PRIVACY Mirjam Elferink en Marnix Smit 18 november 2014 1
PROGRAMMA 1. Inleiding 2. Cameratoezicht 3. Controleren internet, telefoon- en e-mailverkeer 4. Privacy en ziekte 5. Wbp algemeen 6. Nieuwe wetgeving a. Datalekmeldplichten b.europese privacyverordening 2
PRIVACY Marnix Smit 18 november 2014 3
INLEIDING (I) Artikel 8 EVRM: Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. Activiteiten op de werkplek onder de bescherming van artikel 8 EVRM? 4
INLEIDING (II) Artikel 10 Grondwet: Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. Wet bescherming persoonsgegevens + Vrijstellingsbesluit Goed werkgeverschap 5
CAMERATOEZICHT (I) Valt onder de Wet Bescherming Persoonsgegevens, mits - identiteit van personen eenvoudig is vast te stellen; - sprake is van verwerking ; - sprake is van een gestructureerd geheel van persoonsgegevens; Toelaatbaar? - gerechtvaardigd doel? - dat vooraf is vastgesteld? Meldingsplicht bij College Bescherming Persoonsgegevens? 6
CAMERATOEZICHT (II) Rol van de Ondernemingsraad instemmingsplichtig. Goed werkgeverschap: geen onbeperkt toezicht laten plaatsvinden en letten op proportionaliteit. Belangenafweging tussen belang werkgever en belang werknemer(s). 7
CAMERATOEZICHT (III) Casus A Bij een supermarkt lijkt systematisch geld te verdwijnen uit kassa 3. Mag de werkgever een verborgen camera installeren om de dief te achterhalen? 8
CAMERATOEZICHT (IV) Casus B Media Markt hanteert heimelijk cameratoezicht teneinde haar producten te beveiligen. Media Markt maakt opnames onder meer voor trainingsdoeleinden. Mag dit? Tegen welke problemen zou Mediamarkt zijn kunnen aanlopen? 9
CAMERATOEZICHT (V) Casus C Een werkgever heeft camera's geplaatst vanwege het feit dat binnen de organisatie een aantal werknemers briefjes met kwetsende, beledigende teksten vonden in hun kluisjes. Vermoeden werkgever dat een bepaalde werknemer verantwoordelijk was. Werknemer ontkent. Vervolgens: camera's opgehangen. Werknemer wordt gepakt en bekent bij politie. Ontbindingsverzoek door werkgever. Wat kan de werkgever met de camerabeelden? Kan hij ze als bewijs inbrengen in een civiele procedure tot ontbinding van de arbeidsovereenkomst op de grond dat de werknemer disfunctioneert? 10
CONTROLEREN INTERNET, TELEFOON- EN E- MAILVERKEER (I) Is relevant dat bijvoorbeeld e-mail op de werkplek wordt gecontroleerd? Valt dit niet buiten privacy werknemer? TIP: Maak het uzelf makkelijker: neem een bepaling in de arbeidsovereenkomst op die maakt dat e-mailverkeer etc. is toegestaan. Gerechtvaardigd doel Proportionaliteitseis Wanneer er niet op basis van een reglement toegang wordt verschaft tot bijvoorbeeld e-mails, worden extra eisen gesteld aan het gerechtvaardigde doel en de proportionaliteit. 11
CONTROLEREN INTERNET, TELEFOON- EN E- MAILVERKEER (II) Controle is personeelsvolgsysteem en dus heeft Ondernemingsraad instemmingsrecht (art. 27 WOR). Is dit voldoende om ook individuele werknemers te binden? Wat denkt u? TIP: Geef werknemers twee e-mailadressen om zakelijke van privé e- mail te onderscheiden. Wanneer dit niet lukt mag privé e-mail niet gecontroleerd worden, tenzij sprake is van gewichtige redenen. TIP: Leg controlemogelijkheid vast in arbeidsovereenkomst. 12
CONTROLEREN INTERNET, TELEFOON- EN E- MAILVERKEER (III) Casus D Werknemer deelt mede dat hij bij concurrent in dienst wil treden. Werkgever vraagt om afgifte laptop met als doel het doorvoeren van een software-update. Werkgever ontslaat werknemer op staande voet vanwege lekken bedrijfsgegevens. Hoe oordeelt de rechter..over het ontslag op staande voet?.over het (on)rechtmatig verkregen bewijs?.over de door de werknemer ingestelde schadevergoeding? TIP: Maak verboden gebruik zoveel mogelijk softwarematig onmogelijk. 13
CONTROLEREN INTERNET, TELEFOON- EN E- MAILVERKEER (IV) Casus E * Werknemer verstuurt e-mails aan collega, inhoudende kwetsende teksten over een andere collega (Y). * Niet aan Y denken tijdens het eten he, anders houd je het misschien niet binnen * Werkgever: werknemer had als lid MT-team een voorbeeldfunctie. * Werkgever start ontbindingsprocedure? * Wat doet rechter? 14
CONTROLEREN INTERNET, TELEFOON- EN E- MAILVERKEER (V) Casus F * Geschil tussen werkgever en een van haar commercieel medewerkers. * Vader van medewerker werkt in hetzelfde bedrijf en wordt ontslagen. * Werkgever maakt medewerker duidelijk dat geheimhouding moet worden betracht omtrent ontslag van zijn vader. * Werkgever checkt e-mail van medewerker en stuit op de volgende tekst die is verzonden door medewerker aan klant: ( ) I can tell you that it is impossible to work with pigs, and that is what I am facing now! 15
CONTROLEREN INTERNET, TELEFOON- EN E- MAILVERKEER (VI) Vervolg casus F * Werkgever ontslaat medewerker op staande voet vanwege het e- mailbericht. * Hoe oordeelt de rechter? - Gerechtvaardigd doel? Malversaties binnen bedrijf. - Proportionaliteit? Geen andere, minder ingrijpende, middelen. - Kenbaarheid? Zakelijke e-mail vs. privé e-mail. * Er was ook een geheimhoudingsbeding in de arbeidsovereenkomst opgenomen inhoudende dat werknemer geen bedrijfsinformatie mocht blootgeven aan derde. * Wat zou het oordeel van de rechter op dit punt zijn denkt u? 16
PRIVACY EN ZIEKTE (I) Rapport CBP De zieke werknemer en privacy goede en duidelijke richtlijn. Wet Bescherming Persoonsgegevens: artikel 16 en artikel 21. werkgevers mogen enkel gezondheidsgegevens verwerken indien dit noodzakelijk is voor een goede uitvoering van wettelijke voorschriften die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de werknemer dan wel indien dit noodzakelijk is voor de re-integratie van arbeidsongeschikte werknemers. Inschakelen privé detective Ktr. Delft 7 december 2007, LJN BC 2229. Wat vindt u van deze uitspraak? Artikel 7:629 lid 6 BW: Werkgever heeft wel de bevoegdheid om te controleren of sprake is van een verplichting tot loondoorbetaling. 17
PRIVACY EN ZIEKTE (II) Casus G Werkgever houdt de volgende gegevens bij: * het percentage zieken binnen zijn organisatie * de oorzaak van de ziekte * de vermoedelijke duur van het verzuim van het verzuim * de verblijfplaats van de ziekte * gegevens die herleidbaar zijn tot personen? Mag dit? Casus H Pietersen lijdt aan astma. Deze gegevens worden expliciet vermeld. Mag dit? 18
PRIVACY EN ZIEKTE (III) Casus I Anton is als vloerenlegger in dienst bij Aannemingsbedrijf De Vries. Anton meldt zich ziek. De Vries vertrouwt Anton niet helemaal en stuurt de bedrijfsarts erop af. De bedrijfsarts oordeelt dat Anton wel degelijk ziek is vanwege de naweeën van een knieoperatie. De bedrijfsarts geeft aan dat de Anton hem gemeld heeft dat hij bij een hardloopwedstrijd twee maanden geleden ten val is gekomen, daaraan geopereerd moest worden en nu kampt met klachten. Mag de bedrijfsarts deze informatie aan de werkgever geven? Zo nee, welke informatie had hij wel mogen geven? 19
