Het Europese privacyrecht in beweging

Maat: px

Weergave met pagina beginnen:

Download "Het Europese privacyrecht in beweging"

Juliana van de Veen
7 jaren geleden
Aantal bezoeken:

1 Presentatie van de NOREA-publicatie Het Europese privacyrecht in beweging Opsteller: Mr. dr. A.W. (Anne-Wil) Duthler NOREA, Duthler Associates Amsterdam, 13 december 2012

2 Agenda Inhoud Europese privacyverordening Samenhang privacy en goed bestuur Betekenis voor IT-auditors

3 Europese privacyverordening (COM (2012) 11) Vervangt bestaande Europese privacyrichtlijn Is rechtstreeks toepasselijk in elke lidstaat en verbindend in al haar onderdelen

4 Wat valt op? Verplichtingen verstrekkend In de verordening wemelt het van maatregelen, mechanismes en procedures. Verankering van privacy in organisatie

5 Kernelementen Algemene documentatieverplichting Informatieplicht Rechten van betrokkenen Recht om vergeten te worden Profiling

6 Kernelementen (vervolg) Meldplicht datalekken PIA en PbD FG Sancties

7 Rechten van betrokkenen Op toegang Op rectificatie Om vergeten te worden, Om gegevens te laten wissen Dataportabiliteit Bezwaar Verantwoordelijke moet voorzien in procedures en mechanismes die de uitoefening van deze rechten mogelijk maken.

Dataportabiliteit Bezwaar Verantwoordelijke moet voorzien

8 Beveiligingsplicht Passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens: - tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig - tegen verlies - om andere vormen van onrechtmatige verwerking te voorkomen, m.n. ongeoorloofde verstrekking of verspreiding van, toegang tot, of wijziging van persoonsgegevens. Hieraan gaat vooraf een evaluatie van de risico s. Europese Commissie kan gedelegeerde handelingen vaststellen ter nadere invulling van de criteria en voorwaarden voor de technische en organisatorische maatregelen (bijv. stand van de techniek) voor specifieke sectoren en specifieke situaties.

Hieraan gaat vooraf een evaluatie van de risico s.

9 Profiling Mag alleen wanneer de verwerking: Wordt uitgevoerd in het kader van het sluiten of uitvoeren van een overeenkomst en passende maatregelen zijn genomen ter bescherming van belangen van de betrokkene zoals het recht op menselijke tussenkomst; Uitdrukkelijk is toegestaan op grond van EU- of nationale wetgeving en in die wetgeving passende maatregelen zijn opgenomen; Plaatsvindt o.g.v. toestemming van betrokkenen.

zoals het recht op menselijke tussenkomst; Uitdrukkelijk is toegestaan op grond van EU- of nationale

10 Meldplicht datalekken Verantwoordelijke is verplicht zonder onnodige vertraging en uiterlijk binnen 24 uur nadat hij er van kennis heeft genomen, een datalek te melden bij het CBP. Verwerker moet onmiddellijk na vaststelling van het datalek de verantwoordelijke waarschuwen en informeren. Verantwoordelijke is verplicht hierna betrokkene zonder onnodige vertraging te informeren, wanneer het datalek waarschijnlijk negatieve gevolgen voor de privacybescherming van betrokkene heeft.

Verwerker moet onmiddellijk na vaststelling van het datalek de verantwoordelijke waarschuwen en informeren.

11 Meldplicht datalekken (vervolg) Melding omvat tenminste: omschrijving van de aard vd inbreuk identiteit en contactgegevens FG gevolgen van de inbreuk aanbevelingen om nadelige gevolgen te verminderen maatregelen die verantwoordelijke heeft voorgesteld of genomen om inbreuk aan te pakken. En dit alles moet allemaal worden gedocumenteerd, zodat het CBP kan controleren.

te verminderen maatregelen die verantwoordelijke heeft voorgesteld of genomen om inbreuk aan

12 Privacy by design en by default In plaats van de wet toe te passen op het systeem, wordt de wet in het systeem gebouwd. Omvat iig een PIA en een management cyclus waarvan privacybescherming een vast onderdeel is. D.m.v. systeeminstellingen wordt maximale privacy gewaarborgd en voor zover mogelijk door het systeem afgedwongen.

