FDseminar IT Risk - Dirk De Bot - DPS4U

TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941

De GDPR bekeken vanuit risico en financieel oogpunt

Presentatie Dirk De Bot

FD Seminar IT Risk

Niel – 10 oktober 2017


Voorstelling

Dirk De Bot

• Licentiaat (KUL 1988) en doctor rechten (VUB 2015)

• Ervaring als advocaat en bedrijfsjurist

• Sinds 1993 actief op het vlak van de juridische aspecten van gegevensverwerking en -bescherming

• Expert bij de CBPL tot augustus 2015 (opvolging AVG)

• Extern lid Sectoraal Comité Federale Overheid

• Zaakvoerder/consultant DPS4U bvba

• www.dps4u.be - overzicht diensten en publicaties


Schema

1. Vooraf - terminologie

2. Toepassingsgebied - enkele verduidelijkingen

3. Risico

4. Financiële gevolgen



NIET - privacy

WEL - data protection of gegevensbescherming

• Niet elke verwerking van persoonsgegevens is een (potentiële) inmenging in het privéleven of de persoonlijke levenssfeer

• Gelijkstelling van beide is risicovol voor de bescherming van de burgers



NIET – persoonlijke gegevens

WEL – persoonsgegevens

• De regelgeving is van toepassing zodra er persoonsgegevens worden verwerkt

• De gegevens moet niet persoonlijk zijn, maar wel aan een persoon kunnen worden gekoppeld



NIET – Privacywet of Privacycommissie

WEL – Wet verwerking persoonsgegevens

en Commissie voor de bescherming van de persoonlijke levenssfeer

• Toekomst - Gegevensbeschermingsautoriteit = de Toezichthoudende autoriteit voor de verwerking van persoonsgegevens;


2. Toepassingsgebied

GDPR/AVG is van toepassing zodra persoonsgegevens worden verwerkt

Persoonsgegeven = alle informatie over een

geïdentificeerde of

identificeerbare natuurlijke persoon


2. Toepassingsgebied/2

Wanneer is een persoon identificeerbaar?

• Als hij direct of indirect kan worden geïdentificeerd, met name aan de hand van

– Een identificator

• Zoals naam, identificatienummer, locatiegegevens

– Of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische , economische, culturele of sociale identiteit



Om te bepalen of iemand identificeerbaar is

• Rekening houden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren



Wanneer valt van middelen redelijkerwijs te verwachten dat ze worden ingezet om te identificeren?

• Rekening houden met alle objectieve factoren,

– Zoals kosten van identificatie

– Tijd nodig voor identificatie

– Rekening houden met beschikbare technologie

– En met technologische ontwikkelingen



Conclusies

• Zeer ruime interpretatie van persoonsgegeven

– Zowel elk gegeven komt in aanmerking om een persoonsgegeven te zijn

• Ook zeer ruime interpretatie van verwerking



Verduidelijkingen/1

• Gegevens over natuurlijke personen in professionele hoedanigheid

zoals vrije beroepers, eenmanszaken

Eventueel ook gegevens over EBVBA (met naam van vennoot)

= persoonsgegevens !

– Wellicht een ander risico



Verduidelijkingen/2

• Band met privéleven is niet relevant

• Enige criterium = vraag of gegeven betrekking heeft op/in verband kan worden gebracht met natuurlijke persoon

– Ook professionele gegevens, zoals zaakvoerder BVBA of financieel directeur onderneming X = persoonsgegevens

– Toepassing op B2B



Verduidelijkingen/3

• Ook gegevens over objecten kunnen persoonsgegevens zijn

– Telefoon – titularis of eigenaar van telefoon

– Nummerplaat – titularis van voertuig waar nummerplaat op hangt

– Vast IP-nummer – titularis nummer


3. Risico

A. Inleiding – band met risk based approach

B. 4 soorten van risico

C. De onbekende – de risico’s voor de rechten en vrijheden van de betrokkene


3. Risico - inleiding

AVG kent “op risico’s gebaseerde benadering”

• In plaats van ongedifferentieerde verplichtingen zoals aangifte

– Leiden tot administratieve en financiële lasten

– Zonder bijdrage tot betere bescherming

• Bewuste keuze voor doeltreffende procedures en mechanismen die gericht zijn op de verwerkingen met waarschijnlijk grote risico’s


