LCO 30 november 2016 0 Privacy regulering & Compliance Leergang Compliance Officer Nederlands Compliance Instituut Eric Schreuders Net2Legal Consultants (www.n2l.nl) schreuders@n2l.nl Net2legal Consultants 2016
De evolutie van het privacyrecht Gelijk niveau van bescherming persoonsgegevens in alle EU-lidstaten 1980 Privacy beginselen 1950 1989 Nationale wetgeving 1995 Europese Privacy richtlijn 2001 Wet Bescherming Persoonsgegevens 2012 2018 Voorstel EU Verordening 25 mei AVG Europees verdrag voor de rechten van de mens Database Compliance Beginnende compliance t.a.v. verwerkingen en organisatie Business compliance Continu in control + accountability
Veranderingen in regelgeving De Algemene Verordening Gegevensbescherming 2012 Voorstel Verordening Mei 2016 Inwerkingtreding Verordening 25 mei 2018 Van toepassing Veel van hetzelfde maar dan echt anders Wanneer handhaving en wanneer aandacht? Tijdig anticiperen+ veel moet ook nu al Wijziging van de Wbp (per 1 januari 2016) Datalekken (Beleidsregels) Boetebevoegdheid AP (Beleidsregels)
Meer en meer samenloop van onderwerpen Verschuiving van focus Minder juridisch Security (datalekken, beveiligingsvereisten,etc) Governance, Risk en Compliance Communicatie en voorlichting Vaak voorkomende zwakke plekken: Gebrek aan kennis ( onbewust onbekwaam ) Niet herkennen van problemen Te laat toetsten in plaats van vooraf Te beperkte scope van Privacy en Dataprotectie
4 Waar kan het misgaan? Directe en indirecte gevolgen Continuïteit bedrijfsvoering Hoge boetes Imagoschade en beeldvorming Onverwachte gevolgen door verlies vertrouwen
Het complexe juridische kader Wbp WOB WPolg Gedragscodes Protocollen Sectorale regels Geheimhoudings - bepalingen Archief wet WJG AWB WvSV WOR BRP Sectorale wetgeving WGBO
Gedragscode Financiële instellingen 2010 Gedragscode niet voor incidentenregisters, extern verwijzingsregister Protocol Incidentwaarschuwingssysteem 2011 Afzonderlijke gedragscode voor zorgverzekeraars Naleving: stelsel zelfevaluaties + periodieke risicoanalyses Compliance of afdeling belast met toezicht: zorgplicht dat wettelijke kaders worden nageleefd
Essentiele Bouwstenen Behoorlijk en Zorgvuldig Transparantie Beveiliging (Compliance & In control )
Persoonsgegevens Wat is een persoonsgegeven? Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Direct en indirect identificeerbaar Zakelijke gegevens en bedrijfsgegevens Geaggregeerde, anonieme en pseudonieme gegevens
Wie is wie? Verantwoordelijke Degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt Bewerker Een extern bureau dat werkzaamheden verricht en zich onderwerpt aan de instructies van de verantwoordelijke en onder zijn verantwoordelijkheid gegevens verwerkt Betrokkene Degene op wie een persoonsgegeven betrekking heeft
Verplichte schriftelijke afspraken Zorgdragen dat de bewerker voldoende waarborgen biedt beveiligingsverplichtingen nakomt, en slechts in zijn opdracht gegevens verwerkt Expliciet akkoord gaan met de diverse aangeboden diensten Toezien op de naleving van de beveiligingsmaatregelen (evt. Third-Party) De uitvoering en beschrijving werkzaamheden in bewerkerscontracten (zoals: autorisaties, logbestanden, opslag gegevensdragers, verstrekken gegevens, achteraf teruggeven en vernietigen van gegevens) Hoofdstuk 4 AP/CBP Richtsnoeren beveiliging (2013) + Beleidsregels meldplicht datalekken (2015)
Ken uw toezichthouder Autoriteit Persoonsgegevens (AP) De Nederlandse toezichthouder (voorheen CBP) www.autoriteit Persoonsgegevens.nl www.mijnprivacy.nl De Functionaris Gegevensbescherming Onafhankelijk interne toezichthouder Facultatief onder de Wbp, straks deels verplicht onder de EU Verordening Privacy Officer, DPO, CPO, Privacy coördinator
Zorgvuldigheidsnormen (I) Behoorlijk, zorgvuldig en in overeenstemming met de wet gegevens verwerken Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld
Verenigbaar verder gebruik Gegevens worden niet verder verwerkt op een wijze onverenigbaar met de doeleinden waarvoor verkregen Verwantschap doelen Aard van de gegevens Gevolgen voor de betrokkene Wijze van verkrijging Passende waarborgen jegens betrokkene Met name van belang: wat mag betrokkene verwachten!
Gronden voor verwerken De ondubbelzinnige toestemming
Gerechtvaardigde doelstelling Ondubbelzinnige toestemming Overeenkomst Wettelijke verplichting Vitaal belang van de betrokkene Goede vervulling publiekrechtelijke taak Gerechtvaardigd belang De grondslagen van artikel 8 Wbp
Nodig Noodzakelijk
Algemene afweging belangen Mogelijkheid recht van verzet (bezwaar) door betrokkene met individuele afweging van de bijzondere persoonlijke omstandigheden (8f)
Verzet bij Direct Marketing altijd honoreren
Bijzondere gegevens Bijzondere persoonsgegevens Godsdienst of levensovertuiging Ras Politieke gezindheid Lidmaatschap van een vakvereniging Gezondheid Seksuele leven Strafrechtelijke gegevens, onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van hinderlijk gedrag Verwerking is verboden, behoudens.... bij wet bepaald + uitzonderingen (art.23 Wbp) Gegevens van gevoelige aard (gegevens met verhoogd risico) Burger Service Nummer Gegevens over de financiële of economische situatie van de betrokkene (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, prestaties op school, relatieproblemen, etc.) Gebruiksnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden gebruikt voor (identiteits)fraude Gegevens over kinderen
Zorgvuldigheidsnormen(II) Bewaartermijnen Kwaliteit gegevens: gegevens moeten toereikend + ter zake dienend + niet bovenmatig + juist en nauwkeurig zijn Beveiliging
Artikel 13 Wbp Passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen moeten rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn mede gericht op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens.
Informatiebeveiliging en dataprotectie Richtsnoeren beveiliging persoonsgegevens (2013) Van adequaat als open norm tot beveiligen volgens normen zoals ISO/NEN Beveiligingsbeleid, plannen en risicoanalyses, maatregelen en het toezicht ook gericht op de feitelijke uitvoering/naleving van maatregelen NEN ISO 27002 Beheer van informatiebeveiligingsincidenten
Meldplicht datalekken (Wbp) Artikel 34 a Wbp : voor inbreuken waarbij gegevens zijn blootgesteld aan een aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens Gaat over een beveiligingsincident Indien lekken een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot de gegevens tot gevolg heeft AP Beleidsregels datalekken (2015)
Bij wie melden? Melding toezichthouder Melding betrokkene + uitzondering op meldplicht voor financiële ondernemingen zoals bedoeld in de Wft: valt al onder de wettelijke zorgplicht van de onderneming (adequaat informeren van de afnemers van uw diensten)
Inbreuk op de beveiliging als bedoeld in art.13 Wbp Daadwerkelijk beveiligingsincident waarbij preventieve maatregelen niet toereikend waren om dit te voorkomen. - dus niet uitsluitend een dreiging, of tekortkoming in de beveiliging die kan leiden tot een beveiligingsincident Voorbeelden van mogelijke incidenten: Een kwijtgeraakte USB-stick Een gestolen laptop Een inbraak door een hacker Een malware besmetting Een calamiteit zoals brand in een datacentrum
Daadwerkelijk incident + daadwerkelijke gevolgen Voor een datalek moet het incident daadwerkelijk gevolgen hebben voor de verwerkte gegevens Zoals: gegevens die verloren zijn gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten (+ de repressieve maatregelen en herstelmaatregelen zijn niet voldoende om de mogelijke gevolgen geheel weg te nemen) Let op!: Een datalek kan zicht ook voordoen als passende technische of organisatorische maatregelen zijn getroffen (en leg dat maar eens uit )
+ alleen melden bij AP bij (aanzienlijke kans op) ernstig nadelige gevolgen voor bescherming van persoonsgegevens Er is geen sprake van een datalek
Wie: de verantwoordelijke (tenzij) Wat: ook melden als niet duidelijk is wat er is gebeurd en om welke persoonsgegevens het gaat. De melding kan eventueel later worden aangevuld of ingetrokken. Waar: melding bij de Autoriteit Persoonsgegevens via de website www.autoriteitpersoonsgegevens.nl Hoe:met behulp van speciaal webformulier, waarmee de melding ook worden aangevuld of ingetrokken. Na het indienen wordt een meldingsnummer getoond ter bevestiging, en voor toekomstige communicatie met de AP Wanneer: zonder onredelijke vertraging zo mogelijk niet meer dan 72 uur na ontdekking (indien later dan moet dit desgevraagd worden gemotiveerd).
Informatieplicht Tenzij de betrokkene al op de hoogte is Uitzonderingen: Niet als onmogelijk /het onevenredige inspanning kost Verstrekking op basis van de wet is voorgeschreven O.a. informeren over: identiteit verantwoordelijke en doeleinden informatie m.b.t. waarborgen behoorlijke en zorgvuldige verwerking rechten betrokkene
De Verordening: Breder Informeren Transparant en toegankelijk beleid en procedures m.b.t. informeren en uitoefening rechten Alle informatie in duidelijke en aangepaste taal Naast huidige informatieverplichting, m.n. straks ook: Bewaartermijn Nieuwe rechten Ontvangers Internationale verstrekking Verstrekken gegevens verplicht of vrijwillig + gevolgen Bron van niet bij betrokkene verkregen gegevens
Rechten van de betrokkene 1.Informatieplicht 2.Recht op kennisneming - Doeleinden - Categorieën - ontvangers 3. Recht op verzet - Bijv. direct marketing - Verzet in geval van special omstandigheid 4. Recht op correctie -Rectificatie -Verwijdering -Afschermen 5. Recht op vergetelheid 6. Recht op beperking van de verwerking Uitzonderingen (art. 43 Wbp)
De Verordening: extra rechten Profilering recht om niet te worden onderworpen aan een maatregel waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die deze in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking. Voorwaarden: o.a. recht op menselijke tussenkomst, niet kinderen Recht op beperking van de verwerking recht op beperking van de verwerking, ingeval van betwisten juistheid, onrechtmatig, niet meer nodig, bezwaar. Recht om gegevens mee te nemen (dataportabiliteit) recht op een kopie van de gegevens in een vorm waarbij deze verder door de betrokkene kunnen worden gebruikt. Recht op gegevenswissing (recht op vergetelheid) recht op wissing van hem betreffende persoonsgegevens
Voorafgaand onderzoek Speciale onderwerpen Ander gebruik van persoonsnummers Gegevens verzamelen zonder te informeren Strafrechtelijke verwerkingen t.b.v. derden Protocol Incidentenwaarschuwingssysteem Internationale verstrekkingen buiten de EER Passend niveau van bescherming Uitzonderingen, Vergunning, Afspraken Model overeenkomsten en BCR s Naar de VS: Safe Harbour en Privacy Shield
Sancties Aanpassing Wbp boetebevoegdheid per 1 januari 2016: Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. - Niet-melden van een datalek: maximaal 500.000 - Overige overtredingen Wbp: maximaal 820.000 / 10% jaaromzet Europese Verordening per 25 mei 2018: maximaal 20 miljoen/ 4% mondiale jaaromzet) Eerder bestaande middelen, mogelijkheden,zoals een dwangsom: in beginsel voor alles, Veel nadruk op beveiliging en niet toegestane verwerkingen, met name gebruik van het BSN
Wbp Meldingsplicht verwerkingen Meldingsplicht of Vrijstelling Doel: transparantie en vooral toezicht Inhoud: wie verwerkt wat, waar en waarvoor? Melden bij het AP of bij een FG Boete bij ten onrechte niet melden Straks niet meer, maar wat dan?
Het compliance-dossier Beleid en maatregelen om compliance aan te tonen (ook beschikbaar voor de toezichthouder!) Documentatie: Huidige melding + informatie bij informeren Gegevensbeveiliging Beveiligingsbeleid en plannen Risicobeoordelingen..
Privacy Impact Assessment De PIA - Privacy effect beoordeling Risico-inschatting van de effecten op het gebied van privacy bij nieuwe systemen en verwerkingen, profiling, gevoelige verwerkingen en bijzondere gegevens Beschrijving, risicoanalyse t.a.v. privacy, maatregelen, waarborgen en aantonen dat maatregelen en waarborgen ook werken
Geen vaste methodiek Methodiek + verschillende modellen/toepassingen Europa Norea (2012) Toetsmodel Rijksdienst Overige commerciële aanbieders
PIA, PET, PbD, PbD en Privacy audit Privacy Enhancing Technologies (PET), Privacy by Design (PbD) en Privacy by Default (PbD) speelt bij aanschaf/laten ontwikkelen systemen Privacy audit (Quick Scan/Zelfevaluatie/Audit) PIA > PBD/PET > Implementatie > Audit
40 De verordening vereist een andere aanpak Van terzijde naar onvermijdelijk Van ad-hoc naar structurele werkzaamheden (continu in controle ) Van achteraf toetsen naar vooraf beoordelen, maatregelen treffen en controleren
De Verordening: Veel hetzelfde maar dan echt anders Materieel heel veel hetzelfde, echt anders is: Aantoonbaar continu in controle Aandacht naar de voorkant van het proces Privacy By Design, Privacy By Default Privacy Impact Assessment Datalekken Verplicht aanstellen van een FG Sancties (meer, hoger + sneller opgelegd) Recht om vergeten te worden/ dataportabiliteit / profiling
Afsluiting