Embed Size (px)
Citation preview
Workshop Privacy
Bereid u voor op (nieuwe) wet- en regelgeving
10 november 2016
Wie zijn we?
• Full service kantoor met specialisten
Kantoor Boxtel: 17 advocaten
Kantoor Tilburg: 5 advocaten
• Stevige wortels in regio’s Tilburg – Den Bosch – Eindhoven
• Advies- en procespraktijk
• Mediation
Vakgebieden
• Familie en Scheiding
• Arbeid en Ontslag
• Contract en Onderneming
• Faillissement en Herstructurering
• Intellectuele Eigendom, IT en privacy
• Schade en Verzekering
• Overheid en Omgeving
• Vastgoed en Projectontwikkeling
• Incasso
Sectie IE / IT
Jos van der Wijst Tim de Klerck Jelle Beerens
Programma
• Wat is privacy? – Europees – Nationaal
• Wet bescherming persoonsgegevens (tot mei 2018)
– Belangrijkste aandachtspunten – Uitbreiding boetebevoegdheid CBP – Meldplicht datalekken
• Algemene verordening gegevensbescherming (vanaf mei 2018) – Belangrijkste wijzigingen – Wat moet u nu al doen
Wat is privacy? “Europees Verdrag voor de Rechten van de Mens” (EVRM) Article 8. - Right to respect for private and family life • 1.Everyone has the right to respect for his private and
family life, his home and his correspondence. • 2.There shall be no interference by a public authority
with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.
Wat is privacy? Artikel 10 Grondwet
• 1.Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
• 2.De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
• 3.De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.
Wat is privacy? Europese privacyrichtlijn:
“(Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens)”.
In Nederland (vooral) vastgelegd in de Wet Bescherming Persoonsgegevens (‘WBP’).
Vanaf mei 2018: De (Europese) algemene verordening gegevensbescherming (AVG).
WBP Belangrijkste begrippen I: • Persoonsgegeven:
• elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
• Verantwoordelijke: • de natuurlijke persoon, rechtspersoon of ieder ander die of het
bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
• Verwerking van persoonsgegevens: • elke handeling of elk geheel van handelingen met betrekking tot
persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
WBP
Belangrijkste begrippen II:
• Betrokkene: • degene op wie een persoonsgegeven betrekking heeft.
• Bewerker: • degene die ten behoeve van de verantwoordelijke persoonsgegevens
verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
• Bestand: • Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van
gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
WBP • Algemene persoonsgegevens
• Alle niet bijzondere (gevoelige) persoonsgegevens
• Bijvoorbeeld: naam, adres, woonplaats, telefoonnummer, kenteken, enzovoorts.
• Bijzondere persoonsgegevens (art. 16 WBP) • Godsdienst of levensovertuiging
• Ras
• Politieke gezindheid
• Gezondheid
• Seksuele leven
• Lidmaatschap vakvereniging
• Strafrechtelijke gegevens
WBP Verplichtingen uit de WBP voor alle persoonsgegevens:
• Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt (artikel 6).
• Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld (artikel 7).
• Persoonsgegevens mogen slechts worden verwerkt indien de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend, tenzij…(artikel 8).
WBP
Overige verplichtingen bij alle persoonsgegevens:
• Doelbinding (artikel 7,9 & 11)
• Korte bewaartermijn (artikel 10)
• Adequate beveiliging (artikel 13)
• Duidelijke afspraken met bewerker (artikel 14)
WBP
Bewerkersovereenkomst
• Schriftelijke afspraken met de bewerker, naast
reguliere contractbepalingen ook en vooral het volgende:
– Niveau van beveiliging;
– Wat te doen bij een datalek (bewerker moet dat z.s.m. bij u melden);
– Aansprakelijkheid.
WBP
Voorschriften bijzondere persoonsgegevens
• Hoofdregel: bijzondere persoonsgegevens mogen niet worden verwerkt, tenzij…;
– Specifieke afwijking in wet dit mogelijk maakt;
– Andere grondslag, zie volgende slide.
WBP Uitzonderingen op verbod verwerking bijzondere persoonsgegevens: - Betrokkene geeft uitdrukkelijk toestemming; - Betrokkene heeft gegevens duidelijk openbaar gemaakt; - Noodzakelijk voor uitoefening of verdediging recht in rechte; - Noodzakelijk ter verdediging vitaal belang, terwijl toestemming niet
verkregen kan worden; - Volkenrechtelijke verplichting; - Zwaarwegend algemeen belang; - Door Autoriteit persoonsgegevens of Ombudsman; - Statistische of wetenschappelijke doeleinden.
• Let op, ook dan moet voldaan worden aan de overige eisen uit de WBP!
WBP
Overige relevante zaken:
• Algemene meldingsplicht, voorafgaand aan verwerking persoonsgegevens (artikel 27);
• Mogelijkheid gedragscode op te stellen voor organisatie of organisaties (artikel 25);
• Aanstellen functionaris voor de gegevensbescherming (artikel 62).
Uitbreiding boetebevoegdheid • Artikel 66 WBP
– Eerst een bindende aanwijzing, tenzij opzettelijke overtreding of ernstig verwijtbare nalatigheid.
• ‘Boetebeleidsregels Autoriteit Persoonsgegevens 2016’
• Bestuursorgaan dat boetes op kan leggen. AWB van toepassing, dus ook bezwaar en beroep en algemene beginselen van behoorlijk bestuur.
• Boete besluit is openbaar.
Uitbreiding boetebevoegdheid Drie boete maxima, afhankelijk van welk artikel is overtreden en de ernst van de overtreding: • € 820.000,- (Bijna alle artikelen WBP)
– Categorie i tussen € 0 en € 200.000,- – Categorie ii tussen € 120.000,- en € 500.000,- – Categorie iii tussen € 350.000,- en € 820.000,-
• € 450.000,- (Aantal artikelen Telecommunicatiewet en AWB) – Categorie i tussen € 0 en € 100.000,- – Categorie ii tussen € 60.000,- en € 300.000,- – Categorie iii tussen € 200.000,- en € 450.000,-
• € 20.500,- (Aantal artikelen WBP, WPG en WJSG) – Categorie i tussen € 0 en € 12.500,- – Categorie ii tussen € 7.500,- en € 20.500,-
Meldplicht datalekken Artikel 34a WBP: • 1.De verantwoordelijke stelt het College onverwijld in
kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
• 2.De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
• 3. (…)
Meldplicht datalekken Artikel 13 WBP: De verantwoordelijke legt passende (1) technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen (2) verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, (3) rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een (4) passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht (5) onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Meldplicht datalekken
Wel of niet melden?
• Kans op ernstige nadelige gevolgen?
– Kwantitatief (grote omvang)
– Kwalitatief (gevoelige gegevens)
• Waarschijnlijk ongunstige gevolgen voor persoonlijke levenssfeer ?
– Identiteitsfraude
– Discriminatie
– Reputatieschade
Meldplicht datalekken Wat kunt u concreet doen? Technische maatregelen: • Adequate ICT, denk aan goede encryptie, antivirus software, bescherming
van de cloud, complexe wachtwoorden, enzovoorts, laat u hierover voorlichten door een IT expert!;
• Duidelijke afspraken maken met bewerkers/derden, bijvoorbeeld NDA voor leveranciers, maar ook afspreken met de bewerker wie wat doet bij een mogelijk datalek.
• Eventueel een verzekering afsluiten (cyberrisico verzekering).
Organisatorische maatregelen: • Instrueer uw personeel; • Maak een duidelijk protocol voor persoonsgegevens; • Maak een draaiboek voor het geval dat er een datalek is.
Meldplicht datalekken Hoe moet u melden als er toch een datalek is?
Aan de Autoriteit Persoonsgegevens:
• Melden zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek;
• Invullen formulier op site van Autoriteit Persoonsgegevens(eventueel per fax indienen);
• Formulier wordt opgeslagen in niet openbaar register;
Meldplicht datalekken Melden aan de betrokkene? • Aparte afweging maken; • Gegevens verloren of in handen van derden;
– Back-up beschikbaar? – Gegevens onleesbaar voor derden (cryptografie, hashing, enz.), let op
stand van de techniek;
• Bij gevoelige persoonsgegevens in principe altijd melden aan de betrokkene,
• Eventueel melding achterwege laten, vanwege belang betrokkene boven verantwoordelijke: – Melding van kind over mishandeling door ouder; – Te grote administratieve last om te melden (zal niet snel het geval zijn); – Gegevens van een beursgenoteerde onderneming tijdens een overname.
