www.duthler.nl
www.firstlawyers.nl
Gegevensbescherming en privacy … mag dat allemaal?
VNG Juni 2015
mr. Ans Duthler, Duthler Academy en drs. André J. Biesheuvel RE RA, Duthler Associates
Agenda >
Wettelijk kader en verplichtingen op hoofdlijnen – – – – – –
>
WGBO, WMO 2015, Jeugdwet Wbp, eID & vertrouwensdiensten, NIB, Avg, WbpMdl, Cliëntenrechten Kernbegrippen, documentaNe-‐ en informaNeplicht, Rechten van betrokkene en passende technische en organisatorische maatregelen Meldplicht datalekken: een vorm van ketenaansprakelijkheid en De kern: ” accountability” en “auditability” oVewel van “tell me” naar “show me”
Gevolgen voor de gemeenten en samenwerkingsverbanden – Ketenaansprakelijkheid – Hoeveel verantwoordelijkheid en aansprakelijkheid wilt u nemen: gemeente, raad college – De funcNonaris voor de gegevensbescherming, schaap met vijf poten – Aandacht voor bewerkersovereenkomst; meer dan een afspraak – Organiseren van compliance
© Duthler Associates
1
www.duthler.nl
www.firstlawyers.nl
Kader > > >
> >
> >
D3: WMO, Jeugdwet en paNcipaNewet Wet bescherming persoonsgegevens (Wbp) E-‐IdenNficaNe en vertrouwensdiensten
Van kracht
Wet meldplicht datalekken (WbpMpd) Wetsvoorstel cliëntenrechten elektronische Medio 2015 verwerking van gegevens (WbpCevg) Algemene verordening gegevensbescherming (Avg) Netwerk– en informaNebeveiliging (NIB)
2015
WGBO, WMO 2015 en Jeugdwet > >
>
© Duthler Associates
artikel 7:446 e.v. BW medisch beroepsgeheim, oftewel hulpverlener mag geen gegevens van een patiënt aan een ander verstrekken artikel 88 Wet BIG (geheimhoudingsplicht, geldt voor artsen, tandartsen, apothekers, psychotherapeuten, gezondheidszorgpsychologen, fysiotherapeuten, verloskundigen en verpleegkundigen)
2
www.duthler.nl
www.firstlawyers.nl
WGBO >
Tevens geheimhoudingsplicht neergelegd in een beroepscode
>
Doorbreken medisch beroepsgeheim: > > > > >
Met toestemming van patiënt Informatie-uitwisseling met degene die direct betrokken zijn bij de behandeling Wettelijk voorschrift Conflict van plichten Wetenschappelijk onderzoek
WMO >
> > > > >
© Duthler Associates
Ondersteuning voor ouderen, gehandicapten, jeugd Gemeente verantwoordelijk Het moet goedkoper Wat kan iemand nog zelf? Wat kan de omgeving doen (mantelzorg)? Dan pas ondersteuning vanuit de gemeente
3
www.duthler.nl
www.firstlawyers.nl
Verwerking persoonsgegevens > > > > >
Multi-probleemgezinnen 1 gezin, 1 plan, 1 regisseur Sociale wijkteams Wmo maakt verwerking mogelijk zonder toestemming Bijzondere persoonsgegevens
WMO 2015
© Duthler Associates
>
Niet alle gemeenten hebben WMO verordening op orde
>
WMO 2015, bepalingen omtrent persoonsgegevens zijn ingewikkeld en onoverzichtelijk
>
Artikel 5.1.1. lid 1, 2 en 3 WMO 2015 vereisen geen toestemming voor verwerkingen
>
Artikel 5.1.1. lid 4 en 5 vereisen wel een toestemming voor verwerkingen
>
Bepalingen lastig leesbaar, bevoegdheden kunnen elkaar overlappen
4
www.duthler.nl
www.firstlawyers.nl
Jeugdwet >
>
>
Gemeenten vanaf 1 januari 2015 bestuurlijk en financieel verantwoordelijk voor alle jeugdhulp en de uitvoering van kinderbeschermingsmaatregelen en jeugdreclassering Jeugdhulp is vanaf 1 januari 2015 af te dwingen bij de gemeente door minderjarigen en hun ouders Voor het verlenen van jeugdhulp is toestemming van de betrokkene ( of ouder/voogd) vereist, tenzij het gesloten jeugdzorg betreft
Jeugdwet
© Duthler Associates
>
Veelheid aan bepalingen gegevensverwerking, overlappingen met WMO 2015
>
Verwijzing naar de Richtsnoeren van het CBP en de algemene beveiligingsnormen zoals de ISO 27001
>
Artikel 12, 13 en 14 Wbp gelden ( bewerkersovereenkomst)
5
www.duthler.nl
www.firstlawyers.nl
Wet cliëntenrechten bij elektronische verwerking van gegevens De zorgaanbieder > Verwerken en uitwisselen persoonsgegevens tussen zorgaanbieders – Toestemming van betrokkene nodig (2X) -- Op basis van ‘informed consent’ – Logging van verstrekkingen (wat aan wie) -- Inzage door betrokken
> Verboden voor verzekeraars (€ 500.000 boete, of 10% omzet) > FG verplicht bij zorgaanbieders > 250 werknemers > Beveiligingsnorm NEN 7510, NEN 7512 en NEN 7513 verplicht
Wbp, een overzicht >
Definities – Verantwoordelijke: enNteit dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van de persoonsgegevens. – Verwerking: verzamelen, vastleggen en ordenen, bewaren, bijwerken en wijzigen, opvragen, raadplegen en gebruiken, verstrekken, verspreiden, koppelen en of afschermen, wissen of vernieNgen van gegevens. – Persoonsgegeven: elk gegeven betreffende een geïdenNficeerde of idenNficeerbare natuurlijk persoon. – Betrokkene: degene op wie een persoonsgegeven betrekking heeV – Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt.
>
Grondslag noodzakelijk voorwaarde verwerken persoonsgegeven
>
Proportionaliteit en subsidiariteit: “ik doe mijn best”
…sanctie beperkt tot € 4.500. En nu de achtergrond.
© Duthler Associates
6
www.duthler.nl
www.firstlawyers.nl
Avg: wat valt op? > >
>
Transparantie: informeer iedereen in de keten als er iets fout gaat Betrokkene staat centraal en krijgt controle over zijn / haar persoonsgegevens terug Verantwoordelijke / bewerker – De verplichNngen zijn verstrekkend – In de verordening wemelt het van “maatregelen, mechanismes en procedures”. – Verankering van privacy in organisaNe, de wet wordt “ingebouwd” in de ondersteunende soVware
… kort de verplichtingen op een rij.
Documentatieverplichting > Naam en contactgegevens verantwoordelijke, verwerker, vertegenwoordiger > > > > > >
Naam en contactgegevens Functionaris voor de Gegevensbescherming (FG) Doeleinden, incl. gerechtvaardigde belangen Categorieën betrokkenen en persoonsgegevens Ontvangers of categorieën ontvangers Doorgifte naar 3e land of internationale organisatie, incl. de documenten inzake passende garanties Bewaartermijnen voor de verschillende categorieën gegevens
> Beschrijving van mechanismes ex art. 22 lid 3: zodat doeltreffendheid van intern privacybeleid getoetst wordt door interne of externe auditor.
© Duthler Associates
7
www.duthler.nl
www.firstlawyers.nl
Informatieplicht Wordt sterk uitgebreid: > Doel van verwerking > Identiteit verantwoordelijke > Vertegenwoordiger verantwoordelijke > FG > Bewaartermijn > Recht van inzage, correctie, vernietiging en bezwaar > Recht om klacht in te dienen bij CBP > Ontvangers van gegevens En alle verdere informatie die nodig is om een eerlijke verwerking te waarborgen.
Rechten van betrokkenen > > > >
Op toegang Op rectificatie Om gegevens te laten wissen Bezwaar
> Dataportabiliteit > Om vergeten te worden
© Duthler Associates
Nieuw, maar de uitspraak Europees Hof maakt het nu al actueel
8
www.duthler.nl
www.firstlawyers.nl
Rechten van betrokkenen (vervolg) > > >
Middelen voor elektronische indiening van verzoeken van betrokkenen Termijn voor beantwoording van verzoeken Plicht om weigering te motiveren
Verantwoordelijke moet voorzien in procedures en mechanismes die de uitoefening van deze rechten mogelijk maken.