3. Risico – inleiding/2

• “Risk based approach” - hangt samen met verantwoordingsplicht

• Slechte vertaling van “accountability”

• Dekt een dubbele lading

– Verantwoordelijkheid nemen

= maatregelen die zorgen voor naleving

– Verantwoording geven

= aantonen dat maatregelen zorgen voor naleving (doeltreffendheid)


3. Risico – soorten/1

Onderscheid tussen 4 soorten risico’s

• Risicoanalyse door Europese wetgever

• A posterior risicoanalyse bij gegevenslekken

• Preventieve risicoanalyse m.b.t. beveiliging

• Preventieve risicoanalyse als onderdeel van op risico’s gebaseerde benadering



1. Risicoanalyse door Europese wetgever

Sommige verwerkingen worden beschouwd als een hoog risico

– Verwerking van bijzondere categorieën van gegevens

– Systematische en uitgebreide beoordeling van persoonlijke aspecten

– Systematische en grootschalige monitoring van van openbaar toegankelijke ruimten



2. A posteriori risicoanalyse bij lekken

Analyse van risico’s verbonden met gegevenslek

• Is altijd a posteriori (nadat het risico of lek zich heeft voorgedaan)

• Is niet noodzakelijk verbonden met het risico dat inherent is aan de verwerking

– Een verwerking met een laag risico kan leiden tot een lek met ernstige gevolgen (hoog risico)



3. Preventieve risicoanalyse inzake beveiliging

• Is gekend – al vervat in Wet 8/12/1992

• Betreft de risico’s voor verantwoordelijke

– Laat toe om rekening te houden met de waarschijnlijkheid en ernst van de risico’s

– Vraagt in eerste instantie om een afweging van belangen die gekend zijn en onder controle



4. Preventieve risicoanalyse algemeen

• Onderdeel op risico’s gebaseerde benadering

• Een specifiek risico

• Betreft altijd de fundamentele rechten en vrijheden van de betrokkenen

• Vraagt om een afweging van belangen die niet (volledig) onder controle zijn


3. Risico - uitdaging

• Hoe bepalen wat de risico’s zijn voor de rechten en vrijheden van betrokkenen?

• De grote uitdaging

• Teveel gegevens

– risico voor verantwoordelijke (onrechtmatige verwerking en dus mogelijke boete)

– Risico voor betrokkene? – als teveel aan gegevens voor andere doeleinden wordt verwerkt


4. Financiële gevolgen

A. De klassieker – de administratieve geldboetes

B. Andere mogelijke sancties

C. De uitvoeringskosten


4. Financieel – geldboetes/1

Administratieve geldboetes

• Op te leggen door toezichthoudende autoriteit

• Afspraak nodig met parket

– wanneer administratief en wanneer strafrechtelijk

– via protocol (zie GAS-wet)

• Procedures voorzien voor rechten verdediging

4. Financieel - geldboetes/2

Bij besluit over opleggen geldboete én over hoogte geldboete naar behoren rekening houden met aantal criteria of elementen (zie artikel 83, lid 2 AVG)

• Aard, ernst, duur van inbreuk– In functie van aard, omvang of doel verwerking

– In functie van aantal getroffen betrokkenen

– In functie van omvang geleden schade

• Opzettelijke of nalatige aard inbreuk

4. Financieel - geldboetes/3

• Maatregelen om schade te beperken

• Mate van verantwoordelijkheid gezien technische en organisatorische maatregelen

• Eerdere relevante inbreuken

• Mate van samenwerking met toezichthoudende autoriteit om inbreuk te verhelpen en mogelijk negatieve gevolgen te beperken

• Categorieën van persoonsgegevens waarop inbreuk betrekking heeft

• Wijze van kennisname van inbreuk• Met name of (en in hoeverre) zelf gemeld


• Naleving corrigerende maatregelen artikel 58, lid 2

• Aansluiten bij gedragscode of certificeringsmechanismen

• Elke andere verzwarende of verzachtende factor

– Gemaakte financiële winsten

– Vermeden verliezen

– die (al dan niet rechtstreeks) uit inbreuk voortvloeien


Geldboetes categorie 1

• Tot 10.000.000 EUR of 2 % totale wereldwijde omzet in voorgaande boekjaar

• Voor inbreuken • op verplichtingen overeenkomstig artikel 8, 11, 25 tot

en met 39, 42 en 43= onder meer alle verplichtingen voor verantwoordelijke in Hoofdstuk IV

