Juridisch beleg. Beleg

Transcriptie

1 Juridisch beleg 11 juni 2015 mr Alexander J.J.T. Singewald Beleg techniek toegepast indien de beschikbare ruimte in het interne geheugen te klein is om het gehele programma te bevaden en waarbij dezelfde geheugenblokken herhaald worden gebruikt voor verschillende programmasegmenten bron: hdp:// boek.nl/woord/beleg Wat je op je brood doet 1

2 Customer Legal Journey Wet en regelgeving Verzamelen Bronnen Verwerken Opslaan en toegang Gebruiken Profiling Resultaat Gebruik kanalen Customer Legal Journey Wet en regelgeving Verzamelen Bronnen Verwerken Opslaan en toegang EN DE PROSPECT? Gebruiken Profiling Resultaat Gebruik kanalen 2

3 Uw beleg vandaag 2015 in Nederland: Cookie, 11 maart 2015 Data lekken, eind 2015 Boetebevoegdheid, eind 2015 En Europa: Verordening bescherming persoonsgegevens, eind 2017 begin

4 Cookies Herziening cookiewet Hamerstuk Eerste Kamer 3 februari 2015 Inwerkingtreding: 11 maart 2015 LET OP! Toestemming voor het plaatsen of uitlezen van een cookie ziet toe op de technische handeling (Telecommunica^ewet), ona`ankelijk van het feit of er persoonsgegevens in het geding zijn Daarnaast kan er sprake zijn dat voor het verwerken van persoonsgegevens nog toestemming nodig is (Wet bescherming persoonsgegevens) 4

5 WeDekst 5

6 Toelich^ng:11.7a lid 2 Tw 6

7 Voorbeelden van uitzonderingen nr benaming Beschrijving/doel 1 User input cookies Cookies zijn nodig om in een sessie bijvoorbeeld bij vragen en antwoorden gestart door de gebruiker bij te houden of het bijhouden van een boodschappen mandje 2 Authentication cookies Cookies om een gebruiker te identificeren als deze is ingelogd op een eigen account. Er dient dan wel sprake te zijn van een sessiecookie, die dus na het einde van de sessie wordt verwijderd. 3 User centric security cookies 4 Multimedia players session cookies 5 Load balancing session cookies 6 User interface customization cookies 7 Social plug-in content sharing cookies (let op verschil in ingelogd of uitgelogd) Cookies die worden gebruikt om extra beveiligingmaatregelen (bescherming om misbruik te voorkomen) te kunnen nemen voor een dienst die de gebruiker afneemt Deze cookies worden gebruikt om technische gegevens op te slaan om video of audio af te kunnen spelen, wanneer de gebruiker daarom vraagt. Deze cookies zijn alleen gedurende de sessie actief. Deze cookies worden gebruikt om de communicatie van de juiste server te laten plaats vinden en mogen ook alleen voor dat doel worden gebruikt Deze cookies worden gebruikt om de preferenties van een gebruiker met betrekking tot de dienstverlening te onthouden los van cookies of gegevens. Voorbeelden zijn geselecteerde taal instelling, of het weergeven van het aantal resultaten op een zoek website Zolang deze cookies worden geplaatst wanneer iemand is ingelogd in een omgeving, dan is er sprake van een gevraagde dienst. In alle andere gevallen van Social plug-in content sharing cookies is er geen sprake van een uitzondering en zal toestemming dienen te worden gevraagd. Analy^c cookies 7

8 hdps://cbpweb.nl/sites/default/files/atoms/files/ handleiding_privacyvriendelijk_instellen_google_analy^cs_0.pdf 1. Afsluiten van een bewerkersovereenkomst met Google; 2. Anonimiseren van het volledige IPadres (door het laatste octet van het IPadres te verwijderen); 3. Gegevens delen met Google uitzetten; 4. Informeren over het gebruik van Google Analytics en bieden van de optout mogelijkheid. 8

