Zin en onzin over PRISM, Patriot Act en de Wet bescherming persoonsgegevens

Maat: px
Weergave met pagina beginnen:

Download "Zin en onzin over PRISM, Patriot Act en de Wet bescherming persoonsgegevens"

Transcriptie

1 Zin en onzin over PRISM, Patriot Act en de Wet bescherming persoonsgegevens Wet-en regelgeving met betrekking tot het verwerken van gegevens bij gebruik van IT-diensten Samengesteld door Schuberg Philis en Allen & Overy Februari 2014

2 2 White paper 2014

3 3 Inhoudsopgave 1. Inleiding 6 2. Soorten wet- en regelgeving 7 3.Wet bescherming persoonsgegevens & USA Patriot Act 8 4. Risico s in de praktijk Het beperken van risico s Conclusie 14 Annex 1 Frequently Asked Questions m.b.t de Wbp 15 Annex 2 Bepalingen van Amerikaans federaal recht 19 Annex 3 Overzicht van bepalingen 23 Annex 4 Cases 27 Annex 5 Nieuwe wetgeving 31 Annex 6 Risico s voor Nederlandse bedrijven 33

4 4 White paper 2014

5 5 Voorwoord Het publiek is in 2013 opgeschrikt door schandalen en bevestigde vermoedens van extreem gebruik en soms zelfs misbruik van spionagesystemen, met betrekking tot veilig geachte data in Nederland en daarbuiten. De balans tussen de onderzoekscapaciteiten van overheden en rechterlijkeen politieke controlemechanismen lijkt verstoord, in sommige gevallen is van controle zelfs geen sprake. In dezelfde periode is Nederland geconfronteerd met een hausse van DDoS-aanvallen op vitale onderdelen van de samenleving, waaruit de kwetsbaarheid van onze genetwerkte samenleving eens te meer blijkt. Ondertussen gaat de technologische groei in fors tempo door. Niet alleen groeit de hoeveelheid en het soort gegevens dat wordt verzameld en bewust of onbewust via netwerken toegankelijk wordt gemaakt, ook het vermogen om uit al deze data iets zinnigs te halen maakt een exponentiële ontwikkeling door: wat niet lang geleden een onbruikbare berg gegevens zou zijn geweest, wordt door de opkomst van nieuwe technologieën behapbaar, inzichtelijk en waardevol. De meetbare mens en maatschappij komen dichterbij... Dit alles speelt in een periode dat de Wet bescherming persoonsgegevens (Wbp) zal worden vervangen door een Europese Verordening. Indien het vervangend wetsvoorstel ongewijzigd blijft, kunnen als gevolg van deze verordening boetes worden opgelegd voor overtredingen, die tot maar liefst twee procent van de internationale omzet van een bedrijf kunnen oplopen. De maatschappij is geschrokken en het vertrouwen in overheden en bedrijven om zorgvuldig met persoonsgegevens om te gaan heeft een flinke deuk opgelopen. De vragen die wij in dit white paper behandelen zijn hoe bedrijven en overheden zich kunnen wapenen tegen het schenden van de vele regels en de risico s van enorme boetes en hoe zij het verlies van vertrouwen van consument en burger kunnen minimaliseren. Wij merken dat in de recente discussies over deze ontwikkelingen zin en onzin nogal eens door elkaar lopen. Dat heeft ons gemotiveerd om de feiten met betrekking tot de nationale en internationale wet- en regelgeving op een rij te zetten, in het bijzonder de Wbp en de USA Patriot Act. Wij behandelen vragen als: welke eisen legt de wetgever ons op? Wat is de relevantie van de USA Patriot Act? Wat zijn Safe Harbor-principles? Op welke wijze kan een Nederlands bedrijf zich wapenen tegen onbedoeld niet nakomen van de regelgeving? Welke risico s lopen bedrijven en organisaties als persoonsgegevens op straat komen te liggen? Met dit document willen wij de lezer een houvast bieden bij het navigeren tussen wetgeving, verantwoordelijkheid en risico s bij het contracteren van IT-diensten 1. Pim Berger Managing Director Schuberg Philis Herald Jongen Advocaat en Partner Allen & Overy 1 Volledigheidshalve merken wij op dat dit document geen juridisch advies bevat. Voor het bepalen van uw exacte juridische positie dient contact te worden opgenomen met de juridische afdeling of een advocaat.

6 6 White paper Inleiding Kenmerkend voor huidige IT-diensten is dat de technische infrastructuur doorgaans geografisch sterk is verspreid en dat de geleverde diensten zelf op hun beurt weer sterk geabstraheerd zijn van de daadwerkelijke locatie van de infrastructuur. Denk bijvoorbeeld aan de recente ontwikkelingen op het gebied van SaaS- en clouddiensten. Door het gebruik van deze diensten wordt het complexer om te bepalen waar persoonsgegevens zich daadwerkelijk bevinden. Dit geografisch verspreide karakter verhoudt zich vaak slecht tot de op landsgrenzen gebaseerde afbakening waarvan de meeste wetgeving uitgaat. We behandelen in dit White Paper twee veel besproken problemen die hiermee verband houden. Ten eerste het verbod dat in de Wbp is opgenomen om persoonsgegevens buiten de Europese Economische Ruimte (EER) 2 te verwerken. Ten tweede de mogelijkheid voor buitenlandse overheden om zich toegang te verschaffen tot persoonsgegevens die worden gehost bij een IT-Service Provider (IT-SP) In dit White Paper komt aan de orde: welke soorten wet- en regelgeving relevant zijn voor overdracht van persoonsgegevens buiten de EER, en toegang tot persoonsgegevens door buitenlandse overheden; wat dewbp en de Patriot Act daarover bepalen; wat in de praktijk belangrijke risico s zijn; en hoe die risico s beperkt kunnen worden. 2 Dit zijn de landen van de Europese Unie, aangevuld met Noorwegen, Ijsland en Liechtenstein.

7 7 2. Soorten wet- en regelgeving Door het geografisch verspreide karakter van IT-diensten kunnen meerdere rechtstelsels van toepassing zijn op de gegevens van organisaties die verwerkt worden of opgeslagen zijn binnen een IT-dienst. In grote lijnen kennen veel landen de volgende wetgevingskaders: (a) wetgeving betreffende privacy en/of bescherming van persoonsgegevens; Deze wetgeving ziet enerzijds op bescherming van privacy van de betrokken personen: het recht om sommige zaken voor jezelf te houden. Anderzijds ziet deze wetgeving erop toe dat personen controle kunnen uitoefenen op gegevens die anderen over hen bezitten. Deze wetgeving bevat in Europese landen ook beperkingen om gegevens door te geven buiten de EER. Naast wetgeving betreffende privacy en bescherming van persoonsgegevens, zijn ook relevant: (b) wetgeving betreffende strafrechtelijke onderzoeken; (c) wetgeving betreffende onderzoeken door toezichthouders en belastingdiensten; en (d) wetgeving betreffende inlichtingendiensten. Deze soorten wetgeving zien op bescherming van de algemene belangen, onder meer veiligheid, van de maatschappij. Ze kennen bevoegdheden toe aan overheden om inbreuk te maken op de privacy van personen, maar ook van bedrijven, om het algemeen belang te dienen. Deze bevoegdheden zijn met waarborgen en controlemiddelen omkleed.