Omvat iig een PIA en een management cyclus waarvan privacybescherming een vast

13 PIA Verplicht voor: Profiling Verwerkingen van gegevens over o.m. de gezondheid, ras of etnische afkomst Bewaking van openbaar toegankelijke ruimtes (camera s) Verwerkingen van gegevens van kinderen en van genetische of biometrische gegevens Andere verwerkingen waarvoor het CBP moet worden geraadpleegd.

ruimtes (camera s) Verwerkingen van gegevens van kinderen en van genetische

14 FG Verplicht voor: Overheidsinstanties of organen Onderneming met minimaal 250 medewerkers. Verantwoordelijke of verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen.

Verantwoordelijke of verwerker is hoofdzakelijk belast met

15 Taken FG Verantwoordelijke informeren en adviseren en dit documenteren Toezien op uitvoering en toepassing privacybeleid van de verantwoordelijke en verwerker Toezien op uitvoering en toepassing verordening, m.n. - PbD - gegevensbeveiliging - informeren betrokkenen en afhandeling van hun verzoeken. Bewaren van documenten Toezien op naleving meldplicht (documenteren, melden, meedelen) Toezien op uitvoering PIA Contactpunt voor CBP (ook het op eigen initiatief raadplegen van het CBP).

Bewaren van documenten Toezien op naleving meldplicht (documenteren, melden, meedelen) Toezien op uitvoering PIA

16 Privacybeleid Verantwoordelijke stelt beleid vast en voert passende maatregelen uit Maatregelen betreffen met name: Bewaren van documentatie Gegevensbeveiliging PIA Voorafgaande toestemming of voorafgaande raadpleging Aanwijzen van FG. Beleid dient transparant te zijn en eenvoudig toegankelijk. In begrijpelijke vorm en duidelijke, eenvoudige taal.

Voorafgaande toestemming of voorafgaande raadpleging Aanwijzen van FG.

17 Privacybeleid (vervolg) Mechanismes zodat de doeltreffendheid van de maatregelen wordt getoetst Audits (toetsing door interne of externe controleurs) Toewijzing van verantwoordelijkheden Opleiding van personeel

18 Sancties CBP: van lam naar leeuw en Neelie Kroesachtige bevoegdheden Drie categorieën: of 0,5% wereldwijde omzet of 1% wereldwijde omzet of 2% wereldwijde omzet

250.000 of 0,5% wereldwijde omzet 2. 500.

19 Relatie met goed bestuur Sancties vormen risico van materieel belang Relevant voor accountant bij controle jaarrekening en afgifte van samenstellingsverklaring Relevant voor bestuurders en toezichthouders die in hun jaarverslag of in hun control-statement een beschrijving moeten geven van hun risico s Niet naleven van privacyverordening kan vorm van goed bestuur zijn.

bestuurders en toezichthouders die in hun jaarverslag of in hun control-statement een

20 Impact privacyverordening op organisatie Consequenties voor alle lagen van de organisatie Niet alleen een aangelegenheid van juristen, AO en interne controle behoeven aandacht op alle niveaus. Professionals moeten op hoogte zijn van inhoud en werking verordening: juristen, accountants en IT auditors gezamenlijk (multidisciplinair)

21 Betekenis voor IT auditor Maatregelen, mechanismes en procedures zeer relevant en expliciet verplicht gesteld. IT auditor toetst opzet, bestaan en evt. werking van procedures, mechanismes en maatregelen. IT auditor heeft expliciete rol in verordening: - toetsen van doeltreffendheid van maatregelen - fg ziet toe op uitvoering en toepassing van audits.

22 Vragen of meer willen weten? Neem contact op met: Duthler Associates Mr. dr. Anne-Wil Duthler Partner Frankenslag HH Den Haag Tel: Fax: Mail: Meer informatie over Duthler Associates vindt u op onze website:

Vergelijkbare documenten

Agenda. De AVG: wat nu?

Agenda. De AVG: wat nu? De AVG: wat nu? 1 Agenda 1. Welke wetgeving kennen we? 2. Soorten gegevens 3. Uitgangspunten van de Wbp 4. Uitgangspunten AVG/GDPR 5. Verwerkersovereenkomsten 6. Uitwisselen van gegevens 7. Datalekken