Actualiteiten Privacy. NGB Extra



Vergelijkbare documenten
Wet meldplicht datalekken

NGB Extra: Actualiteit privacy

Cloud computing Helena Verhagen & Gert-Jan Kroese

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Eerste Kamer der Staten-Generaal

Protocol meldplicht datalekken

Protocol informatiebeveiligingsincidenten en datalekken

MELDPLICHT DATALEKKEN

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

WET MELDPLICHT DATALEKKEN FACTSHEET

Meldplicht Datalekken CBP RICHTSNOEREN

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

27 maart 2014 Advocaat mr. Eva N.M. Visser. Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Protocol informatiebeveiligingsincidenten en datalekken

Juridische blik op: hacking en bescherming van persoonsgevens. Nieuwe wetgeving op komst!

Meldplicht Datalekken

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Protocol datalekken Samenwerkingsverband ROOS VO

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

Privacy in de afvalbranche

Protocol meldplicht datalekken Voor financiële ondernemingen

Nieuwe Privacywetgeving per Wat betekent dit voor u?

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy

Wet Meldplicht Datalekken. Jeroen Terstegge

Bewerkersovereenkomst

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje- Nassau, enz. enz. enz.

Sta eens stil bij de Wet Meldplicht Datalekken

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Actualiteiten bescherming persoonsgegevens

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Verwerkersovereenkomst voor SaaS-diensten

Protocol Beveiligingsincidenten en datalekken

IBAN: NL45 ABNA BIC: ABNANL2A. De Ronde CZ Best yolknet.nl. KvK: BTW NL B01

Procedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam

SURF Verwerkersovereenkomst Aanpassingen vanuit Infoland op de SURF modelovereenkomst 2017

Privacy en de meldplicht datalekken

1. Bedrijfsnaam:... Gevestigd te:... Straatnaam, huisnummer:... Vertegenwoordigd door dhr. / mevr... Functie:... adres:...

Meldplicht datalekken. Prof. mr. G-J. (Gerrit-Jan) ZWENNE Leiden 2 februari 2016

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Advocaten en notarissen

Checklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

Is uw onderneming privacy proof?

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Datalekprotocol binnen Reto

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Melden van datalekken

Nieuwe telecompakket en cookiewet

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl

Bescherming persoonsgegevens

De bewerkersovereenkomst

IBAN: NL 63 INGB BIC: INGBNL2A K.v.K. Rivierenland: BTW nr. NL B01. zaterdag 12 mei 2018 Pagina 1 van 8

Verwerkersovereenkomst

Algemene verordening gegevensbescherming

Procedure meldplicht datalekken

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Meldplicht datalekken

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Oneerlijke praktijken bij incassobureaus

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

A2 PROCEDURE MELDEN DATALEKKEN

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

PRIVACY & DATALEKKEN

De impact van nieuwe privacyregels op payrolling

Verwerkersovereenkomst TriFact365

Protocol informatiebeveiligingsincidenten en datalekken

Tweeverdieners kunnen meer lenen, is dat ook zo?

Meldplicht datalekken

Verwerkersovereenkomst

Handreiking verantwoordelijke persoonsgegevens Smart Mobility diensten

Vita Zwaan, 16 november 2017

Overzicht van stemmingen in de Tweede Kamer

Agenda. De AVG: wat nu?

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Impact van de meldplicht datalekken

Verwerkersovereenkomst Personeelshandboek.nl

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Privacy dit moet je weten over de wet

Raadsmededeling - Openbaar

Transcriptie:

