ALLEEN DE HOOFDZAKEN 11 JANUARI 2017! DRIEBERGEN!! De privacywet nu en straks. En wat dat betekent voor onderwijsinstellingen!! prof mr. Gerrit-Jan Zwenne vernieuwde privacywet vanaf 1 januari 2016 een meldplicht datalekken serieuze boetebevoegdheden vanaf 1 augustus 2016 een nieuwe voorzitter, een nieuw geluid en vanaf 25 mei 2018 wet wordt verordening, met een uitvoeringswet méér rechten voor betrokkenen en méér verplichtingen voor verantwoordelijken en bewerkers accountability, privacy impact assesments, documentatieplichten, data protection officers 1
13-01-17 een nieuw geluid "Als wij samen naar de bibliotheek zouden gaan en er zou bij de ingang een man staan met een camera, die permanent zou meelopen. Welk boek je inkijkt, waar je naar zoekt... zoekt Nou, die sla je onmiddelijk onmiddellijk in in elkaar. Althans vrij snel. Nu zit de bibliotheek op internet en gebeurt hetzelfde. En niemand maakt zich er zorgen over. Vind ik raar." 2
dé privacywet en onderwijs Nu: Wet bescherming persoonsgegevens (Wbp) Straks: Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG online leeromgevingen mijn schoolinfo.nl etc. verantwoordelijke en bewerker grondslagen en doelbinding gezondheidsgegevens en andere bijzondere gegevens, én BSN formaliteiten (FG etc.) 3
«verwerkingsverantwoordelijken» en «verwerkers» of «bewerkers» wie bepaalt doel en wijze van gegevensverwerkingen? wanneer een bewerkersovereenkomst? en wat moet daarin staan? grondslagen & doelbinding verwerkingsgrondslagen toestemming, overeenkomst, wettelijke plicht, vitaal belang, publiekrechtelijke taak, gerechtvaardigd belang verzameldoel welbepaald uitdrukkelijk omschreven gerechtvaardigd doelbinding verdere verwerking niet onverenigbaar met verzameldoel bewaren niet langer beweren dan nodig 4
gezondheidsgegevens (en andere bijzondere gegevens) gezondheid religie ras en etniciteit bsn etc. Gelet op het ruime begrip 'gezondheid' kunnen, onder omstandigheden, gegevens over IQ en sociaal-emotionele problematiek gezondheidsgegevens zijn [CBP 22 april 2003, z2003-00284] herkenbare foto s en videomateriaal wettelijk voorschrift formaliteiten accountability documentatieplichten gegevensbeschermingseffectbeoordeling functionaris voor de gegevensbescherming data protection impact assesments ( dpia ) data protection officer ( dpo ) 5
13-01-17 functionaris voor de gegevensbescherming of FG taken: informeren en adviseren over AVG-verplichtingen toezicht houden op de naleving van die verplichtingen adviseren over DPIA s contact onderhouden met Ap samenwerken met Ap verplicht voor overheden regelmatige en stelselmatige observatie op grote schaal grootschalige verwerking van bijzondere gegevens vereisten: professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming, en vermogen om zijn taken te vervullen. 6
13-01-17 meldplicht 7
meldplicht: nu en straks melding bij toezichthouder melding bij betrokkene Art. 33(1) en 34(1) AVG tenzij onwaarschijnlijk dat er een risico is voor de rechten en vrijheden van natuurlijke personen waarschijnlijk hoog risico voor rechten en vrijheden van natuurlijke personen Art. 34a(1) en (2) Wbp aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer wél melden technische storing in ziekenhuis waardoor medische gegevens zijn ingezien door onbevoegden kopieën paspoort of rijbewijs, bankof creditcardnrs, wachtwoorden, enz. laptop met onversleutelde financiële gegevens tablet met versleutelde gegevens, maar geen back-up envelop met creditcardgegevens níet melden foutief geadresseerde brief, ongeopend teruggestuurd zoekgeraakte en ongeopend teruggevonden koffer verloren ledenadministratie van tennisvereniging verpleegkundige 'leent' wachtwoord van co-assistent bestand i.d.z.v. art. 1(c) Wbp? 8
jargon SCC C2P C2C P2P BCR FG DPO DPA AP DPIA PIA HJEU AVG GDPR EDPB CIPP/E g.j.zwenne@law.leidenuniv.nl VRAGEN? 9