Transcript Bescherming persoonsgegevens
Bescherming persoonsgegevens
VNG Juridische 2-daagse 2014 Hester de Vries 27 oktober 2014
Privacy & bescherming persoonsgegevens is hot!
Programma
1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP
Programma
1. Toepassing Wbp in de praktijk Reikwijdte & verantwoordelijkheid Materiële normen Decentralisatie & gegevensuitwisseling Verwerking bijzondere persoonsgegevens Rechten van betrokkenen Compliance instrumenten
Wbp in de praktijk
Reikwijdte & verantwoordelijkheid Wanneer is de Wbp van toepassing? Is sprake van
verwerking
van
persoonsgegevens
(art. 1 sub a en b Wbp)? Valt de verwerking binnen de
reikwijdte van de Wbp
(art. 2 en 4 Wbp)?
Wbp: reikwijdte
Wbp: reikwijdte
Verwerking van persoonsgegeven (art. 1 onder b)
Wbp: reikwijdte
Valt de verwerking binnen de
reikwijdte van de Wbp (art. 2 Wbp)
?
Wbp: reikwijdte
Reikwijdte: begrip persoonsgegevens
• • Gegevens
betreffende een persoon
?
Persoon geïdentificeerd of identificeerbaar
• Uit de aard identificerende gegevens: Bijv.
naam, adres, woonplaats
• Gegevens ontdaan van identificerende kenmerken: (indirecte) identificeerbaarheid
Reikwijdte: begrip persoonsgegeven
Gegeven
betreffende een persoon
ABRvS 1 augustus 2012, LJN: BX3309 Hof van Justitie 17 juli 2014, C-141/12 en C-372/12 persoonsgegevens - minuut
Wbp: reikwijdte
• •
Persoonsgegeven: een rekbaar begrip Identificeerbaarheid
? Mogelijkheid / realiteit? Hoe? Wie?
Wbp: reikwijdte
Identificeerbaarheid
Het gaat er om of de identiteit van een persoon
redelijkerwijs, zonder onevenredige inspanning
kan worden vastgesteld Eventueel
via een derde
Is voldoende dat de derde de persoon kan identificeren?
Persoonsgegevens Geen persoonsgegevens
Persoonsgegevens Anonieme gegevens
Persoonsgegevens
NAW-gegevens, (digitale) foto van persoon, persoonsnummers, unique identifiers, device nummers (IP adres/udid/MAC adres) / locatiegegevens
Geen persoonsgegevens
Anonieme gegevens Geanonimiseerde gegevens ? Gepseudonimiseerde gegevens ?
Wbp: verantwoordelijkheid
Wie is de
verantwoordelijke
voor de gegevensverwerking? (art. 1 sub d Wbp) Is er een
bewerker? (art. 1 sub e Wbp)
Wbp: verantwoordelijkheid
Wbp: verantwoordelijkheid
Verwijsindex Risicojongeren: Wet op de jeugdzorg (art. 2 e)
Wbp: verantwoordelijkheid
Is met de bewerker een (schriftelijke) bewerkerovereenkomst gesloten (art. 14 Wbp)? - Beveiligingsmaatregelen - Geheimhouding Bewerker binnen de EU of daarbuiten?
Wbp: materiële normen voor verwerking persoonsgegevens
Doelbinding & grondslag Is er een welbepaald, uitdrukkelijk omschreven, gerechtvaardigd
doel (art. 7 Wbp)
? Is er een
grondslag
voor verwerking (art. 8 Wbp)? Worden persoonsgegevens
niet
verder verwerkt op een wijze die
onverenigbaar
is met de doeleinden waarvoor de gegevens zijn verkregen (art. 9 Wbp)?
Grondslagen voor gegevensverwerking
Grondslagen: toestemming (art. 1 onder i / art. 5 Wbp)
Niet onverenigbaar gebruik
Wbp: materiële normen voor verwerking persoonsgegevens (vervolg)
Dataminimalisatie Worden
niet meer
gegevens verwerkt en bewaard
dan noodzakelijk
is (art. 10 Wbp)? Worden ‘passende’ technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligingen tegen verlies of enige vorm van onrechtmatige verwerking (art. 13 Wbp)?
Wbp: materiële normen voor verwerking persoonsgegevens (vervolg)
Kwaliteit & Beveiliging Zijn er waarborgen voor de
kwaliteit
van gegevens (art. 11 Wbp)? Worden ‘passende’ technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligingen tegen verlies of enige vorm van onrechtmatige verwerking (art. 13 Wbp)?
Toepassing Wbp in de praktijk
Decentralisatie & gegevensuitwisseling
Stappenplan
Decentralisatie & gegevensuitwisseling 1. Doelbinding – niet onverenigbaar gebruik Voor welk doel wil men gegevens uitwisselen? Voor welk doel werden de gegevens oorspronkelijk verkregen (bron)? Is sprake van niet onverenigbaar gebruik? Past verdere verwerking binnen de wettelijke taak? Sluit verdere verwerking aan op verwachtingspatroon betrokkene? Staat geheimhoudingsplicht in de weg aan uitwisseling?
