De nieuwe digitale wereld en de privacy
-
Upload
johan-vandendriessche -
Category
Law
-
view
100 -
download
0
Transcript of De nieuwe digitale wereld en de privacy
De nieuwe digitale wereld en de privacy
Johan Vandendriessche
Partner | Crosslaw
Gastprofessor ICT-recht | UGent | HoWest
www.crosslaw.be
Wat moet ik als CIO weten over de AVG?
Brussels - Kortrijk | www.crosslaw.be 2
Verordening: stand van zaken
Geüniformeerde regelgeving binnen de EU Goedgekeurd EP op 14 april 2016 Toepassing vanaf 25 mei 2018
Toepassingsgebied Materieel
• Verwerking van persoonsgegevens
Territoriaal• Vestiging binnen de EU• Geen vestiging binnen de EU
Administratieve vereenvoudiging? Afschaffing van de aangifteverplichting “One Stop Shop”-mechanisme
Sanctiemechanismen
Brussels - Kortrijk | www.crosslaw.be 3
AVG: basisfilosofie
Filosofie van de AVG wijkt gedeeltelijk af van de filosofie van de Richtlijn 1995/46/EG Responsabilisering
Risico-gebaseerde aanpak
Richtlijn: sporadische omkering bewijslast, rol van betrokkenen en toezichthouders Principe van responsabilisering uitgewerkt in adviezen
AVG: documentatieplicht en aantoonbare naleving van de AVG Uitdrukkelijk opgenomen en sterk uitgewerkt in het wettelijke kader
Brussels - Kortrijk | www.crosslaw.be 4
AVG: basisfilosofie
Compliance wordt proactieve compliance Aantoonbare naleving van de wettelijke bepalingen
• Data protection officer
• Uitgebreide documentatieplicht en data protection impact assessments
• Meldingsplicht gegevenslekken (“data breach notification”)
In geval van geschil of controle: verantwoordelijke voor de verwerking moet naleving van de AVG kunnen aantonen• Inbouwen van compliance processen
• Regelmatige controle van processen
• Compliance activiteit is een belangrijke factor bij risico- en aansprakelijkheidsbeperking
Brussels - Kortrijk | www.crosslaw.be 5
AVG: basisfilosofie
Risico-gebaseerde aanpak Twee stappen: risico en hoog risico
Risicobepaling Waarschijnlijkheid (‘likelihood’) Ernst (‘severity’) Criteria: de aard, omvang, context en de doeleinden van de verwerking Rol van pseudonimisering
Impact: specifieke bepalingen enkel van toepassing in geval van hoog risico Data protection impact assessment Kennisgeving aan betrokkenen bij gegevenslekken Voorafgaande consultatie van toezichthouder bij DPIAs
Brussels - Kortrijk | www.crosslaw.be 6
Toepassingsgebied
Materieel Verwerking van persoonsgegevens
• Geheel of gedeeltelijk geautomatiseerd• Manueel, indien opgenomen in bestand of bestemd daartoe
Uitzonderingen• Persoonlijk en huishoudelijk gebruik• Specifieke uitsluitingen
Territoriaal Vestiging verwerkingsverantwoordelijke of verwerker in EU Vestiging buiten EU
• Betrokkene bevind zich in de EU• Specifieke verwerking
• Aanbieden van goederen of diensten• Monitoren van gedrag in de EU
Brussels - Kortrijk | www.crosslaw.be 7
Beginselen inzake de verwerking van persoonsgegevens
Beginselen blijven grosso modo ongewijzigd Rechtmatigheid, behoorlijkheid en transparantie
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Geen beginselen maar wel relevant Uitvoerbeperkingen
Nalevingsmechanismen
Brussels - Kortrijk | www.crosslaw.be 8
Toestemming als verwerkingsgrondslag
Wordt toestemming gebruikt als grondslag? Opgelet: striktere toepassing in de AVG
Louter stilzwijgen is niet langer voldoende• Noodzaak van een duidelijke actieve handeling
• Wel: schriftelijke of mondelinge verklaring, klikken van een vakje, selecteren technische instellingen
• Niet: reeds aangekruiste vakjes, inactiviteit
• Resultaat van compromis
Toestemming per finaliteit
Bewijslast bij verwerkingsverantwoordelijke
Indien schriftelijke verklaring Begrijpelijke, duidelijke en eenvoudige taal
Duidelijk onderscheiden
Brussels - Kortrijk | www.crosslaw.be 9
Toestemming als verwerkingsgrondslag
Geen overgangsmaatregel Toestemming moet voldoen aan nieuwe vereisten
Controleer toestemmingsmechanisme bij impliciete toestemming
Informatieplicht wijzigt• Toestemming is per definitie niet langer geïnformeerd?
Minderjarigen bij diensten van informatiemaatschappij Ten minste 16 jaar (kan naar 13 jaar gebracht worden)
Indien jonger: wettelijke vertegenwoordiger (doorgaans de ouders)
Redelijke inspanning om toestemming van vertegenwoordiger te controleren
Brussels - Kortrijk | www.crosslaw.be 10
Toestemming als verwerkingsgrondslag
Algemeen recht om toestemming in te trekken Geen motivering vereist
Even eenvoudig als het geven van toestemming
Houd rekening met het recht om de toestemming in te trekken Maak een onderscheid tussen de grondslagen op basis van de doeleinden
• Noodzaak voor uitvoering overeenkomst/legitiem belang
• Marketing, profiling,…
Kennisgevingsplicht inzake verwerkingsgrondslagen
Oplossing? • Dashboard?
• Uitfaseren van het gebruik van de toestemming
Brussels - Kortrijk | www.crosslaw.be 11
Legitiem belang als verwerkingsgrond
Gerechtvaardigd belang Verwerkingsverantwoordelijke Derde
Belangenafweging (‘relevant en passende verhouding’) Belangen en grondrechten van de betrokkene Redelijke verwachtingen betrokkene Specifiek geval: kind
Documentatie van de belangenafweging is noodzakelijk Voorbeelden vermeld in Verordening
Fraudebestrijding Direct marketing Verwerkingen in vennootschapsgroepen (HR en klantenbeheer) Netwerk- en informatiebeveiliging Doorgeven persoonsgegevens in het kader van gerechtelijke onderzoeken
Brussels - Kortrijk | www.crosslaw.be 12
Rechten van de betrokkene
Verruimde informatieplicht Identiteit verwerkingsverantwoordelijke en zijn DPO Verwerkingsdoeleinden en de grondslag De gerechtvaardigde belangen, indien van toepassing (Categorieën) van ontvangers en persoonsgegevens Internationale doorgiften Bewaartermijn Rechten van de betrokkene Bestaan van het recht om de toestemming in te trekken Klachtrecht …
Mogelijkheid om gestandaardiseerde iconen op te leggen
Brussels - Kortrijk | www.crosslaw.be 13
Rechten van de betrokkene
Rechtstreekse vs. onrechtstreekse inzameling
Termijnen Redelijke termijn, uiterlijk 1 maand na verkrijging
Communicatie: uiterlijk het moment van het eerste contact
Mededeling ontvanger: uiterlijk het tijdstip van mededeling
Vrijstelling Reeds gekend
Onmogelijk of onevenredig grote inspanning (mits bijkomende maatregelen)
Verkrijgen of verstrekken vloeit voort uit een wettelijk voorschrift
Beroepsgeheim of statutaire geheimhouding met betrekking tot de persoonsgegevens
Brussels - Kortrijk | www.crosslaw.be 14
Rechten van de betrokkene
Recht op gegevenswissing (‘Recht op vergetelheid’) Wissen van persoonsgegevens
• Niet langer nodig• Intrekking toestemming• Bezwaar• Onrechtmatige verwerking• Wettelijke verplichting• Minderjarige in de context van dienst informatiemaatschappij
Uitzonderingen• Vrije meningsuiting en informatie• Wettelijke verplichting• Algemeen belang op het vlak van volksgezondheid• Archivering• Instellen, uitoefening of onderbouwen van een rechtsvordering
Brussels - Kortrijk | www.crosslaw.be 15
Rechten van de betrokkene
Bij openbaarmaking, redelijke inspanning om uitoefening recht op vergetelheid kenbaar te maken aan derden die de persoonsgegevens verwerken
Niet te verwarren met het recht om vergeten te worden (rechtspraak HvJEU inzake zoekrobotten) Beperkt toepassingsgebied
Eigen toepassingsvoorwaarden
Richtlijnen Artikel 29 Werkgroep
Brussels - Kortrijk | www.crosslaw.be 16
Rechten van de betrokkene
Recht op beperking van de verwerking Verbod op verwerking van persoonsgegevens
• Betwisting van nauwkeurigheid (gedurende periode verificatie)
