Actualiteiten bescherming persoonsgegevens

Transcriptie

1 Actualiteiten bescherming persoonsgegevens VNG Juridische 2-daagse 2015 Hester de Vries 10 november

2 Bescherming persoonsgegevens actuele ontwikkelingen - stavaza 2

3 Bescherming persoonsgegevens Actuele ontwikkelingen - stavaza (Voorstel) Algemene Verordening gegevensbescherming Rechtspraak arrest Hof van Justitie 6 oktober 2015 (C-362/14) (Toekomstige) Meldplicht datalekken Handhaving & Sancties toezichthouder Onderzoek/handhaving/beleid CBP 3

4 AVGB Huidig juridisch kader: Europese Richtlijn 95/46/EC In 28 EU-Lidstaten verschillend geïmplementeerd Nadeel: verschillende en zelfs tegenstrijdige interpretaties In 28 EU-Lidstaten verschillend toezicht Nadeel: toezichthouders ontwikkelen verschillend beleid en hebben verschillende handhavingsinstrumenten De harmoniserende rol van de Artikel 29-Werkgroep? Laatste woord: Hof van Justitie EU 4

5 Safe harbor arrest Hof van Justitie 6 oktober 2015 (C 362/14) Nav Klacht Max Schremms: opslag gegevens Facebookgebruikers in VS toegang veiligheidsdiensten Ierse toezichthouder wijst klacht af en beroept zich op EC Besluit 2000/520 inzake Safe Harbor Safe Harbor Framework gebaseerd op zelf-certificering / toezicht FTC HvJ verklaart Besluit 2000/520 ongeldig 5

6 Gevolgen Safe Harbor arrest Voor alle organisaties die voor trans-atlantische doorgifte van persoonsgegevens gebruik maken van de Safe Harbor Binnen groep van ondernemingen Maar ook aan externe partijen ( LET OP: software leveranciers/cloud providers Doorgifte op basis van safe harbor is niet langer toegestaan: Acties vereist: Inventariseer doorgiftes: gebaseerd op safe harbor? Beste alternatief op dit moment: model contractbepalingen Bepaal welke set is van toepassing? Controller-Controller of Controller-Processor Modelcontractbepalingen 6

7 Gevolgen safe harbor arrest Let op standpuntbepaling van toezichthouders Artikel 29 Werkgroep 15 oktober persbericht - komende periode verder onderzoek naar de gevolgen van de uitspraak - met name gevolgen voor doorgifte op andere juridische basis - maar! organisaties kunnen niet rustig afwachten - toezichthouders zullen optreden als eind januari geen politieke oplossing is gevonden en mogelijk tot handhaving overgaan 7

8 AVGB 8

9 STAVAZA EU: Algemene Verordening Gegevensbescherming (AVGB) Voorstel Europese Commissie januari 2012 Stemming Europees Parlement 12 maart 2014 Algemene oriëntatie Raad van Ministers 15 juni 2015 Start Triloog 24 juni 2015: onderhandelingen Commissie, Raad en Parlement om tot definitief akkoord te komen Strakke planning akkoord december 2015(!?) Inwerkingtreding- 2 jaar later, dus mogelijk 1 januari

10 Triloog 10

11 AVGB doorgifte persoonsgegevens Oordeel EC passend beschermingsniveau Modelcontractbepalingen?! Of ad hoc contracten met voorafgaande toetsing? Privacy seal? Voor bedrijfsleven: binding corporate rules Voor overheid: a legally binding and enforceable instrument between public authorities or bodies (?) Doorgifte nav een vordering uit een derde land Alleen op basis van MLAT? Na voorafgaande toetsing door de toezichthouder? GAG-order 11

12 AVGB Basisbeginselen gegevensbescherming In de kern niet gewijzigd tov Richtlijn 95/46/EC Doelbinding/grondslag Dataminimalisatie Beveiliging Bewerker: Zorgvuldige selectie Bewerkersovereenkomst Sub-bewerker Concrete verplichtingen voor bewerker 12

13 AVGB Enkele aandachtspunten voor gemeenten Grondslag Toestemming? Vrije wil en onevenwichtigheid? Wettelijke plicht of vervulling van een taak van algemeen belang of een taak die deel uitmaakt van de uitoefening van het openbaar gezag: criteria waaraan recht van lidstaat moet beantwoorden. Gerechtvaardigd belang: geen beroep door overheden? (let op verschillen in teksten!) 13

14 AVGB Verplichtingen van de verantwoordelijke? Documentatie Data Protection by Design Data Protection by Default Bewerkersovk Audit Beveiliging Samenwerking Accountability Melding Data Breaches FG PA PIA 14

15 Verschillen in tekstvoorstellen (een enkel voorbeeld) 15

16 vervolg 16

17 Vervolg ( ) 17

18 AVGB Accountability documentatieplicht Noodzaak: Privacy Management Programma Componenten bijv. Privacygovernance Policies - werkinstructies Verificatie (audit) Klachtenafhandeling Training Mate van detail - nog niet duidelijk Naar verwachting: Normen in tekst AVGB Aanvullende normen Artikel 29 Werkgroep (?) 18

19 Ander voorbeeld 19

20 AVGB Rechten van de betrokkene? Transparante informatie-verstrekking en communicatie Recht van bezwaar Recht om vergeten te worden en gegevens te wissen Recht van gegevensoverdraagbaarheid Recht op informatie Recht van rectificatie Recht van toegang 20

21 Voorbereiden op de AVGB Brief aan de leden van VNG: 19 oktober 2015 Compliance instrumenten Rijksoverheid Toetsmodel Privacy Impact Assessment (PIA) Rijksdienst NOREA Handreiking Privacy Impact Assessment 21

22 Voorbereiden op de AVGB Compliance instrumenten Baseline Informatieveiligheid Gemeenten VNG / KING / ViSD Privacy Scan Factsheet Privacy Factsheet Triage Privacy Governance binnen het sociaal domein 22

23 AVGB 23

24 STAVAZA: (toekomstige) meldplicht datalekken Wijziging Wet bescherming persoonsgegevens Van kracht 1 januari 2016 (onder meer) nieuw artikel 34a 24

25 Meldplicht datalekken 25

26 Beveiligingsverplichting (art. 13 Wbp) Passende technische en organisatorische beveiligingsmaatregelen Beveiligen tegen verlies of enige vorm van onrechtmatige verwerking Maatregelen garanderen passend beschermingsniveau, rekening houdend met de stand van de techniek, kosten van tenuitvoerlegging, aard van de gegevens en de risico s van de verwerking 26

27 Passende beveiligingsmaatregelen Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging. (MvT Wbp, p. 99) Beveiliging vergt een continue inspanning 27

28 Richtsnoeren beveiliging CBP Gepubliceerd eind februari 2013 Kader voor onderzoek/ handhaving CBP Kwaliteitscirkel: inbedden om continue beveiliging te waarborgen 28

29 Beveiligingsplicht Worden passende technische en organisatorische beveiligingsmaatregelen getroffen (art. 13 Wbp)? Praktijkvoorbeeld: CBP onderzoeken (9) zorginstellingen, (3) huisartsenposten, websites (150) huisartsen en apothekers Bevindingen CBP: toegang door onbevoegden tot digitale patiëntendossiers geen unieke gebruikersidentificatie en geen gebruik tweefactorauthenticatie niet beveiligde verbinding gebruikt bij aanvragen herhaalrecepten 29

30 Beveiligingsplicht Praktijkvoorbeeld: risico van schadeclaim van betrokkene wegens onvoldoende beveiliging patiëntdossier Niet te achterhalen wie toegang heeft gehad tot dossier Schadevergoeding 33,771,80 EHRM, 17 juli

31 Meldplicht datalekken 31

32 Inbreuk op de beveiliging Nota naar aanleiding van het nader verslag, p. 4 Memorie van toelichting, p

33 Beslisingsmodel 33

34 Voorbeelden van meldingsplichtige incidenten Nota naar aanleiding van het nader verslag, p

35 Not if, but when. - VS: 94% in de gezondheidszorg had ten minste 1 datalek in VS: 45% had meer dan 5 lekken

36 Beslissingsmodel 1. Inbreuk op de beveiliging 2. Melding CBP: ernstige nadelige gevolgen voor de bescherming van persoonsgegevens? 3. Melding betrokkene: waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer? 4. Uitgezonderd van meldingsplicht? 36

