3. • Iedereen heeft wel iets te verbergen, al is het alleen al iets waar je
je voor schaamt. Betekent dit dan dat je geen recht meer hebt op
privacy?
• Privacy vertegenwoordigt een grondwettelijk recht van ieder mens
dat zelfs verankerd is in de Universele Verklaring van de Rechten
van de Mens opgesteld door de Verenigde Naties in 1948
• Daarom kan zelfs het (mogelijk) opsporen van criminelen niet het
argument zijn om een inbreuk te doen op de privacy
• Dit geldt ook voor universele rechten als de vrijheid van
meningsuiting en het recht om met rust gelaten te worden
Belang van
Privacy
4. Belang van
Privacy
• Zonder Privacy is er bijna géén sociale interactie mogelijk, omdat
het vertrouwen dan volledig weg is (denk aan het communistische
tijdperk)
• Zonder Privacy is er ook géén commerciële interactie mogelijk,
omdat klanten niet zullen kopen (althans zeker niet online) van een
bedrijf dat ze niet vertrouwen. Klanten zullen hun interactie en hun
band met organisaties tot een minimum willen beperken.
• Kortom: zonder Privacy worden we
teruggeworpen op een soort
Middeleeuwse tijd waarin iedereen zich
terugtrekt in zijn eigen vesting
5. Begrippen &
Afkortingen
Om deze presentatie gemakkelijk te kunnen volgen, introduceer ik
eerst een aantal belangrijke begrippen en afkortingen
• Betrokkene / Data Subject: dit is een identificeerbaar persoon waar persoonlijke gegevens
van worden verzameld en bewerkt
• Verantwoordelijke / Data Controller: dit is een natuurlijke of rechtspersoon die de doelen
vast stelt voor het verwerken van persoonlijke gegevens
• Bewerker / Data Processor: deze verwerkt persoonlijke gegevens in opdracht van de
Verantwoordelijke, zonder aan zijn gezag te zijn onderworpen
• Toezichthouder / Data Protection Authority (DPA): ieder land heeft een toezichthouder die
er op toeziet dat de privacy op het gebied van persoonlijke gegevens wordt nageleefd; in
Nederland is dat het College Bescherming Persoonsgegevens (CBP)
6. • De huidige wetgeving op het gebied van privacy en data protectie
dateert van 2001 (Wet Bescherming Persoonsgegevens (WBP)
• En deze is gebaseerd op de General Data Protection Directive van
de Europese Unie uit 1995 (95/46/EC)
• De Directive is echter niet meer van deze tijd. Sinds 1995 hebben
zich talloze technologische en innovatieve ontwikkelingen
voorgedaan die vragen om strengere wetgeving
De General Data Protection Directive (95/46/EC) van de Europese
Unie is een protocol waar alle landen binnen de EU hun eigen
wetgeving op moeten baseren. In Nederland heeft dat geleid tot
de WBP. Het nadeel daarvan is natuurlijk dat elk land zijn eigen
invulling geeft en dat er dus geen uniformiteit heerst. Waardoor
bedrijven als Facebook, Google, Dell en LinkedIn bijvoorbeeld
liever hun Europese hoofdkantoor in Dubin zetten, omdat dat het
land is met de minste bescherming in Europa.
Aanleiding
7. Aanleiding
• Bedrijven als Facebook, Twitter of LinkedIn zijn pas ver na 2000
opgericht
• De ontwikkelingen op het gebied van Internet of Things en Big Data
hebben grote consequenties voor onze Digitale Veiligheid
• Tegelijkertijd kunnen IoT en Big Data alleen maar bestaan als de
Digitale Wereld Veilig is. Want alleen dan zullen mensen het
vertrouwen hebben om hier hun persoonlijke gegevens achter te
laten
De Verzekeraar AXA heeft een app ontwikkeld:
AXA Drive
Zogenaamd om je te rijvaardigheden te helpen
verbeteren.
Maar tegelijkertijd verzameld AXA allerlei informatie
over jouw rijstijl en de intentie is om mensen met
een onveilige rijstijl in de toekomst meer te laten
betalen voor hun verzekering.
