Copyright 2011. Dirkzwager Advocaten & Notarissen
Advocaten en notarissen
Copyright 2011. Dirkzwager Advocaten & Notarissen
Privacyseminar07 april 2011
Copyright 2011. Dirkzwager Advocaten & Notarissen
Verantwoording
In deze presentatie wordt algemene en beknopte informatie verstrekt
over een aantal juridisch relevante ontwikkelingen. Niet beoogd is om
hiermee juridisch advies te geven voor concrete situaties. Hoewel veel
zorg is besteed aan het opstellen van deze presentatie, aanvaardt Dirkzwager advocaten
& notarissen N.V. geen aansprakelijkheid voor
de inhoud ervan.
© Dirkzwager advocaten & notarissen N.V. 2011
Alle rechten voorbehouden.
Copyright 2011. Dirkzwager Advocaten & Notarissen
Inhoud
- Introductie online privacycheck
- Belangrijke recente ontwikkelingen
- Pauze
- Toekomstige ontwikkelingen
Privacycheck Ontwikkelingen Pauze Toekomst
Copyright 2011. Dirkzwager Advocaten & Notarissen
De wet bescherming persoonsgegevens
Privacycheck Ontwikkelingen Pauze Toekomst
Copyright 2011. Dirkzwager Advocaten & Notarissen
De wet bescherming persoonsgegevens- Ordeningswetgeving
- Basisprincipes
- Zorgvuldigheid
- Doelbinding
- Grondslagvereiste
- Gegevenskwaliteit
- Beveiliging & bewaring
- Transparantie
- Verscherpt regime voor bijzondere persoonsgegevens
- Procedurevoorschriften
- Melding bij CBP
- Exportvergunning bij Justitie
Privacycheck Ontwikkelingen Pauze Toekomst
Copyright 2011. Dirkzwager Advocaten & Notarissen
Privacycheck
- Ordeningskarakter WBP maakt geschikt voor checklist c.q.
stappenplan
- Dirkzwager lanceert online privacycheck op:
www.dirkzwagerieit.nl/privacycheck
Privacycheck Ontwikkelingen Pauze Toekomst
Copyright 2011. Dirkzwager Advocaten & Notarissen
Recente ontwikkelingen
- Algemeen
- Opinie over verantwoordelijke en bewerker
- Opinie over verantwoording (accountability)
- Internationaal
- Opinie over toepasselijk recht
- Nieuw modelcontract internationaal gegevensverkeer
- College Bescherming Persoonsgegevens
- Beleid en aandachtspunten
Privacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Verantwoordelijke en bewerker
- Opinie 1/2010 van artikel 29WG
- Verheldert definitie van verantwoordelijke en bewerker
- Belang:
- primair aanspreekpunt WBP is verantwoordelijke
- bewerker heeft beperkte aansprakelijkheid maar ook beperkte
mogelijkheden
- van invloed op modelcontract dat gehanteerd moet worden
Privacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Verantwoordelijke en bewerker- Verantwoordelijke:
- Wet: degene die “het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”
- Doel & middelen: het “waarom” en het “hoe”
- Middelen is zowel techniek als organisatorische uitvoering. Vragen als “welke gegevens”, “wie heeft toegang”, “hoe lang bewaard”, etc.
- Vuistregels:
- Vaststellen doel? Dan altijd verantwoordelijke
- Vaststellen middelen? (nieuw!)
- Bij wezenlijke aspecten van middelen verantwoordelijke
- Bij niet-wezenlijke aspecten verantwoordelijke of bewerker
- Weinig tot geen keuzevrijheid bij bepalen hoe en waarom van de verwerking? Dan waarschijnlijk bewerker.
- Primair feitelijk beoordelen
- Formele verhoudingen kunnen wel aanwijzing geven
- Indien geen formele of feitelijke zeggenschap, dan geen verantwoordelijke
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Verantwoordelijke en bewerker- Bewerker:
- Wet: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen”
- Kenmerken volgens opinie:
- Aparte rechtspersoon;
- Verwerkt in opdracht en ten behoeve van verantwoordelijke;
- Is dus verplicht aanwijzingen van verantwoordelijke op te volgen!
- Opdracht bakent bevoegdheden van bewerker af
- Bewerker mag sub-bewerker inschakelen (nieuw!)
