SEMINAR PRIVACY IN DE PRAKTIJK! NIEUWE PRIVACYWETGEVING VERTAALD NAAR UW ORGANISATIE! 26 NOVEMBER 2015 VEENENDAAL!
! Wat betekent de nieuwe privacywet voor uw organisatie?! ! prof mr. Gerrit-Jan Zwenne
betekenis (‘impact’) van de privacywet
meer beter erger riskanter serieuzer belangrijker enz.
vernieuwde privacywet vanaf 1 januari 2016
en wellicht vanaf 1 mei 2018
• een meldplicht datalekken
• wet wordt verordening, maar er blijft nationale wetgeving
• serieuze boetebevoegdheden • College bescherming persoonsgegevens (“Cbp”) wordt Autoriteit persoonsgegevens (“Ap”)
• méér rechten voor betrokkenen, en méér verplichtingen voor verantwoordelijken en bewerkers • accountability, privacy impact assesments, documentatieplichten, data protection officers • maar nationale toezichthouders en nationale rechters blijven bevoegd!
Van Cbp naar Ap Artikel 51 - 4. Het College wordt in het maatschappelijk verkeer aangeduid als: Autoriteit persoonsgegevens.
sluit aan bij Europese ontwikkelingen en maakt einde aan verwarring met het Centraal Planbureau (CPB). markeert een fase waarin we toegroeien naar een in Europees verband verdergaand geharmoniseerd systeem van bescherming van persoonsgegevens
meldplicht datalekken bij toezichthouder (Ap)
bij betrokkene
• beveiligingsinbreuk die ernstige nadelige gevolgen heeft voor de bescherming van de verwerkte persoonsgegeven
• inbreuk heeft waarschijnlijk ongunstige gevolgen voor diens persoonlijke levenssfeer
géén meldplicht als passende technische beschermingsmaatregelen zijn genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden
bestuurlijke boetes vanaf 1 januari 2016
wellicht vanaf 1 mei 2018
max. €20.250
€100.000.000 danwel 2 of 5 procent van wereldwijde groepsopmzet (“whichever is greater”)
art. 4(3)a, 78(2) a Wbp
max. €450.000 art. 11.3a Tw en 5:20(1) Awb
max €810.000 art. 6-9(1), 9(4), 11-13, 16, 24, 33-36, 38-42, 66, 76-78 Wbp en 5:20(1) Awb
10 procent jaaromzet indien passend…
de bindende aanwijzing vage normen en open begrippen voorzienbaarheid (‘foreseeability’ of ‘lex certa’) concretisering door de toezichthouder (art. 66(3) Wbp)
informatieplichten uitgebreid • identity and contact details of controller and, if any of the dpo • purposes of processing • security measures • contract terms and general conditions • retention periods • data subject access right s and rights to lodge a complaint to the DPA (and its contact details); • recipients or categories of recipients of the personal data; • third country transfers • any profiling • etc.
formaliteiten (…?) • accountability • documentatieplichten • data protection impact assesments (“dpia”) • data protection officer (“dpo”)
Big Data… is a generalized, imprecise term that refers to the use of large data sets in data-science and predictive analytics [Mayer-Schönberger & Cukier 2013]
Big data can be used to identify more general trends and correlations but it can also be processed in order to directly affect individuals [WP29 2013]
dataminimalisatie & big data Persoonsgegevens moeten: adequaat en ter zake dienend zijn en beperkt blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt The use of Big Data by the top 100 EU manufacturers could lead to savings worth €425 billion, and by 2020, Big Data analytics could boost EU economic growth by an additional 1.9%, which means a GDP increase of €206 billion
Systeem Risico Indicatie (SyRI) is een instrument waarmee gegevensbestanden van gemeenten, UWV, SVB, Inspectie SZW en Belastingdienst kunnen worden gekoppeld ten behoeve van de bestrijding van fraude op het terrein van de sociale zekerheid en de inkomensafhankelijke regelingen, de belasting- en premieheffing en de arbeidswetten sinds 2006 in gebruik onder de aanduiding ‘Black Box’..
jargon…
SCC C2P C2C P2P BCR FG DPO DPA AP DPIA PIA HJEU AVGB GDPR EDPB CIPP/E
[email protected]
VRAGEN…?