Complianceforum - Privacy Compliance
19
Privacy Compliance Compliance forum AKD 29 november 2016 Martin Hemmer Advocaat Intellectual Property & Technology
Transcript of Complianceforum - Privacy Compliance
Titeldia
Privacy Compliance
Compliance forum AKD 29 november 2016
Martin HemmerAdvocaat Intellectual Property & Technology
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (14pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Inhoudsopgave
Inhoud
1. Compliance uitdaging door vage normen2. Potentiële boetedreiging3. International transfers (onder AVG) / Privacy Shield4. Datalekken5. Highlights AVG6. Essentiële maatregelen voor compliance7. Contactgegevens
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Compliance uitdaging door vage normen
Privacyrecht kent veel open normen die niet iedereen op dezelfde wijze zal invullen:
Begrip “persoonsgegeven” (Breyer/Duitsland (C-582/14) 19/10/2016 / Bluetrace-zaak)
Gerechtvaardigd / adequaat / behoorlijk en zorgvuldig / passend;
mede uitgaande van een “reasonable expectation of privacy” van het data subject
http://www.bbc.com/news/world-asia-china-34592186
3
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Potentiële boetedreiging
Wbp sinds 2016max. 6e categorie art. 23 WvSr. € 820.000,- danwel 10% Jaaromzet indien boete geen passende bestraffing toelaat
Vanwege open normen / lex certa-beginsel: onder NL regeling in beginsel eerst bindende aanwijzing, tenzij:• Opzet • Ernstig verwijtbare nalatigheid
Bestuurders / feitelijk leidinggevers verantwoordelijke?Vgl.: art. 5:1 lid 3 Awb juncto art. 51 WvSr.
4
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Potentiële boetedreiging
Boetebeleidsregels creëert voor de meeste overtredingen 3 boetecategorieën:
Cat. I: 0 – 200.000,-Cat. II: 120.000,- - 500.000,-Cat. III: 350.000- 820.000 (m.n. bijz. pers. gegevens / medewerkingsplicht)
Bijstelling binnen bandbreedtes afhankelijk van aard/omvang / duur / impact, verwijtbaarheid. Tegenwerking enerzijds en vergaande medewerking anderzijds, danwel schadeloosstelling betrokkenen uit eigen initiatief kan leiden tot aanpassing buiten bandbreedtes.
5
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Internationale transfers AVG
6
Land met passend
beschermings-niveau? (art. 45)
YES
NO
Passende waarborgen?
(art. 46)• BCR’s• Model clauses• Gedragscode• Certificering• Ad hoc
contract
NO
YES
Afwijkingen (art. 49)• Toestemming• Contract• Gewichtige redenen alg.
belang• Rechtsvordering• Vitaal belang
betrokkene• Vanuit publiek register• Dwingende
gerechtvaardigde belangen / niet repititief+notificatie AP
YES
1
2
OKOK
TABEL INVOEGEN
Verwijder de bestaande tabel. Klik op het icoontje om een nieuwe tabel in te voegen.
Kies het aantal gewenste rijen en kolommen en klik op ´OK´
Tekst met TabelTEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
International transfers / Privacy Shield• Schrems arrest / einde Safe Harbor
• Privacy Shield
• Nieuwe procedures / Standard Contractual Clauses / Privacy Shield ter discussie (Irish DPC / Schrems)
• Binding Corporate Rules?
• Invloed The Donald?
7
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Datalekken
• Aantal meldingen valt tegen • Leidt melding tot boeterisico of juist niet?
8
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Wanneer is sprake van een datalek?
9
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Ernstige datalekken
Zijn gegevens van gevoelige aard betrokken? Zo ja: ernstig datalek en meldplicht
• Bijzondere persoonsgegevens• Gegevens over financiële of economische situatie betrokkene• Gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkene
(schoolprestaties / relatieproblemen / werkproblemen)• Gebruikersnamen wachtwoorden• Gegevens die kunnen worden gebruikt voor identiteitsfraude (kopie paspoort / bsn
/ biometrische)• Gegevens die onder een beroepsgeheim vallen (Het feit dat ik Whatsapp gebruik?)
10
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Ernstige datalekken
Leiden aard en omvang tot een aanzienlijke kans op nadelige gevolgen?Zo ja: ernstig datalek en meldplicht
• veel gegevens per persoon of gegevens over veel personen.• Wat is de impact van beslissingen die op basis van de gegevens worden genomen?• Heeft het verlies op impact op aanpalende verwerkingen (gegevens die in een
keten worden gedeeld bijvoorbeeld bij overheden)
Melding moet onverwijld, binnen 72 uur na incident. Melding kan worden aangevuld.
11
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Informeren betrokkene?Waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer?
Melding aan betrokkene kan achterwege blijven als de beveiligingsmaatregelen voldoende bescherming bieden of hebben geboden. Bijvoorbeeld adequate versleuteling. Is daarvan sprake en zijn restrisico’s acceptabel dan hoeft betrokkene niet te worden geïnformeerd.
Is de beveiliging niet optimaal geweest en waarschijnlijk sprake van ongunstige gevolgen voor betrokkene informeringsplicht.
Hoe? Bijvoorbeeld via email, een enkel bericht in de media wordt als onvoldoende aangemerkt.
12
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Ransomware?
Q&A AP 3 oktober 2016.
Onbevoegde toegang = onrechtmatige verwerking
Dienen betrokkenen te worden geïnformeerd?
Afhankelijk van onderzoek. Als uit onderzoek blijkt dat ongunstige gevolgen onwaarschijnlijk zijn, is melding aan de betrokkene onnodig.
13
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Compliance-acties datalekken
• Ken alle verwerkingen waar uw organisatie bij betrokken is!• Goede beveiliging ook organisatorisch (mede ter voorkoming ernstige
verwijtbaarheid); • Awareness / Goed incidentenbeheer inrichten (Vb. Zorg: meldt het MSB intern
aan data protection officer ziekenhuis?);• Beslissen wie in de organisatie datalekken gaat beoordelen en melden bij AP.• Protocol informeren betrokkenen; • Protocol informeren media; • Beheer meldingsplichtige datalekken (bewaarplicht minimaal 1 jaar)• Bewerkersovereenkomsten updaten.
14
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
NIB richtlijn, aparte meldplicht
Netwerk en informatiebeveiligingsrichtlijn (deze zomer aangenomen, voorjaar 2018 van toepassing).
• Staat los van meldplicht datalekken / persoonsgegevens.• Nationale strategie + autoriteit voor de beveiliging van netwerk- en
informatiesystemen• Computercrisisteams / Computer Security Incident Response Team (CSIRT)• Bepaalde marktdeelnemers dienen incidenten met een aanzienlijke impact op de
continuïteit van dienstverlening te melden aan de bevoegde autoriteiten. • Operators of essential services (energie, water, infrastructuur, health care)• Digital service providers
15
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Highlights AVG 25 mei 2018
• Toepasselijkheid• Meldingsplicht vs. register• Nog hogere boetes• Bewerker kan direct worden aangesproken• Privacy bij ontwerp / standaardinstellingen• “Gegevensbeschermingsseffectrapportage”• Dataportabiliteit verstrekte gegevens (art. 20) • Uitgebreidere informatieverplichtingen / rechten betrokkene• Data protection officer
16
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Aanscherping Informatieplicht o.a.
• Bewaartermijn• Volledige info over rechten betrokkene (inzage, rectificatie, wissen, bezwaar en
portabiliteit• Klachtrecht bij AP• Uitleg doel / gerechtvaardigd belang • profiling, reden daarvan en mogelijke gevolgen)
Belangrijkste uitzonderingen• Verwerking voorgeschreven bij wet• Onmogelijk / onevenredig• Of informeren maakt doeleinde onmogelijk
17
TEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
Alleen tekst
Voorkom hoge boetes
Boete oplegging houdt rekening met opzettelijke / nalatige aard / schadebeperkingsmaatregelen / accountability gezien beveiligingsmaatregelen (art. 83 AVG)
• Ken uw datastromen;• Check (bewerkers)overeenkomsten • Check informatieplichten / procedures voor uitoefening rechten• Vergeet niet de organisatorische beveiliging / awareness over privacyrecht• Doe (indien nodig) aan gegevensbescherming bij ontwerp / standaardinstelling• Meld meldingsplichtige inbreuken
18
1
2
OKOK
TABEL INVOEGEN
Verwijder de bestaande tabel. Klik op het icoontje om een nieuwe tabel in te voegen.
Kies het aantal gewenste rijen en kolommen en klik op ´OK´
Tekst met TabelTEXT LEVELS
1
2
3
4
Level vooruit
Level terug
Reguliere tekst (20pt)
5
6
7
8
9
§ Bullets (20pt)
Bronvermelding (16pt)
‒ Sub-bullets (18pt)
Sub-kop donkerblauw (20pt)1. Opsomming (20pt)
§ Bullets # (18pt)Sub-kop lichtblauw (20pt) KAPITALEN-KOP (20PT)
6. Contactgegevens
Martin Hemmer [email protected]
T +31 88 253 5916M +31 6 27742727
19
