Actualiteiten bescherming persoonsgegevens

Actualiteiten bescherming persoonsgegevens VNG Juridische 2-daagse 2015

Hester de Vries 10 november 2015

1

Bescherming persoonsgegevens actuele ontwikkelingen - stavaza

2

Bescherming persoonsgegevens

Actuele ontwikkelingen - stavaza  (Voorstel) Algemene Verordening gegevensbescherming  Rechtspraak – arrest Hof van Justitie 6 oktober 2015 (C-362/14)  (Toekomstige) Meldplicht datalekken  Handhaving & Sancties toezichthouder  Onderzoek/handhaving/beleid CBP

3

AVGB • Huidig juridisch kader: Europese Richtlijn 95/46/EC  In 28 EU-Lidstaten verschillend geïmplementeerd  Nadeel: verschillende en zelfs tegenstrijdige interpretaties  In 28 EU-Lidstaten verschillend toezicht  Nadeel: toezichthouders ontwikkelen verschillend beleid en hebben verschillende handhavingsinstrumenten  De harmoniserende rol van de Artikel 29-Werkgroep?  Laatste woord: Hof van Justitie EU

4

Safe harbor arrest Hof van Justitie 6 oktober 2015 (C 362/14)  Nav Klacht Max Schremms: opslag gegevens Facebookgebruikers in VS – toegang veiligheidsdiensten  Ierse toezichthouder wijst klacht af en beroept zich op EC Besluit 2000/520 inzake Safe Harbor  Safe Harbor Framework gebaseerd op zelf-certificering / toezicht FTC  HvJ verklaart Besluit 2000/520 ongeldig

5

Gevolgen Safe Harbor arrest  Voor alle organisaties die voor ‘trans-Atlantische doorgifte’ van persoonsgegevens gebruik maken van de Safe Harbor  Binnen groep van ondernemingen  Maar ook aan externe partijen (  LET OP: software leveranciers/cloud providers

 Doorgifte op basis van safe harbor is niet langer toegestaan:  Acties vereist:  Inventariseer doorgiftes: gebaseerd op safe harbor?  Beste alternatief op dit moment: model contractbepalingen  Bepaal welke set is van toepassing?  Controller-Controller of Controller-Processor Modelcontractbepalingen

6

Gevolgen safe harbor arrest  Let op standpuntbepaling van toezichthouders  Artikel 29 Werkgroep 15 oktober persbericht  - komende periode verder onderzoek naar de gevolgen van de uitspraak  - met name gevolgen voor doorgifte op andere juridische basis

 - maar! organisaties kunnen niet rustig afwachten  - toezichthouders zullen optreden als eind januari geen politieke oplossing is gevonden en mogelijk tot handhaving overgaan

7

AVGB

8

STAVAZA EU: Algemene Verordening Gegevensbescherming (AVGB)

 Voorstel Europese Commissie januari 2012  Stemming Europees Parlement 12 maart 2014  ‘Algemene oriëntatie’ Raad van Ministers – 15 juni 2015  Start Triloog 24 juni 2015:  onderhandelingen Commissie, Raad en Parlement om tot definitief akkoord te komen  Strakke planning – akkoord december 2015(!?)  Inwerkingtreding- 2 jaar later, dus mogelijk 1 januari 2018

9

Triloog

10

AVGB – doorgifte persoonsgegevens

 Oordeel EC passend beschermingsniveau  Modelcontractbepalingen ?!  Of ad hoc contracten met voorafgaande toetsing?

 Privacy seal?  Voor bedrijfsleven: binding corporate rules  Voor overheid: ‘a legally binding and enforceable instrument between public authorities or bodies’ (?)

   

Doorgifte nav een vordering uit een ‘derde land’ Alleen op basis van MLAT? Na voorafgaande toetsing door de toezichthouder? GAG-order 11

AVGB      

Basisbeginselen gegevensbescherming In de kern niet gewijzigd tov Richtlijn 95/46/EC Doelbinding/grondslag Dataminimalisatie Beveiliging Bewerker:  Zorgvuldige selectie  Bewerkersovereenkomst  Sub-bewerker

 Concrete verplichtingen voor bewerker

12

AVGB  Enkele aandachtspunten voor gemeenten • Grondslag • Toestemming? Vrije wil en onevenwichtigheid? • Wettelijke plicht of vervulling van een taak van algemeen belang of een taak die deel uitmaakt van de uitoefening van het openbaar gezag: criteria waaraan recht van lidstaat moet beantwoorden. • Gerechtvaardigd belang: geen beroep door overheden? (let op verschillen in teksten!)