• Betwisting van de rechtmatigheid met verzet tegen wissen
• Niet langer nodig voor verwerkingsverantwoordelijke, maar wel door betrokkene in het kader van de instelling, uitoefening of onderbouwing van een rechtsvordering
• Uitoefening van een bezwaar, in afwachting van antwoord
Uitzonderingen• Toestemming
• Vaststelling, uitoefening of verdediging van een recht in rechte
• Bescherming van rechten van derden
• Algemeen belang
Opslag blijft steeds mogelijk
Brussels - Kortrijk | www.crosslaw.be 17
Rechten van de betrokkene
Recht op gegevensoverdraagbaarheid Gegevens overhandigd door de betrokkene aan de verantwoordelijke
Verwerking gebaseerd op toestemming of contractuele noodzakelijkheid
Verwerking m.b.v. geautomatiseerde middelen
Hoe Aan de betrokkene in een gestructureerd en algemeen gebruikt machinaal
leesbaar formaat
Overdracht toelaten zonder hinder
Indien technisch mogelijk: rechtstreeks aan nieuwe verwerkingsverantwoordelijke
Bijkomende aanbevelingen van Artikel 29 WP aangekondigd
Brussels - Kortrijk | www.crosslaw.be 18
Rechten van de betrokkene
Automatische besluitvorming (profilering) Automatische verwerking van persoonsgegevens
Evaluatie van persoonlijke kenmerken
Opt-out in verband met maatregelen indien rechtsgevolgen of treffen in aanmerkelijke mate
Uitzonderingen Gewone persoonsgegevens
• Contractuele noodzaak, toegelaten door de wet of uitdrukkelijke toestemming
Gevoelige persoonsgegevens• Noodzaak voor publiek belang of uitdrukkelijke toestemming
Brussels - Kortrijk | www.crosslaw.be 19
Rechten van de betrokkene
Aanvullende bescherming Passende maatregelen ter bescherming van rechten, vrijheden en
gerechtvaardigd belang van de betrokkene
Bijkomende rechten• Recht op menselijke tussenkomst van de verwerkingsverantwoordelijke
• Recht om standpunt kenbaar te maken
• Recht om besluit aan te vechten
Informatieplicht• Bestaan
• Nuttige informatie over de onderliggende logica
• Het belang en de verwachte gevolgen van de verwerking voor de betrokkene
Brussels - Kortrijk | www.crosslaw.be 20
Privacy by Design / Privacy by Default
Privacy by design and by default Passende technische en organisatorische maatregelen
Afweging• Stand van de techniek
• Uitvoeringskosten
• Aard, omvang, context en doel van de verwerking
• Risico’s
Belangrijke afweging bij nieuwe producten/diensten
Technologische implementatie
Bijkomende toelichting wordt verwacht in 2017
Brussels - Kortrijk | www.crosslaw.be 21
Meldingsplicht bij datalekken
Voorbereiding voor eventuele datalekken A priori werkwijze bepalen
Meldingsprocedure uitwerken Meldingsplicht aan de toezichthouder
Zonder vertraging en in elk geval binnen de 72 uur
Indien onmogelijk: motiveringsplicht
Uitzondering: indien geen risico voor de betrokken personen
Meldingsplicht aan de betrokkenen In geval van risico voor de betrokkenen
Vrijstelling mogelijk (b.v. bij encryptie)
Verwerker heeft meldingsplicht ten aanzien van de verantwoordelijke
Brussels - Kortrijk | www.crosslaw.be 22
Afdwinging
Aantoonbare naleving
Sanctieapparaat Klachtenprocedure
Recht op schadevergoeding van de betrokkene
Strafrechtelijke aansprakelijkheid
Administratieve geldboetes• 2% van de wereldwijde jaarlijkse omzet of 10 MEUR
• Organisatorische aspecten
• 4% van de wereldwijde jaarlijkse omzet of 20 MEUR• Beginselen, essentiële verplichtingen, rechten van de betrokkenen
Brussels - Kortrijk | www.crosslaw.be 23
Wat moet ik concreet doen m.b.t. de AVG?
Brussels - Kortrijk | www.crosslaw.be 24
Overzicht
Documenteer en analyseer de bestaande verwerkingen van persoonsgegevens
Evalueer het geheel van bestaande overeenkomsten binnen de onderneming Standaardovereenkomsten en disclaimers
Ad hoc overeenkomsten (verwerkingsovereenkomsten)
Verstrek opleiding aan de relevante medewerkers
Wijzig de bestaande verwerkingen voor zover vereist of wenselijk Compliance afweging
Praktische afweging
Brussels - Kortrijk | www.crosslaw.be 25
Verwerkingsregister
Bijhouden “Register van de verwerkingsactiviteiten” Verwerkingsverantwoordelijke Verwerker
Inhoud voor verwerkingsverantwoordelijke Identificatie en contactgegevens, met inbegrip van DPO Verwerkingsdoeleinden Categorieën van betrokkenen en categorieën persoonsgegevens Categorieën van ontvangers Uitvoer van persoonsgegevens Bewaringstermijnen Algemene beschrijving veiligheidsmaatregelen
Inhoud voor verwerker verschilt licht (contextueel)
Brussels - Kortrijk | www.crosslaw.be 26
Verwerkingsregister
Samenstelling van register Bestaande aangiftes bij CBPL als basis?
• Eerste indicatie
• Onvolledig vergeleken met vereisten AVG
• Nuttig als startpunt en controlemechanisme volledigheid
Audit van bestaande verwerkingen
Aanbeveling: voeg elementen van informatieplicht toe aan het register Register en informatieplicht vallen niet samen
Resultaten zijn basis voor verdere analyse Juridische compliance
Praktische overwegingen
Brussels - Kortrijk | www.crosslaw.be 27
Analyse van het verwerkingsregister
Elke verwerkingsactiviteit moet worden geanalyseerd Focus = verschilpunten Richtlijn 95/46/EG vs AVG
Aandachtspunten Finaliteit
• Risicoanalyse (risico – hoog risico): impact verplichtingen
Verwerkingsgrondslag• Toestemming
• Wenselijk gelet op mogelijkheid intrekking toestemming?
• Alternatief voor toestemming?
• Legitiem belang• Identificeer het onderliggende legitieme belang
• Voer de belangenafweging uit en documenteer dit
Brussels - Kortrijk | www.crosslaw.be 28
Analyse van het verwerkingsregister
Verificatie van verrichte kennisgevingen Analyseer de tekortkomingen
Pas de kennisgevingen (disclaimers) aan
Voeg versiebeheer toe aan het verwerkingsregister
Bewaartermijnen Analyseer en documenteer de bewaartermijnen
Analyseer de beveiliging van elke verwerking
Identificeer ontvangers Indien verwerker, verifieer en wijzig de verwerkingsovereenkomst indien van
toepassing na 25 mei 2018
Brussels - Kortrijk | www.crosslaw.be 29
Data Protection Impact Assessment
Resultaat analyse: hoog risico voor bepaalde verwerkingen Hoog risico?
