evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

32
Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid Johan Vandendriessche Partner | Crosslaw Gastprofessor ICT-recht | UGent | HoWest [email protected] www.crosslaw.be

Upload: johan-vandendriessche

Post on 11-Apr-2017

71 views

Category:

Law


0 download

TRANSCRIPT

Page 1: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Evoluties inzake verwerking van persoonsgegevensen informatieveiligheid

Johan VandendriesschePartner | CrosslawGastprofessor ICT-recht | UGent | HoWest

[email protected]

Page 2: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Wijzigingen in de wetgeving: een stand van zakenWat komt er op ons af?

Brussels - Kortrijk | www.crosslaw.be 2

Page 3: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

AVG: stand van zaken

❖ Geüniformeerde regelgeving binnen de EU❖ Goedgekeurd EP op 14 april 2016❖ Toepassing vanaf 25 mei 2018

❖ Toepassingsgebied❖ Materieel

• Verwerking van persoonsgegevens

❖ Territoriaal• Vestiging binnen de EU• Geen vestiging binnen de EU

❖ Administratieve vereenvoudiging?❖ Afschaffing van de aangifteverplichting❖ “One-Stop-Shop”-mechanisme

❖ Sanctiemechanismen

Brussels - Kortrijk | www.crosslaw.be 3

Page 4: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

NIS-Richtlijn

❖ Richtlijn 2016/1148/EU – Netwerk- en Informatiesystemen❖ Verplichtingen voor de lidstaten: nationale strategie voor beveiliging van netwerk- en

informatiesystemen vaststellen❖ Verplichtingen voor aanbieders van essentiële diensten en digitaledienstverleners:

beveiligings- en meldingsplichten❖ Deadline voor omzetting: 9 mei 2018

❖ Basisconcepten❖ Netwerk- en Informatiesystemen (NIS)❖ Aanbieders van essentiële diensten

• Dienst van essentieel belang voor instandhouding kritieke maatschappelijk en/of economische activiteiten

• Dienstverlening is afhankelijk van netwerk- en informatiesystemen• Incident zou aanzienlijke verstorende effecten hebben voor dienstverlening

❖ Digitaledienstverlener

Brussels - Kortrijk | www.crosslaw.be 4

Page 5: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

NIS-Richtlijn

❖ Beveiligingseisen van de netwerk- en informatiesystemen van aanbieders van essentiële diensten❖ Risicobeheer

• Passende en evenredige technische en organisatorische maatregelen om risico te beheersen

• Op risico’s afgestemd beveiligingsniveau, rekening houdend met de stand van de techniek

❖ Incidentbeheer• Passende maatregelen om gevolgen van incidenten met betrekking tot netwerk- en

informatiesystemen gebruikt voor essentiële diensten te voorkomen en te minimaliseren om de continuïteit te waarborgen

• Meldingsplicht met betrekking tot incidenten met aanzienlijke gevolgen voor continuïteit van de essentiële diensten• Verstrekte informatie wordt vertrouwelijk behandeld• Melding leidt niet tot verhoogde aansprakelijkheid• Publiek kan worden geïnformeerd (onder voorwaarden)

Brussels - Kortrijk | www.crosslaw.be 5

Page 6: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

NIS-Richtlijn

❖ NIS-Richtlijn is ruimer en minder ruim dan bestaand wettelijk kader kritieke sectoren❖ Ruimere afbakening personeel toepassingsgebied

❖ Meer beperkte afbakening materieel toepassingsgebied

❖ Beperkte gevolgen voor financiële sector❖ Belgische financiële sector is reeds kritieke sector

❖ Netwerk- en informatiesystemen worden meestal gebruikt voor verwerking persoonsgegevens• Reeds bestaande beveiligingsplicht

• Allicht grotendeels samenvallende meldingsplicht

❖ Implementatie wetgever?

Brussels - Kortrijk | www.crosslaw.be 6

Page 7: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Voorstel ePrivacy

❖ Geüniformeerde regelgeving binnen de EU❖ Wetgevend proces is lopende

❖ Doelstelling: toepassing vanaf 25 mei 2018

❖ Toepassingsgebied❖ Materieel

❖ Territoriaal

❖ Impact op OTT-communicatie, marketing, cookies, …

❖ Sanctiemechanismen vergelijkbaar met AVG

Brussels - Kortrijk | www.crosslaw.be 7

Page 8: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Voorstel ePrivacy

❖ Impact op direct marketing❖ Opt-in

• Verzending direct marketing via elektronische-communicatiediensten aan natuurlijke personen

❖ Opt-out• E-mail aan bestaande klanten met marketing voor soortgelijke eigen producten of

diensten

• Marketing via telefoon aan natuurlijke personen?