13

AVGB  Verplichtingen van de verantwoordelijke?

Data Protection by Design Data Protection by Default

Documentatie Bewerkersovk Audit

Beveiliging

Melding ‘Data Breaches’

Accountability

FG

Samenwerking

PA

PIA 14

Verschillen in tekstvoorstellen (een enkel voorbeeld)

15

vervolg

16

Vervolg (…)

17

AVGB  Accountability – documentatieplicht  Noodzaak: Privacy Management Programma  Componenten bijv.  Privacygovernance  Policies - werkinstructies  Verificatie (audit)  Klachtenafhandeling  Training

 Mate van detail - nog niet duidelijk  Naar verwachting:  Normen in tekst AVGB  Aanvullende normen Artikel 29 Werkgroep (?)

18

Ander voorbeeld

19

AVGB

Rechten van de betrokkene? Transparante informatie-verstrekking en communicatie

Recht van bezwaar

Recht van gegevensoverdraagbaarheid

Recht van rectificatie

Recht om vergeten te worden en gegevens te wissen

Recht op informatie

Recht van toegang

20

Voorbereiden op de AVGB  Brief aan de leden van VNG: 19 oktober 2015  Compliance instrumenten

 Rijksoverheid  Toetsmodel Privacy Impact Assessment (PIA) Rijksdienst  NOREA  Handreiking Privacy Impact Assessment

21

Voorbereiden op de AVGB  Compliance instrumenten  Baseline Informatieveiligheid Gemeenten  VNG / KING / ViSD  Privacy Scan  Factsheet Privacy  Factsheet Triage  Privacy Governance binnen het sociaal domein

22

AVGB 

23

STAVAZA: (toekomstige) meldplicht datalekken  Wijziging Wet bescherming persoonsgegevens  Van kracht 1 januari 2016  (onder meer) nieuw artikel 34a

24

Meldplicht datalekken

25

Beveiligingsverplichting (art. 13 Wbp)  Passende technische en organisatorische beveiligingsmaatregelen  Beveiligen tegen verlies of enige vorm van onrechtmatige verwerking  Maatregelen garanderen passend beschermingsniveau, rekening houdend

met de stand van de techniek, kosten van tenuitvoerlegging, aard van de gegevens en de risico’s van de verwerking

26

Passende beveiligingsmaatregelen

 “Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging.” (MvT Wbp, p. 99)  Beveiliging vergt een continue inspanning

27

Richtsnoeren beveiliging CBP • Gepubliceerd eind februari 2013 • Kader voor onderzoek/ handhaving CBP

• Kwaliteitscirkel: inbedden om continue beveiliging te waarborgen

28

Beveiligingsplicht

• Worden passende technische en organisatorische beveiligingsmaatregelen getroffen (art. 13 Wbp)?

• Praktijkvoorbeeld:  CBP onderzoeken (9) zorginstellingen, (3) huisartsenposten, websites (150) huisartsen en apothekers  Bevindingen CBP:  toegang door onbevoegden tot digitale patiëntendossiers  geen unieke gebruikersidentificatie en geen gebruik tweefactorauthenticatie  niet beveiligde e-mailverbinding gebruikt bij aanvragen herhaalrecepten 29

Beveiligingsplicht  Praktijkvoorbeeld:  risico van schadeclaim van betrokkene wegens onvoldoende beveiliging patiëntdossier  Niet te achterhalen wie toegang heeft gehad tot dossier  Schadevergoeding € 33,771,80  EHRM, 17 juli 2008

30

Meldplicht datalekken

31

Inbreuk op de beveiliging

Nota naar aanleiding van het nader verslag, p. 4

Memorie van toelichting, p. 5-6

32

Beslisingsmodel

33

Voorbeelden van meldingsplichtige incidenten

Nota naar aanleiding van het nader verslag, p. 11

34

“Not if, but when….” - VS: 94% in de gezondheidszorg had ten minste 1 datalek in 2012 - VS: 45% had meer dan 5 lekken

Beslissingsmodel 1. Inbreuk op de beveiliging 2. Melding CBP: ernstige nadelige gevolgen voor de bescherming van persoonsgegevens? 3. Melding betrokkene: waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer? 4. Uitgezonderd van meldingsplicht?

36

Melding toezichthouder: ‘ernstige nadelige gevolgen’

Nota naar aanleiding van het nader verslag, p. 18

Nota naar aanleiding van het nader verslag, p. 9

37

Melding aan betrokkene: ‘waarschijnlijk ongunstige gevolgen voor diens persoonlijke levenssfeer’  Alleen meldplicht aan betrokkene als er ook een meldplicht aan CBP bestaat  ‘Schade voor diens persoonlijke levenssfeer’ omvat ook financiële schade

38

Uitgezonderd?

 Geen melding aan betrokkene als de persoonsgegevens versleuteld zijn  Encryptie moet wel effectief en up-to-date zijn  Effectiviteit kan over tijd afnemen  Mogelijk later alsnog melden?

39

Wat is ‘onverwijld’ – standpunt toezichthouder

40

Inschakelen bewerker (in land buiten EU zonder passend beschermingsniveau  Bij inschakelen bewerker – bewerkerovereenkomst vereist (art. 14 Wbp)  Verplichting opleggen om datalek te melden aan verantwoordelijke!  Bewerker in ‘derde land zonder passend beschermingsniveau’ – ook doorgifte regelen!

41

Volume

42

Inhoud van de melding

43

Hoe melden aan de betrokkene?  Via een communicatiemiddel dat een snelle ontvangst waarborgt    

Email SMS Post (?) Dagbladen (?)

 Beveiligd volgens de laatste technische ontwikkelingen

44

STAVAZA: boetebevoegdheid bij overtreding Wbp  College bescherming persoonsgegevens wordt Autoriteit Persoonsgegevens

   

Boetebevoegdheid miv 1 januari 2016 Maximale boete € 810.000,-- / of 10% jaaromzet Opleggen na ‘bindende aanwijzing’ CBP Tenzij opzettelijke overtreding of ernstige verwijtbare nalatigheid

45

CBP Werkagenda 2015

46

Onderzoek/handhaving/beleid CBP  Beveiliging gegevensverwerking  Internetonderzoek  Screening woningzoekenden

47

48

 Het CBP doet onderzoek naar de beveiliging van Suniwet bij gemeenten.

 In november 2014 oordeelde het CBP al dat het UWV en de gemeente ‘s-Hertogenbosch de beveiliging van Suwinet niet goed op orde hadden.

49

50

 De beveiliging van DigiD moet worden aangescherpt.

 Bij het huidige beschermingsniveau kan niet worden uitgesloten dat onbevoegden inloggegevens van DigiD gebruikers achterhalen.

51

52

 Het feit dat persoonsgegevens op internet openbaar zijn gemaakt maakt dat deze gegevens vrij verzameld en verwerkt mogen worden.

 Waar of niet waar?

 Iedereen googlet naar persoonsgegevens en dat mag gewoon.  Het enige risico is dat bewijs als onrechtmatig verkregen terzijde wordt gelegd.

 Waar of niet waar?

 Internetonderzoek mag alleen plaatsvinden bij aantoonbare indicaties van misbruik of fraude.  Geen preventief onderzoek.  Minder ingrijpende middelen voorhanden?  Is het internetonderzoek proportioneel?  Alleen kortdurend, incidenteel onderzoek.  Gemeenten moeten voldoen aan de waarborgen uit de Wbp.

55

56

Privacy team Kennedy Van der Laan

Hester de Vries Nicole Wolters Ruckert Petra Tolen Maarten Goudsmit Leonie van Sloten 57

58

 Doel wetsvoorstel: woningzoekenden met een crimineel of overlastverleden kunnen in bepaalde gebieden worden geweigerd.  Hoe: verzoek om verklaring omtrent het gedrag of onderzoek van politiegegevens.  Onduidelijk of screening proportioneel en noodzakelijk is.  Advies: nadere toelichting noodzakelijkheid en uitstel wetsvoorstel.

59