Post on 13-Feb-2017
Privacy
18 november 2015© Wilma van de Meerakker – Het Juristencollectief
Nieuws
Agenda Wanneer is Wet bescherming
persoonsgegevens (Wbp) van toepassing?
Wat mag wel en wat niet?
Meldplicht datalekken
Aansprakelijkheid en risico’s
Toekomst
Wanneer is Wbp van toepassing? – 1 Juridisch kader
- EU richtlijn 1995- Wet bescherming
persoonsgegevens (Wbp)- Meldplicht datalekken 2015- Europese Verordening (2016?)
Verder- CBP richtsnoeren
- artikel 29 Werkgroep opinies- gedragscodes - specifieke wetten (bv
Telecommunicatiewet)
Wanneer is Wbp van toepassing? – 2
Definities- persoonsgegeven - betrokkene
- verantwoordelijke- bewerker
Voorbeelden - winkel wist eerder van
zwangerschap meisje dan haar ouders (2012)
- verzekeringen geweigerd op basis van profielen social media- smart TV kijkt met je mee (TPVision)
Wbp is van toepassing op de verwerking van persoonsgegevens
Verwerking elk geheel van handelingen met
betrekking tot persoonsgegevens
Persoonsgegevensalle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon
Wanneer is Wbp van toepassing? – 3
Wanneer is Wbp van toepassing? – 4
Verwerking verzamelen, vastleggen en ordenen bewaren, bijwerken en wijzigen opvragen, raadplegen, gebruiken verstrekken door middel van doorzending verspreiding of enige andere vorm van terbeschikkingstelling samenbrengen, met elkaar in verband brengen afschermen, uitwissen of vernietigen van gegeven
Persoonsgegevens NAW-gegevens / e-mailadres / telefoonnummer IP-adres Locatiedata Foto’s
Persoonsgegeven - foto
Wanneer is Wbp van toepassing? – 5
Bijzondere persoonsgegevens Godsdienst of levensovertuiging Ras Politieke gezindheid Gezondheid Seksuele leven Lidmaatschap van een vakbond Strafrechtelijk verleden
Gebruik van bijzondere persoonsgegevens niet toegestaan tenzij uitzondering in de wet
Wanneer is Wbp van toepassing? – 6
Elke verwerking?persoonsgegevens mbv computer
opslaan, verwerken etc.handmatig verwerken alleen als er
sprake is van een bestand
Uitzonderingenongestructureerd handmatig dossier
verwerking persoonlijk/huiselijk gebruikverwerking uitsluitend voor
journalistieke, literaire of artistieke doeleinden
Wanneer is Wbp van toepassing? – 7
Betrokkenedegene op wie persoonsgegeven
betrekking heeft Verantwoordelijke
de partij die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt
Bewerkerde partij aan wie de verantwoordelijke verwerking van persoonsgegevens
heeft uitbesteed
Wat mag wel en wat mag niet? – 1 VERANTWOORDELIJKE
Vereisten verwerking Wbp verwerking op behoorlijke & zorgvuldige wijze in overeenstemming met de wet
Doel welbepaald uitdrukkelijk omschreven gerechtvaardigd
Nieuws
Wat mag wel en wat mag niet? – 2 Verwerking slechts toegestaan
indien noodzakelijk voor de uitvoering van een overeenkomst voor de uitvoering van een wettelijke plicht voor een vitaal belang van de betrokkene voor de goede vervulling van een publiekrechtelijke taak voor een gerechtvaardigd belang
OF op grond van ondubbelzinnige toestemming van
betrokkene
Wat mag wel en wat mag niet? – 3 Niet verenigbaar met doeleindenPersoonsgegevens mogen niet worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (denk aan pizza-bestelling)
Bewaartermijn Niet langer bewaren dan noodzakelijk
Wat mag wel en wat mag niet? – 4 Maatregelen zodat persoonsgegevens
juist en nauwkeurig zijn Plicht tot geheimhouding voor personeel Melden verwerking persoonsgegevens
tenzij uitzondering vrijstellingsbesluit Informatie verstrekken aan betrokkenen
gegevens over verantwoordelijkevoor welk doel/doeleinden gegevens worden verzameld
en verwerktprivacyverklaring
Op verzoek van betrokkeneInzage/correctie persoonsgegevens
Rechten betrokkene
Wat mag wel en wat mag niet? – 5 Beveiliging
Passende technische en organisatorische maatregelen
Beveiliging
Wat mag wel en wat mag niet? – 6BEWERKER
In opdracht verantwoordelijke uitsluitend persoonsgegevens verwerken in
opdracht van verantwoordelijke handelen conform bewerkersovereenkomst
zelfstandig verplichtingen tot: Geheimhouding Beveiliging
Wat mag wel en wat mag niet? – 7BEWERKER
TIP hanteer zelf een “standaard”
bewerkersovereenkomst met opdrachtgevers in het kader van Meldplicht datalekken nog
meer van belang
Meldplicht datalekken – 1 Ingangsdatum 1 januari 2016
wijziging van Wbploopt vooruit op Europese Privacy
Verordening CBP wordt Autoriteit
Persoonsgegevens
Verplichting tot melding datalekken
Uitbreiding opleggen bestuurlijke boetes
Meldplicht datalekken – 2 Datalek? Alle beveiligingsincidenten waardoor de
bescherming op enig moment is doorbroken
Waardoor de bescherming van persoonsgegevens op enig moment is doorbroken
Waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking
Voorbeelden Kwijtgeraakte usb-stick / gestolen laptop Inbraak door hacker / malware-besmetting Verzending van mail waarin gegevens van anderen zichtbaar zijn Maar ook: calamiteit zoals brand
Meldplicht datalekken – 3 Verplichting tot Melding Datalek Melden datalek Autoriteit
Persoonsgegevens Datalek leidt tot ernstige nadelige gevolgen voor de
bescherming van persoonsgegevens, of Aanzienlijke kans hierop bestaat
Melden datalek betrokkene Datalek heeft ongunstige gevolgen voor hun
persoonlijke levenssfeer
Meldplicht datalekken – 4 Melding verplicht? Vanaf 1 januari via formulier website CBP
Verantwoordelijke heeft verplichting Belang van goede bewerkersovereenkomsten
Beoordeling of sprake is van (aanzienlijke kans op) ernstige nadelige gevolgen aan de hand van richtsnoeren
Richtsnoeren zijn in concept aanwezig op de website van het CBP Consultatieversie
Meldplicht datalekken – 5
Meldplicht datalekken – 6 Aanzienlijke kans op ernstige nadelige
gevolgen Groot aantal persoonsgegevens (kans op misbruik
groter) Persoonsgegevens van kwetsbare groepen
(kinderen/ouderen)
Termijn melding Uiterlijk op 2e werkdag NA ontdekking Melding kan later worden aangevuld of ingetrokken
Meldplicht datalekken – 7
Meldplicht datalekken – 8
Meldplicht datalekken – 9 Melding aan betrokkene Aard van de inbreuk Instanties waar betrokkene meer informatie kan
verkrijgen Aanbeveling van maatregelen die betrokkene kan
nemen om de negatieve gevolgen te beperken (veranderen gebruikersnaam / wachtwoord)
Termijn melding Onverwijld Termijn zelf aangeven in melding aan Autoriteit
Persoonsgegevens
Meldplicht datalekken – 10 Verplichtingen Doen van de meldingen Bijhouden overzicht van alle datalekken Overzicht hoeft niet openbaar te worden gemaakt Bewaartermijn minimaal 1 jaar
Autoriteit Persoonsgegevens Ontvangstbevestiging Als nadere actie is gewenst wordt contact opgenomen Register (niet-openbaar) Opleggen boete
Meldplicht datalekken – 11 Werknemers?
Alleen als er sprake is van opzet of bewuste roekeloosheid werknemer
WEL : ICT-protocol aan te raden met mogelijke sancties
Meldplicht datalekken – 12 Bestuurder
Bestuurdersaansprakelijkheid Bestuurders wel aansprakelijk voor beslissingen of grove nalatigheid in de besluitvorming
Meldplicht datalekken – 13
Uitbreiding boetebevoegdheid
Doel =
Naleving Wbp bevorderen
Preventieve werking boetes
website CBP concept
Aansprakelijkheid & risico’s - 1 Artikel 49 Wbp aansprakelijkheid
verantwoordelijke & bewerker Benadeelde (=iemand die schade lijdt) heeft recht op
schadevergoeding (zowel materieel als immaterieel) Verantwoordelijke is aansprakelijk Bewerker aansprakelijk voor de schade die is ontstaan door de
exacte werkzaamheden van bewerker
Strafrechtelijk aansprakelijk Geldboete maximaal 4.500 EUR
Actie CBP Bestuurlijke boete opleggen maximaal 4.500 EUR Altijd vooraf mogelijk overtreding ongedaan te maken
Aansprakelijkheid & risico’s - 2 Meldplicht datalekken Verhoging boetebevoegdheid CBP Boetes verhoogd tot 810.000 EUR of 10% van de omzet Concept boetebeleidsregels
Aansprakelijkheid & risico’s - 3 Verzekerbaar? Beroepsaansprakelijkheidsverzekering? Schending privacy -> beroepsfout? Reputatieschade? LET OP evt. uitsluiting beveiligingsinbreuken LET OP evt. uitsluiting verlies van gegevens
Cyber & Data risks verzekering Hacking, systeeminbraak Verlies data
Toekomst Europese verordening Harmonisatie Europa Boetebevoegdheid Privacy Officer / Data Protection Officer Privacy Impact Assessment (PIA)
Privacy steeds belangrijker issue Privacy- & securitybeleid Commercieel
Safe Harbour? Doorgifte naar US verboden Aanpassen? Politieke oplossing
Privacy Impact Assessment
!?
&
PRIVACY
…
ook wanneer je niks te verbergen hebt