8 8 White paper Wet bescherming persoonsgegevens & usa Patriot Act Voor een goed begrip van de hiervoor omschreven soorten wetgeving behandelen we de relevante bepalingen van de Wbp over doorgifte van persoonsgegevens buiten de EER en bepalingen van de Amerikaanse Patriot Act die toegang tot gegevens bij een IT-SP mogelijk maken. Deze wetgeving wordt uitgebreider behandeld in Annex 1 en 2, een overzicht van de relevante bepalingen is opgenomen in Annex 3. Wbp Als een organisatie gebruik maakt van een IT-SP bij het verwerken van persoonsgegevens voor haar activiteiten in Nederland is de Wbp van toepassing. Persoonsgegevens zijn heel ruim gedefinieerd (namelijk ieder tot een persoon herleidbaar gegeven) zodat vrijwel alle verzamelingen van data persoonsgegevens zullen bevatten (bijvoorbeeld in een SAP bestand de namen van contactpersonen bij crediteuren). Ook het begrip verwerken is ruim gedefinieerd. Zelfs het eenvoudig opslaan van een beperkt aantal persoonsgegevens door een IT-SP valt vaak al onder de reikwijdte van de Wbp 3. In de Wbp is een verbod opgenomen om persoonsgegevens door te geven buiten de EER 4. Dat doorgeven kan al bestaan uit het simpelweg buiten de EER raadpleegbaar maken van gegevens via bijvoorbeeld een remote desktop. Door het eerder genoemde geografisch verspreide karakter van IT-diensten, lopen organisaties daarom het risico dat ze niet voldoen aan de Wbp wanneer hun IT-SP gegevens wel buiten de EER worden verwerkt. Ook bestaat door die geografische spreiding het risico dat wet- en regelgeving van andere landen van toepassing is en dat die conflicteert met de Wbp. Dat kan onder andere het geval zijn als buitenlandse regelgeving, zoals bijvoorbeeld delen van de Patriot Act, een IT-SP verplicht om gegevens af te geven aan een buitenlandse overheid terwijl de Wbp die doorgifte juist verbiedt. De Wbp kent meerdere uitzonderingen op de regel dat persoonsgegevens niet buiten de EER mogen worden verwerkt. In de praktijk zijn de meest relevante uitzonderingen de volgende 5 : 1) Om het mogelijk te maken een dienst af te nemen van een IT-SP met een geografisch verspreide infrastructuur kan gebruik worden gemaakt van modelcontracten die de Europese Commissie heeft opgesteld. Op basis van deze modelcontracten is de doorgifte van persoonsgegevens naar landen buiten de EER toegestaan 6. Deze contracten dienen dan te worden afgesloten met de IT-SP. 2) Als gebruik gemaakt wordt van een Amerikaanse IT-SP, kan gekozen worden voor gebruik van een IT-SP die mee doet aan het Safe Harbor-programma. Dat is een zelfcertificeringsprogramma, waarin de Amerikaanse IT-SP verklaart zich te houden aan de beginselen van het Europese gegevensbeschermingsrecht. In beginsel is doorgifte aan een Safe Harbor IT-SP toegestaan mits de organisatie die de gegevens verstrekt controleert dat de IT-SP zich daadwerkelijk houdt aan de beginselen van het gegevensbeschermingsrecht. Dat kan bijvoorbeeld door een verklaring van een auditor te vragen. Deze oplossingen kunnen doorgifte buiten de EER mogelijk maken. Een organisatie die persoonsgegevens op deze basis doorgeeft moet zich overigens wel blijven houden aan zijn verplichtingen onder de Wbp, en daarom ook een vinger aan de pols houden of haar IT-SP ook in overeenstemming met de Wbp handelt. 3 Article 29 Data Protection Working Party Opinion 1/2010 on the concepts of controller and processor - docs/wpdocs/2010/wp169_en.pdf. Aangenomen wordt dat enkel het eenvoudige doorgeven van persoonsgegevens geen verwerken van persoonsgegevens is. 4 In andere landen binnen de EER bestaat wetgeving die gebaseerd is op dezelfde Europese regels als de Wbp en daarom erg vergelijkbaar is, ook voor wat betreft het verbod op doorgifte van gegevens buiten de EER. 5 In Annex 1 is een volledige lijst van uitzonderingen opgenomen. 6 Deze modelcontracten zijn te vinden op Het is van belang dat de contracten wel bindend zijn voor de IT-SP, en dat de IT-SP gedwongen kan worden om zijn verplichtingen na te komen. Zie hierover nader Annex 1.

9 9 Ook het begrip verwerken is ruim gedefinieerd. Zelfs het eenvoudigweg opslaan van een beperkt aantal persoonsgegevens door een IT-SP valt vaak al onder de reikwijdte van de Wbp USA Patriot Act Ook de Patriot Act wordt vaak aangehaald als een grote bedreiging voor het verwerken van persoonsgegevens bij een IT-SP, doordat de wet allerlei nieuwe bevoegdheden zou scheppen om Amerikaanse autoriteiten toegang te verschaffen tot data die gehost wordt bij een IT-SP. De Patriot Act is anders dan men vaak denkt geen wet die allerlei nieuwe bevoegdheden schept, maar een samenstel van (gewijzigde) bestaande bevoegdheden. Deze bevoegdheden bespreken we hieronder op hoofdlijnen. Kort gezegd hebben Amerikaanse autoriteiten de volgende bevoegdheden met betrekking tot IT-SP s: de bevoegdheid om opgeslagen gegevens te vorderen; de bevoegdheid om technische apparatuur of software te (laten) installeren waarmee gegevensverkeer onderschept kan worden; en de bevoegdheid om volledige geheimhouding te vorderen van de IT-SP met betrekking tot bovenstaande punten (gag order). Mogelijke gegevens die verzameld kunnen worden, zijn de identiteit van gebruikers of abonnees van een IT-SP en verkeersgegevens (meta data), maar ook de daadwerkelijke inhoud van opgeslagen of verzonden gegevens (content). Onder Amerikaans recht is toegang tot content aan zwaardere voorwaarden onderhevig dan toegang tot meta data. Ook is het onderscheppen van gegevens tijdens verzending of tijdens tijdelijke opslag gedurende verzending 7 onderhevig aan zwaardere voorwaarden dan het toegang verschaffen tot gegevens die opgeslagen staan. Opgeslagen gegevens kunnen worden gevorderd van een bedrijf of persoon die onder de Amerikaanse rechtsmacht valt en die possession, custody or control over die gegevens heeft. Met andere woorden, een bedrijf of persoon die over die gegevens kan beschikken. Het is dus niet direct relevant op welk grondgebied een Amerikaans bedrijf zijn gegevens opslaat (het kan dus ook de Nederlandse vestiging van een Amerikaans bedrijf betreffen), hoewel gegevens op Amerikaans grondgebied eerder onder possession, custody or control van een persoon of bedrijf zullen zijn. Het onderscheppen van gegevens kan door middel van installatie van apparatuur of software op Amerikaans grondgebied, ongeacht de bestemming of oorsprong van die gegevens. Ook het onderscheppen van gegevens door middel van gebruik van apparatuur buiten de Verenigde Staten lijkt mogelijk. De wet op grond waarvan dat mogelijk zou kunnen zijn, de Foreign Intelligence Surveillance Act, is daarover echter niet duidelijk 8. De waarborgen voor deze bevoegdheden zijn soms beperkt. Niet in alle gevallen is er een specifiek gerechtelijk bevel nodig. In sommige gevallen hoeft er zelfs geen vermoeden van een misdrijf of een bedreiging voor de nationale veiligheid te bestaan. Bij de uitoefening van sommige bevoegdheden kan bovendien geheimhouding worden opgelegd aan de betrokken IT-SP, zodat de klant van die IT-SP niet op de hoogte mag worden gesteld van de toepassing van die bevoegdheden door de autoriteit (gag order). Andere landen kennen vergelijkbare bevoegdheden als die van de Amerikaanse autoriteiten. Wel bijzonder is de brede Dat doorgeven kan al bestaan in het simpelweg buiten de EER raadpleegbaar maken van gegevens via, bijvoorbeeld, een remote desktop 7 In de zaak United States vs. Councilman worden gegevens die ter transmissie vluchtig opgeslagen worden niet als stored data gezien. 8 In beginsel mogen overheden niet ingrijpen op elkaars grondgebied, zo zou ook het zetten van een tap buiten Amerikaans grondgebied in beginsel niet mogen. Het is echter denkbaar dat op grond van medewerkingsverplichtingen die aan de IT-SP opgelegd zijn bij de Amerikaanse wet een IT-SP op bevel van een Amerikaanse autoriteit zelf een tap zet, of haar infrastructuur zo wijzigt dat vanuit Amerika getapt kan worden.