- Ondergeschiktheid jegens verantwoordelijke blijft overeind
- Effectief toezicht moet mogelijk blijven
- Informeren verantwoordelijke
- Voorzieningen treffen (contractueel) zodat sub-bewerker toezicht en instructies verantwoordelijke aanvaardt
- Bewerker die opdracht te buiten gaat, maakt zichzelf tot verantwoordelijke
- Ook hier primair feitelijk beoordelen. Niet “wegcontracteerbaar”
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Verantwoordingsbeginsel
- Opinie 3/2010 van artikel 29 WG
- Advies aan Europese Commissie in het kader van herziening privacyrecht
- Geen wetgevende kracht, noch interpretatie van bestaande wetgeving, wel
belangrijk signaal opvatting toezichthouders
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Verantwoordingsbeginsel
- Toenemende belang privacybescherming:
- Steeds meer gegevens beschikbaar;
- Waarde van gegevens stijgt (online betaalmiddel);
- Risico’s nemen navenant toe.
- Introductie verantwoordingsbeginsel
- Concrete en doeltreffende maatregelen nemen
- Bewijs voor die maatregelen vastleggen
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Verantwoordingsbeginsel
- Voorbeelden van maatregelen
- Voor verwerking aanvangt al beleid over die verwerking opstellen
- Vooraf beleid opstellen over nog onvoorziene verwerkingen
(procedureafspraken)
- In kaart brengen van gegevensverwerkingen die plaatsvinden
- Functionaris voor gegevensbescherming aanstellen
- Opleiding en voorlichting aan medewerkers aanbieden compliance
programma
- Transparante procedures opstellen voor rechten betrokkene (inzage,
correctie, verzet)
- Beleid over hoe om te gaan met inbreuken op de beveiliging
- Actief toezicht houden op al dit beleid
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Verantwoordingsbeginsel
- Aantal en aard te nemen maatregelen afhankelijk van
- Risico’s van de verwerking
- Aard te beschermen gegevens
- Analogie met bestaande beveiligingsverplichting (artikel 13 WBP).
- Meer concreet meewegen:
- Omvang van gegevensverwerking;
- Soort gegevens (gevoelig?);
- Beoogde doelen van verwerking;
- Voorziene aantal doorgiften.
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Verantwoordingsbeginsel
- Opinie laat zien hoe toezichthouders nu al over privacytoezicht denken
- Wie “accountable” is, doorstaat sneller toets der kritiek toezichthouders. Zelfs invloed op hoogte boete.
- Maar… niet ieder beleid is goed beleid.
- Is minder nieuw dan het lijkt
- Voldoen aan WBP vereist nu de facto al dat er beleid is.
- Openheid over dat beleid valt nu tot op zekere hoogte al onder informatieverplichting
- Instemmingsrecht OR op privacybeleid
- Openheid over dat beleid zal bij handhaving ook nu al gegeven moeten worden
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Toepasselijk recht
- Opinie 8/2010 artikel 29 WG
- Relevantie:
- Richtlijn 95/46/EG is niet uniform in nationale wetgeving omgezet
- Richtlijn biedt bovendien interpretatieruimte op diverse punten,
waaronder over toepasselijk recht
- Doel richtlijn is juist effectieve privacybescherming
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Toepasselijk recht
- Toepasselijk recht bepaalt:
- Hoe de wet (richtlijn) geïnterpreteerd moet worden;
- Wie toezichthouder is;
- Welke sancties er op overtreding van het privacyrecht staan;
- Welke rechter bevoegd is;
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Toepasselijk recht
- Genuanceerde opinie met vele “mitsen en maren”
- Kernpunten:
- Verwerkingen die plaatsvinden in het kader van activiteiten van vestiging in bepaald land, worden beheerst door recht van dat land (ook al vindt verwerking in ander land plaats)
- Activiteiten bewerker zijn voor wat betreft beveiligingsmaatregelen onderworpen aan land bewerker
- Doel richtlijn moet steeds nagestreefd worden: bieden effectieve bescherming voor betrokkene op eenvoudige, werkbare en voorspelbare wijze
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Toepasselijk recht
Nederlands hoofdkantoor
•Onderneemt eigen verkoopactiviteiten
•Bepaalt gehele concernbeleid verwerkingen
Italiaanse dochteronderneming
•Eigen verkoopactiviteiten
•Eigen personeelsbeleid
Duits datacentrum
•Verwerkt alle gegevens gehele concern
- In Nederland:
- Nederlands recht op eigen gegevens en verwerkingen
- Italiaanse recht op gegevens Italiaanse activiteiten
- In Italië:
- Italiaanse recht op eigen verwerkingen
- Nederlands recht op verwerkingen die Italiaanse dochter in hoedanigheid “bewerker” uitvoert
- In Duitsland
- Nederlands recht op verwerkingen namens moeder
- Italiaans recht op verwerkingen namens dochter
- Duits recht op naleving beveiligingsmaatregelen
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Modelcontract internat.
gegevensverkeer
- Waarom ook alweer modelcontracten?
- Data-export naar landen zonder passend beschermingsniveau verboden,
behoudens exportvergunning
- Vergunning wordt slechts verleend indien belangen privacyrecht
gewaarborgd zijn
- Bij gebruik modelcontracten is die waarborg een gegeven en mag
lidstaat de exportvergunning in beginsel niet weigeren
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Modelcontract internat.
gegevensverkeer
- Nieuwe modelcontracten voor inschakeling bewerkers in landen zonder
passend beschermingsniveau
- EC 2010/87/EU d.d. 05-02-2010
- Toelichting (FAQ) door artikel 29 WG in WP176
- Voor export naar verantwoordelijken in dergelijke landen modelcontract
2001/497/EC of C(2004)5271 blijven gebruiken
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Modelcontract internat.
gegevensverkeer
- Nieuw: buitenlandse bewerkers mogen buitenlandse sub-bewerkers
inschakelen
- Let wel: Europese bewerkers mogen dit niet!
- Gebruik modelovereenkomst tussen verantwoordelijke en sub-bewerker
- Volmacht verantwoordelijke aan bewerker om namens hem sub-
bewerker overeenkomst te sluiten
- Eigen overeenkomsten
- Relevant voor bijvoorbeeld cloud computing
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Modelcontract internat.
gegevensverkeer- Verplichtingen exporteur onder meer
- Naleven recht dat van toepassing is op de verwerking
- Niet handelen in strijd met wetgeving lidstaat bewerker
- Garantie dat beveiligingsmaatregelen
- geschikt zijn bevonden (test vereist!)
- actief op wordt toegezien
- Bij bijzondere persoonsgegevens vooraf betrokkene informeren
- Op verzoek contracten met (sub)bewerkers aan betrokkene ter beschikking stellen
- Actief toezien op naleving verplichtingen
- Aanvaarding aansprakelijkheid jegens betrokkene
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Modelcontract internat.
gegevensverkeer
- Verplichtingen importeur (bewerker) onder meer
- Garantie zich te beperken tot instructies verantwoordelijke
- Verantwoordelijke op hoogte stellen van wijzigingen wetgeving die afbreuk doet aan privacybescherming
- Kennisgeving van verstrekking gegevens aan derden
- Bewuste verstrekking (bijvoorbeeld handhaving lokale overheid)
- Onbewuste verstrekking (hack, ongeoorloofde toegang)
- Inzage geven aan verantwoordelijke in eigen organisatie
- Schriftelijke toestemming inschakelen sub-bewerkers en afschrift van contracten met sub-bewerkers
- Aanvaarding aansprakelijkheid jegens betrokkene indien verantwoordelijke is verdwenen, opgehouden te bestaan of failliet is gegaan (idem sub-bewerkers)
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Beleid CBP
- Per 01-02-2011 prioriteit aan overtredingen die (cumulatief):
- ernstig;
- structureel;
- veel mensen treffen;
- handhavend ingrijpen effectief verschil kan maken.
- Aandachtspunten 2010:
- naleving van de informatieplicht en
- de onrechtmatige verstrekking van persoonsgegevens aan derden.
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Beleid CBPAandachtspunten 2010 private sector:
- Onderzoek naar onrechtmatige verstrekking van persoonsgegevens aan
derden (listbrokers);
- Onderzoek bij handelsinformatiebureaus;
- Richtsnoeren inzake de beveiliging van persoonsgegevens;
- Richtsnoeren inzake de informatieplicht.
Aandachtspunten publieke sector
- Naleving wbp terrein sociale zekerheid;
- Onderzoek opvragen medische gegevens door gemeenten bij aanvragen
ondersteunende voorzieningen;
- Toezicht op gebruik Europese databanken ten behoeve van politie- en
justitiesamenwerking.
