Ontwikkelingen in privacywet- en regelgeving

Vergelijkbare documenten
Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Privacy regulering & Compliance

Privacy regulering & Compliance

Privacy regulering & Compliance

Privacy regulering & Compliance

Privacy regulering & Compliance

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Raadsmededeling - Openbaar

Sta eens stil bij de Wet Meldplicht Datalekken

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Beleid en procedures meldpunt datalekken

Vita Zwaan, 16 november 2017

Protocol meldplicht datalekken

Algemene Verordening Gegevensbescherming

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Hoe ziet de organisatie privacy? > Waar staat de organisatie? > Wie moet iets doen? > Wat moet er gedaan worden? > Hoe doe je dat?

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Hoe ziet de organisatie privacy?

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Algemene verordening gegevensbescherming

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Plan

Help een datalek! Wat nu?

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Privacy in de afvalbranche

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Agenda. De AVG: wat nu?

Protocol Meldplicht Data-lekken

Melden van datalekken

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Procedure datalekken NoorderBasis

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Protocol meldplicht datalekken Voor financiële ondernemingen

Procedure Melden beveiligingsincidenten

Meldplicht Datalekken CBP RICHTSNOEREN

Protocol meldplicht datalekken

WET MELDPLICHT DATALEKKEN FACTSHEET

Stappenplan naar GDPR compliance

checklist in 10 stappen voorbereid op de AVG. human forward.

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Privacy en de meldplicht datalekken

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

PROCEDURE MELDPLICHT DATALEKKEN

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Presentatie Jaarcongres ICT Accountancy Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 2 november 2016

Procedure Meldplicht Datalekken

Checklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Stappenplan naar GDPR compliance

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Meldplicht Datalekken: bent u er klaar voor?

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Algemene Verordening Gegevensbescherming. Sjoera Nas Amsterdam 28 maart 2018

E. Procedure datalekken

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Procedure meldplicht datalekken

De grootste veranderingen in hoofdlijnen

A2 PROCEDURE MELDEN DATALEKKEN

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Checklist Beveiliging Persoonsgegevens

Handvatten bij de implementatie van de AVG

Protocol meldplicht datalekken

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Privacy Maturity Scan (PMS)

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016

Het Europese privacyrecht in beweging

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Regeling meldplicht datalekken 2016

Wet meldplicht datalekken

Protocol Beveiligingsincidenten en datalekken

GAAT U NETJES MET PERSOONSGEGEVENS OM?

Privacyreglement Medewerkers Welzijn Stede Broec

Meldplicht datalekken. Prof. mr. G-J. (Gerrit-Jan) ZWENNE Leiden 2 februari 2016

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Data Protection Impact Assessment (DPIA)

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

Privacyreglement Belangenvereniging Ede Noord

Protocol datalekken Samenwerkingsverband ROOS VO

Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

Databeheer in de kerk

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Wat betekent de AVG voor jouw vereniging?

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

General Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP

De gevolgen van de AVG

Privacy wetgeving: Wat verandert er in 2018?

Data Protection Same Game, Other Rules

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

Transcriptie:

Ontwikkelingen in privacywet- en regelgeving NCI Update Compliance Banken Huib Gardeniers Net2Legal Consultants (www.n2l.nl) info@n2l.nl Net2legal Consultants2016 Onderwerpen binnen de Update Inleiding en scope A. Veranderingen in toezicht B. De meldplicht datalekken C. Doorgifte naar derde landen D. De verordening: breder informeren E. Rechten van de betrokkene F. Sancties vanaf 2016 G. Van melding verwerkingen naar Dossier H. Privacy Impact Assessment I. De verordening: kies een andere aanpak J. Optioneel: Artikel 11.7 en II.7a Telecommunicatiewet De evolutie van het privacyrecht Gelijk niveau van bescherming persoonsgegevens in alle EU-lidstaten 1980 Privacy beginselen 1989 Nationale wetgeving 1950 Europees verdrag voor de rechten van de mens 1995 Europese Privacy richtlijn 2012 2018 2001 Voorstel EU 25 mei Wet Bescherming Verordening AVG Persoonsgegevens Database Compliance Beginnende compliance t.a.v. verwerkingen en organisatie Business compliance Continu in control + accountability 1

Veranderingen in regelgeving De Algemene Verordening Gegevensbescherming 2012 Voorstel Verordening Mei 2016 Inwerkingtreding Verordening Veel van hetzelfde maar dan echt anders Wanneer handhaving en wanneer aandacht? Tijdig anticiperen+ veel moet ook nu al Wijziging van de Wbp (per 1 januari 2016) 25 mei 2018 Van toepassing Boetebevoegdheid AP (beleidsregels december 2015) Datalekken (beleidsregels 9 december 2015) Meer en meer samenloop van onderwerpen Verschuiving van focus Minder juridisch Security (datalekken, beveiligingsvereisten,etc) Governance, Risk en Compliance Communicatie en voorlichting Vaak voorkomende zwakke plekken: Gebrek aan kennis ( onbewust onbekwaam ) Niet herkennen van problemen Te laat toetsten in plaats van vooraf Te beperkte scope van Privacy en Dataprotectie Waar kan het misgaan? Directe en indirecte gevolgen Continuïteit bedrijfsvoering Hoge boetes Imagoschade en beeldvorming Onverwachte gevolgen door verlies vertrouwen 5 2

A: Veranderingen in toezicht Autoriteit Persoonsgegevens (AP) De Nederlandse toezichthouder (voorheen CBP) www.autoriteit Persoonsgegevens.nl www.mijnprivacy.nl Jacob Kohnstamm -> Aleid Wolfsen De Functionaris Gegevensbescherming Onafhankelijk interne toezichthouder Facultatief onder de Wbp, straks deels verplicht onder de EU Verordening Privacy Officer, DPO, CPO, Privacy coördinator B. Meldplicht datalekken (Wbp) Gaat over beveiligingsincidenten Voor inbreuken waarbij gegevens zijn blootgesteld aan een aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens Artikel 13 Wbp Passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen moeten rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn mede gericht op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens. 3

Informatiebeveiliging en dataprotectie Richtsnoeren beveiliging persoonsgegevens (2013) Van adequaat als open norm tot beveiligen volgens normen zoals ISO/NEN Beveiligingsbeleid, plannen en risicoanalyses, maatregelen en het toezicht ook gericht op de feitelijke uitvoering/naleving van maatregelen NEN ISO 27002 Beheer van informatiebeveiligingsincidenten Meldplicht datalekken (Wbp) Indien lekken een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot de gegevens tot gevolg heeft Melding toezichthouder Melding betrokkene I. Inbreuk op de beveiliging als bedoeld in art.13 Wbp Daadwerkelijk beveiligingsincident waarbij preventieve maatregelen niet toereikend waren om dit te voorkomen. (dus niet uitsluitend een dreiging, of tekortkoming in de beveiliging die kan leiden tot een beveiligingsincident) Voorbeelden van mogelijke incidenten: Een kwijtgeraakte USB-stick Een gestolen laptop Een inbraak door een hacker Een malware besmetting Een calamiteit zoals brand in een datacentrum 4

II. Datalek= Daadwerkelijk incident + Daadwerkelijke gevolgen Voor een datalek moet het incident daadwerkelijk gevolgen hebben voor de verwerkte gegevens Zoals: gegevens die verloren zijn gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten (+ de repressieve maatregelen en herstelmaatregelen zijn niet voldoende om deze gevolgen geheel weg te nemen) Let op!: Een datalek kan zicht ook voordoen als passende technische of organisatorische maatregelen zijn getroffen (en leg dat maar eens uit ) III. Alleen melden als (aanzienlijke kans op) ernstig nadelige gevolgen voor de bescherming van persoonsgegevens Er is geen sprake van een datalek Bijzondere en Gevoelige gegevens Bijzondere persoonsgegevens Godsdienst of levensovertuiging Ras Politieke gezindheid Lidmaatschap van een vakvereniging Gezondheid Seksuele leven Strafrechtelijke gegevens, onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van hinderlijk gedrag Verwerking is verboden, behoudens.... bij wet bepaald + uitzonderingen (art.23 Wbp) Gegevens van gevoelige aard (gegevens met verhoogd risico) Burger Service Nummer Gegevens over de financiële of economische situatie van de betrokkene (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, prestaties op school, relatieproblemen, etc.) Gebruiksnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden gebruikt voor (identiteits)fraude Gegevens over kinderen 5

Wie meldt?: de verantwoordelijke Ook melden als niet duidelijk is wat er is gebeurd en om welke persoonsgegevens het gaat. De melding kan eventueel later worden aangevuld of ingetrokken. Waar: melding bij de Autoriteit Persoonsgegevens via de website www.autoriteitpersoonsgegevens.nl Hoe: met behulp van speciaal webformulier, waarmee de melding ook worden aangevuld of ingetrokken. Na het indienen wordt een meldingsnummer getoond ter bevestiging, en voor toekomstige communicatie met de AP Wat voor meldingen tot nu toe? Verwachting: 60.000 meldingen van datalekken per jaar, maar.. Meestal slordigheden Veel meldingen over onversleutelde gegevensdragers Veel meldingen over organisatorische fouten Specifiek aandachtspunt: beveiliging medische gegevens online Cryptoware / ransomware Melden bij de betrokkene 6

Meldplicht maar dan net anders Meldplicht artikel 11.3a eerste lid Telecommunicatiewet Melding betrokkene: uitzondering op meldplicht voor financiële ondernemingen zoals bedoeld in de Wft: valt al onder de wettelijke zorgplicht van de onderneming (adequaat informeren van de afnemers van diensten) Regeling datalekken Wbp en AVG: net anders Artikel 34 a Wbp Inbreuk op de beveiliging met aanzienlijke kans op, of die leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens Melden inbreuk bij betrokkene: Indien inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer Artikel 33 en 34 AVG Inbreuk in verband met persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen Melden inbreuk bij betrokkene: Indien inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen Wbp en AVG: wanneer melden? Artikel 34 a Wbp wanneer melden: zonder onredelijke vertraging + Beleidsregels datalekken: zo mogelijk niet meer dan 72 uur na ontdekking + Beleidsregels datalekken: indien later dan moet dit desgevraagd worden gemotiveerd Artikel 33 en 34 AVG wanneer melden: zonder onredelijke vertraging en indien mogelijk uiterlijk 72 uur nadat de verantwoordelijke daarvan kennis heeft genomen Indien langer dan moet een motivering worden toegevoegd 7

72 uur na ontdekking Ponemon rapportage 2015: 72 uur? Mean Time to Identify (MTTI) is gemiddeld 206 dagen! Weinig verschil of het een kwaadaardige of criminele aanval, een systeem verstoring, of menselijke fout betreft. Kosten per record 185,- (Duitsland) betreft ook abnormale churn De grootste uitdaging: hoe kom je te weten dat er een incident is? Personeel incentive? + afweging tussen twee kwaden Bewerker zekerheid? + blijvende verantwoordelijkheid! Klantcontactcenter (let op de klok ), communicatie Wisselende signalen Weinig meldingen + erg wisselend De datalek paradox : wat niet weet, wordt niet gemeld Betrokken onderdelen mogelijkheden Compliance/Risk (GRC) ICT/Security (ISO/CISO,..) Communicatie Juridische zaken (afweging en melding) Het betrokken bedrijfsonderdeel C. Doorgifte naar derde landen Adequacy Uitzonderingen (artikel 77 Wbp) Vergunning Modelcontracten EC (verantwoordelijke/bewerker) BCR's De ontvanger in derde land is een buiten EERverantwoordelijke 8

Doorgifte naar derde landen Safe harbor arrest Hof van Justitie 6 oktober 2015 Klacht Max Schremms over opslag gegevens Facebookgebruikers in de VS HVJ verklaart Besluit 2000/520 ongeldig Impact voor alle organisaties die bij doorgifte aan de VS gebruik maakten van Safe Harbor Privacy Shield vanaf 1 augustus 2016 (oplossing?) D: De verordening: breder informeren Transparant en toegankelijk beleid en procedures m.b.t. informeren en uitoefening rechten Alle informatie in duidelijke en aangepaste taal Naast huidige informatieverplichting, m.n. straks ook: Bewaartermijn Nieuwe rechten Ontvangers Internationale verstrekking Verstrekken gegevens verplicht of vrijwillig + gevolgen Bron van niet bij betrokkene verkregen gegevens Nu al anticiperen Laat de benodigde gegevens zoals: bronnen, bewaartermijnen en verplichte velden nu al in nieuwe systemen inbouwen Inventariseer bewaartermijnen en verwijderings- /vernietigingsbeleid, inclusief archivering. 9

E: Rechten van de betrokkene 1.Informatieplicht 2.Recht op kennisneming - Doeleinden - Categorieën - ontvangers 3. Recht op verzet - Bijv. direct marketing - Verzet in geval van special omstandigheid 4. Recht op correctie - Rectificatie - Verwijdering - Afschermen 5. Recht om vergeten te worden - nieuw! Uitzonderingen (art. 43 Wbp) De Verordening: extra rechten Profilering recht om niet te worden onderworpen aan een maatregel waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die deze in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking. Voorwaarden: o.a. recht op menselijke tussenkomst, niet kinderen Recht om gegevens mee te nemen (dataportabiliteit) recht op een kopie van de gegevens in een vorm waarbij deze verder door de betrokkene kunnen worden gebruikt. F: Sancties vanaf 2016 (Wbp) Aanpassing Wbp boetebevoegdheid per 1 januari 2016: Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. - Niet-melden van een datalek: maximaal 500.000 - Overige overtredingen Wbp: maximaal 820.000 / 10% jaaromzet Europese Verordening per 25 mei 2018: maximaal 20 miljoen/ 4% mondiale jaaromzet) Eerder bestaande middelen, mogelijkheden,zoals een dwangsom: in beginsel voor alles, Veel nadruk op beveiliging en niet toegestane verwerkingen, met name gebruik van het BSN 10

G: Van melding verwerkingen naar Dossier Meldingsplicht of Vrijstelling Doel: transparantie en vooral toezicht Inhoud: wie verwerkt wat, waar en waarvoor? Melden bij het AP of bij een FG Boete bij ten onrechte niet melden Straks niet meer, maar wat dan? Het compliance-dossier Beleid en maatregelen om compliance aan te tonen (ook beschikbaar voor de toezichthouder!) Documentatie: Huidige melding + informatie bij informeren Gegevensbeveiliging Beveiligingsbeleid en plannen Risicobeoordelingen.. H. Privacy Impact Assessment De PIA - Privacy effect beoordeling Risico-inschatting van de effecten op het gebied van privacy bij nieuwe systemen en verwerkingen, profiling, gevoelige verwerkingen en bijzondere gegevens Beschrijving, risicoanalyse t.a.v. privacy, maatregelen, waarborgen en aantonen dat maatregelen en waarborgen ook werken 11

Historisch perspectief van de PIA Rond 2005 modellen en beschrijvingen door Canadese, Britse en Australische toezichthouders Samenhang met Privacy Enhancing Technologies en Privacy by Design (en privacy by default) PIA Met een PIA wordt inzicht verkregen in de vragen: o óf de voorziene gegevensverwerking doorgang kan vinden o welke gegevensverwerkingen dan noodzakelijk zijn o hoe deze gegevensverwerkingen plaats mogen vinden Voorafgaande toestemming of raadplegen toezichthouder, m.n. indien PIA als uitkomst heeft dat er grote risico s voor privacy zijn Geen vaste methodiek Methodiek + verschillende modellen/toepassingen Europa Norea (2012) Toetsmodel Rijksdienst Overige commerciële aanbieders 12

Keuze voor de Scope niet alleen dataprotectie wet en regelgeving ook breder zoals: percepties van privacy uitgangspunten van dataprotectie niet alleen vanuit belang betrokkene en samenleving maar ook de onderneming meenemen ook gericht de vraag of de organisatie in staat is om eventuele tekortkomingen te signaleren, en er bereidheid is om de maatregelen te treffen die het risico kunnen afwenden ( Risk appetite accountability en in control ). PIA, PET, PbD, PbD en Privacy audit Privacy Enhancing Technologies (PET), Privacy by Design (PbD) en Privacy by Default (PbD) speelt bij aanschaf/laten ontwikkelen systemen Privacy audit (Quick Scan/Zelfevaluatie/Audit) PIA > PBD/PET > Implementatie > Audit I. De verordening: kies een andere aanpak Van terzijde naar onvermijdelijk Van ad-hoc naar structurele werkzaamheden (continu in controle ) Van achteraf toetsen naar vooraf beoordelen, maatregelen treffen en controleren 38 13

De Verordening: Veel hetzelfde maar dan echt anders Materieel heel veel hetzelfde, echt anders is: Aantoonbaar continu in controle Aandacht naar de voorkant van het proces Privacy By Design, Privacy By Default Privacy Impact Assessment Datalekken Verplicht aanstellen van een FG Sancties (meer, hoger + sneller opgelegd) Recht om vergeten te worden/ dataportabiliteit / profiling Anticipeer nu Richt de compliance organisatie in: multi-disciplinair team (+PR!) eventuele voorbereiding FG (DPO/CPO) organisatie datalekken (denk ook aan bewerkers) Stel bewaartermijn vast + implementeer naleving Experimenteer met PIA s Beoordeel opties privacy by design + by default Bouw opties in nieuwe systemen in (bronnen/ bewaartermijnen/ verplichte velden) Pas rechten betrokkenen nu al aan 14

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback