Aanstaande privacywetgeving welke beren komen op ons af? Anne-Wil Duthler Groningen, 28 januari 2015

Wie zijn wij? Adviseurs en auditors: Speerpunt: privacy en veiligheid Partner: drs. A.J. Biesheuvel RA RE | Duthler Associates Duthler Academy: Speerpunt: opleiden van FG’s | FG cluster | Privacy seals Advocaten: Speerpunt: juridische bijstand Partner: mr. dr. Anne-Wil Duthler | First Lawyers

Agenda > Aanstaande privacywetgeving > Betekenis van wetgeving voor individuen en organisaties > Voorbereiden op de aanstaande privacyregels Ook aanpalende wetgeving, zoals meldplicht datalekken en NIB. Andere ontwikkelingen:

Aanstaande privacywetgeving > Europese algemene verordening gegevensbescherming (AVG) > Wetsvoorstel meldplicht datalekken (33.662) > E–identificatie en vertrouwensdiensten > NIB-richtlijn > Wet cliëntenrechten bij elektronische verwerking van gegevens (33.509) > Wet gegevensverwerking en meldplicht cybersecurity

AVG > Betrokkene krijgt daadwerkelijk de regie over zijn eigen persoonsgegevens > Explicitering van bestaande normen > Accountability en auditibility > Veel nadruk op procedures, mechanismes en maatregelen > Risicogerichte benadering (PIA’s) > Functionaris Gegevensbescherming (FG) > Data protection life cycle, onderdeel corporate governance

Doel wettelijke meldplicht > Informatiebeveiliging op orde brengen > Verantwoordelijke biedt werkelijk transparantie over verwerkingen > Boetes zijn bedoeld als stok achter de deur > Datalek op zichzelf levert geen boete van €810.000,- op > Het niet melden levert forse boete op. > Het niet gedocumenteerd hebben levert forse boete op.

Meldplicht datalekken > Uitbreiding sanctiebevoegdheden van College bescherming persoonsgegevens > Boetes kunnen worden opgelegd aan verantwoordelijke, bewerker en medepleger > Medepleger kan zijn feitelijk opdrachtgever of feitelijk leidinggevende > Uitbreiding sanctiebevoegdheden van CBP (bindende aanwijzing)

Meldplicht datalekken > Inbreuken moeten worden gemeld als: technische en organisatorische maatregelen hebben niet gefunctioneerd én die ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens > Inbreuken: niet noodzakelijkerwijs tekortschietende beveiligingsmaatregelen. Ook indien de beveiliging van voldoende niveau is, kunnen de maatregelen worden teniet gedaan of omzeild. binnen 24 uur melden.

Meldplicht datalekken Art. 14 Wbp De verantwoordelijke draagt er zorg voor dat: > De bewerker de verplichtingen nakomt die op de verantwoordelijke rusten om datalekken te melden. > De beveiligingsmaatregelen en de meldingsplicht schriftelijk worden vastgelegd. Bewerkersovereenkomsten aanpassen!

Meldplicht datalekken > Uitbreiding boetebevoegdheid CBP: 4e categorie (EUR 20.250,-) of 6e categorie (EUR 810.000,-). > 6e categorie, nadat het een bindende aanwijzing heeft gegeven, tenzij de overtreding opzettelijk is gepleegd. 4e categorie: overtreding art. 4 lid 3 of 78, lid 2 aanhef en onder a. 6e categorie Art. 23 lid 7 Wetboek van Strafrecht: max 10% van de jaaromzet.

Risico’s? Terug naar het doel: beveiliging en transparantie. > Het niet onverwijld melden levert risico op. Niet het hebben van het datalek zelf. > Het niet signaleren van een datalek levert risico op. > Het niet gedocumenteerd hebben van verwerkingen levert risico op. Namelijk non-compliance met Wbp staat bij voorbaat vast. Vergelijk met status van het handelsregister.

Betekenis AVG en de meldplicht datalekken voor organisaties > Beveiliging op orde en transparantie over gegevensverwerkingen. > Procedures en mechanismes om gegevens te beschermen i.p.v. algemene meldingsplicht > PIA’s in geval van specifieke risico’s > Aantonen dat aan de Avg/ Wbp is voldaan. > Om aan te tonen dat aan de Avg/ Wbp is voldaan: > Dient verantwoordelijke en verwerker elke verwerking te documenteren! > Moet deze documentatie op verzoek kunnen worden verstrekt aan het CBP.

Voorbereiding, oftewel het temmen van de ‘beren’ Wat heeft een organisatie nodig? > Overzicht en inzicht in alle verwerkingen, gerelateerd aan processen en informatiesystemen > Per verwerking vaststellen dat wordt voldaan aan privacy- en informatiebeveiligingseisen > Review bewerkerscontracten > Corporate governance, incl. klokkenluidersregeling, toerusten op aanstaande privacywetgeving.

Contactinformatie Voor meer informatie kunt u contact opnemen met: Duthler Associates Drs. A.J. Biesheuvel RE RA Partner Frankenslag 137 2582 HH Den Haag Tel: 070 - 392 22 09 Mail: a.j.biesheuvel@duthler.nl First Lawyers Mr. dr. A.W. Duthler Tel: 070 – 306 00 33 Mail: a.w.duthler@firstlawyers.nl