• Rechtspersonen?

❖ Toestemming = toestemmingsbegrip uit AVG

Brussels - Kortrijk | www.crosslaw.be 8

Page 9: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Voorstel ePrivacy

❖ Impact op o.a. cookies❖ Verbod op gebruik van verwerkings- en opslagcapaciteit van eindapparatuur

❖ Verbod op verzamelen van gegevens uit eindapparatuur (o.a. over software en hardware)

❖ Uitzonderingen• Noodzakelijk met als uitsluitend doel overdracht elektronische communicatie

• Toestemming eindgebruiker

• Noodzakelijk voor het aanbieden van een aangevraagde dienst van de informatiemaatschappij

• Noodzakelijk om omvang van het publiek van een website te maten, mits meting door aanbieder website

❖ Viseert o.a. cookies, spyware, webbugs, …

Brussels - Kortrijk | www.crosslaw.be 9

Page 10: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Voorstel ePrivacy

❖ Impact op location based marketing❖ Verbod op verzamelen van gegevens uit eindapparatuur om een aansluiting te

maken

❖ Uitzonderingen• Uitsluitend met oog op aansluiting

• Duidelijk en zichtbaar bericht, met uitgebreide informatieplicht• Doelstellingen

• Verantwoordelijke

• Naleving AVG indien persoonsgegevens

• Maatregelen om verzamelen te beperken of te beëindigen

❖ Typische “track & trace” via zendsignalen van GSM, wifi, …

Brussels - Kortrijk | www.crosslaw.be 10

Page 11: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

ImplementatieEnkele algemene aandachtspunten

Brussels - Kortrijk | www.crosslaw.be 11

Page 12: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Responsabilisering als basisregel van de GDPR

❖ Filosofie van de AVG wijkt gedeeltelijk af van de filosofie van de Richtlijn 1995/46/EG❖ Responsabilisering

❖ Risico-gebaseerde aanpak

❖ Richtlijn: sporadische omkering bewijslast, rol van betrokkenen en toezichthouders❖ Principe van responsabilisering uitgewerkt in adviezen

❖ AVG: documentatieplicht en aantoonbare naleving van de AVG❖ Uitdrukkelijk opgenomen en sterk uitgewerkt in het wettelijke kader

Brussels - Kortrijk | www.crosslaw.be 12

Page 13: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Compliance als voordeel

❖ Externe compliance verplichtingen versoepelen de toepassing van de AVG❖ Verwerkingsgrondslag

• Toestemming

• Contractuele / precontractuele maatregelen

• Wettelijke of regelgevende verplichting

• Legitiem belang

❖ Toetsing legitiem belang• Fraudebeheersing

• Intra-groep transfers

• Beveiliging van netwerk- en informatiesystemen

❖ Toetsing bij sanctiemechanismen

Brussels - Kortrijk | www.crosslaw.be 13

Page 14: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Overzicht quick wins implementatie

❖ Documenteer en analyseer de bestaande verwerkingen van persoonsgegevens

❖ Evalueer het geheel van bestaande overeenkomsten binnen de onderneming❖ Standaardovereenkomsten en disclaimers

❖ Ad hoc overeenkomsten (verwerkingsovereenkomsten)

❖ Verstrek opleiding aan de relevante medewerkers

❖ Wijzig de bestaande verwerkingen voor zover vereist of wenselijk❖ Compliance afweging

❖ Praktische afweging

Brussels - Kortrijk | www.crosslaw.be 14

Page 15: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Verwerkingsregister

❖ Bijhouden “Register van de verwerkingsactiviteiten”❖ Verwerkingsverantwoordelijke❖ Verwerker

❖ Inhoud voor verwerkingsverantwoordelijke❖ Identificatie en contactgegevens, met inbegrip van DPO❖ Verwerkingsdoeleinden❖ Categorieën van betrokkenen en categorieën persoonsgegevens❖ Categorieën van ontvangers❖ Uitvoer van persoonsgegevens❖ Bewaringstermijnen❖ Algemene beschrijving veiligheidsmaatregelen

❖ Inhoud voor verwerker verschilt licht (contextueel)

Brussels - Kortrijk | www.crosslaw.be 15

Page 16: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Verwerkingsregister

❖ Samenstelling van register❖ Bestaande aangiftes bij CBPL als basis?

