Privacy in de Cloud Een white paper over de gevolgen van de Wet Bescherming Persoonsgegevens, Patriot Act en PRISM voor Cloud Computing.

Maat: px
Weergave met pagina beginnen:

Download "Privacy in de Cloud Een white paper over de gevolgen van de Wet Bescherming Persoonsgegevens, Patriot Act en PRISM voor Cloud Computing."

Transcriptie

1 Cloud Computing White Paper Privacy in de Cloud Een white paper over de gevolgen van de Wet Bescherming Persoonsgegevens, Patriot Act en PRISM voor Cloud Computing. Auteur: Rolf Kuijpers Cloudcomputing, het betrekken van IT-diensten vanuit een externe bron én het opslaan en verwerken van data in een externe IT-omgeving, wordt een steeds belangrijker fenomeen in de IT wereld. Omdat die externe IT-omgeving niet aan een fysieke locatie is gebonden en privacy wetgeving niet altijd toestaat dat persoonsgegevens buiten de Europese Economische Regio verwerkt worden, is aandacht voor de bescherming van privacy geboden. Zeker nu bekend is geworden hoe vergaand de bevoegdheid van sommige overheidsdiensten kan gaan. Quint Wellington Redwood heeft op basis van haar ervaringen in de praktijk een inventarisatie gemaakt van de belangrijke aandachtsgebieden rond privacy in de cloud. Dit white paper vormt hiermee een uitstekend vertrekpunt voor diegenen die zich op het privacyvraagstuk in cloud-omgevingen oriënteren. U krijgt relevante informatie over de wet- en regelgeving in verschillende landen en over de impact daarvan op informatieverwerking. D a r e t o C h a l l e n g e

2 Managementsamenvatting Naarmate meer gegevens worden verwerkt en opgeslagen in zogenaamde cloudomgevingen, wordt aandacht voor bescherming van die gegevens steeds belangrijker. Het gaat daarbij vooral om de vraag hoe gegevens beschermd worden tegen misbruik of oneigenlijk gebruik en hoe men gegevens kan vrijwaren van inzage door overheidsdiensten. Die vraag spitst zich toe op bescherming van persoonsgegevens. De wetenschap dat overheden onder bepaalde omstandigheden gebruik kunnen maken van een wettelijke bevoegdheid om inzage te krijgen in opgeslagen data leidt tot een spanningsveld. Het zijn de overheden die strenge eisen stellen aan bescherming van persoonsgegevens, onder meer door het opstellen van privacy-wetgeving. Maar diezelfde overheden kunnen met een beroep op de nationale veiligheid elke wetgeving terzijde schuiven en zich schijnbaar onbelemmerd toegang tot privégegevens verschaffen. Omdat cloudoplossingen per definitie grensoverschrijdend zijn, is het vrijwel onmogelijk om te bepalen wat de fysieke locatie van data is. Derhalve is ook niet duidelijk welke wet- en regelgeving van toepassing is, wat betekent dat er geen zekerheid gegeven kan worden over de veiligheid van opgeslagen data. Een bijkomend probleem is dat het op individuele basis uitvoeren van een audit een onuitvoerbare opdracht is. Cloudomgevingen zijn niet aan een fysieke locatie gebonden en kunnen zelfs variabel zijn. Dat maakt onderzoek naar een cloudomgeving praktisch onmogelijk. Daarnaast zijn de meeste leveranciers van cloud oplossingen niet gecharmeerd van steeds weer nieuwe audits die elk een ander referentiekader als uitgangspunt hebben. In deze white paper worden deze spanningsvelden beschreven en wordt gezocht naar oplossingen die tegemoet komen aan de voordelen van cloud oplossingen versus de belemmeringen die ontstaan door nationale wet- en regelgeving. Individuele audit is praktisch onmogelijk Inleiding Het gebruik van informatievoorziening in ons dagelijks leven legt specifieke verantwoordelijkheden bij gebruikers en aanbieders van informatiediensten. Het is dan ook een uitdaging voor beleidsmakers om deze verantwoordelijkheden wettelijk in goede banen te leiden. Daarbij dienen ze rekening te houden met het toenemende belang van de informatievoorziening en met de globalisering van IT-diensten. Een extra complicatie voor hen is het beschermen van de nationale veiligheid zonder inbreuk te plegen op het in de grondwet verankerde recht op privacy van burgers. Het vraagstuk rond de mogelijkheden die een overheid heeft om toegang te krijgen tot gegevens van een individu of van een organisatie speelt al geruime tijd. Al in 1948 schreef George Orwell het boek 1984, waarin hij de totalitaire staat die bij het individu achter de 2

3 voordeur kon kijken, voor het voetlicht bracht. Begin 2013 drukte klokkenluider Edward Snowden ons nog eens met de neus op de feiten door de praktijken van de Amerikaans overheid aan de kaak te stellen. Deze heeft onder meer met behulp van het programma PRISM inzage in grote hoeveelheden persoonsgegevens. Eén van de gevolgen hiervan is dat er veel vragen gerezen zijn over het gebruik en de inzet van clouddiensten. Die vragen gaan vooral over de bescherming van geclassificeerde bedrijfsgegevens en over bescherming van persoonsgegevens. Meer in het bijzonder als deze gegevens worden overgedragen naar landen buiten de Europese Economische Regio (EER) waardoor buitenlandse overheden mogelijk toegang kunnen krijgen tot deze gegevens. De Wet Bescherming Persoonsgegevens (WBP) en de beschermingsconstructies in de Verenigde Staten, waaronder de Patriot Act, worden daarbij vaak genoemd. Na de commotie die werd veroorzaakt nadat de werking van PRISM aan het licht kwam, bestaat over deze onderwerpen niet alleen veel bezorgdheid maar ook een aantal misvattingen. In deze whitepaper wordt nader ingegaan op zowel bescherming van de vertrouwelijkheid als de beschikbaarheid van gegevens in de cloud. Daarmee wordt een antwoord gegeven op de volgende vragen. In welke context hebben klanten met clouddiensten te maken? Welke wet- en regelgeving is relevant voor toegang tot data binnen clouddiensten? Wat bepalen de belangrijkste kaders van dit moment, de Wet Bescherming Persoonsgegevens en de Patriot Act, over clouddiensten? Wat zijn de daadwerkelijke risico s? Hoe kunnen clouddiensten veilig gebruikt worden door klanten? Snowden heeft gebruikers van clouddiensten wakker geschud De context van clouddiensten In de afgelopen tijd zijn clouddiensten steeds populairder geworden. Het gegeven dat men diensten kan inkopen in plaats van in eigen beheer te nemen, heeft een belangrijke versnelling tot gevolg gehad in het gebruik van de cloud. Om succesvolle cloudoplossingen te hebben, moet aan tenminste twee voorwaarden worden voldaan: 1. Er moet op vertrouwd kunnen worden dat informatie veilig is opgeslagen, dat wil zeggen voldoet aan de daartoe te stellen eisen van beschikbaarheid, betrouwbaarheid en integriteit. 2. Door schaalgrootte moet een hoge mate van efficiency bereikt worden en daarmee een reductie van kosten voor de afnemer van de dienst. Het domein waar de klanten van cloud-serviceproviders (CSP s) actief zijn is vaak bedrijfskritisch en/of raakt aan kernactiviteiten van het maatschappelijk verkeer. Het gaat 3

4 doorgaans om vertrouwelijke informatie en de vraagstukken waar men aan werkt zijn veelal complex. Klanten van CSP s zijn niet alleen grote bedrijven en overheden die in een internationale context opereren, ook het MKB en zelfs individuele rechtspersonen maken steeds meer gebruik van clouddiensten. Voor elke gebruiker van een clouddienst geldt dat er geen verlies van vertrouwelijke gegevens mag plaatsvinden. Om de eerder genoemde schaalvoordelen te behalen, en daarnaast vertraging in het netwerk te voorkomen, is de technische infrastructuur van clouddiensten doorgaans sterk geografisch gespreid. Op haar beurt is de geleverde dienst zelf weer sterk geabstraheerd van de locatie van de infrastructuur. Hierdoor is voor een klant van een clouddienst nauwelijks te bepalen waar zijn gegevens op enig moment zijn. Bovendien zijn aanbieder en afnemer van de clouddienst vaak in verschillende landen gevestigd en daarmee aan andere wet- en regelgevingen onderhevig. Dit leidt niet alleen tot geringe transparantie, het heeft vooral tot gevolg dat er een spanningsveld ontstaat tussen de twee voorwaarden voor succes: veiligheid en schaalgrootte. Privacy wetgeving De Europese afnemers van clouddiensten moeten bij het gebruik van CSP s in het bijzonder aandacht hebben voor privacywetgeving die verwerking van gegevens buiten de EER verbiedt. Het gebruik van modelcontracten 1 waarin alle relevante bepalingen zijn vastgelegd kan hier uitkomst bieden. Ook aan het gebruik van technische oplossingen zoals European Clouds dan wel de toepassing van encryptie kan worden gedacht. Bij contracten met CSP s is het met het oog op privacywetgeving bovendien aan te raden een aantal bijzondere verplichtingen en rechten op te nemen. Deze zijn nader uitgewerkt in Annex 1. Risico s Afnemers van clouddiensten dienen zich ook terdege bewust te zijn van het risico dat gegevens die zij bij een CSP opslaan toegankelijk kunnen zijn voor een andere dan de eigen overheid. Daarbij wordt vooral de Amerikaanse overheid genoemd, maar toegang tot privégegevens is geen exclusieve Amerikaanse bevoegdheid. Ook andere overheden zijn gerechtigd om zich toegang te verschaffen tot wettelijk beschermde gegevens. De bevoegdheden die dit mogelijk maken zijn niet nieuw, en bij de afwegingen hieromtrent dient men steeds voor ogen te houden hoe de risico s zich verhouden tot de voordelen die het gebruik van CSP s met zich meebrengen. Het blijft echter belangrijk hier bewust mee om te gaan. Daarom verdient het aanbeveling om bij mogelijk gebruik van CSP s niet alleen het of en hoe te overwegen, maar ook stil te staan bij de vraag van welke CSP men diensten wil afnemen en in welke mate men diensten wil afnemen. 1 4

5 Het is ook in het belang van een CSP om bewust om te gaan met de risico s die een betreffende klant loopt met het afnemen van clouddiensten Het is daarbij zaak om voortdurend voor ogen te houden hoe de risico s zich verhouden tot eventuele voordelen. Een leverancier is over het algemeen graag bereid om mee te denken over oplossingen die tegemoet komen aan de bijzondere wensen van haar (potentiële) klanten. Hoe verhouden risico s en doelstellingen zich tot elkaar? Soorten wet- en regelgeving Door het geografisch gespreide karakter van de cloud kunnen op gegevens die in een cloudomgeving verwerkt en/of opgeslagen worden diverse nationale rechtstelsels van toepassing zijn. Anders gezegd:gegevens van een klant van een CSP kunnen aan uiteenlopende wet- en regelgevingen onderhevig zijn. In grote lijnen kennen de meeste landen de volgende wetgevingskaders: wetgeving betreffende privacy, en/of bescherming van persoonsgegevens; Deze wetgeving beoogt enerzijds de bescherming van privacy van het individu oftewel het recht om sommige zaken voor jezelf te houden. Anderzijds beoogt deze wetgeving dat betrokken personen controle kunnen uitoefenen op gegevens die anderen over hen bezitten. Voorts voorziet deze wetgeving erin dat, met name in Europa, het doorgeven van gegevens aan andere landen, vooral buiten de EER, aan beperkingen onderhevig is. Die beperkingen zijn bijzonder van belang met betrekking tot clouddiensten. Naast wet- en regelgeving betreffende privacy en bescherming van persoonsgegevens, zijn ook relevant: wetgeving betreffende onderzoeken; wetgeving betreffende onderzoeken door toezichthouders en belastingdiensten; wetgeving betreffende inlichtingendiensten. Deze soorten wetgeving zien toe op bescherming van de algemene belangen, en vooral op de nationale veiligheid. Ze kennen bevoegdheden toe aan overheden om waar dat nodig wordt geacht- inbreuk te maken op de privacy van natuurlijke personen en van rechtspersonen om dat algemene belang te dienen. Deze bevoegdheden zijn in alle landen met sterk wisselende - waarborgen en controlemiddelen omkleed. 5

6 Wet Bescherming Persoonsgegevens en de U.S.A. Patriot ACT Een groot deel van de vragen over het gebruik van clouddiensten concentreert zich enerzijds op de WBP die in ons land van toepassing is, en anderzijds op de Amerikaanse Patriot Act. Hieronder volgt een uitleg op hoofdlijnen. In Annex 1 is een uitgebreide uitleg over de WBP opgenomen. Op dit moment wordt ook nieuwe Europese wetgeving met betrekking tot bescherming van persoonsgegevens voorbereid; een kort overzicht van de hoofdlijnen daarvan is opgenomen in Annex 2. Wet Bescherming Persoonsgegevens Indien een in Nederland gevestigde organisatie gebruik maakt van een CSP bij het verwerken van persoonsgegevens, is de WBP bijna altijd van toepassing. Zelfs het eenvoudige opslaan van persoonsgegevens bij een CSP valt al onder de reikwijdte van de WBP. 2 De WBP bepaalt dat persoonsgegevens door een verantwoordelijke of een door hem ingeschakelde derde (de CSP) in principe niet buiten de EER mogen worden verwerkt. Maar juist bij een CSP is, zoals eerder vermeld, vaak niet duidelijk waar gegevens daadwerkelijk verwerkt worden. Er bestaan echter uitzonderingen op de regel dat persoonsgegevens niet buiten de EER 3 mogen worden verwerkt, zodat het inschakelen van een buiten de EER werkzame CSP toch mogelijk wordt zonder de bijbehorende consequenties. 4 De bepaling van die uitzondering is opgenomen in de eerder genoemde modelcontracten voor doorgifte van persoonsgegevens naar landen buiten de EER. Door gebruikmaking van deze contracten, die de Europese Commissie speciaal hiervoor heeft opgesteld 5, wordt een dergelijke doorgifte van gegevens toch mogelijk gemaakt. European Cloud Een manier om verwerking buiten de EER te voorkomen is het gebruik van zogenaamde European Clouds. Hierbij is alle infrastructuur die gebruikt wordt bij de verwerking van persoonsgegevens binnen de EER gelegen. De klant van de CSP moet dan wel kunnen toetsen dat de persoonsgegevens inderdaad niet buiten de EER verwerkt worden. Bij CSP s kan een dergelijke toetsing lastig zijn; een audit is juist door de geografische spreiding van de infrastructuur moeilijker uit te voeren, terwijl ook niet alle CSP s gecharmeerd zijn van de uitvoering van uiteenlopende audits aan de hand van uiteenlopende lokale wet- en regelgeving. Bij het gebruik van een European Cloud mag men dus minstens een contractueel vastgelegde garantie van de CSP verwachten dat de verwerking van persoonsgegevens nooit buiten de EER zal plaatsvinden. De CSP moet zich hierbij realiseren dat het ook verantwoordelijkheid neemt voor de verwerking door eventuele onderaannemers. 2 Article 29 Data Protection Working Party Opinion 1/2010 on the concepts of controller and processor - eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf. Aangenomen wordt dat enkel het eenvoudige doorgeven van persoonsgegevens geen verwerken van persoonsgegevens is. 3 Met uitzondering van verwerking in landen die een toereikend niveau van beschermende wetgeving kennen Op dit moment Andorra, Argentinië, Australië, Canada, Faroer Eilanden, Guernsey, Isle of Man, Israel Jersey, Uruguay, Zwitersland. 4 In Annex 1 is een volledige lijst van uitzonderingen opgenomen. 5 Deze zijn te vinden op 6

7 Een laatste manier om toepassing van de overdrachtsbeperking te voorkomen, is door persoonsgegevens versleuteld in de cloud te plaatsen. 6 De versleuteling moet dan voorafgaand aan de verzending en de opslag plaatsvinden, en de gegevens moeten ook in de cloud en tijdens de verzending van en naar de cloud versleuteld blijven. Omdat complexe verwerkingen van data, zoals gebruik in applicaties of workflows, moeilijk te verwezenlijken zijn als men encryptie in de cloud toepast, zijn de toepassingen in de praktijk beperkt tot eenvoudige opslag van data. Omdat onlangs gebleken is dat de Amerikaanse overheid ook de cryptografische sleutels van CSP s in handen kan krijgen, lijkt het essentieel geworden dat het sleutelbeheer in handen blijft van de klant van de CSP. Al met al legt de WBP dus inderdaad beperkingen op aan het gebruik van een CSP bij de verwerking van persoonsgegevens. Het is desondanks mogelijk om met deze beperkingen te werken: veelal kunnen ze contractueel opgelost worden en soms zijn ook technische oplossingen mogelijk. In Annex 1 wordt een uitgebreidere uitleg gegeven over de WBP, en wordt een aantal andere bijzonderheden met betrekking tot het gebruik van CSP s uiteengezet. U.S.A. Patriot Act De U.S.A. Patriot Act wordt vaak aangehaald als dé grote bedreiging voor een veilig gebruik van gegevens bij een CSP. Reden is dat de Patriot Act de Amerikaanse autoriteiten nieuwe bevoegdheden zou geven om toegang tot informatie te krijgen. Het zou bij data in de cloud dan vooral gaan om informatie die van vermeende invloed zou kunnen zijn op de staatsveiligheid. De Patriot Act is echter geen wet die allerlei nieuwe bevoegdheden schept, maar een samenstel van wijzigingen aan bestaande bevoegdheden. Deze bevoegdheden worden hieronder op hoofdlijnen beschreven. In Annex 3 wordt dieper ingegaan op de meest vergaande bepalingen van het Federaal Amerikaans recht op dit gebied. In het kort hebben Amerikaanse autoriteiten de volgende bevoegdheden met betrekking tot CSP s: de bevoegdheid om opgeslagen gegevens te vorderen. de bevoegdheid om technische apparatuur of software te (laten) installeren waarmee het gegevensverkeer direct onderschept kan worden. Mogelijke gegevens die zo verzameld kunnen worden zijn naast de identiteit van gebruikers of abonnees van een CSP, de verkeersgegevens zelf, de zogenaamde non-content en de daadwerkelijke inhoud van opgeslagen of verzonden gegevens, de zogenaamde content. Gegevens kunnen worden gevorderd van ieder bedrijf of van elke persoon die daarover possession, custody or control heeft, ofwel iedereen die over deze gegevens kan beschikken. 6 Article 29 Data Protection Working Party Opinion 4/2007 on the concept of personal data privacy/docs/wpdocs/2010/wp169_en.pdf. Aangenomen wordt dat enkel het eenvoudige doorgeven van persoonsgegevens geen verwerken van persoonsgegevens is, blz

8 Het is dus niet direct relevant op welk grondgebied een Amerikaans bedrijf zijn gegevens opslaat. Wel zullen gegevens op Amerikaans grondgebied eerder onder possession, custody or control van een aanwijsbaar persoon of bedrijf vallen. Het onderscheppen van gegevens kan door middel van apparatuur of software op Amerikaans grondgebied, ongeacht de bestemming of de oorsprong van die gegevens. Ook het onderscheppen van gegevens door middel van het gebruik van apparatuur buiten de Verenigde Staten lijkt mogelijk. De bepalingen op grond waarvan dat mogelijk zou kunnen zijn, zijn echter vrij onduidelijk. Zeker is het dus niet. 7 Voor de uitoefening van een aantal van deze bevoegdheden is geen gerechtelijk bevel nodig. Soms hoeft er zelfs geen vermoeden van een misdrijf te bestaan of een bedreiging voor de nationale veiligheid. Bij de uitoefening van sommige bevoegdheden kan geheimhouding worden opgelegd aan de betrokken CSP, zodat de klant van die CSP niet op de hoogte mag worden gesteld van de daadwerkelijke toepassing van die bevoegdheden door de autoriteit. Brede bevoegdheden De hierboven beschreven bevoegdheden van de autoriteiten in de Verenigde Staten zijn overigens niet uniek. Nederland, Frankrijk en Duitsland kennen vergelijkbare regelingen. Wel bijzonder is de brede rechtsmacht die Amerikaanse autoriteiten hebben om deze bevoegdheden toe te passen. Amerikaanse autoriteiten hebben niet alleen rechtsmacht over rechtspersonen die zelf gevestigd zijn in de U.S.A. en over buitenlandse rechtspersonen die een vaste vestiging in de U.S.A. hebben, maar óók over buitenlandse rechtspersonen die stelselmatig en continu daar hun bedrijf uitoefenen. 8 Bovendien hebben Amerikaanse autoriteiten onder omstandigheden ook buiten de Verenigde Staten rechtsmacht over Amerikaanse burgers. 9 Door deze ruime rechtsmacht staan ook sommige buitenlandse CSP s bloot aan vorderingen tot het overleggen of onderscheppen van gegevens, ook als zij geen vestiging in de Verenigde Staten hebben. Bovendien is het mogelijk dat een Amerikaanse werknemer, onderaannemer of dochtermaatschappij van een niet-amerikaans bedrijf toegang tot gegevens moet verschaffen. 7 In beginsel mogen overheden niet ingrijpen op elkaars grondgebied; zo zou ook het zetten van een tap in beginsel buiten Amerikaans grondgebied in beginsel niet mogen. Het is echter denkbaar dat, op grond van medewerkingsverplichtingen die aan de CSP opgelegd zijn bij de Amerikaans wet, een CSP op bevel van een Amerikaanse autoriteit zelf een tap zet of haar infrastructuur zo wijzigt dat vanuit Amerika getapt kan worden. 8 International Shoe Co. v. Washington. Zie ook Goodyear Dunlop Tires Operations, S.A. v. Brown voor een beschouwing over de vraag of het enkele hebben van een groepsmaatschappij in de U.S.A. rechtsmacht kan scheppen. Dit wordt vaak aangenomen, maar ligt genuanceerd. 9 USC Title 28 Section

