november 2017

1. Compliance Forum Rotterdam
Privacy Compliance
Martin Hemmer
Partner Vakgroep IP&Technology
Rotterdam, 28 november 2017

2. 2

3. 3

4. 21 november 2017:
4

5. 1. Inleiding
2. Een onmogelijke opdracht?
 Onduidelijke terminologie
 Wetgeving is nog in ontwikkeling
 Kern: register van verwerkingen
 Hoge compliance kosten
 Draconische boetes
3. De Uitvoeringswet AVG
4. Ontwikkelingen e-privacy Verordening
5. Ontwikkelingen gezondheidsgegevens

6. Een onmogelijke opdracht?

7. Een onmogelijke opdracht?
Veel vage termen
• “Noodzakelijk”
• “Gerechtvaardigde belangen”
• “Passende maatregelen”
• “Waarschijnlijk een hoog risico”
Zelfs ook onduidelijke kerndefinities
Persoonsgegeven
Verantwoordelijke vs. Verwerker
Gezondheidsgegeven
7

8. Persoonsgegeven: scope
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
8

9. Verantwoordelijke - verwerker
9
Verwerkeringsverantwoordelijke Verwerker
Werkgever Cloud provider
Uitzendbureau Loonstrookverwerker voor personeel
Overheidsinstantie die gegevens
opvraagt
Aanbieder analysetool salarissen

10. Verwerker:
Het begrip is nog altijd in beweging
Conclusie AG inzake AP Schleswig-Holstein vs. Wirtschaftsakademie (okt 2017)
10

11. Wetgeving is nog in ontwikkeling
Uitvoeringswet
E-privacy verordening
Sector specifieke wetgeving
11

12. Register verwerkingen
Basis voor AVG compliance
• Meldplicht AP voor verwerkingen verdwijnt  AP handhaaft niet meer tot
inwerkingtreding AVG
• Nieuwe verplichting: bijhouden register verwerkingen
• Verplichting geldt voor verwerkingsverantwoordelijke en verwerker
• Uitzondering voor organisaties < 250 werknemers, tenzij:
• verwerking risico voor de rechten en vrijheden van de betrokkenen inhoudt;
• de verwerking niet incidenteel is; of
• de verwerking bijzondere categorieën van gegevens betreft.
12

13. Register verwerkingen
Welke informatie moet erin?
• Verwerkingsdoeleinden
• Categorieën betrokkenen
• Categorieën persoonsgegevens
• Categorieën van ontvangers
• Doorgiftes buiten de EU
• Bewaartermijnen
• Beschrijving beveiliging
Hoe specifiek? Vanuit welk uitgangspunt? En waar te beginnen? (aan de
hand van ICT applicaties / aan de hand van bedrijfsonderdelen/processen
aan de hand van questionnaires naar de managers)
13

14. Register verwerkingen
Voorbeelden:
• Verschillende software-aanbieders
• VNG (lijst met voorgeschreven en optionele posten)
• Belgische toezichthouder  Model voor een Register van de verwerkingsactiviteiten
https://www.privacycommission.be/nl/model-voor-een-register-van-de-
verwerkingsactiviteiten
14

15. Register verwerkingen
15

16. Hoge compliance kosten
- Interne teams register / beleid / Plan Do Check Act
- DPO?
- ICT-maatregelen
- Externe adviseurs
- Trainingen
Voordelen?
Lagere risico’s op inbreuken / dataverlies / reputatieschade
16

17. Potentieel draconische boetes
Maximaal 20 000 000 EUR of tot 4% van de totale wereldwijde jaaromzet!
• Boetes “doeltreffend, evenredig en afschrikwekkend”(art. 83 lid 1)
• Bij boeteoplegging wordt rekening gehouden met tal van factoren:
• opzettelijke / nalatige aard
• schadebeperkingsmaatregelen
• accountability gezien beveiligingsmaatregelen (art. 83 AVG)
•  illustreert noodzaak van register / beveiligingsbeleid / datalekkenprotocol
17

18. Potentieel draconische boetes
AP blijkt sinds 1 januari 2016 niet heel ‘triggerhappy’
Echter: De bindende aanwijzing is geen onderdeel AVG en waarschijnlijk ook niet van
de Uitvoeringswet maar: art. 58 biedt die route wel
Strijd met het rechtszekerheidsbeginsel? (Advies Raad van State)
Biedt argument tegen een opgelegde boete bij te goeder trouw interpretatie open
normen
Boete voor bestuurder?
 opdracht / feitelijke leiding / maatregelen achterwege laten
(art.5:1 Awb juncto art. 51 Sr.)
18

19. To do
• Startpunt = register van gegevensverwerkingen
• Kijk kritisch naar doel en noodzaak van verwerkingen.
• Kan een doel ook met minder data bereikt worden?
• Check bewaartermijnen
• Is een PIA vereist?
• Check aanwezigheid en inhoud (bewerkings)overeenkomsten:
• Check informatieplichten / procedures voor uitoefening rechten
• Vergeet niet de organisatorische beveiliging / awareness over privacyrecht
• Meld meldingsplichtige inbreuken (implementeer meldingsprotocol)
19

