Privacy regulering & Compliance

Vergelijkbare documenten
Privacy regulering & Compliance

Privacy regulering & Compliance

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Privacy regulering & Compliance

Privacy regulering & Compliance

Ontwikkelingen in privacywet- en regelgeving

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Vita Zwaan, 16 november 2017

Hoe ziet de organisatie privacy?

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Privacy in de afvalbranche

Algemene Verordening Gegevensbescherming

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Is uw onderneming privacy proof?

Protocol meldplicht datalekken

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Hoe ziet de organisatie privacy? > Waar staat de organisatie? > Wie moet iets doen? > Wat moet er gedaan worden? > Hoe doe je dat?

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Privacyreglement Medewerkers Welzijn Stede Broec

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Protocol Meldplicht Data-lekken

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl

Privacy en de meldplicht datalekken

Agenda. De AVG: wat nu?

Sta eens stil bij de Wet Meldplicht Datalekken

Plan

Melden van datalekken

AVG Algemeen PRIVACYREGLEMENT

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

Algemene verordening gegevensbescherming

Raadsmededeling - Openbaar

Beleid en procedures meldpunt datalekken

Protocol meldplicht datalekken Voor financiële ondernemingen

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Privacyreglement Bureau Beckers

Cursus privacyrecht Jeroen Naves 7 september 2017

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Privacyverklaring Stichting Speelotheek Pinoccio

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Algemene verordening gegevensbescherming (AVG)

Checklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving

Help een datalek! Wat nu?

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Checklist Beveiliging Persoonsgegevens

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Privacyreglement versie juli 2018 Inhoud

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

Protocol meldplicht datalekken

Privacy Reglement. 2 Definities. 3 Reikwijdte en doelstelling

Checklist basisbeginselen privacyregelgeving

GAAT U NETJES MET PERSOONSGEGEVENS OM?

WET MELDPLICHT DATALEKKEN FACTSHEET

Privacyreglement Belangenvereniging Ede Noord

Privacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6

Procedure datalekken NoorderBasis

PRIVACYBELEID CONVENIENT FASTGUIDE BV

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

DE AVG IN EEN NOTENDOP. Maike van Zutphen Legal, Compliance & Privacy Officer

Algemene Verordening Gegevensbescherming (AVG)

Presentatie Jaarcongres ICT Accountancy Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 2 november 2016

Privacyverklaring Therapeuten VVET

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

Privacy protocol Sociaal domein gemeente Waterland 2015

de Wet & het College Bescherming Persoonsgegevens Anne Smeets

Privacyreglement SOML

AVG EN DE IMPACT OP UW BUSINESS

Het Europese privacyrecht in beweging

1. Begripsbepalingen In dit reglement wordt verstaan onder:

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Gegevensverwerking en Privacy bij samenwerking rond arbeidsparticipatie Analyseren van knelpunten

PRIVACY GOED GEREGELD. Voorjaar 2018

Privacy reglement. Pagina 1 van 9

Meldplicht Datalekken CBP RICHTSNOEREN

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

Wet meldplicht datalekken

Procedure Melden beveiligingsincidenten

Privacyreglement. 1. Begripsbepalingen

De AVG en de gevolgen voor de uitvoeringspraktijk

Privacy proof organisatie? Okkerse & Schop Advocaten biedt u een juridische Privacy QuickScan

Privacyreglement voor Stichting STAIJ

Protocol datalekken Samenwerkingsverband ROOS VO

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Wettelijke kaders voor de omgang met gegevens

Privacy Ad Boumans

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Afdeling 2 Uitgangspunt voor een goede gegevensverwerking

De gevolgen van de AVG

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Datum: 20 april Auteur: Jan Vermeulen/Karin Melger. Status: Definitief t.b.v. bestuur. Directie / Bestuur / GMR / Raad van Toezicht.

Transcriptie:

LCO 30 november 2016 0 Privacy regulering & Compliance Leergang Compliance Officer Nederlands Compliance Instituut Eric Schreuders Net2Legal Consultants (www.n2l.nl) schreuders@n2l.nl Net2legal Consultants 2016

De evolutie van het privacyrecht Gelijk niveau van bescherming persoonsgegevens in alle EU-lidstaten 1980 Privacy beginselen 1950 1989 Nationale wetgeving 1995 Europese Privacy richtlijn 2001 Wet Bescherming Persoonsgegevens 2012 2018 Voorstel EU Verordening 25 mei AVG Europees verdrag voor de rechten van de mens Database Compliance Beginnende compliance t.a.v. verwerkingen en organisatie Business compliance Continu in control + accountability

Veranderingen in regelgeving De Algemene Verordening Gegevensbescherming 2012 Voorstel Verordening Mei 2016 Inwerkingtreding Verordening 25 mei 2018 Van toepassing Veel van hetzelfde maar dan echt anders Wanneer handhaving en wanneer aandacht? Tijdig anticiperen+ veel moet ook nu al Wijziging van de Wbp (per 1 januari 2016) Datalekken (Beleidsregels) Boetebevoegdheid AP (Beleidsregels)

Meer en meer samenloop van onderwerpen Verschuiving van focus Minder juridisch Security (datalekken, beveiligingsvereisten,etc) Governance, Risk en Compliance Communicatie en voorlichting Vaak voorkomende zwakke plekken: Gebrek aan kennis ( onbewust onbekwaam ) Niet herkennen van problemen Te laat toetsten in plaats van vooraf Te beperkte scope van Privacy en Dataprotectie

4 Waar kan het misgaan? Directe en indirecte gevolgen Continuïteit bedrijfsvoering Hoge boetes Imagoschade en beeldvorming Onverwachte gevolgen door verlies vertrouwen

Het complexe juridische kader Wbp WOB WPolg Gedragscodes Protocollen Sectorale regels Geheimhoudings - bepalingen Archief wet WJG AWB WvSV WOR BRP Sectorale wetgeving WGBO

Gedragscode Financiële instellingen 2010 Gedragscode niet voor incidentenregisters, extern verwijzingsregister Protocol Incidentwaarschuwingssysteem 2011 Afzonderlijke gedragscode voor zorgverzekeraars Naleving: stelsel zelfevaluaties + periodieke risicoanalyses Compliance of afdeling belast met toezicht: zorgplicht dat wettelijke kaders worden nageleefd

Essentiele Bouwstenen Behoorlijk en Zorgvuldig Transparantie Beveiliging (Compliance & In control )

Persoonsgegevens Wat is een persoonsgegeven? Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Direct en indirect identificeerbaar Zakelijke gegevens en bedrijfsgegevens Geaggregeerde, anonieme en pseudonieme gegevens

Wie is wie? Verantwoordelijke Degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt Bewerker Een extern bureau dat werkzaamheden verricht en zich onderwerpt aan de instructies van de verantwoordelijke en onder zijn verantwoordelijkheid gegevens verwerkt Betrokkene Degene op wie een persoonsgegeven betrekking heeft

Verplichte schriftelijke afspraken Zorgdragen dat de bewerker voldoende waarborgen biedt beveiligingsverplichtingen nakomt, en slechts in zijn opdracht gegevens verwerkt Expliciet akkoord gaan met de diverse aangeboden diensten Toezien op de naleving van de beveiligingsmaatregelen (evt. Third-Party) De uitvoering en beschrijving werkzaamheden in bewerkerscontracten (zoals: autorisaties, logbestanden, opslag gegevensdragers, verstrekken gegevens, achteraf teruggeven en vernietigen van gegevens) Hoofdstuk 4 AP/CBP Richtsnoeren beveiliging (2013) + Beleidsregels meldplicht datalekken (2015)

Ken uw toezichthouder Autoriteit Persoonsgegevens (AP) De Nederlandse toezichthouder (voorheen CBP) www.autoriteit Persoonsgegevens.nl www.mijnprivacy.nl De Functionaris Gegevensbescherming Onafhankelijk interne toezichthouder Facultatief onder de Wbp, straks deels verplicht onder de EU Verordening Privacy Officer, DPO, CPO, Privacy coördinator

Zorgvuldigheidsnormen (I) Behoorlijk, zorgvuldig en in overeenstemming met de wet gegevens verwerken Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld

Verenigbaar verder gebruik Gegevens worden niet verder verwerkt op een wijze onverenigbaar met de doeleinden waarvoor verkregen Verwantschap doelen Aard van de gegevens Gevolgen voor de betrokkene Wijze van verkrijging Passende waarborgen jegens betrokkene Met name van belang: wat mag betrokkene verwachten!

