Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp Dit wetsvoorstel voegt aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Met dit voorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het Cbp.
Datalekken Wijzigingsvoorstel voor hogere boetes De Staatssecretaris van Veiligheid en Justitie heeft op 24 november 2014 een wijzigingsvoorstel ingediend in verband met de meldplicht datalekken. De wijziging geeft het Cbp de bevoegdheid om aanzienlijk hogere boetes op te leggen: tot 810.000 EURO (hoogste categorie) of, als dat niet passend is 10% van de jaaromzet van de rechtspersoon. De Eerste Kamer heeft de wetswijziging aangenomen op 26 mei 2015. De wet treedt per 1 januari 2016 in werking.
Nieuwe naam CBP: Autoriteit Persoonsgegevens (AP) Met de inwerkingtreding van de nieuwe wet zal de naam van het College Bescherming Persoonsgegevens worden veranderd in Autoriteit Persoonsgegevens. De naamgeving ligt daarmee meer in lijn met die van gelijksoortige instanties in Europa, en de Autoriteit Consument & Markt naast de Autoriteit Financiële Markten in Nederland.
Wat is een datalek? We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.
Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder de gangbare definitie van datalek.
Brede Meldplicht datalekken Sinds 2011 bestaat er een meldplicht voor aanbieders van openbare elektronische communicatiediensten van inbreuken op de beveiliging van persoonsgegevens (artikel 11.3a Telecommunicatiewet) Datalekken op grond van deze zogenaamde smalle meldplicht moeten worden gemeld bij de Autoriteit Consument & Markt. De algemene meldplicht datalekken voor bedrijven en overheid wordt ook de brede meldplicht genoemd. Deze meldplicht wordt opgenomen in een nieuw artikel in de Wet Bescherming Persoonsgegevens (Wbp): artikel 34a. De klemtoon bij deze meldplicht ligt op het lekken van persoonsgegevens als gevolg van beveiligingsproblemen. Deze datalekken moeten als ze voldoende ernstig zijn- onverwijld worden gemeld aan de toezichthouder, het College Bescherming Persoonsgegevens (CBP). Het CBP is een overheidsinstantie die toeziet op een zorgvuldig gebruik van persoonsgegevens.
Wat is het doel van de brede meldplicht?
Naar verwachting zullen organisaties hun gegevens beter beveiligen om te voorkomen dat ze door een datalek negatief in het nieuws komen;
De sanctie op niet-naleving van de meldplicht is een maximale boete van EUR 810.000;
Personen van wie de gegevens zijn uitgelekt zullen waarschijnlijk sneller op de hoogte worden gesteld van het feit dat hun gegevens in verkeerde handen zijn gevallen. Vaak zullen zij naar aanleiding van het lek direct actie moeten ondernemen, bijvoorbeeld als het gaat om loginnaam en wachtwoord die veranderd moeten worden of een rekening die geblokkeerd moet worden;
De verplichtingen zijn van toepassing op de verantwoordelijke, niet op de bewerker (zie ook de pgn: bewerking persoonsgegevens). Het is aan een bedrijf of instituut om te beoordelen of een datalek ernstig genoeg is.
Voorwaarden voor melding aan het CBP Onder de volgende drie voorwaarden moet een inbreuk op de beveiliging worden gemeld bij het CBP.
Er is sprake van een inbreuk op de beveiliging van persoonsgegevens. Opvallend is dat uitsluitend lekken ten gevolge van inbreuken op de beveiliging moeten worden gemeld, ook als de beveiliging summier is;
De inbreuk doet zich voor bij een organisatie in de publieke of private sector. Denk hierbij aan bedrijven, banken, verzekeringsmaatschappijen, belastingdienst, UWV enz.;
De inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van de persoonsgegevens die door de organisatie worden verwerkt. Met andere woorden: de inbreuk leidt tot diefstal, verlies of misbruik van persoonsgegevens.
Wanneer is er sprake van inbreuk op de beveiliging? Een inbreuk op de beveiliging hoeft niet te betekenen dat de beveiliging is tekortgeschoten. Denkbaar is dat de beveiliging op zich van voldoende niveau is, maar dat de beveiligingsmaatregelen worden omzeild. In de toelichting bij het wetsvoorstel worden als voorbeeld genoemd: een hack van een ICT-systeem dat persoonsgegevens bevat en de diefstal van een laptop of mobiele telefoon uit een afgesloten kluisje. Daarnaast kan de inbreuk op de beveiliging het gevolg zijn van een tekortschietende beveiliging. Dat is bijvoorbeeld het geval als bepaalde bestanden niet goed beveiligd zijn geweest of als er menselijke fouten zijn gemaakt. Als voorbeelden in de toelichting worden genoemd: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick. Op de hierboven genoemde situaties is de meldplicht van toepassing. Uitsluitend wanneer de getroffen voorzieningen niet specifiek bedoeld zijn voor de beveiliging van persoonsgegevens hoeft geen melding te worden gedaan. In de toelichting bij het wetsvoorstel wordt het voorbeeld genoemd van een gebouw dat afbrandt als gevolg van blikseminslag, waarbij persoonsgegevens verloren zijn gegaan.
Inhoud van de melding aan het CBP De melding aan het CBP omvat in elk geval:
de aard van de inbreuk;
de instanties waar meer informatie over de inbreuk kan worden verkregen;
de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.
Melding aan de betrokken persoon Als het waarschijnlijk is dat het lek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokken personen, dienen ook zij een melding te ontvangen. Deze melding omvat in elk geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Er zijn uitzonderingen op de plicht om aan de betrokken personen te melden. Deze plicht geldt bijvoorbeeld niet als de gelekte persoonsgegevens versleuteld zijn.
Boetebevoegdheid Het CBP mag een boete onmiddellijk opleggen als de overtreding opzettelijk is begaan. In de meeste gevallen zal ze eerst een bindende aanwijzing geven. Pas als de overtreding blijft bestaan dan wordt de boete opgelegd. De bindende aanwijzing is nodig vanwege mogelijke interpretatieproblemen bij begrippen als 'gepaste technische beschermingsmaatregelen'. In het verleden mocht het Cbp alleen een bestuurlijke boete opleggen bij overtreding van een administratief voorschrift, zoals de verplichting tot melding van de verwerking van persoonsgegevens.
Logboek met datalekken bijhouden Een organisatie heeft de plicht een logboek bij te houden van alle lekken die ernstig genoeg waren om aan de toezichthouder te moeten melden. Preciezer geformuleerd (art. 34a): "De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene."
Overige relevante meldplichten Meldplichten Telecommunicatiewet De Telecommunicatiewet voorziet in diverse meldplichten voor aanbieders van openbare elektronische communicatiediensten en netwerken. Met name de meldplicht voor datalekken van artikel 11.3a van deze wet is van belang. Lees meer hierover op Loket Meldplicht Telecomwet. Meldplicht voor financiële instellingen Deze meldplicht betreft incidenten in de financiële sector en zijn opgenomen in de Wet op het financieel toezicht. Meldplicht Security Breaches Er is wetgeving in de maak betreffende de melding van digitale veiligheidsincidenten in vitale sectoren van Nederland. Zie de aankondiging: Meldplicht security breaches.
Privacy - bescherming persoonsgegevens Bescherming van privacy & persoonsgegevens De bescherming van de privacy is in verschillende wetten en verdragen geregeld. De belangrijkste wet op dit gebied is de Wet Bescherming Persoonsgegevens, in het dagelijks leven ook wel 'privacywet' genoemd. Daarnaast geeft de Telecommunicatiewet regels op het gebied van mailings, spam en cookies.
De Wet Bescherming Persoonsgegevens (Wbp) De Wbp, die uit 2001 dateert, is de Nederlandse uitwerking van de Europese Privacyrichtlijn uit 1995 (nr. 95/46/EG). Elke Europese lidstaat heeft op basis van deze richtlijn zijn eigen privacywet opgesteld. Dit betekent dat de privacywetgeving in de verschillenden Europese lidstaten niet helemaal gelijk is. Om de onderlinge verschillen gelijk te trekken is een Europese privacyverordening in de maak. Vanaf de inwerkingtreding van deze verordening zal in de hele Europese Unie één privacyregeling van toepassing zijn. Deze verordening zal naar verwachting in de loop van 2016 worden aangenomen. In de verordening is opgenomen dat zij twee jaar na publicatie in werking treedt. De Wbp bevat regels voor het verwerken van persoonsgegevens, waarbij de nadruk ligt op het geautomatiseerd verwerken van persoonsgegevens. Denk hierbij aan het verwerken van persoonsgegevens met behulp van een computer. Bij de inzet van cloud computing hebben deze regels extra aandacht nodig.
Wanneer is de Wet Bescherming Persoonsgegevens niet van toepassing? De Wbp is niet op elke verwerking van persoonsgegevens van toepassing. Zo is de Wbp niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. Voorbeelden hiervan zijn persoonlijke aantekeningen, of een lijst met adressen en telefoonnummers van vrienden en familieleden. Daarnaast is toepasselijkheid van de Wbp uitgesloten voor verwerking van persoonsgegevens door inlichtingen- en veiligheidsdiensten, voor de uitoefening van de politietaak en in nog enkele door de wet omschreven gevallen.
Wat is een persoonsgegeven? Persoonsgegevens zijn alle gegevens aan de hand waarvan een persoon kan worden geïdentificeerd. Een persoon kan worden geïdentificeerd als degene die het persoonsgegeven gebruikt de persoon kan identificeren zonder een bijzondere inspanning te leveren. Hierbij kun je denken aan naam- en adresgegevens.
Als persoonsgegeven worden ook beschouwd e-mailadressen, pasfoto's, vingerafdrukken en bijvoorbeeld IP-adressen. En gegevens die een waardering geven over een persoon, bijvoorbeeld iemands IQ.
Wat is een bijzonder persoonsgegeven? Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Zulke gegevens mogen dan ook alleen onder zeer strenge voorwaarden worden verwerkt. Onder bijzondere of gevoelige persoonsgegevens vallen, bijvoorbeeld, gegevens die iets zeggen over iemands ras, godsdienst, gezondheid, strafrechtelijk verleden of seksuele leven. Ook een lidmaatschap van een vakvereniging en het burgerservicenummer (BSN) zijn bijzondere persoonsgegevens.
Wanneer is er sprake van verwerking van persoonsgegevens? Onder verwerking wordt verstaan elke handeling met betrekking tot persoonsgegevens. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. Uit deze opsomming blijkt dat algauw sprake is van het verwerken van persoonsgegevens. Je zou kunnen stellen dat alles wat men met een persoonsgegeven doet onder verwerken valt.
Algemene regels voor verwerking persoonsgegevens Hoofdregel is dat persoonsgegevens alleen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Daarnaast mogen persoonsgegevens slechts worden verzameld als daarvoor een precieze doelomschrijving wordt gegeven. Bovendien bepaalt de wet dat persoonsgegevens slechts mogen worden verwerkt voor zover zij toereikend, ter zake dienend en niet bovenmatig zijn. Een voorbeeld uit de praktijk is het maken van een kopie paspoort. Een belangrijke verplichting die uit de wet voortvloeit is de melding die de verwerker moet doen bij het College Bescherming Persoonsgegevens (CBP). Deze melding is bedoeld om de transparantie te bevorderen: alle bij het CBP gedane meldingen worden opgenomen in een openbaar register. Sommige verwerkingen hoeven op grond van de wet niet aangemeld te worden, zoals het handelsregister van de Kamer van Koophandel. Daarnaast is in het Vrijstellingsbesluit Wbp een groot aantal verwerkingen opgenomen dat is vrijgesteld van melding. Voor dergelijke vrijgestelde verwerkingen blijven de overige vereisten van de Wbp gewoon van kracht.
Behalve bovengenoemde algemene regels geldt dat er voor elke verwerking van persoonsgegevens een rechtvaardigingsgrond aanwezig moet zijn. Dit wordt hieronder toegelicht.
Voorwaarden voor verwerking persoonsgegevens: rechtvaardigingsgronden Naast bovengenoemde algemene regels stelt de wet als eis dat voor elke verwerking van persoonsgegevens ten minste één van de in de wet genoemde rechtvaardigingsgronden van toepassing moet zijn (artikel 8 Wbp). De wet kent de volgende grondslagen:
Toestemming De betrokkene (dit is degene wiens gegevens worden verwerkt) heeft voor de verwerking zijn ondubbelzinnige toestemming gegeven. Deze uitdrukkelijke toestemming wordt ook geïnformeerde toestemming of informed consent genoemd.
Uitvoering overeenkomst De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.
Wettelijke verplichting De gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen.
Vitaal belang De gegevensverwerking is noodzakelijk om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden.
Publiekrechtelijke taak De gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak.
Gerechtvaardigd belang De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van degene die de gegevens verwerkt (of van een derde aan wie de gegevens worden verstrekt). Dit betekent dat degene die de gegevens verwerkt zijn eigen belang moet afwegen tegen het belang en de rechten van de betrokken persoon. Ook moet de verwerker vooraf nagaan of hetzelfde resultaat niet kan worden bereikt met minder gegevens.
Het exporteren van persoonsgegevens: doorgifte Het exporteren van persoonsgegevens, ook wel doorgifte genoemd, is een vorm van verwerking van persoonsgegevens. De hierboven omschreven voorwaarden zijn hierop onverkort van toepassing. Daarnaast zijn er, afhankelijk van het land waarnaar de gegevens worden doorgegeven, extra voorwaarden van toepassing. Zie de pagina doorgifte persoonsgegevens
Wat zijn de rechten van betrokkenen? De Wet Bescherming Persoonsgegevens richt zich niet alleen tot degenen die persoonsgegevens verwerken, maar kent ook rechten toe aan personen van wie de gegevens worden verwerkt.
Inzagerecht Dit recht biedt iedereen de mogelijkheid om te controleren of, en op welke manier, zijn gegevens worden verwerkt.
Correctierecht Wanneer iemand zijn inzagerecht heeft gebruikt en tot de conclusie komt dat zijn gegevens gecorrigeerd moeten worden, kan hij daartoe een verzoek indienen bij degene die verantwoordelijk is voor de gegevensverwerking.
Recht van verzet Tegen bepaalde vormen van gegevensverwerking kan de betrokkene zich verzetten, als gevolg waarvan de verwerking van zijn persoonsgegevens mogelijk moet worden gestaakt.