Meldplicht datalekken Wat moet u melden aan de betrokkene? U meldt de betrokkene onverwijld: • De aard van de inbreuk;
– Algemene omschrijving
• De instanties waar de betrokkene meer informatie over de inbreuk kan vinden;
• Maatregelen die u aan de betrokkene aanbeveelt om de gevolgen te beperken; – Bijvoorbeeld aanpassen wachtwoorden
• Manier van informeren is afhankelijk van de aard en de omvang van de inbreuk. – Meestal in ieder geval individueel informeren d.m.v. bijv. e-mail.
Meldplicht datalekken Bewaren gegevens over het datalek.
• U moet de gegevens over het datalek bewaren – Overzicht van feiten en gegevens omtrent de aard van de inbreuk;
– Bij melding aan betrokkenen, ook die melding bewaren;
– 1 jaar of 3 jaar bewaren, afhankelijk van de situatie (geregeld in beleidsregels).
• U bewaart de gegevens ten behoeve van: – Lering trekken uit het datalek en de wijze van afhandeling;
– Antwoorden kunnen geven op vragen van betrokkenen;
– Alsnog melden van een datalek aan betrokkenen, wanneer de omstandigheden daartoe aanleiding geven.
– Eventueel om te gebruiken in een juridische procedure;
Oefening • Uw huisarts deelt uw medische historie met een
medicijnfabrikant, mag dat?
• Een werknemer van uw bedrijf verliest een USB stick, het is onzeker wat er op die stick staat, maar de stick is niet beveiligd, moet u dat melden?
• Uw werkgever weigert om uw personeelsdossier aan u te verstrekken, wat kunt u doen?
• Een webwinkel bewaart uw gegevens 10 jaar lang, omdat dit makkelijk is. Kan dat?
Wat brengt de toekomst?
• Steeds meer besef in de samenleving over de gevoeligheid van persoonsgegevens;
– Bijvoorbeeld verzoeken om persoonsgegevens.
• Constante strijd tussen hackers en beveiliging, periodieke evaluatie van beleid en beveiliging is noodzakelijk.
• Europese privacyverordening, van kracht vanaf voorjaar 2018: nog strengere regels.
Algemene verordening gegevensbescherming
• Van kracht vanaf 25 mei 2018; • Europese verordening (= Europese wet);
• Groter toepassingsgebied:
– Ook van toepassing op verwerkers (nu nog ‘bewerkers’) in de EU;
– Ook van toepassing zonder vestiging in de EU, als goederen of diensten in EU worden aangeboden, of monitoren van gedrag in de EU.
– Hoe te handhaven?
Algemene verordening gegevensbescherming
Nieuwe verplichtingen voor de verwerker (nu nog bewerker): • Strenge eisen voor subverwerkers; • Verwerkers buiten unie moeten vertegenwoordiger in unie
aanwijzen; • Beveiligingsinbreuken melden; • Register van verwerkingen bijhouden; • Meewerken met toezichthouder; • Functionaris voor de gegevensbescherming hebben; • Regulering gegevensdoorgifte aan landen buiten de unie.
• Betrokkene kan straks rechtstreeks verwerker aanspreken.
Algemene verordening gegevensbescherming
Meer rechten voor betrokkenen: • Meer recht op informatie over bewaartermijnen,
klachtrecht, doorgiften naar landen buiten EU; • Recht op vergetelheid; • Recht op dataportabiliteit. • Recht op beperking (opschorten gebruik van
gegevens bij onjuiste of onrechtmatige gegevens).
Algemene verordening gegevensbescherming
Meer formaliteiten, onder meer:
• Register van verwerkingsactiviteiten;
• Gegevensbeschermingseffectbeoordeling;
• Functionaris voor de gegevensbescherming (privacy officer) aanstellen.
Algemene verordening gegevensbescherming
Twee boete categorieën, afhankelijk van de overtreding:
• € 10 miljoen of 2% van de wereldwijde jaaromzet (informatieverplichtingen);
• € 20 miljoen of 4% van de wereldwijde jaaromzet (fundamentele plichten).
Algemene verordening gegevensbescherming
Wat kunt u bijvoorbeeld al doen?
• Bepaal wat u bent: verwerkingsverantwoordelijke, verwerker of betrokkene?
• Zoveel mogelijk de huidige WBP naleven;
• Registreer nu al welke verwerkingen plaatsvinden en wie de betrokkenen zijn;
• Zorg op tijd voor technische aanpassingen t.b.v. dataportabiliteit.
