aan deze presentatie kunnen geen rechten worden ontleend mr Alexander J.J.T. Singewald 21 april 2015

Transcriptie

1 mr Alexander J.J.T. Singewald 21 april

2 Onderwerp Kunnen we wachten tot de Europese Verordening in 2017 in werking treedt? Nee. De Nederlandse regering zal dit jaar een aantal belangrijke bestanddelen uit de Europese Verordening eerder invoeren. Wat betekent dit voor het verwerken van gegevens nu? En voor big data? Is de Europese Verordening echt een grote wijziging van de bestaande prakljk? En wat is de invloed van de Europese Verordening op cookies? Een presentale over ontwikkelingen in Den Haag en in Brussel.

3 Uitwerking Cookies Big Data Stand van zaken concept Europese Verordening Wijziging Wet bescherming persoonsgegevens: Datalekken Boete bevoegdheid CBP

4 Cookies Stand van zaken Hamerstuk Eerste Kamer 3 februari 2015 Inwerkingtreding: 11 maart 2015

5 LET OP! Toestemming voor het plaatsen of uitlezen van een cookie ziet toe op de technische handeling (TelecommunicaLewet), onayankelijk van het feit of er persoonsgegevens in het geding zijn Daarnaast kan er sprake zijn dat voor het verwerken van persoonsgegevens nog toestemming nodig is (Wet bescherming persoonsgegevens)

6 We0ekst

7

8 Toelich7ng:11.7a lid 2 Tw

9

10 Voorbeelden van uitzonderingen nr benaming Beschrijving/doel 1 User input cookies Cookies zijn nodig om in een sessie bijvoorbeeld bij vragen en antwoorden gestart door de gebruiker bij te houden of het bijhouden van een boodschappen mandje 2 Authentication cookies Cookies om een gebruiker te identificeren als deze is ingelogd op een eigen account. Er dient dan wel sprake te zijn van een sessiecookie, die dus na het einde van de sessie wordt verwijderd. 3 User centric security cookies 4 Multimedia players session cookies 5 Load balancing session cookies 6 User interface customization cookies 7 Social plug-in content sharing cookies (let op verschil in ingelogd of uitgelogd) Cookies die worden gebruikt om extra beveiligingmaatregelen (bescherming om misbruik te voorkomen) te kunnen nemen voor een dienst die de gebruiker afneemt Deze cookies worden gebruikt om technische gegevens op te slaan om video of audio af te kunnen spelen, wanneer de gebruiker daarom vraagt. Deze cookies zijn alleen gedurende de sessie actief. Deze cookies worden gebruikt om de communicatie van de juiste server te laten plaats vinden en mogen ook alleen voor dat doel worden gebruikt Deze cookies worden gebruikt om de preferenties van een gebruiker met betrekking tot de dienstverlening te onthouden los van cookies of gegevens. Voorbeelden zijn geselecteerde taal instelling, of het weergeven van het aantal resultaten op een zoek website Zolang deze cookies worden geplaatst wanneer iemand is ingelogd in een omgeving, dan is er sprake van een gevraagde dienst. In alle andere gevallen van Social plug-in content sharing cookies is er geen sprake van een uitzondering en zal toestemming dienen te worden gevraagd.

11 Analy7c cookies

12

13 h0ps://cbpweb.nl/sites/default/files/atoms/ files/ handleiding_privacyvriendelijk_instellen_googl e_analy7cs_0.pdf 1. Afsluiten van een bewerkersovereenkomst met Google; 2. Anonimiseren van het volledige IP- adres (door het laatste octet van het IP- adres te verwijderen); 3. Gegevens delen met Google uitze`en; 4. Informeren over het gebruik van Google AnalyLcs en bieden van de optout mogelijkheid.

14 Affiliate cookies

15

16 Cookies Cookies die leiden tot het maken van een profiel passen niet binnen de vrijstelling, dus informeren en toestemming vragen Ga na of uw definiles van cookies gelijk zijn aan de definiles in de TelecommunicaLewet Voorbeeld: FuncLonele cookies zijn niet relevant, het gaat om de funcle van het cookie; Sessie ID cookie met een houdbaarheid van 60 maanden, kun je wel een Sessie ID cookie noemen maar is gewoon een tracking cookie

17 Open data Social Media Big Data

18 maps.amsterdam.nl

19 maps.amsterdam.nl

20 maps.amsterdam.nl

21

22 Social Media, zelfde regime voor Big Data Persoonsgegevens? Door combinatie Gebruiksvoorwaarden platform van social media Kleine lettertjes Voor welke doelen beschikbaar gesteld

23 Voorbeeld gebruiksvoorwaarden Facebook:

24 Gebruiksvoorwaarden Twi`er

25 Social Media en Wetgeving Wet bescherming persoonsgegevens Artikel 33/34: informatieplicht Artikel 11: toereikend, ter zake dienend en niet bovenmatig Artikel 10: niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren Artikel 9: verenigbaar gebruik

26 Social Media en Wetgeving Artikel 8: grondslag gegevensverwerking Gerechtvaardigd belang Toets: proportioneel, subsidiair, informeren, verenigbaar gebruik, zorgvuldig Soms andere grondslag toestemming voor verwerking gegevens door wet bepaald Artikel 7: welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden Artikel 6: in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt

27 Social Media en Wetgeving Telecommunicatiewet adres/sms/mms: Toestemming voor commercieel, charitatief of ideële doeleinden (btob en btoc) Telefoonnummer: Bel-me-niet register en eigen recht van verzetlijst, tenzij gevraagde oproep (btoc + uitoefening beroep bedrijf) Plaatsen tracking cookie via first party/third party: Toestemming en informeren (technische handeling, btob en btoc) Adres: Postfilter.nl en eigen blokkeringslijst (btoc)

28 Europese Unie

29

30 Verschil richtlijn en verordening Richtlijn Per lidstaat omzetten in wet NL: Wet bescherming persoonsgegevens Interpretatie verschillen bij implementatie Verordening Rechtstreekse werking NL: intrekken Wet bescherming persoonsgegevens Overige lid staten Europese Unie ook (kans op interpretatie verschillen bij handhaving)

31 Europese Unie Begin 2012 ontwerp Verordening Bescherming Persoonsgegevens Verordening heeg directe werking Begin 2015 ontwerp Verordening Bescherming Persoonsgegevens gestemd Begin 2017 inwerkingtreding Verordening Bescherming Persoonsgegevens Lid- Staten trekken eigen we`en in Verordening in werking in 2017, gebaseerd op concepten en denken uit EU- Commissarissen op het gebied van commerciele communicale JusLce/consumers, Digital Economy & Society, Economic and Financial Affairs, Internal market (Postal), Trade, Digital Single Market, Jobs & CompeLLveness, Be`er regulalon

32 Europese Verordening Mogelijk nog een klein 30 maatregelen van bestuur Gerucht in Brussel dat lidstaten op bepaalde vlakken de mogelijkheid zouden moeten hebben om lokale regels te stellen Europese markt, vrij verkeer van persoonsgegevens

33 E- privacy Richtlijn Richtlijn: toestemming for e- mail, sms Opt- out voor ongevraagde outbound telemarkelng Cookie rules EvaluaLe na totstandkoming Verordening Gegevensbescherming E- privacy Richtlijn: iedere lid staat zal dus deze richtlijn weer moeten omze`en naar lokale wetgeving Gegevensverwerking is geharmoniseerd, alleen het gebruik van peroonsgegevens voor communicale niet

34 Commerciële communica7e en persoonsgegevens in de gehele Europese Unie Verwerken persoonsgegevens Verordening: 1 Maatregelen van bestuur: 30 Gebruik van persoonsgegevens voor communicale Lokale implementale E- privacy richtlijn: totaal minimum totaal maximaal 59 Hoe en of alle maatregelen relevant zijn, is de vraag. Plus landen regels stalslsch onderzoek

35 Marke7ng communica7e Waarschijnlijk 2000 problemen met tekst van de Verordening Voor markelng communicale zijn er twee showstoppers

36 Twee showstoppers I Grondslag voor gegevensverwerking Om persoonsgegevens te mogen verwerken moet er een grondslag zijn: Toestemming Uitvoering overeenkomst Uitvoering we`elijk voorschrig Etc Gerechtvaardigd belang van de Verantwoordelijke of een derde parlj aan wie de persoonsgegevens worden verstrekt. Gerechtvaardigd belang is zeer belangrijk ProporLonaliteit/subsidiariteit Hoe werg een bedrijf prospects als er toestemming nodig is, terwijl het een gerechtvaardigd belang is van een bedrijf om prospects te werven Het gerechtvaardigd belang is van groot belang voor commerciële communicale Recital 39: The processing of personal data for direct marke8ng purposes may be regarded as carried out for a legi8mate interest.

37 Twee showstoppers II Profiling Selecteren, segmenteren, analyseren, a/b testen etc Als profiling: Leidt tot maatregelen die een juridisch effect hebben jegens de betrokkene; of Leidt tot maatregelen die hem/haar in aanmerkelijke mate treg; Contract of pre- contractueel Wetgeving Toestemming Geen juridisch effect of treg in aanmerkelijke mate - > toegestaan Discussie: markelng treg niet in aanmerkelijke mate

38

39 Andere onderwerpen TransparanLe InformaLeplichten zijn uitgebreid Benoemen van de bewaartermijn Uitleggen waarom de Controller een gerechtvaardigd belang heeg Blokkering Blokkering tegen commercieel gebruik: niet langer meer in het privacystatement maar: Dit recht wordt de betrokkene uitdrukkelijk en op begrijpelijke wijze geboden en moet duidelijk van overige informale kunnen worden onderscheiden. Taalgebruik aangepast, specifiek bij kinderen.

40 Informa7eplicht

41 Informa7eplicht: uitgebreid

42

43 Recht om vergeten te worden / recht om gegevens te laten wissen

44 Administra7eve verplich7ngen Geen melding bij toezichthouder DocumentaLeplicht voor Verantwoordelijke en/of Verwerker PIA: Privacy Impact Analyse

45 PIA, recital

46 PIA

47 Boete ar7kel 79 under discussion

48

49

50 Timing 12 maart 2014 stemming in Europees Parlement

51 Status of nego8a8ons Chapter I General Provisions Agreement on Territorial scope and public sector provisions (December Remain to discuss: DefiniLons Chapter II Principles Ongoing negolalons Chapter III Rights of the data subject Not yet negolated, next on the agenda Chapter IV Controllers and processors Agreed on (December 2014) - the so called risk based approach Chapter V Chapter VI Transfer of personal data to a third country or internalonal organisalon Independent supervisory authority Agreed on (June 2014) Ongoing negolalons (part of the One Stop Shop Discussions) Chapter VII CooperaLon and consistency Ongoing negolalons (part of the One Stop Shop Discussions) Chapter VIII Chapter IX Chapter X Chapter XI Remedies, liability and sanclons Not yet negolated Provisions relalng to specific data processing situalon Delegated and implemenlng acts Final provisions Agreed on (December 2014)

52 Timing Volgende stap overleg tussen EP en Raad van Ministers Overeenstemming/geen overeenstemming Inwerkingtreding twee jaar en twintig dagen na publicatie Vaststelling: 2015/vroeg 2016 Feitelijk inwerkingtreding: 2017/2018 NIET ALLES STAAT AL VAST

53 Ondertussen in Nederland

54 Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp Behandeling Eerste Kamer gestart Kamerstuk: Nog voor Eerste Kamer verkiezingen in mei 2015, vaststellen Zwaartepunten nieuw arlkel 34a en arlkel 66

55 Concept- ar7kel 34a 1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in arlkel 13, die leidt tot de aanzienlijke kans op ernslge nadelige gevolgen dan wel ernslge nadelige gevolgen heeg voor de bescherming van persoonsgegevens. 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunslge gevolgen zal hebben voor diens persoonlijke levenssfeer. 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanles waar meer informale over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negaleve gevolgen van de inbreuk te beperken. 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeg getroffen of voorstelt te treffen om deze gevolgen te verhelpen. 5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informalevoorziening is gewaarborgd.

56 Concept- ar7kel 34a 6. Het tweede lid is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeg genomen waardoor de persoonsgegevens die het betreg onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeg op kennisname van de gegevens. 7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk ongunslge gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet. 8. De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernslge nadelige gevolgen dan wel ernslge nadelige gevolgen heeg voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene. 9. Dit arlkel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicaledienst een kennisgeving heeg gedaan als bedoeld in arlkel 11.3a, eerste en tweede lid, van de TelecommunicaLewet. 10. Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht. 11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving.

57 College bescherming persoonsgegevens wordt Autoriteit Persoonsgegevens Uitbreiding bevoegdheden Cbp/AP in wetsvoorstel datalekken Toekomst: boete bevoegdheid tot ,- Nu alleen last onder dwangsom Het wordt serieus! AP: persoonsgegevens ACM: consumentenrechten

58 Er zijn zes categorieën: de eerste categorie, 405 ; de tweede categorie, 4.050; de derde categorie, 8.100; de vierde categorie, ; de vijfde categorie, ; de zesde categorie,

59

60 Spanningsveld Data lekken, Social Media / Big Data voor Verantwoordelijken en Bewerkers Beveiliging: Wat je niet hebt, niet te beveiligen Wat je niet hebt, kan niet lekken Wat niet idenlficeerbaar is, is een lager risico Bevoegdheid Cbp/Ap

61 Vragen?

62 Curriculum vitae: Nederlands recht specialisale strafrecht ( ) Beleidsmedewerker/onderzoeker RegistraLekamer ( ) Adjunct directeur DMSA ( ) CEO Singewald Consultants Group BV (1998- ) Alexander J.J.T. Singewald CEO Singewald Consultants Group BV Website: Adres: Weteringstraat BB Aalsmeer Postadres: Postbus AG Aalsmeer Telefoon: Telefax: E- mail: singewald@privacy.nl KvK: Twi`er: twi`er.com\scglaw Nevenfunc8es: Voorzi`er van de Geschillencommissie PromoLonele Producten; Secretaris Beroepscommissie Onderzoek en StaLsLek; Voorzi`er Commissie Regelgeving DDMA; Bestuurslid FEDMA; Lid Legal Affairs Commi`ee FEDMA; Legal Counsel ESOMAR; DM Man van het Jaar 2004 Erelid DDMA 2013 Houder CerLficate of GraLtude, Yonsei University, Seoul, Zuid Korea, 2012 Lid van Management Commi`e ConsultaLve Commi`ee, Universal Postal Union Lid Direct MarkeLng Advisory Board, Universal Postal Union