Privacycompliance: afwachten of voorsorteren?

Maat: px
Weergave met pagina beginnen:

Download "Privacycompliance: afwachten of voorsorteren?"

Transcriptie

1 Privacycompliance: afwachten of voorsorteren? Zero-tolerancewetgeving in aantocht Mr. S.H. Katus 1 Organisaties in de publieke en private sector realiseren zich steeds meer dat informatieverwerking noodzaakt tot pro-actieve privacybeleidsvoering. Maar hoe? In dit hoofdstuk wordt die vraag beantwoord aan de hand van de nieuwe Algemene Verordening Gegevensbescherming van de Europese Unie, die vanaf 2014 wordt ingevoerd. Privacy blijkt niet zozeer een juridisch maar een praktisch-organisatorisch vraagstuk te zijn. Wie nalaat om good privacygovernance te betrachten, riskeert verhoogde afbreuk- en aansprakelijkheidsrisico s en boetes van het College Bescherming Persoonsgegevens tot 2% van de jaaromzet. Voor overheidsinstellingen worden de boetes maximaal 1 miljoen Euro. Omdat compliance tijd kan vergen is, is het verstandig om de verordening niet af te wachten. Veel aspecten zijn al verplicht onder de bestaande wetgeving. Slim organiseren op privacy bevordert de klantgerichtheid, is een onderdeel van goed werkgeverschap, werkt imagoversterkend en draagt bij aan de bedrijfsefficiëntie (grip op ICT). Kentering in denken Over privacy werd tot voor kort vaak de schouders opgehaald. En nog steeds zijn er mensen die privacy vooral associëren met privacy thuis: Ik heb toch niets te verbergen? Ook op internet heeft kennelijk nog steeds niemand iets te verbergen afgaand op het enorme gebruik van sociale media zoals Twitter, Linkedin of Yammer. Maar toch verandert het denken over privacy. Dankzij mobiele communicatie is iedereen overal traceerbaar geworden. Klikgedrag wordt nauwkeurig bijgehouden en geanalyseerd. Van 1 Mr. S.H. (Sergej) Katus is adviseur privacycompliance. Meest recent opereerde hij als privacyofficer voor NS Groep. Hij is vanaf 1996 betrokken bij wetgeving en toezicht op het gebied van privacy bescherming destijds vanuit VNO-NCW en is lid van de redactie van Privacy & Compliance. Deze bijdrage is mede ontleend aan eerdere artikelen die hij voor dat tijdschrift schreef. Jaarboek Compliance

2 Ontwikkelingen in wet- en regelgeving filmpjes op Youtube kun je achteraf spijt krijgen. Privacygevoelige informatie kan op straat komen te liggen. Anderen kunnen met informatie over jou aan de haal gaan of tegen je gebruiken. En het verwoestende effect op de gemeente Haren van een uitnodiging voor een verjaarspartijtje op Facebook zonder de juiste privacyinstellingen, blijft verbijsteren. Uit onderzoek blijkt dat van iedere Nederlander op honderden, zo niet duizenden manieren informatie wordt verwerkt. Mensen beginnen zich daarom af te vragen: Wie verwerken er allemaal gegevens over mij? Is dat wel te vertrouwen en wat kun je ertegen doen als het mis gaat? Het ongemakkelijke gevoel wordt bovendien versterkt door de toenemende aandacht van de media voor privacyincidenten. Aanvankelijk sprongen nog de berichten in het oog over de OV-chipkaart, de bodyscanners op Schiphol, de stemcomputers, het elektronisch patiëntendossier, het rekeningrijden of de slimme energiemeter. De laatste tijd zijn het vooral de berichten over bedrijven en overheidsinstellingen die opvallen. Zo kon iedereen in 2012 lezen over deep packet inspection door KPN van het mobiele dataverkeer van haar klanten, wat leidde tot grote verontwaardiging en kamervragen. KPN had het kort daarvoor ook al te verduren gekregen, na het nieuws dat een 17 jarige jongen KPN had weten te hacken. Omdat hierbij mogelijk klantgegevens waren gelekt, zag het telecombedrijf zich genoodzaakt om volledig nieuwe beveiliging in te voeren en twee miljoen accounts uit en weer in te schakelen. Voorbeelden van privacyincidenten Betaalgegevens Europeanen via SWIFT toegankelijk voor opsporingsinstanties in de VS. Half miljoen euro boete voor het bedrijf SD&P Interactive wegens versturen van ongevraagde SMS-berichten zonder afmeldmogelijkheid. Diefstal creditcardgegevens van klanten bij TellSell. Persdienst GPD lekt telefoonnummers van bekende Nederlanders. Rechter verliest strafdossier op USB-stick in de trein. Sociale Inlichtingendienst (SIOD) koppelt illegaal gegevens. T-Mobile verkoopt miljoenen klantgegevens aan derden. Politie IJsselland in opspraak door onaanvaardbaar kentekenregistratiebeleid bij Zwolle. Hewlett-Packard schikt voor 14,5 miljoen dollar in rechtszaken over illegaal onderzoek naar belgegevens medewerkers. Topvrouw stapt op. Wereldwijd risico s voor personen na Diginotar-hack. Privacyonderzoeker downloadt persoonlijke profielen zakelijke klanten Rabobank. 22,5 miljoen dollar boete voor Google wegens illegaal cookiebeleid. Boete van pond voor Engelse verzekeraar Prudential wegens verwisseling individueel klantdossier. 60 Jaarboek Compliance 2013

3 Privacycompliance: afwachten of voorsorteren? Informatieverwerkers Steeds meer informatieverwerkers realiseren zich dan ook dat privacy een issue is om rekening mee te houden. Tegenwoordig voert de Nederlandse Vereniging van Banken met behulp van televisiespotjes een campagne om mensen te waarschuwen tegen identiteitshengelaars ( phishing ). De campagne is weliswaar bedoeld om fraude te bestrijden, maar laat tegelijkertijd zien dat de sector privacy minded is. Als de uitvinders van het bankgeheim zagen de banken altijd al een business case voor privacybescherming. De televisiespotjes passen echter in de trend dat bedrijven het onderwerp meer aandacht beginnen te geven, waarbij mensen ook op hun eigen verantwoordelijkheid mag worden gewezen. Incidenten zijn nooit helemaal uit te sluiten maar in onderling samenspel kunnen risico s wel zo goed mogelijk worden geminimaliseerd. Voor Amerikaanse bedrijven was het al langer gebruikelijk om pro-actief privacybeleid te voeren, onder meer door het aanwijzen van gespecialiseerde privacyofficers. 2 Nu gaan Europese informatieverwerkers daar toe over. De Britse privacytoezichthouder ICO complimenteerde bedrijven in Engeland voor hun positive approach. 3 Ook Nederlandse bedrijven als KLM, Philips, NS, KPN of MSD Oss (het voormalige Organon) formuleren tegenwoordig eigen beleid, waarbij eveneens privacyofficers worden aangewezen. In de publieke sector was de functionaris voor de gegevensbescherming al langer gebruikelijk. Voor zover Nederlandse informatieverwerkers nog aanmoediging nodig hebben, promoten de privacytoezichthouders OPTA en het College Bescherming Persoonsgegevens (CBP) privacycompliance via spraakmakende inspecties. TomTom, Google, NS, het bedrijf Verzuimreductie BV of de gemeenten Hellendoorn, Heerlen, Hengelo en Landsmeer pasten in ieder geval spoorslags hun bedrijfsvoering aan na negatieve onderzoeksbevindingen van het CBP. 4 De bijbehorende persberichten zijn na te lezen op waar ook de onderzoeksrapporten kunnen worden gedownload. Aangescherping EU-privacywetgeving Het risicoprofiel voor informatieverwerkers wordt binnenkort spectaculair verhoogd wanneer de nieuwe Algemene Verordening Gegevensbescherming in Brussel wordt aangenomen. 5 De aanleiding voor deze EU-brede privacywet waarmee de EU een streep haalt door de nationale privacywetgeving van de lidstaten zoals de Nederlandse Wet 2 Vgl. <en.wikipedia.org/wiki/chief_privacy_officer>. 3 ICO news release 11 October Negatieve uitspraken van het CBP betekenen niet noodzakelijk dat een informatieverwerker de wet niet naleeft. In een brief aan de Tweede Kamer van 7 september 2011 vragen VNO-NCW en MKB- Nederland aandacht voor dit probleem. 5 Wetsvoorstel Algemene Verordening Gegevensbescherming van 25 januari 2012, COM(2012) 11 final. Zie voor downloadgegevens het slot van deze bijdrage. Jaarboek Compliance

