Onderzoek, profileren en

Transcriptie

1 Onderzoek, profileren en dataportabiliteit en andere topics Peter van Schelven Verbond voor Verzekeraars 24 oktober 2017

2 Nieuwe spelregels privacy Van: Naar: Wet bescherming persoonsgegevens (Wbp) Algemene Verordening Gegevensbescherming (AVG/GDPR) Wanneer: 25 mei 2018

3 In de maak in NL: Uitvoeringswet AVG

4 Trends & Ontwikkelingen volume van persoonsdata die opgeslagen/verwerkt worden maatschappelijke en economische waarde van data complexiteit van interacties (keten-it, IoT) meer & nieuwe bedreigingen op privacy range van analytics van personen & groepen globalisering van dataverkeer kring van stakeholders neemt toe privacy inzetten als competitive advantage; trust

5 GDPR: de stand van zaken WatchGuard Technologies (bron: SecurityVandaag.nl) 37% organisaties weet niet of ze aan de GDPR moet voldoen 28% organisaties denkt dat ze niet compliant hoeft te zijn 10% organisaties geeft aan nu GDPR-compliant te zijn 90% is nog niet GDPR-compliant 44% weet niet hoe ver zij verwijderd zijn van GDPRcompliancy

6 Beginselen privacy-recht 1. Collection Limitation Principle 2. Data Quality Principle 3. Purpose Specification Principle 4. Use Limitation Principle 5. Security Safeguards Principle 6. Openness Principle 7. Individual Participation Principle 8. Accountability Principle

7 Eigendom van data? 1. Wat is voorwerp van eigendom? 2. Aanspraken op persoonsgegevens in de Cloud 3. Additionele bescherming - Backup-regeling - Cloud Secure contracten - Data-escrow

8 Nieuw! Voorontwerp Cybersecurity-wet Juli 2016 NIB-Richtlijn Juni 2017 Voorontwerp Cybersecuritywet Doel: 9 mei 2018 Extra meldplicht voor o.a. AED s, Cloudproviders en Online marktplaatsen O.a. Nationaal Cyber Security Centre Boete: max. 5 milj. Euro

9 Nieuw in de GDPR Accountability Registerplicht Privacy Impact Assessment Verwerkerscontracten Privacy by Design /Default Recht om te worden vergeten Functionaris Gegevensbescherming One shop stop Data-portabiliteit

10 GDPR: veel blijft bij het oude persoonsgegevens geïdentificeerde of (direct of indirect) identificeerbaar persoon IP-adressen, relatienummers biometrische gegevens zakelijke contacten pseudonimiseren / versleutelen anonimiseren

11 Verwerken van persoonsgegevens IT versus wet alle handelingen gedurende de lifecycle van data (van verzamelen, opslag, bewaren tot vernietigen) zelf verwerken of verwerken door een derde?

12 Bewerker; MvT bij Wbp Het bewerkersbegrip is in principe van toepassing op verschillende vormen van dienstverlening. Uitgangspunt is daarbij dat de dienstverlening betrekking heeft op het verwerken van persoonsgegevens. Zodra de gegevensverwerking een uitvloeisel is van een andere vorm van dienstverlening, is de dienstverlener daarvoor zelf verantwoordelijk. Een advocaat die namens een cliënt optreedt of een telemarketingbedrijf dat in opdracht van een derde onderzoek verricht, is bijvoorbeeld zelf verantwoordelijk voor de verwerking van persoonsgegevens die in het kader van hun taak plaatsvindt.

13 Dataportabiliteit (1) ratio/inhoud = ontvangen of doorzenden recht jegens verantwoordelijke, niet jegens verwerker gangbaar, machine-leesbaar en interoperabel formaat alleen bij grondslagen: toestemming of contract contract => breed data-portabliteitsbegrip (bv titels van een streaming dienst, zoekgeschiedenis, locatiegegevens). niet bij andere grondslagen

14 Dataportabiliteit (2) geen plicht van verantwoordelijke om interoperabele systemen te ontwikkelen recht tot ontvangst/doorzenden mag echter niet de privacy-rechten van anderen aantasten niet bij openbaar belang recht om data te laten wissen blijft intact afwijking: Archiefwet

15 Recht op dataportabiliteit: praktisch niet: geanonimiseerde gegevens afspraken / verwerkerscontract koop/ontwikkel tooling heeft uw klant een downloadmogelijkheid in klantenportaal? je hoeft niet meer data bij te houden dan je al hebt geen kostenvergoeding data niet automatisch verwijderen Belangrijk: géén afgeleide gegevens verstrekken, d.w.z. gegevens die u zelf heeft gegenereerd door data-analyse. (bijv. kredietscore of klantprofiel)

16 Security-plichten Technisch Organisatorisch Lees- en mutatierechten Logging Functie-scheiding PIA Verwerkingenregister

17 Security onder GDPR Technisch / organisatorisch Stand van de techniek Kosten Normering KPN-boete Bestuurlijke boete Last onder dwangsom In VS: handhaving per contract Kifid-case: IP-adres en internetbankieren Security verzekeraar security klant

18 Privacy by design (art GDPR) Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

19 PbD - praktisch Ontwerpen Programmeren Testen Data-minimalisatie Separeer verwerkingsprocessen Geringe aggregatie van processen en data Verberg zoveel mogelijk data Technische bescherming Logging t.b.v. control/accountability Rechten van datasubjecten

20 Privacy by Default (art GDPR) De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

21 Datalekken volgens GDPR Breed begrip datalekken: - inbreuken op beveiliging - op straat - interne onrechtmatigheden - ongelukken Meldplicht - toezichthouder: onverwijld, max. 72 uur - betrokken burgers: onverwijld - maatregelen treffen

22 Big Data en profiling

23 Kerncijfers Big Data Iedere 2 dagen creëren we meer data dan vanaf het begin der tijden tot % van alle beschikbare digitale informatie is vanaf 2010 gecreëerd Inschatting: In 2020 is de hoeveelheid data 44 keer zo groot als in Inschatting: omvang data in 2020 is 35 zetabite (1 zetabyte is 1 miljard terabyte) Inschatting: IoT bewerkstelligt dat het aantal slimme apparaten dat is verbonden met Internet 50 miljard zal zijn

24 Big data: volop in aandacht Zie: NJV Pre-advies 2016 van L. Moerel/C. Prins Zie: WRR 2016: Exploring the Boundaries of Big Data Zie: Statement of the WP29 on the impact of the development of big data on the protection of individuals with regard to the processing of their personal data in the EU - WP 221 Duiding Big Data door WP29:

25 Big data: juridische aandachtspunten Afbakening van big data begrip is als zodanig lastig Algoritmische toepassingen Big data persoonsgegevens: WP29 zegt ja? Anonimiseren van persoonsgegevens is vrijwel niet haalbaar. Anonimiseren veronderstelt dat de herleidbaaarheid onomkeerbaar moet zijn. Pseudonimiseren => persoonsgegevens Beginsel van dataminimalisatie Beginsel van doelbinding Beginsel van beperkte bewaartermijnen Beginsel van security Pleidooi om de verwerkingsgrondslag voor big data aan restricties te onderwerpen: gerechtvaardigd belang

26 Persoonsprofielen (art. 4 sub 4 GDPR) Persoonlijke voorkeuren Gedragingen analyseren of voorspellen Attitudes Besluiten nemen Profilering: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouw baarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen

27 Profilering & transparantie in de GDPR Informatieplicht aan betrokkene 1. geautomatiseerde besluitvorming 2. maken van persoonsprofielen 3. onderliggende logica (= algoritme) Recht van bezwaar m.b.t. profilering => staken van profilering, tenzij de belangen van verantwoordelijke zwaarder wegen Recht van bezwaar m.b.t. profilering bij Direct Marketing: => altijd honoreren

28 Geautomatiseerde besluitvorming (1) De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. (art. 22 lid 1) Uitzonderingen: 1. nodig voor totstandkoming/uitvoering contract 2. bij toestemming betrokkene 3. bij eventuele afwijkende wetgeving

29 Geautomatiseerde besluitvorming (2) Additionele bescherming van de burger: 1. recht op menselijke tussenkomst van verantwoordelijke 2. recht om standpunt kenbaar te maken 3. recht om het besluit aan te vechten Afwijkend regime voor bijzondere categorieen persoonsgegevens

30 Inschakelen van een ICT-bedrijf? Softwaremakers - Secure Software Development - Privacy by Design - Logging - Maintenance & Support - AP onderzoeksrecht voor software? Hosting, Cloud, Datacenter - verwerkersovereenkomst - contractuele security-eisen - contractuele meldplicht datalekken - contractuele meldplicht securityincidenten - verleggen boete van klant (vrijwaring, wanprestatie) - alignment van contracten

31 Hosting + SaaS 1. Categorieën van gegevens 2. Interne acces 3. Kring van derden 4. Hoofdlijnen van security 5. Bewaartermijn/wissen/vernietigen 6. Audit-rechten 7. Instructierechten klant 8. Identity- & accesmanagement 9. Vrijwaring security-inbreuken/ datalekken

32 Verzekeren van kosten meldplichten Schadeclaims derden Bestuurlijke boete Kosten forensisch onderzoek Kosten van crisismanagement Kosten wettelijke en contractuele meldplicht inbreuk, inclusief achterhalen van betrokken burgers Kosten van disaster recovery Kosten klantenservice Kosten verweer externe claims Kosten extra PR Kosten en schade wegens business interruptie Beroepsaansprakelijkheidsverzekering (BAV) Cyberdekking - separate dekking - gekoppeld aan BAV

33 Tot slot Data really powers everything that we do. - Jeff Weiner CEO LinkedIn Privacy is not an option, and it shouldn t be the price we accept for just getting on the Internet. - Gary Kovacs (ex-ceo AVG)