Bescherming persoonsgegevens VNG Juridische 2-daagse 2014 Hester de Vries 27 oktober 2014
Privacy & bescherming persoonsgegevens is hot!
Programma 1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP
Programma 1. Toepassing Wbp in de praktijk Reikwijdte & verantwoordelijkheid Materiële normen Decentralisatie & gegevensuitwisseling Verwerking bijzondere persoonsgegevens Rechten van betrokkenen Compliance instrumenten
Wbp in de praktijk Reikwijdte & verantwoordelijkheid Wanneer is de Wbp van toepassing? Is sprake van verwerking van persoonsgegevens (art. 1 sub a en b Wbp)? Valt de verwerking binnen de reikwijdte van de Wbp (art. 2 en 4 Wbp)?
Wbp: reikwijdte
Wbp: reikwijdte Verwerking van persoonsgegeven (art. 1 onder b)
Wbp: reikwijdte Valt de verwerking binnen de reikwijdte van de Wbp (art. 2 Wbp)?
Wbp: reikwijdte
Reikwijdte: begrip persoonsgegevens Gegevens betreffende een persoon? Persoon geïdentificeerd of identificeerbaar Uit de aard identificerende gegevens: Bijv. naam, adres, woonplaats Gegevens ontdaan van identificerende kenmerken: (indirecte) identificeerbaarheid
Reikwijdte: begrip persoonsgegeven Gegeven betreffende een persoon ABRvS 1 augustus 2012, LJN: BX3309 Hof van Justitie 17 juli 2014, C-141/12 en C-372/12 persoonsgegevens - minuut
Wbp: reikwijdte Persoonsgegeven: een rekbaar begrip Identificeerbaarheid? Mogelijkheid / realiteit? Hoe? Wie?
Wbp: reikwijdte Identificeerbaarheid Het gaat er om of de identiteit van een persoon redelijkerwijs, zonder onevenredige inspanning kan worden vastgesteld Eventueel via een derde Is voldoende dat de derde de persoon kan identificeren?
Persoonsgegevens Geen persoonsgegevens Persoonsgegevens Anonieme gegevens
Persoonsgegevens NAW-gegevens, (digitale) foto van persoon, persoonsnummers, unique identifiers, device nummers (IPadres/udid/MAC adres) / locatiegegevens Geen persoonsgegevens Anonieme gegevens Geanonimiseerde gegevens? Gepseudonimiseerde gegevens?
Wbp: verantwoordelijkheid Wie is de verantwoordelijke voor de gegevensverwerking? (art. 1 sub d Wbp) Is er een bewerker? (art. 1 sub e Wbp)
Wbp: verantwoordelijkheid
Wbp: verantwoordelijkheid Verwijsindex Risicojongeren: Wet op de jeugdzorg (art. 2 e)
Wbp: verantwoordelijkheid Is met de bewerker een (schriftelijke) bewerkerovereenkomst gesloten (art. 14 Wbp)? - Beveiligingsmaatregelen - Geheimhouding Bewerker binnen de EU of daarbuiten?
Wbp: materiële normen voor verwerking persoonsgegevens Doelbinding & grondslag Is er een welbepaald, uitdrukkelijk omschreven, gerechtvaardigd doel (art. 7 Wbp)? Is er een grondslag voor verwerking (art. 8 Wbp)? Worden persoonsgegevens niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor de gegevens zijn verkregen (art. 9 Wbp)?
Grondslagen voor gegevensverwerking
Grondslagen: toestemming (art. 1 onder i / art. 5 Wbp)
Niet onverenigbaar gebruik
Wbp: materiële normen voor verwerking persoonsgegevens (vervolg) Dataminimalisatie Worden niet meer gegevens verwerkt en bewaard dan noodzakelijk is (art. 10 Wbp)? Worden passende technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligingen tegen verlies of enige vorm van onrechtmatige verwerking (art. 13 Wbp)?
Wbp: materiële normen voor verwerking persoonsgegevens (vervolg) Kwaliteit & Beveiliging Zijn er waarborgen voor de kwaliteit van gegevens (art. 11 Wbp)? Worden passende technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligingen tegen verlies of enige vorm van onrechtmatige verwerking (art. 13 Wbp)?
Toepassing Wbp in de praktijk Decentralisatie & gegevensuitwisseling
Stappenplan Decentralisatie & gegevensuitwisseling 1. Doelbinding niet onverenigbaar gebruik Voor welk doel wil men gegevens uitwisselen? Voor welk doel werden de gegevens oorspronkelijk verkregen (bron)? Is sprake van niet onverenigbaar gebruik? Past verdere verwerking binnen de wettelijke taak? Sluit verdere verwerking aan op verwachtingspatroon betrokkene? Staat geheimhoudingsplicht in de weg aan uitwisseling?
