Europese Privacy Verordening (EPV) Een wet met Tanden
WBP en EPV grote verschillen? WBP
EPV
Transparantie
X
X
Proportionaliteit
X
X
Doelbinding
X
X
Subsidiariteit
X
X
Accountability en auditability
x
X
Boetes
x
X
Verantwoordelijke verplicht aan te tonen dat elke verwerking aan de EPV voldoet
Verplichtingen • • • • •
Documentatieplicht Beveiligingseisen PIA Functionaris gegevens bescherming Interne of externe controle
Start research project Administratie Documenteren en documentatie up to date houden van: • • • • • •
Contactgegevens Doel(en) van de verwerking + rechtvaardiging Beschrijving deelnemer en categorieën gegevens Bewaartermijnen Beveiligingsmaatregelen Functionaris gegevensbescherming
Boete: 500.000 €
Gezamenlijke verantwoordelijken Where more than one controller or processor is involved in the processing, each of those controllers or processors shall be jointly and severally liable for the entire amount of the damage, unless they have an appropriate written agreement determining the responsibilities.
• Derde partij: Enquête bureau, transcripten, centrale (gezamenlijke) database • Consortium van meerdere onderzoeksgroepen • Een onzorgvuldige handeling • Niet contractueel afgedekt of niet voldoende gecontroleerd • Aansprakelijkheid bij research organisatie
Wat doen jullie met mijn gegevens!! • • • •
Inzage Wijziging of correctie Vernietigen ook bij een derde!! Non-profiling
The controller shall ensure that, by default, only those personal data are processed which are necessary for each specific purpose of the processing and are especially not collected, retained or disseminated beyond the minimum necessary for those purposes, both in terms of the amount of the data and the time of their storage. In particular, those mechanisms shall ensure that by default personal data are not made accessible to an indefinite number of individuals and that data subjects are able to control the distribution of their personal data .
Nog EPV nog ver weg? Meldplicht datalekken
• • • • • •
Verwacht 2014 Boete 200.000 € Heel snel melden bij CBP: 24 uur na bekendwording Alle incidenten registreren Incidenten kostbaar: menselijke of systeem fout 79 ₤ Inbreuk 102 ₤ Voorbereiding loont: kosten nemen af met 13-2 ₤
Research een liability? • Veelvormig • Complex organisatie, uitwisseling • Grote doorstroom personeel • Veel kleine “ondernemers” • Zoeken de grenzen op • Willen altijd iets nieuws • Financieel rendement nihil of negatief • Boetes max 100.000.000 €
Privacy impact en Risico assessment Principe 7
Research at your own risk
Privacy impact en Risico assessment Waarom PIA-RA? • • • • • •
Inzicht in mogelijke privacy en beveiligingsrisico’s Vooraf risico's verkleinen, Verplicht vanuit EPV (boete max 1.000.000 €) RA nodig voor NEN 7510 certificering Betere positie bij privacy inbreuken Aantoonbaar maken dat bv veilige opslag gefaciliteerd moet worden
Implementatie EPV door de UMC’s Aanpak
Integraal beveiligen doen we al Privacy komt er nu nadrukkelijk bij Basis: plan van aanpak EPV met visie daarachter Wat moet op korte termijn (2014) Vergelijkbaar uitgangsniveau Overzicht en inzicht registraties Melden datalekken en overige P-incidenten Uitvoeren privacy impact assessments Behandelrelatie en toegang in het EPD Toestemmingsregistratie Instrumentarium
Aanpak uitleggen naar toezichthouders
Implementatie EPV door de UMC’s Resultaat verkenning: het moet beter art.nr 77 32 33 77 28 23 17 14 18 37 26 19 15 16 36 5 35 7 6 11 81 5 30
Hoofdstuk Aansprakelijkheid van de verantwoordelijke Meldplicht datalekken betrokkenen (art. 32 EPV) Privacyeffectbeoordeling (PIA) (art. 33 EPV) Doorwerking in contracten met derden Documentatieplicht (art. 28 EPV) Privacy by design & default (art. 23 EPV) Recht om vergeten te worden en om gegevens te laten wissen (art. 17 EPV) Informatieplicht (art. 14 EPV) Recht van gegevensoverdraagbaarheid (art. 18 EPV) Taken functionaris gegevensbescherming (art. 37 EPV) Doorwerking in contracten met verwerker (gedefinieerd als: ……………………..) Recht van bezwaar (art. 19 EPV) Recht van toegang (art. 15 EPV) (= recht op inzage Wbp) Recht van rectificatie (art. 16 EPV) Positie en bevoegdheden functionaris gegevensbescherming (art. 36 EPV) Bewaarplicht (art. 5 EPV) Aanwijzing functionaris gegevensbescherming (art. 35 EPV) Voorwaarden toestemming (art. 7 EPV) Rechtmatigheidsgrondslagen (art. 6 EPV) Privacy beleid (art. 11 EPV) Verwerking persoonsgegevens over de gezondheid (art. 81 EPV) Beginselen (art. 5 EPV) Beveiliging (art. 30 EPV)
Toelichting zwaarwegend zwaarwegend zeer zwaarwegend zeer zwaarwegend zeer zwaarwegend zeer zwaarwegend zeer zwaarwegend zwaarwegend zwaarwegend zwaarwegend zwaarwegend zwaarwegend zwaarwegend zwaarwegend zwaarwegend zeer zwaarwegend zwaarwegend zeer zwaarwegend zwaarwegend zwaarwegend zwaarwegend zeer zwaarwegend zeer zwaarwegend
UMC's 0% 14% 17% 23% 25% 26% 26% 28% 29% 30% 31% 33% 40% 47% 49% 55% 57% 59% 64% 70% 71% 74% 86%
Trust network
• • • •
Alles met toestemming Toestemming makkelijk verkrijgen Anoniem en betrouwbaar Combineren gegevens!
Trust network Privacy by design What are the 5 Respect Principles? A promise of permission, protection, portability and proof .
Trust network: techniek
Trust network: De afspraken
Trust network: financiering:
Research kan een liability zijn Laten we de kans daarop verkleinen Denk er nu over na • Structurele oplossingen • Zoek samenwerkingen interen en extern • PIA verwerken in subsidieaanvraag