Advocaten en notarissen

Transcriptie

1 Advocaten en notarissen

2 In control zijn over privacy SURF Security- en Privacyconferentie 4 en 5 februari 2016

3 Agenda In control zijn over de Wet bescherming persoonsgegevens Uitgangspunten wet Introductie meldplicht datalekken Introductie boetebevoegdheid Toekomstige privacyverordening Risico s, mogelijke claims en handhaving Verhalen schade

4 Wet bescherming persoonsgegevens Wbp is van toepassing op verwerkingen van persoonsgegevens Alle digitale verwerkingen, analoge verwerkingen alleen voor zover opgenomen in een bestand Verwerken = ieder werkwoord Alle gegevens die direct of indirect herleidbaar zijn tot natuurlijk persoon Gestructureerd geheel van gegevens over meerdere personen

5 Voorafgaande toetsing AP Functionaris gegevens- Wet bescherming persoonsgegevens Meldplicht Vooraf doel bepalen Doelbinding Niet te lang bewaren Proportionaliteit en subsidiariteit Afspraken maken bij buiten de deur plaatsen en toezien op naleving daarvan Extra streng regime bijz. pg Rechten betrokkene Artikel 6 Wbp Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Exportverbod Inspannen voor juistheid en relevantie Geheimhouding Transparantie Passende beveiliging

6 Wet bescherming persoonsgegevens Aan voornoemde beginselen kan alleen voldaan worden door in control te zijn De Wbp laat open hoe dat moet. Advies 3/2010 WP29 over verantwoordingsbeginsel: organisaties zouden zich moeten verantwoorden hoe ze uitvoering hebben gegeven aan principes en waarom ze in control zijn. Komt deels terug in nieuwe privacyverordening (straks meer)

7 Wet bescherming persoonsgegevens Wet bescherming persoonsgegevens sinds 1 september 2001 van kracht. Sinds 1 januari 2016 behoorlijk aangescherpt met: meldplicht datalekken introductie boetebevoegdheid Aanscherping maakt belang om in control te zijn alleen maar groter.

8 Meldplicht datalekken Meldingsplicht van inbreuken op de beveiliging Onverwijld (binnen 72 uur) Aan College bij (aanzienlijke kans op) ernstig nadelen gevolgen voor de bescherming van persoonsgegevens Daarnaast aan betrokkene indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Tenzij gegevens adequaat versleuteld waren

9 Meldplicht datalekken Melding College bevat minimaal: geconstateerde gevolgen; vermoedelijke gevolgen; genomen en/of voorgestelde maatregelen om gevolgen te verhelpen. Melding betrokkene: Gelet op alle omstandigheden moet behoorlijke en zorgvuldige informatievoorziening zijn geborgd College kan melding betrokkene eisen indien deze eerst achterwege is gelaten

10 Meldplicht datalekken Administratieplicht inbreuken: Feiten en gegevens omtrent aard van de inbreuk Tekst van de kennisgeving aan de betrokkene Wet onduidelijk over hoe lang dit bewaard moet worden. Uit behandeling EK blijkt (minimaal) een jaar.

11 Meldplicht datalekken Aan meldplicht alleen te voldoen door organisaties die in control zijn: hoe immers anders een (mogelijke) inbreuk überhaupt (tijdig) te detecteren? hoe anders een (mogelijke) inbreuk tijdig te analyseren? hoe anders een (mogelijke) inbreuk tijdig af te handelen? melding doen, communicatie-draaiboek opstellen, beveiliging verbeteren, etc. Bovendien: hoe beter je voorbereid bent, hoe kleiner je het incident kunt houden.

12 Wijziging boetebevoegdheden (I) Boete schending meldplicht is vervallen. Nieuw: boete 4 e categorie (= ) op: Niet aanwijzen NL vertegenwoordiger door verantwoordelijke buiten EU Data-export naar land dat door EU-besluit als onveilig is aangemerkt

13 Wijziging boetebevoegdheden (II) Nieuw: (lid 2) boete op schending materiele normen WBP van maximaal ,-- of 10% jaaromzet Direct op te leggen bij: Opzet (incl. voorwaardelijke opzet!) Ernstig verwijtbare nalatigheid In andere gevallen eerst na schending door CBP opgelegde bindende aanwijzing Nieuw: (lid 5) boete van maximaal ,-- of 10% jaaromzet bij niet-naleven bindende aanwijzing

14 Wijziging boetebevoegdheden (III) Organisaties die in control zijn, hebben kleinere kans op boetes. Immers, kleinere kans op overtreding Wbp Bovendien kleinere kans dat bij overtreding sprake is van vereiste opzet / ernstig verwijtbare nalatigheid Wie privacybeleid heeft met verdedigbare (maar volgens AP foute ) keuzes handelt waarschijnlijk niet opzettelijk Wie het juist voor lief neemt dat er geen privacybeleid is, zit eerder aan verkeerde kant van de streep

15 Mogelijke claims privacyschending Claims betrokkenen richting vennootschap Voorvraag: is Wbp wel geschonden? Voorbeeld: wet vereist passende beveiliging, geen perfecte beveiliging Betrokkene kan daadwerkelijk geleden schade wegens schending vorderen Let op: Wbp erkent recht op immateriële schadevergoeding voor ander nadeel Hoe meer in control, hoe kleiner de kans op succesvolle claims

16 Mogelijke claims privacyschending Claims betrokkenen / curator / aandeelhouders richting bestuurders Ernstig verwijt vereist Gelet op toenemende aandacht voor (belang van) goede beveiliging, vermoedelijk ook grotere verantwoordelijkheid bestuurders Hoe meer in control, hoe kleiner de kans op succesvolle claims

17 Handhaving Autoriteit Persoonsgegevens Boetes Last onder dwangsom Bestuursdwang Perspublicaties

18 Europese privacyverordening Toekomstige Europese regelgeving waarschijnlijk veel meer gericht op accountability en compliance Verplichting documentatie op orde te hebben Verplichte PIA s en evaluaties Verplichte FG Raamwerk voor certificering en gevolgen daarvan Etc. Link met bestuurdersaansprakelijkheid: Niet naleven van deze normen vermoedelijk aanwijzing voor tekortkoming bestuurder

19 Verhalen van schade na een hack of ander incident

20 Verhalen van schade Op daders ( hackers ) Veelal bewijstechnisch lastig Regelmatig buitenland of kale kip Openbare behandeling rechtszaak: gevolgen reputatie Aangifte doen? Veel vormen van hacking strafbaar gesteld als misdrijf Voordeel: lage kosten, extra bevoegdheden politie, bij veroordeling dwingend bewijs Nadeel: de vraag of politie het oppakt, expertise politie erg wisselend, vertraging bij internationale aspecten, controle kwijt

21 Verhalen van schade Op leveranciers wegens leveren gebrekkig product of gebrekkige dienstverlening Voorvraag of wel sprake van tekortkoming is ( wat waren verplichtingen van leverancier? ) Bewijslast tekortkoming ligt bij afnemer Vaak forse beperkingen van aansprakelijkheid in (algemene) voorwaarden, m.n. voor indirecte schade en ook voor boetes toezichthouders Biedt leverancier wel verhaal? Geen sprake van eigen schuld?

22 Conclusie

23 Conclusie Van groot belang in control te zijn over privacy Volgt nu al logischerwijs uit wet, wordt straks deels verplicht Bovendien steeds strenger wettelijk regime met verplichte meldingen datalekken (compliance!) en boetes bij ernstiger overtredingen van de wet (compliance!) Schade niet altijd te verhalen op daders / leveranciers, belang goede verzekering

24 Meer informatie Weblog: (IE/IT) (kantoorbreed) iphone app Kennisboek / Nieuwsbrief Contactgegevens m.jansen@dirkzwager.nl Telefoon: /

25 Verantwoording In deze presentatie wordt algemene en beknopte informatie verstrekt over een aantal juridisch relevante ontwikkelingen. Niet beoogd is om hiermee juridisch advies te geven voor concrete situaties. Hoewel veel zorg is besteed aan het opstellen van deze presentatie, aanvaardt Dirkzwager advocaten & notarissen N.V. geen aansprakelijkheid voor de inhoud ervan.

26 Actuele kennis van wet- en regelgeving Jurispruden tie Dirkzwager zorgt dat u het weet. Advocatuur Arnhem Postbus DA Arnhem Notariaat Arnhem Postbus AC Arnhem Kantoor Velperpoort Kantoor Velperpoort Velperweg 1 Verlperweg BZ Arnhem 6824 BZ Arnhem T +31 (0) T +31 (0) F +31 (0) F +31 (0) E info@dirkzwager.nl E info@dirkzwager.nl I I Advocatuur Nijmegen Postbus AB Nijmegen Kantoor Stella Maris Van Schaeck Mathonsingel AN Nijmegen T +31 (0) F +31 (0) E info@dirkzwager.nl I Notariaat Nijmegen Postbus BC Nijmegen Kantoor Stella Maris Van Schaeck Mathonsingel AN Nijmegen T +31 (0) F +31 (0) E info@dirkzwager.nl I