Actualiteiten Privacy NGB Extra April 2015

Wat heeft het wetsvoorstel meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP voor implicaties voor de praktijk? Wat is er recent veranderd in de cookiewetgeving en hoe staat het ondertussen in Brussel met de vorderingen rond de Algemene Verordening Gegevensbescherming (AVG)? In dit artikel bespreken we de laatste ontwikkelingen op het gebied van het privacyrecht. Meldplicht datalekken De laatste tijd doken er regelmatig berichten over datalekken op in het nieuws. Een aantal recente incidenten, waarbij persoonsgegevens letterlijk op straat belandden, heeft er dus voor gezorgd dat er een meldplicht voor datalekken wordt geïntroduceerd. Doel van deze meldplicht is het vertrouwen in de omgang met persoonsgegevens te behouden en te herstellen. De verwachting is dat dit wetsvoorstel, dat geïncorporeerd wordt in de Wet bescherming persoonsgegevens (Wbp), in januari 2016 in werking zal treden. Artikel 34a: [ ] een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens [ ]. Kort samengevat moet de verantwoordelijke bij een datalek, waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens, een melding doen bij het College bescherming persoonsgegevens (CBP). Daarnaast moet ook de betrokkene, wiens gegevens het betreft, geïnformeerd worden. Het niet melden van een datalek kan bestraft worden met een forse boete. Tot zover klinkt het helder, maar toch bestaat er in de praktijk nog veel onduidelijkheid. Want wanneer moet je een datalek nu wel en niet melden? En wat moet je exact melden? En, niet onbelangrijk: op wie rust eigenlijk die meldplicht en wat is de consequentie als er niet of niet tijdig wordt gemeld? Ernstige gevolgen voor de bescherming van persoonsgegevens Allereerst moet vastgesteld worden of er een inbreuk op de beveiliging heeft plaatsgevonden en er dus sprake is van ernstige nadelige gevolgen. Dit hangt onder meer af van de aard en omvang van de inbreuk, en ook de aard van de persoonsgegevens die aan onrechtmatige verwerking of misbruik zijn blootgesteld. De wetgever laat echter in het midden wanneer iets ernstig genoeg is om te moeten melden. Het is in ieder geval belangrijk om te weten dat het zowel om materiële, financiële schade bijvoorbeeld creditcardgegevens als immateriële schade, zoals aantasting van een persoon in eer en goede naam of het op straat komen te liggen van medische gegevens, kan gaan. Steeds moet dus de vraag gesteld worden: ondervindt de persoon, wiens gegevens op straat zijn komen te liggen, hier ernstige gevolgen van? Stel dat er een database met gegevens van duizend mensen op straat komt te liggen. Het kan goed zijn dat er sprake is van een inbreuk op de

gegevens van maar tien mensen, omdat enkel deze tien mensen nadelige gevolgen kunnen optreden als gevolg van dit datalek. Er rust dan alleen een meldplicht op de gegevens van deze tien betrokkenen. Zorg dat er een draaiboek/protocol klaarligt als er een datalek voorkomt en houd een overzicht bij van de geconstateerde inbreuken. Als de persoonsgegevens effectief en up-to-date versleuteld zijn, heeft de verantwoordelijke geen meldplicht richting de betrokkene. Aard van de inbreuk, mogelijke gevolgen en getrokken maatregelen Als eenmaal duidelijk is dat er gemeld moet worden, dient zich direct de volgende vraag aan. Want wat moet er exact gemeld worden? Een eenvoudige melding dat er een datalek heeft plaatsgevonden, is namelijk niet voldoende. Allereerst moet de aard van de inbreuk worden vermeld, en moet vermeld worden waar verdere informatie over de getroffen maatregelen en het verloop van het onderzoek kan worden ingewonnen. Daarnaast is nodig aan het CBP te melden wat de vermoedelijke gevolgen zijn van de datalek, en welke maatregelen getrokken zijn ter voorkoming van die gevolgen. Dit alles moet onverwijld aan de toezichthouder worden gemeld. Wanneer dat is, moet nog nader worden uitgewerkt in het wetsvoorstel, maar zal, naar analogie van de Telecommunicatiewet, waarschijnlijk binnen 24 uur na de datalek zijn. Wat het exacte tijdsframe ook wordt; een bedrijf zal hoe dan ook, met name als het ook vestigingen in andere tijdzones heeft of veel met bewerkers en wellicht ook subbewerkers werkt, heel snel moeten schakelen. Als het CBP is geïnformeerd, moet ook de persoon die het betreft, op de hoogte gesteld worden als de inbreuk waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Aan de betrokkene wordt de aard van de inbreuk vermeld, maar ook de aanbevolen maatregelen om negatieve gevolgen te voorkomen. Ten slotte krijgt de betrokkene contactgegevens waar hij meer informatie over het (verloop van het) onderzoek kan inwinnen. Naast het informeren, moet de verantwoordelijke zelf ook goed documenteren. De protocolplicht legt aan de verantwoordelijke de verplichting op om een overzicht van alle inbreuken met ernstig nadelige gevolgen bij te houden. Dit overzicht bevat feiten en gegevens omtrent de aard van de inbreuk en ook de tekst van de kennisgeving aan de betrokkene. Als de persoonsgegevens effectief en up-to-date versleuteld zijn, heeft de verantwoordelijke geen meldplicht richting de betrokkene. Leg in een bewerkersovereenkomst contractueel vast dat een bewerker bij een datalek een meldplicht heeft. Meldplicht ook in de bewerkersovereenkomst Er staan dus forse veranderingen op stapel. Maar de vraag op wie die meldplicht nu exact rust, is nog onbeantwoord gebleven. Het antwoord is ogenschijnlijk simpel. De meldplicht rust namelijk op de verantwoordelijke : degene die de beslissing neemt over het doel en

