Post on 22-Jan-2018
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
De GDPR bekeken vanuit risico en financieel oogpunt
Presentatie Dirk De Bot
FD Seminar IT Risk
Niel – 10 oktober 2017
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Voorstelling
Dirk De Bot
• Licentiaat (KUL 1988) en doctor rechten (VUB 2015)
• Ervaring als advocaat en bedrijfsjurist
• Sinds 1993 actief op het vlak van de juridische aspecten van gegevensverwerking en -bescherming
• Expert bij de CBPL tot augustus 2015 (opvolging AVG)
• Extern lid Sectoraal Comité Federale Overheid
• Zaakvoerder/consultant DPS4U bvba
• www.dps4u.be - overzicht diensten en publicaties
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Schema
1. Vooraf - terminologie
2. Toepassingsgebied - enkele verduidelijkingen
3. Risico
4. Financiële gevolgen
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
1. Vooraf - terminologie
NIET - privacy
WEL - data protection of gegevensbescherming
• Niet elke verwerking van persoonsgegevens is een (potentiële) inmenging in het privéleven of de persoonlijke levenssfeer
• Gelijkstelling van beide is risicovol voor de bescherming van de burgers
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
1. Vooraf - terminologie
NIET – persoonlijke gegevens
WEL – persoonsgegevens
• De regelgeving is van toepassing zodra er persoonsgegevens worden verwerkt
• De gegevens moet niet persoonlijk zijn, maar wel aan een persoon kunnen worden gekoppeld
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
1. Vooraf - terminologie
NIET – Privacywet of Privacycommissie
WEL – Wet verwerking persoonsgegevens
en Commissie voor de bescherming van de persoonlijke levenssfeer
• Toekomst - Gegevensbeschermingsautoriteit = de Toezichthoudende autoriteit voor de verwerking van persoonsgegevens;
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied
GDPR/AVG is van toepassing zodra persoonsgegevens worden verwerkt
Persoonsgegeven = alle informatie over een
geïdentificeerde of
identificeerbare natuurlijke persoon
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/2
Wanneer is een persoon identificeerbaar?
• Als hij direct of indirect kan worden geïdentificeerd, met name aan de hand van
– Een identificator
• Zoals naam, identificatienummer, locatiegegevens
– Of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische , economische, culturele of sociale identiteit
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/3
Om te bepalen of iemand identificeerbaar is
• Rekening houden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/4
Wanneer valt van middelen redelijkerwijs te verwachten dat ze worden ingezet om te identificeren?
• Rekening houden met alle objectieve factoren,
– Zoals kosten van identificatie
– Tijd nodig voor identificatie
– Rekening houden met beschikbare technologie
– En met technologische ontwikkelingen
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/5
Conclusies
• Zeer ruime interpretatie van persoonsgegeven
– Zowel elk gegeven komt in aanmerking om een persoonsgegeven te zijn
• Ook zeer ruime interpretatie van verwerking
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/6
Verduidelijkingen/1
• Gegevens over natuurlijke personen in professionele hoedanigheid
zoals vrije beroepers, eenmanszaken
Eventueel ook gegevens over EBVBA (met naam van vennoot)
= persoonsgegevens !
– Wellicht een ander risico
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/7
Verduidelijkingen/2
• Band met privéleven is niet relevant
• Enige criterium = vraag of gegeven betrekking heeft op/in verband kan worden gebracht met natuurlijke persoon
– Ook professionele gegevens, zoals zaakvoerder BVBA of financieel directeur onderneming X = persoonsgegevens
– Toepassing op B2B
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/8
Verduidelijkingen/3
• Ook gegevens over objecten kunnen persoonsgegevens zijn
– Telefoon – titularis of eigenaar van telefoon
– Nummerplaat – titularis van voertuig waar nummerplaat op hangt
– Vast IP-nummer – titularis nummer
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico
A. Inleiding – band met risk based approach
B. 4 soorten van risico
C. De onbekende – de risico’s voor de rechten en vrijheden van de betrokkene
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico - inleiding
AVG kent “op risico’s gebaseerde benadering”
• In plaats van ongedifferentieerde verplichtingen zoals aangifte
– Leiden tot administratieve en financiële lasten
– Zonder bijdrage tot betere bescherming
• Bewuste keuze voor doeltreffende procedures en mechanismen die gericht zijn op de verwerkingen met waarschijnlijk grote risico’s
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico – inleiding/2
• “Risk based approach” - hangt samen met verantwoordingsplicht
• Slechte vertaling van “accountability”
• Dekt een dubbele lading
– Verantwoordelijkheid nemen
= maatregelen die zorgen voor naleving
– Verantwoording geven
= aantonen dat maatregelen zorgen voor naleving (doeltreffendheid)
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico – soorten/1
Onderscheid tussen 4 soorten risico’s
• Risicoanalyse door Europese wetgever
• A posterior risicoanalyse bij gegevenslekken
• Preventieve risicoanalyse m.b.t. beveiliging
• Preventieve risicoanalyse als onderdeel van op risico’s gebaseerde benadering
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico – soorten/2
1. Risicoanalyse door Europese wetgever
Sommige verwerkingen worden beschouwd als een hoog risico
– Verwerking van bijzondere categorieën van gegevens
– Systematische en uitgebreide beoordeling van persoonlijke aspecten
– Systematische en grootschalige monitoring van van openbaar toegankelijke ruimten
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico – soorten/3
2. A posteriori risicoanalyse bij lekken
Analyse van risico’s verbonden met gegevenslek
• Is altijd a posteriori (nadat het risico of lek zich heeft voorgedaan)
• Is niet noodzakelijk verbonden met het risico dat inherent is aan de verwerking
– Een verwerking met een laag risico kan leiden tot een lek met ernstige gevolgen (hoog risico)
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico – soorten/4
3. Preventieve risicoanalyse inzake beveiliging
• Is gekend – al vervat in Wet 8/12/1992
• Betreft de risico’s voor verantwoordelijke
– Laat toe om rekening te houden met de waarschijnlijkheid en ernst van de risico’s
– Vraagt in eerste instantie om een afweging van belangen die gekend zijn en onder controle
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico – soorten/5
4. Preventieve risicoanalyse algemeen
• Onderdeel op risico’s gebaseerde benadering
• Een specifiek risico
• Betreft altijd de fundamentele rechten en vrijheden van de betrokkenen
• Vraagt om een afweging van belangen die niet (volledig) onder controle zijn
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico - uitdaging
• Hoe bepalen wat de risico’s zijn voor de rechten en vrijheden van betrokkenen?
• De grote uitdaging
• Teveel gegevens
– risico voor verantwoordelijke (onrechtmatige verwerking en dus mogelijke boete)
– Risico voor betrokkene? – als teveel aan gegevens voor andere doeleinden wordt verwerkt
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financiële gevolgen
A. De klassieker – de administratieve geldboetes
B. Andere mogelijke sancties
C. De uitvoeringskosten
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel – geldboetes/1
Administratieve geldboetes
• Op te leggen door toezichthoudende autoriteit
• Afspraak nodig met parket
– wanneer administratief en wanneer strafrechtelijk
– via protocol (zie GAS-wet)
• Procedures voorzien voor rechten verdediging
4. Financieel - geldboetes/2
Bij besluit over opleggen geldboete én over hoogte geldboete naar behoren rekening houden met aantal criteria of elementen (zie artikel 83, lid 2 AVG)
• Aard, ernst, duur van inbreuk– In functie van aard, omvang of doel verwerking
– In functie van aantal getroffen betrokkenen
– In functie van omvang geleden schade
• Opzettelijke of nalatige aard inbreuk
4. Financieel - geldboetes/3
• Maatregelen om schade te beperken
• Mate van verantwoordelijkheid gezien technische en organisatorische maatregelen
• Eerdere relevante inbreuken
• Mate van samenwerking met toezichthoudende autoriteit om inbreuk te verhelpen en mogelijk negatieve gevolgen te beperken
• Categorieën van persoonsgegevens waarop inbreuk betrekking heeft
• Wijze van kennisname van inbreuk• Met name of (en in hoeverre) zelf gemeld
4. Financieel – geldboetes/4
• Naleving corrigerende maatregelen artikel 58, lid 2
• Aansluiten bij gedragscode of certificeringsmechanismen
• Elke andere verzwarende of verzachtende factor
– Gemaakte financiële winsten
– Vermeden verliezen
– die (al dan niet rechtstreeks) uit inbreuk voortvloeien
4. Financieel – geldboetes/5
Geldboetes categorie 1
• Tot 10.000.000 EUR of 2 % totale wereldwijde omzet in voorgaande boekjaar
• Voor inbreuken • op verplichtingen overeenkomstig artikel 8, 11, 25 tot
en met 39, 42 en 43= onder meer alle verplichtingen voor verantwoordelijke in Hoofdstuk IV
• Verplichtingen certificeringsorgaan
4. Financieel – geldboetes/6
Geldboetes categorie 2
• Tot 20.000.000 of 4 % totale wereldwijde omzet in voorgaand boekjaar
• Voor inbreuken op• Basisbeginselen (artikel 5, 6, 7 en 9)
• Rechten van betrokkenen (artikel 12 tot en met 22)
• Doorgiften (artikel 44 tot en met 49)
• Verplichtingen uit hoofde van lidstatelijk recht in verband met Hoofdstuk IX• = lidstatelijke regels voor specifieke situaties
• Niet-naleving van bevel of tijdelijke of definitieve beperking of opschorting gegevensstroom overeenkomstig artikel 58, lid 2
• Niet-verlening van toegang in strijd met artikel 58, lid 1
4. Financieel – geldboetes/7
Geldboetes categorie 3
• Tot 20.000.000 of 4 % totale wereldwijze omzet in voorgaand boekjaar
• Voor niet-naleving van een bevel toezichthoudende autoriteit als bedoeld in artikel 58, lid 2
4. Financieel – geldboetes/8
Wat bij samenloop?
• ALS – opzettelijk of uit nalatigheid
– Met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten
• Inbreuk op meerdere bepalingen
• Mag totale geldboete niet hoger zijn dan die voor zwaarste inbreuk
4. Financieel – geldboetes/9
Administratieve (geld)boetes
= administratieve geldboetes met punitief karakter
• DUS toepassing beginselen strafsancties– Niet duidelijk of ze de toets doorstaan
– Probleem van legaliteit – omschrijving van strafbaarstelling (verwijtbaarheid)
• Belang van geldboetes van categorie 3!
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel – andere sancties
Administratieve geldboete slechts één mogelijke maatregel
zie Artikel 58, lid 2, onder i) AVG
• “naargelang de omstandigheden van elke zaak,
• naast of in plaats van de corrigerende maatregelen
• een administratieve geldboete opleggen op grond van artikel 83”
Andere administratieve sancties zijn mogelijk
• kunnen belangrijke financiële impact hebben
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel – andere sancties/2
Corrigerende maatregelen, zoals (artikel 58, lid 2 AVG)
• bevel om inbreuk op beveiliging mee te delen aan betrokkene
• Bevel om op nadere bepaalde manier en binnen nader bepaalde termijn verwerkingen in overeenstemming te brengen met AVG
• opleggen tijdelijke of definitieve beperking van verwerking, met inbegrip van verbod
• Opschorten gegevensstroom naar derde land
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel - aandachtspunt
AVG voert hoofdelijke aansprakelijkheid in
• Maakt het mogelijk dat verantwoordelijke gehele bedrag van schadevergoeding moet betalen en aandeel verwerker op verwerker moet verhalen
• En omgekeerd! – verwerker moet volledige schade vergoeden en nadien recupereren
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel - uitvoeringskosten
Uitvoeringkosten = element waarmee rekening kan en mag gehouden worden bij toepassing AVG
Wordt uitdrukkelijk voorzien in AVG
Afhankelijk van risico en globale context
• Zijn anders voor KMO die “gewone” producten verkoopt dan voor groot ziekenhuis
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel – uitvoeringskosten/2
• Ook altijd rekening houden met technologische ontwikkelingen
• Combinatie
– State of the art oplossing is niet altijd nodig
– Wel de oplossing die technisch én financieel haalbaar is voor gemiddelde onderneming in zelfde omstandigheden
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel – uitvoeringskosten/3
Uitvoeringskosten zijn een criterium in
• Artikel 17 – bij toepassing recht op overdraagbaarheid
• Artikel 25 – bij toepassing gegevensbescherming door ontwerp
• Artikel 30 – bij bepalen van passende technische en organisatorische maatregelen inzake beveiliging
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Conclusie
• AVG kent heel wat goede bedoelingen
• Maar schiet soms zijn doel voorbij
• Teveel nadruk op grotere online spelers
• Te weinig aandacht voor impact op rest, in het bijzonder KMO’s
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Conclusie/2
• Belangrijke financiële gevolgen, maar mogen niet overroepen worden
– Boetes zullen wellicht niet snel worden opgelegd
• Naleving AVG is kwestie van gezond verstand
• Niet mogelijk alles naar de letter toe te passen
• Belang van goodwill – aanpakken van grootste problemen of issues
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Vragen?