Ontwikkelingen in privacywet- en regelgeving

Transcriptie

1 Ontwikkelingen in privacywet- en regelgeving NCI Update Compliance Banken Huib Gardeniers Net2Legal Consultants ( Net2legal Consultants2016 Onderwerpen binnen de Update Inleiding en scope A. Veranderingen in toezicht B. De meldplicht datalekken C. Doorgifte naar derde landen D. De verordening: breder informeren E. Rechten van de betrokkene F. Sancties vanaf 2016 G. Van melding verwerkingen naar Dossier H. Privacy Impact Assessment I. De verordening: kies een andere aanpak J. Optioneel: Artikel 11.7 en II.7a Telecommunicatiewet De evolutie van het privacyrecht Gelijk niveau van bescherming persoonsgegevens in alle EU-lidstaten 1980 Privacy beginselen 1989 Nationale wetgeving 1950 Europees verdrag voor de rechten van de mens 1995 Europese Privacy richtlijn Voorstel EU 25 mei Wet Bescherming Verordening AVG Persoonsgegevens Database Compliance Beginnende compliance t.a.v. verwerkingen en organisatie Business compliance Continu in control + accountability 1

2 Veranderingen in regelgeving De Algemene Verordening Gegevensbescherming 2012 Voorstel Verordening Mei 2016 Inwerkingtreding Verordening Veel van hetzelfde maar dan echt anders Wanneer handhaving en wanneer aandacht? Tijdig anticiperen+ veel moet ook nu al Wijziging van de Wbp (per 1 januari 2016) 25 mei 2018 Van toepassing Boetebevoegdheid AP (beleidsregels december 2015) Datalekken (beleidsregels 9 december 2015) Meer en meer samenloop van onderwerpen Verschuiving van focus Minder juridisch Security (datalekken, beveiligingsvereisten,etc) Governance, Risk en Compliance Communicatie en voorlichting Vaak voorkomende zwakke plekken: Gebrek aan kennis ( onbewust onbekwaam ) Niet herkennen van problemen Te laat toetsten in plaats van vooraf Te beperkte scope van Privacy en Dataprotectie Waar kan het misgaan? Directe en indirecte gevolgen Continuïteit bedrijfsvoering Hoge boetes Imagoschade en beeldvorming Onverwachte gevolgen door verlies vertrouwen 5 2

3 A: Veranderingen in toezicht Autoriteit Persoonsgegevens (AP) De Nederlandse toezichthouder (voorheen CBP) Persoonsgegevens.nl Jacob Kohnstamm -> Aleid Wolfsen De Functionaris Gegevensbescherming Onafhankelijk interne toezichthouder Facultatief onder de Wbp, straks deels verplicht onder de EU Verordening Privacy Officer, DPO, CPO, Privacy coördinator B. Meldplicht datalekken (Wbp) Gaat over beveiligingsincidenten Voor inbreuken waarbij gegevens zijn blootgesteld aan een aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens Artikel 13 Wbp Passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen moeten rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn mede gericht op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens. 3

4 Informatiebeveiliging en dataprotectie Richtsnoeren beveiliging persoonsgegevens (2013) Van adequaat als open norm tot beveiligen volgens normen zoals ISO/NEN Beveiligingsbeleid, plannen en risicoanalyses, maatregelen en het toezicht ook gericht op de feitelijke uitvoering/naleving van maatregelen NEN ISO Beheer van informatiebeveiligingsincidenten Meldplicht datalekken (Wbp) Indien lekken een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot de gegevens tot gevolg heeft Melding toezichthouder Melding betrokkene I. Inbreuk op de beveiliging als bedoeld in art.13 Wbp Daadwerkelijk beveiligingsincident waarbij preventieve maatregelen niet toereikend waren om dit te voorkomen. (dus niet uitsluitend een dreiging, of tekortkoming in de beveiliging die kan leiden tot een beveiligingsincident) Voorbeelden van mogelijke incidenten: Een kwijtgeraakte USB-stick Een gestolen laptop Een inbraak door een hacker Een malware besmetting Een calamiteit zoals brand in een datacentrum 4

5 II. Datalek= Daadwerkelijk incident + Daadwerkelijke gevolgen Voor een datalek moet het incident daadwerkelijk gevolgen hebben voor de verwerkte gegevens Zoals: gegevens die verloren zijn gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten (+ de repressieve maatregelen en herstelmaatregelen zijn niet voldoende om deze gevolgen geheel weg te nemen) Let op!: Een datalek kan zicht ook voordoen als passende technische of organisatorische maatregelen zijn getroffen (en leg dat maar eens uit ) III. Alleen melden als (aanzienlijke kans op) ernstig nadelige gevolgen voor de bescherming van persoonsgegevens Er is geen sprake van een datalek Bijzondere en Gevoelige gegevens Bijzondere persoonsgegevens Godsdienst of levensovertuiging Ras Politieke gezindheid Lidmaatschap van een vakvereniging Gezondheid Seksuele leven Strafrechtelijke gegevens, onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van hinderlijk gedrag Verwerking is verboden, behoudens.... bij wet bepaald + uitzonderingen (art.23 Wbp) Gegevens van gevoelige aard (gegevens met verhoogd risico) Burger Service Nummer Gegevens over de financiële of economische situatie van de betrokkene (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, prestaties op school, relatieproblemen, etc.) Gebruiksnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden gebruikt voor (identiteits)fraude Gegevens over kinderen 5