middelen van de verwerking van de gegevens. Om mogelijke problemen voor te zijn, is het dus van het grootste belang om in de bewerkersovereenkomst hierover al een duidelijke contractuele verplichting op te nemen. Een bewerkersovereenkomst is niet iets wat je nog uit een modellenboek trekt. Veranderende rol van de bewerker In de praktijk wordt de verwerking van persoonsgegevens vaak uitgevoerd door een derde partij, zoals een payrollbedrijf, hosting providers of SaaS-dienstverleners. In het verleden was het voldoende om een paar bepalingen op te nemen in de overeenkomst met de bewerker. Die tijd is voorbij. Een bewerkersovereenkomst is niet iets wat je nog uit een modellenboek trekt. Het CBP eist dat het contract in detail wat de instructies zijn, welke beveiliging de bewerker zal toepassen, welke persoonsgegevens verwerkt zullen worden en voor welke doeleinden. Een bewerkersovereenkomst afsluiten om de rollen te verdelen is bovendien niet per definitie voldoende; het CBP acht zich niet gebonden aan bewerkersconstructies. Cruciaal hierbij is de vraag of de leverancier alleen voor doeleinden van de opdrachtgever werkt of ook voor eigen doeleinden. Het gaat er dus om hoe de feitelijke rolverdeling in de praktijk is. Een mooi voorbeeld hiervan is Snappet, een aanbieder van tabletonderwijs in Nederland. Hoewel Snappet de betrokken scholen een bewerkersovereenkomst heeft gestuurd, wordt de aanbieder van tablets door het CBP toch als verantwoordelijke beschouwd, omdat Snappet zelfstandig en voor eigen doeleinden gebruik heeft gemaakt van aangeleverde, gepseudonimiseerde persoonsgegevens. Ook wordt de bewerker steeds meer gezien als drager van plichten op grond van de wet, waar dat vroeger alleen de verantwoordelijke was. In de nieuwe Europese Verordening zal dat bijvoorbeeld expliciet geregeld zijn. Recente berichten suggereren dat het CBP sinds kort ook rechtstreeks tegen pure bewerkers optreedt. Tenslotte is het opmerkelijk dat momenteel meer dan tien bewerkers bezig zijn om goedkeuring te verkrijgen voor hun binding corporate rules (BCR), waar dat instrument tot nu toe alleen door verantwoordelijken gebruikt werd. De bestuurlijke boete bij het niet melden van een datalek kan oplopen tot 10% van de jaaromzet. Die boete mag het CBP pas opleggen nadat het een bindende aanwijzing heeft gegeven. Forse uitbreiding boetebevoegdheid CBP Wat staat u te wachten als u als verantwoordelijke niet aan de verplichtingen uit de Wet bescherming persoonsgegevens voldoet? Momenteel kan het CBP alleen een last onder dwangsom (met een herstelsanctie) opleggen voor overtredingen en maakt het CBP vaak gebruik van naming en shaming. De negatieve publiciteit n.a.v. een onderzoeksrapport is iets wat bedrijven vanzelfsprekend liever voorkomen en is dus vaak reden genoeg om van koers te veranderen.

In de nieuwe wetgeving is de boetebevoegdheid echter fors uitgebreid. De boete kan oplopen tot maar liefst 810.000 of maximaal 10 procent van de jaaromzet van de overtreder. Let wel: een verantwoordelijke zoals die is aangewezen door een bedrijf, is niet per definitie de verantwoordelijke zoals vastgelegd in de Wbp. Het CBP heeft dus de bevoegdheid om een forse boete op te leggen, maar mag dit pas doen nadat het een bindende aanwijzing heeft gegeven en de verantwoordelijke de ruimte heeft gegeven een verbetering door te voeren. Vanzelfsprekend hoeft deze aanwijzing niet gegeven te worden als er sprake is van opzettelijke overtreding en als er sprake is van ernstig verwijtbare nalatigheid. Hiertegen staan voor de verantwoordelijke rechtsmiddelen open. Niet alleen is het mogelijk tegen de bindende voorwaarde in bezwaar te gaan, maar ook tegen (de hoogte van) een eventueel opgelegde boete. Het is niet langer verplicht toestemming te vragen voor het plaatsen van statistische cookies. Cookie update Ook de Telecommunicatiewet is uitgebreid, met een wijziging in artikel 11.7a, die duidelijkheid verschaft over het gebruik van cookies en vergelijkbare technologieën. Het is niet langer verplicht toestemming te vragen voor het plaatsen van cookies die geen of weinig gevolgen hebben voor de persoonlijke levenssfeer en als doel hebben om informatie te verkrijgen over de kwaliteit of effectiviteit van bijvoorbeeld een website, zoals statistische cookies. Voor niet-functionele en tracking cookies, waardoor bijvoorbeeld online gerichte aanbiedingen kunnen worden gedaan en/of bezoekersgedrag wordt geregistreerd, moet nog steeds vooraf wel om toestemming worden gevraagd. Het is nu wel voldoende dat die toestemming implied is. Dit wil zeggen dat uit een actieve handeling van de gebruiker mag worden afgeleid dat hij akkoord gaat met het cookiegebruik. Het verder surfen op de website met de mededeling dat het verder surfen zijn toestemming impliceert, is dus voldoende. Op voorwaarde natuurlijk dat er adequaat wordt geïnformeerd over het cookiegebruik. Ook hier duikt de vraag op wie verantwoordelijk is de naleving van artikel 11.7a Telecommunicatiewet. In principe is de plaatser verantwoordelijk voor de naleving. Dit kan de aanbieder van een website zijn maar kunnen ook derde partijen zijn. Voor de toezichthouder is de aanbieder van de website het eerste aanspreekpunt De aanbieder van de website zal over de naleving van de cookieregels dus afspraken moeten maken met eventuele derde partijen.

Contact Hesther de Vries +31 20 5506 657 hesther.de.vries@kvdl.nl Hester de Vries is een van de vooraanstaande Nederlandse deskundigen op het gebied van de wetgeving ter bescherming van persoonsgegevens. Nicole Wolters Ruckert +31 20 5506 646 nicole.wolters.ruckert@kvdl.nl Nicole Wolters Ruckert is advocaat bij Kennedy Van der Laan sinds 2004. Zij is gespecialiseerd in privacy-vraagstukken. Maarten Goudsmit +31 20 5506 683 maarten.goudsmit@kvdl.nl Maarten Goudsmit is medewerker van de Privacy en Technology teams en werkt sinds 2012 bij Kennedy Van der Laan.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback