regels voor verwerking persoonsgegevens

Transcriptie

1 PRAKTIJKCURSUS Wet bescherming persoonsgegevens en andere privacywetgeving regels voor verwerking persoonsgegevens Gerrit-Jan Zwenne 11 augustus 2011 twitter twitter #PCWBP2011 #PCWBP2011

2

3 rechtmatige verwerking verwerkingsgronden ---- toestemming toestemming overeenkomst overeenkomst gerechtvaardigd gerechtvaardigd belang, belang, enz. enz. verzameldoel ---- welbepaald welbepaald gerechtvaardigd gerechtvaardigd én én uitdrukkelijk uitdrukkelijk omschreven omschreven doelbinding -- verdere verdere verwerking verwerking niet niet onverenigbaar onverenigbaar met met verzameldoel verzameldoel bewaren -- niet niet langer langer dan dan nodig nodig voor voor verzameldoel verzameldoel

4 verwerking toegestaan... betrokkene betrokkenejonger jonger dan danzestien zestienjaren jaren (of (ofonder ondercuratele curateleof of mentorschap) mentorschap) toestemming toestemmingvan van wettelijk wettelijk vertegenwoordiger vertegenwoordiger WP29 WP29Opinion Opinion 15/ /2011 on on Consent Consent 8a 8a jo jo 1(i) 1(i) en en 55 Wbp Wbp

5

6 verwerking is ook toegestaan... 8( 8(bb)-( )-(dd)) WBP WBP 8( 8(ee)-( )-(ff)) WBP WBP

7 proportionaliteit & subsidiariteit

8 verzamelen van tevoren vastgelegd géén blanco volmacht...administratie t.b.v. betalingen en inning van vorderingen, daaronder mede begrepen het in handen van derden stellen van vorderingen.. 77 Wbp Wbp

9 doelbinding 99 Wbp Wbp

10 bewaren Wbp Wbp

11

12 beveiligingsplicht passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen de maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen vage normen

13 meer beveiligingsplichten art. 13 Wbp NEN 7510 art Tw art Tw art. 7 BBGAT art. 3d Kadasterwet art. 7:453 BW art. 9c WVIB art. 7 WJSG art. 4 Wet pol.gegevens art. 33 BGBSNiZ ISO art. 2:5 Awb

14 aandachtspunten beveiliging - beveiligingsbeleid - administratieve organisatie - netwerken en externe verbindingen - beveiligingsbewustzijn - software van derden - eisen aan personeel - bulkverwerking - inrichting van werkplek - bewaren - toegangsbeheer en controle - vernietigen - beheer en classificatie ict infrastructuur - uitbesteden - continuïteit - enz.

15 achtergrondstudie exclusiviteit, integriteit en continuiteit vier risicoklassen praktisch wat gedateerd nieuw! richtsnoeren beveiliging inwerkingtreding in Q A&V 23 april 2001

16 passende maatregelen technisch toegangscontrole logfiles usb-sticks passwords backups enz. organisatorisch verantwoordelijkheden bevoegdheden instructies trainingen beveiligingsplan enz. passendheid stand v/d techniek kosten risico s soort verwerking soort gegevens hoeveelheid cq. aantal betrokkenen

17 risicoanalyse verhoogd verhoogd risico risico adressenhandel adressenhandel geen geen risico risico telefoonboek telefoonboek hoog hoog risico risico DNA DNA databank databank beperkt beperkt risico risico klantrelaties klantrelaties verhoogd verhoogd risico risico verzekeraars verzekeraars

18 Data protection watchdog distributes mailing list The The Dutch Dutch Data Data Protection Protection Authority Authority (Dutch (Dutch DPA), DPA), which which supervises supervises the the compliance compliance with with acts acts that that regulate regulate the the use use of of personal personal data, data, was was rather rather red-faced red-faced this this week week when when it it sent sent out out aa newsletter newsletter with with all all of of the the recipients recipients in in the the Cc: Cc: field field instead instead of of the the Bcc: Bcc: field. field. DPA's DPA's news news letter letter goes goes out out to to subscribers. subscribers. The The DPA, DPA, which which supervises supervises the the compliance compliance with with the the Dutch Dutch Personal Personal Data Data Protection Protection Act Act was was lucky lucky that that 'only' 'only' aa thousand thousand subscribers subscribers received received the the letter, letter, but but it it managed managed to to make make the the mistake mistake twice. twice. In In aa message message it it apologised apologised for for sending sending the the first first letter, letter, again again putting putting all all recipients recipients to to the the Cc Cc list, list, so so aa second second apology apology had had to to be be sent. sent.