Gronden voor verwerken De ondubbelzinnige toestemming

Gerechtvaardigde doelstelling Ondubbelzinnige toestemming Overeenkomst Wettelijke verplichting Vitaal belang van de betrokkene Goede vervulling publiekrechtelijke taak Gerechtvaardigd belang De grondslagen van artikel 8 Wbp

Nodig Noodzakelijk

Algemene afweging belangen Mogelijkheid recht van verzet (bezwaar) door betrokkene met individuele afweging van de bijzondere persoonlijke omstandigheden (8f)

Verzet bij Direct Marketing altijd honoreren

Bijzondere gegevens Bijzondere persoonsgegevens Godsdienst of levensovertuiging Ras Politieke gezindheid Lidmaatschap van een vakvereniging Gezondheid Seksuele leven Strafrechtelijke gegevens, onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van hinderlijk gedrag Verwerking is verboden, behoudens.... bij wet bepaald + uitzonderingen (art.23 Wbp) Gegevens van gevoelige aard (gegevens met verhoogd risico) Burger Service Nummer Gegevens over de financiële of economische situatie van de betrokkene (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, prestaties op school, relatieproblemen, etc.) Gebruiksnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden gebruikt voor (identiteits)fraude Gegevens over kinderen

Zorgvuldigheidsnormen(II) Bewaartermijnen Kwaliteit gegevens: gegevens moeten toereikend + ter zake dienend + niet bovenmatig + juist en nauwkeurig zijn Beveiliging

Artikel 13 Wbp Passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen moeten rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn mede gericht op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens.

Informatiebeveiliging en dataprotectie Richtsnoeren beveiliging persoonsgegevens (2013) Van adequaat als open norm tot beveiligen volgens normen zoals ISO/NEN Beveiligingsbeleid, plannen en risicoanalyses, maatregelen en het toezicht ook gericht op de feitelijke uitvoering/naleving van maatregelen NEN ISO 27002 Beheer van informatiebeveiligingsincidenten

Meldplicht datalekken (Wbp) Artikel 34 a Wbp : voor inbreuken waarbij gegevens zijn blootgesteld aan een aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens Gaat over een beveiligingsincident Indien lekken een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot de gegevens tot gevolg heeft AP Beleidsregels datalekken (2015)

Bij wie melden? Melding toezichthouder Melding betrokkene + uitzondering op meldplicht voor financiële ondernemingen zoals bedoeld in de Wft: valt al onder de wettelijke zorgplicht van de onderneming (adequaat informeren van de afnemers van uw diensten)

Inbreuk op de beveiliging als bedoeld in art.13 Wbp Daadwerkelijk beveiligingsincident waarbij preventieve maatregelen niet toereikend waren om dit te voorkomen. - dus niet uitsluitend een dreiging, of tekortkoming in de beveiliging die kan leiden tot een beveiligingsincident Voorbeelden van mogelijke incidenten: Een kwijtgeraakte USB-stick Een gestolen laptop Een inbraak door een hacker Een malware besmetting Een calamiteit zoals brand in een datacentrum

Daadwerkelijk incident + daadwerkelijke gevolgen Voor een datalek moet het incident daadwerkelijk gevolgen hebben voor de verwerkte gegevens Zoals: gegevens die verloren zijn gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten (+ de repressieve maatregelen en herstelmaatregelen zijn niet voldoende om de mogelijke gevolgen geheel weg te nemen) Let op!: Een datalek kan zicht ook voordoen als passende technische of organisatorische maatregelen zijn getroffen (en leg dat maar eens uit )

+ alleen melden bij AP bij (aanzienlijke kans op) ernstig nadelige gevolgen voor bescherming van persoonsgegevens Er is geen sprake van een datalek

Wie: de verantwoordelijke (tenzij) Wat: ook melden als niet duidelijk is wat er is gebeurd en om welke persoonsgegevens het gaat. De melding kan eventueel later worden aangevuld of ingetrokken. Waar: melding bij de Autoriteit Persoonsgegevens via de website www.autoriteitpersoonsgegevens.nl Hoe:met behulp van speciaal webformulier, waarmee de melding ook worden aangevuld of ingetrokken. Na het indienen wordt een meldingsnummer getoond ter bevestiging, en voor toekomstige communicatie met de AP Wanneer: zonder onredelijke vertraging zo mogelijk niet meer dan 72 uur na ontdekking (indien later dan moet dit desgevraagd worden gemotiveerd).