• Verplichtingen certificeringsorgaan



• Tot 20.000.000 of 4 % totale wereldwijde omzet in voorgaand boekjaar

• Voor inbreuken op• Basisbeginselen (artikel 5, 6, 7 en 9)

• Rechten van betrokkenen (artikel 12 tot en met 22)

• Doorgiften (artikel 44 tot en met 49)

• Verplichtingen uit hoofde van lidstatelijk recht in verband met Hoofdstuk IX• = lidstatelijke regels voor specifieke situaties

• Niet-naleving van bevel of tijdelijke of definitieve beperking of opschorting gegevensstroom overeenkomstig artikel 58, lid 2

• Niet-verlening van toegang in strijd met artikel 58, lid 1



• Tot 20.000.000 of 4 % totale wereldwijze omzet in voorgaand boekjaar

• Voor niet-naleving van een bevel toezichthoudende autoriteit als bedoeld in artikel 58, lid 2


Wat bij samenloop?

• ALS – opzettelijk of uit nalatigheid

– Met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten

• Inbreuk op meerdere bepalingen

• Mag totale geldboete niet hoger zijn dan die voor zwaarste inbreuk


Administratieve (geld)boetes

= administratieve geldboetes met punitief karakter

• DUS toepassing beginselen strafsancties– Niet duidelijk of ze de toets doorstaan

– Probleem van legaliteit – omschrijving van strafbaarstelling (verwijtbaarheid)

• Belang van geldboetes van categorie 3!


4. Financieel – andere sancties

Administratieve geldboete slechts één mogelijke maatregel

zie Artikel 58, lid 2, onder i) AVG

• “naargelang de omstandigheden van elke zaak,

• naast of in plaats van de corrigerende maatregelen

• een administratieve geldboete opleggen op grond van artikel 83”

Andere administratieve sancties zijn mogelijk

• kunnen belangrijke financiële impact hebben


4. Financieel – andere sancties/2

Corrigerende maatregelen, zoals (artikel 58, lid 2 AVG)

• bevel om inbreuk op beveiliging mee te delen aan betrokkene

• Bevel om op nadere bepaalde manier en binnen nader bepaalde termijn verwerkingen in overeenstemming te brengen met AVG

• opleggen tijdelijke of definitieve beperking van verwerking, met inbegrip van verbod

• Opschorten gegevensstroom naar derde land


4. Financieel - aandachtspunt

AVG voert hoofdelijke aansprakelijkheid in

• Maakt het mogelijk dat verantwoordelijke gehele bedrag van schadevergoeding moet betalen en aandeel verwerker op verwerker moet verhalen

• En omgekeerd! – verwerker moet volledige schade vergoeden en nadien recupereren


4. Financieel - uitvoeringskosten

Uitvoeringkosten = element waarmee rekening kan en mag gehouden worden bij toepassing AVG

Wordt uitdrukkelijk voorzien in AVG

Afhankelijk van risico en globale context

• Zijn anders voor KMO die “gewone” producten verkoopt dan voor groot ziekenhuis


4. Financieel – uitvoeringskosten/2

• Ook altijd rekening houden met technologische ontwikkelingen

• Combinatie

– State of the art oplossing is niet altijd nodig

– Wel de oplossing die technisch én financieel haalbaar is voor gemiddelde onderneming in zelfde omstandigheden


4. Financieel – uitvoeringskosten/3

Uitvoeringskosten zijn een criterium in

• Artikel 17 – bij toepassing recht op overdraagbaarheid

• Artikel 25 – bij toepassing gegevensbescherming door ontwerp

• Artikel 30 – bij bepalen van passende technische en organisatorische maatregelen inzake beveiliging


Conclusie

• AVG kent heel wat goede bedoelingen

• Maar schiet soms zijn doel voorbij

• Teveel nadruk op grotere online spelers

• Te weinig aandacht voor impact op rest, in het bijzonder KMO’s


Conclusie/2

• Belangrijke financiële gevolgen, maar mogen niet overroepen worden

– Boetes zullen wellicht niet snel worden opgelegd

• Naleving AVG is kwestie van gezond verstand

• Niet mogelijk alles naar de letter toe te passen

• Belang van goodwill – aanpakken van grootste problemen of issues



Vragen?

FDseminar IT Risk - Dirk De Bot - DPS4U

Business

Transcript of FDseminar IT Risk - Dirk De Bot - DPS4U