De nieuwe digitale wereld en de privacy

De nieuwe digitale wereld en de privacy

Johan Vandendriessche

Partner | Crosslaw

Gastprofessor ICT-recht | UGent | HoWest

[email protected]

www.crosslaw.be

Wat moet ik als CIO weten over de AVG?

Brussels - Kortrijk | www.crosslaw.be 2

Verordening: stand van zaken

Geüniformeerde regelgeving binnen de EU Goedgekeurd EP op 14 april 2016 Toepassing vanaf 25 mei 2018

Toepassingsgebied Materieel

• Verwerking van persoonsgegevens

Territoriaal• Vestiging binnen de EU• Geen vestiging binnen de EU

Administratieve vereenvoudiging? Afschaffing van de aangifteverplichting “One Stop Shop”-mechanisme

Sanctiemechanismen


AVG: basisfilosofie

Filosofie van de AVG wijkt gedeeltelijk af van de filosofie van de Richtlijn 1995/46/EG Responsabilisering

Risico-gebaseerde aanpak

Richtlijn: sporadische omkering bewijslast, rol van betrokkenen en toezichthouders Principe van responsabilisering uitgewerkt in adviezen

AVG: documentatieplicht en aantoonbare naleving van de AVG Uitdrukkelijk opgenomen en sterk uitgewerkt in het wettelijke kader


AVG: basisfilosofie

Compliance wordt proactieve compliance Aantoonbare naleving van de wettelijke bepalingen

• Data protection officer

• Uitgebreide documentatieplicht en data protection impact assessments

• Meldingsplicht gegevenslekken (“data breach notification”)

In geval van geschil of controle: verantwoordelijke voor de verwerking moet naleving van de AVG kunnen aantonen• Inbouwen van compliance processen

• Regelmatige controle van processen

• Compliance activiteit is een belangrijke factor bij risico- en aansprakelijkheidsbeperking


AVG: basisfilosofie

Risico-gebaseerde aanpak Twee stappen: risico en hoog risico

Risicobepaling Waarschijnlijkheid (‘likelihood’) Ernst (‘severity’) Criteria: de aard, omvang, context en de doeleinden van de verwerking Rol van pseudonimisering

Impact: specifieke bepalingen enkel van toepassing in geval van hoog risico Data protection impact assessment Kennisgeving aan betrokkenen bij gegevenslekken Voorafgaande consultatie van toezichthouder bij DPIAs


Toepassingsgebied

Materieel Verwerking van persoonsgegevens

• Geheel of gedeeltelijk geautomatiseerd• Manueel, indien opgenomen in bestand of bestemd daartoe

Uitzonderingen• Persoonlijk en huishoudelijk gebruik• Specifieke uitsluitingen

Territoriaal Vestiging verwerkingsverantwoordelijke of verwerker in EU Vestiging buiten EU

• Betrokkene bevind zich in de EU• Specifieke verwerking

• Aanbieden van goederen of diensten• Monitoren van gedrag in de EU


Beginselen inzake de verwerking van persoonsgegevens

Beginselen blijven grosso modo ongewijzigd Rechtmatigheid, behoorlijkheid en transparantie

Doelbinding

Minimale gegevensverwerking

Juistheid

Opslagbeperking

Integriteit en vertrouwelijkheid

Geen beginselen maar wel relevant Uitvoerbeperkingen

Nalevingsmechanismen


Toestemming als verwerkingsgrondslag

Wordt toestemming gebruikt als grondslag? Opgelet: striktere toepassing in de AVG

Louter stilzwijgen is niet langer voldoende• Noodzaak van een duidelijke actieve handeling

• Wel: schriftelijke of mondelinge verklaring, klikken van een vakje, selecteren technische instellingen

• Niet: reeds aangekruiste vakjes, inactiviteit

• Resultaat van compromis

Toestemming per finaliteit

Bewijslast bij verwerkingsverantwoordelijke

Indien schriftelijke verklaring Begrijpelijke, duidelijke en eenvoudige taal

Duidelijk onderscheiden



Geen overgangsmaatregel Toestemming moet voldoen aan nieuwe vereisten

Controleer toestemmingsmechanisme bij impliciete toestemming

Informatieplicht wijzigt• Toestemming is per definitie niet langer geïnformeerd?

Minderjarigen bij diensten van informatiemaatschappij Ten minste 16 jaar (kan naar 13 jaar gebracht worden)

Indien jonger: wettelijke vertegenwoordiger (doorgaans de ouders)

Redelijke inspanning om toestemming van vertegenwoordiger te controleren



Algemeen recht om toestemming in te trekken Geen motivering vereist

Even eenvoudig als het geven van toestemming

Houd rekening met het recht om de toestemming in te trekken Maak een onderscheid tussen de grondslagen op basis van de doeleinden

• Noodzaak voor uitvoering overeenkomst/legitiem belang

• Marketing, profiling,…

Kennisgevingsplicht inzake verwerkingsgrondslagen

Oplossing? • Dashboard?

• Uitfaseren van het gebruik van de toestemming


Legitiem belang als verwerkingsgrond

Gerechtvaardigd belang Verwerkingsverantwoordelijke Derde

Belangenafweging (‘relevant en passende verhouding’) Belangen en grondrechten van de betrokkene Redelijke verwachtingen betrokkene Specifiek geval: kind

Documentatie van de belangenafweging is noodzakelijk Voorbeelden vermeld in Verordening

Fraudebestrijding Direct marketing Verwerkingen in vennootschapsgroepen (HR en klantenbeheer) Netwerk- en informatiebeveiliging Doorgeven persoonsgegevens in het kader van gerechtelijke onderzoeken


Rechten van de betrokkene

Verruimde informatieplicht Identiteit verwerkingsverantwoordelijke en zijn DPO Verwerkingsdoeleinden en de grondslag De gerechtvaardigde belangen, indien van toepassing (Categorieën) van ontvangers en persoonsgegevens Internationale doorgiften Bewaartermijn Rechten van de betrokkene Bestaan van het recht om de toestemming in te trekken Klachtrecht …

Mogelijkheid om gestandaardiseerde iconen op te leggen



Rechtstreekse vs. onrechtstreekse inzameling

Termijnen Redelijke termijn, uiterlijk 1 maand na verkrijging

Communicatie: uiterlijk het moment van het eerste contact

Mededeling ontvanger: uiterlijk het tijdstip van mededeling

Vrijstelling Reeds gekend

Onmogelijk of onevenredig grote inspanning (mits bijkomende maatregelen)

Verkrijgen of verstrekken vloeit voort uit een wettelijk voorschrift

Beroepsgeheim of statutaire geheimhouding met betrekking tot de persoonsgegevens



Recht op gegevenswissing (‘Recht op vergetelheid’) Wissen van persoonsgegevens

• Niet langer nodig• Intrekking toestemming• Bezwaar• Onrechtmatige verwerking• Wettelijke verplichting• Minderjarige in de context van dienst informatiemaatschappij

Uitzonderingen• Vrije meningsuiting en informatie• Wettelijke verplichting• Algemeen belang op het vlak van volksgezondheid• Archivering• Instellen, uitoefening of onderbouwen van een rechtsvordering



Bij openbaarmaking, redelijke inspanning om uitoefening recht op vergetelheid kenbaar te maken aan derden die de persoonsgegevens verwerken

Niet te verwarren met het recht om vergeten te worden (rechtspraak HvJEU inzake zoekrobotten) Beperkt toepassingsgebied

Eigen toepassingsvoorwaarden

Richtlijnen Artikel 29 Werkgroep



Recht op beperking van de verwerking Verbod op verwerking van persoonsgegevens

• Betwisting van nauwkeurigheid (gedurende periode verificatie)

• Betwisting van de rechtmatigheid met verzet tegen wissen

• Niet langer nodig voor verwerkingsverantwoordelijke, maar wel door betrokkene in het kader van de instelling, uitoefening of onderbouwing van een rechtsvordering

• Uitoefening van een bezwaar, in afwachting van antwoord

Uitzonderingen• Toestemming

• Vaststelling, uitoefening of verdediging van een recht in rechte

• Bescherming van rechten van derden

• Algemeen belang

Opslag blijft steeds mogelijk



Recht op gegevensoverdraagbaarheid Gegevens overhandigd door de betrokkene aan de verantwoordelijke

Verwerking gebaseerd op toestemming of contractuele noodzakelijkheid

Verwerking m.b.v. geautomatiseerde middelen

Hoe Aan de betrokkene in een gestructureerd en algemeen gebruikt machinaal

leesbaar formaat

Overdracht toelaten zonder hinder

Indien technisch mogelijk: rechtstreeks aan nieuwe verwerkingsverantwoordelijke

Bijkomende aanbevelingen van Artikel 29 WP aangekondigd



Automatische besluitvorming (profilering) Automatische verwerking van persoonsgegevens

Evaluatie van persoonlijke kenmerken

Opt-out in verband met maatregelen indien rechtsgevolgen of treffen in aanmerkelijke mate

Uitzonderingen Gewone persoonsgegevens

• Contractuele noodzaak, toegelaten door de wet of uitdrukkelijke toestemming

Gevoelige persoonsgegevens• Noodzaak voor publiek belang of uitdrukkelijke toestemming



Aanvullende bescherming Passende maatregelen ter bescherming van rechten, vrijheden en

gerechtvaardigd belang van de betrokkene

Bijkomende rechten• Recht op menselijke tussenkomst van de verwerkingsverantwoordelijke

• Recht om standpunt kenbaar te maken

• Recht om besluit aan te vechten

Informatieplicht• Bestaan

• Nuttige informatie over de onderliggende logica

• Het belang en de verwachte gevolgen van de verwerking voor de betrokkene


Privacy by Design / Privacy by Default

Privacy by design and by default Passende technische en organisatorische maatregelen

Afweging• Stand van de techniek

• Uitvoeringskosten

• Aard, omvang, context en doel van de verwerking

• Risico’s

Belangrijke afweging bij nieuwe producten/diensten

Technologische implementatie

Bijkomende toelichting wordt verwacht in 2017


Meldingsplicht bij datalekken

Voorbereiding voor eventuele datalekken A priori werkwijze bepalen

Meldingsprocedure uitwerken Meldingsplicht aan de toezichthouder

Zonder vertraging en in elk geval binnen de 72 uur

Indien onmogelijk: motiveringsplicht

Uitzondering: indien geen risico voor de betrokken personen

Meldingsplicht aan de betrokkenen In geval van risico voor de betrokkenen

Vrijstelling mogelijk (b.v. bij encryptie)

Verwerker heeft meldingsplicht ten aanzien van de verantwoordelijke


Afdwinging

Aantoonbare naleving

Sanctieapparaat Klachtenprocedure

Recht op schadevergoeding van de betrokkene

Strafrechtelijke aansprakelijkheid

Administratieve geldboetes• 2% van de wereldwijde jaarlijkse omzet of 10 MEUR

• Organisatorische aspecten

• 4% van de wereldwijde jaarlijkse omzet of 20 MEUR• Beginselen, essentiële verplichtingen, rechten van de betrokkenen


Wat moet ik concreet doen m.b.t. de AVG?


Overzicht

Documenteer en analyseer de bestaande verwerkingen van persoonsgegevens

Evalueer het geheel van bestaande overeenkomsten binnen de onderneming Standaardovereenkomsten en disclaimers

Ad hoc overeenkomsten (verwerkingsovereenkomsten)

Verstrek opleiding aan de relevante medewerkers

Wijzig de bestaande verwerkingen voor zover vereist of wenselijk Compliance afweging

Praktische afweging


Verwerkingsregister

Bijhouden “Register van de verwerkingsactiviteiten” Verwerkingsverantwoordelijke Verwerker

Inhoud voor verwerkingsverantwoordelijke Identificatie en contactgegevens, met inbegrip van DPO Verwerkingsdoeleinden Categorieën van betrokkenen en categorieën persoonsgegevens Categorieën van ontvangers Uitvoer van persoonsgegevens Bewaringstermijnen Algemene beschrijving veiligheidsmaatregelen

Inhoud voor verwerker verschilt licht (contextueel)


Verwerkingsregister

Samenstelling van register Bestaande aangiftes bij CBPL als basis?

• Eerste indicatie

• Onvolledig vergeleken met vereisten AVG

• Nuttig als startpunt en controlemechanisme volledigheid

Audit van bestaande verwerkingen

Aanbeveling: voeg elementen van informatieplicht toe aan het register Register en informatieplicht vallen niet samen

Resultaten zijn basis voor verdere analyse Juridische compliance

Praktische overwegingen


Analyse van het verwerkingsregister

Elke verwerkingsactiviteit moet worden geanalyseerd Focus = verschilpunten Richtlijn 95/46/EG vs AVG

Aandachtspunten Finaliteit

• Risicoanalyse (risico – hoog risico): impact verplichtingen

Verwerkingsgrondslag• Toestemming

• Wenselijk gelet op mogelijkheid intrekking toestemming?