6 Wie meldt?: de verantwoordelijke Ook melden als niet duidelijk is wat er is gebeurd en om welke persoonsgegevens het gaat. De melding kan eventueel later worden aangevuld of ingetrokken. Waar: melding bij de Autoriteit Persoonsgegevens via de website Hoe: met behulp van speciaal webformulier, waarmee de melding ook worden aangevuld of ingetrokken. Na het indienen wordt een meldingsnummer getoond ter bevestiging, en voor toekomstige communicatie met de AP Wat voor meldingen tot nu toe? Verwachting: meldingen van datalekken per jaar, maar.. Meestal slordigheden Veel meldingen over onversleutelde gegevensdragers Veel meldingen over organisatorische fouten Specifiek aandachtspunt: beveiliging medische gegevens online Cryptoware / ransomware Melden bij de betrokkene 6

7 Meldplicht maar dan net anders Meldplicht artikel 11.3a eerste lid Telecommunicatiewet Melding betrokkene: uitzondering op meldplicht voor financiële ondernemingen zoals bedoeld in de Wft: valt al onder de wettelijke zorgplicht van de onderneming (adequaat informeren van de afnemers van diensten) Regeling datalekken Wbp en AVG: net anders Artikel 34 a Wbp Inbreuk op de beveiliging met aanzienlijke kans op, of die leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens Melden inbreuk bij betrokkene: Indien inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer Artikel 33 en 34 AVG Inbreuk in verband met persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen Melden inbreuk bij betrokkene: Indien inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen Wbp en AVG: wanneer melden? Artikel 34 a Wbp wanneer melden: zonder onredelijke vertraging + Beleidsregels datalekken: zo mogelijk niet meer dan 72 uur na ontdekking + Beleidsregels datalekken: indien later dan moet dit desgevraagd worden gemotiveerd Artikel 33 en 34 AVG wanneer melden: zonder onredelijke vertraging en indien mogelijk uiterlijk 72 uur nadat de verantwoordelijke daarvan kennis heeft genomen Indien langer dan moet een motivering worden toegevoegd 7

8 72 uur na ontdekking Ponemon rapportage 2015: 72 uur? Mean Time to Identify (MTTI) is gemiddeld 206 dagen! Weinig verschil of het een kwaadaardige of criminele aanval, een systeem verstoring, of menselijke fout betreft. Kosten per record 185,- (Duitsland) betreft ook abnormale churn De grootste uitdaging: hoe kom je te weten dat er een incident is? Personeel incentive? + afweging tussen twee kwaden Bewerker zekerheid? + blijvende verantwoordelijkheid! Klantcontactcenter (let op de klok ), communicatie Wisselende signalen Weinig meldingen + erg wisselend De datalek paradox : wat niet weet, wordt niet gemeld Betrokken onderdelen mogelijkheden Compliance/Risk (GRC) ICT/Security (ISO/CISO,..) Communicatie Juridische zaken (afweging en melding) Het betrokken bedrijfsonderdeel C. Doorgifte naar derde landen Adequacy Uitzonderingen (artikel 77 Wbp) Vergunning Modelcontracten EC (verantwoordelijke/bewerker) BCR's De ontvanger in derde land is een buiten EERverantwoordelijke 8

9 Doorgifte naar derde landen Safe harbor arrest Hof van Justitie 6 oktober 2015 Klacht Max Schremms over opslag gegevens Facebookgebruikers in de VS HVJ verklaart Besluit 2000/520 ongeldig Impact voor alle organisaties die bij doorgifte aan de VS gebruik maakten van Safe Harbor Privacy Shield vanaf 1 augustus 2016 (oplossing?) D: De verordening: breder informeren Transparant en toegankelijk beleid en procedures m.b.t. informeren en uitoefening rechten Alle informatie in duidelijke en aangepaste taal Naast huidige informatieverplichting, m.n. straks ook: Bewaartermijn Nieuwe rechten Ontvangers Internationale verstrekking Verstrekken gegevens verplicht of vrijwillig + gevolgen Bron van niet bij betrokkene verkregen gegevens Nu al anticiperen Laat de benodigde gegevens zoals: bronnen, bewaartermijnen en verplichte velden nu al in nieuwe systemen inbouwen Inventariseer bewaartermijnen en verwijderings- /vernietigingsbeleid, inclusief archivering. 9