9. • Eurocommissaris voor Justitie en Mensenrechten, Viviane Reding,
is de aanjager geweest van de nieuwe GDPR
• Op 25 januari 2012 kondigt ze de nieuwe GDPR aan, waarbij ze
nog maar eens aanstipt dat in 1995 ten tijde van het ontstaan van
de Directive minder dan 1% van de Europese bevolking internet
gebruikte. Waarbij tegenwoordig bijna iedereen internet gebruikt en
zijn of haar data met de snelheid van het licht de aarde rond
gestuurd wordt
• Op 21 oktober 2013 bereikt het Europees Parlement na
maandenlange onderhandelingen een akkoord over de
ontwerptekst
Ontstaan
GDPR
10. Ontstaan
GDPR
• De EU Council (de Raad van Ministers), heeft op 15 juni 2015
ingestemd met de nieuwe GDPR
• Vanaf dan tot eind 2015 vindt er 3 keer een overleg plaats tussen
Europees Parlement, de Europese Commissie en de European
Council om de meningsverschillen te bespreken
• Het streven is om de nieuwe GDPR per 1 januari 2016 in te laten
gaan, met een overgangstermijn van 2 jaar
11. Territoriale Scope
• Alle lidstaten op het grondgebied van de Europese Unie
• Wat niet wil zeggen dat een bedrijf persé in Europa gevestigd moet
zijn: zodra een niet-Europees bedrijf producten of diensten
aanbiedt gericht op EU burgers, moet dit bedrijf zich houden aan de
GDPR
Hoofdlijnen
GDPR
12. One-Stop-Shop
• Bedrijven die zich op meerdere landen binnen de EU richten,
hebben slechts één Data Protection Authority (DPA) als
aanspreekpunt voor alle dataverwerkingen
• Ter discussie staat o.a. nog:
• of de One-Stop-Shop vrijwillig of automatisch is
• of het wel zo handig is dat een Nederlands ingezetene naar
bijv. een Spaanse DPA moet om zijn recht te halen
Hoofdlijnen
GDPR
13. Toestemming van de Betrokkene (art. 7)
• aanscherping bestaande wetgeving
• Bewijslast voor het bestaan van toestemming ligt volledig bij de
Verantwoordelijke
• Toestemming moet specifiek en onderscheidend zichtbaar zijn, ook
als deze wordt verkregen in een grotere algemene context
• De Betrokkene moet zijn toestemming kunnen intrekken en moet
dan worden geïnformeerd over de mogelijke gevolgen
• De toestemming is gerelateerd aan een specifiek doel en vervalt
zodra dit doel niet meer relevant is
Hoofdlijnen
GDPR
14. Inzagerecht van de Betrokkene (art. 12)
• Als verwerkingen van persoonsgegevens automatisch gebeuren,
moet de Verantwoordelijke ervoor zorgen dat de Betrokkene ook
via een automatische mogelijkheid zijn inzagerecht kan uitoefenen
Hoofdlijnen
GDPR
15. Data Portability (Art. 15.2a)
• Als gegevens van de Betrokkene elektronisch worden verwerkt,
heeft hij het recht
• deze gegevens elektronisch te kunnen opvragen
• op een wijze die interoperabel is (software onafhankelijk)
• en zonder dat de Betrokkene voor verder gebruik afhankelijk
is van de Verantwoordelijke
• indien realistisch mogelijk, moet het mogelijk zijn de data door
te laten geven van de ene Verantwoordelijke naar de andere
Hoofdlijnen
GDPR
16. Recht om vergeten te worden (Art. 17)
De Betrokkene heeft het recht om zijn informatie te laten verwijderen.