Beveiligingsplicht > Passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens: -‐ tegen vernieNging, hetzij per ongeluk hetzij onrechtmaNg -‐ tegen verlies -‐ om andere vormen van onrechtmaNge verwerking te voorkomen, m.n. ongeoorloofde verstrekking of verspreiding van, toegang tot, of wijziging van persoonsgegevens. > Hieraan gaat vooraf om een evaluaNe van de risico’s.
… nu invullen voor de zorg.
© Duthler Associates
9
www.duthler.nl
www.firstlawyers.nl
Meldplicht datalekken Nieuw medio 2015 - WbpMPD -
Verantwoordelijke is verplicht het CBP onverwijld in kennis te stellen van een datalek:
“een inbreuk op de beveiliging, bedoeld in artikel 13 Wbp, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige gevolgen heeft heeft voor de bescherming van de persoonsgegevens.” >
Verantwoordelijke is verplicht de betrokkene onverwijld in kennis te stellen, wanneer het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
>
Op 10 februari 2015 aangenomen door de Tweede Kamer, op 26 mei 2015 aangenomen door de Eerste Kamer
… Verantwoordelijke: hoe beheers ik de aansprakelijkheids- en kostenrisico’s.
Herkennen datalekken Enkele voorbeelden van incidenten die mogelijk kunnen leiden tot een datalek: > een aanval op het netwerk > de diefstal van een laptop, USB-‐sNck of telefoon; > gestolen papieren paNëntdossier(s); > onjuiste adressering van e-‐mail of fysieke post; > tekortschietende beveiliging van bestanden of gegevens; > slordig omgaan met het beheer van wachtwoorden.
© Duthler Associates
10
www.duthler.nl
www.firstlawyers.nl
Samenvattend: voldoen aan (bestaande) wet- en regelgeving Aandachtspunten
Avg
Wecelijk kader privacy & veiligheid
Van kracht en afdwingbaar
Van kracht en afdwingbaar
VerwachNng: EP stemt 2015 / 2016, onmiddellijk van kracht. Afdwingbaar 2017 / 2018.
1 juli 2015 Richtsnoeren 1 januari 2016
Boetes
NL | € 4.500 UK | PIA = omvangrijk
€ 100.000.000 of 5% omzet
€ 810.000 en meer
Toezicht (CBP)
Gedreven publieke opinie
Individu, vertegenwoordiger of eenmanszaken
• Toestemming • Informeren • Uitoefenen van rechten • Wet toepassen
• Aantoonbaar toestemming • Info: eerlijke verwerking • Alle rechten uitoefenen • PbD *2: wet inbouwen
OrganisaFe
• Ik doe mijn best.. • Beperkte aandacht dir. • Onderdeel van…
• Volwassenheid éì: verantwoordelijkheid en aansprakelijkheid • Aandacht dir., maak goede afspraken met de accountant • Zelf oppakken én ook samen in de branche
New voor de organisa.e!
n/a
• PIA • Data portabiliteit • Recht op vergeten • Meldplicht datalekken
Absolute noodzaak
n/a
Indirect gedreven door de accountants • Toestemming • Informeren • Uitoefenen van rechten • Wet toepassen
• Boetes Avg • Meldplicht datalekken
Overzicht en inzicht verantwoordelijkheid en aansprakelijkheid
Functionaris voor de gegevensbescherming
> Verplicht en wij zoeken een schaap met vijf poten > Positie > Taken … pak het artikel.
© Duthler Associates
11
www.duthler.nl
www.firstlawyers.nl
Gegevensbescherming en privacy Pauze VNG Juni 2015
mr. Ans Duthler, Duthler Academy en drs. André J. Biesheuvel RE RA, Duthler Associates
Gevolgen voor de gemeente
> Burger controle geven over persoonsgegevens > Faciliteren van de rechten van betrokkene – DocumentaNeplicht – InformaNeplicht – Voorzien in rechten betrokkene – Beveiligingsplicht
> En “accountable” en “auditable” zijn … en dit binnen de context van ketenaansprakelijkheid
© Duthler Associates
12
www.duthler.nl
www.firstlawyers.nl
Ketenaansprakelijkheid Hoe ver strekt de keten van verantwoordelijkheid en aansprakelijkheid? Artikel 34a en 14 WbpMdl nader bekeken. >
>
Art. 34a.1 WbpMdl “… verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging …” Art 14 WbpMdl “Indien de verantwoordelijke persoonsgegevens te zijnen laat verwerken door een bewerker, draagt hij zorg voor voldoende waarborgen… met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, … leidt tot een aannemelijke kans op nadelige gevolgen voor de persoonsgegevens die door hem worden verwerkt.
Hier ontstaat een ketenverantwoordelijkheid voor de verantwoordelijke à bewerker -à bewerker à …
Gevolgen voor de gemeente Met art 14 WbpMPD ontstaat ketenaansprakelijkheid Verantwoordelijke n Zorg A
Bewerker
Sub-‐bewerker
Accountant DigiD
E-‐mail
Gem 2
Cloud lev.
Database
Gem n
Lever. n
M
Gem 1
> Verantwoordelijke = bestuurlijk en privaatrechtelijk aansprakelijk > Ook de (sub-)bewerker = privaatrechtelijk aansprakelijk
© Duthler Associates
13
www.duthler.nl
www.firstlawyers.nl
Bestuurdersaansprakelijkheid >
College is verantwoordelijk en aansprakelijk. Raad controleert.
>
Raad stelt de accountant aan voor wettelijke controle.
>
Toezichthouders verstaan zich met de Functionaris voor de Gegevensbescherming (FG).
Wet meldplicht datalekken regelt meer >
Uitbreiding boetebevoegdheden CBP: – bindende aanwijzingen – opleggen bestuurlijke boetes
> > >
IntroducNe medepleger (feitelijk leidinggevende en feitelijke opdrachtgever) Uitbreiding bewerkersovereenkomsten CBP heet voortaan Autoriteit Persoonsgegevens
…wat is sanctiewaardig, anders gezegd: wat moet ik kunnen aantonen om compliant te zijn.
© Duthler Associates
14
www.duthler.nl
www.firstlawyers.nl
Boetebevoegheid Ten aanzien van welke overtredingen? >
4e categorie (€ 20.150,-): > doorgiVe naar derde landen in strijd met wecelijke regels > verwerken van gegevens in Nederland door verantwoordelijke in 3e land zonder dat die een vertegenwoordiger in Nederland heeV aangewezen
>
>
6e categorie (€810.000,-): zie volgende sheet
10% jaaromzet indien de hoogste boetecategorie geen passende bestraffing voor rechtspersonen toelaat.
Boetebevoegheid (vervolg) Ten aanzien van welke overtredingen? 6e categorie (€810.000,-): >
verwerkingen niet behoorlijk en zorgvuldig verwerkt: geen gerechtvaardigde grondslag voor de gegevensverwerking, geen welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
>
derdenverstrekking in strijd met verenigbaarheidstoets of beroepsgeheim
>
gegevens worden langer bewaard dan noodzakelijk
>
gegevensverwerking niet ter zake dienend en bovenmaNg
>
geen maatregelen getroffen opdat persoonsgegevens juist en nauwkeurig zijn
>
geen passende technische en organisatorische maatregelen
© Duthler Associates
15
www.duthler.nl
www.firstlawyers.nl
Boetebevoegheid (vervolg) Ten aanzien van welke overtredingen? 6e categorie (€810.000,-): >
bijzondere persoonsgegevens verwerkt zonder dat er een uitzonderingsgrond aanwezig is
>
Uniek nummer gebruikt i.s.m. de uitzonderingsgronden
>
Niet voldaan aan informaNeplicht
>
Datalekken niet onverwijld gemeld
>
Niet binnen 4 weken voldaan aan recht op inzage, correcNe, vernieNging en verzet
>
CorrecNes worden niet doorgegeven aan derden
>
Niet voldaan aan regels voor internaNonale doorgiVe van persoonsgegevens
>
Geen medewerking aan toezichthouder
Schade Primair: schade als gevolg van het niet-‐melden (onjuist / onvolledig) melden van een datalek aan de toezichthouder: bestuurlijke boete Bijkomende schade (civielrechtelijk): > Schade agv stilleggen van het bedrijf (bedrijfsactiviteiten); > Schade agv juridische bijstand; > Schade agv forensisch onderzoek naar de oorzaak van het beveiligingsincident; > Reputatieschade; > Schadevergoeding aan de betrokkene; > Contractueel overeengekomen civiele boetes > Schade agv bestuurdersaansprakelijkheid; Organiseer in Een bewerkersovereenkomst
© Duthler Associates
16
www.duthler.nl
www.firstlawyers.nl
Bestuurdersaansprakelijkheid >
RvB / directie is verantwoordelijk en aansprakelijk. RvC / RvT controleert.