Stappenplan
Decentralisatie & gegevensuitwisseling 2. Wettelijke grondslag? Wat is de wettelijke grondslag voor uitwisseling? Is uitwisseling
noodzakelijk
Om te voldoen aan op verantwoordelijke rustende wettelijke verplichting? Ter vrijwaring van vitaal belang betrokkene? Voor de uitvoering van een publiekrechtelijke taak door het bestuursorgaan of bestuursorgaan waaraan gegevens worden verstrekt? Voor het gerechtvaardigd belang van de verantwoordelijke of een derde waaraan gegevens worden verstrekt? Rb. ‘s Gravenhage 13 april 2012, ECLI:NL:RBSGR:2012:BW2236
Stappenplan
Decentralisatie & gegevensuitwisseling 3. Proportionaliteit / subsidiariteit Is gegevensuitwisseling echt noodzakelijk? Kan het belang dat door uitwisseling wordt gediend ook worden bereikt zonder uitwisseling? Worden niet meer gegevens uitgewisseld dan strikt noodzakelijk?
Stappenplan
Decentralisatie & gegevensuitwisseling 4. Worden bijzondere persoonsgegevens verwerkt? Godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap vakvereniging, strafrechtelijke persoonsgegevens, gegevens over onrechtmatig/hinderlijk gedrag ivm opgelegd verbod nav dat gedrag (art. 16 Wbp) Verbod , tenzij….(art. 17 tot en met 23 Wbp)
Voorbeeld: ras of etniciteit
Voorbeeld: ras of etniciteit
ABRvS 3 september 2008, ontheffing CBP voor verwerken van persoonsgegevens omtrent etniciteit in Verwijsindex Antillianen, LJN BE9698
Voorbeeld: ras of etniciteit
Voorbeeld Charlois
DOSA (deelgemeentelijke organisatie sluitende aanpak) Regisseur – trajecten voor begeleiding probleemjongeren ‘Etnisch specifieke hulpverleningstrajecten’ Voorkeursbeleid? Noodzaak? Proportionaliteit / subsidiariteit Geen rechtvaardiging voor registratie geboorteland
Voorbeeld Charlois
Rb. Rotterdam 16 mei 2012, ECLI:NL:RBROT:2012:BW5513 Besluit dwangsom gehandhaafd Geen rechtvaardiging voor registratie geboorteland Mondelinge uitwisseling in overleg
Rechten betrokkenen
Worden betrokkenen geïnformeerd over de verwerking van hun persoonsgegevens (art. 33 en 34 Wbp)?
Informatieplichten
Gegevens
rechtstreeks van betrokkene
verkregen? - Dan vooraf informeren (art. 33 Wbp) Gegevens verkregen op
andere wijze
? - Informeren op moment van eerste vastlegging, of moment van eerste verstrekking aan derde (art. 34 Wbp) Informatieverstrekking = vormvrij Mits alle betrokkenen bereikt… Voorbeeld, privacystatements, personeelshandboeken etc.
Rechten betrokkene
Zijn er
procedures
voor het uitoefenen van deze rechten? - Inzage (art. 35 Wbp) - Verbeteren, Aanvullen, Verwijderen, Afschermen (art. 36 Wbp) - Verzet (art. 40 en 41 Wbp)
Inzagerecht
Rechten betrokkene
Inzagerecht (art. 35 Wbp) Reactietermijn: vier weken Let op! art. 4:17, eerste lid, Awb – dwangsom RvS 8 oktober 2014, ECLI:NL:RVS:2014:3657 recht op een
volledig overzicht
: ook afschriften? HR 29 juni 2007, LJN AZ4664, LJN AZ4663, LJN BA3529 ABRvS 13 juni 2012 LJN BW8137 ABRvS 1 augustus 2012, LJN: BX3309 Hof van Justitie 17 juli 2014, C-141/12 en C-372/12
‘The right to be forgotten’?
Hof van Justitie EU, 13 mei 2014, Google / Costeja González C-131/12
Compliance instrumenten
CBP: www.CBPweb.nl Quickscan Wbp Zelfevaluatie Raamwerk Privacy Audit Handreiking bij het Raamwerk Privacy Audit
Compliance instrumenten
Rijksoverheid Toetsmodel Privacy Impact Assessment (PIA) Rijksdienst NOREA Handreiking Privacy Impact Assessment
Compliance instrumenten
VNG / KING / ViSD Privacy Scan VISD Factsheet Privacy Factsheet Triage Privacy Governance binnen het sociaal domein
Programma
1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP
2. Voorstel Algemene Verordening Gegevensbescherming (AVGB)
Voorstel AVGB
EU: Algemene Verordening Gegevensbescherming (AVGB) Stemming Europees Parlement 12 maart 2014 Nu: Raad van Ministers en akkoord
mogelijk nog in
2014? Vervolgens: triloog Raad, Commissie en Parlement (
in de nieuwe
samenstelling
) om tot definitief akkoord te komen (Q1 2015?) Werking: 2017 (?)
