Sessie Privacy Rotterdam Festivals, Bibliotheek Rotterdam | 17 november 2017
Globaal programma
Privacy en bescherming persoonsgegevens in het kort Doelbinding Toestemming en informatieplicht Verantwoordelijke vs. bewerker – overeenkomsten Websitebezoek, CRM-systemen, gepersonaliseerde mailings, bezoekersgegevens
Inleiding - privacy en bescherming van persoonsgegevens Privacy ≠ bescherming van persoonsgegevens “Mark Rutte is minister-president van Nederland” Gegevensbeschermingsrecht van toepassing indien: Verwerking Van persoonsgegevens Geheel of gedeeltelijk geautomatiseerd Of in een bestand
Inleiding – Algemene Verordening Gegevensbescherming Wet bescherming persoonsgegevens (‘Wbp’) implementatie van Richtlijn 95/46/EG Algemene Verordening Gegevensbescherming vervangt Wbp per 25 mei 2018 Evolutie, geen revolutie t.o.v. huidige stelsel in Nederland, in het bijzonder na de invoering meldplicht datalekken en boetebevoegdheid Autoriteit Persoonsgegevens per 1 januari 2016 Rechtstreekse werking – wel aantal mogelijkheden tot aanvulling door lidstaten
Ontwerp Uitvoeringswet AVG
AVG: veel keuze-opties lidstaten. Voor Nederland uitgewerkt in (ontwerp) uitvoeringswet. Internetconsultatie Doelstelling: beleidsneutrale implementatie Onderwerpen: Autoriteit Persoonsgegevens Bijzondere persoonsgegevens Rechtsbescherming Uitzonderingen en beperkingen Profileren op grond van wettelijke verplichting/ algemeen belang Algemene uitzonderingen BSN
Bescherming van persoonsgegevens: kern
 Normen die zich richten op verantwoordelijke
 Hoofdbeginselen:
Doelbinding
Doelbinding Verwerking verantwoorden aan de hand van verzameldoel, verwerkingsgrondslag, (on)verenigbaarheid Beperkte autonomie: toestemming als extra verwerkingsgrondslag, recht op vergetelheid, recht van bezwaar proportionaliteit/ subsidiariteit – dataminimalisatie, bewaartermijn
Transparantie (meldplicht AP) Informatieplicht Artikelen 33 en 34 Wbp/ 13 en 14 AVG: rechtstreeks van betrokkene of via derde? kennisnemingsrecht betrokkene meldplicht datalekken
Zorgvuldigheid
Kwaliteit – recht van rectificatie Beveiliging (Verwerkers)overeenkomsten Doorvoer van gegevens buiten EU
Accountability
Verantwoordingsplicht Passende technische en organisatorische maatregelen om naleving te waarborgen en aan te kunnen tonen Gegevensbeschermingsbeleid Gezamenlijk verwerkingsverantwoordelijken: transparante regeling Register van verwerkingsactiviteiten Data Protection Impact Assessments Consultatie toezichthouder (art. 36) Certificering
Doelbinding
Bijzondere persoonsgegevens Ras of etnische afkomst HR 23 maart 2010, NJ 2010, 355: foto is ook rasgegeven. Verordening: overweging 51
Lidmaatschap vakbond Gezondheid Seksueel gedrag of seksuele gerichtheid
Politieke opvattingen Religieuze of levensbeschouwelijke overtuigingen Nieuw: genetische data, biometrische gegevens voor identificatie Persoonsgegevens betreffende stafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen: afzonderlijke categorie Verwerking bijzondere persoonsgegevens: aanvullende grondslag nodig in de artt. 17-23 Wbp
Rechtsgrond: toestemming
Kan altijd worden ingetrokken “vrij” – niet geschikt voor verticale relatie Specifiek en op informatie berustend Ondubbelzinnig vs. uitdrukkelijke toestemming: bijzondere persoonsgegevens. E-mail: altijd opt-in, tenzij bestaande klant (in dat geval opt-out – zowel bij verzamelen gegevens als in iedere e-mail)
Toestemming - AVG
Toestemming: “verklaring of een ondubbelzinnige actieve handeling”. “Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag (…) niet als toestemming gelden” (art. 4.11; overweging 32) Bijzondere persoonsgegevens: “uitdrukkelijke toestemming”. Is er nog verschil met ondubbelzinnige toestemming? Voorafgaand mededelen dat toestemming weer kan worden ingetrokken; intrekken even eenvoudig als geven Afzonderlijk – granulariteit Geen vrije toestemming indien toestemming wordt vereist voor verwerking die niet noodzakelijk is voor uitvoering van de overeenkomst? Bestaande toestemming alleen geldig indien overeenkomstig de voorwaarden van de AVG – overweging 171
Cookies/ web beacons Informatieplicht Toestemmingsplicht Geen toestemming nodig voor cookies die: strikt noodzakelijk zijn om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren of – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij. Analytical Cookies zonder toestemming toegestaan, ook van derden, mits niet voor andere doeleinden dan analyse (dus o.a. niet profilering, gerichte reclame) Google Analytics: “Handleiding privacyvriendelijk instellen van Google Analytics”
Profilering
Besluit dat alleen op een geautomatiseerde verwerking is gebaseerd (waaronder profilering), waaraan rechtsgevolgen voor de betrokkene zijn verbonden of dat hem anderszins in aanmerkelijke mate treft, verboden tenzij: noodzakelijk voor sluiten of uitvoeren overeenkomst of met toestemming betrokkene; in deze gevallen passende beschermingsmaatregelen waaronder tenminste recht op menselijke tussenkomst, recht te worden gehoord, recht van verzet. toegestaan door Unie- of nationale wetgeving die voorziet in passende waarborgen. niet toegestaan indien besluiten worden gebaseerd bijzondere gegevens (tenzij toestemming/ zwaarwegend algemeen belang).
Informatieplicht AVG (I) Artikel 13: gegevens verzameld bij de betrokkene Bij de verkrijging Niet indien de betrokkene al over de informatie beschikt Artikel 14: Informatie niet van betrokkene verkregen Binnen een redelijke termijn – uiterlijk binnen één maand na verkrijging Bedoeld voor communicatie met betrokkene/ verstrekking aan een derde: uiterlijk op het moment van eerste contact met de betrokkene/ verstrekking aan de derde Niet (i.) indien de betrokkene al over de informatie beschikt, (ii.) onmogelijk/ onevenredige inspanning (iii.) maakt doeleinden verwerking onmogelijk of brengt deze ernstig in gevaar; (iv.) uitzondering in EU- of nationaal recht; (iv.) beroepsgeheim Verdere verwerking: opnieuw informeren Iconen: gedelegeerde handelingen Europese Commissie
Informatieplicht AVG (II) Artikelen 13 en 14: ruime categorieën te verstrekken informatie Identiteit en contactgegevens verwerkingsverantwoordelijke (indien van toepassing: fg) Doeleinden en rechtsgronden (indien van toepassing: gerechtvaardigde belangen)
Ontvangers of categorieën van ontvangers Doorgifte aan derde land of internationale organisatie Bewaartermijn Rechten van de betrokkene, waaronder het recht op te klagen bij de AP
Bron van de gegevens Geautomatiseerde besluitvorming, waaronder profilering: nuttige informatie over de onderliggende logica, gevolgen voor de betrokkene
Rollen partijen: verantwoordelijke en bewerker Verantwoordelijke: natuurlijke- of rechtspersoon of bestuursorgaan Stelt doelen en middelen verwerking vast Formeel-juridische zeggenschap Toerekening naar de maatstaven die in het maatschappelijk verkeer gelden Alleen of tezamen met anderen: Eén gemeenschappelijke verantwoordelijke Afzonderlijke verantwoordelijkheid per deelverwerking Gezamenlijke verantwoordelijkheid Bewerker: Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan diens rechtstreekse gezag te zijn onderworpen
Overeenkomsten Met bewerker: schriftelijke bewerkersovereenkomst verplicht Met andere verantwoordelijken: ook goed contract sluiten! Art. 26 AVG Gebruiksbeperking Naleving wetgeving Wie vraagt toestemming/ voldoet aan informatieplicht
Data protection compliance
Privacy-organisatie FG? Bewustwording Sturing Procedures
Overeenkomsten met verwerkers ĂŠn met verwerkingsverantwoordelijken Informatie/ toestemmingsteksten
Beveiligingsplan Meldplicht datalekken DP by design/ default Dataportabiliteit
Accountability: Beleid Register DPIA
mr. J.A.N. Baas jan.baas@barentskrans.nl www.barentskrans.nl 070 – 376 0640
mr. J.A.N. (Jan) Baas T. 070 – 376 06 40 E. jan.baas@barentskrans.nl
Bezoekadres Lange Voorhout 3 2514 EA Den Haag T. 070 – 376 06 06 E. info@barentskrans.nl
Postadres Postbus 30457 2500 GL Den Haag T. 070 – 376 06 06 F. 070 – 365 18 56