10 E: Rechten van de betrokkene 1.Informatieplicht 2.Recht op kennisneming - Doeleinden - Categorieën - ontvangers 3. Recht op verzet - Bijv. direct marketing - Verzet in geval van special omstandigheid 4. Recht op correctie - Rectificatie - Verwijdering - Afschermen 5. Recht om vergeten te worden - nieuw! Uitzonderingen (art. 43 Wbp) De Verordening: extra rechten Profilering recht om niet te worden onderworpen aan een maatregel waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die deze in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking. Voorwaarden: o.a. recht op menselijke tussenkomst, niet kinderen Recht om gegevens mee te nemen (dataportabiliteit) recht op een kopie van de gegevens in een vorm waarbij deze verder door de betrokkene kunnen worden gebruikt. F: Sancties vanaf 2016 (Wbp) Aanpassing Wbp boetebevoegdheid per 1 januari 2016: Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. - Niet-melden van een datalek: maximaal Overige overtredingen Wbp: maximaal / 10% jaaromzet Europese Verordening per 25 mei 2018: maximaal 20 miljoen/ 4% mondiale jaaromzet) Eerder bestaande middelen, mogelijkheden,zoals een dwangsom: in beginsel voor alles, Veel nadruk op beveiliging en niet toegestane verwerkingen, met name gebruik van het BSN 10

11 G: Van melding verwerkingen naar Dossier Meldingsplicht of Vrijstelling Doel: transparantie en vooral toezicht Inhoud: wie verwerkt wat, waar en waarvoor? Melden bij het AP of bij een FG Boete bij ten onrechte niet melden Straks niet meer, maar wat dan? Het compliance-dossier Beleid en maatregelen om compliance aan te tonen (ook beschikbaar voor de toezichthouder!) Documentatie: Huidige melding + informatie bij informeren Gegevensbeveiliging Beveiligingsbeleid en plannen Risicobeoordelingen.. H. Privacy Impact Assessment De PIA - Privacy effect beoordeling Risico-inschatting van de effecten op het gebied van privacy bij nieuwe systemen en verwerkingen, profiling, gevoelige verwerkingen en bijzondere gegevens Beschrijving, risicoanalyse t.a.v. privacy, maatregelen, waarborgen en aantonen dat maatregelen en waarborgen ook werken 11

12 Historisch perspectief van de PIA Rond 2005 modellen en beschrijvingen door Canadese, Britse en Australische toezichthouders Samenhang met Privacy Enhancing Technologies en Privacy by Design (en privacy by default) PIA Met een PIA wordt inzicht verkregen in de vragen: o óf de voorziene gegevensverwerking doorgang kan vinden o welke gegevensverwerkingen dan noodzakelijk zijn o hoe deze gegevensverwerkingen plaats mogen vinden Voorafgaande toestemming of raadplegen toezichthouder, m.n. indien PIA als uitkomst heeft dat er grote risico s voor privacy zijn Geen vaste methodiek Methodiek + verschillende modellen/toepassingen Europa Norea (2012) Toetsmodel Rijksdienst Overige commerciële aanbieders 12

13 Keuze voor de Scope niet alleen dataprotectie wet en regelgeving ook breder zoals: percepties van privacy uitgangspunten van dataprotectie niet alleen vanuit belang betrokkene en samenleving maar ook de onderneming meenemen ook gericht de vraag of de organisatie in staat is om eventuele tekortkomingen te signaleren, en er bereidheid is om de maatregelen te treffen die het risico kunnen afwenden ( Risk appetite accountability en in control ). PIA, PET, PbD, PbD en Privacy audit Privacy Enhancing Technologies (PET), Privacy by Design (PbD) en Privacy by Default (PbD) speelt bij aanschaf/laten ontwikkelen systemen Privacy audit (Quick Scan/Zelfevaluatie/Audit) PIA > PBD/PET > Implementatie > Audit I. De verordening: kies een andere aanpak Van terzijde naar onvermijdelijk Van ad-hoc naar structurele werkzaamheden (continu in controle ) Van achteraf toetsen naar vooraf beoordelen, maatregelen treffen en controleren 38 13

14 De Verordening: Veel hetzelfde maar dan echt anders Materieel heel veel hetzelfde, echt anders is: Aantoonbaar continu in controle Aandacht naar de voorkant van het proces Privacy By Design, Privacy By Default Privacy Impact Assessment Datalekken Verplicht aanstellen van een FG Sancties (meer, hoger + sneller opgelegd) Recht om vergeten te worden/ dataportabiliteit / profiling Anticipeer nu Richt de compliance organisatie in: multi-disciplinair team (+PR!) eventuele voorbereiding FG (DPO/CPO) organisatie datalekken (denk ook aan bewerkers) Stel bewaartermijn vast + implementeer naleving Experimenteer met PIA s Beoordeel opties privacy by design + by default Bouw opties in nieuwe systemen in (bronnen/ bewaartermijnen/ verplichte velden) Pas rechten betrokkenen nu al aan 14