roadmap De Meldplicht Datalekken en de Privacywet & IoT & Datafication & Big Data prof mr. Gerrit-Jan Zwenne

Vergelijkbare documenten
IoT & Datafication & Big Data & De Privacywet

roadmap IoT & Datafication & Big Data & De Privacywet prof mr. Gerrit-Jan

roadmap IoT & Datafication & Big Data & De Privacywet prof mr. Gerrit-Jan Zwenne IoT

CIP VOORJAARSCONFERENTIE 11 MEI 2017 KASTEEL VANENBURG PUTTEN. Big Data: de maatschappelijke impact en de rol van de overheid daarbij.

Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

Wat betekent de nieuwe privacywet voor uw organisatie?!! prof mr. Gerrit-Jan Zwenne

IoT & Datafication & Big Data & De Privacywet

Meldplicht datalekken. Prof. mr. G-J. (Gerrit-Jan) ZWENNE Leiden 2 februari 2016

Meldplichten en datalekken

vernieuwde privacywet

G-J. Zwenne big data & profilering & de privacywet. & Artificial Intelligence & Machine Learning & etc.

Art. 3(1) en (2) AVG. verwerkingsgrondslagen, verzamel- en verwerkingsdoelen, doelbinding, kwaliteit en beveiliging van gegevens, transparantie

Van Wbp naar AVG in minder dan 60 minuten

ENKELE OPMERKINGEN OVER DE AVG

Meldplichten en datalekken

Boels Zanders. De kracht Jean-Luc van ambitie. 24 mei Privacy op de werkvloer. Anouk Cordang en

gisteren in het A. DE LAATSTE ONTWIKKELINGEN BIJ DE PRIVACYTOEZICHTHOUDER

AOG SCHOOL OF MANAGEMENT! DEN DOLDER 11 APRIL 2017!! Big Data en de Privacywet! (over de uitdagingen bij de regulering van Cyber Privacy)!! prof mr.

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Protocol meldplicht datalekken

De wettelijke kaders (van Wbp naar AVG & UAVG)

Protocol datalekken Samenwerkingsverband ROOS VO

Procedure meldplicht datalekken

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

FACTSHEET DATALEK. Inleiding

Algemene verordening gegevensbescherming

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Protocol meldplicht datalekken

Protocol meldplicht datalekken Voor financiële ondernemingen

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

De impact van nieuwe privacyregels op payrolling

MyDHL+ Van Non-Corporate naar Corporate

Privacy en de meldplicht datalekken

1. Verplichtingen. 2. Subverwerkers

PROCEDURE MELDPLICHT DATALEKKEN

FACTSHEET VERWERKINGSREGISTER

WET MELDPLICHT DATALEKKEN FACTSHEET

De AVG, wat moet ik ermee?

Procedure Meldplicht Datalekken

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Protocol Datalekken Twelve

VERWERKERSOVEREENKOMST

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Bijlage Gegevensverwerking. Artikel 1 - Definities

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

ALGEMENE VERORDENING GEGEVENSBESCHERMING

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

OVER BIG DATA IN HET ONDERWIJS EN DE BEPERKINGEN DIE DE PRIVACYWET DAARAAN STELT

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Vandaag Zorgvernieuwing

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING

Cursus privacyrecht Jeroen Naves 7 september 2017

Algemene Voorwaarden. Addendum AVG

Is uw onderneming privacy proof?

Procedure Melden beveiligingsincidenten

Voorwaarden voor Gegevensverwerking Versie 1.0

CONTEXT. programma INLEIDING WET BESCHERMING PERSOONSGEGEVENS (& AVG) (c) G-J. Zwenne VNG PAPENDAL 7 NOVEMBER 2016

INLEIDING WET BESCHERMING PERSOONSGEGEVENS (& AVG)

1. Definities De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

Privacy in de afvalbranche

Privacyverklaring. SafeTec Interim

Protocol Meldplicht Data-lekken

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Degene op wie een Persoonsgegeven betrekking heeft.

Privacy statement MULDATA BV

Directeur Triodos Bank: Privacy wordt dit jaar een groot thema Marco Visser 16 februari Een nieuwe Privacywet in 2018: kansen en uitdagingen

PRIVACY & DATALEKKEN

Voorbeeld Verwerkersovereenkomst

Verwerkersovereenkomst Beyuna Beyuna Independent Sales Representative

Privacy in de afvalbranche Juridisch kader

Wet meldplicht datalekken

Algemene Verordening Gegevensbescherming (AVG)

PRIVACYBELEID BESCHERMING VAN PERSOONSGEGEVENS

Privacybeleid Administratiekantoor de Jong VOF

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

GDPR en wat nu? Marlies Eggermont Juni 2018 VBOV

Privacyverklaring. Datum laatst aangepast: Datum laatste goedkeuring directie:

Privacyverklaring. Goldie. Datum laatste goedkeuring directie:

General info on using shopping carts with Ingenico epayments

Europese Privacy Verordening (EPV) Een wet met Tanden

AVG Algemeen PRIVACYREGLEMENT

De AVG. Wat kan De Bouwpas voor u betekenen

In dit reglement wordt in aansluiting en aanvulling op de Algemene Verordening Gegevensbescherming verstaan onder:

Algemene Verordening Gegevensbescherming

CONTEXT. programma INLEIDING WET BESCHERMING PERSOONSGEGEVENS. (c) G-J. Zwenne 2015! 1 GEMEENTE ROTTERDAM 6 OKTOBER 2016

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Formulier melding datalek

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Protocol informatiebeveiligingsincidenten en datalekken

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Privacyverklaring. Carre Mode. Datum laatst aangepast: 16 mei 2018

EU Data Protection Wetgeving

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

Algemene verordening gegevensbescherming (AVG)

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14

Transcriptie:

RING NOORD NEDERLAND GRONINGEN 15 SEPTEMBER 2016 De Meldplicht Datalekken en de Privacywet & IoT & Datafication & Big Data prof mr. Gerrit-Jan Zwenne A. Een eerste indruk van de Wet meldplichten datalekken roadmap B. Een razendsnelle inleiding in de privacywet, nu en straks C. Hoe IoT & Datafication & Big Data onze privacywetgever uitdagen the elephant in the room persoonsgegevens & bijzondere persoonsgegevens verwerkingsgrondslagen welbepaald uitdrukkelijk omschreven verzameldoel verdere verwerking niet onverenigbaar met verzameldoel vooraf informeren regels voor profilering 1

A. EEN EERSTE INDRUK VAN DE WET MELDPLICHTEN DATALEKKEN casus: gebruikersnaam en wachtwoord casus: passwords hack Een werknemer geeft een kennis haar gebruikersnaam en wachtwoord die toegang geven tot de klantgegevens van het bedrijf waar zij werkt. Dit wordt ontdekt. Het bedrijf past het wachtwoord aan. Daarmee heeft de kennis geen toegang meer. Aan de hand van logbestanden gaat het bedrijf na of de derde daadwerkelijk toegang heeft gehad tot de klantgegevens. Melding..? op pastebin.com wordt een lijst gepubliceerd met 16,5 miljoen wachtwoorden van een populair sociaal netwerk Melding..? Er kan redelijkerwijs worden uitgesloten dat er door middel van het betreffende account toegang is verkregen tot de gegevens 2

casus: e-mail nieuwsbrief De hacker, die anoniem wil blijven, plaatste op het internet een gedeeltelijke en gecensureerde dump van een tabel met administratieve logingegevens. Hij zegt dat hij bewust niet meer dan die informatie uit de database heeft gedownload. Dat zou niet netjes zijn, zegt hij melding datalek dus ook een brand in een servercentrum, tenzij er een goede back-up is Wie? verantwoordelijke Wat? inbreuk op beveiliging van persoonsgegevens Wanneer? onverwijld d.w.z. in beginsel binnen 72 uur Hoe? bij Ap via Meldloket Datalekken bij data subject (zo-mogelijk individueel) inbreuk op beveiliging met tot gevolg: vernietiging, verlies of wijziging, of ongeoorloofde verstrekking van, of ongeoorloofde toegang tot, doorgezonden, opgeslagen of anderszins verwerkte gegevens hetzij per ongeluk hetzij onrechtmatig 3

inbreuk of dreiging? twee meldplichten er is niet uitsluitend sprake van een dreiging of een tekortkoming in de beveiliging maar er heeft zich daadwerkelijk een beveiligingsincident voorgedaan ransomware? daadwerkelijk gevolgen voor de persoonsgegevens: er zijn persoonsgegevens verloren gegaan niet uit te sluiten dat er gegevens onrechtmatig zijn verwerkt beveiligings- en herstelmaatregelen onvoldoende om negatieve gevolgen weg te nemen (1) melding bij toezichthouder bij 'aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (2) melding bij datasubject bij 'waarschijnlijk ongunstige gevolgen voor diens persoonlijke levenssfeer' aanzienlijke kans op ernstige nadelige en/of waarschijnlijk ongunstige gevolgen gezondheid, etniciteit, sexuele orientatie, politieke voorkeur, geloof, strafrechtelijk, genetisch aard van de gegevens gevoelige gegevens en financieeleconomische gegevens stigmatiserings-, uitsluitingsrisico's gebruikersnamen, wachtwoorden, identiteitsfraude e.d. beroepsgeheim eventueel níet melden aan datasubject bij psychosociale hulpvragen van kinderen buiten medeweten van ouders, bedrijfsovernames of risico van een bank-run andere criteria omvang van lek (aantal personen of hoeveelheid gegevens) ingrijpendheid van o.b.v. gegevens genomen beslissingen olievlek (bijv. bij ketensamenwerking) encryptie, hashing, remote-wipe, Mobile-Iron etc. 4

wél melden technische storing in ziekenhuis waardoor medische gegevens zijn ingezien door onbevoegden kopieën paspoort of rijbewijs, bank- of creditcardnrs, wachtwoorden, enz. laptop met onversleutelde financiële gegevens tablet met versleutelde gegevens, maar geen back-up envelop met creditcardgegevens niet melden foutief geadresseerde brief, ongeopend teruggestuurd zoekgeraakte en ongeopend teruggevonden koffer verloren ledenadministratie van tennisvereniging verpleegkundige 'leent' wachtwoord van co-assistent B. EEN RAZENDSNELLE INLEIDING IN DE PRIVACYWET, NU EN STRAKS bestand..? verwerking van persoonsgegevens bijzondere persoonsgegevens bewerking met betrekking tot persoonsgegevens zoals raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, etc. alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, de betrokkene (of het datasubject ) ras of etniciteit politieke opvattingen religieuze of levensbeschouwelijke overtuigingen, vakbondlidmaatschap genetische gegevens en biometrische gegevens (met het oog op de unieke identificatie) gezondheidsgegevens seksueel gedrag of seksuele gerichtheid strafrechtelijke gegevens Nieuw! in de Algemene Verordening Gegevensbescherming (iwtr. 25 mei 2018) verwerkingsverbod, tenzij 5

verantwoordeljke en bewerker verwerkingsgrondslagen of: verwerkingsverantwoordelijke degene die die doel en wijze van verwerking bepaalt of: verwerker degene die persoonsgegevens verwerkt ten behoeve van (en onder verantwoordelijkheid van) verantwoordelijke toestemming (van betrokkene) uitvoering overeenkomst naleving wettelijke verplichting behartiging vitaal belang publiekrechtelijke taak gerechtvaardigd belang doelbinding vooraf informeren welbepaald, uitdrukkelijke omschreven en gerechtvaardigd verdere verwerking niet onverenigbaar met verzamelen verwerkingsdoelen identiteit van verantwoordelijke(n) verzamel- en verwerkingsdoeleinden en al het overige dat nodig is om een zorgvuldige verwerking te waarborgen en straks ook: bewaartermijnen, inzagerechten, profilering, internationale doorgifte etc. 6

profileren evaluatie (t.b.v voorspellingen) van: beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsing recht niet te worden onderworpen aan een uitsluitend op profilering gebaseerd besluit met serieuze gevolgen uitzonderingen uitvoering overeenkomst wettelijke regeling toestemming C. HOE IOT & DATAFICATION & BIG DATA ONZE PRIVACYWETGEVER UITDAGEN Internet of Things ( IoT ) [J. Judge & J. Powles 25 May 2015] The internet of things is a vision of ubiquitous connectivity, driven by one basic idea: screens are not the only gateway to the ultimate network of networks. With sensors, code and infrastructure, any object from a car, to a cat, to a barcode - can become networked. But the question we need to ask is: should they be? And, if so, how? 7

[J. Judge & J. Powles 25 May 2015] It s hard to see what this [ie IoT] would look like, exactly. But imagining it shouldn t just be delegated to tech companies and opportunists riding the hype cycle. Artists, designers, philosophers, lawyers, psychologists and social workers must be just as involved as engineers and internet users in shaping our collective digital future every breath you take every move you make every bond you break every step you take datafication [dey tuh fi key shuh n] a modern technological trend turning many aspects of our life into computerized data and transforming this information into new forms of value [Mayer-Schönberger & Cukier 2013] Big Data Big Brother? Big Business! Big Data Big Bullshit? Big Bucks! Big Data is a generalized, imprecise term that refers to the use of large data sets in data-science and predictive analytics [Mayer- Schönberger & Cukier 2013] Big data can be used to identify more general trends and correlations but it can also be processed in order to directly affect individuals [WP29 2013] 8

a massive phenomenon that has rapidly become an obsession with entrepreneurs, scientists, governments and the media [Financial Times_2014] unprecedented computational power and sophistication make possible unexpected discoveries, innovations, and advancements in our quality of life [Whitehouse 2014] Systeem Risico Indicatie (SyRI) is een instrument waarmee gegevensbestanden van gemeenten, UWV, SVB, Inspectie SZW en Belastingdienst kunnen worden gekoppeld ten behoeve van de bestrijding van fraude op het terrein van de sociale zekerheid en de inkomensafhankelijke regelingen, de belasting- en premieheffing en de arbeidswetten sinds 2006 in gebruik onder de aanduiding Black Box.. 9

De aanleiding voor de uithuisplaatsingen was niet een calamiteit, zelfs geen incident, maar een risicoprofiel: moeder was getraumatiseerd door een oorlogsverleden in een ander land, en vader gebruikte trouw medicijnen voor een ggz-diagnose, waardoor de ziekte onder controle was. Justine Pardoen 31 januari 2015 www.ouders.nl The main advantage of Big Data is that it can reveal patterns between different sources and data sets, enabling useful insights The use of Big Data by the top 100 EU manufacturers could lead to savings worth 425 billion, and by 2020, Big Data analytics could boost EU economic growth by an additional 1.9%, which means a GDP increase of 206 billion [EC The EU Data Protection Reform and Big Data Factsheet April 2015] correlatie & causaliteit in a big-data age most innovative secondary uses [of data] haven't been imagined when the data is first collected. How can companies provide notice for a purpose that has yet to exist? How can individuals give informed consent to an unknown? [Mayer-Schönberger & Cukier 2013] free, specific, informed and unambiguous 'optin' consent would almost always be required, otherwise further use cannot be considered compatible [WP29 2013] 10

persoonsgegevens & bijzondere gegevens verwerkingsgrondslagen doelbinding & dataminimalisatie vooraf informeren profilering etc. g.j.zwenne@law.leidenuniv.nl 11

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback