Juridisch beleg. Beleg

Handout juridisch beleg

aan deze presentatie kunnen geen rechten worden ontleend

Juridisch beleg 11 juni 2015 mr Alexander J.J.T. Singewald www.privacy.nl


Beleg •  techniek toegepast indien de beschikbare ruimte in het interne geheugen te klein is om het gehele programma te bevaDen en waarbij dezelfde geheugenblokken herhaald worden gebruikt voor verschillende programmasegmenten • 

bron: hDp://www.woorden-‐boek.nl/woord/beleg

•  Wat je op je brood doet

1


Customer Legal Journey •  Wet en regelgeving –  Verzamelen •  Bronnen


–  Verwerken •  Opslaan en toegang •  Gebruiken –  Profiling

–  Resultaat •  Gebruik kanalen

Customer Legal Journey •  Wet en regelgeving –  Verzamelen

E ? D –  Verwerken N T •  Opslaan en E toegang EC P •  Gebruiken S O R P –  Resultaat


•  Bronnen

–  Profiling

•  Gebruik kanalen

2



Uw beleg vandaag •  2015 in Nederland:


–  Cookie, 11 maart 2015 –  Data lekken, eind 2015 –  Boetebevoegdheid, eind 2015

•  En Europa: –  Verordening bescherming persoonsgegevens, eind 2017 begin 2018

3


Cookies •  Herziening cookiewet


•  Hamerstuk Eerste Kamer 3 februari 2015 •  Inwerkingtreding: 11 maart 2015


LET OP! •  Toestemming voor het plaatsen of uitlezen van een cookie ziet toe op de technische handeling (Telecommunicaêwet), onaànkelijk van het feit of er persoonsgegevens in het geding zijn •  Daarnaast kan er sprake zijn dat voor het verwerken van persoonsgegevens nog toestemming nodig is (Wet bescherming persoonsgegevens)

4




WeDekst

5




Toelich^ng:11.7a lid 2 Tw

6



Voorbeelden van uitzonderingen nr

benaming

Beschrijving/doel

1

User input cookies

Cookies zijn nodig om in een sessie bijvoorbeeld bij vragen en antwoorden gestart door de gebruiker bij te houden of het bijhouden van een boodschappen mandje

2

Authentication cookies

Cookies om een gebruiker te identificeren als deze is ingelogd op een eigen account. Er dient dan wel sprake te zijn van een sessiecookie, die dus na het einde van de sessie wordt verwijderd.

3

User centric security cookies

Cookies die worden gebruikt om extra beveiligingmaatregelen (bescherming om misbruik te voorkomen) te kunnen nemen voor een dienst die de gebruiker afneemt

4

Multimedia players session cookies

Deze cookies worden gebruikt om technische gegevens op te slaan om video of audio af te kunnen spelen, wanneer de gebruiker daarom vraagt. Deze cookies zijn alleen gedurende de sessie actief.

5

Load balancing session cookies

Deze cookies worden gebruikt om de communicatie van de juiste server te laten plaats vinden en mogen ook alleen voor dat doel worden gebruikt

6

User interface customization cookies

Deze cookies worden gebruikt om de preferenties van een gebruiker met betrekking tot de dienstverlening te onthouden los van cookies of gegevens. Voorbeelden zijn geselecteerde taal instelling, of het weergeven van het aantal resultaten op een zoek website

7

Social plug-in content sharing cookies (let op verschil in ingelogd of uitgelogd)

Zolang deze cookies worden geplaatst wanneer iemand is ingelogd in een omgeving, dan is er sprake van een gevraagde dienst. In alle andere gevallen van Social plug-in content sharing cookies is er geen sprake van een uitzondering en zal toestemming dienen te worden gevraagd.


Analy^c cookies

7




hDps://cbpweb.nl/sites/default/files/atoms/files/ handleiding_privacyvriendelijk_instellen_google_analy^cs_0.pdf

1.  Afsluiten van een bewerkersovereenkomst met Google; 2.  ‘Anonimiseren’ van het volledige IPadres (door het laatste octet van het IPadres te verwijderen); 3.  Gegevens delen met Google uitzetten; 4.  Informeren over het gebruik van Google Analytics en bieden van de optout mogelijkheid.

8




Affiliate cookies

9


Cookies •  Cookies die leiden tot het maken van een profiel passen niet binnen de vrijstelling, dus informeren en toestemming vragen •  Ga na of uw definiês van cookies gelijk zijn aan de definiês in de Telecommunicaêwet aan deze presentatie kunnen geen rechten worden ontleend

–  Voorbeeld:

•  Funcônele cookies zijn niet relevant, het gaat om de funcê van het cookie; •  Sessie ID cookie met een houdbaarheid van 60 maanden, kun je wel een Sessie ID cookie noemen maar is gewoon een tracking cookie •  Cookies pas plaatsen na toestemming, return cookie wall

Cookie Toezichthouder


•  ACM, informeren en toestemming vragen •  Cbp, verwerken van persoonsgegevens

10


Wijziging Wbp


•  Datalekken •  Boetes door Cbp/AP

21

Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp


•  Vastgesteld 26 mei 2015 •  Inwerkingtreding nog niet bekend –  Cbp/AP komt met richtsnoeren datalekken in september 2015

•  Zwaartepunten nieuw ar^kel 34a en ar^kel 66

11


ar7kel 34a • 

• 


• 

• 

• 

1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in ar^kel 13, die leidt tot de aanzienlijke kans op erns^ge nadelige gevolgen dan wel erns^ge nadelige gevolgen heej voor de bescherming van persoonsgegevens. 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk onguns^ge gevolgen zal hebben voor diens persoonlijke levenssfeer. 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanês waar meer informaê over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negaêve gevolgen van de inbreuk te beperken. 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heej getroffen of voorstelt te treffen om deze gevolgen te verhelpen. 5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informaêvoorziening is gewaarborgd.

ar7kel 34a • 

• 


• 

• 

•  • 

6. Het tweede lid is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heej genomen waardoor de persoonsgegevens die het betrej onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heej op kennisname van de gegevens. 7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk onguns^ge gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet. 8. De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op erns^ge nadelige gevolgen dan wel erns^ge nadelige gevolgen heej voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene. 9. Dit ar^kel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicaêdienst een kennisgeving heej gedaan als bedoeld in ar^kel 11.3a, eerste en tweede lid, van de Telecommunicaêwet. 10. Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht. 11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving.

12


College bescherming persoonsgegevens wordt Autoriteit Persoonsgegevens •  Uitbreiding algemene boete bevoegdheden Cbp/AP in wet datalekken


•  Toekomst: boete bevoegdheid tot € 810.000,-‐ –  Nu alleen last onder dwangsom


Er zijn zes categorieën: •  de eerste categorie, € 405 ; •  de tweede categorie, € 4.050; •  de derde categorie, € 8.100; •  de vierde categorie, € 20.250; •  de vijfde categorie, € 81.000; •  de zesde categorie, € 810.000.

13


•  •  •  •  •  •  •  •  •  •  •  •  •  •  •  •  •  •  •  •  •  • 

6 Rechtma^g algemeen 7 Bepaald doel 8 Algemeen Rechtma^gheidsgronden 8.a Toestemming 8.b Overeenkomst 8.c WeDelijke verplich^ng 8.d Vitaal belang 8.e Publiekrechtelijke taak 8.f Gerechtvaardigd belang 9.1 Onverenigbaar gebruik 9.4 Geheimhoudingsplicht 10.1 Bewaartermijnen 11.1 Kwaliteit -‐ toereikend, ter zake dienend, niet bovenma^g 11.2 Kwaliteit, juist, nauwkeurig 12.1 Vertrouwelijkheid verwerkingen 12.2 Geheimhoudingsplicht 13 Beveiliging 16 Verbod algemeen bijzondere gegevens 24.1 Persoonsnummer algemeen 33/34 informeren betrokkene 40 relaêf recht van verzet 41 absoluut recht van verzet



Beboetbaar (selecê) rood: aandachtspunten DM

14


Spanningsveld Data lekken, Social Media / Big Data voor Verantwoordelijken en Bewerkers –  Wat je niet hebt, niet te beveiligen –  Wat je niet hebt, kan niet lekken –  Wat niet iden^ficeerbaar is, is een lager risico –  Leg dus niets vast wat je niet gebruikt



•  Beveiliging:

15




Europese Unie

16


Verschil richtlijn en verordening •  Richtlijn –  Per lidstaat omzetten in wet •  NL: Wet bescherming persoonsgegevens –  Interpretatie verschillen bij implementatie aan deze presentatie kunnen geen rechten worden ontleend

•  Verordening –  Rechtstreekse werking •  NL: intrekken Wet bescherming persoonsgegevens •  Overige lid staten Europese Unie ook –  (kans op interpretatie verschillen bij handhaving)

Europese Unie •  Begin 2012 ontwerp Verordening Bescherming Persoonsgegevens


–  Verordening heej directe werking

•  Eind 2015 / begin 2016 ontwerp Verordening Bescherming Persoonsgegevens gestemd •  Eind 2017 / begin 2018 inwerkingtreding Verordening Bescherming Persoonsgegevens –  Lid-‐Staten trekken eigen weDen in

•  Verordening in werking in 2017/2018, gebaseerd op concepten en denken uit 2012

17


E-‐privacy Richtlijn •  Richtlijn:


–  toestemming for e-‐mail, sms –  Opt-‐out voor ongevraagde outbound telemarke^ng –  Cookie rules

•  Evaluaê na totstandkoming Verordening Gegevensbescherming

–  E-‐privacy Richtlijn: iedere lid staat zal dus deze richtlijn weer moeten omzeDen naar lokale wetgeving

•  Gegevensverwerking is geharmoniseerd, alleen het gebruik van peroonsgegevens voor communicaê niet

Marke^ng communicaê


•  Waarschijnlijk 2000 problemen met tekst van de Verordening •  Voor marke^ng communicaê zijn er twee showstoppers

18


Twee showstoppers I • 

Grondslag voor gegevensverwerking

–  Om persoonsgegevens te mogen verwerken moet er een grondslag zijn: •  •  •  •  • 

Toestemming Uitvoering overeenkomst Uitvoering weDelijk voorschrij Etc Gerechtvaardigd belang van de Verantwoordelijke of een derde par^j aan wie de persoonsgegevens worden verstrekt.

–  Gerechtvaardigd belang is zeer belangrijk aan deze presentatie kunnen geen rechten worden ontleend

•  Proporônaliteit/subsidiariteit

–  Hoe werj een bedrijf prospects als er toestemming nodig is, terwijl het een gerechtvaardigd belang is van een bedrijf om prospects te werven –  Het gerechtvaardigd belang is van groot belang voor commerciële communicaê –  Recital 39: The processing of personal data for direct marke7ng purposes may be regarded as carried out for a legi7mate interest.

Twee showstoppers II •  Profiling –  Selecteren, segmenteren, analyseren, a/b testen etc –  Als profiling:


•  Leidt tot maatregelen die een juridisch effect hebben jegens de betrokkene; of •  Leidt tot maatregelen die hem/haar in aanmerkelijke mate trej; –  Contract of pre-‐contractueel –  Wetgeving –  Toestemming

•  Geen juridisch effect of trej in aanmerkelijke mate -‐> toegestaan •  Discussie: marke^ng trej niet in aanmerkelijke mate

19



Andere onderwerpen •  Transparanê –  Informaêplichten zijn uitgebreid •  Benoemen van de bewaartermijn •  Uitleggen waarom de Controller een gerechtvaardigd belang heej aan deze presentatie kunnen geen rechten worden ontleend

–  Blokkering •  Blokkering tegen commercieel gebruik: niet langer meer in het privacystatement maar: ‘Dit recht wordt de betrokkene uitdrukkelijk en op begrijpelijke wijze geboden en moet duidelijk van overige informaê kunnen worden onderscheiden’. Taalgebruik aangepast, specifiek bij kinderen.

20




Informaêplicht

Informaêplicht: uitgebreid

21




Recht om vergeten te worden / recht om gegevens te laten wissen

22


Administraêve verplich^ngen


•  Geen melding bij toezichthouder •  Documentaêplicht voor Verantwoordelijke en/of Verwerker •  PIA: Privacy Impact Analyse


PIA

23




Boete ar^kel 79 hoog / percentage omzet

24



Trialoog


•  •  •  • 

Europese Commissie Parlement Europese Raad Drie teksten die tot één moeten worden gesmeed

25




Heel recent

26



Ready?

Alexander J.J.T. Singewald CEO Singewald Consultants Group BV Website: www.privacy.nl Adres: Weteringstraat 5 1431 BB Aalsmeer Postadres: Postbus 295 1430 AG Aalsmeer Telefoon:0297 369 767 Telefax: 0297 369 545 E-‐mail: [email protected] KvK: 34117959 TwiDer: twiDer.com\scglaw


Curriculum vitae: Nederlands recht specialisaê strafrecht (1984-‐1989) Beleidsmedewerker/onderzoeker Registraêkamer (1989-‐1992) Adjunct directeur DMSA (1992-‐1998) CEO Singewald Consultants Group BV (1998-‐)

Nevenfunc7es: VoorziDer van de Geschillencommissie Promoônele Producten; Secretaris Beroepscommissie Onderzoek en Sta^sêk; Lid Commissie Regelgeving DDMA; Bestuurslid FEDMA; Lid Legal Affairs CommiDee FEDMA; Legal Counsel ESOMAR; DM Man van het Jaar 2004; Erelid DDMA 2013; Houder Cer^ficate of Gra^tude, Yonsei University, Seoul, Zuid Korea, 2012; Lid van Management CommiDe Consulta^ve CommiDee, Universal Postal Union; Lid Direct Marke^ng Advisory Board, Universal Postal Union.

27

Juridisch beleg. Beleg

Recommend Documents