4 Ontwikkelingen in wet- en regelgeving Bescherming Persoonsgegevens zijn de evaluaties van het EU-privacybeleid uit De Europese Commissie concludeert uit die evaluaties dat informatieverwerkers te langzaam zijn geweest met het adopteren van eigen privacybeleid. Bovendien is het huidige privacyrecht dringend toe aan een update. De bestaande wettelijk kaders reflecteren de politieke opvattingen over informatieverwerking en privacy uit een tijd dat internet, mobiele communicatie en sociale media zich nog moesten ontwikkelen. Met de nieuwe verordening scherpt de EU de wettelijke spelregels aan, vinden er enkele moderni seringen plaats en wordt het burgers gemakkelijker gemaakt om bij informatieverwerkers verzoeken, klachten of claims in te dienen. Ook worden de bevoegdheden van privacytoezichthouders flink uitgebreid. Het CBP mag bedrijven bij non-compliance straks boetes opleggen tot 2% van hun (wereldwijde) jaaromzet. Voor overheden wordt de maximale boete 1 miljoen Euro. Dit betekent dat een bedrijf als Google rekening heeft te houden met een boeterisico van 800 miljoen. Een onderneming in het MKB met een jaaromzet van 20 miljoen, kan worden geconfronteerd met een boete van vier ton. De hoge boetes zijn bedoeld als een krachtig signaal aan informatieverwerkers om haast te maken met privacycompliance, dat moet doorklinken tot in de bestuurskamers. Invoering De nieuwe privacyverordening is het initiatief van de Luxemburgse eurocommissaris voor Justitie, Viviane Reding, die zich persoonlijk sterk maakt voor het wetsvoorstel en iedereen aanspoort tot spoedige invoering. Ook het Europees Parlement vindt dat snelheid geboden is. Een EU-wet wordt niet van de ene op de andere dag aangenomen maar de parlementaire coördinator, de Duitser Jan Phillip Albrecht, heeft voor de behandeling een strakke planning afgekondigd zodat het wetsvoorstel begin 2014 in stemming kan worden gebracht. Na publicatie in het Official Journal van de Europese Unie krijgen zowel de lidstaten als informatieverwerkers twee jaar de tijd om zich aan te passen. In 2016 zullen de nationale toezichthouders overgaan tot handhaving op basis van hun nieuwe bevoegdheden, waarvoor de lidstaten nog eigen wettelijke regels moeten opstellen. Alle informatieverwerkers worden dan geacht volledig compliant te zijn. Grotere informatieverwerkers dienen dat bovendien te kunnen aantonen aan de hand van speciale accountability-documentatie, die door de nationale toezichthouders op ieder moment kan worden opgevraagd. Ook moeten informatieverwerkers dan individuele stakeholders hebben geïnformeerd over het eigen privacycompliancebeleid en waar personen terecht kunnen met vragen of klachten. 6 EU-privacyrichtlijn 95/46/EG in Nederland geïmplementeerd via de WBP. De nieuwe verordening heeft direct kracht van wet in alle lidstaten. Het ligt voor de hand dat Nederland de WBP intrekt. 62 Jaarboek Compliance 2013

5 Privacycompliance: afwachten of voorsorteren? Dit laatste komt neer op een uitnodiging tot het uitoefenen van rechten. In combinatie met het toegenomen privacybewustzijn waarover hierboven al werd gesproken, is de kans op discussies vanaf 2016 logischerwijs groter. Iedere persoon die zich niet goed geholpen voelt, is gerechtigd om bij het CBP een klacht in te dienen. Zo n klacht alleen al doet het vermoeden rijzen dat een organisatie zijn zaken niet op orde heeft. De klager mag ook een schadeclaim indienen en naar de rechter stappen. Het is goed om er rekening mee te houden dat het voor belangengroepen zoals consumentenorganisaties en vakbonden aantrekkelijk is om daarvoor ondersteuning te gaan aanbieden. Belang van voorsorteren Wie naleving van wettelijke regels hoog in het vaandel voert, doet er verstandig aan om in ieder geval op basis van de kernverplichtingen van de verordening zo vroeg mogelijk aan de slag te gaan. Enerzijds omdat de kernverplichtingen ook al in de huidige privacywetgeving besloten liggen. Anderzijds omdat met het formuleren en in de praktijk brengen van privacybeleid de nodige tijd gemoeid kan zijn. Informatieverwerking is vaak een complexe aangelegenheid terwijl de verordening mogelijk aanzet tot wezenlijke veranderingen. Tijdig voorsorteren helpt een tour de force voorkomen en overhaaste beslissingen tegen te gaan waarbij het gevaar van overcompliance op de loer ligt. Een verkeerde benadering kan leiden tot onnodige bureaucratisering, extra kosten, beperking van innovatie en commerciële mogelijkheden of vermindering van klantgerichtheid. De kernverplichtingen worden hierna toegelicht. Wanneer voor compliance goed de tijd wordt genomen, zal blijken dat er veel met behulp van de bestaande capaciteit kan worden gerealiseerd. Het is de wetgever te doen om gebalanceerde, praktische oplossingen. De verordening is gericht op de bevordering van informatieverwerking. Privacy krijgt geen voorrang boven andere belangen en informatieverwerking wordt slechts bij hoge uitzondering verboden. Wie de spelregels naleeft, voldoet aan de voorwaarden voor rechtmatige gegevensverwerking en verdient daarmee zowel juridisch als maatschappelijk license to operate. Bij een doordachte aanpak brengt privacycompliance bovendien voordelen met zich mee: verhoogde efficiency; meer grip op ICT; verbeterde informatieveiligheid; betere kwaliteit van bedrijfsinformatie; waarborgen voor de continuïteit van de bedrijfsprocessen die van de informatieverwerking afhankelijk zijn; vergroot vertrouwen bij klanten en medewerkers; reductie van afbreuk- en aansprakelijkheidsrisico s; bedrijfsautonomie door tegengaan CBP-interventies; klantownership (zie ook hierna); imagoversterking. Jaarboek Compliance

6 Ontwikkelingen in wet- en regelgeving Kernplicht 1: good privacygovernance In de verordening worden informatieverwerkers op bestuursniveau aangesproken en opgedragen om te voorzien in good privacygovernance. In de woorden van Peter Hustinx, de European Data Protection Supervisor: Privacy is board room stuff. De bestuurlijke governanceplicht dateert uit 1980, toen de OESO basisprincipes opstelde voor wetgeving om privacygevoelige informatie te beschermen, waaronder het zogenaamde accountability-beginsel: A data controller should be accountable for complying with measures which give effect to [privacy protection]. 7 In de verordening is dit overgenomen als: De verantwoordelijke stelt beleid vast en voert passende maatregelen uit om ervoor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd. 8 Privacywetgeving verwoordt daarmee dezelfde gedachte als de Nederlandse Corporate Governancecode, waarin het uitgangspunt is opgenomen dat het dagelijks bestuur verantwoordelijk is voor de naleving van wetgeving, afweging van maatschappelijke belangen en het beheersen van risico s die zijn verbonden aan de bedrijfsvoering. 9 Waar de Corporate Governancecode aangeeft dat een bestuur rekenschap aflegt aan de raad van commissarissen, geeft de verordening aan dat informatieverwerkers rekenschap hebben af te leggen aan de interne en externe individuele stakeholders en het staatstoezicht. Informatieverwerkers die over een raad van commissarissen beschikken, kunnen overwegen om toch ook deze in de privacybeleidsvoering te betrekken. Het internationaal gehanteerde format voor duurzaamheidsverslaglegging van het Global Reporting Initiative 10 benoemt privacy in ieder geval als een aandachtspunt voor het jaarverslag. Integrale aanpak Het beleid dat directies hebben vast te stellen, moet bewerkstelligen dat de juiste setting ontstaat voor organisatiebrede privacycompliance. Hoe dat beleid er precies uitziet, verschilt per organisatie en is ook afhankelijk van de verschillende vormen van informatieverwerking. Zo verschilt privacycompliance bij personeelsmonitoring van privacycompliance bij direct marketing. Het privacybeleid op directieniveau zal over het algemeen dan ook een kaderscheppend karakter moeten hebben, dat nadere uitwerking behoeft. Uit de verordening komt naar voren dat hierbij gebruik moet worden gemaakt van instrumenten zoals voorlichting, training, procedures, contracten, audits, enzovoorts. 7 Article 14 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. 8 Artikel 22 lid 1 Algemene Verordening Gegevensbescherming. 9 Principe II.1 Nederlandse Corporate Governance Code. 10 <www.globalreporting.org> 64 Jaarboek Compliance 2013

7 Privacycompliance: afwachten of voorsorteren? Welbeschouwd verplicht de verordening tot een integrale aanpak binnen de driehoek Governance, Risk Management en Compliance zoals inmiddels ook gebruikelijk is op andere aandachtsgebieden zoals veiligheid, milieu, fair trade of anti-fraude. Governance Operations managed and supported through GRC Processes internal policies Strategy integrated holistic organisation-wide People ethically correct behavior improved efficiency improved effectiveness Risk Management risk appetite Technology external regulations Compliance Figuur 1. GRC-model. Bron: Wikipedia. Deutsche bahn als voorbeeld Hoe kwetsbaar een organisatie is bij non-compliance met de governanceplicht illustreert het screeningsschandaal in 2009 rond de treinvervoerder Deutsche Bahn. Het weekblad Stern berichtte in dat jaar dat DB haar personeel jarenlang in het geheim liet screenen op corruptie. Aanvankelijk was het beeld in de media nog dat de screening medewerkers betrof maar gaandeweg de discussie bleek dat het in werkelijkheid om personen ging, waaronder ook gezinsleden van DB-medewerkers. De top van Deutsche Bahn reageerde onhandig door op geen enkele manier blijk te geven van eigen verantwoordelijkheid. In de woorden van toenmalig bestuursvoorzitter Hartmut Mehdorn: Ik bemoei mij toch ook niet met de aanschaf van enveloppen? Maar daar komen bestuurders niet meer mee weg. Privacy verloopt langs andere logica en emoties kunnen sterk opspelen. Toen de screeningspraktijken aan het licht kwamen, leidde dat zowel intern als landelijk tot een rel. Personeel, vakbonden, pers en politiek zelfs bondskanselier Angela Merkel vielen over DB heen. Mehdorn moest opstappen en DB-directie werd hervormd. Ook volgde er strafrechtelijk onderzoek. Als klap op de vuurpijl besloot de Berlijnse privacytoezichthouder (overheidstoezicht is in Duitsland decentraal georganiseerd) bovendien Jaarboek Compliance