37 Melding toezichthouder: ernstige nadelige gevolgen Nota naar aanleiding van het nader verslag, p. 18 Nota naar aanleiding van het nader verslag, p. 9 37

38 Melding aan betrokkene: waarschijnlijk ongunstige gevolgen voor diens persoonlijke levenssfeer Alleen meldplicht aan betrokkene als er ook een meldplicht aan CBP bestaat Schade voor diens persoonlijke levenssfeer omvat ook financiële schade 38

39 Uitgezonderd? Geen melding aan betrokkene als de persoonsgegevens versleuteld zijn Encryptie moet wel effectief en up-to-date zijn Effectiviteit kan over tijd afnemen Mogelijk later alsnog melden? 39

40 Wat is onverwijld standpunt toezichthouder 40

41 Inschakelen bewerker (in land buiten EU zonder passend beschermingsniveau Bij inschakelen bewerker bewerkerovereenkomst vereist (art. 14 Wbp) Verplichting opleggen om datalek te melden aan verantwoordelijke! Bewerker in derde land zonder passend beschermingsniveau ook doorgifte regelen! 41

42 Volume 42

43 Inhoud van de melding 43

44 Hoe melden aan de betrokkene? Via een communicatiemiddel dat een snelle ontvangst waarborgt SMS Post (?) Dagbladen (?) Beveiligd volgens de laatste technische ontwikkelingen 44

45 STAVAZA: boetebevoegdheid bij overtreding Wbp College bescherming persoonsgegevens wordt Autoriteit Persoonsgegevens Boetebevoegdheid miv 1 januari 2016 Maximale boete ,-- / of 10% jaaromzet Opleggen na bindende aanwijzing CBP Tenzij opzettelijke overtreding of ernstige verwijtbare nalatigheid 45

46 CBP Werkagenda

47 Onderzoek/handhaving/beleid CBP Beveiliging gegevensverwerking Internetonderzoek Screening woningzoekenden 47

48 48

49 Het CBP doet onderzoek naar de beveiliging van Suniwet bij gemeenten. In november 2014 oordeelde het CBP al dat het UWV en de gemeente s-hertogenbosch de beveiliging van Suwinet niet goed op orde hadden. 49

50 50

51 De beveiliging van DigiD moet worden aangescherpt. Bij het huidige beschermingsniveau kan niet worden uitgesloten dat onbevoegden inloggegevens van DigiD gebruikers achterhalen. 51

52 52

53 Het feit dat persoonsgegevens op internet openbaar zijn gemaakt maakt dat deze gegevens vrij verzameld en verwerkt mogen worden. Waar of niet waar?

54 Iedereen googlet naar persoonsgegevens en dat mag gewoon. Het enige risico is dat bewijs als onrechtmatig verkregen terzijde wordt gelegd. Waar of niet waar?

55 Internetonderzoek mag alleen plaatsvinden bij aantoonbare indicaties van misbruik of fraude. Geen preventief onderzoek. Minder ingrijpende middelen voorhanden? Is het internetonderzoek proportioneel? Alleen kortdurend, incidenteel onderzoek. Gemeenten moeten voldoen aan de waarborgen uit de Wbp. 55

56 56

57 Privacy team Kennedy Van der Laan Hester de Vries Nicole Wolters Ruckert Petra Tolen Maarten Goudsmit Leonie van Sloten 57

58 58

59 Doel wetsvoorstel: woningzoekenden met een crimineel of overlastverleden kunnen in bepaalde gebieden worden geweigerd. Hoe: verzoek om verklaring omtrent het gedrag of onderzoek van politiegegevens. Onduidelijk of screening proportioneel en noodzakelijk is. Advies: nadere toelichting noodzakelijkheid en uitstel wetsvoorstel. 59