>
RvC / RvT stelt – binnen de audit committee – de accountant aan voor wettelijke controle.
>
Toezichthouders verstaan zich met de Functionaris voor de Gegevensbescherming (FG).
Accountant (externe auditor) stelt de werking van de getroffen maatregelen vast
© Duthler Associates
>
Het jaarverslag en de controle daarvan: good govermance
>
Richtlijnen voor de Jaarverslaggeving: geen fout van materieel belang. Als de AO/IC niet adequaat is dan een voorziening voor sanctie datalekken of geen verklaring
>
Wanneer? Boekjaar 2015 en die opdracht wordt / is in het najaar van 2014 verstrekt.
17
www.duthler.nl
www.firstlawyers.nl
Kettingbeding in afsprakencomplex Verantw.
D/V
1 Bewerk
D/V
• OK 2-‐3
• OK 1-‐2
Plaats van de gemeente in de keten, maar kan ook een bewerker zijn
Bewerk 2
D/V
• OK 3-‐4
Bewerk 3
D/V
• OK 4-‐5
Bewerk 4
D/V
Bewerk n
• OK 5-‐6
• OK 6-‐n
D/V = Delegeren en verantwoorden OvereenKomst (OK) onderling in de keten afstemmen tot een sluitende geheel (bijvoorbeeld: gemeente, zorgaanbieder, cloudleverancier van zorg informaFesystemen, een service provider en uiteindelijk een leverancier van data storage. De keten moet voorzien in: • InformaNeplicht verantwoordelijke organiseren en achteraf kunnen verantwoorden • Faciliteren van rechten van betrokkene en achteraf kunnen verantwoorden • Technische en organisatorische maatregelen en verantwoording over de effecNeve werking • Schade en risico’s voor verantwoordelijke en bewerkers beperken in geval meldplicht datalekken Naast of onderdeel van de OvereenKomst (OK) is er een bewerkersovereenkomst nodig. • Hierin worden oa. de volgende zaken geregeld: instrucNes verantwoordelijk, geheimhouding, beveiliging, locaNe van de data (in verband met doorgiVe naar derde landen), uitvoeren van audits & assessments, ed. • En ook: semanNek en mores in de samenwerking in de keten, gedelegeerde taken, bevoegdheden & verantwoordelijkheden, het verantwoorden over de gedelegeerde taken en de verantwoordelijkheden en aansprakelijkheden .
Functie van ketenregie Verantw. • OK 1-‐2
D/V
• OK 2-‐3
Bewerk 1
D/V
Ketenregie op:
• Policy framework & baseline • SemanNek en mores • Contracteren & compliance
Bewerk 2 • OK 3-‐4
D/V
Bewerk 3 • OK 4-‐5
D/V
Bewerk 4
D/V
Bewerk n
• OK 5-‐6
• OK 6-‐n
D/V = Delegeren en verantwoorden Noodzakelijke randvoorwaarden • Afspraak in de keten over het niveau van trust en beveiliging: Wat is het wecelijk kader, wat is de onderlinge samenhang tussen wet-‐ en regelgeving en wat is het relevant Policy framework voor de betreffende keten. • Afspraken over de te hanteren beveiligingsbaseline: welke kaders (ISO 27001 of NEN 7510 ev) zijn van toepassing en met welk ambiNeniveau en welk compliane-‐arrangement wordt afgesproken. • Van welke taal wordt er in de keten gebruik gemaakt? In semanNsche termen: welke taxonomie is leidend. En wat is de mores bij het faciliteren van de rechten van betrokkene of het organiseren van de meldplicht datalekken. Opbouwen van het afsprakencomplex : • Vastleggen van de uitgangspunten: de noodzakelijke randvoorwaarden • De overeenkomsten in de keten moeten voldoende mate van samenhang vertonen om een sluitende verdeling van verantwoordelijkheden en aansprakelijkheden te garanderen • FuncNe van ketenregie biedt de deelnemers in de keten het vertrouwen op adequaat contracteren en beheren.
© Duthler Associates
18
www.duthler.nl
www.firstlawyers.nl
Bestaande modellen voor bewerkersovereenkomst voldoen niet (meer) Neem in gedachte een: > > >
Leverancier die wil contracteren met een een sub-bewerker (clouddienst). Breng de keten in kaart en wat wil je regelen? Hoe past dit binnen de (Europese) aanbesteding?
Neem de modelbewerkersovereenkomst van de VNG > >
Welke aanpassingen wil je maken? Hoe organiseer je de samenhang? En wie spreekt wat af?
Neem de proef op de som! > >
Zijn de juristen en de compliance functionarissen akkoord met de overeenkomst? Kunnen de advocaten en de accountants alsmede de IT-auditors met de overeenkomst uit de voeten?
Samenwerkingsverbanden Wij denken dat de aansprakelijkheid wordt weggeorganiseerd, maar wij zijn eigenlijk hoofdelijk aansprakelijk: >
>
>
Vergelijk samenwerking met een Joint Venture (JV) of een samenwerking in een Firma onder vennootschap (VOF): alle firmanten zijn hoofdelijk aansprakelijk In de samenwerking worden de verantwoordelijken ook aansprakelijk voor de individuele verwerkingen van (persoons)gegevens Toezichthouder(s) spreken de leden van de samenwerking aan
Wat kunnen / moeten wij contractueel regelen? > >
© Duthler Associates
Convenant De bewerkersovereenkomst in het kader van een samenwerkingsverband
19
www.duthler.nl
www.firstlawyers.nl
Een samenwerkingsverband Convenant
V
D/V
Verw 6
• OK C-‐2
D/V
Verw n
D/
• OK C-‐1
Verw 1 D/
V
• OK C-‐3
V
hoofdelijk aansprakelijk.
• OK C-‐5
> Verantwoordelijken zouden in de
• OK C-‐6 D/V
Verw 3
• OK C-‐n
Verw 5
> Verantwoordelijke is bestuurlijk
• OK C-‐4
D/V
D/
Samen-‐ werking
Verw 2
Verw 4
overeenkomst (OK) civielrechtelijk afspraken kunnen maken. > Vanuit de samenwerking moeten de regelkringen worden georganiseerd (D/V).
Een scenario Verantwi.
D/V
Bewerk 1i D/ V
Verantwii.
Verantw.
Verantwiii
VerantwiV
© Duthler Associates
D/V
D/V
D/V
Bewerk 1
D/V
Bewerk 2
D/V
D/V
D/V
D/V
Bewerk 3i
D/V
Bewerk 4i
D/V
Bewerk ni
Bewerk 3
D/V
Bewerk 4
D/V
Bewerk n
Bewerk 3ii
D/V
Bewerk 4ii
D/V
Bewerk nii
Bewerk 3iii
D/V
Bewerk 4iii
D/V
Bewerk niii
20
www.duthler.nl
www.firstlawyers.nl
Een scenario Kosten- en aansprakelijkheidsrisico zijn voor de verantwoordelijken en (sub-)bewerkers hoog! Verantwi.
D/V
Bewerk 1i D/
Waarom? Bewerk 3 Bewerk n > Geen regie, geen gemeenschappelijke semanNek en geen Bewerk 4 mores > In de keten wordt niet voorzien in de rechten van de betrokkene: V
Verantwii.
i
D/V
D/V
i
D/V
D/V
i
D/V D/V D/V D/V rechten Bewerk 3 Bewerk 4 en D/V documentaNeplicht, informaNeplicht, passieve Bewerk 1 Bewerk 2 adequaat niveau van informaNebeveiliging niet de-‐escalerend Do/Vpgetreden D/V D/V Bewerk 3ii Bewerk 4ii D/V Verantwiii> Er wordt > Ontbreekt V een gemeenschappelijk model van compliance D/ D/V mBewerk 3iii wijze welke et 4iii D/V VerantwiV> Er zijn geen afspraken gemaakt op Bewerk toezichthouders wordt omgegaan
Verantw.
Noodzaak voor ketenregie
Bewerk n
Bewerk nii
Bewerk niii
Policy voor de keten:
Horizontale en verticale aansprakelijkheids- en kostenrisico’s Meldplicht datalekken werkt escalatie in de door contractpartijen in de hand Het gaat niet alleen om bestuursrechtelijke maar ook civielrechtelijke aansprakelijkheid
• Policy framework & baseline • SemanNek en mores • Contracteren & compliance
Verantwi. • OK Vi. -‐ B1 D/V
Verantw. • OK V. -‐ B1
Verantwiii • OK Viii. -‐ B1
© Duthler Associates
D/V
Bewerk 1 • OK B1 -‐ B2 D/V
Bewerk 2
D/V
• OK B2 -‐ B3 D/V
Bewerk 3
D/V
• OK B3 -‐ B4
Bewerk 3ii • OK B3ii-‐ B4ii
Bewerk 4
D/V
• OK B4 -‐ Bn
D/V
Bewerk 4ii • OK B4ii-‐ Bnii
Bewerk n • OK n -‐ ..
D/V
Bewerk nii • OK nii -‐ ..
21
www.duthler.nl
www.firstlawyers.nl
TTP voert ketenregie op
TTP Policy:
• Policy framework & baseline • SemanNek en mores • Contracteren & compliance
Verantwi. • OK Vi. -‐ B1 D/V
Verantw.
Bewerk 1
D/V
• OK V. -‐ B1
Bewerk 2
• OK B1 -‐ B2
• OK B2 -‐ B3 D/V
D/V
Verantwiii
D/V
Bewerk 3
D/V
• OK B3 -‐ B4
• OK Viii. -‐ B1
Bewerk 3ii
Bewerk 4
D/V
• OK B4 -‐ Bn
D/V
• OK B3ii-‐ B4ii
Bewerk 4ii
Bewerk n • OK n -‐ ..
D/V
• OK B4ii-‐ Bnii
Bewerk nii • OK nii -‐ ..
En als er geen overeenkomst is
TTP Policy:
• Policy framework & baseline • SemanNek en mores • Contracteren & compliance
> Onevenredig hoge aansprakelijkheidsen kosten risico’s
> Onduidelijkheden in het Verantw. • OK V. -‐ B1
Verantwiii
D/V
Bewerk 1 • OK B1 -‐ B2
D/V
Bewerk 2 • OK B2 -‐ B3
samenwerkingsverband leidt tot medeverantwoordelijkheid
> Geen transparantie naar de betrokkene
D/V
• OK Viii. -‐ B1
© Duthler Associates
22
www.duthler.nl
www.firstlawyers.nl
Praktische aanpak – in de keten Zet de burger, patiënt, cliënt, medewerker: de betrokkene centraal > >
Eerlijke verwerking Voorzien in de rechten van betrokkenen
Neem de toezichthouders serieus > >
Toezichtsarrangement en boete bevoegdheid zijn enorm verruimd (pas op voor last onder dwangsom) Uitoefenen van toezicht is / wordt een Europese zaak en minder een nationale aangelegenheid
Spreek een standaard af en neem op in de bewerkersovereenkomst > > >
Regelconform, gezaghebbende normen en praktisch toepasbaar Spreek een “taal” en mores in een domein af Het is een zaak van “good governance” en professionele compliance
Wees altijd > >
Transparant “Accountable” en “Auditable”
Praktische aanpak – in de organisatie Overzicht & inzicht ketenrelaties en verwerkingen >
Bepaal het aansprakelijkheidsdomein: dochters, samenwerkingsverbanden, (sub-)bewerkers en alle andere verbonden partijen Sluit weerbare bewerkersovereenkomsten af
>
Documenteer en beheer ALLE verwerkingen, de mechanismen en uitkomsten van effectieve werking van beheersmaatregelen
>
Ontwikkel beleid > >
Het is een bestuursaangelegenheid, leidt het kader op en zorg voor brede bewustwording Benoem een Functionaris voor de Gegevensbescherming
Voorzie in > >
Rechten van betrokkene (eerlijke verwerking), verplichtingen verantwoordelijke Adequate organisatie gericht op de-escalatie rond incidenten, datalekken en communicatie met toezichthouders
Accountability & auditability: wees altijd transparant! > >
© Duthler Associates
Voer PIA’s en Audits uit en pas privacy by design en privacy by default toe Maak goede afspraken met advocaten en accountants (!)
23
www.duthler.nl
www.firstlawyers.nl
Contactinformatie Voor meer informatie kunt u contact opnemen met: Duthler Associates Drs. André J. Biesheuvel Partner Frankenslag 137 2582 HH Den Haag Tel: 070 -‐‑ 392 22 09 Mail:
[email protected]
© Duthler Associates
Mr. Judith Vieberink Advovaat Frankenslag 137 2582 HH Den Haag Tel: 070 – 306 00 33 Mail:
[email protected]
24