9 Ter verduidelijking van deze materie, is in Annex 4 een tweetal voorbeeldcases opgenomen waarbij geanalyseerd wordt of Amerikaanse autoriteiten toegang kunnen krijgen tot gegevens bij een CSP. De Amerikaanse rechtsmacht gaat verder dan die in andere landen De U.S.A kunnen een CSP geheimhouding opleggen Risico s in de praktijk Zoals hiervoor beschreven kunnen CSP s door Amerikaanse autoriteiten verplicht worden om elektronisch gegevens te verstrekken, ook als het geen Amerikaanse CSP betreft. Bovendien is het mogelijk dat dit gebeurt zonder dat de CSP dit mede mag delen aan de klant. Hoewel het belangrijk is dat een klant zich dit realiseert, moeten de risico s niet overdreven worden. Andere landen hebben eveneens wet- en regelgeving die hen extraterritoriale bevoegdheden geeft. In de meeste landen gaat dat weliswaar minder ver dan in de U.S.A., ze kunnen meestal geen bevel opleggen aan een buitenlandse CSP zonder vestiging in hun land, maar ook deze landen meten zich vaak allerlei toegangsrechten aan. Dat geldt met name voor de inlichtingendiensten die vaak vergaande bevoegdheden hebben. Daarbij moet worden opgemerkt dat inlichtingendiensten doorgaans zonder medeweten en dus zonder medewerking van CSP s opereren, waardoor ook deze diensten te kampen hebben met de complexiteit van de infrastructuur van een cloudomgeving. Ook is het belangrijk te beseffen dat tussen overheden al sinds jaar en dag verdragen bestaan op grond waarvan ze elkaar onderling opsporingsbevoegdheden op hun eigen grondgebied toestaan, of anderszins gegevens delen. Toegang tot gegevens in het buitenland is wat dat betreft niet nieuw of exclusief voor de Amerikaanse werkwijze. Overheidsdiensten in de Verenigde Staten Een andere kanttekening is dat multinationals, zoals veel klanten van CSP s, vaak zelf al bloot staan aan verzoeken om gegevens van de Amerikaanse overheid, ongeacht of zij een CSP gebruiken. Hierdoor wordt deze exposure minder relevant. Hierbij is een interessante overweging dat veel internet infrastructuur zich in de U.S.A. bevindt, zodat de U.S.A. zich ook via dergelijke bedrijven toegang tot gegevens kan verschaffen. Vaak wordt de New York Internet Exchange hierbij geopperd. Strikt genomen staat de Amerikaanse wetgeving toe dat overheidsdiensten zich toegang mogen verschaffen tot de gegevens van deze organisatie. Door het grote volume aan verkeer en adressen lijkt, zelfs met medewerking van de New York Internet Exchange, de praktische toepassing hiervan niet haalbaar. Waarde van informatie Uiteraard is het risico dat klanten van CSP s lopen sterk afhankelijk van het soort informatie dat zij bij een CSP onderbrengen. Niet alle informatie is van strategische waarde. Het risico 9

10 van toegang tot gegevens door overheden moet dan ook rationeel afgewogen worden tegen de operationele voordelen die het gebruik van een CSP kunnen hebben. Een beperkt risico van toegang tot gegevens bij een CSP zou in sommige gevallen moeten wijken voor de grotere risico s die door een instabiel of onveilig IT systeem worden veroorzaakt. Desondanks is het zaak om de nodige voorzichtigheid te betrachten en bewust te zijn van de consequenties. Een bedrijf dat bijvoorbeeld wapensystemen ontwikkelt voor Defensie of informatie bijhoudt over de economische stabiliteit van een land doet er waarschijnlijk goed aan zijn exposure ten opzichte van Amerikaanse autoriteiten te beperken. Zulke organisaties moeten beslist twee keer nadenken voor ze hun infrastructuur en/of data bij een CSP onderbrengen. Voor elke organisatie geldt echter dat in alle gevallen zorgvuldig moet worden omgesprongen met het buiten het eigen bedrijf onderbrengen van dergelijke informatie, ongeacht de bevoegdheden van andere overheden. De keuze voor een CSP moet weloverwogen tot stand komen, na goede weging van de risico s ten opzichte van de voordelen. Voor CSP s geldt dat ook zij bewust moeten omgaan met deze risico s. Algemene richtlijnen of uitgangspunten hieromtrent zijn daarom niet raadzaam. Per klant zal afgewogen moeten worden welke risico s er spelen en op basis daarvan zal een keuze moeten worden gemaakt. In Annex 4 staan twee cases met betrekking tot het gebruik van een CSP uitgewerkt. WBP versus verzoeken tot het vertrekken van data Uit het bovenstaande kan al snel een conflict tussen Amerikaanse en Europese wetgeving gedestilleerd worden. Dit conflict ontstaat als een Amerikaanse autoriteit bij een CSP persoonsgegevens opvraagt en de CSP deze daarvoor buiten de EER brengt. Zoals hierboven al vermeld, is de export van persoonsgegevens buiten de EER alleen toegestaan onder bepaalde voorwaarden. Bovendien worden de gegevens in dit geval verstrekt aan een nieuwe organisatie om daar verder verwerkt te worden. Ook dat is niet zomaar mogelijk. Op dit moment wordt er binnen de EU gewerkt aan wetgeving om dit conflict op te lossen. In de tussentijd biedt de WBP een aantal handvatten die de risico s beperken. Ten eerste geldt dat een verantwoordelijke op grond van de WBP niet aansprakelijk is voor schade die voortvloeit uit de verwerking van persoonsgegevens door een CSP, voor zover het schadeveroorzakende feit hem niet kan worden toegerekend. Dat is hier gauw het geval nu de verantwoordelijke niet bij machte is deze verstrekking door een CSP te voorkomen, en soms zelfs niet door de CSP daarvan op de hoogte is gesteld. Ten tweede geldt dat er nog geen specifieke sanctie staat op een overtreding van het verbod persoonsgegevens buiten de EER te brengen, zodat hiervoor geen boete kan worden opgelegd. In het concept van de nieuwe Europese regelgeving is voorgesteld om een organisatie tot 2% van hun omzet aan boete op te leggen (zie ook Annex 2). 10

11 Het andere belangrijke dwangmiddel van het College Bescherming Persoonsgegevens (CBP), het opleggen van een dwangsom, kan alleen worden toegepast bij het niet voldoen aan een verplichting onder de WBP door de verantwoordelijke zelf. Als de CSP zelfstandig handelt, is het de vraag of de verantwoordelijke zelf een verplichting niet nakomt. In het verlengde daarvan kan betoogd worden dat, wanneer een CSP gegevens verstrekt aan autoriteiten zonder daartoe geïnstrueerd te worden, juist de CSP als verantwoordelijke voor die verwerking onder de WBP zou moeten gelden en niet haar klant. In al deze gevallen geldt overigens wel dat de verantwoordelijke alle zorgvuldigheid rond dergelijke situaties in acht moet hebben genomen. Men moet onder meer gedegen onderzoek naar de CSP hebben uitgevoerd, men moet de CSP een verplichting opleggen om gedwongen verstrekkingen van gegevens te melden voor zover de wet dat toestaat, en de verplichting om gegevens zo beperkt mogelijk te verstrekken. Soms moet de verantwoordelijke na onderzoek naar de CSP zelfs besluiten om bepaalde gegevens niet bij een CSP onder te brengen. In Annex 1 staat een aantal bepalingen die nuttig kunnen zijn bij het inschakelen van een CSP voor verwerking van persoonsgegevens. De EU streeft naar aanscherping van wet- en regelgeving Conclusies Klanten van een CSP moeten uitdrukkelijk aandacht hebben voor privacywetgeving die verwerking van gegevens buiten de EER verbieden. Het gebruik van modelcontracten kan hier uitkomst bieden. Ook aan technische oplossingen zoals het gebruik van European Clouds of de toepassing van encryptie kan worden gedacht. Bij contracten met CSP s is het met oog op privacywetgeving bovendien aan te raden een aantal bijzondere verplichtingen en rechten op te nemen. Deze staan verder uitgewerkt in Annex 1. Klanten van een CSP dienen zich bewust te zijn van het risico dat gegevens die zij bij een CSP opslaan in sommige gevallen toegankelijk zijn voor overheden, met name voor de Amerikaanse overheid. De bevoegdheden die dit mogelijk maken zijn niet nieuw en de risico s moeten gezien worden in verhouding tot de voordelen die het gebruik van CSP s met zich mee kunnen brengen. Het blijft echter belangrijk hier bewust mee om te gaan. In sommige gevallen kan het verstandig te zijn goed te overwegen of, hoe, welke en in welke mate CSP s gebruikt worden. Een goede CSP gaat bewust om met de beschreven risico s en kijkt tezamen met elke klant afzonderlijk welke bedreigingen er zijn en of die risico s voor die klant aanvaardbaar zijn gezien de voordelen. Een goede CSP denkt met klant mee 11

12 Annex 1; FAQ over de Wet Bescherming Persoonsgegevens Wat is de Wet Bescherming Persoonsgegevens (WBP)? De WBP regelt onder meer hoe en wanneer geautomatiseerde 10 persoonsgegevens gebruikt mogen worden en is de Nederlandse implementatie van de Europese Richtlijn 95/46/EC. Deze Richtlijn is in de hele Europese Unie en een aantal andere landen geïmplementeerd. De basisprincipes zijn daardoor binnen de Europese Unie grotendeels gelijk. Op detailniveau bestaan er evenwel verschillen. Wat is een persoonsgegeven? Een persoonsgegeven is elk gegeven dat door diegene die er over beschikt redelijkerwijs te herleiden is tot een identificeerbaar natuurlijk persoon, met de middelen die hem ter beschikking staan. Wanneer heb ik te maken met de WBP? U heeft met de WBP te maken zodra een persoonsgegeven verwerkt wordt. Bijna iedere handeling met betrekking tot een persoonsgegeven is een verwerking, zoals het opslaan, kopiëren, vergelijken, verzenden, comprimeren, versleutelen, enzovoorts. Ook het doorgeven van persoonsgegevens aan een derde is een verwerking. Wat zijn mijn verantwoordelijkheden? De partij die de doelen en de middelen van de verwerking van persoonsgegevens bepaalt is eindverantwoordelijk voor de verwerking. Het inschakelen van een derde partij, zoals een CSP, ontslaat u niet van deze verantwoordelijkheid. De WBP legt dan meerdere verplichtingen op die men na moet komen. Er mag alleen voor een specifiek doel persoonsgegevens worden verwerkt, en dan alleen de gegevens die voor dat doel echt nodig zijn. Gegevens mogen niet verder worden verwerkt voor doelen die onverenigbaar zijn met degene voor wie ze zijn verzameld (als vuistregel: om verenigbaar te zijn moet de betrokken persoon die verdere verwerking redelijkerwijs hebben kunnen verwachten toen hij zijn gegevens verstrekte). De verwerking, het doel ervan, en de identiteit van de verantwoordelijke moeten worden gemeld aan de betrokken personen. Daarnaast is in een aantal gevallen inschrijving in het openbare meldingen register noodzakelijk. De verantwoordelijke moet zorgen voor afdoende technische en organisatorische beveiliging (ook tegen verlies) van de persoonsgegevens, en voor de juistheid en de nauwkeurigheid van de te verwerken gegevens; Men moet de betrokken personen expliciet in staat stellen om hun gegevens te kunnen inzien, en waar nodig te corrigeren (of te verwijderen als ze niet meer nodig zijn). 10 Ook handmatige, niet geautomatiseerde verwerkingen van persoonsgegevens kunnen binnen het bestek van de WBP vallen. Nu deze buiten het domein vallen, laten wij deze onbesproken. 12

13 Men moet een legitieme reden ( grondslag in het jargon) hebben om persoonsgegevens voor dat doel te verwerken, de meest voor de hand liggende redenen zijn; er is toestemming; de gegevens zijn noodzakelijk om een contract uit te kunnen voeren; de verwerking van gegevens is noodzakelijk om een wettelijke verplichting na te komen; er is een gerechtvaardigd belang om de gegevens te verwerken, terwijl de privacy van de betrokkene(n) minder zwaar weegt. Waarop moet ik letten als ik een CSP inschakel? Als men een CSP inschakelt om gegevens te verwerken, dan doet de CSP dat onder de verantwoordelijkheid van de klant, als bewerker. Men moet in zo n geval met de CSP een bewerkersovereenkomst sluiten. Daarin moet zijn opgenomen dat de CSP de persoonsgegevens vertrouwelijk behandelt, dat hij deze adequaat beveiligt, en dat de persoonsgegevens alleen op instructie van de opdrachtgever verwerkt worden. Men moet er ook op toezien dat de CSP deze verplichtingen naleeft, bijvoorbeeld door middel van een audit. Met betrekking tot CSP s is er bovendien een aantal andere zaken waarop men extra moet letten. Het is belangrijk dat er in de overeenkomst met de CSP bepalingen zijn opgenomen over 11 : beveiliging tegen verlies van de gegevens (zoals beschikbaarheid en back-up eisen); de juistheid en integriteit van de gegevens (zoals beveiligingseisen, logging en auditing); de mogelijkheid om gegevens bij een andere CSP onder te brengen indien nodig (inclusief het recht op een kosteloze conversie naar gangbare bestandsformaten); de mogelijkheid om de gegevens te verwijderen wanneer ze niet meer nodig zijn, inclusief eventuele back-ups van die gegevens en logdata (recht op verwijdering); de mogelijkheid om de CSP toe te staan dan wel te beletten om derde partijen in te schakelen en de mogelijkheid om daar voorwaarden aan te verbinden; de mogelijkheid om informatie te krijgen over de locaties waar de CSP de persoonsgegevens verwerkt (dit moet men overigens ook al vooraf bekijken); dat de CSP meldt als er ongeoorloofde toegang is geweest tot de persoonsgegevens of als de CSP persoonsgegevens heeft moeten verstrekken op grond van een wettelijk verplichting; verplichtingen voor de CSP om alle handelingen uit te voeren die nodig zijn om als opdrachtgever aan de WBP te voldoen (zoals het laten inzien, corrigeren en verwijderen van gegevens door betrokken personen); 11 Article 29 Data Protection Working Party Opinion 05/2012 on Cloud Computing - 13

14 Wanneer mag ik gegevens buiten de EU verwerken? Als een CSP persoonsgegevens buiten de EER 12 wil (laten) verwerken, moet minstens één van de volgende uitzonderingen van toepassing zijn: a. de overdracht vindt plaats naar een bewerker of andere verantwoordelijke waarmee een contract is afgesloten waarin de model contractbepalingen voor doorgifte zijn opgenomen die zijn vastgesteld door de Europese Commissie; b. de overdracht vindt plaats naar een bewerker in de U.S.A, die gecertificeerd is in het Safe Harbor programma; c. er is een vergunning van de Minister van Veiligheid en Justitie voor de overdracht; d. men zelf kan garanderen dat het land een passend beschermingsniveau biedt (dit kan eigenlijk niet zonder een volledige analyse van wetgeving en toezicht in dat land); e. men heeft voor de overdracht ondubbelzinnige toestemming gekregen van de betrokken personen; f. de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen u en de betrokken personen, of voor het nemen van precontractuele maatregelen die noodzakelijk zijn voor het sluiten van een overeenkomst, naar aanleiding van een verzoek van de betrokken persoon; g. de doorgifte is noodzakelijk voor de sluiting of uitvoering van een overeenkomst die in het belang van de betrokken persoon tussen u en een derde gesloten of te sluiten is (denk hierbij aan contracten tussen CSP s en onderaannemers); h. de doorgifte is noodzakelijk vanwege een zwaarwegend algemeen belang, of voor de vaststelling, de uitvoering of de verdediging van een recht in formele juridische procedures. i. de doorgifte is noodzakelijk ter vrijwaring van een vitaal belang (een belang van leven of dood) van de betrokken persoon; j. de doorgifte geschiedt vanuit een register dat bij wettelijk voorschrift is ingesteld en dat voor een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging; Overdracht op grond van (e) tot en met (h) is alleen toegestaan voor overdrachten die niet grootschalig of regelmatig plaatsvinden. 13 Met betrekking tot verwerking door CSP s bieden deze gronden daarom doorgaans geen uitkomst. 12 Behalve Andorra, Argentinië, Australië, Canada, Faroer Eilanden, Guernsey, Isle of Man, Israel Jersey, Uruguay, Zwitersland. Deze landen beschermen persoonsgegevens voldoende. 13 Article 29 Data Protection Working Party Working Document 12/1998: Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive, Adopted by the Working Party on 24 July 1998 (http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/1998/wp12_en.pdf). 14

15 Bij CSP s biedt het gebruik van modelcontracten (uitzondering a) een goede basis. Safe Harbor certificatie (uitzondering b), waarin een CSP zelf aangeeft een toereikend beschermingsniveau te bieden, biedt alleen uitkomst als de gegevens uitsluitend in de U.S.A. worden verwerkt, en juist bij CSP s is dat niet altijd het geval Het verzoeken om een vergunning bij de Minister (uitzondering c) voorziet in uitvoer naar een specifiek land, maar levert in de praktijk een lange administratieve procedure op. Als verwerking buiten de EER mogelijk is door toepassing van een van deze uitzonderingen ontslaat dat de verantwoordelijke nog niet van de verplichtingen ten aanzien van de verwerking van persoonsgegevens zoals hierboven genoemd. Inschakelen van een derde partij ontslaat u niet van verantwoordelijkheid Basisprincipes zijn in de EU grotendeels gelijk Annex 2; Nieuwe wetgeving In januari 2012 is door de Europese Unie het eerste concept van de Algemene verordening gegevensbescherming (de Verordening) gepubliceerd. Het doel van de Verordening is om (i) persoonsgegevens van de EU-burgers beter te beschermen, (ii) de huidige richtlijn en nationale wetgevingen (zoals de WBP) te vervangen en (iii) de gegevensbescherming aan te passen aan de technologische ontwikkelingen en globalisering in de 21e eeuw. Let wel, de tekst van de Verordening is nog niet definitief. Gezien het aantal amendementen dat is ingediend (meer dan 3000) is het waarschijnlijk dat de uiteindelijke tekst van de Verordening substantieel zal afwijken van het voorliggende concept. De meest relevante bepalingen van de concept Verordening zijn: De Verordening is rechtstreeks van toepassing in de hele Europese Unie en geldt voor (i) een verantwoordelijke die is gevestigd in een lidstaat van de EU, ongeacht of het verwerken van gegevens in de EU plaatsvindt of niet; en (ii) een verantwoordelijke die is gevestigd in een niet-eu lidstaat die gegevens verwerkt in verband met het aanbieden van goederen of diensten aan personen binnen de EU, of die gegevens verwerkt in verband met het observeren van hun gedrag, al dan niet via internet. Er is een focus op harmonisatie van de data protectie wetgeving binnen EU lidstaten. Een verantwoordelijke dient een beleid te ontwikkelen en effectieve maatregelen te nemen om ervoor te zorgen dat de verwerking van persoonsgegevens verloopt in overeenstemming met de Verordening. De Verordening vereist verder dat een onderneming inzichtelijk maakt op welke wijze zij voldoet aan de bepalingen van de Verordening (bijvoorbeeld een beschrijving van alle verwerkingen van gegevens die plaatsvinden onder het gezag van de verantwoordelijke). Iedere onderneming of vestiging met meer dan 250 werknemers of elke organisatie waarvan de kernactiviteit bestaat uit stelselmatig en systematisch monitoren van 15

16 personen, is verplicht een functionaris gegevensbescherming (data protection officer) aan te wijzen. Deze functionaris houdt toezicht op de naleving van de Verordening binnen de organisatie en brengt rechtstreeks verslag uit aan de leidinggevende. Er is een verplichting om aan de toezichthouder te melden als er inbreuk is gepleegd op de data bescherming. Die melding moet zonder vertraging en indien mogelijk binnen 24 uur geschieden. De verantwoordelijke moet, in principe, ook de betrokkenen informeren over het geconstateerde datalek indien dit datalek negatieve gevolgen heeft voor de privacy van de betrokkenen. Voor ondernemingen die in meerdere EU lidstaten gegevens verwerken is het afdoende om te melden aan de toezichthouder in het land waar de hoofdvestiging van die onderneming gevestigd is. De beveiligingsbepaling in de Verordening is gelijk aan die uit de Richtlijn. Nieuw is wel dat de risico s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen geëvalueerd moeten worden. Hierop moeten de beveiligingsmaatregelen gebaseerd worden. De boetes voor niet-naleving van de bepalingen van de Verordening variëren tussen de 0,5% en de 2% van de wereldwijde omzet van een organisatie. Voor organisaties of vestigingen met minder dan 250 werknemers wordt bij een eerste, niet opzettelijke, overtreding een waarschuwing gegeven. Persoonsgegevens burgers EU beter beschermen Annex 3; Bepalingen van Amerikaans Federaal Recht Hieronder staan de bepalingen onder Amerikaans Federaal recht die de meest vergaande bevoegdheden voor toegang tot data bij een CSP scheppen. Buiten beschouwing laten we bepalingen die met uitgebreide waarborgen omkleed zijn, dan wel geen betrekking hebben op inhoudelijke gegevens, maar enkel betrekking hebben op verkeersgegevens of identificerende gegevens van gebruikers omvatten, of waarvan het onwaarschijnlijk is dat ze tegenover een CSP worden toegepast,. 14 ECPA 2703 Op grond van ECPA 2703 mogen Amerikaanse overheidsinstanties opgeslagen elektronische gegevens opvragen in het kader van een onderzoek. De wijze waarop dit kan verschilt naar gelang van (i) het soort gegevens (inhoud van de communicatie, gebruikers gegevens, of andere gegevens) (ii) de duur waarvoor de gegevens opgeslagen zijn geweest (korter of langer dan 180 dagen) en (iii) of de gebruiker van wie de gegevens opgevraagd worden daarvan melding krijgt. Voor CSP s is van belang dat alle soorten elektronische gegevens die langer dan 180 dagen opgeslagen zijn geweest bij een CSP door een bevoegd ambtenaar zonder gerechtelijk bevel opgevraagd kunnen worden, mits daarvan melding gemaakt wordt 14 Federal Rules of Criminal Procedure, Rule 41, Title 18 Section 2516, Title 18 Section 2709, Title 18 Section 3123, Title 50 Section 1804, Title 50 Section We laten de bepalingen van afzonderlijke Staten buiten beschouwing. 16

17 aan de betrokken gebruiker, en mits deze gegevens enige relevantie hebben voor het lopende onderzoek. Met een gerechtelijk doorzoekingsbevel kunnen alle soorten gegevens, ongeacht de duur van de opslag, opgevraagd worden. FISA 1861 Op grond van USC Title 50, Section 1861 kan de directeur van de FBI, of een gemandateerde agent van toereikend niveau van eenieder, dus ook een CSP, alle soorten opgeslagen elektronische gegevens opvragen indien die relevant zijn voor een onderzoek naar spionage of terrorisme, of indien ze nodig zijn om foreign intelligence information te verzamelen met betrekking tot een buitenlands persoon. Foreign intelligence information wordt ruim uitgelegd. Hieronder wordt, kort gezegd, alle informatie verstaan die relevant is voor het vermogen van de Verenigde Staten om zich te verdedigen. Dit omvat verdediging tegen (i) aanvallen van andere landen en tegen terroristen, (ii) spionage, en (iii) de verspreiding van massavernietigingswapens. Ook alle informatie met betrekking tot een land of regio die relevant is voor de buitenlandse betrekkingen van de Verenigde Staten valt onder Foreign intelligence information. Voor toepassing van deze bevoegdheid moet de FBI wél een gerechtelijk bevel vragen van de Foreign Intelligence Surveillance Court; de waarborgen hiervan zijn echter beperkt tot het voldoen aan de formele criteria die hierboven vermeld zijn. Deze beperkte toetsing is een gevolg van het feit dat, anders dan Amerikaanse burgers, buitenlandse personen geen beroep toekomt op bescherming door de fourth amendment van de Amerikaanse grondwet. De fourth amendment ziet toe op het verbod op doorzoekingen en inbeslagname zonder dat er sprake is van (i) een sterk vermoeden dat daarbij bewijs van een misdrijf zal worden gevonden (ii) een gerechtelijk bevel en (iii) een specificatie van de te doorzoeken locatie en het gezochte. Ook het verzamelen van elektronische gegevens valt hieronder. 15 FISA 1881a Section 1881a, maakt het mogelijk voor de Director of National Intelligence, of de Attorney General, om zonder een specifiek gerechtelijk bevel een CSP te bevelen om medewerking te verlenen aan het verzamelen van elektronische gegevens betreffende bepaalde personen, groepen, of regio s Buitenlandse personen kunnen überhaupt geen beroep doen op de bescherming van de Amerikaanse grondwet. Ze worden ook in andere wettelijke bepalingen achtergesteld bij Amerikaanse staatsburgers. De definitie van Foreign Intelligence Information ten aanzien is bijvoorbeeld subtiel anders, ten aanzien van Amerikanen. Bij hen dient de gezochte informatie niet relevant, maar noodzakelijk te zijn. 16 Dit komt niet duidelijk uit de wettekst naar voren, maar blijkt uit het handboek David S. Kris J. Douglas Wilson - National Security Investigations and Prosecutions. 17

18 In plaats van een gerechtelijk bevel, wordt er een jaarlijkse autorisatie gevraagd om gegevens betreffende bepaalde doelwitten te verzamelen. De specifieke aanbieder bij wie de gegevens verzameld worden, hoeft echter niet opgenomen te zijn. De verzameling van gegevens moet voornamelijk, maar niet uitsluitend, noodzakelijk zijn met het oog op het verzamelen van foreign intelligence information. Verder mag de verzameling van gegevens niet bewust gericht zijn op Amerikaanse personen, of op binnenlandse communicatie in de Verenigde Staten en mag de fourth amendment van de Amerikaanse grondwet niet geschonden worden. Zoals hierboven vermeld, biedt de fourth amendment voor buitenlandse personen helaas geen bescherming. De precieze bevoegdheden onder Section 1881a en de manier waarop ze worden toegepast is op dit moment onduidelijk, de bewoording lijkt breed genoeg om zowel tapbevoegdheden als toegang tot opgeslagen gegevens te omvatten. 17 Bovendien veronderstelt subsection (h) (1)(A) een vergaande medewerkingsplicht van de CSP, het lijkt erop dat deze gedwongen kan worden specifiek voor het gebruik van deze bevoegdheden faciliteiten te bieden. Onthulling over het PRISM programma lijken daar op te wijzen, maar duidelijk is dit nog niet. Gag Order Met betrekking tot de beide FISA bepalingen, kan steeds een zogenaamd gag order worden opgelegd, ofwel een verbod om melding te maken van ontvangst van het verzoek om gegevens. Hiertegen kan een CSP zich verzetten. Hier geldt wederom echter dat buitenlandse personen in ieder geval geen bescherming toekomt op grond van de fourth amendment. Frequentie van gebruik Er is beperkt informatie bekend over het gebruik van de FISA bevoegdheden: Weliswaar wordt er jaarlijks een rapportage opgesteld met betrekking tot FISA orders 18, maar daaruit blijkt slechts dat over 2012 op grond van FISA 1861, 212 verzoeken zijn gedaan, en dat deze allen zijn toegewezen. Over het algemeen kan dus worden gesteld dat het aantal informatieverzoeken op grond van deze bepaling redelijk beperkt is (over het volume per verzoek is weinig te zeggen). Over het gebruik van FISA1881a bestaan helaas geen statistieken. De onthullingen over PRISM in de zomer van 2013, indien zij kloppen, wijzen er op dat van deze bevoegdheid grootschalig gebruik wordt gemaakt. In de praktijk kunnen alle gegevens opgevraagd worden 17 Erwin, Marshall C. en Liu, Edward C., NSA Surveillance Leaks: Background and issues for Congress, (July 2, 2013), blz. 7 en Van Hoboken, Joris V. J., Arnbak, Axel and Van Eijk, Nico, Cloud Computing in Higher Education and Research Institutions and the U.S.A. Patriot Act (November 27, 2012). Available at SSRN: or ssrn , blz Statistieken voor meerdere jaren zijn beschikbaar op: 18

