgen’ heeft voor de bescherming van persoonsgegevens. Het vaststellen in de praktijk of een datalek (kans op) ‘ernstige nadelige gevolgen’ heeft is niet altijd mogelijk. Zo zijn ransomware aanvallen aan de orde van de dag. In de meeste gevallen wordt middels een besmetting uw data versleuteld. Hierna wordt om losgeld gevraagd om de data weer vrij te geven. Is uw data versleuteld geraakt vanwege een externe bedreiging, waardoor we spreken van een datalek? Dan is het antwoord ‘JA’. Echter om te weten of dit ernstige nadelige gevolgen heeft, zou het om misbruik van de getroffen data moeten gaan. In het geval van ransomware is dit laatste niet zo eenduidig vast te stellen.

We hebben gebeld met het CBP hierover, en het antwoord is geweest om in dit soort gevallen altijd overgaan tot melding, oftewel bij twijfel melden! Het CPB werkt momenteel aan richtsnoeren, die meer handvaten voor de implementatie moeten bieden.

Wel blijft het dus van belang om bij elke inbreuk op de beveiliging een impact analyse te maken, alvorens het overgaan tot de melding. De impact analyse geeft antwoord op wat de aard van de gegevens is, die geraakt zijn, wat de omvang is en wat de mogelijke gevolgen hiervan zijn.

Privacy Impact Assessment

Het bepalen van de impact van de privacy wetgeving en de bijbehorende risico’s van uw gegevensverwerking vindt mede plaats door het uitvoeren van de zogenaamde PIA, ofwel ‘Privacy Impact Assessment’. Deze PIA is binnen de Wet bescherming persoonsgegevens reeds verplicht voor de rijksoverheid en zal vanuit de Europese wetgeving ook verplicht gesteld worden voor bedrijven. Het CBP noemt de PIA een belangrijk hulpmiddel, om zelf te controleren of een product/dienst ‘privacy proof’ is.

De assessment stimuleert om tijdig na te denken over de ontwikkeling/implementatie van een product of dienst in verband met privacy. De assessment is vooral bedoeld om uit te voeren in de ontwikkelingsfase (projectfase). Hiermee worden de belangrijkste privacy risico’s vroegtijdig zichtbaar, waardoor kostbare aanpassingen achteraf voorkomen worden. (Zie voor een handreiking m.b.t. de PIA: www.norea.nl)

Echter de PIA gaat niet verder in op vragen over ‘wat’ en ‘hoe’ m.b.t. de concrete beveiliging. En daar ligt nou juist de grootste behoefte! Wij geloven erin, dat het uitvoeren van een risico analyse op informatiebeveiliging en advies op implementatie van informatiebeveiliging hier een grote bijdrage aan levert.

Door het uitvoeren van een Privacy Impact Assessment en een risico analyse wordt  dus aantoonbaar de vertaalslag gemaakt naar passende beveiligingsmaatregelen voor uw informatiebeveiligingsrisico’s. Een van de belangrijkste maatregelen hierin is vaak de toepassing van encryptie op vertrouwelijke gegevens.

Vanuit onze verregaande expertise op het gebied van IT Security en onze kennis van de vereisten van de wetgeving kenmerken we onszelf als gesprekspartner op dit gebied. Dearbytes zit graag met u aan tafel om de uitkomsten van de Privacy Impact Assessment te bespreken. Ook verzorgt Dearbytes risicoanalyses op het gebied van informatiebeveiliging. We denken graag met u mee met het vertalen van deze uitkomsten naar concrete beveiligingsmaatregelen, om te voldoen aan de meldplicht datalekken.

We horen graag van u!

 

Bronnen:

www.cbpwb.nl

www.norea.nl