Bescherming persoonsgegevens

Bescherming persoonsgegevens

VNG Juridische 2-daagse 2014

Hester de Vries 27 oktober 2014

Privacy & bescherming persoonsgegevens is hot!

Programma    

1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP

Programma  1. Toepassing Wbp in de praktijk      

Reikwijdte & verantwoordelijkheid Materiële normen Decentralisatie & gegevensuitwisseling Verwerking bijzondere persoonsgegevens Rechten van betrokkenen Compliance instrumenten

Wbp in de praktijk Reikwijdte & verantwoordelijkheid

Wanneer is de Wbp van toepassing? Is sprake van verwerking van persoonsgegevens (art. 1 sub a en b Wbp)? Valt de verwerking binnen de reikwijdte van de Wbp (art. 2 en 4 Wbp)?

Wbp: reikwijdte 

Wbp: reikwijdte Verwerking van persoonsgegeven (art. 1 onder b)

Wbp: reikwijdte Valt de verwerking binnen de reikwijdte van de Wbp (art. 2 Wbp)?

Wbp: reikwijdte

Reikwijdte: begrip persoonsgegevens • Gegevens betreffende een persoon? • Persoon geïdentificeerd of identificeerbaar • Uit de aard identificerende gegevens:  Bijv. naam, adres, woonplaats • Gegevens ontdaan van identificerende kenmerken: (indirecte) identificeerbaarheid

Reikwijdte: begrip persoonsgegeven  Gegeven betreffende een persoon  ABRvS 1 augustus 2012, LJN: BX3309  Hof van Justitie 17 juli 2014, C-141/12 en C-372/12  persoonsgegevens - minuut

Wbp: reikwijdte • Persoonsgegeven: een rekbaar begrip • Identificeerbaarheid?  Mogelijkheid / realiteit?  Hoe?  Wie?

Wbp: reikwijdte  Identificeerbaarheid  Het gaat er om of de identiteit van een persoon redelijkerwijs, zonder onevenredige inspanning kan worden vastgesteld  Eventueel via een derde  Is voldoende dat de derde de persoon kan identificeren?

Persoonsgegevens

Geen persoonsgegevens

Persoonsgegevens Anonieme gegevens

Persoonsgegevens

Geen persoonsgegevens

NAW-gegevens, (digitale) foto van persoon, persoonsnummers, unique identifiers, device nummers (IP-

Anonieme gegevens

adres/udid/MAC adres) / locatiegegevens

Gepseudonimiseerde gegevens ?

Geanonimiseerde gegevens ?

Wbp: verantwoordelijkheid

Wie is de verantwoordelijke voor de gegevensverwerking? (art. 1 sub d Wbp) Is er een bewerker? (art. 1 sub e Wbp)

Wbp: verantwoordelijkheid

Wbp: verantwoordelijkheid  Verwijsindex Risicojongeren: Wet op de jeugdzorg (art. 2 e)

Wbp: verantwoordelijkheid Is met de bewerker een (schriftelijke) bewerkerovereenkomst gesloten (art. 14 Wbp)? - Beveiligingsmaatregelen - Geheimhouding



Bewerker binnen de EU of daarbuiten?

Wbp: materiële normen voor verwerking persoonsgegevens Doelbinding & grondslag  Is er een welbepaald, uitdrukkelijk omschreven, gerechtvaardigd doel (art. 7 Wbp)?  Is er een grondslag voor verwerking (art. 8 Wbp)?  Worden persoonsgegevens niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor de gegevens zijn verkregen (art. 9 Wbp)?

Grondslagen voor gegevensverwerking

Grondslagen: toestemming (art. 1 onder i / art. 5 Wbp)

Niet onverenigbaar gebruik

Wbp: materiële normen voor verwerking persoonsgegevens (vervolg) Dataminimalisatie  Worden niet meer gegevens verwerkt en bewaard dan noodzakelijk is (art. 10 Wbp)?  Worden ‘passende’ technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligingen tegen verlies of enige vorm van onrechtmatige verwerking (art. 13 Wbp)?

Wbp: materiële normen voor verwerking persoonsgegevens (vervolg) Kwaliteit & Beveiliging  Zijn er waarborgen voor de kwaliteit van gegevens (art. 11 Wbp)?  Worden ‘passende’ technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligingen tegen verlies of enige vorm van onrechtmatige verwerking (art. 13 Wbp)?

Toepassing Wbp in de praktijk  Decentralisatie & gegevensuitwisseling

Stappenplan Decentralisatie & gegevensuitwisseling

1. Doelbinding – niet onverenigbaar gebruik  Voor welk doel wil men gegevens uitwisselen?  Voor welk doel werden de gegevens oorspronkelijk verkregen (bron)?  Is sprake van niet onverenigbaar gebruik?  Past verdere verwerking binnen de wettelijke taak?  Sluit verdere verwerking aan op verwachtingspatroon betrokkene?  Staat geheimhoudingsplicht in de weg aan uitwisseling?

