1. Bewust van de
bescherming van persoonsgegevens
Nederland ICT Security in Bedrijf Workshop
14 maart 2012
mr. dr. Bart W. Schermer
schermer@considerati.com
+31613433437
www.considerati.com
2. Over Considerati
• Wij helpen organisaties met ICT gerelateerde
juridische vraagstukken, sterke focus op privacy
• Enige adviesbureau dat juridisch advies
en beleidsadvies combineert
• Wij bouwen bruggen tussen uiteenlopende
stakeholders
• Wij brengen organisaties van compliance naar trust
3. Agenda
• Wat is privacy?
• Welke eisen stelt de Wet bescherming persoonsgegevens?
• Wat gaat er in de toekomst veranderen (Draft Regulation)
• Hoe richt ik een privacy compliance programma in?
5. Wat is privacy?
“Privacy is geen statisch object, maar een concept dat context
gerelateerd is. Hierdoor is het onmogelijk om het te definiëren
zonder te referen aan een complex geheel van sociale,
culturele, religieuze en historische parameters waaraan het zijn
betekenis onleent.”
-- Serge Gutwirth, 1998
6. Verlies privacy = verlies vertrouwen =
reputatieschade + hoge(re) juridische kosten
Facebook manipuleert Webistes en adverteerders Google houdt geen rekening
Privacy settings niet transparant over cookies met privacy in Google Buzz
Resultaat:
Resultaat: Resultaat:
• Reputatieschade
• Reputatieschade • Hoge compliance kosten
• Juridische kosten
• Juridische kosten • Minder cookies, minder
conversie • 30 miljoen dollar schikking
• 20 jaar onder verscherpt
FTC toezicht
7. Privacy wordt steeds belangrijker
Regeerakkoord Rutte II:
De privacytoezichthouder, het College Bescherming
Persoonsgegevens, krijgt meer bevoegdheden, waaronder de
bevoegdheid meer boetes uit te delen. Bij de bouw van
systemen en het aanleggen van databestanden is
bescherming van persoonsgegevens uitgangspunt. Daar hoort
een zogenaamd privacy impact assessment (PIA) standaard
bij. Inbreuken door de overheid zijn voorzien van een
horizonbepaling en worden geëvalueerd.
9. Wat is een persoonsgegevens?
Artikel 1 sub a Wbp:
“Elk gegeven betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon”
30-35 jaar
sushi
Bart Willem Schermer, Opel Ampera
1 Juli 1978 jurist
Universiteit Leiden
2333 CW
reünist Quintus
Thaiboksen
10. Wbp: grondslag en doel van de verwerking
• Verwerk geen persoonsgegevens zonder duidelijk doel (artikel 7 Wbp)
• Zorg dat het doel legitiem is (artikel 8 Wbp):
a) ondubbelzinnige toestemming
b) noodzakelijk voor uitvoering contract met betrokkene
c) wettelijke plicht
d) vrijwaring vitaal belang betrokkene
e) noodzakelijk voor goede uitoefening publiekrechtelijke taak
f) gerechtvaardigd belang van de betrokkene
• Gebruik persoonsgegevens alleen voor dit doel, of verenigbare doelen
(artikel 7 jo. art 9 Wbp)
11. De Wbp: inhoudelijke eisen aan de verwerking
• Verzamel niet meer gegevens dan nodig (artikel 11 Wbp)
• Zorg dat de gegevens toereikend en correct zijn (artikel 11 Wbp)
• Zorg dat de gegevens veilig zijn (artikel 13 Wbp)
• Bewaar de gegevens niet langer dan nodig (artikel 10 Wbp)
• Wees open en transparant (artikel 27 e.v. Wbp)
12. De nabije toekomst: Data Protection Regulation
• Bredere definitie persoonsgegevens
• Explicit consent (uitdrukkelijke toestemming) standaard
• Meer rechten voor de betrokkenen (right to be forgotten/data portability)
• Data protection by design & by default
• Meer nadruk op accountability (oa. Data protection officer)
• Torenhoge boetes…
13. Boetes onder de data protection regulation
www.privacychecker.nl
15. Privacy governance model
Wat willen we en mogen
we dat?
‘Privacy Ethiek’
Hoe leggen we uit wat
we doen en mogen?
Transparantie
& Compliance
communicatie
Doen we wat we mogen
goed?
16. Privacy governance
Privacy ethiek
• Formuleren doel en grondslag
• Identificeren risico’s (Privacy Impact Assessment)
• Mitigeren van risico’s (privacy by design)
Privacy compliance
• Processen helder krijgen, procedures inrichten
• Beleggen rollen en verantwoordelijkheden
• IT beveiliging
• Cultuur van privacy (awareness)
• Praktische hulpmiddelen
Communicatie & transparantie
• Informeren en betrekken van de burger
• Duidelijke boodschap over doel en toepassing
18. Het opstarten van een privacy compliance
programma
Bepalen
Proces analyse Evaluatie,
Gap analyse privacy strategie
& Monitoring,
& &
Implementatie Bijsturing
Risk assessment prioritering
Waar staan we? Waar willen we heen? Doen! Blijven doen!
19. Vragen?
mr. dr. Bart W. Schermer
schermer@considerati.com
b.w.schermer@law.leidenuniv.nl
Postbus 76949
1070 KE Amsterdam
+31 207370069
Considerati: digital trust and IT regulation experts