• Alternatief voor toestemming?

• Legitiem belang• Identificeer het onderliggende legitieme belang

• Voer de belangenafweging uit en documenteer dit


Analyse van het verwerkingsregister

Verificatie van verrichte kennisgevingen Analyseer de tekortkomingen

Pas de kennisgevingen (disclaimers) aan

Voeg versiebeheer toe aan het verwerkingsregister

Bewaartermijnen Analyseer en documenteer de bewaartermijnen

Analyseer de beveiliging van elke verwerking

Identificeer ontvangers Indien verwerker, verifieer en wijzig de verwerkingsovereenkomst indien van

toepassing na 25 mei 2018


Data Protection Impact Assessment

Resultaat analyse: hoog risico voor bepaalde verwerkingen Hoog risico?

Voorbeelden (niet-exhaustief)• Systematische en uitgebreide beoordeling van persoonlijke aspecten waaraan

rechtsgevolgen zijn gekoppeld

• Grootschalige verwerking van bijzondere categorieën van persoonsgegevens

• Stelselmatige en grootschalige monitoring

Plan data protection impact assessment Voer dit voorlopig niet uit

Bijkomende richtlijnen worden verwacht

Analyseer of een voorafgaande raadpleging nodig kan zijn


Functionaris voor gegevensbescherming (DPO)

Verplichte aanstelling Overheidsinstantie of –orgaan

Hoofdzakelijk belast met regelmatige en stelselmatige observatie op grote schaal

Hoofdzakelijk belast met grootschalige verwerking gevoelige gegevens

Wettelijke verplichting

Groepscoördinatie is mogelijk

Rol (intern of extern persoon)

Advies- en contactfunctie

Rechtstreeks communicatiekanaal naar hoogste leidinggevende


Beroep op verwerkers

Vereisten inzake de aanstelling van verwerkers Strikter in AVG dan in Richtlijn 95/46/EG

Stappen Analyseer en wijzig standaardovereenkomsten waar nodig

• Toepassing is verplicht vanaf 25 mei 2018

• Vroegere toepassing kan nuttig zijn

Identificeer de bestaande verwerkersovereenkomsten• Individuele analyse en aanpassing is mogelijk, maar niet praktisch/kostefficiënt

• Redigeer een algemeen addendum ter vervanging van bestaande clausules• Vervangen zonder tekstcontrole is mogelijk voor de overeenkomst

• Analyse van de individuele verwerkingen blijft vereist, maar staat los van de overeenkomst



Huidige vereisten (samenvallend met AVG) Geschreven of elektronische overeenkomst

• Inhoud wordt meer gedetailleerd in AVG: voorwerp, duur, aard, betrokken persoonsgegevens, categorieën betrokkenen en rechten en plichten van partijen

Beveiligingsverplichting verwerker

Vertrouwelijkheid

Instructieplicht – verwerkingsbeperking

Meldingsplicht gegevenslekken? Op heden geen wettelijke verplichtingen

Standaardbepaling in de meeste bestaande verwerkingsovereenkomsten



Nieuwe vereisten Modaliteiten ter beperking van de aanstelling van sub-verwerkers

Bijstand verwerker aan verwerkingsverantwoordelijke m.o.o. naleving eigen verplichtingen van deze laatste

Retransitiemaatregelen met betrekking tot persoonsgegevens

Medewerkingsplicht inzake compliance

Contractuele verplichting tot mogelijkheid audit

Informatieplicht schending AVG

Doorschuiven verplichtingen aan sub-verwerkers

Impact prijs verwerkingsactiviteiten?


Incidentbeheer

Stel een policy op voor het beheer van incidenten met betrekking tot persoonsgegevens Wijzig bestaande policy incidentbeheer

Creëer policy

Identificeer preventief risicovolle verwerkingen en incidenten die een sowieso een hoog risico betekenen voor betrokkenen Meldingsplicht aan betrokkenen

Identificeer preventief scenario’s voor schadebeperking

DPO?


Veel succes richting 2018!


De nieuwe digitale wereld en de privacy

Law

Transcript of De nieuwe digitale wereld en de privacy