Actualiteiten wbp

22
Cyberspace and Cyberlaw mr. dr. Bart W. Schermer eLaw@Leiden, Centrum voor Recht in de Informatiemaatschappij Considerati b.w.schermer@ law.leidenuniv.nl [email protected] De toezichthouder in 2010

Transcript of Actualiteiten wbp

Page 1: Actualiteiten wbp

Cyberspace and Cyberlaw

mr. dr. Bart W. Schermer

eLaw@Leiden, Centrum voor Recht in de Informatiemaatschappij

Considerati

[email protected]

[email protected]

De toezichthouder in 2010

Page 2: Actualiteiten wbp

Agenda

• Het Cbp anno 2010

• Instrumentarium Cbp

• Gebruik instrumentarium in 2010

• Enkele conclusies?

Page 3: Actualiteiten wbp
Page 4: Actualiteiten wbp

4

Page 5: Actualiteiten wbp

Technologische uitdagingen

• Explosie van het aantal verwerkingen

• Internationalisering van gegevensverwerkingen

• Duiden nieuwe ontwikkelingen

Page 6: Actualiteiten wbp

Maatschappelijke uitdagingen

• Beperkte bevoegdheden, beperkte middelen

• Afstand tot de praktijk

• Onverschilligheid privacy

Page 7: Actualiteiten wbp

Prioriteiten Cbp 2010 (privaat)

• Onderzoek naar onrechtmatige verstrekking van persoonsgegevens aan derden

• Gestart wordt met vooronderzoek bij de belangrijkste toeleveranciers van informatie (listbrokers)

• Onderzoek bij handelsinformatiebureaus.

• Onderzoek bij een sociale netwerksite.

• Onderzoek naar ranking and rating op internet.

• Richtsnoeren inzake de beveiliging van persoonsgegevens en onderzoek naar de beveiliging van persoonsgegevens.

• Richtsnoeren inzake behavioural targeting gevolgd door onderzoek.

• Richtsnoeren inzake de informatieplicht.

Page 8: Actualiteiten wbp

Prioriteiten Cbp 2010 (publiek)

• Onderzoek naar de werkwijze van Hulp- en informatiepunten van de Belastingdienst/Toeslagen

• Onderzoek naar de naleving van de Wbp op het terrein van de sociale zekerheid.

• Onderzoek naar het gebruik van het burgerservicenummer op een rijkspas

• Onderzoek naar het opvragen van medische gegevens door gemeenten

• Onderzoek naar de vraag of de huidige praktijk rond biobanken in lijn met de Wbp is.

• Onderzoek naar de toepassing van de artikelen 96 en 99 van de Schengen Uitvoeringsovereenkomst.

• Toezicht op invoer, verwerking en gebruik in Nederland van gegevens in Europese databanken ten behoeve van politie- en justitiesamenwerking.

Page 9: Actualiteiten wbp

Instrumenten Cbp

• Ambtshalve onderzoek (artikel 60 Wbp)- verzoek tot handhaving

• Regulering op afstand (artikel 25 Wbp)

• Wetgevingsadviezen (artikel 51 Wbp)

• Visie op ontwikkelingen

Page 10: Actualiteiten wbp

Beveiliging ziekenhuizen (1)

• Onderzoek Cbp & IGZ in 2007

• Toedracht: invoering EMD, WDH en EPD

• Bijzondere persoonsgegevens

• Voldoen aan NEN-7510 (CvIB)?

Page 11: Actualiteiten wbp

Beveiliging ziekenhuizen (2)

• 20 ziekenhuizen geen adequate beveiliging

• Reactie op bevindingen (art 60 lid 2 Wbp)

• Ultimatum: PvA vóór 15 oktober 2008

• Last onder dwangsom in 2009 (art 65 Wbp)• Ommelander Ziekenhuis Groep• MC Lelystad (MC|Zuiderzee)• Medisch Spectrum Twente• Rijnland Ziekenhuis Leiderdorp• Diaconessenhuis Leiden

Page 12: Actualiteiten wbp

Beveiliging ziekenhuizen (3)

“Indien u niet aan deze last voldoet, bent u vanaf 1 september 2009 de volgende dwangsom verschuldigd:

- een dwangsom van € 2000,- (tweeduizend) per dag dat de risico-analyse niet is uitgevoerd;

- een dwangsom van € 2000,- (tweeduizend) per dag dat de rapportage van de risico-analyse informatiebeveiliging niet is opgesteld;

- een dwangsom van € 1000,- (duizend) per dag dat het functieprofiel informatiebeveiligingsfunctionaris niet is opgesteld;

- een dwangsom van € 1000,- (duizend) per dag dat de informatiebeveiligingsfunctionaris niet is aangesteld of aangewezen;

- een dwangsom van € 1000,- (duizend) per dag dat de portefeuillehouder informatiebeveiliging binnen de Raad van Bestuur niet is aangewezen.

Het bedrag waarboven geen dwangsom meer wordt verbeurd, wordt bepaald op € 60.000,- (zestigduizend) per maatregel voor die maatregelen waar sprake is van een dwangsom van € 2000,- (tweeduizend) en op € 30.000,-. (dertigduizend) per maatregel voor de maatregelen waar sprake is van een dwangsom van € 1000,- (duizend).”

120.000 euro + 90.000 = 210.000 euro

Page 13: Actualiteiten wbp

Beveiliging ziekenhuizen (4)

• ‘Grace period’ (drie maanden)

• Innen dwangsom

• MC|Zuiderzee verbeurt dwangsom

• Rijnland ziekenhuis verbeurt dwangsom

• Na nieuwe risicoanalyse dwangsom kwijtgescholden (2010)

Page 14: Actualiteiten wbp

Beveiliging REPDs (1)

• Onderzoek regionale EPDs• Spitz-Midden Holland• CHP Gorinchem

• Niet voldaan aan de informatieplicht

• Exclusiviteit behandelrelatie niet goed geborgd

• Wel logging, maar geen controle

Page 15: Actualiteiten wbp

Beveiliging ziekenhuizen

Page 16: Actualiteiten wbp

OV studentenkaart (1)

• eLaw@Leiden College

• Wel of niet in/uitchecken met studentenkaart?

• Opslag noodzakelijk? Termijn?

• Handhavingsverzoek Cbp

• CLINIC

Page 17: Actualiteiten wbp

OV studentenkaart (2)

• Onderzoek door Cbp

• Reisgegevens te lang opgeslagen

- art 6 jo 10 Wbp

• Geen verantwoord beleid voor bewaartermijn

• Onvoldoende informatie richting studenten

Page 18: Actualiteiten wbp

Code financiële dienstverleners (1)

• 25 Wbp (gedragscodes)

• Opvolger eerdere codes- Privacy Gedragscode Banken, (Stcrt 207, 25 oktober 1995)

- Gedragscode Verwerking van Persoonsgegevens Verzekeringsbedrijf (Stcrt. 44, 5 maart 1998)

• De Gedragscode beoogt: a.) richtlijnen te geven aan Financiële instellingen voor de omgang met Persoonsgegevens,

b.) informatie te verschaffen aan personen van wie Persoonsgegevens door Financiële instellingen verwerkt (zullen) worden en

c.) bij te dragen aan de doorzichtigheid van de gehanteerde regels met betrekking tot de door Financiële instellingen verwerkte en te verwerken Persoonsgegevens.

Page 19: Actualiteiten wbp

Code financiële dienstverleners (2)

• Algemene eisen uit de Wbp

• Sectorspecifieke eisen en wetgeving

• Omgang bijzondere persoonsgegevens

• Diverse specifieke verwerkingen

- Opnemen telefoongesprekken

- Cameratoezicht

Page 20: Actualiteiten wbp

Wetgevingsadviezen

• Wetgevingsadvies Telecommunicatiewet• ‘Smalle’ versus ‘brede’ meldplicht• Samenloop in handhaving

• Wetgevingsadvies BSN in de financiële sector• Opnemen privacy paragraaf• Niet koppelen met LIS en BKR

Page 21: Actualiteiten wbp

Algemeen advies

• Etnische registratie van minderheden

• Privacy by design

• Uitwisseling gegevens VS-EU

• Internationale samenwerking binnen WP29- Brief aan Google

Page 22: Actualiteiten wbp

Conclusies

• Heeft het Cbp haar eigen agenda gevolgd?

• Heeft het Cbp haar tanden laten zien?

• Wat gaat het Cbp doen in 2011?• Opvolger AV 23• Richtsnoeren behavioural targeting• Meldplicht datalekken?• Privacy Impact Assessment?