20. Casus verwerker-verantwoordelijke
20

21. De uitvoeringswet

22. Uitvoeringswet
A-typische verordening. Op veel plaatsen wordt ruimte gelaten voor lidstatelijk recht.
Dit recht wordt vastgelegd in de Uitvoeringswet, maar ook in sectorspecifieke
wetgeving.
- Bijvoorbeeld het invullen van de grondslag van wettelijke verplichtingen
- Uitzonderingen op het verbod op verwerking van bijzondere categorieën gegevens
- Mogelijkheid beperking rechten betrokkenen en meldplicht datalekken
- Verwerking BSN nummer
Status Uitvoeringswet: consultatieronde en advies AP achter de rug, het wachten is op
aangepast voorstel
22

23. Toelichting – reactie AP
Art. 6 lid 1 sub c: wettelijke verplichting als grondslag:
Toelichting Uw: doorgaans specifiek vastgelegd, echter: “Denkbaar is ook dat
verwerking van persoonsgegevens een basis vindt in een ruimer geformuleerde
zorgplicht.”
Art. 6 lid 1 sub e: Publiekrechtelijke taak als grondslag
- Toelichting Uw: “voldoende is dat de hoofdlijnen van de publiekrechtelijke taak
kenbaar zijn uit de wet.”
- “Bij typisch bedrijfsmatige handelingen / handelingen die buiten de taak vallen mag
overheidsinstantie zich wel beroepen op grondslag rechtmatig belang.”
AP in advies: Deze onderdelen die niet buiten discussie staan verwijderen uit
toelichting
23

24. Uitzonderingen voor werkgevers
MvT: Materieel zelfde strekking als huidige artikel 21 van de Wbp.
Art, 23 Uitv, Wet: 1. Het verbod om gegevens over gezondheid te verwerken is
om redenen van zwaarwegend algemeen belang als bedoeld in artikel 9, tweede lid,
onderdeel g, van de verordening dan wel om de redenen, bedoeld in artikel 9, tweede
lid, onderdelen b en h, van de verordening, niet van toepassing indien de
verwerking geschiedt door:
werkgevers [..] voor:
1°. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of
collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk
zijn van de gezondheidstoestand van de betrokkene; of
2°. de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in
verband met ziekte of arbeidsongeschiktheid.
24

25. Uitzonderingen voor werkgevers
Uitzondering van art. 9 lid 3 AVG:
verwerking voor doeleinde sub h, slechts door of onder verantwoordelijkheid van een
beroepsbeoefenaar of door een andere persoon die krachtens recht of door nationale
bevoegde instanties vastgestelde regels tot geheimhouding is gehouden
Art. 23 lid 2 uitvoeringswet
Indien toepassing wordt gegeven aan het eerste lid worden de gegevens alleen
verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift,
dan wel krachtens een overeenkomst, tot geheimhouding zijn verplicht.
Tekst is echter (ook volgens de AP) onduidelijk. De impasse tav ‘zachte
gezondheidsgegevens wordt met huidige tekst niet opgelost, terwijl de Verordening
die ruimte wel biedt.
25

26. Formele punten
Tegen (boete)besluiten van de AP staat de mogelijkheid van bezwaar en beroep (t/m
RvS) open.
De AP pleit voor 4 gespecialiseerde rechtbanken.
De bindende aanwijzing voorafgaand aan boetes wordt niet gecontinueerd. De AP
wijst er in zijn advies op dat de artikelen 83 en 84 van de Verordening daar ook geen
ruimte voor laten. Wel wijst de AP erop dat de lasten genoemd in art. 58 AVG een
vergelijkbare bevoegdheid opleveren.
Vb.: 58 lid 2 a) waarschuwen dat inbreuk wordt gemaakt b) berispen d) gelasten
verwerkingen in overeenstemming met wet te brengen.
26

27. De e-privacy verordening

28. Still to come: e-privacy Verordening
Specificeert AVG en vult deze aan.
Wijzigingen nog onduidelijk, 25 mei 2018 zal niet worden gehaald.
28

29. Cookies
Huidige cookiewetgeving:
E-privacy Richtlijn, geïmplementeerd in artikel 11.7a Telecommunicatiewet
Geen informatieplicht of toestemmingplicht voor functionele / analytische cookies
- Cookies nodig om de communicatie uit te voeren.
- Cookies strikt noodzakelijk voor een door de gebruiker gevraagde dienst.
- Cookies die tot doel hebben om informatie te verkrijgen over de kwaliteit en/of
effectiviteit van een geleverde dienst (bijvoorbeeld een website) mits geen of
slechts een geringe inbreuk wordt gemaakt op de privacy van de gebruiker. Hierbij
kan gedacht worden aan analytische cookies.
Cookiewall-verbod louter voor overheid en bijvoorbeeld ziekenhuizen (of toch niet?)
29

30. Amendement Parlement
Art. 8
Necessary  strictly necessary
Consent  specific consent
Necessary for providing an information society service  strictly necessary for service
specifically requested
In the context of employment relationships: strictly technically necessary for the
execution of an employee’s task, not further processed for monitoring the employee
Strict cookie-wall ban: No user shall be denied access to any information
society service or functionality, remunerated or not, on the ground of not
gviing consent
30

31. Direct marketing
Tekst Commissie: COM(2017)0010
o. 33 Het is echter redelijk het gebruik van e-mailcontactgegevens binnen de context
van een bestaande klantrelatie toe te staan voor het aanbieden van soortgelijke
producten of diensten. Deze mogelijkheid mag alleen maar openstaan voor dezelfde
onderneming die de elektronische contactgegevens heeft verkregen overeenkomstig
Verordening (EU) 2016/679.
o. 33 Het is echter redelijk het gebruik van e-mailcontactgegevens binnen de context
van een bestaande klantrelatie toe te staan voor het aanbieden van andere
producten of diensten. Deze mogelijkheid mag alleen maar openstaan voor dezelfde
onderneming die de elektronische contactgegevens heeft verkregen overeenkomstig
Verordening (EU) 2016/679.
31

32. Direct marketing
2. Wanneer een natuurlijke of rechtspersoon in het kader van de verkoop van een
product of een dienst van zijn klanten elektronische contactgegevens voor
elektronische post heeft verkregen overeenkomstig Verordening (EU) 2016/679, kan
hij deze elektronische contactgegevens voor direct marketing van soortgelijke eigen
producten of diensten gebruiken mits de klanten duidelijk en expliciet in de
gelegenheid zijn gesteld om kosteloos en op gemakkelijke wijze bezwaar te maken
tegen dit gebruik. Het recht om bezwaar te maken wordt verleend op het tijdstip
van de gegevensverzameling en telkens wanneer een bericht wordt verzonden.
2. Wanneer een natuurlijke of rechtspersoon in het kader van de verkoop van een
product of een dienst van zijn klanten elektronische contactgegevens voor
elektronische post heeft verkregen overeenkomstig Verordening (EU) 2016/679, kan
hij deze elektronische contactgegevens voor direct marketing van eigen producten
of diensten gebruiken mits de klanten duidelijk en expliciet in de gelegenheid zijn
gesteld om kosteloos en op gemakkelijke wijze bezwaar te maken tegen dit gebruik.
De klant wordt in kennis gesteld van het recht om bezwaar te maken en kan
hiervan op eenvoudige wijze gebruik maken op het tijdstip van de
gegevensverzameling en telkens wanneer een bericht wordt verzonden.
32

33. Actualiteit gezondheidsgegevens

34. Definitie gezondheidsgegevens in AVG
34
Overweging 35 AVG:
‘Persoonsgegevens over gezondheid dienen alle gegevens te omvatten die
betrekking hebben op de gezondheidstoestand van een betrokkene en die
informatie geven over de lichamelijke of geestelijke gezondheidstoestand
van de betrokkene in het verleden, het heden en de toekomst.’
Artikel 4 AVG:
‘Persoonsgegevens die verband houden met de fysieke of mentale
gezondheid van een natuurlijke persoon, waaronder gegevens over
verleende gezondheidsdiensten waarmee informatie over zijn
gezondheidstoestand wordt gegeven.’

35. Hoe breed dient dit te worden uitgelegd?
Annex Health data apps and devices (2015) (art. 29 Werkgroep): “data
about a person's intellectual and emotional capacity (such as IQ),
information about smoking and drinking habits, membership of an individual
in a patient support group (e.g. cancer support group), Weight Watchers”
Grote gevolgen voor:
• Assessments
• Uitgebreide personeelsdossiers
• Coaching-sessies
• Uitgebreide (Big-data) analyses van werknemersgedrag
35

36. Vraag:
Zijn assessments nog toegestaan?
36

37. Vraag:
Mogen alcohol- en drugtesten?
37

38. Vraag:
38
Mag Big Data analyse van
werknemersgedrag?

39. Uitzonderingen voor werkgevers onder AVG
Art. 9
• Uitdrukkelijke toestemming (sub a) (hoewel: overweging 155)
• Uitoefening van specifieke rechten op het gebied van arbeidsrecht voor zover
toegestaan bij lidstatelijk recht (sub b)
• Noodzakelijk voor vitaal belang betrokkene (sub c)
• Door betrokkene duidelijk openbaar gemaakt (sub e)
• Instelling, onderbouwing of uitoefening of verdediging van een rechtsvordering (f)
• Zwaarwegend algemeen belang ogv Unie- of lidstatelijk recht (sub g)
• Arbeidsgeneeskunde /beoordeling arbeidsgeschiktheid medische diagnosen (sub h)
39

40. 21-11-2017:
40

41. Oplossingen?
- Specifiek lidstatelijk recht (mede afhankelijk van uiteindelijke Uitvoeringswet)
- Inbouwen extra waarborgen
Gegevens alleen zichtbaar voor bedrijfsarts?
41