Informatieplicht Tenzij de betrokkene al op de hoogte is Uitzonderingen: Niet als onmogelijk /het onevenredige inspanning kost Verstrekking op basis van de wet is voorgeschreven O.a. informeren over: identiteit verantwoordelijke en doeleinden informatie m.b.t. waarborgen behoorlijke en zorgvuldige verwerking rechten betrokkene

De Verordening: Breder Informeren Transparant en toegankelijk beleid en procedures m.b.t. informeren en uitoefening rechten Alle informatie in duidelijke en aangepaste taal Naast huidige informatieverplichting, m.n. straks ook: Bewaartermijn Nieuwe rechten Ontvangers Internationale verstrekking Verstrekken gegevens verplicht of vrijwillig + gevolgen Bron van niet bij betrokkene verkregen gegevens

Rechten van de betrokkene 1.Informatieplicht 2.Recht op kennisneming - Doeleinden - Categorieën - ontvangers 3. Recht op verzet - Bijv. direct marketing - Verzet in geval van special omstandigheid 4. Recht op correctie -Rectificatie -Verwijdering -Afschermen 5. Recht op vergetelheid 6. Recht op beperking van de verwerking Uitzonderingen (art. 43 Wbp)

De Verordening: extra rechten Profilering recht om niet te worden onderworpen aan een maatregel waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die deze in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking. Voorwaarden: o.a. recht op menselijke tussenkomst, niet kinderen Recht op beperking van de verwerking recht op beperking van de verwerking, ingeval van betwisten juistheid, onrechtmatig, niet meer nodig, bezwaar. Recht om gegevens mee te nemen (dataportabiliteit) recht op een kopie van de gegevens in een vorm waarbij deze verder door de betrokkene kunnen worden gebruikt. Recht op gegevenswissing (recht op vergetelheid) recht op wissing van hem betreffende persoonsgegevens

Voorafgaand onderzoek Speciale onderwerpen Ander gebruik van persoonsnummers Gegevens verzamelen zonder te informeren Strafrechtelijke verwerkingen t.b.v. derden Protocol Incidentenwaarschuwingssysteem Internationale verstrekkingen buiten de EER Passend niveau van bescherming Uitzonderingen, Vergunning, Afspraken Model overeenkomsten en BCR s Naar de VS: Safe Harbour en Privacy Shield

Sancties Aanpassing Wbp boetebevoegdheid per 1 januari 2016: Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. - Niet-melden van een datalek: maximaal 500.000 - Overige overtredingen Wbp: maximaal 820.000 / 10% jaaromzet Europese Verordening per 25 mei 2018: maximaal 20 miljoen/ 4% mondiale jaaromzet) Eerder bestaande middelen, mogelijkheden,zoals een dwangsom: in beginsel voor alles, Veel nadruk op beveiliging en niet toegestane verwerkingen, met name gebruik van het BSN

Wbp Meldingsplicht verwerkingen Meldingsplicht of Vrijstelling Doel: transparantie en vooral toezicht Inhoud: wie verwerkt wat, waar en waarvoor? Melden bij het AP of bij een FG Boete bij ten onrechte niet melden Straks niet meer, maar wat dan?

Het compliance-dossier Beleid en maatregelen om compliance aan te tonen (ook beschikbaar voor de toezichthouder!) Documentatie: Huidige melding + informatie bij informeren Gegevensbeveiliging Beveiligingsbeleid en plannen Risicobeoordelingen..

Privacy Impact Assessment De PIA - Privacy effect beoordeling Risico-inschatting van de effecten op het gebied van privacy bij nieuwe systemen en verwerkingen, profiling, gevoelige verwerkingen en bijzondere gegevens Beschrijving, risicoanalyse t.a.v. privacy, maatregelen, waarborgen en aantonen dat maatregelen en waarborgen ook werken

Geen vaste methodiek Methodiek + verschillende modellen/toepassingen Europa Norea (2012) Toetsmodel Rijksdienst Overige commerciële aanbieders

PIA, PET, PbD, PbD en Privacy audit Privacy Enhancing Technologies (PET), Privacy by Design (PbD) en Privacy by Default (PbD) speelt bij aanschaf/laten ontwikkelen systemen Privacy audit (Quick Scan/Zelfevaluatie/Audit) PIA > PBD/PET > Implementatie > Audit

40 De verordening vereist een andere aanpak Van terzijde naar onvermijdelijk Van ad-hoc naar structurele werkzaamheden (continu in controle ) Van achteraf toetsen naar vooraf beoordelen, maatregelen treffen en controleren

De Verordening: Veel hetzelfde maar dan echt anders Materieel heel veel hetzelfde, echt anders is: Aantoonbaar continu in controle Aandacht naar de voorkant van het proces Privacy By Design, Privacy By Default Privacy Impact Assessment Datalekken Verplicht aanstellen van een FG Sancties (meer, hoger + sneller opgelegd) Recht om vergeten te worden/ dataportabiliteit / profiling

Afsluiting

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback