6. De wet bescherming persoonsgegevens Ordeningswetgeving Basisprincipes Zorgvuldigheid Doelbinding Grondslagvereiste Gegevenskwaliteit Beveiliging & bewaring Transparantie Verscherpt regime voor bijzondere persoonsgegevens Procedurevoorschriften Melding bij CBP Exportvergunning bij Justitie
7. Privacycheck Ordeningskarakter WBP maakt geschikt voor checklist c.q. stappenplan Dirkzwager lanceert online privacycheck op:www.dirkzwagerieit.nl/privacycheck
8. Recente ontwikkelingen Algemeen Opinie over verantwoordelijke en bewerker Opinie over verantwoording (accountability) Internationaal Opinie over toepasselijk recht Nieuw modelcontract internationaal gegevensverkeer College Bescherming Persoonsgegevens Beleid en aandachtspunten
9. Verantwoordelijke en bewerker Opinie 1/2010 van artikel 29WG Verheldert definitie van verantwoordelijke en bewerker Belang: primair aanspreekpunt WBP is verantwoordelijke bewerker heeft beperkte aansprakelijkheid maar ook beperkte mogelijkheden van invloed op modelcontract dat gehanteerd moet worden
10. Verantwoordelijke en bewerker Verantwoordelijke: Wet: degene die “het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt” Doel & middelen: het “waarom” en het “hoe” Middelen is zowel techniek als organisatorische uitvoering. Vragen als “welke gegevens”, “wie heeft toegang”, “hoe lang bewaard”, etc. Vuistregels: Vaststellen doel? Dan altijd verantwoordelijke Vaststellen middelen? (nieuw!) Bij wezenlijke aspecten van middelen verantwoordelijke Bij niet-wezenlijke aspecten verantwoordelijke of bewerker Weinig tot geen keuzevrijheid bij bepalen hoe en waarom van de verwerking? Dan waarschijnlijk bewerker. Primair feitelijk beoordelen Formele verhoudingen kunnen wel aanwijzing geven Indien geen formele of feitelijke zeggenschap, dan geen verantwoordelijke
11. Verantwoordelijke en bewerker Bewerker: Wet: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen” Kenmerken volgens opinie: Aparte rechtspersoon; Verwerkt in opdracht en ten behoeve van verantwoordelijke; Is dus verplicht aanwijzingen van verantwoordelijke op te volgen! Opdracht bakent bevoegdheden van bewerker af Bewerker mag sub-bewerker inschakelen (nieuw!) Ondergeschiktheid jegens verantwoordelijke blijft overeind Effectief toezicht moet mogelijk blijven Informeren verantwoordelijke Voorzieningen treffen (contractueel) zodat sub-bewerker toezicht en instructies verantwoordelijke aanvaardt Bewerker die opdracht te buiten gaat, maakt zichzelf tot verantwoordelijke Ook hier primair feitelijk beoordelen. Niet “wegcontracteerbaar”
12. Verantwoordingsbeginsel Opinie 3/2010 van artikel 29 WG Advies aan Europese Commissie in het kader van herziening privacyrecht Geen wetgevende kracht, noch interpretatie van bestaande wetgeving, wel belangrijk signaal opvatting toezichthouders
13. Verantwoordingsbeginsel Toenemende belang privacybescherming: Steeds meer gegevens beschikbaar; Waarde van gegevens stijgt (online betaalmiddel); Risico’s nemen navenant toe. Introductie verantwoordingsbeginsel Concrete en doeltreffende maatregelen nemen Bewijs voor die maatregelen vastleggen
14. Verantwoordingsbeginsel Voorbeelden van maatregelen Voor verwerking aanvangt al beleid over die verwerking opstellen Vooraf beleid opstellen over nog onvoorziene verwerkingen (procedureafspraken) In kaart brengen van gegevensverwerkingen die plaatsvinden Functionaris voor gegevensbescherming aanstellen Opleiding en voorlichting aan medewerkers aanbieden compliance programma Transparante procedures opstellen voor rechten betrokkene (inzage, correctie, verzet) Beleid over hoe om te gaan met inbreuken op de beveiliging Actief toezicht houden op al dit beleid
15. Verantwoordingsbeginsel Aantal en aard te nemen maatregelen afhankelijk van Risico’s van de verwerking Aard te beschermen gegevens Analogie met bestaande beveiligingsverplichting (artikel 13 WBP). Meer concreet meewegen: Omvang van gegevensverwerking; Soort gegevens (gevoelig?); Beoogde doelen van verwerking; Voorziene aantal doorgiften.
16. Verantwoordingsbeginsel Opinie laat zien hoe toezichthouders nu al over privacytoezicht denken Wie “accountable” is, doorstaat sneller toets der kritiek toezichthouders. Zelfs invloed op hoogte boete. Maar… niet ieder beleid is goed beleid. Is minder nieuw dan het lijkt Voldoen aan WBP vereist nu de facto al dat er beleid is. Openheid over dat beleid valt nu tot op zekere hoogte al onder informatieverplichting Instemmingsrecht OR op privacybeleid Openheid over dat beleid zal bij handhaving ook nu al gegeven moeten worden
17. Toepasselijk recht Opinie 8/2010 artikel 29 WG Relevantie: Richtlijn 95/46/EG is niet uniform in nationale wetgeving omgezet Richtlijn biedt bovendien interpretatieruimte op diverse punten, waaronder over toepasselijk recht Doel richtlijn is juist effectieve privacybescherming
18. Toepasselijk recht Toepasselijk recht bepaalt: Hoe de wet (richtlijn) geïnterpreteerd moet worden; Wie toezichthouder is; Welke sancties er op overtreding van het privacyrecht staan; Welke rechter bevoegd is;
19. Toepasselijk recht Genuanceerde opinie met vele “mitsen en maren” Kernpunten: Verwerkingen die plaatsvinden in het kader van activiteiten van vestiging in bepaald land, worden beheerst door recht van dat land (ook al vindt verwerking in ander land plaats) Activiteiten bewerker zijn voor wat betreft beveiligingsmaatregelen onderworpen aan land bewerker Doel richtlijn moet steeds nagestreefd worden: bieden effectieve bescherming voor betrokkene op eenvoudige, werkbare en voorspelbare wijze
20. Toepasselijk recht In Nederland: Nederlands recht op eigen gegevens en verwerkingen Italiaanse recht op gegevens Italiaanse activiteiten In Italië: Italiaanse recht op eigen verwerkingen Nederlands recht op verwerkingen die Italiaanse dochter in hoedanigheid “bewerker” uitvoert In Duitsland Nederlands recht op verwerkingen namens moeder Italiaans recht op verwerkingen namens dochter Duits recht op naleving beveiligingsmaatregelen
21. Modelcontract internat. gegevensverkeer Waarom ook alweer modelcontracten? Data-export naar landen zonder passend beschermingsniveau verboden, behoudens exportvergunning Vergunning wordt slechts verleend indien belangen privacyrecht gewaarborgd zijn Bij gebruik modelcontracten is die waarborg een gegeven en mag lidstaat de exportvergunning in beginsel niet weigeren
22. Modelcontract internat. gegevensverkeer Nieuwemodelcontractenvoorinschakelingbewerkers in landenzonderpassendbeschermingsniveau EC 2010/87/EU d.d. 05-02-2010 Toelichting (FAQ) door artikel 29 WG in WP176 Voor export naarverantwoordelijken in dergelijkelandenmodelcontract 2001/497/EC of C(2004)5271 blijvengebruiken
23. Modelcontract internat. gegevensverkeer Nieuw: buitenlandse bewerkers mogen buitenlandse sub-bewerkers inschakelen Let wel: Europese bewerkers mogen dit niet! Gebruik modelovereenkomst tussen verantwoordelijke en sub-bewerker Volmacht verantwoordelijke aan bewerker om namens hem sub-bewerker overeenkomst te sluiten Eigen overeenkomsten Relevant voor bijvoorbeeld cloudcomputing
24. Modelcontract internat. gegevensverkeer Verplichtingen exporteur onder meer Naleven recht dat van toepassing is op de verwerking Niet handelen in strijd met wetgeving lidstaat bewerker Garantie dat beveiligingsmaatregelen geschikt zijn bevonden (test vereist!) actief op wordt toegezien Bij bijzondere persoonsgegevens vooraf betrokkene informeren Op verzoek contracten met (sub)bewerkers aan betrokkene ter beschikking stellen Actief toezien op naleving verplichtingen Aanvaarding aansprakelijkheid jegens betrokkene
25. Modelcontract internat. gegevensverkeer Verplichtingen importeur (bewerker) onder meer Garantie zich te beperken tot instructies verantwoordelijke Verantwoordelijke op hoogte stellen van wijzigingen wetgeving die afbreuk doet aan privacybescherming Kennisgeving van verstrekking gegevens aan derden Bewuste verstrekking (bijvoorbeeld handhaving lokale overheid) Onbewuste verstrekking (hack, ongeoorloofde toegang) Inzage geven aan verantwoordelijke in eigen organisatie Schriftelijke toestemming inschakelen sub-bewerkers en afschrift van contracten met sub-bewerkers Aanvaarding aansprakelijkheid jegens betrokkene indien verantwoordelijke is verdwenen, opgehouden te bestaan of failliet is gegaan (idem sub-bewerkers)
26. Beleid CBP Per 01-02-2011 prioriteit aan overtredingen die (cumulatief): ernstig; structureel; veel mensen treffen; handhavend ingrijpen effectief verschil kan maken. Aandachtspunten 2010: naleving van de informatieplicht en de onrechtmatige verstrekking van persoonsgegevens aan derden.
27. Beleid CBP Aandachtspunten 2010 private sector: Onderzoek naar onrechtmatige verstrekking van persoonsgegevens aan derden (listbrokers); Onderzoek bij handelsinformatiebureaus; Richtsnoeren inzake de beveiliging van persoonsgegevens; Richtsnoeren inzake de informatieplicht. Aandachtspunten publieke sector Naleving wbp terrein sociale zekerheid; Onderzoek opvragen medische gegevens door gemeenten bij aanvragen ondersteunende voorzieningen; Toezicht op gebruik Europese databanken ten behoeve van politie- en justitiesamenwerking.
28.
29.
30. Verminderen administratieve lasten Wetsvoorstel 31 841 aanhangig bij de Tweede Kamer Enkele verplichtingen die eerst “zo spoedig mogelijk” moesten worden nagekomen, nu binnen vier weken en ruimte voor respijt Niet langer verplichting om jaarlijks te wijzen op recht van verzet, maar eigen verantwoordelijkheid Geen vergunning voor data-export bij modelcontracten Verhoging boetes naar 7.600 euro en 19.000 euro (categorie hoger) Verder enkele wetstechnische verbeteringen
31. Uitbreiding vrijstellingsbesluit Verruiming bewaartermijn camerabeelden Vrijstelling verwerking persoongegevens intranet en persoonlijke websites Algemene verduidelijkingen CBP is kritisch over voorstel om vrijstelling ook te laten gelden voor concerndoorgifte naar landen zonder passend beveilgingsniveau
32. Duidelijkheid cookies Mag je cookies plaatsen? Richtlijn (e-privacy (2002/58) gewijzigd van “ja, mits” in “nee, tenzij” Considerans: toestemming afleiden uit instellingen browser Europese privacytoezichthouders: “toestemming is actieve handeling” Wetsvoorstel haakt aan bij considerans Raad van State zeer kritisch Regering nuanceert: alleen goed geïnformeerde gebruiker die cookies niet weigert geeft mogelijk impliciete toestemming
33. Melding beveiligingslekken In regeringsakkoord algemene meldplicht datalekken aangekondigd Ook later bevestigd bij bijvoorbeeld brief minister Opstelten 23-12-2010 Moet nog vormgegeven worden. Mogelijk aansluiting bij meldplicht datalekken in telecomsector (richtlijn nr. 2009/136/EG) aanbieder van openbare elektronische communicatiediensten moet toezichthouder en (meestal ook) betrokkenen informeren over “inbreuk in verband met persoonsgegevens” deadline implementatie 25 mei 2011
34. Herziening privacyrichtlijn Verwachting dat in zomer 2011 eerste voorstellen komen voor herziening richtlijn Komende half jaar dus ongetwijfeld ook meer privacynieuws
35. Einde Zijn er vragen? Stel deze nu, tijdens de borrel of neem later contact met ons op:
36. Advocatuur Arnhem Postbus 3045 6802 DA Arnhem Kantoor Velperpoort Velperweg 1 6824 BZ Arnhem T +31 (0)26 353 83 00 F +31 (0)26 351 07 93 Notariaat Arnhem Postbus 111 6800 AC Arnhem Kantoor Velperpoort Velperweg 1 6824 BZ Arnhem T +31 (0)26 365 55 55 F +31 (0)26 365 55 00 Advocatuur Nijmegen Postbus 55 6500 AB Nijmegen Kantoor Stella Maris Van Schaeck Mathonsingel 4 6512 AN Nijmegen T +31 (0)24 381 31 31 F +31 (0)24 322 20 74 Notariaat Nijmegen Postbus 1104 6501 BC Nijmegen Kantoor Stella Maris Van Schaeck Mathonsingel 4 6512 AN Nijmegen T +31 (0)24 381 27 27 F +31 (0)24 324 07 26