PRIVACY EN ZIEKTE (IV) Artikel 7:629 lid 6 BW opschortingsbevoegdheid voor de werkgever wanneer de werknemer geen inlichtingen verschaft. Casus J Anton is nog steeds ziek. De Vries is helemaal klaar met Anton, wil de druk maximaal opvoeren en gebiedt Anton om zich dagelijks te melden bij de bedrijfsarts. Nadat Anton zich de eerste 8 dagen keurig heeft gemeld, vergeet Anton de negende dag de afspraak. De Vries ruikt bloed en zendt onmiddellijk een brief naar Anton waarin hij aangeeft tot opschorting van het loon over te gaan. Mag dit? Waarom wel/niet? Maakt het überhaupt wat uit? 20
PRIVACY Mirjam Elferink 18 november 2014 21
CASUS: PRIVACY Stel: u wilt uw werknemersregistratie, salarisverwerking en ziekteverzuim via een SaaS-applicatie laten opslaan bij een hostingprovider. Welke privacy-aspecten kleven hieraan? 17 22
WET BESCHERMING PERSOONSGEGEVENS (WBP) Van toepassing bij verwerking van persoonsgegevens in het kader van activiteiten van een verantwoordelijke die een vestiging in Nederland heeft. Ook de cloud service provider van een Nederlandse verantwoordelijke valt onder de Wbp 18 23
BELANGRIJKE BEGRIPPEN UIT DE WBP Persoonsgegeven: Elk gegeven dat herleidbaar is tot een natuurlijke persoon (bijv. naam, mailadres, foto, maar soms òòk: IP-adres). Verwerking: Elke handeling m.b.t. persoonsgegevens, van het moment van verzameling tot vernietiging. Ook opslag door cloudleverancier. 19 24
BELANGRIJKE BEGRIPPEN UIT DE WBP Verantwoordelijke: Bepaalt doel en middel van de verwerking (bijv. de klant van de cloud service leverancier). Bewerker: Verwerkt persoonsgegevens ten behoeve van de verantwoordelijke; staat niet onder direct gezag van de verantwoordelijke (veelal cloud- of SaaS-dienstverlener). 20 25
1. BEWERKERSOVEREENKOMST Het bedrijf en de cloudleverancier zijn verplicht een schriftelijke overeenkomst te sluiten met betrekking tot de bescherming van persoonsgegevens. 21 26
2. BEVEILIGINGSPLICHT De cloudleverancier moet de persoonsgegevens adequaat beveiligen. beveiliging tegen dataverlies; bescherming van de toegang tot persoonlijke gegevens door onbevoegden. Klant / afnemer dient risicoanalyse te doen naar beveiliging: hoe hoger het risico, hoe hoger het vereiste beveiligingsniveau; voor bijv. ziekteverzuimgegevens van werknemers is een hoger beveiligingsniveau vereist dan voor adresgegevens. 22 27
3. OMSCHRIJVEN BEVEILIGINGSMAATREGELEN De beveiligingsmaatregelen m.b.t. persoonsgegevens moeten worden omschreven in het cloudcontract. Bijv.: firewalls, wachtwoorden, encryptie van gegevens; Omschrijving van beveiligingsbeleid van klant / afnemer. 23 28
4. CONTROLEREN BEVEILIGING De cloudleverancier moet het bedrijf in staat stellen om erop toe te zien of hij zijn verplichting tot adequate beveiliging nakomt. Klant / afnemer moet controleren of de cloudleverancier zijn beveiligingsverplichtingen nakomt; Audit mogelijkheid opnemen in cloudcontract; Let op: voor niet-nakomen beveiligingsverplichting door cloudleverancier is klant / afnemer aansprakelijk. 24 29
5. VERWERKEN IN OPDRACHT De cloudleverancier mag de persoonsgegevens van het bedrijf slechts in opdracht van het bedrijf verwerken. De cloudleverancier mag de persoonsgegevens van klant / afnemer alleen verwerken voor zover dat noodzakelijk is om de clouddiensten aan klant / afnemer te leveren; De cloudleverancier mag de persoonsgegevens niet voor eigen doeleinden gebruiken, zoals het rechtstreeks benaderen van werknemers van klant / afnemer voor direct marketingdoeleinden. 25 30
6. GEEN TOEGANG DERDEN/GEHEIMHOUDING Zonder toestemming van het bedrijf mag de cloudleverancier derden geen toegang geven tot de persoonsgegevens. De cloudleverancier (en degenen die onder zijn gezag handelen, zoals bijvoorbeeld personeel), is in beginsel verplicht om persoonsgegevens geheim te houden; Er zijn uitzonderingen: bijvoorbeeld rechtmatige inzageverzoeken van bevoegde autoriteiten. 26 31
7. PERSOONSGEGEVENS NIET LANGER BEWAREN DAN NOODZAKELIJK De cloudleverancier mag de persoonsgegevens niet langer bewaren dan noodzakelijk om de clouddiensten aan het bedrijf te leveren. Klant / afnemer moet hier als verantwoordelijke voor zorgen. Opnemen in cloudcontract. 28 32
CASUS AFGIFTE VAN DE DATA Stel u zegt uw SaaS-overeenkomst op omdat de updates van de software te lang op zich laten wachten. Drie weken na opzegging vindt u een nieuwe SaaSprovider en vangt zij aan met het overzetten van de data. Na één week (het einde van de opzegperiode) wordt u echter elke toegang tot het netwerk ontzegd. U gaat verhaal halen en eist toegang tot uw data zodat u uw data uit het systeem kunt halen, echter zonder resultaat. Kunt u afgifte van de data afdwingen? 33
CASUS AFGIFTE VAN DE DATA Ja, hoogstwaarschijnlijk wel via gang naar rechter die moet beslissen wie eigenaar is van de data. Voorkom een zgn. vendor-lock-in door heldere afspraken te maken: Regel wie eigenaar is van de data en wat er met de data moet gebeuren na einde overeenkomst! 62
EIGENDOM VAN DE DATA Exit regeling: medewerkingsplicht aan migratie data naar andere cloudleverancier; teruggave of vernietiging van de data? Welke data wordt teruggegeven? Wie draagt de kosten van de teruggaveplicht en hoe worden de data teruggegeven? Wanneer? Altijd of alleen bij einde contract? Eigendom servers (in geval van private cloud) Op welke termijn dient dat te geschieden? Gronden teruggave change of control, faillissement. Garantie en audit Retentierecht op data en opschortingsrecht Aan wie komen de intellectuele eigendomsrechten m.b.t. de data toe? 35
8. MEEWERKEN AAN INZAGEVERZOEKEN De cloudleverancier moet meewerken aan inzageverzoeken van betrokkenen tot inzage en correctie van hun persoonsgegevens. Klant / afnemer moet binnen 30 dagen reageren op dergelijke verzoeken; 30 36
CASUS : DATALEK ZIEKTEVERZUIMREGISTRATIE Stel uw ziekteverzuimregistratiesysteem blijkt te zijn gehackt gevolg: persoonsgegevens van uw werknemers liggen op straat Publiekelijke toegang tot namen, adressen, geboortedata, e-mailadressen, wachtwoorden en gezondheidsgegevens. 37
CASUS : DATALEK ZIEKTEVERZUIMREGISTRATIE Bekendheid van het lek in de markt reputatieschade van uw bedrijf; Betrokkenen dienen klachten in bij het CBP; Uw bedrijf heeft in strijd gehandeld met privacywetgeving; Aansprakelijkheidsclaims betrokkenen? Wat moet u als werkgever doen? 38
GEVOLG: MELDPLICHT DATALEKKEN NU VOOR TELECOMPROVIDERS; STRAKS OOK VOOR ANDERE BEDRIJVEN 32 39
MELDPLICHTEN Meldplicht o.g.v. Telecommunicatiewet geldt voor aanbieders van openbare elektronische communicatiediensten: telecommunicatie-providers internet acces providers Algemene Meldplicht in wetsvoorstel voor wijziging Wpb Breder toepassingsbereik: geldt voor verantwoordelijken in de zin van de Wbp Melden bij het Cbp en de betrokkene; Nalaten melden: bestuurlijke boete van max. 450.000,-. 40
TOEKOMSTIGE WETGEVING Europese Verordening Gegevensbescherming Verwachting: van toepassing omstreeks 2016? Boetes: tot 1 miljoen Euro / 2% wereldwijde jaaromzet (!) Verplichting tot aanstellen FG indien er sprake is van: - een overheidsinstantie, - een onderneming met meer dan 250 werknemers of - de core business van uw organisatie bestaat uit het verwerken van persoonsgegevens 41
MELDPLICHT BIJ DATALEKKEN, VERLIES OF MISBRUIK VAN PERSOONSGEGEVENS ( ) veiligheidsinbreuken die leiden tot het verlies, ongewild vrijkomen, diefstal of misbruik van persoonsgegevens (MvT, p. 23) Art. 34a Wbp (nieuw) een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt. 42
9. INFORMEREN OVER BEVEILIGINGSINCIDENTEN Uw cloudleverancier moet uw bedrijf onmiddellijk informeren over beveiligingsincidenten en de mogelijke impact daarvan op de verwerking van persoonsgegevens. In geval van een beveiligingsincident (bijv. een datalek) moet klant / afnemer kunnen beoordelen wat de gevolgen daarvan zijn; en welke maatregelen er kunnen worden getroffen om deze gevolgen te beperken (bijv. informeren van werknemers). 31 43
10. VERWERKING ALLEEN BINNEN EUROPESE UNIE OF LAND MET PASSEND BESCHERMINGSNIVEAU De cloudleverancier mag de persoonsgegevens alleen verwerken in de Europese Unie of in een land met een passend beschermingsniveau. 33 44
TOELICHTING landen EU voldoen aan hoog niveau van privacybescherming; witte lijst Europese Commissie: aantal landen aangewezen door EC met een passend beschermingsniveau; geen bijzondere regels voor verwerking van persoonsgegevens in deze landen; Is de cloudleverancier (of een van zijn datacenters) in een ander land gevestigd dan aanvullende, veelal complexe regels. 34 45
IN DE PRAKTIJK Lokalisatie of regionalisatie is een relatief eenvoudige oplossing voor een complex probleem. Het lokaal (bijvoorbeeld in Nederland) of regionaal (bijvoorbeeld in Europa) opslaan van gegevens Steeds meer leveranciers komen klanten hierin tegemoet, omdat andere oplossingen vaak onvoldoende toereikend zijn. 35 46
11. VERPLICHTINGEN IN GEVAL VAN ONDERZOEK AUTORITEITEN Bij verzoek door een autoriteit om persoonsgegevens van het bedrijf van de klant te verstrekken moet de cloudleverancier: 1. het bedrijf / de instelling onmiddellijk informeren; 2. het bedrijf / de instelling in staat stellen om zijn rechten te verdedigen; 3. alle medewerking verlenen om de toegang zo beperkt mogelijk te houden. 36 47
IN DE PRAKTIJK Mogelijk bezwaar cloudleveranciers vanwege extra inspanning die geen onderdeel is van hun standaard dienstverlening. Advies: regel dit contractueel! Maar let op: het is de cloudleverancier soms wettelijk verboden om het bedrijf / de instelling te informeren. Dat kan bijvoorbeeld het geval zijn bij strafrechtelijke onderzoeken en de US Patriot Act. 37 48
CASUS Stel: u neemt een hostingdienst af van een Nederlandse onderneming met een moederonderneming in de USA. U bent contractueel overeengekomen dat uw gegevens alleen in Nederland verwerkt en opgeslagen worden. Is de Patriot Act naar uw mening van toepassing? 40 49
WANNEER VAN TOEPASSING? Indien data van de gebruiker opgeslagen worden bij een bedrijf gevestigd in: De VS; De EU, met een VS moederbedrijf; De EU en dat bedrijf gebruik maakt van de diensten van een VS dochteronderneming voor dataprocessing; De EU en dat bedrijf gebruik maakt van een derde partij voor data storage of data processing, i.e. een hosting company, die gevestigd is in de VS. 41 50
AANBEVELINGEN 1. Ga bij uw dienstverlener na of zij onder de Amerikaanse jurisdictie valt; 2. Maak een goede risicoanalyse van de soort gegevens dat u wenst onder te brengen bij uw cloudleverancier; Beslis vervolgens of u met een dienstverlener in zee wilt gaan die onder de reikwijdte van de Patriot Act valt. 42 51
AANBEVELINGEN Zo ja, regel in ieder geval contractueel: 1. dat vrijwillige gegevensverstrekking is verboden; 2. dat uw cloudleverancier aansprakelijk is voor mogelijke schade wegens schending van de Wbp en u vrijwaart voor mogelijke schadeclaims. 43 52
AANBEVELINGEN Zo nee, denk vooruit: 1. en neem een verbodsbepaling op van overname van uw cloudleverancier of diens moederbedrijf door een Amerikaans bedrijf; 2. Neem een verbodsbepaling op dat de dienst niet uitbesteed mag worden aan derden die onder de reikwijdte van de Patriot Act vallen. 44 53
ZIENSWIJZE CBP Doorgifte persoonsgegevens naar VS is mogelijk indien Amerikaanse clouddienstverlener zich tot naleving van de Safe Harbor Principles heeft verplicht! Alleen dan: passend beschermingsniveau. Echter: dit garandeert niet dat de daadwerkelijke verwerking van persoonsgegevens in de VS ook voldoet aan alle eisen van Europese en Nederlandse privacywetgeving. Patriot Act gaat altijd voor! 45 54
12. MELDING DOEN BIJ CBP OF FG? Vrijstellingsbesluit van toepassing? Let op: misschien wel vrijgesteld van meldplicht, maar niet van verplichtingen Wbp Niet- naleven melding CBP-> boete! 55
STAPPENPLAN MELDING CBP Inventariseer alle verwerkingen van persoonsgegevens binnen uw organisatie Beoordeel aan de hand van de Handreiking Vrijstellingsbesluit welke verwerkingen zijn vrijgesteld van melden; Let op, indien meldingplichtig: Iedere verwerking moet apart worden gemeld! (Dus niet: combinatie klantenbestand + personeelsadministratie) 56
STAPPENPLAN MELDING CBP Sommige verwerkingen moet het CBP beoordelen voordat u ermee mag beginnen voorafgaand onderzoek. Dit moet u zelf aangeven op het formulier. Opgave via meldingsprogramma of meldingsformulier bij CBP of indien FG binnen bedrijf bij FG 57
SAMENVATTING: AANDACHTSPUNTEN PRIVACY Wbp: verantwoordelijke, bewerker; Verantwoordelijke: bepaalt doel en middel; klant cloud service provider / soms cloud service provider zelf bij SaaS (zeggenschap bij dataverwerking); Bewerkersovereenkomst: verantwoordelijke moet waarborgen opleggen: Informatiebeveiliging; Toepasselijk recht: Wbp als de verwerking van persoonsgegevens plaatsvindt in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. Ook de cloud service provider van een Nederlandse verantwoordelijke valt onder de Wbp; Echter ook lokale wetgeving, bijvoorbeeld USA Patriot Act. 65 58
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (1) Aansprakelijkheid Regel wie waarvoor aansprakelijk is. Denk m.n. aan: - dataverlies, datalekken en recovery - beschikbaarheid en bereikbaarheid - boete en schade - sole remedy Meldplicht datalekken Anticipeer op de wettelijke ontwikkelingen m.b.t. de datalekmeldplichten. Deze meldplicht rust op u als verantwoordelijke. 68 59
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (2) Continuïteit van de dienstverlening Voorkom een vendor lock-in : zorg ervoor dat de data ook beschikbaar zijn na het einde van de overeenkomst. Toepasselijk recht Cloud grensgebonden. Wellicht contracteert u met buitenlandse partijen. Weet op grond van welk recht de eventuele geschillen zullen worden beslecht! Let op: persoonsgegevens mogen niet zonder meer buiten de EU worden opgeslagen. 69 60
VRAGEN? mirjam.elferink@kienhuishoving.nl Twitter: @MirjamElferink HARTELIJK DANK VOOR UW AANDACHT 61