Stappenplan Decentralisatie & gegevensuitwisseling 2. Wettelijke grondslag? Wat is de wettelijke grondslag voor uitwisseling? Is uitwisseling noodzakelijk Om te voldoen aan op verantwoordelijke rustende wettelijke verplichting? Ter vrijwaring van vitaal belang betrokkene? Voor de uitvoering van een publiekrechtelijke taak door het bestuursorgaan of bestuursorgaan waaraan gegevens worden verstrekt? Voor het gerechtvaardigd belang van de verantwoordelijke of een derde waaraan gegevens worden verstrekt? Rb. s Gravenhage 13 april 2012, ECLI:NL:RBSGR:2012:BW2236
Stappenplan Decentralisatie & gegevensuitwisseling 3. Proportionaliteit / subsidiariteit Is gegevensuitwisseling echt noodzakelijk? Kan het belang dat door uitwisseling wordt gediend ook worden bereikt zonder uitwisseling? Worden niet meer gegevens uitgewisseld dan strikt noodzakelijk?
Stappenplan Decentralisatie & gegevensuitwisseling 4. Worden bijzondere persoonsgegevens verwerkt? Godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap vakvereniging, strafrechtelijke persoonsgegevens, gegevens over onrechtmatig/hinderlijk gedrag ivm opgelegd verbod nav dat gedrag (art. 16 Wbp) Verbod, tenzij.(art. 17 tot en met 23 Wbp)
Voorbeeld: ras of etniciteit
Voorbeeld: ras of etniciteit ABRvS 3 september 2008, ontheffing CBP voor verwerken van persoonsgegevens omtrent etniciteit in Verwijsindex Antillianen, LJN BE9698
Voorbeeld: ras of etniciteit
Voorbeeld Charlois DOSA (deelgemeentelijke organisatie sluitende aanpak) Regisseur trajecten voor begeleiding probleemjongeren Etnisch specifieke hulpverleningstrajecten Voorkeursbeleid? Noodzaak? Proportionaliteit / subsidiariteit Geen rechtvaardiging voor registratie geboorteland
Voorbeeld Charlois Rb. Rotterdam 16 mei 2012, ECLI:NL:RBROT:2012:BW5513 Besluit dwangsom gehandhaafd Geen rechtvaardiging voor registratie geboorteland Mondelinge uitwisseling in overleg
Rechten betrokkenen Worden betrokkenen geïnformeerd over de verwerking van hun persoonsgegevens (art. 33 en 34 Wbp)?
Informatieplichten Gegevens rechtstreeks van betrokkene verkregen? - Dan vooraf informeren (art. 33 Wbp) Gegevens verkregen op andere wijze? - Informeren op moment van eerste vastlegging, of moment van eerste verstrekking aan derde (art. 34 Wbp) Informatieverstrekking = vormvrij Mits alle betrokkenen bereikt Voorbeeld, privacystatements, personeelshandboeken etc.
Rechten betrokkene Zijn er procedures voor het uitoefenen van deze rechten? - Inzage (art. 35 Wbp) - Verbeteren, Aanvullen, Verwijderen, Afschermen (art. 36 Wbp) - Verzet (art. 40 en 41 Wbp)
Inzagerecht
Rechten betrokkene Inzagerecht (art. 35 Wbp) Reactietermijn: vier weken Let op! art. 4:17, eerste lid, Awb dwangsom RvS 8 oktober 2014, ECLI:NL:RVS:2014:3657 recht op een volledig overzicht: ook afschriften? HR 29 juni 2007, LJN AZ4664, LJN AZ4663, LJN BA3529 ABRvS 13 juni 2012 LJN BW8137 ABRvS 1 augustus 2012, LJN: BX3309 Hof van Justitie 17 juli 2014, C-141/12 en C-372/12
The right to be forgotten? Hof van Justitie EU, 13 mei 2014, Google / Costeja González C-131/12
Compliance instrumenten CBP: www.cbpweb.nl Quickscan Wbp Zelfevaluatie Raamwerk Privacy Audit Handreiking bij het Raamwerk Privacy Audit
Compliance instrumenten Rijksoverheid Toetsmodel Privacy Impact Assessment (PIA) Rijksdienst NOREA Handreiking Privacy Impact Assessment
Compliance instrumenten VNG / KING / ViSD Privacy Scan VISD Factsheet Privacy Factsheet Triage Privacy Governance binnen het sociaal domein
Programma 1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP
2. Voorstel Algemene Verordening Gegevensbescherming (AVGB)
Voorstel AVGB EU: Algemene Verordening Gegevensbescherming (AVGB) Stemming Europees Parlement 12 maart 2014 Nu: Raad van Ministers en akkoord mogelijk nog in 2014? Vervolgens: triloog Raad, Commissie en Parlement (in de nieuwe samenstelling) om tot definitief akkoord te komen (Q1 2015?) Werking: 2017 (?)
Programma 1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP
3. Meldplicht datalekken
Smalle meldplicht lekken van persoonsgegevens Telecommunicatiewet: meldplicht van kracht sinds 5 juni 2012 Alleen voor aanbieders van openbare telecommunicatiediensten 50
Brede meldplicht datalekken Van toepassing op alle sectoren NL: Voorstel nieuw art. 34a Wet bescherming persoonsgegevens EU: Voorstel Algemene Verordening Gegevensbescherming (AVGB)
Welk voorstel wint? Wetsvoorstel wijziging Wbp behandeling TK Voorstel AVGB na EP nu Raad van Ministers
Brede meldplicht: wat is een datalek? (33662) Oud : Nieuw :
Beveiliging en meldplicht datalekken Er moet beveiliging doorbroken zijn Alleen verplichting om bekende inbreuken te melden (maar noodzaak om op de hoogte te zijn van inbreuken) Als geen beveiliging aanwezig is?
Beveiligingsverplichting (art. 13 Wbp) Passende technische en organisatorische beveiligingsmaatregelen Beveiligen tegen verlies of enige vorm van onrechtmatige verwerking Maatregelen garanderen passend beschermingsniveau, rekening houdend met de stand van de techniek, kosten van tenuitvoerlegging, aard van de gegevens en de risico s van de verwerking Maatregelen zijn erop gericht onnodige verzameling en verwerking te voorkomen (PET)
Passende beveiligingsmaatregelen Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging. (MvT Wbp, p. 99) Beveiliging vergt een continue inspanning
Richtsnoeren beveiliging CBP Gepubliceerd eind februari 2013 Kader voor onderzoek/ handhaving CBP Kwaliteitscirkel: inbedden om continue beveiliging te waarborgen
Datalek: wie moet melden en wanneer? Wie moet melden: verantwoordelijke Aan wie, wanneer en in welke omstandigheden: aan CBP: onverwijld inbreuk die ernstige nadelige gevolgen heeft voor bescherming van verwerkte persoonsgegevens aan betrokkene: onverwijld (Wbp) indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (AVGB) aan betrokkene indien de inbreuk waarschijnlijk negatieve gevolgen zal hebben voor diens persoonsgegevens of persoonlijke levenssfeer
Wat moet de verantwoordelijke melden? Aan CBP en betrokkene: omschrijving aard van de inbreuk, instanties waar meer informatie kan worden verkregen en aanbevolen maatregelen om negatieve gevolgen te beperken (Wbp) aan CBP ook : omschrijving van de geconstateerde en vermoedelijke gevolgen van de inbreuk en de maatregelen die verantwoordelijke heeft getroffen of voorstelt om te treffen om deze gevolgen te verhelpen (AVGB) ook: de betrokken categorieën, aantallen betrokkenen, categorieën en aantallen gegevensrecords.
Wanneer niet melden? Melding niet vereist wanneer technische beschermingsmaatregelen zijn genomen, waardoor de persoonsgegevens: (Wbp) onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens Zowel voor melding aan CBP als melding aan betrokkene (AVGB) versleuteld zijn of anderszins onbegrijpelijk zijn voor eenieder die geen recht op toegang heeft alleen voor melding aan betrokkene
Opinie 3/2014 Artikel 29 Werkgroep Kritiek op encryptie-uitzondering Encryptie is geen wondermiddel: Was de wijze encryptie in dit concrete geval voldoende? Wat als 3 jaar later blijkt dat de encryptie te kraken is? Encryptie draagt niet bij aan inbreuk op de beschikbaarheid of integriteit van gegevens Art. 29 Werkgroep meent dat dergelijke inbreuken toch gemeld moeten worden!
Stappenplan In geval van datalek: Is er een beveiligingsinbreuk? Is het datalek uitgezonderd van de meldplicht? ( onbegrijpelijk of ontoegankelijk voor onbevoegden ) Moet aan CBP gemeld worden? ( ernstige nadelige gevolgen ) Moet ook aan de betrokkene gemeld worden? ( waarschijnlijk ongunstige gevolgen ) 62
Consequenties imagoschade
Programma 1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP
Handhaving & sancties CBP Nu: Bevoegdheid onderzoek (ambtshalve / op verzoek) Beperkte boetebevoegdheid (last onder) bestuursdwang Toekomst óók: Boetebevoegdheid: meldplicht datalekken (33662): 450.000 Brede boetebevoegdheid: (nog geen wetsvoorstel) ( 810.000??) AVGB: 1 miljoen of 100 miljoen (EC / EP)
Agenda CBP - 2014 Actualiteiten Privacy
Privacy team Kennedy Van der Laan Hester de Vries Nicole Wolters Ruckert Petra Tolen Maarten Goudsmit