9 Affiliate cookies 9

10 Cookies Cookies die leiden tot het maken van een profiel passen niet binnen de vrijstelling, dus informeren en toestemming vragen Ga na of uw defini^es van cookies gelijk zijn aan de defini^es in de Telecommunica^ewet Voorbeeld: Func^onele cookies zijn niet relevant, het gaat om de func^e van het cookie; Sessie ID cookie met een houdbaarheid van 60 maanden, kun je wel een Sessie ID cookie noemen maar is gewoon een tracking cookie Cookies pas plaatsen na toestemming, return cookie wall Cookie Toezichthouder ACM, informeren en toestemming vragen Cbp, verwerken van persoonsgegevens 10

11 Datalekken Boetes door Cbp/AP Wijziging Wbp 21 Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp Vastgesteld 26 mei 2015 Inwerkingtreding nog niet bekend Cbp/AP komt met richtsnoeren datalekken in september 2015 Zwaartepunten nieuw ar^kel 34a en ar^kel 66 11

12 ar7kel 34a 1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in ar^kel 13, die leidt tot de aanzienlijke kans op erns^ge nadelige gevolgen dan wel erns^ge nadelige gevolgen heej voor de bescherming van persoonsgegevens. 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk onguns^ge gevolgen zal hebben voor diens persoonlijke levenssfeer. 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instan^es waar meer informa^e over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de nega^eve gevolgen van de inbreuk te beperken. 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heej getroffen of voorstelt te treffen om deze gevolgen te verhelpen. 5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informa^evoorziening is gewaarborgd. ar7kel 34a 6. Het tweede lid is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heej genomen waardoor de persoonsgegevens die het betrej onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heej op kennisname van de gegevens. 7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk onguns^ge gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet. 8. De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op erns^ge nadelige gevolgen dan wel erns^ge nadelige gevolgen heej voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene. 9. Dit ar^kel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communica^edienst een kennisgeving heej gedaan als bedoeld in ar^kel 11.3a, eerste en tweede lid, van de Telecommunica^ewet. 10. Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht. 11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving. 12

13 College bescherming persoonsgegevens wordt Autoriteit Persoonsgegevens Uitbreiding algemene boete bevoegdheden Cbp/AP in wet datalekken Toekomst: boete bevoegdheid tot ,- Nu alleen last onder dwangsom Er zijn zes categorieën: de eerste categorie, 405 ; de tweede categorie, 4.050; de derde categorie, 8.100; de vierde categorie, ; de vijfde categorie, ; de zesde categorie,

14 Beboetbaar (selec^e) rood: aandachtspunten DM 6 Rechtma^g algemeen 7 Bepaald doel 8 Algemeen Rechtma^gheidsgronden 8.a Toestemming 8.b Overeenkomst 8.c WeDelijke verplich^ng 8.d Vitaal belang 8.e Publiekrechtelijke taak 8.f Gerechtvaardigd belang 9.1 Onverenigbaar gebruik 9.4 Geheimhoudingsplicht 10.1 Bewaartermijnen 11.1 Kwaliteit - toereikend, ter zake dienend, niet bovenma^g 11.2 Kwaliteit, juist, nauwkeurig 12.1 Vertrouwelijkheid verwerkingen 12.2 Geheimhoudingsplicht 13 Beveiliging 16 Verbod algemeen bijzondere gegevens 24.1 Persoonsnummer algemeen 33/34 informeren betrokkene 40 rela^ef recht van verzet 41 absoluut recht van verzet 14

15 Spanningsveld Data lekken, Social Media / Big Data voor Verantwoordelijken en Bewerkers Beveiliging: Wat je niet hebt, niet te beveiligen Wat je niet hebt, kan niet lekken Wat niet iden^ficeerbaar is, is een lager risico Leg dus niets vast wat je niet gebruikt 15

16 Europese Unie 16

17 Verschil richtlijn en verordening Richtlijn Per lidstaat omzetten in wet NL: Wet bescherming persoonsgegevens Verordening Interpretatie verschillen bij implementatie Rechtstreekse werking NL: intrekken Wet bescherming persoonsgegevens Overige lid staten Europese Unie ook (kans op interpretatie verschillen bij handhaving) Europese Unie Begin 2012 ontwerp Verordening Bescherming Persoonsgegevens Verordening heej directe werking Eind 2015 / begin 2016 ontwerp Verordening Bescherming Persoonsgegevens gestemd Eind 2017 / begin 2018 inwerkingtreding Verordening Bescherming Persoonsgegevens Lid- Staten trekken eigen weden in Verordening in werking in 2017/2018, gebaseerd op concepten en denken uit

18 E- privacy Richtlijn Richtlijn: toestemming for e- mail, sms Opt- out voor ongevraagde outbound telemarke^ng Cookie rules Evalua^e na totstandkoming Verordening Gegevensbescherming E- privacy Richtlijn: iedere lid staat zal dus deze richtlijn weer moeten omzeden naar lokale wetgeving Gegevensverwerking is geharmoniseerd, alleen het gebruik van peroonsgegevens voor communica^e niet Marke^ng communica^e Waarschijnlijk 2000 problemen met tekst van de Verordening Voor marke^ng communica^e zijn er twee showstoppers 18

19 Twee showstoppers I Grondslag voor gegevensverwerking Om persoonsgegevens te mogen verwerken moet er een grondslag zijn: Toestemming Uitvoering overeenkomst Uitvoering wedelijk voorschrij Etc Gerechtvaardigd belang van de Verantwoordelijke of een derde par^j aan wie de persoonsgegevens worden verstrekt. Gerechtvaardigd belang is zeer belangrijk Propor^onaliteit/subsidiariteit Hoe werj een bedrijf prospects als er toestemming nodig is, terwijl het een gerechtvaardigd belang is van een bedrijf om prospects te werven Het gerechtvaardigd belang is van groot belang voor commerciële communica^e Recital 39: The processing of personal data for direct marke7ng purposes may be regarded as carried out for a legi7mate interest. Twee showstoppers II Profiling Selecteren, segmenteren, analyseren, a/b testen etc Als profiling: Leidt tot maatregelen die een juridisch effect hebben jegens de betrokkene; of Leidt tot maatregelen die hem/haar in aanmerkelijke mate trej; Contract of pre- contractueel Wetgeving Toestemming Geen juridisch effect of trej in aanmerkelijke mate - > toegestaan Discussie: marke^ng trej niet in aanmerkelijke mate 19

20 Andere onderwerpen Transparan^e Informa^eplichten zijn uitgebreid Benoemen van de bewaartermijn Uitleggen waarom de Controller een gerechtvaardigd belang heej Blokkering Blokkering tegen commercieel gebruik: niet langer meer in het privacystatement maar: Dit recht wordt de betrokkene uitdrukkelijk en op begrijpelijke wijze geboden en moet duidelijk van overige informa^e kunnen worden onderscheiden. Taalgebruik aangepast, specifiek bij kinderen. 20

21 Informa^eplicht Informa^eplicht: uitgebreid 21

22 Recht om vergeten te worden / recht om gegevens te laten wissen 22

23 Administra^eve verplich^ngen Geen melding bij toezichthouder Documenta^eplicht voor Verantwoordelijke en/of Verwerker PIA: Privacy Impact Analyse PIA 23

24 Boete ar^kel 79 hoog / percentage omzet 24

25 Trialoog Europese Commissie Parlement Europese Raad Drie teksten die tot één moeten worden gesmeed 25

26 Heel recent 26

27 Ready? Alexander J.J.T. Singewald CEO Singewald Consultants Group BV Website: Adres: Weteringstraat BB Aalsmeer Postadres: Postbus AG Aalsmeer Telefoon: Telefax: E- mail: singewald@privacy.nl KvK: TwiDer: twider.com\scglaw Curriculum vitae: Nederlands recht specialisa^e strafrecht ( ) Beleidsmedewerker/onderzoeker Registra^ekamer ( ) Adjunct directeur DMSA ( ) CEO Singewald Consultants Group BV (1998- ) Nevenfunc7es: VoorziDer van de Geschillencommissie Promo^onele Producten; Secretaris Beroepscommissie Onderzoek en Sta^s^ek; Lid Commissie Regelgeving DDMA; Bestuurslid FEDMA; Lid Legal Affairs CommiDee FEDMA; Legal Counsel ESOMAR; DM Man van het Jaar 2004; Erelid DDMA 2013; Houder Cer^ficate of Gra^tude, Yonsei University, Seoul, Zuid Korea, 2012; Lid van Management CommiDe Consulta^ve CommiDee, Universal Postal Union; Lid Direct Marke^ng Advisory Board, Universal Postal Union. 27