8 Ontwikkelingen in wet- en regelgeving tot het opleggen van een boete van 1,1 miljoen Euro. De nieuwe raad van bestuur voerde hetzelfde jaar nog bedrijfsveranderingen door. In het jaarverslag 2009 schrijft DB uiteindelijk (hier samengevat): De focus bij Deutsche Bahn ligt voortaan op preventief risk management en borging van duurzame bedrijfsvoering op basis van een op morele waarden gebaseerde bedrijfscultuur. Privacy is een duurzaamheidsvraagstuk dat een multidisciplinaire aanpak vergt en behoort tot de verantwoordelijkheid van ons hoogste management. Aan de raad van bestuur is daarom een bijzondere portefeuillehouder toegevoegd voor compliance, privacy en juridische zaken. Hij wordt ondersteund door een nieuwe directie die businessonafhankelijk is gepositioneerd. De nieuwe directie heeft tot taak om bedrijfsregels te formuleren en de naleving ervan te bewaken. Voor voortgangsmonitoring is een aparte complianceraad ingesteld. Tenslotte is een bijzondere compliancecommissie in het leven geroepen, waarin ook DB-personeel is vertegenwoordigd, die in concrete gevallen inbreuken op de bedrijfsregels onderzoekt. Privacyofficer verplicht Onafhankelijke compliancebewaking wordt in de Wet Bescherming Persoonsgegevens aangeraden en is onder de verordening in veel gevallen verplicht, wat niet meteen wil zeggen dat informatieverwerkers zo ver hoeven te gaan als Deutsche Bahn. Informatieverwerkers hebben minimaal een onafhankelijke privacyofficer ( functionaris voor de gegevensbescherming of data protection officer ) aan te wijzen. Dat moet iemand zijn met professionele kwaliteiten, die praktijkdeskundig is en beschikt over expert knowledge op het gebied van privacywetgeving in het algemeen. Naast de verordening kunnen er namelijk ook nog andere wettelijke regels van toepassing zijn zoals de zogenaamde eprivacy-wetgeving over -reclame, internetcookies en telemarketing. Bedrijven met minder dan 250 werknemers worden in de verordening van de privacyofficer-plicht vrijgesteld mits er niet teveel sprake is van stelselmatig observeren van personen. Bij vrijstelling kunnen bedrijven overwegen om vrijwillig een privacyofficer aan te wijzen, waar wellicht iets voor te zeggen is wanneer een informatieverwerker belang hecht aan deskundigheid en kwaliteit. De privacyofficer is een organisatieadviseur die het privacybeleid helpt coördineren en compliance bewaakt via monitoring van een aantal ijkpunten die in de verordening worden opgesomd, waaronder toezicht op de naleving van het interne privacybeleid en toezicht op de bewaring van de al eerder genoemde verplichte rekenschapsdocumentatie. Uit de opsomming van taken komt naar voren dat de privacyofficer vooral de verbinding moet leggen tussen compliance op directieniveau en compliance in de operaties. Ook vervult de privacyofficer een brugfunctie in de relaties met het College Bescherming Persoonsgegevens, voor wie hij volgens de verordening de contactpersoon is. Op de voorjaarsvergadering 2012 van NGFG, de beroepsorganisatie van privacyofficers, 66 Jaarboek Compliance 2013

9 Privacycompliance: afwachten of voorsorteren? gaf het CBP aan veel waarde te hechten aan die brugfunctie. De privacyofficer schept vertrouwen als professional en kan op basis van zijn praktijkdeskundigheid voor de organisaties mediëren, wat zorgvuldige besluitvorming door de toezichthouder in principe bevordert. 11 Tenslotte heeft de privacyofficer nog een rol als ombudsman bij de afhandeling van vragen of klachten. De verordening schrijft voor dat zijn gegevens moeten worden gecommuniceerd aan alle personen over wie de organisatie informatie verwerkt. Zoiets kan goed via de privacystatement op de website, wat ook het maatschappelijk vertrouwen in de informatieverwerking helpt versterken. Positionering Belangrijk is dat de privacyofficer goed wordt gepositioneerd. Het privacybeleid van de directie dient wat dat betreft een duidelijke regeling te bevatten, waarbij het verder niet uitmaakt of hij aan een afdeling wordt verbonden of zelfstandig opereert, zolang hij maar goed de ruimte, steun vanuit de directie, middelen en medewerking krijgt. In de verordening wordt ook aangegeven dat hij rechtstreeks aan de directie verslag uitbrengt. Een privacyofficer wordt minimaal voor twee jaar benoemd en kan tijdens zijn termijn alleen worden ontslagen als zijn deskundigheid ontoereikend blijkt. Vaste dienst of inhuur maakt niet uit. Ook mogen meerdere organisaties ervoor kiezen om een privacyofficer te delen. Daar valt veel voor te zeggen wanneer gegevensverwerking één geheel vormt (keten), zoals een opdrachtgever die zijn klanten te woord laat staan door een ingehuurde aanbieder van callcenter-diensten. Of wanneer meerdere organisaties deel uitmaken van dezelfde groep en het delen van een privacyofficer schaalvoordelen biedt of de beleidscoördinatie bevordert. De wetgever denkt hierbij aan bedrijven die opereren in concernverband of samenwerkende bestuursorganen. Kernplicht 2: gebalanceerde oplossingen De scope van privacywetgeving is altijd bijzonder breed geweest omdat de wettelijke spelregels van toepassing zijn op alle processen, activiteiten en vormen van dataopslag waar persoonsgerelateerde informatie aan te pas komt. Grootschalig of kleinschalig maakt niet uit. Zo is de wet net zo goed van toepassing op de persoonlijke aantekeningen van een manager bij personeelsbeoordelingen als op de verwerking van belastinggegevens door de Belastingdienst. Toegangspasjes, urenregistraties, videobewaking, CRM, HRM, , data-analyses het maakt geen verschil. Alles is relevant zolang er maar sprake is van informatieverwerking dat herleidbaar is tot een individu. Informatieverwerkers die op de een of andere manier steken laten vallen, riskeren niet alleen boetes en reputatieschade maar kunnen ook door iedere benadeelde aansprakelijk worden gesteld. De informatieverwerker is dan verplicht tot de betaling van een schade- 11 Vgl. voetnoot 4. Jaarboek Compliance

10 Ontwikkelingen in wet- en regelgeving vergoeding. Stel voor dat alle personen die door Deutsche Bahn waren onderzocht een claim van 10 hadden ingediend, zou dat het openbaar vervoerbedrijf nog eens ruim 1,7 miljoen extra hebben gekost. Know your customer Naarmate informatieverwerkingsprocessen een ingrijpender effect op een persoon hebben, wordt van de informatieverwerker verwacht om in de risicobeheersing steeds persoonlijker te werk te gaan hoe omslachtig dat ook kan uitpakken. Dat ervoer de bank Santander nadat Santander een debiteur had aangemeld bij het Bureau Kredietregistratie vanwege een betalingsachterstand van 315. Voor Santander ging het om een standaardprocedure volgens het algemeen reglement van het BKR. Privacywetgeving verbiedt de melding als zodanig niet, maar de debiteur bleek op de valreep alsnog te hebben betaald waardoor de melding achterhaald was, terwijl de persoonlijke gevolgen substantieel zijn. Iemand die bij het BKR wordt geregistreerd, zal moeilijk nog aan een lening kunnen komen omdat de registratie voor geldverstrekkers vaak reden is om krediet te weigeren. Zo ondervond ook de ex-debiteur hinder in de praktijk, wat leidde tot een privacyklacht bij Santander. De bank wilde in die klacht niet meegaan omdat Santander meende correct te hebben gehandeld. Bovendien impliceerde het verzoek dat in de meldprocedure altijd individuele checks noodzakelijk zijn, en dat was voor de bank te bewerkelijk. De zaak escaleerde via de rechter tot aan de Hoge Raad. Uiteindelijk besliste dit hoogste rechtscollege dat Santander vanwege de persoonlijke belangen toch individuele eindchecks behoorde uit te voeren. Omdat dit niet was gebeurd, handelde Santander in strijd met de wet. Operationele Beheersmaatregelen Om zicht en grip te krijgen op privacyrisico s, schrijft de verordening voor om voortaan onder toezicht van de privacyofficer Privacy Impact Assessments (PIA s) uit te voeren. PIA s worden in het bijzonder verplicht gesteld bij vormen van informatieverwerking die naar hun aard extra privacygevoelig zijn, zoals bij de verwerking van medische informatie, etnische gegevens of bij dataanalyses voor het opbouwen van persoonlijke profielen (economische situatie, bezochte locaties, persoonlijke voorkeuren, enzovoorts). Een PIAuitkomst is het vertrekpunt voor het nemen van beheersmaatregelen. Een informatieverwerker kan niet redeneren dat zulke maatregelen onnodig zijn omdat de kans te klein is dat een probleem zich voordoet. Wel is het mogelijk om prioriteringen aan te brengen want niet alle privacyproblemen zijn even zwaarwegend. Ook is er ruimte voor efficiency: Rolls Royce-oplossingen zijn niet nodig waar Volkswagen-oplossingen volstaan. Wanneer uit incidenten of evaluaties blijkt dat beheersmaatregelen ondermaats zijn of door de tijd achterhaald, wordt bijsturing noodzakelijk. Meest verstandig is om te voor- 68 Jaarboek Compliance 2013