Hiervoor kunnen vele redenen zijn:
• gegevens zijn niet langer noodzakelijk voor het oorspronkelijke doel
• Betrokkene trekt zijn toestemming in
• er is geen wettelijke basis meer
• de bewaartermijn is verstreken
• Betrokkene verzet zich tegen de wijze van gegevens verwerking (zie ook
Art.19)
• Rechtbank besluit dat de gegevens definitief verwijderd moeten worden
• de gegevens zijn onrechtmatig verwerkt
Hoofdlijnen
GDPR
17. Hoofdlijnen
GDPR
Datalek notificatie (Art. 31 en 32)
• Bij een datalek moet de Verantwoordelijke < 72 uur de
Toezichthouder (CBP of andere DPA) inlichten
• Tevens moeten de Betrokkenen worden ingelicht
• de DPA moet een openbaar register bijhouden van alle datalekken
18. Hoofdlijnen
GDPR
Data Protection Impact Assessment (Art. 33)
• Als er grote risico’s verbonden zijn aan de gegevensverwerking
moet door de Verantwoordelijke een Data Protection Impact
Assessment (DPIA) worden uitgevoerd
• De DPIA moet beschikbaar zijn voor de DPA
• Dit omvat o.a.:
• beschrijving van de beoogde processen
• toelichting mbt deze processen in relatie tot beoogde doeleinden
• overzicht van mogelijke risico’s voor de Betrokkenen
• Lijst met veiligheidsmaatregelen die zullen worden genomen
• Bewaartermijnen
• Lijst met ontvangers van de gegevens
19. Hoofdlijnen
GDPR
Aanstellen Data Protection Officer (DPO) (Art.35-37)
• In de definitieve draft van het Europees Parlement staat dat een
DPO moet worden aangesteld indien:
• De verwerking gebeurt door een overheidsinstelling
• De verwerking gebeurt door een rechtspersoon, waarbij het gaat om >
5.000 Betrokkenen over een periode van 12 aaneengesloten maanden
• De verwerking betrekking heeft op gevoelige persoonsgegevens
• De verwerking leidt tot het structureel en systematisch monitoren van
Betrokkenen
• De Raad van Europa verschilt hier trouwens over van mening en
zet in op géén verplichte aanstelling van een DPO
• Hier moet dus nog verder over onderhandelt worden
20. Hoofdlijnen
GDPR
Administratieve sancties (Art. 79)
• Als de verordening niet wordt nageleefd door een organisatie kan
de DPA diverse sancties opleggen:
• Een brief in geval van eerste of onregelmatige overtreding
• Regelmatige audits door de DPA
• boete van €100 miljoen (!) of 5% jaarlijkse omzet
21. Gevolgen
en Impact
4 typen Privacy risico’s voor organisaties
Volgens het Gartner Risk & Security Survey, 2015 maken
organisaties zich zorgen om 4 typen Privacy risico’s:
• Reputatie- en merk schade: 45% van de ondervraagde organisaties is bang
voor reputatieschade a.g.v. privacy risico’s en 43% is bang voor het verlies
van klanten
• Compliance: 33% van de organisaties is bang voor boetes, audits of andere
sancties door de DPA
• Mislopen van zakelijke kansen: 33% van de organisaties is bang dat ze
omzet mislopen, omdat de sales cycle enorm gaat oplopen a.g.v. privacy
zorgen bij de klanten
• IT Infrastructuur: 32% van de organisaties is bang dat ze onnodige IT
infrastructuur moeten onderhouden om te voldoen aan privacy wetgeving
22. Gevolgen
en Impact
4 typen Privacy risico’s voor organisaties
Volgens het Gartner Risk & Security Survey, 2015 maken
organisaties zich zorgen om 4 typen Privacy risico’s:
• Reputatie- en merk schade: 45% van de ondervraagde organisaties is bang
voor reputatieschade a.g.v. privacy risico’s en 43% is bang voor het verlies
van klanten
• Compliance: 33% van de organisaties is bang voor boetes, audits of andere
sancties door de DPA
• Mislopen van zakelijke kansen: 33% van de organisaties is bang dat ze
omzet mislopen, omdat de sales cycle enorm gaat oplopen a.g.v. privacy
zorgen bij de klanten
• IT Infrastructuur: 32% van de organisaties is bang dat ze onnodige IT
infrastructuur moeten onderhouden om te voldoen aan privacy wetgeving
Voldoende reden
voor een beter Privacybeleid
in jouw organisatie
23. Conclusie
• Zoals altijd zit niemand op verandering te wachten, maar als het
eenmaal achter de rug is, vaart iedereen er wel bij
• En hoe eerder je als organisatie de nieuwe GDPR hebt omarmt en
geïmplementeerd, hoe eerder je toetreedt tot de nieuwe digitaal
veilige wereld en hoe groter je concurrentievoorsprong
Waar wacht je dus nog op?
24. Dare to
Dream
Ask
Neem gerust contact met me op als je wilt weten wat de
consequenties en impact voor jouw organisatie zullen zijn.
Mijn contact details vind je hier:
https://nl.linkedin.com/in/harryheijligers
kun je me meteen een connectieverzoek sturen ;-)