IMMA special Privacy AVG/GDPR Utrecht, 7 november 2017 Iris Koetsenruijter: koetsenruijter@considerati.com, 06-28613217 Rob Mouris: rob.mouris@minienm.nl, 06-27061622 1
Opzet Special Korte voorstelronde Nut & noodzaak privacywaarborging Uitleg basisbeginselen rondom persoonsgegevens Korte herhaling a.d.h.v. praktijkvoorbeelden Belangrijkste nieuwe eisen onder de AVG/GDPR Discussie & vragen Afsluiting Privacy special 7 november 2017
Wie zijn wij? Iris Koetsenruijter: privacy adviseur van IMMA Rob Mouris: adviseur thema spitsmijden en IMMA Privacy special 7 november 2017 3
Nut & noodzaak privacywaarborging
Risico s Persoonlijk leed Reputatieschade: resulteert in verlies aan vertrouwen in de organisatie bij burgers. Politieke afbreukrisico s Hoge nalevingskosten wanneer toezichthouder onderzoek doet. Het niet kunnen gebruiken van persoonsgegevens voor de gewenste doeleinden. Bestuurlijke boete toezichthouder Privacy special 7 november 2017 5
Bestuurlijke boetes toezichthouder Sinds 1 januari 2016: o Max. 820.000,-- bij niet melden van datalek en overige overtredingen uit de Wet bescherming persoonsgegevens, of o Max. 10% v.d. jaaromzet indien voor die overtreding een boete van 820.000 euro naar het oordeel van de AP geen passende straf is voor die rechtspersoon. Vanaf 25 mei 2018: o Max. 20 miljoen, of o 4% van de wereldwijde jaaromzet Privacy special 7 november 2017 6
Uitleg basisbeginselen rondom persoonsgegevens
Wat is een persoonsgegeven? (Artikel 4 lid 1 AVG) Alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Een persoon is uniek geïdentificeerd wanneer deze uniek is te onderscheiden van andere personen op basis van de gegevens. Bijv. NAW maar ook to single out. Een persoon is identificeerbaar wanneer de mogelijkheid tot directe of indirecte identificatie bestaat met name aan de hand van een identificator. Privacy special 7 november 2017 8
Wat is identificeerbaar? Of iemand identificeerbaar is hangt af van de middelen van de verantwoordelijke of een derde: Grond 26: om te bepalen of een persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen Privacy special 7 november 2017 9
10
Verduidelijking van het begrip persoonsgegeven - Direct (bijv. naam) of indirect identificeerbaar (combinatie van unieke identifiers ) - Identificatie gebeurt door identifiers zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon - Uitgangspunt = redelijk toegeruste verantwoordelijke (objectief) rekening houdend met de bijzondere expertise, technische faciliteiten, etc. van de verantwoordelijke (subjectief). - Reële mogelijkheid om identiteit te achterhalen, geen theoretische of hypothetische mogelijkheid. - AP hanteert een ruimte interpretatie van het begrip persoonsgegeven. Daarom: indien gegeven gebruikt kan worden om onderscheid te maken: behandel het als een persoonsgegeven. Privacy special 7 november 2017 11
Ook persoonsgegeven wanneer identificatie door inschakelen derde plaats kan vinden HvJ EU 19 oktober 2016, zaak C 582/14 (Patrick Breyer tegen Bondsrepubliek Duitsland), ECLI:EU:C:2016:779 Overweging 49: Een dynamisch IP-adres dat door een aanbieder van onlinemediadiensten wordt geregistreerd {...}, ten aanzien van die aanbieder een persoonsgegeven in de zin van voormelde bepaling vormt, wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust. Het feit dat de verantwoordelijke de persoonsgegevens niet direct kan relateren aan een persoon, is niet doorslaggevend. De derde kan het namelijk wel. Vervolgens moet worden bepaald of de mogelijkheid om de persoonsgegevens te combineren met aanvullende gegevens van de derde een middel is waarvan mag worden aangenomen dat zij redelijkerwijs kan worden gebruikt door de verantwoordelijke. Dat is NIET het geval als het bij wet verboden is of als het praktisch onmogelijk is omdat het buitenproportionele moeite kost in termen van tijd, geld of mankracht. Dat is WEL het geval als er juridische wegen bestaan om de informatie bij de derde op te vragen. Privacy special 7 november 2017 12
Privacy special 7 november 2017 13
Korte pauze Privacy special 7 november 2017 14
Korte herhaling van de huidige eisen uit de IMMA PRA
Overzicht van de Privacy Referentie Architectuur: 11 eisen 1. Verantwoordelijkheid 2. Legitiem doel en grondslag 3. Dataminimalisatie 4. Doelbinding 5. Informatie en transparantie 6. Delen van gegevens met derden 7. Rechten van de betrokkene 8. Informatiebeveiliging 9. Bewaren en vernietigen 10. Gegevensexport 11. Meldplicht datalekken Privacy special 7 november 2017 16