11 Privacycompliance: afwachten of voorsorteren? zien in periodieke evaluaties (managementcyclus Plan-Do-Check-Act). Dit geldt in het bijzonder voor maatregelen op het gebied van informatiebeveiliging. Om informatieverwerkers ten aanzien van dit laatste extra aan te sporen tot alertheid, verplicht de verordening om voortaan ieder incident dat IT-security gerelateerd is, binnen 24 uur te melden bij het CBP, wat voor de toezichthouder aanleiding kan zijn voor het instellen van nader onderzoek. Onder omstandigheden zullen dergelijke incidenten vervolgens nog moeten worden gemeld aan de personen die erdoor zijn geraakt. Waar een informatieverwerker in het bijzonder aandacht aan zal moeten besteden zijn beheersmaatregelen in de vorm van Privacy by Design (PbD). PbD houdt in dat processen, dataopslag en informatiesystemen zodanig worden vormgegeven dat ze intrinsiek privacyproof zijn. Vergelijkbaar met milieuvriendelijk produceren met behulp van schone brandstof, is PbD-informatieverwerking eveneens duurzaam omdat zoveel mogelijk wordt gewerkt met anonieme informatie. Op die manier wordt de privacy van personen by default beschermd. Het koppelen van anonieme data aan personen is bij PbD alleen mogelijk onder speciale condities bijvoorbeeld in geval van fraudedetectie. Een voorbeeld in de praktijk van PbD-informatieverwerking is de OVchipkaart. Wie een OV-chipkaart bij een paaltje of poortje houdt, wisselt informatie uit als: ProductCode= 202 ExpiryDate= T23:59:00 MediaID= PurseRemainingValue= OV-bedrijven hebben geen idee wie in- en uitcheckt hoewel de bedrijfsvoering toch gevoed wordt met informatie om zwartrijden tegen te gaan, vervoerslogistieke informatie en informatie om klantgerichter te opereren. Ook de risico s van computercriminaliteit door phishing (hierboven al genoemd boven) of skimming (illegaal uitlezen van gegevens) worden op die manier gereduceerd. 12 Kernplicht 3: Integere informatieverwerking Terugkerend naar de Santander-zaak, raakte deze tegelijkertijd ook een andere kernplicht uit de privacywetgeving: integere informatieverwerking. Een individuele check op de melding zou hebben uitgewezen dat de melding was gebaseerd op inmiddels feitelijk onjuiste informatie. Ook gelet op de consequenties voor de klant, voldeed de melding daarom niet aan de wettelijke integriteitscriteria proportionaliteit en datakwaliteit, waarvan er meer zijn zoals doelbinding, noodzaak en legitimiteit. Privacywetgeving is er altijd in het bijzonder op gericht geweest dat een organisatie volgens deze criteria opereert en iedere vorm van informatieverwerking daarop finetunet. Juist de integriteitsbewaking is typisch iets voor de privacyofficer omdat het hier aankomt op zuivere checks and balances (gewetensrol) en er juridische valkuilen zijn. Het gaat 12 Zie voor meer informatie over Privacy by Design het gelijknamige themanummer van Privacy & Compliance, nr /2012. Jaarboek Compliance

12 Ontwikkelingen in wet- en regelgeving om de lakmoesproef op privacycompliance die uitwijst of de wet de license to operate afgeeft of niet. Alleen bij bijzonder risicovolle informatieverwerking is overleg vereist met het College Bescherming Persoonsgegevens of moet er voorafgaand onderzoek worden aangevraagd in wezen een vergunningaanvraag waarbij ook de toezichthouder toetst aan de hier genoemde integriteitscriteria. Bij integere informatieverwerking ontstaat in principe positieve privacyimpact: niet-melding bij het BKR zoals in de Santander-zaak betekent behoud van kredietmogelijkheid. Positieve privacyimpact kan ook bestaan uit tijdige en correcte uitbetaling van salarissen of uitkeringen, de juiste medische behandeling, toegang tot diensten (reizen, theater, concerten), correcte levering van bestellingen, enzovoorts. Of anders dient de informatieverwerking in ieder geval nog altijd een gerechtvaardigd belang van de informatieverwerker waarvoor het individuele privacybelang moeten wijken: publieke taakuitoefening, nakoming van wettelijke plichten, economische ontwikkeling en innovatie, fraudemanagement of sociale veiligheid. Illegale informatieverwerking Niet-integere informatieverwerking betekent dat de wet geen license to operate afgeeft of intrekt. Dat gaat automatisch. De informatieverwerker handelt eenvoudig onrechtmatig (illegaal) en heeft een Big Brother-achtige of Kafkaëske-situatie gecreëerd omdat een teveel aan informatie wordt verwerkt of mensen door fouten in de knel kunnen komen door het systeem. Zowel Deutsche Bahn als Santander maakten zich hieraan schuldig maar de zaak van Ron Kowsoleea laat al helemaal zien hoe desastreus de gevolgen van niet-integere informatieverwerking kunnen zijn. Kowsoleea is een ondernemer die de media haalde toen uitkwam dat hij vijftien jaar lang per vergissing in de politiesystemen te boek stond als drugscrimineel. De echte drugscrimineel, een toevallige jeugdkennis, had zich bij een arrestatie in 1994 voor Kowsoleea uitgegeven (identiteitsfraude). Sindsdien beschikte de echte Kowsoleea zomaar over een strafblad dat bovendien maar door bleef groeien omdat ook nieuwe misdrijven van de drugscrimineel op het conto van Kowsoleea werden bijgeschreven. Kowsoleea heeft op allerlei manieren geprobeerd om de fout hersteld te krijgen en werd daarin ook wel geholpen door de politie maar bij gebrek aan overall-beleidsvoering slaagde de politie er maar niet in om het strafblad definitief uit de systemen te verwijderen. In een netwerkomgeving kopiëren computers vaak informatie waardoor een eenvoudige aanpassing onvoldoende kan zijn. Gecorrigeerde informatie kan opnieuw door de oude informatie overschreven worden. Daarnaast speelde de dat de politie opsporingsinformatie deelt met andere instanties zodat de fout ook daar de systemen in sloop. Kowsoleea s leven veranderde daardoor steeds meer in een nachtmerrie. Zo is hij in de loop der jaren tientallen keren aangehouden. Op Schiphol bleek hij ongewenst vreem- 70 Jaarboek Compliance 2013

13 Privacycompliance: afwachten of voorsorteren? deling. De FIOD verdacht hem van het witwassen van drugsgeld en deed bij hem met 35 man een inval. Zijn naam raakte door alle voorvallen zodanig beschadigd dat hij steeds meer een isolement terecht kwam, waardoor Kowsoleea uiteindelijk failliet ging. Opvallend aan deze zaak is dat het CBP niet ingreep. Uiteindelijk moesten de Nationale Ombudsman en het televisieprogramma EenVandaag voor Kowsoleea op komen. De verantwoordelijkheid lag in dit geval bij de minister van Justitie, die onder druk van alle aandacht uiteindelijk ook excuses aanbood. Maar eigenlijk is de fout nooit goed hersteld. In het boek De Digitale Schaduw van onderzoeksjournalist Dimitri Tokmetzis 13, wordt Ron Kowsoleea beschreven als een gebroken man die anno 2012 weer steeds vaker gecontroleerd wordt vanwege zijn vermeende criminele profiel. Kernplicht 4: privacyservices Het geval van Kowsoleea is een extreem voorbeeld maar het zijn dit soort misstanden, groot of klein, waarom de privacywetgeving iedereen het recht geeft om bij informatieverwerkers klachten of verzoeken in te dienen. Een informatieverwerker is verplicht om hier nette follow-up aan te geven. Onderdeel van de privacybeleidsvoering is dan ook altijd dat er wordt voorzien in de faciliteiten en procedures voor het bieden van privacyservice bijvoorbeeld via de afdeling klantenservice of een interne P&O-helpdesk. De verordening schrijft in dit verband voor dat een informatieverwerker in de eerste plaats communicatiebeleid ontwikkelt om transparant te zijn over de vormen van informatieverwerking, het privacybeleid, wie de privacyofficer is en waar iemand terecht kan met vragen en klachten. Die informatie moet begrijpelijk en doelgroepgericht zijn opgesteld. Informatie voor werknemers luidt mogelijk anders dan informatie aan klanten, patiënten of bijvoorbeeld leerlingen. Ieder verzoek tot inzage, correctie, verwijdering of export ( data portability ) van eigen gegevens zal de informatieverwerker in de regel kosteloos en binnen vier weken moeten afhandelen. Dat wil niet zeggen dat een verzoeker in alle gevallen ook zijn zin moet krijgen, maar bij afwijzing zal dat juridisch goed moeten worden gecheckt en onderbouwd. De privacyofficer kan helpen. Als er gehoor moet worden gegeven aan een verzoek, moet deze vervolgens ook daadwerkelijk worden uitgevoerd. Ook daar kan het mis gaan, dus ook hier het belang van een check. Er moet rekening mee worden gehouden dat het kan gaan om duizenden verzoeken tegelijkertijd, zoals de Belgisch-Franse bank Dexia tot haar ontzetting ontdekte. Tros Radar had in 2004 de gedupeerden van Dexia s aandelenlease-constructie opgeroepen om toch vooral hun inzagerechten uit te oefenen. Daarvoor had Radar een standaardbrief 13 Uitgeverij Unieboek Het Spectrum, Houten/Antwerpen Jaarboek Compliance