Programma
1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP
3. Meldplicht datalekken
“Smalle” meldplicht lekken van persoonsgegevens
• Telecommunicatiewet: meldplicht van kracht sinds 5 juni 2012 • Alleen voor aanbieders van openbare telecommunicatiediensten 50
“Brede” meldplicht datalekken
Van toepassing op
alle sectoren
NL: Voorstel nieuw art. 34a Wet bescherming persoonsgegevens EU: Voorstel Algemene Verordening Gegevensbescherming (AVGB)
Welk voorstel wint?
Wetsvoorstel wijziging Wbp behandeling TK Voorstel AVGB na EP nu Raad van Ministers
Brede meldplicht: wat is een datalek? (33662) ‘Oud’: Nieuw
:
Beveiliging en meldplicht datalekken
• Er moet
beveiliging doorbroken
zijn • Alleen verplichting om
bekende
inbreuken te melden (maar noodzaak om op de hoogte te zijn van inbreuken) Als
geen beveiliging
aanwezig is?
Beveiligingsverplichting (art. 13 Wbp)
•
Passende
technische en organisatorische beveiligingsmaatregelen • Beveiligen tegen
verlies of enige vorm van onrechtmatige verwerking
• Maatregelen garanderen
passend beschermingsniveau
, rekening houdend met de
stand van de techniek
,
kosten van tenuitvoerlegging
,
aard van de gegevens
en de
risico’s van de verwerking
• Maatregelen zijn erop gericht
onnodige verzameling en verwerking te voorkomen
(PET)
Passende beveiligingsmaatregelen
“
Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het
beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging
.” (MvT Wbp, p. 99) Beveiliging vergt een
continue inspanning
Richtsnoeren beveiliging CBP
• Gepubliceerd eind februari 2013 • Kader voor onderzoek/ handhaving CBP • Kwaliteitscirkel: inbedden om continue beveiliging te waarborgen
Datalek: wie moet melden en wanneer?
• •
Wie moet melden:
“verantwoordelijke”
Aan wie, wanneer en in welke omstandigheden:
aan CBP: onverwijld inbreuk die “ernstige nadelige gevolgen” heeft voor bescherming van verwerkte persoonsgegevens aan betrokkene: onverwijld (Wbp) indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (AVGB) aan betrokkene indien de inbreuk waarschijnlijk negatieve gevolgen zal hebben voor diens persoonsgegevens of persoonlijke levenssfeer
Wat moet de verantwoordelijke melden?
• Aan CBP en betrokkene: omschrijving
aard van de inbreuk
,
instanties
waar meer informatie kan worden verkregen en
aanbevolen maatregelen
om negatieve gevolgen te beperken (Wbp) aan CBP ook : omschrijving van de
geconstateerde en vermoedelijke gevolgen
van de inbreuk en de
maatregelen die verantwoordelijke heeft getroffen of voorstelt om te treffen
om deze gevolgen te verhelpen (AVGB) ook: de betrokken categorieën, aantallen betrokkenen, categorieën en aantallen gegevensrecords.
Wanneer
niet
melden?
Melding niet vereist wanneer technische beschermingsmaatregelen zijn genomen, waardoor de persoonsgegevens: • (Wbp) onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft • op kennisname van de gegevens Zowel voor melding aan CBP als melding aan betrokkene • (AVGB) versleuteld zijn of anderszins onbegrijpelijk zijn voor eenieder die • geen recht op toegang heeft alleen voor melding aan betrokkene
Opinie 3/2014 Artikel 29 Werkgroep
Kritiek op encryptie-uitzondering • Encryptie is geen wondermiddel: Was de wijze encryptie in dit concrete geval voldoende? Wat als 3 jaar later blijkt dat de encryptie te kraken is? • Encryptie draagt niet bij aan inbreuk op de beschikbaarheid of integriteit van gegevens Art. 29 Werkgroep meent dat dergelijke inbreuken toch gemeld moeten worden!
Stappenplan
In geval van datalek: Is er een beveiligingsinbreuk? Is het datalek uitgezonderd van de meldplicht? (“onbegrijpelijk of ontoegankelijk voor onbevoegden”) Moet aan CBP gemeld worden? (“ernstige nadelige gevolgen”) Moet ook aan de betrokkene gemeld worden? (“waarschijnlijk ongunstige gevolgen”) 62
Consequenties – imagoschade
Programma
1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP
Handhaving & sancties CBP
• Nu: Bevoegdheid onderzoek (ambtshalve / op verzoek) Beperkte boetebevoegdheid (last onder) bestuursdwang • Toekomst óók: Boetebevoegdheid: meldplicht datalekken (33662): € 450.000 ‘Brede’ boetebevoegdheid: (nog geen wetsvoorstel) ( € 810.000??) AVGB: € 1 miljoen of € 100 miljoen (EC / EP)
Agenda CBP - 2014
Actualiteiten Privacy
Privacy team Kennedy Van der Laan
Hester de Vries Nicole Wolters Ruckert Petra Tolen Maarten Goudsmit