19 Annex 4; Cases Ter verduidelijking van de nogal complexe materie met betrekking tot toegang tot gegevens in de cloud door Amerikaanse autoriteiten worden hieronder in kort bestek twee fictieve cases behandeld. In deze cases wordt de uitgebreidere informatie van de bepalingen van Amerikaans Federaal Recht, opgenomen in Annex 3, meegenomen. Cloud Computing Een in Nederland gevestigd encryptie softwarebedrijf, heeft geen vestigingen in de Verenigde Staten, en doet daar ook niet continue en stelselmatig zaken. Haar werknemers zijn Nederlanders. Het software bedrijf beschikt over een bestand van persoonsgegevens van haar klanten, dat zij in haar kantoor te Nederland heeft staan. Het bedrijf heeft een applicatie ontwikkeld om voor elke klant relevante aanbiedingen te selecteren en te verzenden. Deze applicatie draait binnen de Amazon Elastic Cloud Compute dienst, op een cloud infrastructuur die geheel binnen Europa gesitueerd is. Ongeacht welke Amazon entiteit exact de clouddienst levert, waarschijnlijk valt in ieder geval één Amazon entiteit die possession, custody or control over de gegevens heeft onder de rechtsmacht van de Verenigde Staten. Dit is onder meer waarschijnlijk omdat de door Amazon gescheiden cloud infrastructuur met het oog op back-up voorzieningen in geval van calamiteiten toegang hebben tot infrastructuur in andere regio s. De regionale netwerken zijn dus niet in die mate afgeschermd dat er geen communicatie over en weer kan optreden. Het is voorts niet ondenkbaar dat het bestand van personen die encryptiesoftware hebben aangeschaft relevant is voor het vermogen van de Verenigde Staten om zich te verdedigen tegen aanvallen van terroristen. Nagaan of bekende terroristengroeperingen de software aankopen valt derhalve onder foreign intelligence information. Autoriteiten in de Verenigde Staten kunnen daarom in beginsel toegang krijgen hiertoe, onder andere door gebruik te maken van de bepalingen van FISA 1881a. Als alternatief kan ook FISA 1861 aangewend worden. ECPA 2703 is ook bruikbaar indien de informatie relevant is bij een strafrechtelijk onderzoek. Indien Amerikaanse autoriteiten inderdaad toegang verzoeken, is het goed mogelijk dat er een gag order opgelegd wordt, zodat het Nederlandse bedrijf in beginsel nooit te weten komt dat deze persoonsgegevens bij Amazon worden opgevraagd en het niet aan haar klanten kan melden. Ministerie van Binnenlandse Zaken Het Ministerie van Binnenlandse Zaken heeft biometrische gegevens, vingerafdrukken om specifiek te zijn, van de gehele Nederlandse bevolking in beheer. Zij heeft de informatietechnologievoorziening hiervoor ge-outsourced in Belfast, bij een lokale IT dienstverlener. Dit omvat ook de opslag van al deze gegevens en het hosten van de applicatie waarmee deze benaderd kunnen worden voor identiteitsverificatie. De IT dienstverlener heeft geen vestigingen of groepsmaatschappijen in de Verenigde Staten, doet daar ook niet continue en stelselmatig zaken, en heeft geen Amerikaanse 19

20 werknemers. Zij maakt echter wel gebruik van een onderaannemer waar in parallel een backup van de applicatie en de databank met persoonsgegevens draait. De onderaannemer kan zich voor support doeleinden toegang verschaffen tot die applicatie en tot de databank. Deze onderaannemer heeft een vestiging in de Verenigde Staten. Ook hier kan de Amerikaanse overheid zich toegang verschaffen tot de opgeslagen gegevens, nu de onderaannemer onder Amerikaans rechtsmacht valt, en toegang heeft tot de gegevens. Ook hier valt goed te beargumenteren dat deze gegevens foreign intelligence information bevatten. Om een dwarsstraat te noemen, de Verenigde Staten zouden bij hen bekende vingerafdrukken van vermeende terroristen kunnen matchen met de Nederlandse databank. Toegang via FISA 1881a en FISA1861a lijkt dus open te staan. Hier geldt wederom dat door een gag-order op te leggen, het mogelijk is dat het Nederlandse Ministerie nooit op de hoogte raakt van toegang door de Amerikaanse Autoriteiten. ECPA 2703 is hier in beginsel ook bruikbaar indien de informatie relevant is bij een strafrechtelijk onderzoek. Als gag-orders worden opgelegd is het moeilijk voor de Nederlandse overheid om de acties van de Amerikaanse autoriteiten te achterhalen. Quint Wellington Redwood kortweg Quint is een toonaangevend, onafhankelijk managementadviesbureau dat zich volledig toelegt op het oplossen van IT-gerelateerde organisatievraagstukken. De dienstverlening is grensoverschrijdend en strekt zich uit over 49 landen en vier continenten. Quint richt zich in het bijzonder op strategie, innovatie, sourcing, regie en Lean IT, waarbij wereldwijd best practices worden ontwikkeld en geïmplementeerd. Quints portfolio van diensten omvat onder andere Consulting, Benchmarking en Opleidingen en is geïntegreerd in verschillende business- en IT-domeinen. Met het motto Dare to Challenge, daagt Quint zichzelf en haar klanten voortdurend uit om ingrijpende prestatieverbeteringen, een betere concurrentiepositie en meer toegevoegde waarde te realiseren. Quint vindt niet alleen de organisatie van haar klanten opnieuw uit, maar ook de consultancybranche zelf! Meer informatie over Quint vindt u op Copyright 2013, Quint Wellington Redwood. All rights reserved. No part of this publication may be reproduced, transferred and/or shown to third parties without the written consent of The Quint Wellington Redwood Group. Q u i n t W e l l i n g t o n R e d w o o d QuintGroup.com

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ````

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ```` Naar aanleiding van de recente onthullingen rondom de NSA, de Patriot act en PRISM is er veel onduidelijkheid voor organisaties of hun gegevens wel veilig en voldoende beschermd zijn. Op 1 januari 2016

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen Privacyreglement verwerking persoonsgegevens ROC Nijmegen Laatstelijk gewijzigd in april 2014 Versie april 2014/ Voorgenomen vastgesteld door het CvB d.d. 12 juni 2014 / Instemming OR d.d. 4 november 2014

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Cloud computing: het juridisch kader

Cloud computing: het juridisch kader Cloud computing: het juridisch kader Auteur: Willem-Jan van Elk en Miranda van Elswijk Steeds meer softwarediensten zijn altijd en overal beschikbaar via internet. Deze diensten worden cloud services genoemd.

Nadere informatie

onderzoek en privacy WAT ZEGT DE WET

onderzoek en privacy WAT ZEGT DE WET onderzoek en privacy WAT ZEGT DE WET masterclass research data management Maastricht 4 april 2014 presentatie van vandaag uitleg begrippenkader - privacy - juridisch huidige en toekomstige wet- en regelgeving

Nadere informatie

Is uw onderneming privacy proof?

Is uw onderneming privacy proof? Is uw onderneming privacy proof? Seminar Privacy 6 november 2014 Floor de Roos Advocaat handelsrecht 1 De Wet bescherming persoonsgegevens in vogelvlucht 2 1. Is sprake van persoonsgegevens? Ruim begrip:

Nadere informatie

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 MKB Webhoster erkent dat privacy belangrijk is. Dit Privacy- en Cookiebeleid (verder: Beleid) is van toepassing op alle producten diensten

Nadere informatie

NVM BEWERKERSOVEREENKOMST

NVM BEWERKERSOVEREENKOMST NVM BEWERKERSOVEREENKOMST DE ONDERGETEKENDEN: 1. De besloten vennootschap met beperkte aansprakelijkheid ID CHECKER.NL B.V., gevestigd te Haarlem, ten deze enerzijds rechtsgeldig vertegenwoordigd door

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Datum: 25-04-2015 Versie: 1.1 Status: Definitief Bewerkersovereenkomst Partijen De zorginstelling, gevestigd in Nederland, die met een overeenkomst heeft gesloten in verband met het

Nadere informatie

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen: Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

MELDPLICHT DATALEKKEN

MELDPLICHT DATALEKKEN MELDPLICHT DATALEKKEN 2 WETSWIJZIGING Op 26 mei 2015 heeft EK wetsvoorstel voor de Wet meldplicht datalekken aangenomen. Sinds 1 januari 2016 in werking getreden: Nieuw in Wet bescherming persoonsgegevens

Nadere informatie

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016 PRIVACY SIDN fonds Menno Weij 3 februari 2016 AGENDA Privacy Privacywetgeving van toepassing Plichten voor bedrijven Rechten betrokkenen Toezichthouder Ruimte voor vragen en discussie TERMINOLOGIE Belangrijkste

Nadere informatie

Privacy reglement. Inleiding

Privacy reglement. Inleiding Privacy reglement Inleiding De Wet bescherming persoonsgegevens (WBP) vervangt de Wet persoonsregistraties (WPR). Daarmee wordt voldaan aan de verplichting om de nationale privacywetgeving aan te passen

Nadere informatie

Privacyreglement Hulp bij ADHD

Privacyreglement Hulp bij ADHD Privacyreglement Hulp bij ADHD Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad

Nadere informatie

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon. Privacyreglement Intermedica Kliniek Geldermalsen Versie 2, 4 juli 2012 ALGEMENE BEPALINGEN Artikel 1. Begripsbepalingen Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare

Nadere informatie

Datum 1 september 2011 Onderwerp Beantwoording Kamervragen over het artikel "Amerika graait in Europese clouddata"

Datum 1 september 2011 Onderwerp Beantwoording Kamervragen over het artikel Amerika graait in Europese clouddata 1 > Retouradres Postbus 20301 2500 EH Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG Schedeldoekshaven 100 2511 EX Den Haag Postbus 20301 2500 EH Den

Nadere informatie

Wet bescherming persoonsgegevens (Wbp) - (wet) meldplicht datalekken. Safe Harbor Ø. Binding Corporate Rules

Wet bescherming persoonsgegevens (Wbp) - (wet) meldplicht datalekken. Safe Harbor Ø. Binding Corporate Rules Dataprivacy Wet bescherming persoonsgegevens (Wbp) - (wet) meldplicht datalekken Safe Harbor Ø Binding Corporate Rules Wbp Neerslag EU-regelgeving (rl. 95/46/EG), in hele EU De titel van de wet zegt het

Nadere informatie

Inleiding, toelichting... 2. Algemene bepalingen... 2. Artikel 1: Begripsbepalingen... 2. Artikel 2: Reikwijdte... 3. Artikel 3: Doel...

Inleiding, toelichting... 2. Algemene bepalingen... 2. Artikel 1: Begripsbepalingen... 2. Artikel 2: Reikwijdte... 3. Artikel 3: Doel... PRIVACYREGLEMENT REGIORECHT ANTI-FILESHARINGPROJECT INHOUD Inleiding, toelichting... 2 Algemene bepalingen... 2 Artikel 1: Begripsbepalingen... 2 Artikel 2: Reikwijdte... 3 Artikel 3: Doel... 3 Rechtmatige

Nadere informatie

Informatiegids. Wet Bescherming Persoonsgegevens (Wbp) voor. NOAB leden

Informatiegids. Wet Bescherming Persoonsgegevens (Wbp) voor. NOAB leden Informatiegids Wet Bescherming Persoonsgegevens (Wbp) voor NOAB leden 1 INLEIDING... 3 DE WBP... 3 1 PERSOONSGEGEVENS... 3 1.1 WAT ZIJN GEGEVENS EN WELKE EISEN STELT DE WET AAN GEGEVENS... 3 1.2 VERWERKEN

Nadere informatie

De Voorzitter van de Tweede Kamer der Staten Generaal Postbus 20018 2500 EA Den Haag

De Voorzitter van de Tweede Kamer der Staten Generaal Postbus 20018 2500 EA Den Haag >Retouradres Postbus 20010, 2500 EA Den Haag De Voorzitter van de Tweede Kamer der Staten Generaal Postbus 20018 2500 EA Den Haag Postbus 20010 2500 EA Den Haag www.minbzk.nl Contact T 079 320 50 50 F

Nadere informatie

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 - cloud computing: het via het internet op aanvraag beschikbaar stellen van hardware, software en gegevens. - cloud: een netwerk van computers, waarbij

Nadere informatie

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen PRIVACYREGLEMENT Hoofdstuk 1: Algemene bepalingen Artikel 1: Begripsbepaling 1. In dit reglement wordt in aansluiting bij en in aanvulling op de Wet Bescherming Persoonsgegevens (Staatsblad 2000, 302)

Nadere informatie

PRIVACY REGLEMENT - 2015

PRIVACY REGLEMENT - 2015 PRIVACY REGLEMENT - 2015 Jasnante re-integratie onderdeel van Jasnante Holding B.V. (kvk nr. 52123669 ) gevestigd aan de Jacob van Lennepkade 32-s, 1053 MK te Amsterdam draagt zorg voor de geheimhoudingsverplichting

Nadere informatie

SWPBS vanuit juridisch oogpunt

SWPBS vanuit juridisch oogpunt SWPBS vanuit juridisch oogpunt Samenvatting uit: De Wilde M., en Van den Berg A. (2012), SWPBS, vanuit juridisch oogpunt, afstudeerrapport juridische afdeling Christelijke Hogeschool Windesheim, Zwolle

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Dit is een voorbeeld van een Bewerkersovereenkomst zoals gegenereerd met de Bewerkersovereenkomst generator van ICTRecht: https://ictrecht.nl/diensten/juridische-generatoren/bewerkersovereenkomstgenerator/

Nadere informatie

Factsheet Omgaan met persoonsgegevens met oog op Wpb, Wmo 2015 en Jeugdwet

Factsheet Omgaan met persoonsgegevens met oog op Wpb, Wmo 2015 en Jeugdwet Factsheet Omgaan met persoonsgegevens met oog op Wpb, Wmo 2015 en Jeugdwet Vanaf januari 2015 krijgt u als zorgaanbieder te maken met nieuwe regelgeving met het oog op uitwisseling van uw cliëntgegevens

Nadere informatie

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene

Nadere informatie

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1. Begripsbepalingen 1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1.2. Gezondheidsgegevens Persoonsgegevens die direct of indirect betrekking

Nadere informatie

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013 Cloud & Privacy B2B Clouddiensten Robert Boekhorst Amsterdam 27 juni 2013 Inleiding Privacyrecht: in vogelvlucht Knelpunten Hoe hier mee om te gaan? toekomstige ontwikkelingen Privacyrecht in vogelvlucht

Nadere informatie

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid Bewerkersovereenkomst Afnemer Logius behorende bij het aanvraagformulier MijnOverheid De ondergetekenden: [ ], verder te noemen : Afnemer en De Staat der Nederlanden, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. Vastgesteld door de Raad van Bestuur, november 2010 Artikel 1 Begripsbepalingen 1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. 1.2 verwerking van persoonsgegevens:

Nadere informatie

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten:

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten: Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten: vast te stellen de volgende Regeling Wet bescherming persoonsgegevens Teylingen

Nadere informatie

NVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht

NVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht Studiebijeenkomst 18 december 2012 NVBI Proposal General Data Protection Regulation Eva N.M. Visser IT Advocaat Bestuurslid Vereniging Privacy Recht Inhoud 1. Huidig juridisch kader 2. Doelstellingen

Nadere informatie

Mogen advocaten hun data in de Cloud bewaren?

Mogen advocaten hun data in de Cloud bewaren? Cloud Computing Traditioneel staat/stond de software waar kantoren gebruik van maken voor hun dossier en/of financiële administratie, op een server die zich fysiek op het advocatenkantoor bevond. Steeds

Nadere informatie

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.) Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.) 1. Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare

Nadere informatie

Datum 8 november 2012 Onderwerp Beantwoording kamervragen over de toegang van de VS tot data in de cloud

Datum 8 november 2012 Onderwerp Beantwoording kamervragen over de toegang van de VS tot data in de cloud 1 > Retouradres Postbus 20301 2500 EH Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG Schedeldoekshaven 100 2511 EX Den Haag Postbus 20301 2500 EH Den

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Privacyreglement Potenco

Privacyreglement Potenco Privacyreglement Potenco Artikel 1 Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Reglement bescherming persoonsgegevens Lefier StadGroningen

Reglement bescherming persoonsgegevens Lefier StadGroningen Reglement bescherming persoonsgegevens Lefier StadGroningen Voor het verhuren van een woning en het leveren van overige diensten heeft Lefier StadGroningen gegevens van u nodig. De registratie en verwerking

Nadere informatie

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen PRIVACY VERKLARING Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

1. De bewerkersovereenkomst met Solviteers, de leverancier van het ICT-systeem voor de sociale wijkteams, vast te stellen.

1. De bewerkersovereenkomst met Solviteers, de leverancier van het ICT-systeem voor de sociale wijkteams, vast te stellen. Collegevoorstel Openbaar Onderwerp Bewerkersovereenkomst WIZportaal Programma Zorg & Welzijn Portefeuillehouder B. Frings Samenvatting Voor de sociale wijkteams in de regio Nijmegen is nieuwe software

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) Versie no 4: 1 juli

Nadere informatie

Privacyreglement BON-holding BV. Zuidbroek, 10 oktober 2013 Auteur: P. Bouman

Privacyreglement BON-holding BV. Zuidbroek, 10 oktober 2013 Auteur: P. Bouman Privacyreglement BON-holding BV Zuidbroek, 10 oktober 2013 Auteur: P. Bouman I Algemene bepalingen Artikel 1 Begripsbepaling In deze gedragscode wordt in aansluiting en aanvulling op de Wet bescherming

Nadere informatie

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE IN AANMERKING NEMENDE: dat bij de Stichting Eduroute verschillende educatieve distributeurs zijn aangesloten; dat deze educatieve distributeurs

Nadere informatie

Privacyreglement van De Zaak van Ermelo

Privacyreglement van De Zaak van Ermelo Privacyreglement van De Zaak van Ermelo ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet

Nadere informatie

BEWERKERSOVEREENKOMST BIJLAGE BIJ DE ALGEMENE VOORWAARDEN VAN VEILINGDEURWAARDER.NL INZAKE HET ONDER VERANTWOORDELIJKHEID VAN CONTRACTANT VERWERKEN VAN PERSOONSGEGEVENS VIA DE WEBSITE In het kader van

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Reglement bescherming persoonsgegevens Kansspelautoriteit

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Reglement bescherming persoonsgegevens Kansspelautoriteit STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 21460 29 juli 2014 Reglement bescherming persoonsgegevens Kansspelautoriteit De raad van bestuur van de Kansspelautoriteit,

Nadere informatie

8.50 Privacyreglement

8.50 Privacyreglement 1.0 Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; 2. Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben

Nadere informatie

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016 Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016 Privacyrecht Wetgeving: Wet bescherming persoonsgegevens (Eur. Richtlijn 95/46/EG)

Nadere informatie

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 >

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 > PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 > Artikel 1 Begripsbepalingen In deze Privacyregeling wordt

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

BEWERKERSOVEREENKOMST EMATTERS

BEWERKERSOVEREENKOMST EMATTERS BEWERKERSOVEREENKOMST EMATTERS Ondergetekenden: [NAAM KLANT], gevestigd [ADRES] te [PLAATS] en ingeschreven bij de Kamer van Koophandel onder nummer [KVKNUMMER], hierbij rechtsgeldig vertegenwoordigd door

Nadere informatie

Dienst Uitvoering Onderwijs (DUO)

Dienst Uitvoering Onderwijs (DUO) Dienst Uitvoering Onderwijs (DUO) Privacytoezicht in de praktijk Aramis Jean Pierre Functionaris gegevensbescherming (FG) DUO/OCW Aramis.jeanpierre@duo.nl Functionaris voor de gegevensbescherming (FG)

Nadere informatie

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming

Nadere informatie

Zin en onzin over PRISM, Patriot Act en de Wet bescherming persoonsgegevens

Zin en onzin over PRISM, Patriot Act en de Wet bescherming persoonsgegevens Zin en onzin over PRISM, Patriot Act en de Wet bescherming persoonsgegevens Wet-en regelgeving met betrekking tot het verwerken van gegevens bij gebruik van IT-diensten Samengesteld door Schuberg Philis

Nadere informatie

PRIVACYREGLEMENT BEST

PRIVACYREGLEMENT BEST PRIVACYREGLEMENT BEST BURGEMEESTER EN WETHOUDERS VAN BEST; gelet op de bepalingen van de Wet bescherming persoonsgegevens en artikel 4 van de Verordening verwerking persoonsgegevens gemeente Best; B E

Nadere informatie

Privacy reglement publieke XS-Key

Privacy reglement publieke XS-Key Privacy reglement publieke XS-Key Dit is het Privacy reglement behorend bij XS-Key Systeem van Secure Logistics BV (hierna te noemen SL ). 1. Definities In dit reglement worden de navolgende begrippen

Nadere informatie

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV)

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV) Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV) Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) 7 november 2013 1 Inhoud

Nadere informatie

Privacyreglement OCA(Zorg)

Privacyreglement OCA(Zorg) Privacyreglement OCA(Zorg) Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Privacy Gedragscode Keurmerk RitRegistratieSystemen

Privacy Gedragscode Keurmerk RitRegistratieSystemen Pagina 1 van 5 Privacy Gedragscode Keurmerk RitRegistratieSystemen Inleiding Dit document dient als bijlage bij alle systemen waarbij het Keurmerk RitRegistratieSystemen (RRS) wordt geleverd en is hier

Nadere informatie

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus 20101 2500 EC Den Haag Ministeriële regeling afsluitingen

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus 20101 2500 EC Den Haag Ministeriële regeling afsluitingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN de minister van Economische Zaken,

Nadere informatie

PRIVACYREGLEMENT NKA

PRIVACYREGLEMENT NKA PRIVACYREGLEMENT NKA INHOUD 1. WANNEER IS DIT PRIVACYREGLEMENT VAN TOEPASSING?... 3 2. DOEL PRIVACYREGLEMENT... 3 3. WIE IS VERANTWOORDELIJK VOOR UW GEGEVENS?... 3 4. WELKE PERSOONSGEGEVENS VERWERKT NKA?...

Nadere informatie

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg Dit reglement bevat, conform de wet bescherming persoonsgegevens, regels voor een zorgvuldige omgang met het verzamelen en verwerken

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 613380036 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie Postbus

Nadere informatie

Bewerkersovereenkomst ARVODI-2014

Bewerkersovereenkomst ARVODI-2014 Instructie: 1 - Teksten/bepalingen die optioneel zijn, staat voor vermeld. - Bij teksten waar OF tussen de bepalingen in staat, dient een keuze tussen de verschillende opties gemaakt te worden.

Nadere informatie

Informatie over privacywetgeving en het omgaan met persoonsgegevens

Informatie over privacywetgeving en het omgaan met persoonsgegevens Informatie over privacywetgeving en het omgaan met persoonsgegevens Inleiding Op 1 september 2001 is de Wet Bescherming Persoonsgegevens (WBP) in werking getreden. Hiermee werd de Europese Richtlijn over

Nadere informatie

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden;

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden; Cloud Computing Cloud computing, waarschijnlijk bent u de term de afgelopen jaren veelvuldig tegengekomen. De voor- en nadelen van cloud computing worden met enige regelmaat in de juridische literatuur

Nadere informatie

Openbaar. Gezamenlijk rechtsoordeel van CBP en OPTA inzake tell-a-friend systemen op websites

Openbaar. Gezamenlijk rechtsoordeel van CBP en OPTA inzake tell-a-friend systemen op websites Gezamenlijk rechtsoordeel van CBP en OPTA inzake tell-a-friend systemen op websites Inleiding... 2 Juridisch kader... 3 Bevoegdheid OPTA en bevoegdheid CBP... 3 Aanleiding rechtsoordeel... 3 Toepasbaarheid

Nadere informatie

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Inhoudsopgave 1. Wet Bescherming Persoonsgegevens 2. Wat is een datalek? 3. Wanneer moet

Nadere informatie

BNG Regeling melding (vermeende) misstand

BNG Regeling melding (vermeende) misstand Koninginnegracht 2 2514 AA Den Haag T 0703750750 www.bngbank.nl BNG Regeling melding (vermeende) misstand BNG Bank is een handelsnaam van N.V. Bank Nederlandse Gemeenten, statutair gevestigd te Den Haag,

Nadere informatie

Privacyreglement. van. DoorWerk

Privacyreglement. van. DoorWerk Privacyreglement van DoorWerk Dit privacyreglement is vastgesteld op 01-01-2010 Dit privacyreglement dient als basis voor het vastleggen door het reïntegratiebedrijf hoe het omgaat met de privacy en de

Nadere informatie

CLOUD COMPUTING & PRIVACY

CLOUD COMPUTING & PRIVACY 1 Als een onderwijsinstelling bijvoorbeeld het beheer en onderhoud van de databases met persoonsgegevens niet zelf uitvoert, maar door een cloud leverancier laat doen, dan noemt de wet dit bedrijf de bewerker.

Nadere informatie

Ook worden gegevens die uit het intake-gesprek naar voren zijn gekomen en die belangrijk kunnen zijn voor de hulpverlening verwerkt.

Ook worden gegevens die uit het intake-gesprek naar voren zijn gekomen en die belangrijk kunnen zijn voor de hulpverlening verwerkt. Privacyreglement 1. Inleiding Ten behoeve van haar hulpverleningsactiviteiten registreert Community Support gegevens van haar klanten. Het doel van dit privacyreglement is de klanten op de hoogte te stellen

Nadere informatie

Van perceptie naar werkelijkheid

Van perceptie naar werkelijkheid White Paper 6 juni 2013 Juridische aandachtspunten ten aanzien van Cloud Computing Van perceptie naar werkelijkheid Bij aanbieders van Cloud Computing gaat het vaak om grote buitenlandse spelers, waardoor

Nadere informatie

Organisatie Informatieveiligheid. Safe@School

Organisatie Informatieveiligheid. Safe@School Willem Debeuckelaere Anne Teughels & Caroline Vernaillen mei 2015 voor het elektronische bestuurlijke gegevensverkeer Ronde van Vlaanderen Onderwijs Organisatie Informatieveiligheid Safe@School Wie zijn

Nadere informatie

Privacy protocol Sociaal domein gemeente Waterland 2015

Privacy protocol Sociaal domein gemeente Waterland 2015 GEMEENTEBLAD Officiële uitgave van gemeente Waterland. Nr. 6717 29 januari 2015 Privacy protocol Sociaal domein gemeente Waterland 2015 Het college van burgemeester en wethouders van Waterland, overwegende

Nadere informatie

Privacyreglement KOM Kinderopvang

Privacyreglement KOM Kinderopvang Privacyreglement KOM Kinderopvang Doel: bescherming bieden van persoonlijke levenssfeer van de ouders en kinderen die gebruik maken van de diensten van KOM Kinderopvang. 1. Algemene bepalingen & begripsbepalingen

Nadere informatie

ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR

ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR ARTIKEL 1 ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis

Nadere informatie

Privacy reglement. 28 juli 2011. Privacyreglement Surplus Welzijn

Privacy reglement. 28 juli 2011. Privacyreglement Surplus Welzijn Privacy reglement 28 juli 2011 I. Algemene bepalingen In dit reglement en de daarop berustende bepalingen wordt verstaan onder: - Persoonsgegevens Gegevens die herleidbaar zijn tot individuele natuurlijke

Nadere informatie

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? 1 Onderwerpen Wat zegt de huidige wet en de komende Europese Privacy

Nadere informatie

Privacyreglement verwerking Cursisten gegevens Oxford Opleidingen

Privacyreglement verwerking Cursisten gegevens Oxford Opleidingen Privacyreglement verwerking Cursisten gegevens Oxford Opleidingen Artikel 1 Begripsbepalingen In dit reglement wordt verstaan onder: 1. Cursist: persoon die een opleiding volgt op een onder het bevoegd

Nadere informatie

Privacyreglement Kindertherapeuticum

Privacyreglement Kindertherapeuticum 1. Begripsbepalingen Binnen de Wet Bescherming Persoonsgegevens (WBP) wordt een aantal begrippen gehanteerd. In onderstaande lijst staat een uitleg van de begrippen. 1.1 Persoonsgegevens Elk gegeven betreffende

Nadere informatie

Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet Bescherming Persoonsgegevens, verder te noemen WBP.

Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet Bescherming Persoonsgegevens, verder te noemen WBP. PRIVACYREGLEMENT PHH ACADEMIE Doel van het reglement De Wet Bescherming Persoonsgegevens vereist dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze dienen te worden

Nadere informatie

Welke gegevens we verzamelen en waarom we die verzamelen. Hoe we die gegevens gebruiken.

Welke gegevens we verzamelen en waarom we die verzamelen. Hoe we die gegevens gebruiken. Privacybeleid Gegevens die we ontvangen Duidelijkheid en keuzemogelijkheden Gegevens die we delen Toepassing Handhaving Wijzigingen Laatst aangepast: 10 juli 2013 Doccle hecht veel belang aan het onderhouden

Nadere informatie

Privacyreglement van Talenta. christelijk bureau voor jobcoaching en re-integratie

Privacyreglement van Talenta. christelijk bureau voor jobcoaching en re-integratie Privacyreglement van Talenta christelijk bureau voor jobcoaching en re-integratie Privacyreglement Talenta Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald

Nadere informatie

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Koninklijk Horeca Nederland DATUM 5 februari

Nadere informatie

KNSA-MODEL. Informatiebrochure. Hoe wordt met uw persoonsgegevensomgegaan?

KNSA-MODEL. Informatiebrochure. Hoe wordt met uw persoonsgegevensomgegaan? KNSA-MODEL Informatiebrochure Privacy binnen de KNSA en de bij haar aangesloten schietsportverenigingen Hoe wordt met uw persoonsgegevensomgegaan? EUCLIDESLAAN 1 POSTBUS 3045 3502 GB UTRECHT Tel: +31 (0)88

Nadere informatie

Wet bescherming persoonsgegevens (Wbp) Bewerkersovereenkomst de gemeente Scherpenzeel met Jeugdbescherming Gelderland

Wet bescherming persoonsgegevens (Wbp) Bewerkersovereenkomst de gemeente Scherpenzeel met Jeugdbescherming Gelderland Wet bescherming persoonsgegevens (Wbp) Bewerkersovereenkomst de gemeente Scherpenzeel met Jeugdbescherming Gelderland De ondergetekenden: 1) het college van burgemeester en wethouders van de gemeente Scherpenzeel,

Nadere informatie

Privacy Compliance in een Cloud Omgeving

Privacy Compliance in een Cloud Omgeving Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010 Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau

Nadere informatie

Privacyreglement. Algemene bepalingen. Doelstelling

Privacyreglement. Algemene bepalingen. Doelstelling Doelstelling Privacyreglement Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet bescherming persoonsgegevens, verder te noemen WBP. Dit reglement is van toepassing

Nadere informatie

KNKV reglement persoonsregistratie via het KISS Gebaseerd op het modelreglement van NOC*NSF

KNKV reglement persoonsregistratie via het KISS Gebaseerd op het modelreglement van NOC*NSF KNKV reglement persoonsregistratie via het KISS Gebaseerd op het modelreglement van NOC*NSF Artikel 1. Artikel 2. Artikel 3. Artikel 4. Artikel 5. Artikel 6. Artikel 7. Artikel 8. Artikel 9. Artikel 10.

Nadere informatie

Wet bescherming persoonsgegevens Pagina 1

Wet bescherming persoonsgegevens Pagina 1 Wet bescherming persoonsgegevens Wet bescherming persoonsgegevens te Huizen Erkend gastouderbureau Houder: dhr. A. Jongsma Laatst gewijzigd op: 10 mei 2009. Wet bescherming persoonsgegevens Pagina 1 Inhoudsopgaaf:

Nadere informatie

1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. PRIVACYREGLEMENT 1. Begripsbepalingen 1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 2. Zorggegevens: persoonsgegevens die direct of indirect

Nadere informatie