14 Ontwikkelingen in wet- en regelgeving verspreid, die door de Dexia-klanten vervolgens massaal werd ingestuurd. De bank werd overspoeld met verzoeken en Dexia weigerde om deze in behandeling te nemen. Net als bij de Santander-zaak belandde de zaak bij de Hoge Raad, die besliste dat Dexia de verzoeken toch echt stuk voor stuk had af te handelen. Wie surft naar <pim.bof.nl> ziet dat ook digitale burgerrechtenbeweging Bits of Freedom het tegenwoordig vergemakkelijkt om inzageverzoeken in te sturen. Een on-line wizard helpt de gebruiker om te kiezen uit een lange lijst van informatieverwerkers, waaronder wel zo sportief BoF zelf. Kernplicht 5: ketenregie Als laatste punt van aandacht moet nog het organiseren van ketenregie worden genoemd, in het verlengde van de governance over de interne informatiehuishouding. In deze bijdrage werd tot nu over zowel informatieverwerkers en informatieverwerking gesproken alsof beide altijd vastomlijnd zijn en samenvallen. Bijvoorbeeld een werkgever die zijn eigen salarisadministratie voert. Hoewel zo n duidelijke situatie in de praktijk nog steeds voorkomt, is informatieverwerking in andere gevallen meestal diffuser georganiseerd. Tegenwoordig werken verschillende partijen vaak met elkaar samen, zowel intern als extern, of worden informatieservices gedeeld. Het komt bijvoorbeeld veelvuldig voor dat een werkgever zijn salarisadministratie heeft uitbesteed aan een gespecialiseerde dienstverlener. In plaats van één zijn er dan twee partijen betrokken: de opdrachtgever en zijn uitvoeringsorganisatie. Bij informatiedeling lijken informatieverwerkers niet meer op opdrachtgevers maar op afnemers. Bijvoorbeeld overheidsdiensten die gebruik maken van de Gemeentelijke Basisadministratie. Informatieketens kunnen verder worden opgeknipt en er zijn achter de schermen allerlei andere samenwerkingsconstructies denkbaar. Dankzij internet en de opkomst van cloud services neemt die complexiteit alleen maar toe, waarbij dienstverleners overal ter wereld gevestigd kunnen zijn iets waarover de verordening nog aparte spelregels bevat. Vanwege het uitgangspunt dat een bestuur eindverantwoordelijk is voor de informatieverwerking binnen een organisatie, benadrukt de verordening óók dat de inhoudelijk belanghebbende bijvoorbeeld de werkgever in het bovenstaande voorbeeld (en daarmee dus opnieuw de directie) altijd eindverantwoordelijk blijft voor zijn uitvoeringsorganisaties, die in het privacyrecht worden aangeduid als processors (in het Nederlands: bewerkers ). De oorspronkelijke opdrachtgever of indien van toepassing, het collectief van samenwerkende opdrachtgevers ( joint data controllers ) zijn verplicht tot het maken van goede regieafspraken, zodat een informatieketen geen zwakke schakels kan bevatten. Op hun beurt zijn uitvoeringsorgansiaties overigens ook weer gehouden tot good privacygovernance. 72 Jaarboek Compliance 2013

15 Privacycompliance: afwachten of voorsorteren? Verlies van ownership Aan onvoldoende regie waardoor een processor de ruimte krijgt om zelfstandig te opereren, verbindt de verordening de consequentie dat een opdrachtgever de zeggenschap over proces en data voortaan deelt met zijn uitvoeringsorganisatie. Zoiets overkwam de banken toen de interbancaire serviceorganisatie SWIFT in 2006 werd aangemerkt als data controller. Voor organisaties waar volledige zeggenschap over data en processen van strategisch belang is (zeggenschap = ownership), is dat geen optie. Een overheidsinstelling ziet bijvoorbeeld niet graag dat door aanbesteding van informatieverwerking, zeggenschap over overheidsinformatie naar het bedrijfsleven vloeit. En wie in de particuliere sector belang hecht aan klantownership, zal willen voorkomen dat een dienstverlener die wordt ingehuurd voor direct marketing, medezeggenschap over klantgegevens verwerft en bijvoorbeeld kan besluiten om deze voor zichzelf te houden of door te verkopen. Data is money. Organiseren op privacy betekent dat een data controller voortaan strakke ketenregie voert en toezicht houdt op de nakoming van afspraken. Deze zullen over het algemeen een contractueel karakter hebben ( bewerkerscontracten ) maar kunnen in principe ook statutair worden vastgelegd. Privacy by Design en informatiebeveiliging blijven ook hier essentiële aandachtspunten. Wezenlijk is het bestaan van duidelijke service levelafspraken. Hoe verder? In de voorgaande paragrafen werden de kernverplichtingen van privacycompliance behandeld volgens de Algemene Verordening Gegevensbescherming vanuit het perspectief van informatieverwerkers. 1. Privacygovernance 2. Gebalanceerde oplossingen 3. Integere informatieverwerking 4. Privacyservices 5. Ketenregie Aspecten als recht van verzet, binding corporate rules of het recht op vergetelheid bleven onbesproken. Deze komen vanzelf aan bod wanneer een informatieverwerker werk maakt van privacycompliance en de situaties zich voordoen waarin deze onderwerpen relevantie krijgen. Als het goed is, helpt de privacyofficer eraan herinneren. Jaarboek Compliance

16 Ontwikkelingen in wet- en regelgeving De verordening is te downloaden via: <ec.europa.eu/justice/data-protection/document/ review2012/com_2012_11_nl.pdf> Of via scanning van deze QR-code: Dàt de verordening er komt lijkt onvermijdelijk. Het is moeilijk voor te stellen dat Brussel een wetgevingtraject stopzet dat zo direct gericht is op de bescherming van burgerrechten in de informatiemaatschappij. Via amenderingen komen er ongetwijfeld nog aanpassingen maar die zullen eerder institutioneel-bestuurlijk dan inhoudelijk zijn. Zo is er de kritiek dat de verordening op onderdelen nog teveel wetgevingsbevoegdheid delegeert, maar dergelijk commentaar is in eerste instantie niet relevant voor bedrijven en raakt ook niet de kernverplichtingen. De maximale boetes voor bedrijven werden al eens verlaagd van 5% naar de huidige 2%. Dat is nog steeds bijzonder fors maar het percentage is in de ogen van de Brusselse besluitvormers nog altijd bescheiden in verhouding tot de boetes van 10% of hoger die in het mededingingsrecht worden gehanteerd, terwijl aan privacy veel politiek belang wordt gehecht. Er zijn vooralsnog dan ook geen tekenen dat de boetes verder naar beneden worden bijgesteld. Informatieverwerkers die zich onvoldoende in de vijf kerneisen herkennen, doen er verstandig aan om nu al voor te sorteren. De kerneisen bieden op een veilige manier houvast en liggen reeds besloten in de bestaande wetgeving. Privacybeleidsvoering is bovenal ook een kwestie van ethiek. Mogelijk zijn er in de organisatie al goede oplossingen voorhanden of valt er mee te liften met compliancebeleid op andere thema s. Het ligt voor de hand om te beginnen met bepalen van het privacyrisicoprofiel voor de organisatie op basis van de huidige stand van zaken. Op die manier beschikt de organisatie over een duidelijk vertrekpunt. Wie afwacht, riskeert niet alleen een tour de force maar ook een achterstand. Waar haal je straks bijvoorbeeld nog een goede privacyofficer vandaan? Kennis en kunde is vandaag de dag al schaars. Het zijn de voorsorteerders die de beste kansen creëren om zich in de komende jaren op het gebied van good privacygovernance te onderscheiden. Dit levert hen in beginsel ook andere voordelen op. 74 Jaarboek Compliance 2013

