Bewust van de bescherming van persoonsgegevens

Nederland ICT Security in Bedrijf Workshop14 maart 2012

mr. dr. Bart W. Schermerschermer@considerati.com

+31613433437www.considerati.com

Over Considerati

• Wij helpen organisaties met ICT gerelateerde juridische vraagstukken, sterke focus op privacy

• Enige adviesbureau dat juridisch advies en beleidsadvies combineert

• Wij bouwen bruggen tussen uiteenlopende stakeholders

• Wij brengen organisaties van compliance naar trust

Agenda

• Wat is privacy?

• Welke eisen stelt de Wet bescherming persoonsgegevens?

• Wat gaat er in de toekomst veranderen (Draft Regulation)

• Hoe richt ik een privacy compliance programma in?

Wat is “privacy”?

Wat is privacy?

“Privacy is geen statisch object, maar een concept dat context gerelateerd is. Hierdoor is het onmogelijk om het te definiëren zonder te referen aan een complex geheel van sociale, culturele, religieuze en historische parameters waaraan het zijn betekenis onleent.”

-- Serge Gutwirth, 1998

Verlies privacy = verlies vertrouwen = reputati eschade + hoge(re) juridische kosten

Google houdt geen rekening met privacy in Google Buzz

Resultaat:

• Reputatieschade

• Juridische kosten

• 30 miljoen dollar schikking

Webistes en adverteerders niet transparant over cookies

Resultaat:

• Hoge compliance kosten

• Minder cookies, minder conversie

Facebook manipuleert Privacy settings

Resultaat:

• Reputatieschade

• Juridische kosten

• 20 jaar onder verscherptFTC toezicht

Privacy wordt steeds belangrijker

Regeerakkoord Rutte II:

De privacytoezichthouder, het College Bescherming Persoonsgegevens, krijgt meer bevoegdheden, waaronder de bevoegdheid meer boetes uit te delen. Bij de bouw van systemen en het aanleggen van databestanden is bescherming van persoonsgegevens uitgangspunt. Daar hoort een zogenaamd privacy impact assessment (PIA) standaard bij. Inbreuken door de overheid zijn voorzien van een horizonbepaling en worden geëvalueerd.

De Wet bescherming

persoonsgegevens

(Wbp)

Wat is een persoonsgegevens?

Artikel 1 sub a Wbp:

“Elk gegeven betreffende een geïdentificeerde of

identificeerbare natuurlijke persoon”

Bart Willem Schermer,1 Juli 1978

30-35 jaar

2333 CW

sushi Opel Ampera

Thaiboksen

Universiteit Leidenjurist

reünist Quintus

• Verwerk geen persoonsgegevens zonder duidelijk doel (artikel 7 Wbp)

• Zorg dat het doel legitiem is (artikel 8 Wbp):

a) ondubbelzinnige toestemming

b) noodzakelijk voor uitvoering contract met betrokkene

c) wettelijke plicht

d) vrijwaring vitaal belang betrokkene

e) noodzakelijk voor goede uitoefening publiekrechtelijke taak

f) gerechtvaardigd belang van de betrokkene

• Gebruik persoonsgegevens alleen voor dit doel, of verenigbare doelen (artikel 7 jo. art 9 Wbp)

Wbp: grondslag en doel van de verwerking

• Verzamel niet meer gegevens dan nodig (artikel 11 Wbp)

• Zorg dat de gegevens toereikend en correct zijn (artikel 11 Wbp)

• Zorg dat de gegevens veilig zijn (artikel 13 Wbp)

• Bewaar de gegevens niet langer dan nodig (artikel 10 Wbp)

• Wees open en transparant (artikel 27 e.v. Wbp)

De Wbp: inhoudelijke eisen aan de verwerking

• Bredere definitie persoonsgegevens

• Explicit consent (uitdrukkelijke toestemming) standaard

• Meer rechten voor de betrokkenen (right to be forgotten/data portability)

• Data protection by design & by default

• Meer nadruk op accountability (oa. Data protection officer)

• Torenhoge boetes…

De nabije toekomst: Data Protecti on Regulati on

Boetes onder de data protecti on regulati on

www.privacychecker.nl

Privacy in de praktijk:

Wbp compliance

Privacy governance model

Transparantie &

communicatie

‘Privacy Ethiek’

Compliance

Wat willen we en mogen we dat?

Hoe leggen we uit wat we doen en mogen?

Doen we wat we mogen goed?

Privacy governance

Privacy ethiek

• Formuleren doel en grondslag• Identificeren risico’s (Privacy Impact Assessment)• Mitigeren van risico’s (privacy by design)

Privacy compliance

• Processen helder krijgen, procedures inrichten• Beleggen rollen en verantwoordelijkheden• IT beveiliging • Cultuur van privacy (awareness)• Praktische hulpmiddelen

Communicatie & transparantie

• Informeren en betrekken van de burger• Duidelijke boodschap over doel en toepassing

Beveiliging/bescherming persoonsgegevens

Bepalen privacy strategie

&prioritering

Gap analyse&

Risk assessment

Proces analyse&

Implementatie

Evaluatie,Monitoring,

Bijsturing

Het opstarten van een privacy compliance programma

Waar staan we? Waar willen we heen? Doen! Blijven doen!

Considerati: digital trust and IT regulation experts

mr. dr. Bart W. Schermer schermer@considerati.com

b.w.schermer@law.leidenuniv.nl

Postbus 76949 1070 KE Amsterdam

+31 207370069

Vragen?