Privacy regulering & Compliance

Transcriptie

1 0 Privacy regulering & Compliance Leergang Compliance Officer Nederlands Compliance Instituut Eric Schreuders Net2Legal Consultants ( Net2legal Consultants 2017

2 De evolutie van het privacyrecht Gelijk niveau van bescherming persoonsgegevens in alle EU-lidstaten 1980 Privacy beginselen Nationale wetgeving 1995 Europese Privacy richtlijn 2001 Wet Bescherming Persoonsgegevens Voorstel EU Verordening 25 mei AVG Europees verdrag voor de rechten van de mens Database Compliance Beginnende compliance t.a.v. verwerkingen en organisatie Business compliance Continu in control + accountability

3 Veranderingen in regelgeving De Algemene Verordening Gegevensbescherming 2012 Voorstel Verordening Mei 2016 Inwerkingtreding Verordening 25 mei 2018 Van toepassing Tijdig anticiperen+ veel moet ook nu al Verschuiving van focus Minder juridisch Meer Security, Governance, Risk en Compliance en Communicatie en voorlichting Wijziging van de Wbp (per 1 januari 2016) Datalekken (Beleidsregels) + Boetebevoegdheid AP (Beleidsregels)

4 Het veelzijdige juridische kader Gedragscodes Protocollen Sectorale regels Geheimhoudingsbepalingen TW Wbp WOB WPolg AWB Archief wet WvSV Beleidsregels en overige uitspraken van de Autoriteit Persoonsgegevens WJG WOR Sectorale wetgeving WGBO BRP

5 Gedragscode Financiële instellingen 2010 Gedragscode niet voor incidentenregisters, extern verwijzingsregister Protocol Incidentwaarschuwingssysteem 2011 Afzonderlijke gedragscode voor zorgverzekeraars Naleving: stelsel zelfevaluaties + periodieke risicoanalyses Compliance of afdeling belast met toezicht: zorgplicht dat wettelijke kaders worden nageleefd

6 De Wet bescherming persoonsgegevens (Wbp) De Algemene Verordening Gegevensbescherming (AVG)

7 Essentiele Bouwstenen Behoorlijk en Zorgvuldig Transparantie Beveiliging (Compliance & In control )

8 Persoonsgegevens Wat is een persoonsgegeven? Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Direct en indirect identificeerbaar Zakelijke gegevens en bedrijfsgegevens Geaggregeerde, anonieme en pseudonieme gegevens

9 Sommige gegevens zijn belangrijker dan andere: Wbp Bijzondere persoonsgegevens Godsdienst of levensovertuiging Ras Politieke gezindheid Lidmaatschap van een vakvereniging Gezondheid Seksuele leven Strafrechtelijke gegevens, onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van hinderlijk gedrag Verwerking is verboden, behoudens.... bij wet bepaald + uitzonderingen (art.23 Wbp / art. 9 AVG en Uitvoeringswet) Gegevens van gevoelige aard (gegevens met verhoogd risico) Burger Service Nummer Gegevens over de financiële of economische situatie van de betrokkene (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, prestaties op school, relatieproblemen, etc.) Gebruiksnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden gebruikt voor (identiteits)fraude Gegevens over kinderen

10 Sommige gegevens zijn belangrijker dan andere: AVG Bijzondere persoonsgegevens (AVG + Uitvoeringswet t.a.v. strafrecht etc.) Religieuze of levensbeschouwelijke overtuigingen Ras of etnische afkomst Politieke opvattingen Lidmaatschap van een vakbond Gezondheid + Genetische gegevens Seksueel gedrag of gerichtheid Biometrische gegevens identificatie Strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen / door rechter opgelegd verbod n.a.v. onrechtmatig of hinderlijk gedrag Verwerking is verboden, behoudens.... bij wet bepaald + uitzonderingen (art.23 Wbp / art. 9 AVG en Uitvoeringswet) Gegevens van gevoelige aard (gegevens met verhoogd risico) Burger Service Nummer (wettelijke persoonsnummers) Gegevens over de financiële of economische situatie van de betrokkene (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, prestaties op school, relatieproblemen, etc.) Gebruiksnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden gebruikt voor (identiteits)fraude Gegevens over kinderen Van belang bij datalekken, informatiebeveiliging, noodzaak gegevens

11 Is sprake van verwerking van persoonsgegevens? Valt de verwerking binnen de reikwijdte van de Wbp / AvG?

12 Wie is wie? (verwerkings)verantwoordelijke Degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt Bewerker/ Verwerker Een extern bureau dat werkzaamheden verricht en zich onderwerpt aan de instructies van de verantwoordelijke en onder zijn verantwoordelijkheid gegevens verwerkt Betrokkene Degene op wie een persoonsgegeven betrekking heeft

13 Verplichte schriftelijke afspraken Zorgdragen dat de bewerker voldoende waarborgen biedt beveiligingsverplichtingen nakomt, en slechts in zijn opdracht gegevens verwerkt Expliciet akkoord gaan met de diverse aangeboden diensten Toezien op de naleving van de beveiligingsmaatregelen (evt. Third-Party) De uitvoering en beschrijving werkzaamheden in bewerkerscontracten (zoals: autorisaties, logbestanden, opslag gegevensdragers, verstrekken gegevens, achteraf teruggeven en vernietigen van gegevens) Hoofdstuk 4 AP/CBP Richtsnoeren beveiliging (2013) + Beleidsregels meldplicht datalekken (2015)

14 Sancties vanaf 2016 (Wbp) Aanpassing Wbp boetebevoegdheid per 1 januari 2016: Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. - Niet-melden van een datalek: maximaal Overige overtredingen Wbp: maximaal / 10% jaaromzet AVG per 25 mei 2018: maximaal 20 miljoen/ 4% mondiale jaaromzet) Eerder bestaande middelen, mogelijkheden,zoals een dwangsom: in beginsel voor alles, Veel nadruk op beveiliging en niet toegestane verwerkingen, met name gebruik van het BSN

15 De interne functionaris voor privacy De Functionaris Gegevensbescherming De compliance officer De privacyfunctionaris toezicht houden inventarisaties van gegevensverwerkingen maken register van gegevensverwerkingen bijhouden vragen en klachten van mensen binnen en buiten de organisatie afhandelen interne regelingen ontwikkelen adviseren over technologie en beveiliging (privacy by design / DPIA) Toetsen compliance (rechtmatigheid)

16 Zorgvuldigheidsnormen (I) Behoorlijk, zorgvuldig en in overeenstemming met de wet gegevens verwerken Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld

17 Verenigbaar verder gebruik Gegevens worden niet verder verwerkt op een wijze onverenigbaar met de doeleinden waarvoor verkregen Verwantschap doelen Aard van de gegevens Gevolgen voor de betrokkene Wijze van verkrijging Passende waarborgen jegens betrokkene Met name van belang: wat mag betrokkene verwachten!

18 De grondslagen van artikel 8 Wbp / 6 AVG Ondubbelzinnige toestemming Overeenkomst (betrokkene partij) Wettelijke verplichting Vitaal belang Goede vervulling publiekrechtelijk e taak Gerechtvaardigd belang

19 Nodig Noodzakelijk

20 Zorgvuldigheidsnormen(II) Bewaartermijnen Kwaliteit gegevens: gegevens moeten toereikend + ter zake dienend + niet bovenmatig + juist en nauwkeurig zijn Beveiliging

21 Artikel 13 Wbp / 5, lid 1, onder f, AVG Passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen moeten rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn mede gericht op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens.

22 Informatiebeveiliging en dataprotectie Richtsnoeren beveiliging persoonsgegevens (2013) Van adequaat als open norm tot beveiligen volgens normen zoals ISO/NEN Beveiligingsbeleid, plannen en risicoanalyses, maatregelen en het toezicht ook gericht op de feitelijke uitvoering/naleving van maatregelen NEN ISO Beheer van informatiebeveiligingsincidenten

23 Meldplicht Datalekken Beveiligingsincident Er heeft zich een beveiligingsincident voorgedaan Datalek Het incident heeft betrekking op persoonsgegevens De gegevens zijn verloren gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten

24 Bij wie melden? Melding toezichthouder Melding betrokkene + uitzondering op meldplicht voor financiële ondernemingen zoals bedoeld in de Wft: valt al onder de wettelijke zorgplicht van de onderneming (adequaat informeren van de afnemers van uw diensten)

25 I. Inbreuk op de beveiliging als bedoeld in art.13 Wbp Daadwerkelijk beveiligingsincident waarbij preventieve maatregelen niet toereikend waren om dit te voorkomen. (dus niet uitsluitend een dreiging, of tekortkoming in de beveiliging die kan leiden tot een beveiligingsincident) Voorbeelden van mogelijke incidenten: Een kwijtgeraakte USB-stick Een gestolen laptop Een inbraak door een hacker Een malware besmetting Een calamiteit zoals brand in een datacentrum

26 II. Datalek= Daadwerkelijk incident + Daadwerkelijke gevolgen Voor een datalek moet het incident daadwerkelijk gevolgen hebben voor de verwerkte gegevens Zoals: gegevens die verloren zijn gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten (+ de repressieve maatregelen en herstelmaatregelen zijn niet voldoende om deze gevolgen geheel weg te nemen) Let op!: Een datalek kan zicht ook voordoen als passende technische of organisatorische maatregelen zijn getroffen (en leg dat maar eens uit )

27 + alleen melden bij AP bij (aanzienlijke kans op) ernstig nadelige gevolgen voor bescherming van persoonsgegevens Er is geen sprake van een datalek

28 Wie meldt?: de verantwoordelijke Ook melden als niet duidelijk is wat er is gebeurd en om welke persoonsgegevens het gaat. De melding kan eventueel later worden aangevuld of ingetrokken. Waar: melding bij de Autoriteit Persoonsgegevens via de website Hoe: met behulp van speciaal webformulier, waarmee de melding ook worden aangevuld of ingetrokken. Wanneer: zonder onredelijke vertraging zo mogelijk niet meer dan 72 uur na ontdekking (indien later dan moet dit desgevraagd worden gemotiveerd). Na het indienen wordt een meldingsnummer getoond ter bevestiging, en voor toekomstige communicatie met de AP

29 Wat voor meldingen tot nu toe? Verwachting: meldingen van datalekken per jaar, maar.. Meestal slordigheden Veel meldingen over onversleutelde gegevensdragers Veel meldingen over organisatorische fouten Specifiek aandachtspunt: beveiliging medische gegevens online Cryptoware / ransomware

30 Algemene Wbp Informatieplicht Tenzij de betrokkene al op de hoogte is, informeren over: identiteit verantwoordelijke en doeleinden waarborgen behoorlijke en zorgvuldige verwerking rechten betrokkene Straks: alle informatie in duidelijke taal, plus extra info over: Bewaartermijn Nieuwe rechten Ontvangers Internationale verstrekking Verstrekken gegevens verplicht of vrijwillig + gevolgen Bron van niet bij betrokkene verkregen gegevens

31 Rechten van de betrokkene 1.Informatieplicht 2.Recht op kennisneming 3. Recht op correctie 4. Recht van verzet 5. Recht op vergetelheid 6. Nieuwe rechten Uitzonderingen (art. 43 Wbp / Uitvoeringswet AVG

32 De Verordening: extra rechten Profilering recht om niet te worden onderworpen aan een maatregel waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die deze in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking. Recht op beperking van de verwerking bij betwisten juistheid, onrechtmatig, niet meer nodig, bezwaar. Recht om gegevens mee te nemen (dataportabiliteit) recht op een kopie van de gegevens in een vorm waarbij deze verder door de betrokkene kunnen worden gebruikt. Recht op gegevenswissing (recht op vergetelheid)

33 Afweging belangen Verzet (bezwaar)recht betrokkene met individuele afweging (8f) Bijzondere persoonlijke omstandigheden

34 Verzet bij Direct Marketing altijd honoreren

35 Speciale onderwerpen Voorafgaand onderzoek (AVG: PIA voorleggen toezichthouder?) Ander gebruik van persoonsnummers Gegevens verzamelen zonder te informeren Strafrechtelijke verwerkingen t.b.v. derden (blijft bij AVG in Uitvoeringswet) Protocol Incidentenwaarschuwingssysteem Internationale verstrekkingen buiten de EER Passend niveau van bescherming Uitzonderingen, Vergunning, Afspraken Model overeenkomsten en BCR s Naar de VS: Privacy Shield

36 Wbp Meldingsplicht verwerkingen Meldingsplicht of Vrijstelling Doel: transparantie en vooral toezicht Inhoud: wie verwerkt wat, waar en waarvoor? Melden bij het AP of bij een FG Boete bij ten onrechte niet melden Straks niet meer, maar wat dan?

37 AAVG Dossier verplichting Documentatie per verwerking (proces) Basis info over verwerking (soort gegevens, betrokkenen, ect). Hoe is voldaan aan informatieverplichting + teksten Klachten en incidenten zoals datalekken Bewaartermijnen Beleid en maatregelen om compliance aan te tonen Gegevensbeveiliging Beveiligingsbeleid en plannen Risicobeoordelingen Dossier ook beschikbaar voor de toezichthouder! Meer dan enkel art. 30 AVG. Zie ook art. 5, lid 2, 13/14 en 32, lid 1

38 Data Protection Impact Assessment De gegevensbeschermingseffectbeoordeling Risico-inschatting van de effecten op het gebied van privacy bij nieuwe systemen en verwerkingen, profiling, gevoelige verwerkingen en bijzondere gegevens Beschrijving, privacy risicoanalyse, maatregelen, waarborgen + aantonen dat maatregelen en waarborgen ook werken Compliance

39 Geen vaste methodiek Methodiek + verschillende modellen/toepassingen Europa WP 248 oktober 2017 Norea (2012) Toetsmodel Rijksdienst volgens AVG

40 (D)PIA, PbD, PbD en Privacy audit Privacy by Design (PbD) en Privacy by Default (PbD) speelt bij aanschaf/laten ontwikkelen systemen Privacy audit / rapportage / certificering? PIA > PBD > Implementatie > Audit

41 Overige compliance maatregelen Functionaris voor gegevensbescherming Gedragscodes blijven en certificering wordt een nieuwe optie

42 De Verordening: Veel hetzelfde maar dan echt anders Materieel heel veel hetzelfde, echt anders is: Aantoonbaar continu in controle Aandacht naar de voorkant van het proces Privacy By Design, Privacy By Default Privacy Impact Assessment Datalekken Verplicht aanstellen van een FG Sancties (meer, hoger + sneller opgelegd) Recht om vergeten te worden/ dataportabiliteit / profiling

43 Afsluiting