Privacy management. Scope privacy Wet op de administratieve organisatie 07-10-15. Privacy. ü Meldplicht datalekken ü Uitbreiding boetebevoegdheden CBP

Privacy management. Scope privacy Wet op de administratieve organisatie 07-10-15. Privacy. ü Meldplicht datalekken ü Uitbreiding boetebevoegdheden CBP Privacy management ü Meldplicht datalekken ü Uitbreiding boetebevoegdheden CBP Mr S.H. Katus, CIPM Partner sergej.katus@pmpartners.nl www.pmpartners.nl Scope privacy Wet op de administratieve organisatie

Nadere informatie

Grip op privacy. Bestuurlijk belang bij privacybeleidsvoering. De Zeeuwse Leertuin Middagprogramma. Middelburg, 1 juli 2015

Grip op privacy. Bestuurlijk belang bij privacybeleidsvoering. De Zeeuwse Leertuin Middagprogramma. Middelburg, 1 juli 2015 Grip op privacy Bestuurlijk belang bij privacybeleidsvoering De Zeeuwse Leertuin Middagprogramma Middelburg, 1 juli 2015 Mr S.H. Katus CIPM Partner Privacy Management Partners sergej.katus@pmpartners.nl

Nadere informatie

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl Aanscherping WBP Meldplicht datalekken Mr S.H. Katus, CIPM Partner sergej.katus@pmpartners.nl www.pmpartners.nl PMP in het kort Privacy Management Partners Het eerste DPO-bureau van Nederland Data Protection

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

12 mei 2016. www.infotraining.nl. ééndaagse workshop. Nieuwe eisen omtrent databescherming! Ontdek alle ins & outs op deze praktijkgerichte workshop

12 mei 2016. www.infotraining.nl. ééndaagse workshop. Nieuwe eisen omtrent databescherming! Ontdek alle ins & outs op deze praktijkgerichte workshop ééndaagse workshop 12 mei 2016 POSTILLION HOTEL BUNNIK Nieuwe eisen omtrent databescherming! Ontdek alle ins & outs op deze praktijkgerichte workshop www.infotraining.nl Is uw databeleid gereed voor 2016?

Nadere informatie

Datalekken: preventie & privacy

Datalekken: preventie & privacy Datalekken: preventie & privacy Platform voor Informatiebeveiliging 25 april 2013 Mirjam Elferink Onderwerpen 1. Inleiding 2. Casus datalek 3. Huidige en toekomstige wetgeving datalek meldplichten 4. Casus

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u?

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Inleiding De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Privacy Impact Assessment

Privacy Impact Assessment Privacy Impact Assessment Privacy risico s en inschattingen Privacybescherming staat in toenemende mate in de belangstelling. Voor een groeiend aantal bedrijven is het zorgvuldig omgaan met persoonsgegevens

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Nieuwe privacyregels: Eitje of zwarte zwaan?

Nieuwe privacyregels: Eitje of zwarte zwaan? 1 Nieuwe privacyregels: Eitje of zwarte zwaan? Jaarvergadering Ledengroep Intern en Overheidsaccountants Nederlandse Beroepsorganisatie van Accountants Donderdag 14 september 2013 Wolter Karssenberg RE

Nadere informatie

Sebyde Privacy Onderzoek. 6 december 2013

Sebyde Privacy Onderzoek. 6 december 2013 Sebyde Privacy Onderzoek 6 december 2013 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten

Nadere informatie

Het Europese privacyrecht in beweging

Het Europese privacyrecht in beweging Presentatie van de NOREA-publicatie Het Europese privacyrecht in beweging Opsteller: Mr. dr. A.W. (Anne-Wil) Duthler NOREA, Duthler Associates Amsterdam, 13 december 2012 Agenda Inhoud Europese privacyverordening

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene

Nadere informatie

EBS privacy beleid december 2011

EBS privacy beleid december 2011 EBS privacy beleid december 2011 Privacy beleid EBS Public Transportations B.V. Artikel 1 EBS en privacy EBS Public Transportations (hierna ook EBS) vindt het essentieel dat zorgvuldig wordt omgegaan met

Nadere informatie

Datum 8 september 2015 Onderwerp Antwoorden Kamervragen over de opslag van DNA data bij onder andere Google en Amazon

Datum 8 september 2015 Onderwerp Antwoorden Kamervragen over de opslag van DNA data bij onder andere Google en Amazon 1 > Retouradres Postbus 20301 2500 EH Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG Bestuurlijke en Turfmarkt 147 2511 DP Den Haag Postbus 20301 2500

Nadere informatie

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016 Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016 Privacyrecht Wetgeving: Wet bescherming persoonsgegevens (Eur. Richtlijn 95/46/EG)

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

Actualiteiten Privacy. NGB Extra

Actualiteiten Privacy. NGB Extra Actualiteiten Privacy NGB Extra April 2015 Wat heeft het wetsvoorstel meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP voor implicaties voor de praktijk? Wat is er recent veranderd

Nadere informatie

Is uw onderneming privacy proof?

Is uw onderneming privacy proof? Is uw onderneming privacy proof? Seminar Privacy 6 november 2014 Floor de Roos Advocaat handelsrecht 1 De Wet bescherming persoonsgegevens in vogelvlucht 2 1. Is sprake van persoonsgegevens? Ruim begrip:

Nadere informatie

In vier stappen voldoen aan de meldplicht datalekken

In vier stappen voldoen aan de meldplicht datalekken In vier stappen voldoen aan de meldplicht datalekken dfg WHITEPAPER Datum ID Nummer 20 september 2012 12015 Auteur(s) mr. dr. A.H. (Anton) Ekker Samenvatting De Nederlandse overheid en de Europese Commissie

Nadere informatie

Privacy Compliance in een Cloud Omgeving

Privacy Compliance in een Cloud Omgeving Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010 Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau

Nadere informatie

Voorbeeld Incidentenregeling voor een Uitvoeringsorganisatie

Voorbeeld Incidentenregeling voor een Uitvoeringsorganisatie Voorbeeld Incidentenregeling voor een Uitvoeringsorganisatie Mei 2009 1 Incidentenregeling van Inleiding Deze Incidentenregeling geeft aan welke stappen gevolgd moeten worden

Nadere informatie

Privacy en Innovatie in Balans

Privacy en Innovatie in Balans Privacy en Innovatie in Balans Peter Hustinx Jaarcongres ECP 20 november 2014, Den Haag Sense of urgency Digitale Agenda: vertrouwen, informatieveiligheid en privacybescherming in het hart van de agenda

Nadere informatie

The Right to be Forgotten

The Right to be Forgotten The Right to be Forgotten Een fundamenteel recht of fictie? 27-10-2014 Boukje Stoelinga ING Bank Data Protection Officer Agenda 1. Context: heden versus toekomst 2. De Google case 3. Verwijderen of vergeten;

Nadere informatie

ECIB/U201501573 Lbr. 15/079

ECIB/U201501573 Lbr. 15/079 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) betreft Privacy: de Europese Algemene Verordening Gegevensbescherming & de Meldplicht Datalekken

Nadere informatie

Privacy: Compliance en Governance Hoe kan privacy binnen de organisatie worden geoptimaliseerd?

Privacy: Compliance en Governance Hoe kan privacy binnen de organisatie worden geoptimaliseerd? Privacy: Compliance en Governance Hoe kan privacy binnen de organisatie worden geoptimaliseerd? Mei 2014 I. Privacy als risico voor uw organisatie Veel bedrijven verwerken persoonsgegevens om bepaalde

Nadere informatie

Dienst Uitvoering Onderwijs (DUO)

Dienst Uitvoering Onderwijs (DUO) Dienst Uitvoering Onderwijs (DUO) Privacytoezicht in de praktijk Aramis Jean Pierre Functionaris gegevensbescherming (FG) DUO/OCW Aramis.jeanpierre@duo.nl Functionaris voor de gegevensbescherming (FG)

Nadere informatie

Informatie over privacywetgeving en het omgaan met persoonsgegevens

Informatie over privacywetgeving en het omgaan met persoonsgegevens Informatie over privacywetgeving en het omgaan met persoonsgegevens Inleiding Op 1 september 2001 is de Wet Bescherming Persoonsgegevens (WBP) in werking getreden. Hiermee werd de Europese Richtlijn over

Nadere informatie

De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 4 2513 AA s-gravenhage. Datum 1 juni 2011

De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 4 2513 AA s-gravenhage. Datum 1 juni 2011 > Retouradres Postbus 20101 2500 EC Den Haag De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 4 2513 AA s-gravenhage Directoraat-generaal voor Bezoekadres Bezuidenhoutseweg 30 2594 AV Den

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Geen leidraad voor inzage dossier Gemeente Amsterdam Stadsdeel West Meldpunt Zorg en Overlast

Geen leidraad voor inzage dossier Gemeente Amsterdam Stadsdeel West Meldpunt Zorg en Overlast Rapport Gemeentelijke Ombudsman Geen leidraad voor inzage dossier Gemeente Amsterdam Stadsdeel West Meldpunt Zorg en Overlast 10 juli 2013 RA131236 Samenvatting Een man heeft zijn huurwoning moeten verlaten

Nadere informatie

Impact van de meldplicht datalekken

Impact van de meldplicht datalekken Impact van de meldplicht datalekken Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Privacy aspecten van apps

Privacy aspecten van apps Privacy aspecten van apps mr. Peter van der Veen Senior juridisch adviseur e: vanderveen@considerati.com t : @pvdveee Over Considerati Considerati is een juridisch adviesbureau gespecialiseerd in ICT-recht

Nadere informatie

Gedragscode ICT-functionarissen Universiteit Twente

Gedragscode ICT-functionarissen Universiteit Twente Universitair Informatiemanagement Kenmerk: SB/UIM/12/1107/khv Datum: 13 december 2012 Gedragscode ICT-functionarissen Universiteit Twente Vanuit hun functie hebben ICT-functionarissen vaak verregaande

Nadere informatie

KLOKKENLUIDERSREGELING EUREKO GROEP

KLOKKENLUIDERSREGELING EUREKO GROEP KLOKKENLUIDERSREGELING EUREKO GROEP Artikel 1. Definities In deze regeling wordt verstaan onder: Eureko: Raad van Bestuur: De medewerker: Externe Vertrouwenspersoon: Interne Vertrouwenspersoon: Vertrouwenscommissie:

Nadere informatie

Privacy Impact Assessment

Privacy Impact Assessment De NOREA-PIA Wolter Karssenberg RE 24 juni 2014 Privacy Impact Assessment Agenda 1. Achtergrond 2. Inhoud 3. Ervaring 4. Vragen Agenda 1. Achtergrond 2. Inhoud 3. Ervaring 4. Vragen (Big) Data & Privacy:

Nadere informatie

Ook worden gegevens die uit het intake-gesprek naar voren zijn gekomen en die belangrijk kunnen zijn voor de hulpverlening verwerkt.

Ook worden gegevens die uit het intake-gesprek naar voren zijn gekomen en die belangrijk kunnen zijn voor de hulpverlening verwerkt. Privacyreglement 1. Inleiding Ten behoeve van haar hulpverleningsactiviteiten registreert Community Support gegevens van haar klanten. Het doel van dit privacyreglement is de klanten op de hoogte te stellen

Nadere informatie

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013 Cloud & Privacy B2B Clouddiensten Robert Boekhorst Amsterdam 27 juni 2013 Inleiding Privacyrecht: in vogelvlucht Knelpunten Hoe hier mee om te gaan? toekomstige ontwikkelingen Privacyrecht in vogelvlucht

Nadere informatie

Gegevensuitwisseling en gegevensbescherming Wmo en AWBZ

Gegevensuitwisseling en gegevensbescherming Wmo en AWBZ Gegevensuitwisseling en gegevensbescherming Wmo en AWBZ Platform IZO 20 september 2013 Mr. P.L. Coté MBA Wie zijn wij? > Adviseurs voor bestuur, recht en ICT: privacybescherming identitymanagement taxonomieën

Nadere informatie

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties www.pwc.nl/privacy Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties PwC Nederland Februari 2015 Inhoudsopgave Introductie Privacy Health Check 3 Managementsamenvatting

Nadere informatie

De Minister van Veiligheid en Justitie. Postbus 20301 2500 EH Den Haag. Advies wetsvoorstel toevoegen gegevens aan procesdossier minderjarige

De Minister van Veiligheid en Justitie. Postbus 20301 2500 EH Den Haag. Advies wetsvoorstel toevoegen gegevens aan procesdossier minderjarige POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl AAN De Minister van Veiligheid en Justitie

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties www.pwc.nl/privacy Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties PwC Nederland januari 2016 Introductie Management Samenvatting Resultaten Inhoudsopgave

Nadere informatie

Privacy Proof?! Richard Weurding 5 maart 2013

Privacy Proof?! Richard Weurding 5 maart 2013 Privacy Proof?! Richard Weurding 5 maart 2013 Privacy = Vertrouwen Maatschappelijk belang voor samenleving, politiek en verzekeraars Vernieuwen & versterken Klantbelang centraal Transparantie (in acties

Nadere informatie

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016 PRIVACY SIDN fonds Menno Weij 3 februari 2016 AGENDA Privacy Privacywetgeving van toepassing Plichten voor bedrijven Rechten betrokkenen Toezichthouder Ruimte voor vragen en discussie TERMINOLOGIE Belangrijkste

Nadere informatie

Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag

Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag > Retouradres Postbus 20201 2500 EE Den Haag Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag Korte Voorhout 7 2511 CW Den Haag Postbus 20201 2500 EE Den Haag www.rijksoverheid.nl

Nadere informatie

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Kinderen van een jaar weten tegenwoordig al de weg op een tablet. De computer en het internet zijn niet

Nadere informatie

Privacy reglement. Inleiding

Privacy reglement. Inleiding Privacy reglement Inleiding De Wet bescherming persoonsgegevens (WBP) vervangt de Wet persoonsregistraties (WPR). Daarmee wordt voldaan aan de verplichting om de nationale privacywetgeving aan te passen

Nadere informatie

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen PRIVACY VERKLARING Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

de Wet & het College Bescherming Persoonsgegevens Anne Smeets

de Wet & het College Bescherming Persoonsgegevens Anne Smeets de Wet & het College Bescherming Persoonsgegevens Anne Smeets Parafrase op J.H. Donner Maar het kan toch niet zo zijn - want dat is de afweging die je maakt - dat je de behoefte aan privacy van velen desnoods

Nadere informatie

MELDPLICHT DATALEKKEN

MELDPLICHT DATALEKKEN MELDPLICHT DATALEKKEN 2 WETSWIJZIGING Op 26 mei 2015 heeft EK wetsvoorstel voor de Wet meldplicht datalekken aangenomen. Sinds 1 januari 2016 in werking getreden: Nieuw in Wet bescherming persoonsgegevens

Nadere informatie

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? 1 Onderwerpen Wat zegt de huidige wet en de komende Europese Privacy

Nadere informatie

KLOKKENLUIDERSREGELING EUREKO GROEP (Bijlage van Eureko Achmea Incidentenbeleid)

KLOKKENLUIDERSREGELING EUREKO GROEP (Bijlage van Eureko Achmea Incidentenbeleid) KLOKKENLUIDERSREGELING EUREKO GROEP (Bijlage van Eureko Achmea Incidentenbeleid) Artikel 1. Definities In deze regeling wordt verstaan onder: Eureko: Raad van Bestuur: De medewerker: Externe Vertrouwenspersoon:

Nadere informatie

verklaring omtrent rechtmatigheid

verklaring omtrent rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Raad Nederlandse Detailhandel DATUM 17 juni

Nadere informatie

IMMA special Privacy. Amersfoort, 20 april 2016

IMMA special Privacy. Amersfoort, 20 april 2016 IMMA special Privacy Amersfoort, 20 april 2016 Iris Koetsenruijter: koetsenruijter@considerati.com, 06-28613217 Rob Mouris: rob.mouris@minienm.nl, 06-27061622 1 Opzet Special 09.30-09.45 Voorstelronde

Nadere informatie

De minister van Veiligheid en Justitie. Postbus 20301 2500 EH DEN HAAG. Wetgevingsadvies invoering flexibel cameratoezicht.

De minister van Veiligheid en Justitie. Postbus 20301 2500 EH DEN HAAG. Wetgevingsadvies invoering flexibel cameratoezicht. POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl AAN De minister van Veiligheid en Justitie

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 (0)6 13 38 00 36 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie

Nadere informatie

GROEP GEGEVENSBESCHERMING ARTIKEL 29

GROEP GEGEVENSBESCHERMING ARTIKEL 29 GROEP GEGEVENSBESCHERMING ARTIKEL 29 10972/03/NL/def. WP 76 Advies 2/2003 over de toepassing van de gegevensbeschermingsbeginselen op de Whois directories Goedgekeurd op 13 juni 2003 De Groep is opgericht

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Reglement bescherming persoonsgegevens Kansspelautoriteit

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Reglement bescherming persoonsgegevens Kansspelautoriteit STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 21460 29 juli 2014 Reglement bescherming persoonsgegevens Kansspelautoriteit De raad van bestuur van de Kansspelautoriteit,

Nadere informatie

Meldplicht Datalekken

Meldplicht Datalekken Meldplicht Datalekken Wolter Karssenberg RE, CIPP/E, CIPM drs. Erik König EMITA 10 december 2015 Agenda Datalekken Meldplicht Beleidsregels Beheersen So what! We ll just pay the fine! 2 Agenda Datalekken

Nadere informatie

Gedragscode Persoonlijk Onderzoek

Gedragscode Persoonlijk Onderzoek Gedragscode Persoonlijk Onderzoek Bijlage 1.C Januari 2004 Deze gedragscode is opgesteld door het Verbond van Verzekeraars en is bestemd voor verzekeraars, lid van het Verbond, onderzoeksbureaus die werken

