Privacy

18 november 2015© Wilma van de Meerakker – Het Juristencollectief

Nieuws

Agenda Wanneer is Wet bescherming

persoonsgegevens (Wbp) van toepassing?

Wat mag wel en wat niet?

Meldplicht datalekken

Aansprakelijkheid en risico’s

Toekomst

Wanneer is Wbp van toepassing? – 1 Juridisch kader

- EU richtlijn 1995- Wet bescherming

persoonsgegevens (Wbp)- Meldplicht datalekken 2015- Europese Verordening (2016?)

Verder- CBP richtsnoeren

- artikel 29 Werkgroep opinies- gedragscodes - specifieke wetten (bv

Telecommunicatiewet)

Wanneer is Wbp van toepassing? – 2

Definities- persoonsgegeven - betrokkene

- verantwoordelijke- bewerker

Voorbeelden - winkel wist eerder van

zwangerschap meisje dan haar ouders (2012)

- verzekeringen geweigerd op basis van profielen social media- smart TV kijkt met je mee (TPVision)

Wbp is van toepassing op de verwerking van persoonsgegevens

Verwerking elk geheel van handelingen met

betrekking tot persoonsgegevens

Persoonsgegevensalle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon

Wanneer is Wbp van toepassing? – 3

Wanneer is Wbp van toepassing? – 4

Verwerking verzamelen, vastleggen en ordenen bewaren, bijwerken en wijzigen opvragen, raadplegen, gebruiken verstrekken door middel van doorzending verspreiding of enige andere vorm van terbeschikkingstelling samenbrengen, met elkaar in verband brengen afschermen, uitwissen of vernietigen van gegeven

Persoonsgegevens NAW-gegevens / e-mailadres / telefoonnummer IP-adres Locatiedata Foto’s

Persoonsgegeven - foto

Wanneer is Wbp van toepassing? – 5

Bijzondere persoonsgegevens Godsdienst of levensovertuiging Ras Politieke gezindheid Gezondheid Seksuele leven Lidmaatschap van een vakbond Strafrechtelijk verleden

Gebruik van bijzondere persoonsgegevens niet toegestaan tenzij uitzondering in de wet

Wanneer is Wbp van toepassing? – 6

Elke verwerking?persoonsgegevens mbv computer

opslaan, verwerken etc.handmatig verwerken alleen als er

sprake is van een bestand

Uitzonderingenongestructureerd handmatig dossier

verwerking persoonlijk/huiselijk gebruikverwerking uitsluitend voor

journalistieke, literaire of artistieke doeleinden

Wanneer is Wbp van toepassing? – 7

Betrokkenedegene op wie persoonsgegeven

betrekking heeft Verantwoordelijke

de partij die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt

Bewerkerde partij aan wie de verantwoordelijke verwerking van persoonsgegevens

heeft uitbesteed

Wat mag wel en wat mag niet? – 1 VERANTWOORDELIJKE

Vereisten verwerking Wbp verwerking op behoorlijke & zorgvuldige wijze in overeenstemming met de wet

Doel welbepaald uitdrukkelijk omschreven gerechtvaardigd

Nieuws

Wat mag wel en wat mag niet? – 2 Verwerking slechts toegestaan

indien noodzakelijk voor de uitvoering van een overeenkomst voor de uitvoering van een wettelijke plicht voor een vitaal belang van de betrokkene voor de goede vervulling van een publiekrechtelijke taak voor een gerechtvaardigd belang

OF op grond van ondubbelzinnige toestemming van

betrokkene

https://cbpweb.nl/sites/default/files/atoms/files/handleiding-wet-bescherming-persoonsgegevens.pdf

Wat mag wel en wat mag niet? – 3 Niet verenigbaar met doeleindenPersoonsgegevens mogen niet worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (denk aan pizza-bestelling)

Bewaartermijn Niet langer bewaren dan noodzakelijk

Wat mag wel en wat mag niet? – 4 Maatregelen zodat persoonsgegevens

juist en nauwkeurig zijn Plicht tot geheimhouding voor personeel Melden verwerking persoonsgegevens

tenzij uitzondering vrijstellingsbesluit Informatie verstrekken aan betrokkenen

gegevens over verantwoordelijkevoor welk doel/doeleinden gegevens worden verzameld

en verwerktprivacyverklaring

Op verzoek van betrokkeneInzage/correctie persoonsgegevens

Rechten betrokkene

Wat mag wel en wat mag niet? – 5 Beveiliging

Passende technische en organisatorische maatregelen

Beveiliging

Wat mag wel en wat mag niet? – 6BEWERKER

In opdracht verantwoordelijke uitsluitend persoonsgegevens verwerken in

opdracht van verantwoordelijke handelen conform bewerkersovereenkomst

zelfstandig verplichtingen tot: Geheimhouding Beveiliging

Wat mag wel en wat mag niet? – 7BEWERKER

TIP hanteer zelf een “standaard”

bewerkersovereenkomst met opdrachtgevers in het kader van Meldplicht datalekken nog

meer van belang

Meldplicht datalekken – 1 Ingangsdatum 1 januari 2016

wijziging van Wbploopt vooruit op Europese Privacy

Verordening CBP wordt Autoriteit

Persoonsgegevens

Verplichting tot melding datalekken

Uitbreiding opleggen bestuurlijke boetes

Meldplicht datalekken – 2 Datalek? Alle beveiligingsincidenten waardoor de

bescherming op enig moment is doorbroken

Waardoor de bescherming van persoonsgegevens op enig moment is doorbroken

Waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking

Voorbeelden Kwijtgeraakte usb-stick / gestolen laptop Inbraak door hacker / malware-besmetting Verzending van mail waarin gegevens van anderen zichtbaar zijn Maar ook: calamiteit zoals brand

Meldplicht datalekken – 3 Verplichting tot Melding Datalek Melden datalek Autoriteit

Persoonsgegevens Datalek leidt tot ernstige nadelige gevolgen voor de

bescherming van persoonsgegevens, of Aanzienlijke kans hierop bestaat

Melden datalek betrokkene Datalek heeft ongunstige gevolgen voor hun

persoonlijke levenssfeer

Meldplicht datalekken – 4 Melding verplicht? Vanaf 1 januari via formulier website CBP

Verantwoordelijke heeft verplichting Belang van goede bewerkersovereenkomsten

Beoordeling of sprake is van (aanzienlijke kans op) ernstige nadelige gevolgen aan de hand van richtsnoeren

Richtsnoeren zijn in concept aanwezig op de website van het CBP Consultatieversie

Meldplicht datalekken – 5

Meldplicht datalekken – 6 Aanzienlijke kans op ernstige nadelige

gevolgen Groot aantal persoonsgegevens (kans op misbruik

groter) Persoonsgegevens van kwetsbare groepen

(kinderen/ouderen)

Termijn melding Uiterlijk op 2e werkdag NA ontdekking Melding kan later worden aangevuld of ingetrokken

Meldplicht datalekken – 7

Meldplicht datalekken – 8

Meldplicht datalekken – 9 Melding aan betrokkene Aard van de inbreuk Instanties waar betrokkene meer informatie kan

verkrijgen Aanbeveling van maatregelen die betrokkene kan

nemen om de negatieve gevolgen te beperken (veranderen gebruikersnaam / wachtwoord)

Termijn melding Onverwijld Termijn zelf aangeven in melding aan Autoriteit

Persoonsgegevens

Meldplicht datalekken – 10 Verplichtingen Doen van de meldingen Bijhouden overzicht van alle datalekken Overzicht hoeft niet openbaar te worden gemaakt Bewaartermijn minimaal 1 jaar

Autoriteit Persoonsgegevens Ontvangstbevestiging Als nadere actie is gewenst wordt contact opgenomen Register (niet-openbaar) Opleggen boete

Meldplicht datalekken – 11 Werknemers?

Alleen als er sprake is van opzet of bewuste roekeloosheid werknemer

WEL : ICT-protocol aan te raden met mogelijke sancties

Meldplicht datalekken – 12 Bestuurder

Bestuurdersaansprakelijkheid Bestuurders wel aansprakelijk voor beslissingen of grove nalatigheid in de besluitvorming

Meldplicht datalekken – 13

Uitbreiding boetebevoegdheid

Doel =

Naleving Wbp bevorderen

Preventieve werking boetes

website CBP concept

Aansprakelijkheid & risico’s - 1 Artikel 49 Wbp aansprakelijkheid

verantwoordelijke & bewerker Benadeelde (=iemand die schade lijdt) heeft recht op

schadevergoeding (zowel materieel als immaterieel) Verantwoordelijke is aansprakelijk Bewerker aansprakelijk voor de schade die is ontstaan door de

exacte werkzaamheden van bewerker

Strafrechtelijk aansprakelijk Geldboete maximaal 4.500 EUR

Actie CBP Bestuurlijke boete opleggen maximaal 4.500 EUR Altijd vooraf mogelijk overtreding ongedaan te maken

Aansprakelijkheid & risico’s - 2 Meldplicht datalekken Verhoging boetebevoegdheid CBP Boetes verhoogd tot 810.000 EUR of 10% van de omzet Concept boetebeleidsregels

Aansprakelijkheid & risico’s - 3 Verzekerbaar? Beroepsaansprakelijkheidsverzekering? Schending privacy -> beroepsfout? Reputatieschade? LET OP evt. uitsluiting beveiligingsinbreuken LET OP evt. uitsluiting verlies van gegevens

Cyber & Data risks verzekering Hacking, systeeminbraak Verlies data

Toekomst Europese verordening Harmonisatie Europa Boetebevoegdheid Privacy Officer / Data Protection Officer Privacy Impact Assessment (PIA)

Privacy steeds belangrijker issue Privacy- & securitybeleid Commercieel

Safe Harbour? Doorgifte naar US verboden Aanpassen? Politieke oplossing

Privacy Impact Assessment

!?

&

PRIVACY

…

ook wanneer je niks te verbergen hebt