Stappenplan Decentralisatie & gegevensuitwisseling 2. Wettelijke grondslag?  Wat is de wettelijke grondslag voor uitwisseling?  Is uitwisseling noodzakelijk  Om te voldoen aan op verantwoordelijke rustende wettelijke verplichting?  Ter vrijwaring van vitaal belang betrokkene?  Voor de uitvoering van een publiekrechtelijke taak door het bestuursorgaan of bestuursorgaan waaraan gegevens worden verstrekt?  Voor het gerechtvaardigd belang van de verantwoordelijke of een derde waaraan gegevens worden verstrekt?  Rb. ‘s Gravenhage 13 april 2012, ECLI:NL:RBSGR:2012:BW2236

Stappenplan Decentralisatie & gegevensuitwisseling 3. Proportionaliteit / subsidiariteit

 Is gegevensuitwisseling echt noodzakelijk?  Kan het belang dat door uitwisseling wordt gediend ook worden bereikt zonder uitwisseling?  Worden niet meer gegevens uitgewisseld dan strikt noodzakelijk?

Stappenplan Decentralisatie & gegevensuitwisseling 4. Worden bijzondere persoonsgegevens verwerkt? Godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap vakvereniging, strafrechtelijke persoonsgegevens, gegevens over onrechtmatig/hinderlijk gedrag ivm opgelegd verbod nav dat gedrag (art. 16 Wbp)

 Verbod, tenzij….(art. 17 tot en met 23 Wbp)

Voorbeeld: ras of etniciteit

Voorbeeld: ras of etniciteit  ABRvS 3 september 2008, ontheffing CBP voor verwerken van persoonsgegevens omtrent etniciteit in Verwijsindex Antillianen, LJN BE9698

Voorbeeld: ras of etniciteit

Voorbeeld Charlois  DOSA (deelgemeentelijke organisatie sluitende aanpak)  Regisseur – trajecten voor begeleiding probleemjongeren    

‘Etnisch specifieke hulpverleningstrajecten’ Voorkeursbeleid? Noodzaak? Proportionaliteit / subsidiariteit

 Geen rechtvaardiging voor registratie geboorteland

Voorbeeld Charlois    

Rb. Rotterdam 16 mei 2012, ECLI:NL:RBROT:2012:BW5513 Besluit dwangsom gehandhaafd Geen rechtvaardiging voor registratie geboorteland Mondelinge uitwisseling in overleg

Rechten betrokkenen Worden betrokkenen geïnformeerd over de verwerking van hun persoonsgegevens (art. 33 en 34 Wbp)?

Informatieplichten Gegevens rechtstreeks van betrokkene verkregen?  - Dan vooraf informeren (art. 33 Wbp) Gegevens verkregen op andere wijze?  - Informeren op moment van eerste vastlegging, of moment van eerste verstrekking aan derde (art. 34 Wbp) Informatieverstrekking = vormvrij Mits alle betrokkenen bereikt… Voorbeeld, privacystatements, personeelshandboeken etc.

Rechten betrokkene Zijn er procedures voor het uitoefenen van deze rechten?  - Inzage (art. 35 Wbp)  - Verbeteren, Aanvullen, Verwijderen, Afschermen (art. 36 Wbp)  - Verzet (art. 40 en 41 Wbp)

Inzagerecht

Rechten betrokkene  Inzagerecht (art. 35 Wbp) Reactietermijn: vier weken Let op! art. 4:17, eerste lid, Awb – dwangsom RvS 8 oktober 2014, ECLI:NL:RVS:2014:3657

recht op een volledig overzicht: ook afschriften? HR 29 juni 2007, LJN AZ4664, LJN AZ4663, LJN BA3529  ABRvS 13 juni 2012 LJN BW8137  ABRvS 1 augustus 2012, LJN: BX3309  Hof van Justitie 17 juli 2014, C-141/12 en C-372/12

‘The right to be forgotten’?  Hof van Justitie EU, 13 mei 2014, Google / Costeja González C-131/12

Compliance instrumenten  CBP: www.CBPweb.nl  Quickscan  Wbp Zelfevaluatie  Raamwerk Privacy Audit  Handreiking bij het Raamwerk Privacy Audit

Compliance instrumenten  Rijksoverheid  Toetsmodel Privacy Impact Assessment (PIA) Rijksdienst  NOREA  Handreiking Privacy Impact Assessment

Compliance instrumenten  VNG / KING / ViSD  Privacy Scan VISD  Factsheet Privacy  Factsheet Triage  Privacy Governance binnen het sociaal domein

Programma    

1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP

2. Voorstel Algemene Verordening Gegevensbescherming (AVGB)

Voorstel AVGB  EU: Algemene Verordening Gegevensbescherming (AVGB)  Stemming Europees Parlement 12 maart 2014  Nu: Raad van Ministers en akkoord mogelijk nog in 2014?  Vervolgens: triloog Raad, Commissie en Parlement (in de nieuwe samenstelling) om tot definitief akkoord te komen (Q1 2015?)  Werking: 2017 (?)

Programma    

1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP

3. Meldplicht datalekken

“Smalle” meldplicht lekken van persoonsgegevens • Telecommunicatiewet: meldplicht van kracht sinds 5 juni 2012 • Alleen voor aanbieders van openbare telecommunicatiediensten

50

“Brede” meldplicht datalekken  Van toepassing op alle sectoren  NL: Voorstel nieuw art. 34a Wet bescherming persoonsgegevens  EU: Voorstel Algemene Verordening Gegevensbescherming (AVGB)

Welk voorstel wint? Wetsvoorstel wijziging Wbp behandeling TK

Voorstel AVGB na EP nu Raad van Ministers

Brede meldplicht: wat is een datalek? (33662) ‘Oud’:

Nieuw :

Beveiliging en meldplicht datalekken • Er moet beveiliging doorbroken zijn • Alleen verplichting om bekende inbreuken te melden (maar noodzaak om op de hoogte te zijn van inbreuken)

 Als geen beveiliging aanwezig is?

Beveiligingsverplichting (art. 13 Wbp) • Passende technische en organisatorische beveiligingsmaatregelen • Beveiligen tegen verlies of enige vorm van onrechtmatige verwerking • Maatregelen garanderen passend beschermingsniveau, rekening houdend met de stand van de techniek, kosten van tenuitvoerlegging, aard van de gegevens en de risico’s van de verwerking • Maatregelen zijn erop gericht onnodige verzameling en verwerking te voorkomen (PET)

Passende beveiligingsmaatregelen “Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging.” (MvT Wbp, p. 99)  Beveiliging vergt een continue inspanning

Richtsnoeren beveiliging CBP • Gepubliceerd eind februari 2013 • Kader voor onderzoek/ handhaving CBP • Kwaliteitscirkel: inbedden om continue beveiliging te waarborgen

Datalek: wie moet melden en wanneer? • Wie moet melden: “verantwoordelijke” • Aan wie, wanneer en in welke omstandigheden:  aan CBP: onverwijld inbreuk die “ernstige nadelige gevolgen” heeft voor bescherming van verwerkte persoonsgegevens  aan betrokkene: onverwijld  (Wbp) indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer  (AVGB) aan betrokkene indien de inbreuk waarschijnlijk negatieve gevolgen zal hebben voor diens persoonsgegevens of persoonlijke levenssfeer

Wat moet de verantwoordelijke melden? • Aan CBP en betrokkene: omschrijving aard van de inbreuk, instanties waar meer informatie kan worden verkregen en aanbevolen maatregelen om negatieve gevolgen te beperken  (Wbp) aan CBP ook : omschrijving van de geconstateerde en vermoedelijke gevolgen van de inbreuk en de maatregelen die verantwoordelijke heeft getroffen of voorstelt om te treffen om deze gevolgen te verhelpen  (AVGB) ook: de betrokken categorieën, aantallen betrokkenen, categorieën en aantallen gegevensrecords.

Wanneer niet melden?  Melding niet vereist wanneer technische beschermingsmaatregelen zijn genomen, waardoor de persoonsgegevens: • (Wbp) onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft

op kennisname van de gegevens • Zowel voor melding aan CBP als melding aan betrokkene • (AVGB) versleuteld zijn of anderszins onbegrijpelijk zijn voor eenieder die geen recht op toegang heeft • alleen voor melding aan betrokkene

Opinie 3/2014 Artikel 29 Werkgroep  Kritiek op encryptie-uitzondering

• Encryptie is geen wondermiddel:  Was de wijze encryptie in dit concrete geval voldoende?  Wat als 3 jaar later blijkt dat de encryptie te kraken is? • Encryptie draagt niet bij aan inbreuk op de beschikbaarheid of integriteit

van gegevens  Art. 29 Werkgroep meent dat dergelijke inbreuken toch gemeld moeten worden!

Stappenplan  In geval van datalek:  Is er een beveiligingsinbreuk?  Is het datalek uitgezonderd van de meldplicht? (“onbegrijpelijk of ontoegankelijk voor onbevoegden”)  Moet aan CBP gemeld worden? (“ernstige nadelige gevolgen”)  Moet ook aan de betrokkene gemeld worden? (“waarschijnlijk ongunstige gevolgen”)

62

Consequenties – imagoschade

Programma    

1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene Verordening gegevensbescherming 3. (Toekomstige) Meldplicht datalekken 4. Handhaving & Sancties CBP

Handhaving & sancties CBP • Nu:  Bevoegdheid onderzoek (ambtshalve / op verzoek)  Beperkte boetebevoegdheid  (last onder) bestuursdwang • Toekomst óók:  Boetebevoegdheid: meldplicht datalekken (33662): € 450.000  ‘Brede’ boetebevoegdheid:  (nog geen wetsvoorstel) (€ 810.000??)  AVGB: € 1 miljoen of € 100 miljoen (EC / EP)

Agenda CBP - 2014

Actualiteiten Privacy

Privacy team Kennedy Van der Laan Hester de Vries Nicole Wolters Ruckert Petra Tolen Maarten Goudsmit