College Bescherming Persoonsgegevens houdt toezicht Het College Bescherming Persoonsgegevens (CBP) is de toezichthouder voor verwerking van persoonsgegevens. Daarnaast adviseert het CBP de regering met betrekking tot vraagstukken die te maken hebben met de verwerking van persoonsgegevens. Binnen een organisatie kan een Functionaris voor de Gegevensbescherming worden aangesteld om toezicht te houden op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp) binnen een organisatie. Deze functionaris wordt ook wel Data Protection Officer genoemd.
Meldplicht datalekken Artikel 34a van de Wet Bescherming Persoonsgegevens regelt een meldplicht voor datalekken. De meldingen moeten worden gedaan aan het CBP en, in bepaalde gevallen, aan de betrokken personen.
Bijhouden van zwarte lijst privacyinbreuk? Een zogenoemde zwarte lijst is een lijst waarop personen staan met wie een bepaalde organisatie (of branche) geen zaken meer wil doen. Bijvoorbeeld, omdat deze personen zich schuldig maken aan winkeldiefstal of structureel overlast veroorzaken. Het bijhouden van een zwarte lijst is niet zomaar toegestaan. Het is een bewerken van persoonsgegevens waarvoor bijzondere voorwaarden gelden. Voor meer informatie zie: voorwaarden zwarte lijst.
Privacy in de pers - Edward Snowden & PRISM In juni 2013 onthult Edward Snowden dat de NSA, de geheime dienst van de Verenigde Staten, samen met de FBI stelselmatig informatie verzamelt van (ook Nederlandse) burgers en bedrijven. Dit gebeurt via het Amerikaanse PRISM-programma. De servers van negen belangrijke Amerikaanse internetbedrijven worden direct afgetapt. Geluid, videogesprekken, e-mails, foto's, documenten en logbestanden worden geraadpleegd. Het betreft in ieder geval diensten van Microsoft, Yahoo, Google, Facebook, AOL, Skype, YouTube en Apple. In de daaropvolgende maanden worden door Snowden meer onthullingen gedaan. Diverse regeringen, waaronder de Nederlandse, bespioneren burgers of eigenen zich meer informatie toe dan wettelijk is toegestaan. Lees meer hierover bij Wikipedia. PRISM kan gezien worden als een opvolger van ECHELON.
Verwijdering van gegevens op internet Op de website van Bits of Freedom is veel informatie te vinden over privacy(rechten) op internet. Er is een wizard (PIM) om een brief op te stellen om bij instanties op te vragen welke gegevens over je zijn vastgelegd. De Suicide Machine helpt om je gegevens te verwijderen van Facebook, LinkedIn, MySpace en Twitter. Men spreekt in dit kader van ontvrienden. Google kent sinds april 2013 een optie om een account te verwijderen. Deze mogelijkheid is bij de instellingen te vinden onder Accountactiviteit of Inactiviteitsvoorkeuren. Daarmee is te bepalen na hoeveel tijd van inactiviteit een Google account(s) worden verwijderd. In juni 2015 introduceerde Google een website waarop de instellingen van een gebruiker / betrokkene in te zien zijn, voor alle diensten van Google: Mijn account. Ook wel Google's Privacy Check genoemd. Microsoft heeft een soortgelijk dienst: Privacy Dashboard
Het recht om vergeten te worden - vergeetrecht Hierboven beschreven we de situaties waarin iemand zijn account (gegevens) wil verwijderen. Dat betreft accounts die zelf zijn aangelegd en gegevens die handmatig of via geautomatiseerd aan dat account zijn gekoppeld. Het recht om vergeten te worden is een begrip dat gaat over specifieke informatie op internet over een persoon (niet per se alle informatie van die persoon). Zoekmachines spelen hierin een cruciale rol omdat zij geautomatiseerd veel informatie over een persoon kunnen rubriceren en daarmee verbanden leggen die niet zichtbaar zouden zijn zonder de gebruikte technieken. Het Europese Hof van Justitie heeft in mei 2014 een belangrijke uitspraak gedaan in dit verband (C-131/12). Het betrof een Spanjaard die nadelen ondervond van een krantenartikel uit 1998 over gedwongen verkoop van zijn bezittingen. Het Europese Hof bepaalde dat Google deze gegevens op zijn verzoek moet verwijderen. Let wel: de oorspronkelijke gegevens uit de krant blijven bewaard. Er vindt dus geen 'geschiedvervalsing' plaats. Met de uitspraak van het Europese Hof wordt in zijn algemeenheid de mogelijkheid geschapen om een zoekmachine te vragen om bepaalde gegevens over personen te verwijderen. De genoemde uitspraak gaf tevens aan dat Google zich aan de Europese privacyregels moet houden, ook al vindt de verwerking van Europese persoonsgegevens plaats in de Verenigde Staten.