10 10 White paper 2014 Het is dus niet direct relevant op welk grondgebied een Amerikaans bedrijf zijn gegevens opslaat rechtsmacht die Amerikaanse autoriteiten hebben om deze bevoegdheden toe te passen. Amerikaanse autoriteiten hebben rechtsmacht over en kunnen dus een bevel geven aan: (a) rechtspersonen die zelf gevestigd zijn in de V.S. 9 ; (b) buitenlandse rechtspersonen die een vaste vestiging in de V.S. hebben; (c) buitenlandse rechtspersonen die stelselmatig en continu hun bedrijf uitoefenen in de V.S.; en (d) Amerikaanse burgers 10. Door deze ruime rechtsmacht zijn sommige niet-amerikaanse IT-SP s blootgesteld aan vorderingen tot het overleggen of onderscheppen van gegevens, zelfs als zij geen vestiging in de Verenigde Staten hebben. Bovendien is het mogelijk dat een Amerikaanse werknemer, onderaannemer of groepsmaatschappij van een niet-amerikaanse IT-SP toegang tot gegevens moet verschaffen als hij daarover possession, custody or control kan uitoefenen. Een ander belangrijk verschil met het recht van veel andere landen, waaronder de Europese Unie als geheel, is dat communicatie en gegevens van buitenlandse personen naar Amerikaans recht minder bescherming genieten dan communicatie waarbij Amerikanen betrokken zijn. Dit komt doordat buitenlandse personen in beginsel geen beroep kunnen doen op bescherming van de Amerikaanse grondwet. Die verbiedt doorzoekingen en inbeslagname zonder dat er sprake is van (i) een sterk vermoeden dat daarbij bewijs van een misdrijf zal worden gevonden; (ii) een gerechtelijk bevel; en (iii) een specificatie van de te doorzoeken locatie en het gezochte. Ook het aftappen of verzamelen van elektronische gegevens wordt gezien als een doorzoeking die onder de Fourth Amendement valt. Buitenlandse personen genieten in principe geen bescherming tegen dergelijke praktijken. Een indicatie van hoe ver de Amerikaanse autoriteiten gaan bij het uitoefenen van de hierboven beschreven bevoegdheden blijkt uit recente publicaties over onder andere PRISM (het opvragen van gegevens bij verschillende IT-SP s zoals Google, Microsoft, Facebook), MUSCULAR (het direct aftappen van verkeer in datacenters van Yahoo en Google zonder hun medeweten) en het zich toegang verschaffen tot Nederlandse en Franse telefoongesprekken 11. Ook moet worden opgemerkt dat bekend is dat de NSA ook buiten het bereik van haar toch al ruime bevoegdheden handelt 12. Ter verduidelijking van deze materie zijn in Annex 4 drie voorbeeldcases opgenomen waarbij wordt geanalyseerd of Amerikaanse autoriteiten toegang kunnen krijgen tot gegevens bij een IT-SP. Door deze ruime rechtsmacht staan sommige niet-amerikaanse IT-SP s bloot aan vorderingen tot het overleggen of onderscheppen van gegevens, zelfs als zij geen vestiging in de Verenigde Staten hebben. Bovendien is het mogelijk dat een Amerikaanse werknemer, onderaannemer of groepsmaatschappij van een niet-amerikaanse IT-SP toegang tot gegevens moet verschaffen 9 International Shoe Co. v. Washington. Zie ook Goodyear Dunlop Tires Operations, S.A. v. Brown voor een beschouwing over de vraag of het enkel hebben van een groepsmaatschappij in de VS rechtsmacht kan scheppen. Dit wordt vaak aangenomen, maar ligt genuanceerder. 10 USC Title 28 Section Voor een beknopt overzicht van de verschillende onthulde NSA programma s tot dusver, zie 12 Zie Wired Magazine, NSA Illegally Gorged on U.S. Phone Records for Three Years, door David Kravets, Kim Zetter, Kevin Poulson, com/threatlevel/2013/09/nsa-violations.

11 11 4. Risico s in de praktijk Organisaties moeten bij het gebruiken van een leverancier aandacht hebben voor de vraag of er persoonsgegevens buiten de EER doorgegeven worden (waarbij alleen al het toegankelijk maken van die gegevens genoeg kan zijn). Zo nodig moeten ze daar ook maatregelen voor treffen. Voldoen zij niet aan deze regels, dan kunnen zij aansprakelijk zijn voor de schade die daaruit voortvloeit (al is die vaak moeilijk te bewijzen) en kan er een boete worden opgelegd. Niet onbelangrijk in deze context is de inhoud van het huidige wetsvoorstel voor een Algemene verordening gegevensbescherming (zie Annex 5), die de Wbp zal gaan vervangen en ook beperkingen op doorgifte buiten de EER bevat. In deze verordening is vastgelegd dat de maximale boetes bij overtreding van regelgeving over de bescherming van persoonsgegevens kunnen oplopen tot 2% van de wereldwijde omzet van een organisatie. Ook moet zeker de kans op reputatieschade niet uit het oog verloren worden. Indien in de media breed uitgemeten wordt dat een bedrijf privacy regelgeving overtreedt kan dit grote schade opleveren. Naming and shaming wordt niet voor niets gezien als een van de belangrijkste handhavingsmiddelen van toezichthouders. Het is daarnaast van belang dat organisaties beseffen dat hun gecontracteerde IT-SP door Amerikaanse (of andere buitenlandse) autoriteiten verplicht kan worden om elektronische gegevens te verstrekken. Bovendien is het mogelijk dat dit gebeurt zonder dat de IT-SP dit mag mededelen aan de klant. Dit kan ertoe leiden dat de doorgiftebeperkingen uit de Wbp worden overtreden. In zo n geval is het van belang dat de organisatie er alles aan heeft gedaan om zorgvuldig met een dergelijke situatie om te gaan. Bijvoorbeeld door gedegen onderzoek te verrichten naar de IT-SP, het opleggen van een verplichting aan de IT-SP om gedwongen verstrekkingen van gegevens te melden (voor zover toegestaan) en om dergelijke verstrekkingen zo beperkt mogelijk te houden. Voor sommige gegevens moet een organisatie wellicht zelfs overwegen om gegevens niet onder te brengen bij een IT-SP. Ook los van conflicten met de Wbp kan toegang tot gegevens door de Amerikaanse (of andere) autoriteiten een risico zijn waar een organisatie goed over na moet denken. Een bedrijf dat bijvoorbeeld wapensystemen ontwikkelt voor defensie, of informatie bijhoudt over de economische stabiliteit of energieonafhankelijkheid van een land, doet er waarschijnlijk goed aan om de exposure ten opzichte van buitenlandse autoriteiten te beperken en moet twee keer nadenken voor ze haar infrastructuur bij een IT-SP onderbrengt en zo ja, bij welke. Wel moet op worden gemerkt dat buitenlandse autoriteiten ook buiten een IT-SP om direct via infrastructuur toegang kunnen krijgen tot gegevens. Aftappen van de New York Internet Exchange is een vaak genoemd voorbeeld. Hoewel dat vergezocht lijkt, blijken taps op infrastructuur inderdaad gebruikt te worden. Dat blijkt uit onthullingen over Amerikaanse spionagepraktijken, waarbij inderdaad taps op live internetverkeer zijn gezet 13, en het Britse spionageprogramma TEMPORA 14, waarbij taps zijn gezet op de trans-atlantische internetkabels. Ook is het zo dat tussen overheden al sinds jaar en dag verdragen bestaan op grond waarvan ze elkaar onderling toestaan opsporingsbevoegdheden op hun eigen territoir uit te oefenen, of anderszins gegevens te delen. Dit zijn echter al met al hogere drempels om te passeren dan simpelweg afgifte van de gegevens bevelen van een IT-SP. 13 Wired Magazine, Declassified Documents Prove NSA Is Tapping the Internet, David Kravets, nsa-tapping-internet/. 14 The Guardian, GCHQ taps fibre-optic cables for secret access to world s communications, Ewen MacAskill, Julian Borger, Nick Hopkins, Nick Davies and James Ball,

12 12 White paper Het beperken van risico s De hiervoor omschreven risico s zijn niet helemaal uit te sluiten. Ze zijn wel deels te beheersen. Wel moet hier een onderscheid gemaakt worden tussen multinationals en bedrijven die met name in Nederland of Europa opereren. Nederlands- of Europees opererende bedrijven Organisaties die enkel binnen Nederland of op Europees niveau opereren, zoals overheidsinstanties, hebben meer mogelijkheden dan multinationals om de besproken risico s af te dekken. Beperkingen van doorgifte die uit de Wbp voortvloeien, kunnen het hoofd worden geboden door een beroep te doen op één van de eerder genoemde uitzonderingen op de Wbp en gebruik te maken van modelcontracten die de Europese Commissie heeft opgesteld, of door middel van het gebruik van een Amerikaanse IT-SP die voldoet aan de Safe Harbor-principles. Europees- of enkel in Nederland opererende bedrijven kunnen bovendien ook kiezen om gebruik te maken van een IT-SP die geen infrastructuur buiten de EER gebruikt bij zijn dienstverlening aan de betreffende klant. Zo wordt de doorgifte beperking niet overtreden. In dat geval is wel nodig dat de klant van de IT-SP kan toetsen dat de persoonsgegevens inderdaad niet buiten de EER worden verwerkt. Bij internationale IT-SP s die een wereldwijde infrastructuur hebben, maar een deel daarvan afschermen als European cloud, waaronder bijvoorbeeld Amazon, kan het lastig zijn om zo n audit uit te voeren, of wordt dit zelfs geweigerd. Dat gaat gemakkelijker bij een puur lokale partij. Het risico van toegang door buitenlandse autoriteiten is moeilijker te beheersen. Hier kan met name bescherming worden ontleend uit het kiezen van een lokale IT-SP die niet onder buitenlandse regelgeving valt en daarom niet mee hoeft te werken aan een bevel van buitenlandse autoriteiten. Voor wat betreft Amerikaanse wetgeving zijn de vereisten om buiten de Amerikaanse rechtsmacht te vallen wel streng. Er moet een IT-SP geselecteerd worden die amper of geen banden met Amerika heeft en die geen Amerikaanse werknemers heeft, althans geen die toegang hebben tot de gegevens (ring fencing). Naast de selectie van de juiste IT-SP, kunnen ook technische beschermingsmaatregelen nuttig zijn. Versleuteling van gegevens kan op twee vlakken behulpzaam zijn. Ten eerste zijn versleutelde gegevens niet leesbaar voor derden zonder hulp van de organisatie zelf, zodat er bescherming ontstaat tegen toegang door buitenlandse autoriteiten. Er bestaat wel enige discussie over hoe sterk de anti-encryptie capaciteiten van bijvoorbeeld de Amerikaanse overheid inmiddels zijn 15. Ten tweede worden versleutelde gegevens niet als persoonsgegeven gezien voor een persoon die ze niet kan ontsleutelen, zodat doorgifte in versleutelde vorm aan zo n persoon geen doorgifte in de zin van de Wbp is 16. De versleuteling moet in deze gevallen wel voor verzending plaatsvinden en de gegevens moeten ook op de plaats van opslag en tijdens de verzending van en naar de plaats van opslag versleuteld blijven. De IT-SP moet de gegevens niet kunnen ontsleutelen. In de praktijk zijn de toepassingen hiervan dus grotendeels beperkt tot eenvoudige opslag. In Annex 6 is een schematisch overzicht opgenomen van de risico s voor Nederlandse bedrijven. 15 Er zijn redenen om te vermoeden dat de NSA veel soorten versleuteling inmiddels kraken kan. Zie onder meer Wired Magazine, NSA s Decade-Long Plan to Undermine Encryption Includes Backdoors, Stolen Keys, Manipulating Standards, Kim Zetter, nsa-backdoored-and-stole-keys/, en The New York Times, N.S.A. Able to Foil Basic Safeguards of Privacy on the Web, Nicole Perlroth, Jeff Larson, Scott Shane, Er wordt echter ook anders over gedacht. Zie bijvoorbeeld Wired Magazine, What Exacly Are the NSA s Groundbreaking Cryptanalytic Capabilities?, Bruce Scheier, opinion/2013/09/black-budget-what-exactly-are-the-nsas-cryptanalytic-capabilities/. 16 Article 29 Data Protection Working Party Opinion 4/2007 on the concept of personal data wpdocs/2010/wp169_en.pdf. Aangenomen wordt dat enkel het eenvoudige doorgeven van persoonsgegevens geen verwerken van persoonsgegevens is, blz. 18.

13 13 Multinationals Voor multinationals met vestigingen buiten Nederland en Europa zijn de risico s minder goed beheersbaar. Vanuit het perspectief van de Wbp bezien zullen deze bedrijven soms niet de optie hebben gegevens enkel binnen de EER te verwerken, omdat de gegevens nu eenmaal ook buiten de EER nodig zijn. Gebruik van een aanbieder die zijn gehele relevante infrastructuur voor de verwerking van gegevens enkel in Nederland of Europa heeft is daardoor niet altijd mogelijk (of wenselijk). Doorgaans zullen multinationals modelcontracten gebruiken die doorgifte buiten de EER mogelijk maken. Die contracten kunnen met de nodige aanpassingen ook in worden gezet voor gebruik met een IT-SP. Voor wat betreft toegang door andere overheden hebben multinationals een beduidend lastiger positie dan organisaties die binnen één, of slechts een paar landen opereren. Omdat multinationals in meerdere landen vestigingen hebben, kunnen ze in die landen zelf bevolen worden gegevens af te geven of te laten onderscheppen. Neem het voorbeeld van toegang door Amerikaanse autoriteiten: er is een goede kans dat een multinational met een vestiging of dochtermaatschappij in Amerika zelf vatbaar is voor een bevel om gegevens te verstrekken die zich in Europa bevinden bij een groepsmaatschappij, met name als die dochter of vestiging technisch in directe verbinding staat met de rest van het bedrijfsnetwerk. Het gebruik van een puur Nederlands opererende IT-SP zonder banden met het buitenland kan daartegen dan geen bescherming bieden. Een extra nadeel dat geldt bij het opvragen van de gegevens bij een IT-SP, is dat het mogelijk is dat de multinational hiervan niet op de hoogte is en zich er daarom niet tegen kan proberen te verzetten. Voor wat betreft Amerikaanse wetgeving zijn de vereisten om buiten de Amerikaanse rechtsmacht te vallen wel streng. Er moet een IT-SP geselecteerd worden die amper of geen banden met Amerika heeft en die geen Amerikaanse werknemers heeft, althans geen die toegang hebben tot de gegevens (ring fencing) Naast de selectie van de juiste IT-SP, kunnen ook technische beschermingsmaatregelen nuttig zijn

14 14 White paper Conclusie Organisaties moeten bij het gebruik van IT-SP s aandacht hebben voor privacywetgeving die de verwerking van gegevens buiten de EER verbiedt. Organisaties dienen zich ook bewust te zijn van het risico dat gegevens die zij bij een IT-SP opslaan in sommige gevallen toegankelijk zullen kunnen zijn voor de Amerikaanse overheid. Dat is geen specifiek Amerikaanse bevoegdheid, veelal zullen ook andere overheden zich toegang kunnen verschaffen. Al met al moeten de risico s gemoeid met het inschakelen van een IT-SP worden afgewogen tegen de operationele voordelen die het gebruik van die IT-SP mee kan brengen. Een beperkt risico op overtreding van de Wbp, of toegang tot gegevens door buitenlandse autoriteiten, zal in sommige gevallen moeten wijken om de grotere risico s te mitigeren die door een instabiel of onveilig IT-systeem worden veroorzaakt. Een voorbeeld van een dergelijke afweging is het gebruik van een IT-dienst van een Amerikaanse dienstverlener om het risico van DDoSaanvallen op een Nederlandse site te beperken. Daarbij moet er acht op worden geslagen dat de risico s verschillen voor multinationals enerzijds en slechts op Nederlands of Europees niveau opererende organisatie anderzijds. Voor Nederlands of Europees opererende bedrijven en overheden zijn de risico s beter te beheersen. Met name kan het voor hen voordelen hebben om een lokale IT-SP te gebruiken die geen banden heeft met het buitenland, zijn infrastructuur ook lokaal heeft en geen Amerikaanse werknemers heeft, althans geen die toegang hebben tot bepaalde gegevens (ring fencing). Een beperkt risico op overtreding van de Wbp, of toegang tot gegevens door buitenlandse autoriteiten, zal in sommige gevallen moeten wijken om de grotere risico s te mitigeren, die door een instabiel of onveilig IT-systeem worden veroorzaakt

15 15 Annex 1 Frequently Asked Questions m.b.t. de Wbp

16 16 White paper 2014 Wat is de Wbp? 1) De Wbp regelt hoe en wanneer persoonsgegevens gebruikt mogen worden. Het is de Nederlandse implementatie van Europese Richtlijn 95/46/EC. Deze Richtlijn is in de hele Europese Unie en een aantal andere landen geïmplementeerd in eigen wetgeving. De basisprincipes zijn daardoor binnen de Europese Unie grotendeels gelijk. Op detailniveau bestaan er wel verschillen. Wat is een persoonsgegeven? 2) Een persoonsgegeven is elk gegeven dat door diegene die erover beschikt, met de middelen die hem ter beschikking staan, redelijkerwijs te herleiden is tot een identificeerbaar natuurlijk persoon. Wanneer heb ik te maken met de Wbp? 3) Als je een persoonsgegeven verwerkt. Bijna iedere handeling met betrekking tot een persoonsgegeven is een verwerking: opslaan, kopiëren, vergelijken, verzenden, comprimeren, versleutelen, enzovoorts. Ook het doorgeven van persoonsgegevens aan een derde is een verwerking. De enige uitzondering van het begrip verwerken is het simpelweg toestaan dat persoonsgegevens over jouw infrastructuur worden doorgegeven zonder dat jij invloed op de gegevens kúnt hebben. Wat zijn mijn verantwoordelijkheden? 4) De partij die de doelen en de middelen van de verwerking van persoonsgegevens bepaalt ( wij gaan adressen verwerken om mailings te kunnen sturen door middel van CRM-Systeem ABC ), is eindverantwoordelijk voor de verwerking: de verantwoordelijke. Als je een IT-SP inschakelt, ben jij dat meestal. De Wbp legt dan meerdere verplichtingen op die je na moet komen: (a) je mag alleen voor een specifiek doel persoonsgegevens verwerken en alleen de gegevens die voor dat doel echt nodig zijn; (b) je mag de gegevens niet verder verwerken voor doelen die onverenigbaar zijn met degene waarvoor je ze hebt verzameld (als vuistregel, om verenigbaar te zijn moet de betrokken persoon verdere verwerking redelijkerwijs hebben kunnen verwachten toen hij zijn gegevens verstrekte); (c) je moet de verwerking, het doel ervan en je identiteit als verantwoordelijke melden aan de betrokken personen en (soms) inschrijven in het openbare meldingen register; (d) de verantwoordelijke moet zorgen voor afdoende technische en organisatorische beveiliging (ook tegen verlies) van de persoonsgegevens en de juistheid en nauwkeurigheid van de te verwerken gegevens;

17 17 (e) je moet een legitieme reden (grondslag in het jargon) hebben om persoonsgegevens voor dat doel te verwerken, de meest voor de hand liggende zijn: (i) je hebt toestemming 17 ; (ii) je moet de gegevens verwerken om een contract uit te kunnen voeren; (iii) je moet de gegevens verwerken om een wettelijke verplichting na te komen; of (iv) je hebt een gerechtvaardigd belang om de gegevens te verwerken, terwijl de privacy van de betrokkene minder zwaar weegt. (f) je moet de betrokken personen hun gegevens laten inzien en waar nodig corrigeren (of verwijderen als je ze niet meer nodig hebt) Waarop moet ik letten als ik een IT-SP inschakel: 5) Als je een IT-SP inschakelt om gegevens voor je te verwerken doet deze dat onder jouw verantwoordelijkheid, namelijk als bewerker. Je moet dan met de IT-SP een bewerkersovereenkomst sluiten. In deze bewerkersovereenkomst moet je opnemen dat de IT-SP de persoonsgegevens vertrouwelijk behandelt, dat hij deze adequaat beveiligt en dat de persoonsgegevens alleen op jouw instructie verwerkt worden. Je moet er ook op toezien dat de IT-SP deze verplichtingen naleeft, bijvoorbeeld door een audit. Met betrekking tot IT-SP s is er bovendien een aantal andere zaken waarop je extra moet letten (deze kunnen zelfs relevant zijn als je geen persoonsgegevens, maar andere gegevens laat verwerken). Het is belangrijk dat je in de overeenkomst met de IT-SP bepalingen opneemt over 18 : (a) beveiliging tegen verlies van de gegevens (zoals availability en back-up eisen); (b) de juistheid en integriteit van de gegevens (zoals beveiligingseisen, logging en auditing); (c) de mogelijkheid om je gegevens in een gangbaar formaat terug te vragen van de IT-SP, of bij een andere IT-SP onder te brengen indien nodig (ook na beëindiging van het contract); (d) de mogelijkheid de gegevens te verwijderen wanneer ze niet meer nodig zijn, inclusief eventuele back-ups van die gegevens en log data (recht op verwijdering); (e) de mogelijkheid om het inschakelen van derden door de IT-SP goed-of af te keuren en daaraan voorwaarden te verbinden; (f) de mogelijkheid om informatie te krijgen over de locaties waar de IT-SP de gegevens verwerkt (hiernaar moet je voorafgaand aan het aangaan van je contract ook informeren); (g) meldingen als er ongeoorloofde toegang is geweest tot de gegevens of als de IT-SP gegevens heeft moeten verstrekken op grond van een wettelijk verplichting; en verplichtingen voor de IT-SP alle handelingen uit te voeren die nodig zijn voor jou om aan de Wbp (en eventueel andere wetgeving, zoals de Wet op het financieel toezicht) te voldoen (zoals het laten inzien, corrigeren en verwijderen van gegevens door betrokken personen). 17 Toestemming geldt alleen als de betrokken persoon volledig geïnformeerd is en daadwerkelijk een keuze had. Als hij niet anders kan dan toestemming geven om je dienst te blijven gebruiken, geldt dat bijvoorbeeld niet en moet er een andere grondslag gebruikt worden. 18 Article 29 Data Protection Working Party Opinion 05/2012 on Cloud Computing - documentation/opinion-recommendation/files/2012/wp196_en.pdf.

18 18 White paper 2014 Wanneer mag ik gegevens buiten de EER verwerken (volledige opsomming)? 6) Als je persoonsgegevens buiten de EER wilt (laten) verwerken, moet een van de volgende uitzonderingen van toepassing zijn 19 : (a) de overdracht vindt plaats naar een bewerker of andere verantwoordelijke waarmee een contract is afgesloten waarin de modelcontractbepalingen voor doorgifte zijn opgenomen, zoals die zijn vastgesteld door de Europese Commissie; (b) de overdracht vindt plaats naar een bewerker in de VS, die gecertificeerd is in het Safe Harbor-programma; (c) je hebt een vergunning van de Minister van Justitie voor de overdracht; (d) je kunt zelf garanderen dat het land een passend beschermingsniveau biedt (dit kan eigenlijk niet zonder volledige analyse van wetgeving en toezicht in dat land); (e) je hebt voor de overdracht ondubbelzinnige toestemming gekregen van de betrokken personen; (f) de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen jou en de betrokken personen, of voor het nemen van precontractuele maatregelen die noodzakelijk zijn voor het sluiten van een overeenkomst, naar aanleiding van een verzoek van de betrokken persoon; (g) de doorgifte is noodzakelijk voor de sluiting of uitvoering van een in het belang van de betrokken persoon tussen jou en een derde gesloten of te sluiten overeenkomst; (h) de doorgifte is noodzakelijk vanwege een zwaarwegend algemeen belang, of voor de vaststelling, de uitvoering, of de verdediging in rechte van enig recht; (i) de doorgifte is noodzakelijk ter vrijwaring van een vitaal belang (een belang van leven of dood) van de betrokken persoon; of (j) de doorgifte geschiedt vanuit een register dat bij wettelijk voorschrift is ingesteld en dat voor eenieder, dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging. 7) Let wel, overdracht op grond van (e) tot en met (h) is alleen toegestaan voor overdrachten die niet grootschalig of regelmatig plaatsvinden 20. Met betrekking tot verwerking door IT-SP s bieden deze gronden daarom doorgaans geen uitkomst. 8) Bij IT-SP s zal met name het gebruik van modelcontracten (uitzondering (a)) een goede basis bieden. Safe Harbor-certificatie (uitzondering (b)), waarin een IT-SP zelf aangeeft een toereikend beschermingsniveau te bieden, biedt alleen uitkomst als de gegevens alleen in de VS worden verwerkt en dat zal juist bij IT-SP s niet altijd zo zijn. Bovendien dien je te onderzoeken of die IT-SP inderdaad aan zijn Safe Harbor-verplichtingen voldoet, bijvoorbeeld door een verklaring van een auditor te vragen. Het aanvragen van een vergunning bij de Minister van Justitie (uitzondering (c)) maakt ook alleen uitvoer van gegevens naar een specifiek land mogelijk. Er moet daarbij ook rekening gehouden worden met het feit dat een dergelijk aanvraag een lange administratieve procedure is. 9) Let wel, als verwerking buiten de EER mogelijk is door toepassing van een van deze uitzonderingen, ontslaat dat je nog niet van de verplichtingen ten aanzien van de verwerking van persoonsgegevens zoals we hierboven al opsomden. 19 Behalve Andorra, Argentinië, Australië, Canada, Faroer Eilanden, Guernsey, Isle of Man, Israel Jersey, Uruguay, Zwitersland. Deze landen beschermen persoonsgegevens voldoende. 20 Article 29 Data Protection Working Party Working Document 12/1998: Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive, Adopted by the Working Party on 24 July 1998 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/ 1998/wp12_en.pdf).

19 19 Annex 2 Bepalingen van Amerikaans federaal recht

20 20 White paper 2014 Hieronder behandelen we de bepalingen onder Amerikaans federaal recht die de meest vergaande bevoegdheden scheppen voor toegang tot data bij een IT-SP. We gaan niet in op bepalingen die met uitgebreide waarborgen omkleed zijn, bepalingen die niet zien op inhoudelijke gegevens maar enkel verkeersgegevens of identificerende gegevens van gebruikers 21, of bepalingen waarvan het onwaarschijnlijk is dat ze tegenover een IT-SP zullen worden toegepast 22. ECPA ) Op grond van ECPA 2703 mogen Amerikaanse overheidsinstanties opgeslagen elektronische gegevens opvragen in het kader van een onderzoek. De wijze waarop dit kan verschilt naar gelang (i) het soort gegevens (inhoud van de communicatie, gebruikersgegevens, of andere gegevens), (ii) de duur waarvoor de gegevens opgeslagen zijn geweest (korter of langer dan 180 dagen) en (iii) de gebruiker van wie de gegevens opgevraagd worden daarvan melding krijgt. Voor IT-SP s is het met name van belang dat alle soorten elektronische gegevens die langer dan 180 dagen opgeslagen zijn geweest bij een IT-SP door een bevoegd ambtenaar zonder gerechtelijk bevel opgevraagd kunnen worden. Voorwaarde is wel dat daarvan melding gemaakt wordt aan de betrokken gebruiker en dat deze gegevens enige relevantie hebben voor het lopende onderzoek. Met een gerechtelijk doorzoekingsbevel, de zwaarste rechterlijke toets, kunnen alle soorten gegevens opgevraagd worden, ongeacht de duur van de opslag. Foreign Intelligence Surveillance Act (FISA), Section ) Op grond van USC Title 50, Section 1861 kan de directeur van de FBI of een gemandateerde agent van toereikend niveau van eenieder, waaronder een IT-SP, alle soorten opgeslagen elektronische gegevens opvragen. Voorwaarde is dat de gegevens relevant zijn voor een onderzoek naar spionage of terrorisme, of om foreign intelligence information te verzamelen met betrekking tot een buitenlands persoon. Foreign intelligence information wordt ruim uitgelegd. Hieronder wordt kortweg alle informatie verstaan die relevant is voor de Verenigde Staten om zich te verdedigen tegen (i) aanvallen van andere landen en terroristen, (ii) spionage, en (iii) de verspreiding van massavernietigingswapens, evenals alle informatie met betrekking tot een land of regio die relevant is voor de buitenlandse betrekkingen van de Verenigde Staten. Voor toepassing van deze bevoegdheid moet de FBI wél een gerechtelijk bevel vragen van de Foreign Intelligence Surveillance Court. De waarborgen hiervan zijn echter beperkt tot het voldoen aan de formele criteria die hierboven vermeld zijn. Deze beperkte toetsing is een gevolg van het feit dat, anders dan Amerikaanse burgers, buitenlandse personen geen beroep toekomt op bescherming door de Fourth Amendment van de Amerikaanse grondwet. De Fourth Amendment ziet toe op het verbod op doorzoekingen en inbeslagname zonder dat er sprake is van (i) een sterk vermoeden dat daarbij bewijs van een misdrijf zal worden gevonden, (ii) een gerechtelijk bevel en (iii) een specificatie van de te doorzoeken locatie en het gezochte. Ook het verzamelen van elektronische gegevens valt hieronder NB Ook verkeersgegevens en identificerende gegevens (meta data) kunnen een belangrijke informatiebron vormen. Dergelijke informatie kan met name nuttig zijn om netwerken en verbanden te ontdekken en zo doelwitten te identificeren voor verdergaand toezicht. 22 Federal Rules of Criminal Procedure, Rule 41, Title 18 Section 2516, Title 18 Section 2709, Title 18 Section 3123, Title 50 Section 1804, Title 50 Section We laten de bepalingen van afzonderlijke Staten buiten beschouwing. 23 Buitenlandse personen kunnen überhaupt geen beroep doen op de bescherming van de Amerikaanse grondwet. Ze worden ook in andere wettelijke bepalingen achtergesteld bij Amerikaanse staatsburgers. De definitie van Foreign Intelligence Information ten aanzien is bijvoorbeeld subtiel anders, ten aanzien van Amerikanen. Bij hen dient de gezochte informatie niet relevant, maar noodzakelijk te zijn.

Beveiliging van persoonsgegevens

Beveiliging van persoonsgegevens R e g i s t r a t i e k a m e r G.W. van Blarkom drs. J.J. Borking VOORWOORD Beveiliging van Achtergrondstudies en Verkenningen 23 G.W. van Blarkom drs. J.J. Borking Beveiliging van Achtergrondstudies

Nadere informatie

Camera s in het publieke domein. Privacynormen voor het cameratoezicht op de openbare orde INHOUD. A.H.C.M. Smeets

Camera s in het publieke domein. Privacynormen voor het cameratoezicht op de openbare orde INHOUD. A.H.C.M. Smeets ACHTERGRONDSTUDIES EN VERKENNINGEN 28 A.H.C.M. Smeets Camera s in het publieke domein INHOUD Privacynormen voor het cameratoezicht op de openbare orde A.H.C.M. Smeets Camera s in het publieke domein INHOUD

Nadere informatie

Privacy: checklist voor. de ondernemingsraad. Juliana van Stolberglaan -10 Postbus 93374 2509 AJ Den Haag INHOUD

Privacy: checklist voor. de ondernemingsraad. Juliana van Stolberglaan -10 Postbus 93374 2509 AJ Den Haag INHOUD COLLEGE BESCHERMIN G PERSOONSGEGEVENS Juliana van Stolberglaan -10 Postbus 93374 2509 AJ Den Haag TELEFOON 070 888 85 00 X 070 888 85 01 MAIL info@cbpweb.nl INTERNE T www.cbpweb.nl Privacy: checklist voor

Nadere informatie

Het recht op bescherming van persoonsgegevens

Het recht op bescherming van persoonsgegevens Hoofdstuk 7. Het recht op bescherming van persoonsgegevens Friederike van der Jagt 1. Inleiding Het recht op bescherming van persoonsgegevens maakt deel uit van het recht op privéleven, ofwel het recht

Nadere informatie

L276_14_Bewaren en Bewijzen:L276_14_Bewaren en bewijzen 20-03-2007 14:31 Pagina A Bewaren en Bewijzen

L276_14_Bewaren en Bewijzen:L276_14_Bewaren en bewijzen 20-03-2007 14:31 Pagina A Bewaren en Bewijzen Bewaren en Bewijzen Bewaren en Bewijzen Een productie van: Colofon Dit is een uitgave van ECP.NL. Deze uitgave is een volledige herziening van de uitgave Bewaren en bewijzen (1998) van ECP.NL en het Nederlands

Nadere informatie

Bij twijfel niet gebruiken?

Bij twijfel niet gebruiken? Bij twijfel niet gebruiken? Een verkenning naar oplossingen voor belemmeringen bij het gebruik van persoonsgegevens uit basisregistraties inup, Programma Stelsel van Basisregistraties, cluster STOUT Koen

Nadere informatie

Eigen gegevens, eigen regie?

Eigen gegevens, eigen regie? ? advies over de juridische en organisatorische consequenties van 'eigenaarschap' van persoonsgegevens die binnen de overheid worden verwerkt adviseurs: drs. E.B.M Schoenmakers CMC mr. W.E.H. Sloots mr.dr.

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 1997 1998 25 892 Regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens) Nr. 3 MEMORIE VAN TOELICHTING 1 INHOUDSOPGAVE Algemeen

Nadere informatie

Goed werken in netwerken

Goed werken in netwerken ACHTERGRONDSTUDIES EN VERKENNINGEN 21 START J.H.J. Terstegge Regels voor controle op e-mail en internetgebruik van werknemers Goed werken in netwerken COLLEGE BESCHERMING PERSOONSGEGEVENS ACHTERGRONDSTUDIES

Nadere informatie

Gegevensuitwisseling in de bemoeizorg

Gegevensuitwisseling in de bemoeizorg Handreiking Gegevensuitwisseling in de bemoeizorg GGD GHOR Nederland GGZ Nederland KNMG September 2014 a Inhoudsopgave Inhoudsopgave...1 Aanleiding...2 Uitgangspunten voor gegevensuitwisseling bij bemoeizorg...5

Nadere informatie

V an p r i va c yp a r ad ij s to t c on t r o le st a at?

V an p r i va c yp a r ad ij s to t c on t r o le st a at? Bw. Studie 49 23-01-2007 14:39 Pagina 1 V an p r i va c yp a r ad ij s to t c on t r o le st a at? M i s da ad - e n t e r r e u r b e s t r ij d in g in N e d e r l a n d a an h e t be g i n va n de 21

Nadere informatie

Hoe de Privacywet toepassen in historisch onderzoek?