Reclameborden op NS stations Persoonsgegevens? Informatieplicht? Onderzoek AP Privacy special 7 november 2017 17
RWS Kentekenonderzoek Delen van gegevens met derden? Privacy special 7 november 2017 18
Facebook Profiling Transparantie Informatieplicht? Privacy special 7 november 2017 19
Milieuzone Rotterdam Doelbinding? Verstrekken aan derden? Privacy special 7 november 2017 20
Bodycams Politie Grondslag? Informatieplicht? Privacy special 7 november 2017 21
Fraudehandhaving DUO Grondslag? Doelbinding? Privacy special 7 november 2017 22
Kenteken invoeren om te parkeren Bewaartermijn? Privacy special 7 november 2017 23
Onterechte publicatie gevoelige gegevens Meldplicht datalekken? Privacy special 7 november 2017 24
Aangepast BABW Grondslag Doelbinding Dataminimalisatie Privacy special 7 november 2017 25
Algemene Verordening Gegevensbescherming: de belangrijkste nieuwe eisen
Accountability Aantoonbaar voldoen aan de AVG (art. 24 AVG) Passende technische en organisatorische maatregelen treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd. Register van gegevensverwerkingen (art. 30 AVG) NVT op organisaties met < 250 personen in dienst, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens (art. 9 lid 1) of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten (art. 10) Aanstellen Data Protection Officer (art. 37 AVG) in de volgende gevallen: Overheidsinstantie Verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen Grootschalige verwerking van bijzondere categorieën van gegevens (art. 9 lid 1) of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten (art. 10) Privacy special 7 november 2017 27
Versterken van de privacy borging Extra eisen bij geautomatiseerde besluitvorming, waaronder profiling (art. 22 AVG) Bij een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor de betrokkene rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft: ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten. Ook heeft de betrokkene het recht op uitleg van de genomen beslissing en moet de verantwoordelijke de effectiviteit kunnen aantonen, passende wiskundige en statistische procedures hebben gevolgd en zorgen dat onjuistheden in de persoonsgegevens en het risico op fouten is geminimaliseerd. (Overweging 71) Privacy special 7 november 2017 28
Versterken van de privacy borging Data protection by design and by default (art. 25 AVG) Treffen van passende technische en organisatorische maatregelen (bijv. pseudonimisering) om de gegevensbeschermingsbeginselen (bijv. minimale gegevensverwerking) op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de AVG en ter bescherming van de rechten van de betrokkenen en om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Uitvoeren DPIA (art. 35 AVG) Verplicht indien gelet op de aard, de omvang, de context en de doeleinden de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Onder meer bij: een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; grootschalige verwerking van bijzondere categorieën van gegevens (art. 9 lid 1) of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten (art. 10); of stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. Privacy special 7 november 2017 29
Uitbreiding rechten van betrokkene Informatieplicht (art. 12-14 AVG) Informatie verstrekken in beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal Recht om vergeten te worden (art. 17 AVG) De persoonsgegevens moeten worden verwijderd indien: De gegevens niet langer nodig zijn voor de doelen waarvoor zij zijn verzameld De betrokkene zijn toestemming intrekt of bezwaar maakt De persoonsgegevens onrechtmatig zijn verwerkt Indien dit is vastgelegd in een wettelijke verplichting Recht op dataportabiliteit (art. 20 AVG) Betrokkene heeft het recht zijn gegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verantwoordelijke over te dragen, zonder daarbij te worden gehinderd, indien: de verwerking berust op toestemming of op een overeenkomst; en de verwerking via geautomatiseerde procedés wordt verricht. Ook rechtstreeks aan nieuwe verantwoordelijke verstrekken. Privacy special 7 november 2017 30
Discussie en vragen? Privacy special 7 november 2017
Afsluiting Dank voor jullie aandacht! Privacy special 7 november 2017