Verwijderen uit zoekresultaten Als gevolg van het hiervoor genoemde arrest van het Europese Hof van Justitie heeft Google in mei 2014 het mogelijk gemaakt om een verzoek in te dienen om informatie uit de zoekresultaten te verwijderen. Lees meer hierover bij Google: verwijdering uit zoekresultaten En Google's algemene verwijderingsbeleid. Andere zoekmachines zijn ook gehouden aan dit arrest. Lees meer hierover op de pagina over vergeetrecht
Zoekmachines en privacy Zoekmachines slaan uw voorkeuren en zoekopdrachten op om ervoor te zorgen dat zoekresultaten steeds relevanter worden. Dat betekent dat de gevonden resultaten beter voldoen aan uw behoeften en dat geplaatste advertenties steeds beter aansluiten op uw profiel. Als u cookies van zoekmachines verwijdert gaat veel informatie verloren. Een deel van de opgebouwde informatie blijft bewaard op de servers van de zoekmachines. Wanneer u niet wilt dat de zoekmachines informatie van en over u opslaan, dan is DuckDuckGo een alternatief. Deze zoekmachine bewaart geen gegevens over gebruikers en waar ze naar zoeken. Wanneer een overheidsdienst data opeist van DuckDuckGo, is er geen identificeerbare data om door te geven. DuckDuckGo zoekmachine
Bewerkersovereenkomst Bewerken persoonsgegevens: de bewerkersovereenkomst Een bewerkersovereenkomst of data processing agreement (DPA) is een begrip uit de privacyregelgeving. Twee termen uit de privacyregelgeving dienen te worden toegelicht. Dit zijn de begrippen 'verantwoordelijke' en 'bewerker'. De verantwoordelijke (controller) is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Denk hierbij aan een bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). Het bedrijf is verantwoordelijk voor de gegevens. De bewerker (processor) is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In bovengenoemd voorbeeld zou een salarisadministratiekantoor dat voor het bedrijf de salarisadministratie afhandelt bewerker zijn. Zie de pagina Persoonsgegevens voor het begrip verwerken De bewerkersovereenkomst is de overeenkomst tussen verantwoordelijke en bewerker, waarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. In bovengenoemd voorbeeld moeten het bedrijf en het salarisadministratiekantoor dus een schriftelijke overeenkomst met elkaar aangaan. Het valt onder de verantwoordelijkheid van de verantwoordelijke (what's in a name?) dat dit ook gebeurt.
Wanneer is een bewerkersovereenkomst nodig? Als een verantwoordelijke persoonsgegevens laat verwerken door een bewerker, is altijd een
bewerkersovereenkomst tussen beide verplicht. Dit geldt ook als de bewerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens 'uitbesteedt', is een schriftelijke overeenkomst vereist. Besef dat er algauw sprake is van 'verwerken' van persoonsgegevens: het inzien van de gegevens door een externe helpdesk is al een verwerking.
Onderwerpen in een bewerkersovereenkomst Over het algemeen zijn onderstaande onderwerpen in de meeste bewerkersovereenkomsten terug te vinden.
Bewerking in overeenstemming met instructies verantwoordelijke De bewerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de instructies van de verantwoordelijke.
Geheimhouding In deze bepaling wordt aan de bewerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke nietnaleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.
Beveiligingsmaatregelen De verantwoordelijke draagt zorg dat de bewerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens te beveiligen tegen verlies e.d.
Inschakelen van derden en onderaannemers In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de bewerker sub-bewerkers mag inschakelen.
Locatie van de data De verantwoordelijke moet weten in welke landen zijn data worden opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.
Audits De verantwoordelijke moet kunnen controleren of de bewerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de bewerkersovereenkomst kunnen partijen hier nadere afspraken over maken.
Aansprakelijkheid De wet bepaalt dat de verantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de Wet Bescherming Persoonsgegevens niet wordt nageleefd. Dit
geldt zelfs als de schade het gevolg is van nalatigheid van de bewerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de bewerkersovereenkomst heldere afspraken te maken over deze verdeling.
Persoonsgegevens Wat is een persoonsgegeven? Een persoonsgegeven is een gegeven aan de hand waarvan een persoon kan worden geïdentificeerd. Een persoon kan worden geïdentificeerd als degene die het persoonsgegeven gebruikt de persoon kan identificeren zonder een bijzondere inspanning te leveren. Voorbeelden: naam- en adresgegevens, e-mailadressen, pasfoto's, vingerafdrukken en IP-adressen. Ook gegevens die een waardering over een persoon geven, zoals iemands IQ, zijn persoonsgegevens. Het term datasubject wordt gebruikt voor de persoon van wie gegevens worden verzameld, bewerkt, gebruikt en verspreid.
Wat zijn bijzondere persoonsgegevens? De wet onderscheidt bijzondere persoonsgegevens van gewone persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Dergelijke gegevens mogen daarom alleen onder zeer strenge voorwaarden worden verwerkt. Voorbeelden van bijzondere persoonsgegevens zijn gegevens die iets zeggen over iemands gezondheid, ras, godsdienst, strafrechtelijk verleden of seksuele leven. Ook een lidmaatschap van een vakvereniging en het burgerservicenummer (BSN) zijn bijzondere persoonsgegevens.
Wat is verwerking van persoonsgegevens? Onder verwerking wordt elke handeling met betrekking tot persoonsgegevens bedoeld. In de wet staan voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. Menselijke tussenkomst is voor verwerking niet altijd noodzakelijk. Waar het om gaat is dat er enige invloed op de persoonsgegevens kan worden uitgeoefend. Of deze invloed daadwerkelijk wordt uitgeoefend is niet relevant. Een telecomprovider die alleen voor de doorvoer van gegevens zorgt, verwerkt geen persoonsgegevens. Een internetprovider die de verspreiding van onrechtmatige berichten kan tegengaan, verwerkt wél persoonsgegevens.
De Wet Bescherming Persoonsgegevens (Wbp) De Wbp bevat regels voor het verwerken van persoonsgegevens, waarbij de nadruk ligt op het geautomatiseerd verwerken van persoonsgegevens. Denk hierbij aan het verwerken van persoonsgegevens met behulp van een computer. Deze wet geldt niet voor overleden personen. Informatie over deze personen mag gepubliceerd worden zonder toestemming of belangenafweging zolang de privacy van levende personen niet in het geding is.
Privacywet Meer informatie over de Wbp en de privacywet vindt u op de pagina privacywet.
Koppelingen tussen de sociale media Het koppelen van diverse diensten zoals die van Google, Facebook en Twitter biedt gebruiksgemak. Als gebruiker hoef je niet apart in te loggen op elke website. Er wordt content gedeeld, evenals persoonsgegevens. Er wordt meer gedeeld dat je verwacht. Zie ook: SocialMediaRecht
Privacy by Default & Privacy by Design Wanneer bij het ontwerp van een informatiesysteem of proces vanaf het begin rekening wordt gehouden met persoonsgegevens, is er sprake van Privacy by Design. Bij Privacy by Default zijn de standaardinstellingen bij programma's of websites privacyvriendelijk.
Doorgifte persoonsgegevens De Wet Bescherming Persoonsgegevens (Wbp) De Wbp bevat regels voor het verwerken van persoonsgegevens, waarbij de nadruk ligt op het geautomatiseerd verwerken van persoonsgegevens. Bij de inzet van cloud computing hebben deze regels extra aandacht nodig.
Het exporteren van persoonsgegevens: doorgifte Het exporteren van persoonsgegevens, ook wel doorgifte genoemd, is een vorm van verwerking van persoonsgegevens. De gebruikelijke verwerkingsvoorwaarden zijn hierop onverkort van toepassing (voor deze voorwaarden zie: privacywet en persoonsgegevens). Daarnaast zijn er in veel gevallen bijzondere voorwaarden van toepassing op de doorgifte van persoonsgegevens. Hierbij wordt onderscheid gemaakt tussen doorgifte naar een EU-lidstaat en doorgifte naar een land buiten de Europese Unie. Op de export van persoonsgegevens naar een EU-lidstaat zijn geen extra regels van toepassing. Daarentegen is doorgifte naar een land buiten de Europese Unie aan strenge regels onderworpen met als doel dat een zelfde bescherming als binnen Europa wordt gewaarborgd. De regels daarvoor worden hieronder kort toegelicht.
Doorgifte buiten de EU: passend beschermingsniveau
Hoofdregel is dat persoonsgegevens uitsluitend mogen worden doorgegeven naar landen die een passend beschermingsniveau waarborgen. Welke landen dit zijn is te vinden op de Lijst van landen met passend beschermingsniveau. Voor de Verenigde Staten geldt een aparte regeling: een passend beschermingsniveau wordt uitsluitend geboden door bedrijven of organisaties die zich hebben aangesloten bij de zogeheten Safe Harbor regels.
Doorgifte buiten de EU: de VS en Safe Harbor Voor de Verenigde Staten geldt een aparte regeling: een passend beschermingsniveau wordt uitsluitend geboden door bedrijven of organisaties die zich hebben aangesloten bij de zogeheten Safe Harbor regels. Meer informatie op de pagina: Safe Harbor
Doorgifte buiten de EU: geen passend beschermingsniveau Doorgifte naar landen die geen waarborg bieden voor een passend beschermingsniveau is slechts onder bepaalde voorwaarden mogelijk.
Toestemming De betrokkene (dit is degene wiens gegevens worden verwerkt) heeft voor de verwerking zijn ondubbelzinnige toestemming gegeven. Deze toestemming wordt ook informed consent genoemd.
Uitvoering overeenkomst met betrokkene De doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke.
Uitvoering overeenkomst in het belang van betrokkene Deze voorwaarde heeft betrekking op de uitvoering van een overeenkomst waarbij de betrokkene geen partij is, maar waarbij hij wel een belang heeft.
Zwaarwegend algemeen belang of vaststelling, uitvoering of verdediging van enig recht Het belang van de betrokkene hoeft hiermee niet gediend te worden.
Vitaal belang van betrokkene Doorgifte is ook mogelijk als een vitaal belang van de betrokkene in het geding is, bijvoorbeeld wanneer hij in levensgevaar verkeert.
Bij wet ingestelde registers Voorbeelden van dergelijke registers zijn het kadaster en het handelsregister, die ook kunnen worden geraadpleegd door personen buiten de Europese Unie.
Modelcontracten Doorgifte is ook toegestaan als gebruik wordt gemaakt van modelcontracten die zijn goedgekeurd door de Europese Commissie. Klik hier voor goedgekeurde modelcontracten.
Wordt aan geen van bovengenoemde voorwaarden voldaan, dan is doorgifte buiten de Europese Unie naar een land dat geen passend beschermingsniveau biedt toegestaan met een vergunning van de minister van Veiligheid en Justitie.
Data Protection Officer (DPO) Data Protection - bescherming persoonsgegevens Data protection is de Engelse term voor bescherming van persoonsgegevens. Een Data Protection Officer (DPO) ziet toe op de naleving van de privacyregelgeving in een organisatie. De Nederlandse benaming voor Data Protection Officer is Functionaris voor de Gegevensbescherming (FG) of privacyfunctionaris. Momenteel mogen bedrijven en andere organisaties zelf bepalen of ze een Functionaris voor de Gegevensbescherming benoemen: benoeming van een FG is niet verplicht. Dit wordt anders zodra de Europese Privacy Verordening in werking treedt. Naar verwachting zal dit gebeuren in 2016.
Aanstelling Data Protection Officer - Functionaris voor de Gegevensbescherming De Functionaris voor de Gegevensbescherming houdt toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp) binnen een organisatie. De wettelijke taken en bevoegdheden van de FG geven hem een onafhankelijke positie in de organisatie. Het is mogelijk een externe medewerker als DPO aan te stellen. De DPO moet een natuurlijk persoon zijn. Voor meer informatie over de benoemingseisen en taken van de FG, zie: functiebeschrijving FG bij het CBP Zie ook de brochure Privacywet en privacyfunctionaris van het Nederlands Genootschap van Functionarissen voor de Gegevensverwerking (NGFG). Dit document bevat een checklist voor de aanstelling van een DPO/FG.
Verplichte aanstelling DPO/FG De aankomende Europese Privacy Verordening stelt een Data Protection Officer (DPO) verplicht bij de volgende organisaties:
bedrijven in de private sector met meer dan 250 medewerkers
bedrijven in de private sector met als core business het regulier volgen van individuen
overheidsdiensten
Wat zijn de werkzaamheden van een DPO/FG? De activiteiten van de Functionaris voor de Gegevensbescherming omvatten onder meer:
toezicht houden
verzamelen van inventarisaties van gegevensverwerkingen
het ontwikkelen van interne regelingen
het bijhouden van meldingen van gegevensverwerkingen
behandeling van vragen en klachten van personeelsleden, klanten, patiënten
voorlichting
adviseren over technologie en beveiliging, waaronder voorlichting over Privacy by Default en Privacy by Design
Een DPO moet onafhankelijk te werk kunnen gaan. Hij of zij rapporteert aan de Raad van Bestuur. Lees de uitgebreide functiebeschrijving FG van het CBP. Het feit dat het CBP steeds meer bevoegdheden krijgt en hogere boetes kan uitdelen, vormt naar verwachting een krachtige impuls voor bedrijven om 'privacycompliant' te worden en een Data Protection Officer aan te stellen.
Voordelen outsourcen DPO-functie De werkzaamheden van de Data Protection Officer mogen door een externe medewerker worden uitgevoerd. Dit heeft zelfs voordelen ten opzichte van een interne Data Protection Officer:
Het biedt een betere waarborg voor de onafhankelijkheid van de Data Protection Officer. Deze wordt immers niet gehinderd door 'politiek' of 'gevoelige tenen' binnen de organisatie.
Een externe Data Protection Officer heeft over het algemeen ervaring met meerdere bedrijven en toegang tot een netwerk van andere functionarissen. Dit kan zijn werk aanzienlijk vergemakkelijken.
Opleidingen Er zijn enkele cursussen of congressen op dit gebied:
IIR cursus Privacy Officer
Universiteit Tilburg: doctorale specialisatiecursus Privacy en Persoonsgegevens
Duthler Academy: Leergang Functionaris voor de Gegevensbescherming
Let op: Belgische opleiding
Vergeetrecht - Right to be forgotten Wat is Vergeetrecht? Het vergeetrecht is het recht om te eisen dat persoonsgegevens worden verwijderd en dat verdere verspreiding wordt tegengegaan. 'Vergeetrecht' is geen zelfstandig recht, het is een vertaling van the right to be forgotten (RTBF). Op 25 januari 2012 presenteerde de Europese Commissie haar voorstel voor een Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Die verordening zal de oude privacyrichtlijn 95/46/EG en de Wet bescherming persoonsgegevens gaan vervangen. Een onderdeel van de AVG is het vergeetrecht. De focus ligt voornamelijk op de gegevens online omdat de impact hiervan zo groot is. In de AVG is ook het recht van rectificatie opgenomen voor onjuiste of incomplete persoonsgegevens (artikel 16). Artikel 17 beschrijft het "Recht om te worden vergeten en om gegevens te laten wissen". Het gaat in artikel 17 niet alleen over verwijzingen in zoekmachines, maar ook over verwijdering bij de bron (organisatie, bedrijf, website). Overigens lijkt het erop dat de oorspronkelijke titel van artikel 17 veranderd wordt in The right to erasure waardoor het begrip The right to be forgotten synoniem wordt voor verwijdering van links in zoekmachines (zie hierna). Het vergeetrecht kwam vooral in het nieuws nadat het Europese Hof van Justitie op 13 mei 2014 (C-131/12, het Costeja-arrest) besloot dat iedere Europeaan het recht moet hebben bepaalde resultaten uit een zoekmachine te laten verwijderen.
Linkverwijderrecht Feitelijk gaat het genoemde arrest over linkverwijderrecht. De originele bron waarnaar verwezen wordt blijft bestaan. Alleen worden bepaalde gegevens zijn niet meer getoond als gezocht wordt via de naam van de betrokken persoon. Andere zoekbegrippen kunnen wel leiden tot deze gegevens. Sinds het Costeja-arrest is het vergeetrecht synoniem geworden voor het verwijderen van zoekresultaten uit zoekmachines. De oorspronkelijke casus betrof het verzoek tot verwijdering van resultaten uit Google, de uitspraak van het Europese Hof is van toepassing voor alle zoekmachines.
Voorwaarden voor vergeetrecht - voor verwijdering Het Europese Hof oordeelde in zijn historische arrest dat zoekmachines links naar pagina's moeten verwijderen als gezocht wordt op naam en de verwijzingen onjuist, onvolledig, verouderd, irrelevant of bovenmatig zijn. De uitspraak houdt niet in dat mensen of organisaties zoekresultaten gefilterd kunnen krijgen omdat ze die niet prettig vinden. Op de achtergrond speelt de afweging informatievrijheid versus censuur een rol. Zoekmachines zijn belangrijk in het maatschappelijk verkeer. Bij elk verzoek tot verwijdering moet het persoonlijk belang worden afgewogen tegenover het algemene belang. Een BN'er of politicus zal niet snel een link naar onwelgevallige content verwijderd krijgen omdat hij of zij nu eenmaal onderdeel is van het publieke leven.
Opmerkingen bij het vergeten of verwijderen
Zoekmachines krijgen al lang verzoeken tot het verwijderen van links. Meestal gaat het om verwijzingen naar materiaal dat auteursrechtelijk beschermd is.
Het vergeetrecht is voor burgers in Europa.
Het is logisch dat de bron van de informatie intact blijft, zowel online als offline. Als een krantenartikel online gewijzigd of verwijderd zou worden is er sprake van een soort geschiedvervalsing, er zou een discrepantie met de papieren versie zijn.
De informatie op internet verspreidt zich razendsnel en gegevens worden -al of niet automatisch- gekopieerd. Dit maakt het definitief verwijderen van die gegevens lastig, er is immers altijd wel een kopie beschikbaar.
Elk verzoek om het verwijderen van informatie moet door een zoekmachine apart bekeken worden. Een BN'er of politicus die een boete krijgt voor het autorijden na het drinken van te veel alcohol zal dat bericht graag willen onderdrukken of verwijderen. Het publieke belang is hier tegenovergesteld waardoor zo'n verzoek van een BN'er minder snel gehonoreerd zal worden.
Wanneer de Algemene Verordening Gegevensbescherming ingaat zal dat een lastenverzwaring kunnen zijn voor bedrijven en organisatie die veel persoonsgegevens verwerken. Het is te verwachten dat de nodige verzoeken tot inzake, correctie en verwijdering ingediend worden.
Aanvankelijk verwijderde Google de links alleen uit lokale versies van haar zoekmachine. Een zoekopdracht in google.nl leverde dan geen resultaten op terwijl dezelfde opdracht in google.com wel resultaten opleverde. De Artikel 29 Werkgroep heeft in november 2014 gewezen op dit probleem.
Er zijn geen kosten verbonden aan het ontgooglen.
Zoekmachines zijn verantwoordelijk voor de verwerking van de persoonsgegevens omdat zij het doel en de manier van verwerking bepalen.
Onderaan de zoekresultaten kan in Google de melding verschijnen 'Sommige resultaten zijn mogelijk verwijderd op grond van Europese wetgeving inzake gegevensbescherming'.
Aanvragen verwijdering uit zoekmachines Bij Google: verwijdering uit zoekresultaten Google's algemene verwijderingsbeleid. Bij Yahoo: alleen afbeeldingen Bij Bing: verwijderen links Forget.me is een dienst die links naar je eigen naam op diverse websites zoekt en een verwijderverzoek naar meerdere zoekmachines tegelijk verstuurt.
