Bescherming persoonsgegevens

Download Report

Transcript Bescherming persoonsgegevens

Bescherming persoonsgegevens

VNG Juridische 2-daagse 2014 Hester de Vries 27 oktober 2014

Privacy & bescherming persoonsgegevens is hot!

Programma

    1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP

Programma

    1. Toepassing Wbp in de praktijk  Reikwijdte & verantwoordelijkheid  Materiële normen  Decentralisatie & gegevensuitwisseling Verwerking bijzondere persoonsgegevens Rechten van betrokkenen Compliance instrumenten

Wbp in de praktijk

Reikwijdte & verantwoordelijkheid Wanneer is de Wbp van toepassing?  Is sprake van

verwerking

van

persoonsgegevens

(art. 1 sub a en b Wbp)?  Valt de verwerking binnen de

reikwijdte van de Wbp

(art. 2 en 4 Wbp)?

Wbp: reikwijdte

Wbp: reikwijdte

Verwerking van persoonsgegeven (art. 1 onder b)

Wbp: reikwijdte

 Valt de verwerking binnen de

reikwijdte van de Wbp (art. 2 Wbp)

?

Wbp: reikwijdte

Reikwijdte: begrip persoonsgegevens

• • Gegevens

betreffende een persoon

?

Persoon geïdentificeerd of identificeerbaar

• Uit de aard identificerende gegevens:  Bijv.

naam, adres, woonplaats

• Gegevens ontdaan van identificerende kenmerken: (indirecte) identificeerbaarheid

Reikwijdte: begrip persoonsgegeven

    Gegeven

betreffende een persoon

ABRvS 1 augustus 2012, LJN: BX3309 Hof van Justitie 17 juli 2014, C-141/12 en C-372/12 persoonsgegevens - minuut

Wbp: reikwijdte

• •

Persoonsgegeven: een rekbaar begrip Identificeerbaarheid

?    Mogelijkheid / realiteit? Hoe? Wie?

Wbp: reikwijdte

   

Identificeerbaarheid

Het gaat er om of de identiteit van een persoon

redelijkerwijs, zonder onevenredige inspanning

kan worden vastgesteld Eventueel

via een derde

Is voldoende dat de derde de persoon kan identificeren?

Persoonsgegevens Geen persoonsgegevens

Persoonsgegevens Anonieme gegevens

Persoonsgegevens

 NAW-gegevens, (digitale) foto van persoon, persoonsnummers, unique identifiers, device nummers (IP adres/udid/MAC adres) / locatiegegevens

Geen persoonsgegevens

 Anonieme gegevens  Geanonimiseerde gegevens ?  Gepseudonimiseerde gegevens ?

Wbp: verantwoordelijkheid

 Wie is de

verantwoordelijke

voor de gegevensverwerking? (art. 1 sub d Wbp)  Is er een

bewerker? (art. 1 sub e Wbp)

Wbp: verantwoordelijkheid

Wbp: verantwoordelijkheid

 Verwijsindex Risicojongeren: Wet op de jeugdzorg (art. 2 e)

Wbp: verantwoordelijkheid

 Is met de bewerker een (schriftelijke) bewerkerovereenkomst gesloten (art. 14 Wbp)? - Beveiligingsmaatregelen - Geheimhouding  Bewerker binnen de EU of daarbuiten?

Wbp: materiële normen voor verwerking persoonsgegevens

Doelbinding & grondslag  Is er een welbepaald, uitdrukkelijk omschreven, gerechtvaardigd

doel (art. 7 Wbp)

?  Is er een

grondslag

voor verwerking (art. 8 Wbp)?  Worden persoonsgegevens

niet

verder verwerkt op een wijze die

onverenigbaar

is met de doeleinden waarvoor de gegevens zijn verkregen (art. 9 Wbp)?

Grondslagen voor gegevensverwerking

Grondslagen: toestemming (art. 1 onder i / art. 5 Wbp)

Niet onverenigbaar gebruik

Wbp: materiële normen voor verwerking persoonsgegevens (vervolg)

Dataminimalisatie  Worden

niet meer

gegevens verwerkt en bewaard

dan noodzakelijk

is (art. 10 Wbp)?  Worden ‘passende’ technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligingen tegen verlies of enige vorm van onrechtmatige verwerking (art. 13 Wbp)?

Wbp: materiële normen voor verwerking persoonsgegevens (vervolg)

Kwaliteit & Beveiliging  Zijn er waarborgen voor de

kwaliteit

van gegevens (art. 11 Wbp)?  Worden ‘passende’ technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligingen tegen verlies of enige vorm van onrechtmatige verwerking (art. 13 Wbp)?

Toepassing Wbp in de praktijk

 Decentralisatie & gegevensuitwisseling

Stappenplan

  Decentralisatie & gegevensuitwisseling 1. Doelbinding – niet onverenigbaar gebruik  Voor welk doel wil men gegevens uitwisselen? Voor welk doel werden de gegevens oorspronkelijk verkregen (bron)?   Is sprake van niet onverenigbaar gebruik?  Past verdere verwerking binnen de wettelijke taak? Sluit verdere verwerking aan op verwachtingspatroon betrokkene? Staat geheimhoudingsplicht in de weg aan uitwisseling?

Stappenplan

Decentralisatie & gegevensuitwisseling 2. Wettelijke grondslag?  Wat is de wettelijke grondslag voor uitwisseling?  Is uitwisseling     

noodzakelijk

Om te voldoen aan op verantwoordelijke rustende wettelijke verplichting? Ter vrijwaring van vitaal belang betrokkene? Voor de uitvoering van een publiekrechtelijke taak door het bestuursorgaan of bestuursorgaan waaraan gegevens worden verstrekt? Voor het gerechtvaardigd belang van de verantwoordelijke of een derde waaraan gegevens worden verstrekt? Rb. ‘s Gravenhage 13 april 2012, ECLI:NL:RBSGR:2012:BW2236

Stappenplan

Decentralisatie & gegevensuitwisseling   3. Proportionaliteit / subsidiariteit Is gegevensuitwisseling echt noodzakelijk? Kan het belang dat door uitwisseling wordt gediend ook worden bereikt zonder uitwisseling?  Worden niet meer gegevens uitgewisseld dan strikt noodzakelijk?

Stappenplan

Decentralisatie & gegevensuitwisseling 4. Worden bijzondere persoonsgegevens verwerkt? Godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap vakvereniging, strafrechtelijke persoonsgegevens, gegevens over onrechtmatig/hinderlijk gedrag ivm opgelegd verbod nav dat gedrag (art. 16 Wbp)  Verbod , tenzij….(art. 17 tot en met 23 Wbp)

Voorbeeld: ras of etniciteit

Voorbeeld: ras of etniciteit

 ABRvS 3 september 2008, ontheffing CBP voor verwerken van persoonsgegevens omtrent etniciteit in Verwijsindex Antillianen, LJN BE9698

Voorbeeld: ras of etniciteit

Voorbeeld Charlois

   DOSA (deelgemeentelijke organisatie sluitende aanpak)     Regisseur – trajecten voor begeleiding probleemjongeren ‘Etnisch specifieke hulpverleningstrajecten’ Voorkeursbeleid? Noodzaak? Proportionaliteit / subsidiariteit Geen rechtvaardiging voor registratie geboorteland

Voorbeeld Charlois

    Rb. Rotterdam 16 mei 2012, ECLI:NL:RBROT:2012:BW5513 Besluit dwangsom gehandhaafd Geen rechtvaardiging voor registratie geboorteland Mondelinge uitwisseling in overleg

Rechten betrokkenen

 Worden betrokkenen geïnformeerd over de verwerking van hun persoonsgegevens (art. 33 en 34 Wbp)?

Informatieplichten

 Gegevens

rechtstreeks van betrokkene

verkregen?  - Dan vooraf informeren (art. 33 Wbp)  Gegevens verkregen op

andere wijze

?  - Informeren op moment van eerste vastlegging, of moment van eerste verstrekking aan derde (art. 34 Wbp)  Informatieverstrekking = vormvrij  Mits alle betrokkenen bereikt…  Voorbeeld, privacystatements, personeelshandboeken etc.

Rechten betrokkene

 Zijn er

procedures

voor het uitoefenen van deze rechten?  - Inzage (art. 35 Wbp)  - Verbeteren, Aanvullen, Verwijderen, Afschermen (art. 36  Wbp) - Verzet (art. 40 en 41 Wbp)

Inzagerecht

Rechten betrokkene

 Inzagerecht (art. 35 Wbp)  Reactietermijn: vier weken  Let op! art. 4:17, eerste lid, Awb – dwangsom  RvS 8 oktober 2014, ECLI:NL:RVS:2014:3657  recht op een

volledig overzicht

: ook afschriften?  HR 29 juni 2007, LJN AZ4664, LJN AZ4663, LJN BA3529  ABRvS 13 juni 2012 LJN BW8137  ABRvS 1 augustus 2012, LJN: BX3309  Hof van Justitie 17 juli 2014, C-141/12 en C-372/12

‘The right to be forgotten’?

 Hof van Justitie EU, 13 mei 2014, Google / Costeja González C-131/12

Compliance instrumenten

 CBP: www.CBPweb.nl    Quickscan Wbp Zelfevaluatie Raamwerk Privacy Audit  Handreiking bij het Raamwerk Privacy Audit

Compliance instrumenten

  Rijksoverheid Toetsmodel Privacy Impact Assessment (PIA) Rijksdienst   NOREA Handreiking Privacy Impact Assessment

Compliance instrumenten

  VNG / KING / ViSD Privacy Scan VISD    Factsheet Privacy Factsheet Triage Privacy Governance binnen het sociaal domein

Programma

    1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP

2. Voorstel Algemene Verordening Gegevensbescherming (AVGB)

Voorstel AVGB

 EU: Algemene Verordening Gegevensbescherming (AVGB)  Stemming Europees Parlement 12 maart 2014  Nu: Raad van Ministers en akkoord

mogelijk nog in

2014?  Vervolgens: triloog Raad, Commissie en Parlement (

in de nieuwe

samenstelling

) om tot definitief akkoord te komen (Q1 2015?) Werking: 2017 (?)

Programma

    1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP

3. Meldplicht datalekken

“Smalle” meldplicht lekken van persoonsgegevens

• Telecommunicatiewet: meldplicht van kracht sinds 5 juni 2012 • Alleen voor aanbieders van openbare telecommunicatiediensten 50

“Brede” meldplicht datalekken

 Van toepassing op

alle sectoren

 NL: Voorstel nieuw art. 34a Wet bescherming persoonsgegevens  EU: Voorstel Algemene Verordening Gegevensbescherming (AVGB)

Welk voorstel wint?

 Wetsvoorstel wijziging Wbp behandeling TK  Voorstel AVGB na EP nu Raad van Ministers

Brede meldplicht: wat is een datalek? (33662) ‘Oud’: Nieuw

:

Beveiliging en meldplicht datalekken

• Er moet

beveiliging doorbroken

zijn • Alleen verplichting om

bekende

inbreuken te melden (maar noodzaak om op de hoogte te zijn van inbreuken)  Als

geen beveiliging

aanwezig is?

Beveiligingsverplichting (art. 13 Wbp)

Passende

technische en organisatorische beveiligingsmaatregelen • Beveiligen tegen

verlies of enige vorm van onrechtmatige verwerking

• Maatregelen garanderen

passend beschermingsniveau

, rekening houdend met de

stand van de techniek

,

kosten van tenuitvoerlegging

,

aard van de gegevens

en de

risico’s van de verwerking

• Maatregelen zijn erop gericht

onnodige verzameling en verwerking te voorkomen

(PET)

Passende beveiligingsmaatregelen

Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het

beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging

.” (MvT Wbp, p. 99) Beveiliging vergt een

continue inspanning

Richtsnoeren beveiliging CBP

• Gepubliceerd eind februari 2013 • Kader voor onderzoek/ handhaving CBP • Kwaliteitscirkel: inbedden om continue beveiliging te waarborgen

Datalek: wie moet melden en wanneer?

• •

Wie moet melden:

“verantwoordelijke”

Aan wie, wanneer en in welke omstandigheden:

 aan CBP: onverwijld inbreuk die “ernstige nadelige gevolgen” heeft voor  bescherming van verwerkte persoonsgegevens aan betrokkene: onverwijld  (Wbp) indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben  voor diens persoonlijke levenssfeer (AVGB) aan betrokkene indien de inbreuk waarschijnlijk negatieve gevolgen zal hebben voor diens persoonsgegevens of persoonlijke levenssfeer

Wat moet de verantwoordelijke melden?

• Aan CBP en betrokkene: omschrijving

aard van de inbreuk

,

instanties

waar meer informatie kan worden verkregen en 

aanbevolen maatregelen

om negatieve gevolgen te beperken  (Wbp) aan CBP ook : omschrijving van de

geconstateerde en vermoedelijke gevolgen

van de inbreuk en de

maatregelen die verantwoordelijke heeft getroffen of voorstelt om te treffen

om deze gevolgen te verhelpen (AVGB) ook: de betrokken categorieën, aantallen betrokkenen, categorieën en aantallen gegevensrecords.

Wanneer

niet

melden?

 Melding niet vereist wanneer technische beschermingsmaatregelen zijn genomen, waardoor de persoonsgegevens: • (Wbp) onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft • op kennisname van de gegevens Zowel voor melding aan CBP als melding aan betrokkene • (AVGB) versleuteld zijn of anderszins onbegrijpelijk zijn voor eenieder die • geen recht op toegang heeft alleen voor melding aan betrokkene

Opinie 3/2014 Artikel 29 Werkgroep

 Kritiek op encryptie-uitzondering • Encryptie is geen wondermiddel:  Was de wijze encryptie in dit concrete geval voldoende?  Wat als 3 jaar later blijkt dat de encryptie te kraken is? • Encryptie draagt niet bij aan inbreuk op de beschikbaarheid of integriteit van gegevens  Art. 29 Werkgroep meent dat dergelijke inbreuken toch gemeld moeten worden!

Stappenplan

 In geval van datalek:   Is er een beveiligingsinbreuk? Is het datalek uitgezonderd van de meldplicht? (“onbegrijpelijk of ontoegankelijk voor onbevoegden”)  Moet aan CBP gemeld worden? (“ernstige nadelige gevolgen”)  Moet ook aan de betrokkene gemeld worden? (“waarschijnlijk ongunstige gevolgen”) 62

Consequenties – imagoschade

Programma

    1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP

Handhaving & sancties CBP

• Nu:  Bevoegdheid onderzoek (ambtshalve / op verzoek)  Beperkte boetebevoegdheid  (last onder) bestuursdwang • Toekomst óók:  Boetebevoegdheid: meldplicht datalekken (33662): € 450.000  ‘Brede’ boetebevoegdheid:  (nog geen wetsvoorstel) ( € 810.000??)  AVGB: € 1 miljoen of € 100 miljoen (EC / EP)

Agenda CBP - 2014

Actualiteiten Privacy

Privacy team Kennedy Van der Laan

 Hester de Vries  Nicole Wolters Ruckert  Petra Tolen  Maarten Goudsmit