0 Privacy regulering & Compliance Leergang Compliance Officer/Professional Nederlands Compliance Instituut Huib Gardeniers Net2Legal Consultants (www.n2l.nl) gardeniers@n2l.nl Net2legal Consultants 2016
De evolutie van het privacyrecht Gelijk niveau van bescherming persoonsgegevens in alle EU-lidstaten 1980 Privacy beginselen 1950 1989 Nationale wetgeving 1995 Europese Privacy richtlijn 2001 Wet Bescherming Persoonsgegevens 2012 2018 Voorstel EU Verordening 25 mei AVG Europees verdrag voor de rechten van de mens Database Compliance Beginnende compliance t.a.v. verwerkingen en organisatie Business compliance Continu in control + accountability
Veranderingen in regelgeving De Algemene Verordening Gegevensbescherming 2012 Voorstel Verordening Mei 2016 Inwerkingtreding Verordening De UAVG, de eprivacy Regulation, Richtlijn gegevensbescherming politie en justitie, EU Guidelines, AP beleidsregels, Verschuiving van focus: Minder juridisch, Meer Security, Governance, Risk en Compliance en Communicatie en voorlichting Wijziging van de Wbp (per 1 januari 2016) 25 mei 2018 Van toepassing Datalekken (Beleidsregels) + Boetebevoegdheid AP (Beleidsregels)
Het veelzijdige juridische kader Gedragscodes Protocollen Sectorale regels Geheimhoudingsbepalingen TW Wbp WOB WPolg AWB Archief wet WvSV Beleidsregels en uitspraken toezichthouder EU Guidelines WJG WOR Sectorale wetgeving WGBO BRP
Gedragscode Financiële instellingen 2010 Gedragscode niet voor incidentenregisters, extern verwijzingsregister Protocol Incidentwaarschuwingssysteem 2011 Afzonderlijke gedragscode voor zorgverzekeraars Naleving: stelsel zelfevaluaties + periodieke risicoanalyses Compliance of afdeling belast met toezicht: zorgplicht dat wettelijke kaders worden nageleefd
Essentiele Bouwstenen Behoorlijk en Zorgvuldig Transparantie Beveiliging Compliance & In control
Persoonsgegevens Wat is een persoonsgegeven? Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Direct en indirect identificeerbaar Zakelijke gegevens en bedrijfsgegevens Geaggregeerde, anonieme en pseudonieme gegevens
Sommige gegevens zijn belangrijker dan andere Bijzondere persoonsgegevens (AVG + Uitvoeringswet t.a.v. strafrecht etc.) Religieuze of levensbeschouwelijke overtuigingen Ras of etnische afkomst Politieke opvattingen Lidmaatschap van een vakbond Gezondheid + Genetische gegevens Seksueel gedrag of gerichtheid Biometrische gegevens identificatie Strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen / door rechter opgelegd verbod n.a.v. onrechtmatig of hinderlijk gedrag Verwerking is verboden, behoudens.... bij wet bepaald + uitzonderingen (art.23 Wbp / art. 9 AVG en Uitvoeringswet) Gegevens van gevoelige aard (gegevens met verhoogd risico) Burger Service Nummer (wettelijke persoonsnummers) Gegevens over financiële of economische situatie van betrokkene (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkene (gokverslaving, prestaties op school, relatieproblemen, etc.) Gebruiksnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden gebruikt voor (identiteits-)fraude Gegevens over kinderen Van belang bij datalekken, informatiebeveiliging, afweging noodzaak gegevens
Is sprake van verwerking van persoonsgegevens? Valt de verwerking binnen de reikwijdte van de wet?
Wie is wie? (verwerkings)verantwoordelijke Degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt Bewerker/ Verwerker Een extern bureau dat werkzaamheden verricht en zich onderwerpt aan de instructies van de verantwoordelijke en onder zijn verantwoordelijkheid gegevens verwerkt Betrokkene Degene op wie een persoonsgegeven betrekking heeft
Verplichte schriftelijke afspraken Zorgdragen dat de bewerker voldoende waarborgen biedt beveiligingsverplichtingen nakomt, en slechts in zijn opdracht gegevens verwerkt Expliciet akkoord gaan met de diverse aangeboden diensten Toezien op de naleving van de beveiligingsmaatregelen (evt. Third-Party) De uitvoering en beschrijving werkzaamheden in bewerkerscontracten (zoals: autorisaties, logbestanden, opslag gegevensdragers, verstrekken gegevens, achteraf teruggeven en vernietigen van gegevens) Nu Richtsnoeren beveiliging + Beleidsregels meldplicht datalekken Straks artikel 28 en 29 AVG + mogelijk standdaardcontractbepalingen
College bescherming persoonsgegevens -> Autoriteit persoonsgegevens AP Jacob Kohnstamm -> Aleid Wolfsen www.autoriteit Persoonsgegevens.nl www.mijnprivacy.nl Agenda Thema s :
Sancties vanaf 2016 (Wbp) Aanpassing Wbp boetebevoegdheid per 1 januari 2016: Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. - Niet-melden van een datalek: maximaal 500.000 - Overige overtredingen Wbp: maximaal 820.000 / 10% jaaromzet Europese Verordening per 25 mei 2018: maximaal 20 miljoen/ 4% mondiale jaaromzet) Eerder bestaande middelen, mogelijkheden,zoals een dwangsom: in beginsel voor alles, Veel nadruk op beveiliging en niet toegestane verwerkingen, met name gebruik van het BSN
De interne functionaris voor privacy De Functionaris Gegevensbescherming De compliance officer De privacyfunctionaris toezicht houden inventarisaties van gegevensverwerkingen maken register van gegevensverwerkingen bijhouden vragen en klachten van mensen binnen en buiten de organisatie afhandelen interne regelingen ontwikkelen adviseren over technologie en beveiliging (privacy by design / DPIA) Toetsen compliance (rechtmatigheid)
Zorgvuldigheidsnormen (I) Behoorlijk, zorgvuldig en in overeenstemming met de wet gegevens verwerken Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld
Verenigbaar verder gebruik Gegevens worden niet verder verwerkt op een wijze onverenigbaar met de doeleinden waarvoor verkregen Verwantschap doelen Aard van de gegevens Gevolgen voor de betrokkene Wijze van verkrijging Passende waarborgen jegens betrokkene Met name van belang: wat mag betrokkene verwachten!
Gronden voor verwerken De ondubbelzinnige toestemming
Gerechtvaardigde doelstelling Ondubbelzinnige toestemming Overeenkomst Wettelijke verplichting Vitaal belang van de betrokkene Goede vervulling publiekrechtelijke taak Gerechtvaardigd belang De grondslagen van artikel 8 Wbp/6AVG
Afweging belangen Verzet (bezwaar)recht betrokkene met individuele afweging (8f) Bijzondere persoonlijke omstandigheden
Nodig Noodzakelijk
Zorgvuldigheidsnormen(II) Bewaartermijnen Kwaliteit gegevens: gegevens moeten toereikend + ter zake dienend + niet bovenmatig + juist en nauwkeurig zijn Beveiliging
Artikel 13 Wbp Passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen moeten rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn mede gericht op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens.
Informatiebeveiliging en dataprotectie Richtsnoeren beveiliging persoonsgegevens (2013) Van adequaat als open norm tot beveiligen volgens normen zoals ISO/NEN Beveiligingsbeleid, plannen en risicoanalyses, maatregelen en het toezicht ook gericht op de feitelijke uitvoering/naleving van maatregelen NEN ISO 27002 Beheer van informatiebeveiligingsincidenten
Meldplicht Datalekken Beveiligingsincident Er heeft zich een beveiligingsincident voorgedaan Datalek Het incident heeft betrekking op persoonsgegevens De gegevens zijn verloren gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten
Bij wie melden? Melding toezichthouder Melding betrokkene + uitzondering op meldplicht voor financiële ondernemingen zoals bedoeld in de Wft: valt al onder de wettelijke zorgplicht van de onderneming (adequaat informeren van de afnemers van uw diensten)
I. Inbreuk op de beveiliging als bedoeld in art.13 Wbp Daadwerkelijk beveiligingsincident waarbij preventieve maatregelen niet toereikend waren om dit te voorkomen. (dus niet uitsluitend een dreiging, of tekortkoming in de beveiliging die kan leiden tot een beveiligingsincident) Voorbeelden van mogelijke incidenten: Een kwijtgeraakte USB-stick Een gestolen laptop Een inbraak door een hacker Een malware besmetting Een calamiteit zoals brand in een datacentrum
II. Datalek= Daadwerkelijk incident + Daadwerkelijke gevolgen Voor een datalek moet het incident daadwerkelijk gevolgen hebben voor de verwerkte gegevens Zoals: gegevens die verloren zijn gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten (+ de repressieve maatregelen en herstelmaatregelen zijn niet voldoende om deze gevolgen geheel weg te nemen) Let op!: Een datalek kan zicht ook voordoen als passende technische of organisatorische maatregelen zijn getroffen (en leg dat maar eens uit )
+ alleen melden bij AP bij (aanzienlijke kans op) ernstig nadelige gevolgen voor bescherming van persoonsgegevens Er is geen sprake van een datalek
Wie meldt?: de verantwoordelijke Ook melden als niet duidelijk is wat er is gebeurd en om welke persoonsgegevens het gaat. De melding kan eventueel later worden aangevuld of ingetrokken. Waar: melding bij de Autoriteit Persoonsgegevens via de website www.autoriteitpersoonsgegevens.nl Hoe: met behulp van speciaal webformulier, waarmee de melding ook worden aangevuld of ingetrokken. Wanneer: zonder onredelijke vertraging zo mogelijk niet meer dan 72 uur na ontdekking (indien later dan moet dit desgevraagd worden gemotiveerd). Na het indienen wordt een meldingsnummer getoond ter bevestiging, en voor toekomstige communicatie met de AP
Wat voor meldingen tot nu toe? Verwachting: 60.000 meldingen van datalekken per jaar, maar.. Meestal slordigheden Veel meldingen over onversleutelde gegevensdragers Veel meldingen over organisatorische fouten Specifiek aandachtspunt: beveiliging medische gegevens online Cryptoware / ransomware
Wbp en AVG: waar zitten de verschillen? Artikel 34 a Wbp Artikel 33 en 34 AVG Inbreuk op de beveiliging met aanzienlijke kans op, of die leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens Melden inbreuk bij betrokkene: Indien inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer Inbreuk in verband met persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen Melden inbreuk bij betrokkene: Indien inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen
Wbp en AVG: wanneer melden? Artikel 34 a Wbp wanneer melden: zonder onredelijke vertraging + Beleidsregels datalekken: zo mogelijk niet meer dan 72 uur na ontdekking + Beleidsregels datalekken: indien later dan moet dit desgevraagd worden gemotiveerd Artikel 33 en 34 AVG wanneer melden: zonder onredelijke vertraging en indien mogelijk uiterlijk 72 uur nadat de verantwoordelijke daarvan kennis heeft genomen Indien langer dan moet een motivering worden toegevoegd
Algemene Wbp Informatieplicht Tenzij de betrokkene al op de hoogte is, informeren over: identiteit verantwoordelijke en doeleinden waarborgen behoorlijke en zorgvuldige verwerking rechten betrokkene Straks: alle informatie in duidelijke taal, plus extra info over: Bewaartermijn Nieuwe rechten Ontvangers Internationale verstrekking Verstrekken gegevens verplicht of vrijwillig + gevolgen Bron van niet bij betrokkene verkregen gegevens
Rechten van de betrokkene 1.Informatieplicht 2.Recht op kennisneming 3. Recht op correctie 4. Recht van verzet 5. Recht op vergetelheid 6. Nieuwe rechten Uitzonderingen (art. 43 Wbp/ Uitvoeringswet AVG)
De Verordening: extra rechten Profilering recht om niet te worden onderworpen aan een maatregel waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die deze in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking. Recht op beperking van de verwerking bij betwisten juistheid, onrechtmatig, niet meer nodig, bezwaar. Recht om gegevens mee te nemen (dataportabiliteit) recht op een kopie van de gegevens in een vorm waarbij deze verder door de betrokkene kunnen worden gebruikt. Recht op gegevenswissing (recht op vergetelheid)
Speciale onderwerpen Voorafgaand onderzoek (AVG: PIA voorleggen toezichthouder?) Ander gebruik van persoonsnummers Gegevens verzamelen zonder te informeren Strafrechtelijke verwerkingen t.b.v. derden (blijft bij AVG in Uitvoeringswet) Protocol Incidentenwaarschuwingssysteem Internationale verstrekkingen buiten de EER Passend niveau van bescherming Uitzonderingen, Vergunning, Afspraken Model overeenkomsten en BCR s Naar de VS: Privacy Shield
Wbp Meldingsplicht verwerkingen Meldingsplicht of Vrijstelling Doel: transparantie en vooral toezicht Inhoud: wie verwerkt wat, waar en waarvoor? Melden bij het AP of bij een FG Boete bij ten onrechte niet melden Straks niet meer, maar wat dan?
AVG dossier verplichting Documentatie per verwerking (proces) Basis info over verwerking (soort gegevens, betrokkenen, ect). Hoe is voldaan aan informatieverplichting + teksten Klachten en incidenten zoals datalekken Bewaartermijnen Beleid en maatregelen om compliance aan te tonen Gegevensbeveiliging Beveiligingsbeleid en plannen Risicobeoordelingen Dossier ook beschikbaar voor de toezichthouder! Meer dan art. 30 AVG! ook art. 5, lid 2, 13/14 en 32, lid 1
Privacy Impact Assessment De gegevensbeschermingseffectbeoordeling Risico-inschatting van de effecten op het gebied van privacy bij nieuwe systemen en verwerkingen, profiling, gevoelige verwerkingen en bijzondere gegevens Beschrijving, privacy risicoanalyse, maatregelen, waarborgen + aantonen dat maatregelen en waarborgen ook werken Compliance
Geen vaste methodiek Methodiek + verschillende modellen/toepassingen Europa WP 248 oktober 2017 Norea (2012) Toetsmodel Rijksdienst
(D) PIA, PbD, PbD en Privacy audit Privacy by Design (PbD) en Privacy by Default (PbD) speelt bij aanschaf/laten ontwikkelen systemen Privacy audit (Quick Scan/Zelfevaluatie/Audit) PIA > PBD > Implementatie > Audit
Overige compliance maatregelen Functionaris voor gegevensbescherming Gedragscodes blijven en certificering wordt een nieuwe optie
De Verordening: Veel hetzelfde maar dan echt anders Materieel heel veel hetzelfde, echt anders is: Aantoonbaar continu in controle Aandacht naar de voorkant van het proces Privacy By Design, Privacy By Default Privacy Impact Assessment Datalekken Verplicht aanstellen van een FG Sancties (meer, hoger + sneller opgelegd) Recht om vergeten te worden/ dataportabiliteit / profiling
Afsluiting