Hoe de Privacywet toepassen in historisch onderzoek? Hoe de Privacywet toepassen in historisch onderzoek? Adres van de Commissie: Commissie voor de bescherming van de persoonlijke levenssfeer Espace Jacqmotte Hoogstraat 139 1000 Brussel T: +32 (0)2 213 85

Nadere informatie

Brandstof voor de opsporing

Brandstof voor de opsporing Brandstof voor de opsporing Brandstof voor de opsporing Evaluatie Wet bevoegdheden vorderen gegevens Toine Spapens Mirjam Siesling Ellen de Feijter Boom Juridische uitgevers Den Haag 2011 2011 WODC, ministerie

Nadere informatie

achtergrondstudies en verkenningen 27 De zieke werknemer en privacy Regels voor de verwerking van persoonsgegevens van zieke werknemers

achtergrondstudies en verkenningen 27 De zieke werknemer en privacy Regels voor de verwerking van persoonsgegevens van zieke werknemers achtergrondstudies en verkenningen 27 De zieke werknemer en privacy Regels voor de verwerking van persoonsgegevens van zieke werknemers 2e herziene druk, februari 2008 achtergrondstudies en verkenningen

Nadere informatie

Ministerie van Volksgezondheid, Welzijn en Sport. De Wet medisch-wetenschappelijk onderzoek met mensen

Ministerie van Volksgezondheid, Welzijn en Sport. De Wet medisch-wetenschappelijk onderzoek met mensen Ministerie van Volksgezondheid, Welzijn en Sport W M O De Wet medisch-wetenschappelijk onderzoek met mensen W M O De Wet medisch-wetenschappelijk onderzoek met mensen Inhoudsopgave Inleiding 4 1. Wat regelt

Nadere informatie

Eerste Hulp Bij Internet Rechtswinkel de Clinic clinic.nl

Eerste Hulp Bij Internet Rechtswinkel de Clinic clinic.nl + Eerste Hulp Bij Internet Rechtswinkel de Clinic Inleiding: Internet is gigantisch. Het is niet meer weg te denken uit onze samenleving. Internet is toegankelijk vóór iedereen en te gebruiken dóór iedereen.

Nadere informatie

Dit document maakt gebruik van bladwijzers.

Dit document maakt gebruik van bladwijzers. Dit document maakt gebruik van bladwijzers. NBA-handreiking 1124 Richtsnoeren ter voorkoming van witwassen en financieren van terrorisme (WWFT) voor belastingadviseurs en accountants Februari 2014 Voor

Nadere informatie

Leidraad zorgvuldig adviseren over vermogensopbouw. De klant centraal bij financieel dienstverleners

Leidraad zorgvuldig adviseren over vermogensopbouw. De klant centraal bij financieel dienstverleners Leidraad zorgvuldig adviseren over vermogensopbouw De klant centraal bij financieel dienstverleners Autoriteit Financiële Markten De AFM bevordert eerlijke en transparante financiële markten. Wij zijn

Nadere informatie

Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens

Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens Gecoördineerde versie, zoals laatst gewijzigd door de wet van 11 december 1998,

Nadere informatie

Eerste hulp bij. aanbesteden. Over valkuilen en hoe ze te vermijden [EHBA]

Eerste hulp bij. aanbesteden. Over valkuilen en hoe ze te vermijden [EHBA] Over valkuilen en hoe ze te vermijden Eerste hulp bij aanbesteden Voorwoord Beste ondernemer, Voor u ligt de vernieuwde versie van Eerste Hulp Bij Aanbesteden. Deze handleiding is een coproductie van Van

Nadere informatie

Wij Beatrix, bij de gratie Gods, Koningin der Nederlanden, Prinses van Oranje-Nassau, enz. enz. enz.

Wij Beatrix, bij de gratie Gods, Koningin der Nederlanden, Prinses van Oranje-Nassau, enz. enz. enz. Voorstel van wet van het lid Van der Steur tot wijziging van de Algemene wet bestuursrecht en de Algemene wet inzake rijksbelastingen ter bevordering van het gebruik van mediation in het bestuursrecht

Nadere informatie

Toezicht op herbeoordelingen door banken van rentederivaten bij het nietprofessionele

Toezicht op herbeoordelingen door banken van rentederivaten bij het nietprofessionele Rapportage rentederivatendienstverlening aan het MKB Toezicht op herbeoordelingen door banken van rentederivaten bij het nietprofessionele MKB Maart 2015 3333 Autoriteit Financiële Markten De AFM bevordert

Nadere informatie

Wet We - t - en e n re r g e e g l e g l e g v e i v n i g voo vo r or spo sp r ortve v r e e r nigi enig nge ing n

Wet We - t - en e n re r g e e g l e g l e g v e i v n i g voo vo r or spo sp r ortve v r e e r nigi enig nge ing n Wet- en regelgeving voor sportverenigingen Colofon Deze uitgave is ontwikkeld vanuit de samenwerking van NOC*NSF en Ernst & Young als partners in sport. Verantwoordelijk voor de inhoud zijn NOC*NSF, Ernst

Nadere informatie

Beleidsregel. gegevensverwerking in het sociale domein

Beleidsregel. gegevensverwerking in het sociale domein Beleidsregel gegevensverwerking in het sociale domein 1 INHOUDSOPGAVE 1. Inleiding 2. Ontwikkelingen in het sociale domein 2.1 Wijknetwerk en wijkteams 2.2 Werk en Inkomen 3. Uitgangspunten voor beleid

Nadere informatie

Een Verordening Marktmisbruik: wat gaat er straks veranderen?

Een Verordening Marktmisbruik: wat gaat er straks veranderen? Een Verordening Marktmisbruik: wat gaat er straks veranderen? Mr. J.T. de Jong 1 1 Inleiding Op 20 oktober 2011 kondigde de Europese Commissie (Commissie) aan de huidige Richtlijn Marktmisbruik 2 (algemeen

Nadere informatie

Privacy statement. Vodafone Libertel B.V. Januari 2015. Vodafone.nl

Privacy statement. Vodafone Libertel B.V. Januari 2015. Vodafone.nl Privacy statement Vodafone Libertel B.V. Januari 2015 Vodafone.nl 0 Privacy Statement 1. Introductie privacy statement Vodafone biedt veel verschillende soorten diensten aan. Om die diensten goed te laten

Nadere informatie

Nederlandse Vereniging van Makelaars in onroerende goederen en vastgoeddeskundigen

Nederlandse Vereniging van Makelaars in onroerende goederen en vastgoeddeskundigen Nederlandse Vereniging van Makelaars in onroerende goederen en vastgoeddeskundigen NVM TOELICHTING OP DE NVM-KOOPAKTE VOOR DE CONSUMENT *) *) Behorende bij model koopakte voor een appartementsrecht (model

Nadere informatie

Privacybescherming helpt vertrouwen van klanten te (her)winnen en te behouden

Privacybescherming helpt vertrouwen van klanten te (her)winnen en te behouden Privacybescherming helpt vertrouwen van klanten te (her)winnen en te behouden Persoonsgegevens van klanten zijn waardevol voor organisaties. Aandacht voor de bescherming van deze gegevens is nodig; privacyincidenten

Nadere informatie

OR: HOW I LEARNED TO STOP WORRYING AND LOVE DNA

OR: HOW I LEARNED TO STOP WORRYING AND LOVE DNA DE WET DNA-ONDERZOEK BIJ VEROORDEELDEN OR: HOW I LEARNED TO STOP WORRYING AND LOVE DNA Mr. S.L.J. Janssen Inleiding Al sinds de indiening van het wetsvoorstel in november 2002, houdt de Tweede Kamer zich

Nadere informatie

Wij Beatrix, bij de gratie Gods, Koningin der Nederlanden, Prinses van Oranje-Nassau, enz. enz. enz.

Wij Beatrix, bij de gratie Gods, Koningin der Nederlanden, Prinses van Oranje-Nassau, enz. enz. enz. Voorstel van wet van het lid Van der Steur tot wijziging van Boek 3 en Boek 7 van het Burgerlijk Wetboek en van het Wetboek van Burgerlijke Rechtsvordering alsmede enkele andere wetten in verband met de

Nadere informatie