Transcript 2016.10.13_Reed Business.pptx

13-10-16
PRIVACY EN DATAPROTECTIE CONGRES!
13 OKTOBER 2016 | KONTAKT DER KONTINENTEN
SOESTERBERG!
!
wat nou, een nieuwe
privacywet..!!
!
prof mr. Gerrit-Jan Zwenne
wáár gáát
waar
gaat het over?
• enkele losse opmerkingen
over de AVG (‘lost in
translation’)
• een nieuwe toezichthouder,
een nieuw geluid(..?)
• eerste ervaringen met de
meldplicht datalekken
• wat verder nog ter tafel
komt (wat doen we met de
FG?)
ENKELE OPMERKINGEN OVER
DE AVG
1
13-10-16
betekenis van de nieuwe privacywet
Artikel 99
veel van hetzelfde
ook nieuwe dingen
en soms best wel
ingewikkeld
inwerkingtreding
en toepassing
meer
beter
erger
riskanter
serieuzer
belangrijker
enz.
bijzondere gegevens, zorg, bsn,
journalistieke exceptie (informatievrijheid) uitzonderingen, etc.
1. Deze verordening treedt in werking
op de twintigste dag na die van de
bekendmaking ervan in het Publicatieblad van de Europese Unie.
2. Zij is van toepassing met ingang
van 25 mei 2018.
waarom eigenlijk een verordening?
met verschillende
taalversies
AVG
implementatiewet
& veegwet
beleidsneutrale
implementatie
aanpassingen in
andere wetten
in heel Europa
één privacywet
bedoeling: minder
fragmentatie
minder minder…?
2
13-10-16
Artikel 23
1. De
De reikwijdte
reikwijdte van
van de
de verplichtingen
verplichtingen en
en rechten
rechten als
als
1.
bedoeld
in
de
artikelen
12
tot
en
met
22
en
artikel
bedoeld in de artikelen 12 tot en met 22 en artikel
34, alsmede
alsmede in
in artikel
artikel 55 kan,
kan, voor
voor zover
zover de
de
34,
bepalingen van
van die
die artikelen
artikelen overeenstemmen
overeenstemmen met
met
bepalingen
de rechten
rechten en
en verplichtingen
verplichtingen als
als bedoeld
bedoeld in
in de
de
de
artikelen 12
12 tot
tot en
en met
met 20,
20, worden
worden beperkt
beperkt door
door
artikelen
middel van
van Unierechtelijke
Unierechtelijke of
of lidstaatrechtelijke
lidstaatrechtelijke
middel
bepalingen die
die op
op de
de verwerkingsverantwoordelijke
verwerkingsverantwoordelijke
bepalingen
of de
de verwerker
verwerker van
van toepassing
toepassing zijn
zijn …
…
of
Overw. 84
Artikel 23
Article 23
1. De reikwijdte van de
verplichtingen en rechten als
bedoeld in de artikelen 12 tot en met
22 en artikel 34, alsmede in artikel 5
kan, voor zover de bepalingen van
die dat
artikelen
overeenstemtmen
artikelen
overeenstemmen
met
met
de rechten
en verplichtingen
de rechten
en verplichtingen
als als
bedoeld in de artikelen 12 tot en met
20, kan
worden
beperkt
middel
worden
beperkt
doordoor
middel
van
van
Unierechtelijke
of
Unierechtelijke
of lidstaatrechtelijke
lidstaatrechtelijke
die op
bepalingen die opbepalingen
de
de
verwerkingsverantwoordelijke
of
verwerkingsverantwoordelijke
of de
de
verwerker
toepassing
verwerker
vanvan
toepassing
zijn zijn
……
1. Union or Member State law
to which the data controller or
processor is subject may
restrict by way of a legislative
measure the scope of the
obligations and rights provided
for in Articles 12 to 22 and
Article 34, as well as Article 5 in
so far as its provisions
correspond to the rights and
obligations provided for in
Articles 12 to 22…
Teneinde de naleving van deze
verordening te verbeteren indien
de verwerking waarschijnlijk
gepaard gaat met hoge risico's in
verband met de rechten en
vrijheden van natuurlijke
personen, dient de
verwerkingsverantwoordelijke of
de verwerker verantwoordelijk te
zijn voor het verrichten van een
gegevensbeschermingseffectbeo
gegevensbeschermingseffectordeling om om
metmet
name
de de
beoordeling
name
oorsprong, de aard, het specifieke
karakter en de ernst van dat risico
te evalueren.