19 doorne.com>, Cc: Cc: "Dries, "Dries, Hein" Hein" "Man, "Man, Mei Mei Po" Po" Conversation: Conversation: Consultatiedocument Consultatiedocument voorgenomen voorgenomen beleidsregels beleidsregels basismaatregel basismaatregel ogv ogv art. art Tw Tw Subject: Consultatiedocument voorgenomen beleidsregels basismaatregel ogv art Tw Subject: Consultatiedocument voorgenomen beleidsregels basismaatregel ogv art Tw OPTA mailing over consultatie internet veiligheid Geachte Geachte heer/mevrouw, heer/mevrouw, Hierbij Hierbij ontvangt ontvangt uu het het Consultatiedocument Consultatiedocument beleidsregels beleidsregels basismaatregelen basismaatregelen op op grond grond van van artikel artikel van van Telecomwet. Telecomwet. Disclaimer Disclaimer Voor zijn Voor verdere verdere informatie informatie verwijs verwijs ik ik uu naar naar de de bijlagen bijlagen die die in in deze deze zijn bijgevoegd. bijgevoegd. Dit Dit bericht bericht kan kan vertrouwelijke vertrouwelijke informatie informatie bevatten bevatten of of informatie informatie die die isis beschermd Met beschermd door door een een beroepsgeheim. beroepsgeheim. Indien Indien dit dit bericht bericht niet niet voor voor uu isis Met vriendelijke vriendelijke groet, groet, bestemd, bestemd, wijzen wijzen wij wij uu erop erop dat dat elke elke vorm vorm van van verspreiding, verspreiding, [XXXXX] [XXXXX] vermenigvuldiging vermenigvuldiging of of ander ander gebruik gebruik ervan ervan niet niet isis toegestaan.indien toegestaan.indien dit dit Secretariaat Secretariaat IPB IPB bericht bericht blijkbaar blijkbaar bij bij vergissing vergissing bij bij uu terecht terecht isis gekomen, gekomen, verzoeken verzoeken wij wij uu Opta Autoriteit Opta Onafhankelijke Onafhankelijke Post Post en en Telecommunicatie Telecommunicatie Autoriteit ons ons daarvan daarvan direct direct op op de de hoogte hoogte te te stellen stellen via via tel.nr tel.nr of of ee mail mail en en het het bericht bericht te te vernietigen. vernietigen. Tel.: Tel.: (0)70 (0) xxx 3159xxx Fax: Fax: (0)70 (0)

20 bewerker en verantwoordelijke bewerker verantwoordelijke verwerking onder gezagverwantwoordelijke geheimhoudingsplicht aansprakelijkheid m.b.t. eigen werkzaamheid - tenzij tegenbewijs - zorgplicht m.b.t. verwerking - audits, informeren enz. - naleving recht andere EU-lidstaten zorgplicht m.b.t. beveiligingsplichten vastgelegd in schriftelijke of andere gelijkwaardige vorm (bijv. overeenkomst) 12, 12, 14, 14, Wbp Wbp

21 geautomatiseerde besluitvorming geautomatiseerde gegevensverwerking - om beeld te krijgen van persoonlijkheid van betrokkene, én - met rechtsgevolgen die betrokkene in aanmerkelijke mate treffen toegestaan als - beslissing ihkv sluiten of uitvoeren van overeenkomst verzoek van de betrokkene is voldaan, of passende maatregelen ter bescherming van zijn gerechtvaardigd belang, of wettelijke waarborgen informatieplicht - logica die ten grondslag ligt aan geautomatiseerde verwerking van gegevens kredietwaardigheid kredietwaardigheid ( credit ( credit score ) score ) betrouwbaarheidsbetrouwbaarheidsanalyse analyse huursubsidie, huursubsidie, studiefinanciering studiefinanciering enz. enz. 42Wbp 42Wbp

22 «bijzondere gegevens» levensovertuiging of godsdienst politieke gezindheid lidmaatschap vakbond ras seksuele leven gezondheid strafrechtelijke gegevens (e.d.) én burgerservicenummer en en Wbp Wbp

23 verwerking «bijzondere gegevens» verwerking bijzondere gegevens verboden, tenzij - met uitdrukkelijke toestemming (enz.), of - door bepaalde verwerkers en voor bepaalde doeleinden - enz t/m t/m 24 Wbp 24 Wbp

24 «rasgegevens» verwerking mag voorzover onvermijdelijk ter identificatie voorzover nodig i.v.m. positieve discriminatie - alleen gegevens betreffende geboorteland van de betrokkene, van diens ouders of grootouders, - dan wel andere, bij wet vastgestelde criteria o.g.v. objectief kan worden bepaald of iemand tot een minderheidsgroep behoort, en geen schriftelijk bezwaar van betrokkene Wbp Wbp

25 uitdrukkelijk [onjuist is] dat in een geval [..] waarin de vordering uitdrukkelijk ook betrekking had op foto's van personen, toepassing van [art. 18 Wbp en 126nf Sv] alleen in aanmerking komt indien met de vordering is beoogd de desbetreffende gevoelige [ras] informatie aan die foto's te ontlenen HR 23 maart 10 Alléén als een verantwoordelijke foto s of ander beeldmateriaal publiceert met het uitdrukkelijke doel om onderscheid te maken naar ras, is bijzondere oplettendheid geboden. In dat geval acht het CBP het een redelijke wetstoepassing om het beeldmateriaal aan te merken als een bijzonder persoonsgegeven. CBP richtsnoeren doel onderscheid maken

26 echter Rb Zutphen 15 april 2010 LJN BM1196 Rb Arnhem 3 aug LJN BN2280 Hof Den Haag 6 mei 2010 LJN BM8433 Rb Alkmaar 5 aug LJN BN3312 Rb Rotterdam 19 mei 2010 LJN BM5003 Hof Arnhem 3 juni 2010 LJN BM6941 Rb Haarlem 11 juni 2010 LJN BM7440 Rb Amsterdam 5 juli 2010 LJN BN1025 Rb Rotterdam 22 juli 2010 LJN BN3338 en BN3336

27 «vakbondslidmaatschap» door betreffende vakbond of vakcentrale - voor zover dat gelet op de doelstelling van de vakbond of centrale noodzakelijk is - derdenverstrekking alléén met toestemming van betrokkene Wbp Wbp

28 «bijz. gegevens» verwerking mag ook Wbp Wbp

29 persoonsnummers nummer ter identificatie van betrokkene bij wet voorgeschreven - burgerservice-nummer alléén gebruiken ter uitvoering van betreffende wet dan wel voor doeleinden bij wet bepaald - belastingheffing enz. besluit bsn - Stb. 2007, Wbp Wbp