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Pauze
• Koffie/thee/fris staat voor
u klaar
• Vragen zijn welkom, ook
bij collega’s (herkenbaar aan Dirkzwager badge)
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Verantw. / bewerker Verantwoording Toepasselijk recht Modelcontract Beleid CBP
Copyright 2011. Dirkzwager Advocaten & Notarissen
Toekomstige ontwikkelingen
- Verminderen administratieve lasten
- Uitbreiding vrijstellingsbesluit
- Duidelijkheid cookie-wetgeving
- Melding beveiligingslekken
- Herziening privacyrichtlijn
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Administratieve lasten Vrijstellingsbesluit Cookies Beveiligingslekken Herziening richtlijn
Copyright 2011. Dirkzwager Advocaten & Notarissen
Verminderen administratieve lasten
- Wetsvoorstel 31 841 aanhangig bij de Tweede Kamer
- Enkele verplichtingen die eerst “zo spoedig mogelijk” moesten worden nagekomen, nu binnen vier weken en ruimte voor respijt
- Niet langer verplichting om jaarlijks te wijzen op recht van verzet, maar eigen verantwoordelijkheid
- Geen vergunning voor data-export bij modelcontracten
- Verhoging boetes naar 7.600 euro en 19.000 euro (categorie hoger)
- Verder enkele wetstechnische verbeteringen
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Administratieve lasten Vrijstellingsbesluit Cookies Beveiligingslekken Herziening richtlijn
Copyright 2011. Dirkzwager Advocaten & Notarissen
Uitbreiding vrijstellingsbesluit
- Verruiming bewaartermijn camerabeelden
- Vrijstelling verwerking persoongegevens intranet en persoonlijke websites
- Algemene verduidelijkingen
- CBP is kritisch over voorstel om vrijstelling ook te laten gelden voor
concerndoorgifte naar landen zonder passend beveilgingsniveau
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Administratieve lasten Vrijstellingsbesluit Cookies Beveiligingslekken Herziening richtlijn
Copyright 2011. Dirkzwager Advocaten & Notarissen
Duidelijkheid cookies
- Mag je cookies plaatsen?
- Richtlijn (e-privacy (2002/58) gewijzigd van “ja, mits” in “nee, tenzij”
- Considerans: toestemming afleiden uit instellingen browser
- Europese privacytoezichthouders: “toestemming is actieve handeling”
- Wetsvoorstel haakt aan bij considerans
- Raad van State zeer kritisch
- Regering nuanceert: alleen goed geïnformeerde gebruiker die cookies
niet weigert geeft mogelijk impliciete toestemming
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Administratieve lasten Vrijstellingsbesluit Cookies Beveiligingslekken Herziening richtlijn
Copyright 2011. Dirkzwager Advocaten & Notarissen
Melding beveiligingslekken
- In regeringsakkoord algemene meldplicht datalekken aangekondigd
- Ook later bevestigd bij bijvoorbeeld brief minister Opstelten 23-12-2010
- Moet nog vormgegeven worden.
- Mogelijk aansluiting bij meldplicht datalekken in telecomsector (richtlijn nr.
2009/136/EG)
- aanbieder van openbare elektronische communicatiediensten moet
toezichthouder en (meestal ook) betrokkenen informeren over “inbreuk in
verband met persoonsgegevens”
- deadline implementatie 25 mei 2011
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Administratieve lasten Vrijstellingsbesluit Cookies Beveiligingslekken Herziening richtlijn
Copyright 2011. Dirkzwager Advocaten & Notarissen
Herziening privacyrichtlijn
- Verwachting dat in zomer 2011 eerste voorstellen komen voor herziening
richtlijn
- Komende half jaar dus ongetwijfeld ook meer privacynieuws
Privacycheck Ontwikkelingen Pauze ToekomstPrivacycheck Ontwikkelingen Pauze Toekomst
Administratieve lasten Vrijstellingsbesluit Cookies Beveiligingslekken Herziening richtlijn
Copyright 2011. Dirkzwager Advocaten & Notarissen
Jaap Kronenberg 026 353 83 77 [email protected]
Mark Jansen 026 353 83 23 [email protected]
Einde
- Zijn er vragen?
- Stel deze nu, tijdens de
borrel of neem later
contact met ons op:
Copyright 2011. Dirkzwager Advocaten & Notarissen
Advocatuur Arnhem
Postbus 3045
6802 DA Arnhem
Kantoor Velperpoort
Velperweg 1
6824 BZ Arnhem
T +31 (0)26 353 83 00
F +31 (0)26 351 07 93
Notariaat Arnhem
Postbus 111
6800 AC Arnhem
Kantoor Velperpoort
Velperweg 1
6824 BZ Arnhem
T +31 (0)26 365 55 55
F +31 (0)26 365 55 00
Advocatuur Nijmegen
Postbus 55
6500 AB Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 31 31
F +31 (0)24 322 20 74
Notariaat Nijmegen
Postbus 1104
6501 BC Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 27 27
F +31 (0)24 324 07 26