Recital 84
In order to enhance
compliance with this
Regulation where processing
operations are likely to result
in a high risk to the rights
and freedoms of natural
persons, the controller
should be responsible for the
carrying-out of a data
protection impact
assessment to evaluate, in
particular, the origin, nature,
particularity and severity of
that risk.
3
13-10-16
een nieuwe naam, een nieuw logo, een nieuw gebouw, een nieuwe voorzitter
EEN NIEUWE TOEZICHTHOUDER,
EEN NIEUW GELUID
een nieuw geluid
Een bestuurlijke boete van €820.000
nog niet opgelegd (dat
komt nog wel)
"Als wij samen naar de bibliotheek zouden
gaan en er zou bij de ingang een man staan
met een camera, die permanent zou
meelopen. Welk boek je inkijkt, waar je naar
zoekt… Nou, die sla je onmiddelijk in elkaar.
Althans vrij snel. Nu zit de bibliotheek op
internet en gebeurt hetzelfde. En niemand
maakt zich er zorgen over. Vind ik raar."
raar."
normen
bepalingen
zorgvuldige verwerking, welbepaald
gerechtvaardigd verzameldoel en doelbinding
bewaartermijnen, geen bovenmatige verwerking…
art. 6 tot en met 8,
9, 10, eerste lid, 11
t/m 12
beveiligingsverplichtingen (incl. meldplicht
datalekken)
art. 13, 34a
verwerkingsverbod bijzondere gegevens
(gezondheid, etniciteit, strafrechtelijk etc.) en BSN
art. 16 en 24
informatieplichten, inzage en correctierechten, opt- art. 33, 34, 35, 36,
out-rechten bij direct marketing en profilering
38 t/m 40, 41 en 42
internationale gegevensdoorgifte
art. 76 t/m 78
medewerking aan handhavingsonderzoeken
art. 5:20 Awb
4
13-10-16
onze eerste ervaringen met
DE MELDPLICHT DATALEKKEN
en straks onder de AVG..?
Art. 33(1) en 34(1) AVG
Art. 34a(1) en (2) Wbp
melding bij
toezichthouder
tenzij onwaarschijnlijk dat er
een risico is voor de rechten
en vrijheden van natuurlijke
personen
aanzienlijke kans op ernstige
nadelige gevolgen voor de
bescherming van
persoonsgegevens
melding bij
betrokkene
waarschijnlijk hoog risico voor waarschijnlijk ongunstige
rechten en vrijheden van
gevolgen voor de persoonlijke
natuurlijke personen
levenssfeer
5
13-10-16
wél melden
níet melden
• technische storing in ziekenhuis
waardoor medische gegevens zijn
ingezien door onbevoegden
• foutief geadresseerde brief,
ongeopend teruggestuurd
• kopieën paspoort of rijbewijs,
bank- of creditcardnrs,
wachtwoorden, enz.
• zoekgeraakte en ongeopend
teruggevonden koffer
• verloren ledenadministratie van
tennisvereniging
• verpleegkundige 'leent' wachtwoord
van co-assistent
• laptop met onversleutelde
financiële gegevens
• tablet met versleutelde gegevens,
maar geen back-up
wat verder nog ter tafel komt
• envelop met creditcardgegevens
WVTTK
bestand i.d.z.v. art. 1(c) Wbp…?
functionaris voor de
gegevensbescherming of
“FG”
taken:
• informeren en adviseren over
AVG-verplichtingen
• toezicht houden op de naleving
van die verplichtingen
• adviseren over DPIA’s
• contact onderhouden met Ap
• samenwerken met Ap
verplicht voor
• overheden
• regelmatige en stelselmatige
observatie op grote schaal
• grootschalige verwerking van
bijzondere gegevens
vereisten:
• professionele kwaliteiten en, in
het bijzonder, zijn deskundigheid
op het gebied van de wetgeving
en de praktijk inzake
gegevensbescherming, en
• vermogen om zijn taken te
vervullen.
6
13-10-16
jargon…
g.j.zwenne@law.leidenuniv.nl
VRAGEN…?
7