Nadere informatie

Privacy Gedragscode Keurmerk RitRegistratieSystemen

Privacy Gedragscode Keurmerk RitRegistratieSystemen Pagina 1 van 5 Privacy Gedragscode Keurmerk RitRegistratieSystemen Inleiding Dit document dient als bijlage bij alle systemen waarbij het Keurmerk RitRegistratieSystemen (RRS) wordt geleverd en is hier

Nadere informatie

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6 Inhoud Uitbesteden ICT: Wat, waarom, aan wie en hoe? 3 Relatie tussen ICT en 3 Outsourcen ICT: Wat? 3 Cloud Services 3 Service Level Agreement 3 Software

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Privacyverklaring Nemop.nl

Privacyverklaring Nemop.nl Privacyverklaring Nemop.nl Algemeen De internetsite Nemop.nl is eigendom van Nemop V.O.F. (hierna te noemen: Nemop). Nemop respecteert en beschermt uw privacy en gaat zorgvuldig om met uw persoonlijke

Nadere informatie

Uitdagingen voor Privacy Compliance

Uitdagingen voor Privacy Compliance Pr iva Se nse Privacy and Trust in the Digital Society Uitdagingen voor Privacy Compliance Jeroen Terstegge Multilayer Security Seminar 2010 IJmuiden Pr iv a Se n se Even voorstellen Strategie en beleid

Nadere informatie

K l o k k e n l u i d e r s r e g e l i n g. Stichting Pensioenfonds PostN L

K l o k k e n l u i d e r s r e g e l i n g. Stichting Pensioenfonds PostN L K l o k k e n l u i d e r s r e g e l i n g Stichting Pensioenfonds PostN L Versie december 2015 Inhoudsopgave 1 Inleiding 3 2 Regelgeving 3 3 Samenhang interne regelingen 3 4 Inhoud Klokkenluidersregeling

Nadere informatie

Voorbeeld Incidentenregeling voor een Pensioenfonds

Voorbeeld Incidentenregeling voor een Pensioenfonds Voorbeeld Incidentenregeling voor een Pensioenfonds Mei 2009 1 Incidentenregeling van Inleiding Deze Incidentenregeling geeft aan welke stappen gevolgd moeten worden indien het vermoeden

Nadere informatie

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V.

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V. POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid

Nadere informatie

Deze voorwaarden gelden ook voor het verkopen van uw gegevens (adressenhandel).

Deze voorwaarden gelden ook voor het verkopen van uw gegevens (adressenhandel). Page 1 of 10 submit Ongewenste reclame Mag een bedrijf of instelling mij ongevraagd reclame sturen? Ja, dat mag. Maar het bedrijf of de instelling (hierna organisatie genoemd) moet hierbij wel aan een

Nadere informatie

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken 04-11-2013 Bieneke Braat Alle rechten voorbehouden, niet openbaar maken zonder toestemming. 1 Legaltree: Advocatenkantoor

Nadere informatie

Privacy beleid. Algemeen

Privacy beleid. Algemeen Privacy beleid Algemeen In dit Privacy beleid wordt beschreven hoe wij omgaan met uw persoonsgegevens. Wij verzamelen, gebruiken en delen persoonsgegevens om de websites van JaMa Media, zoals Mijnkoopwaar

Nadere informatie

Hoofdlijnen Corporate Governance Structuur Stek

Hoofdlijnen Corporate Governance Structuur Stek Hoofdlijnen Corporate Governance Structuur Stek 1 Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe

Nadere informatie

Wet meldplicht datalekken

Wet meldplicht datalekken Wet meldplicht datalekken MKB Rotterdam Olaf van Haperen + 31 6 17 45 62 99 oh@kneppelhout.nl Introductie IE-IT specialisme Grootste afdeling van Rotterdam e.o. Technische ontwikkelingen = juridische ontwikkelingen

Nadere informatie

Privacy Reglement van MAMSA

Privacy Reglement van MAMSA Privacy Reglement van MAMSA Preambule Dit reglement beoogt het juiste gebruik van alle persoonsgegevens waarvan MAMSA of een van haar samenwerkingspartners kennis draagt alsmede alle tot een persoon te

Nadere informatie

onderzoek en privacy WAT ZEGT DE WET

onderzoek en privacy WAT ZEGT DE WET onderzoek en privacy WAT ZEGT DE WET masterclass research data management Maastricht 4 april 2014 presentatie van vandaag uitleg begrippenkader - privacy - juridisch huidige en toekomstige wet- en regelgeving

Nadere informatie

Klokkenluidersregeling Thús Wonen

Klokkenluidersregeling Thús Wonen Klokkenluidersregeling Thús Wonen Voorwoord Thús Wonen vindt het belangrijk dat werknemers op een adequate en veilige manier melding kunnen doen van eventuele vermoedens van misstanden binnen de organisatie.

Nadere informatie

Privacyreglement van De Zaak van Ermelo

Privacyreglement van De Zaak van Ermelo Privacyreglement van De Zaak van Ermelo ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet

Nadere informatie

Privacyreglement Potenco

Privacyreglement Potenco Privacyreglement Potenco Artikel 1 Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

CONCEPT. Privacy in 3D. van 3 april 2014. Een verfrissende kijk op informatievoorziening in het sociaal domein

CONCEPT. Privacy in 3D. van 3 april 2014. Een verfrissende kijk op informatievoorziening in het sociaal domein Privacy in 3D Een verfrissende kijk op informatievoorziening in het sociaal domein Gemeenten zien zich momenteel geplaatst voor een stevige uitdaging. Zij moeten een aantal taken op het gebied van zorg,

Nadere informatie

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens Privacy & Security Statement / Werkend Nederland BV Inleiding Werkend Nederland werkt met persoonsgegevens. We zijn ons hiervan bewust en gaan integer om met uw gegevens. In dit document kunt u lezen hoe

Nadere informatie

Gedragscode Medewerkers Eumedion

Gedragscode Medewerkers Eumedion Gedragscode Medewerkers Eumedion Herzien op 19 december 2011 1. Definities Artikel 1 In deze Gedragscode wordt verstaan onder: Medewerkers: alle medewerkers van Eumedion, onafhankelijk van de duur waarvoor

Nadere informatie

Universiteit Leiden Centrum voor Recht in de Informatiemaatschappij Postbus 9520 2300 RA LEIDEN. privacyaspecten digitalisering cultureel erfgoed

Universiteit Leiden Centrum voor Recht in de Informatiemaatschappij Postbus 9520 2300 RA LEIDEN. privacyaspecten digitalisering cultureel erfgoed POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Universiteit Leiden Centrum voor

Nadere informatie

Dit Privacystatement is van toepassing op alle producten en diensten van BlueNovius B.V., waaronder MedKey en Poh- educa.

Dit Privacystatement is van toepassing op alle producten en diensten van BlueNovius B.V., waaronder MedKey en Poh- educa. Dit Privacystatement is van toepassing op alle producten en diensten van BlueNovius B.V., waaronder MedKey en Poh- educa. MedKey is een single sign- on dienst waarbij medische professionals na eenmalige

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 613380036 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie Postbus

Nadere informatie

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking van screeningsgegevens van Curriculum Vitae Zeker B.V.; z2013-00612.

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking van screeningsgegevens van Curriculum Vitae Zeker B.V.; z2013-00612. POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Ontwerpbesluit inzake de verklaring omtrent

Nadere informatie

PRIVACYBELEID NVM ONLINE BIEDEN

PRIVACYBELEID NVM ONLINE BIEDEN PRIVACYBELEID NVM ONLINE BIEDEN 1. Algemeen 1.1 Reikwijdte De Nederlandse Vereniging van Makelaars en Taxateurs in onroerende goederen NVM (NVM/Wij/Ons) hecht veel waarde aan de bescherming van uw persoonsgegevens.

Nadere informatie

Privacy & Cookieregelement

Privacy & Cookieregelement Privacy & Cookieregelement SNS EN UW PRIVACY Wij vinden het belangrijk dat voor u duidelijk is hoe wij met uw persoonsgegevens omgaan, zodat u erop kunt vertrouwen dat uw gegevens bij ons in goede handen

Nadere informatie

Privacybescherming helpt vertrouwen van klanten te (her)winnen en te behouden

Privacybescherming helpt vertrouwen van klanten te (her)winnen en te behouden Privacybescherming helpt vertrouwen van klanten te (her)winnen en te behouden Persoonsgegevens van klanten zijn waardevol voor organisaties. Aandacht voor de bescherming van deze gegevens is nodig; privacyincidenten

Nadere informatie

Klokkenluidersregeling

Klokkenluidersregeling Meldingsregeling overtredingen of misstanden Group Compliance Document informatie Titel Klokkenluidersregeling Auteur Group Compliance Versie 2.0 Datum 1 januari 2014 Inhoud 1. Inleiding... 2 1.1 Doel

Nadere informatie

Het Wie, Wat en Hoe vanwelzorg in 2012

Het Wie, Wat en Hoe vanwelzorg in 2012 Het Wie, Wat en Hoe vanwelzorg in 2012 En hoe de puzzelstukjes Of hoe de puzzelstukjes precies in elkaar precies passen in elkaar passen Onze Visie Wie we willen zijn in 2012 1 1 Als marktleider in het

Nadere informatie