Voorbeelden (niet-exhaustief)• Systematische en uitgebreide beoordeling van persoonlijke aspecten waaraan
rechtsgevolgen zijn gekoppeld
• Grootschalige verwerking van bijzondere categorieën van persoonsgegevens
• Stelselmatige en grootschalige monitoring
Plan data protection impact assessment Voer dit voorlopig niet uit
Bijkomende richtlijnen worden verwacht
Analyseer of een voorafgaande raadpleging nodig kan zijn
Brussels - Kortrijk | www.crosslaw.be 30
Functionaris voor gegevensbescherming (DPO)
Verplichte aanstelling Overheidsinstantie of –orgaan
Hoofdzakelijk belast met regelmatige en stelselmatige observatie op grote schaal
Hoofdzakelijk belast met grootschalige verwerking gevoelige gegevens
Wettelijke verplichting
Groepscoördinatie is mogelijk
Rol (intern of extern persoon)
Advies- en contactfunctie
Rechtstreeks communicatiekanaal naar hoogste leidinggevende
Brussels - Kortrijk | www.crosslaw.be 31
Beroep op verwerkers
Vereisten inzake de aanstelling van verwerkers Strikter in AVG dan in Richtlijn 95/46/EG
Stappen Analyseer en wijzig standaardovereenkomsten waar nodig
• Toepassing is verplicht vanaf 25 mei 2018
• Vroegere toepassing kan nuttig zijn
Identificeer de bestaande verwerkersovereenkomsten• Individuele analyse en aanpassing is mogelijk, maar niet praktisch/kostefficiënt
• Redigeer een algemeen addendum ter vervanging van bestaande clausules• Vervangen zonder tekstcontrole is mogelijk voor de overeenkomst
• Analyse van de individuele verwerkingen blijft vereist, maar staat los van de overeenkomst
Brussels - Kortrijk | www.crosslaw.be 32
Beroep op verwerkers
Huidige vereisten (samenvallend met AVG) Geschreven of elektronische overeenkomst
• Inhoud wordt meer gedetailleerd in AVG: voorwerp, duur, aard, betrokken persoonsgegevens, categorieën betrokkenen en rechten en plichten van partijen
Beveiligingsverplichting verwerker
Vertrouwelijkheid
Instructieplicht – verwerkingsbeperking
Meldingsplicht gegevenslekken? Op heden geen wettelijke verplichtingen
Standaardbepaling in de meeste bestaande verwerkingsovereenkomsten
Brussels - Kortrijk | www.crosslaw.be 33
Beroep op verwerkers
Nieuwe vereisten Modaliteiten ter beperking van de aanstelling van sub-verwerkers
Bijstand verwerker aan verwerkingsverantwoordelijke m.o.o. naleving eigen verplichtingen van deze laatste
Retransitiemaatregelen met betrekking tot persoonsgegevens
Medewerkingsplicht inzake compliance
Contractuele verplichting tot mogelijkheid audit
Informatieplicht schending AVG
Doorschuiven verplichtingen aan sub-verwerkers
Impact prijs verwerkingsactiviteiten?
Brussels - Kortrijk | www.crosslaw.be 34
Incidentbeheer
Stel een policy op voor het beheer van incidenten met betrekking tot persoonsgegevens Wijzig bestaande policy incidentbeheer
Creëer policy
Identificeer preventief risicovolle verwerkingen en incidenten die een sowieso een hoog risico betekenen voor betrokkenen Meldingsplicht aan betrokkenen
Identificeer preventief scenario’s voor schadebeperking
DPO?
Brussels - Kortrijk | www.crosslaw.be 35
Veel succes richting 2018!
Brussels - Kortrijk | www.crosslaw.be 36