• Eerste indicatie

• Onvolledig vergeleken met vereisten AVG

• Nuttig als startpunt en controlemechanisme volledigheid

❖ Audit van bestaande verwerkingen

❖ Aanbeveling: voeg elementen van informatieplicht toe aan het register❖ Register en informatieplicht vallen niet samen

❖ Resultaten zijn basis voor verdere analyse❖ Juridische compliance

❖ Praktische overwegingen

Brussels - Kortrijk | www.crosslaw.be 16

Page 17: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Analyse van het verwerkingsregister

❖ Elke verwerkingsactiviteit moet worden geanalyseerd❖ Focus = verschilpunten Richtlijn 95/46/EG vs AVG

❖ Aandachtspunten❖ Finaliteit

• Risicoanalyse (risico – hoog risico): impact verplichtingen

❖ Verwerkingsgrondslag• Toestemming

• Wenselijk gelet op mogelijkheid intrekking toestemming?

• Alternatief voor toestemming?

• Legitiem belang• Identificeer het onderliggende legitieme belang

• Voer de belangenafweging uit en documenteer dit

Brussels - Kortrijk | www.crosslaw.be 17

Page 18: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Analyse van het verwerkingsregister

❖ Verificatie van verrichte kennisgevingen❖ Analyseer de tekortkomingen

❖ Pas de kennisgevingen (disclaimers) aan

❖ Voeg versiebeheer toe aan het verwerkingsregister

❖ Bewaartermijnen❖ Analyseer en documenteer de bewaartermijnen

❖ Analyseer de beveiliging van elke verwerking

❖ Identificeer ontvangers❖ Indien verwerker, verifieer en wijzig de verwerkingsovereenkomst indien van

toepassing na 25 mei 2018

Brussels - Kortrijk | www.crosslaw.be 18

Page 19: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Relatie verantwoordelijke - verwerkerWat wijzigt er ten opzichte van vandaag?

Brussels - Kortrijk | www.crosslaw.be 19

Page 20: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Het begrip ‘verwerker’

❖ Verwerker❖ een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst

of een ander orgaan

❖ ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerken

❖ Handhaving van definitie van Richtlijn 1995/46/EG❖ Interpretatie Artikel 29 Werkgroep blijft relevant

❖ AVG vermeldt herkwalificatie als regel

Page 21: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Toepassing van de AVG

❖ Fundamentele wijziging in AVG t.o.v. Richtlijn 1995/46/EG❖ Toepassing wordt radicaal gewijzigd

❖ Inhoudelijk eerder een evolutie

❖ Toepassingsgebied uitgebreid naar verwerkers❖ Materieel toepassingsgebied

❖ Territoriaal toepassingsgebied

❖ Gevolg❖ Rechtstreekse wettelijke verplichtingen in hoofde van de verwerker

❖ Rechtstreekse toepassing van het aansprakelijkheidsregime op verwerkers

Page 22: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Verplichtingen van de verwerker

❖ Schriftelijke aanstelling van een vertegenwoordiger indien niet gevestigd in de EU❖ Niet voor incidentele verwerkingen❖ Niet voor overheidsinstanties of –organen

❖ Overeenkomst❖ Verwerkingsverantwoordelijke❖ Sub-verwerkers

❖ Modalisering van de aanstelling van sub-verwerkers

❖ Bijhouden van een register van verwerkingsactiviteiten

❖ Medewerkingsplicht t.a.v. de toezichthoudende overheid

❖ Beveiligingsplicht

❖ Meldingsplicht inzake inbreuken in verband met persoonsgegevens

Page 23: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Modalisering aanstelling sub-verwerkers

❖ Beperking keuzevrijheid sub-verwerkers❖ Voorafgaande toestemming van verwerkingsverantwoordelijke

• Specifiek

• Algemeen• Bij aanpassing: informatie over beoogde verandering

• Mogelijkheid van bezwaar in hoofde van verwerkingsverantwoordelijke

• Impact op standaarddiensten?

❖ Doorschuiven van contractuele verplichtingen❖ “ononderbroken ketting” van verwerkersovereenkomsten

Page 24: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Keuze verwerker

❖ Keuze van de verwerker❖ Beperking in hoofde van de verwerkingsverantwoordelijke

❖ Verwerkers die afdoende garanties bieden• Passende technische en organisatorische maatregelen

• Voldoen aan vereisten van de AVG en de bescherming van de rechten van de betrokkene

• Ruimer dan loutere beveiliging

❖ Concrete toepassing• Evaluatie in de context van de selectieprocedure

• Certificatie

• Gedragscodes

• Documentatie is aangewezen (beginsel van aantoonbare naleving)

Page 25: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Wijzigingen op het vlak van disclaimersen overeenkomstenEvolutie of revolutie?

Brussels - Kortrijk | www.crosslaw.be 25

Page 26: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Disclaimers

❖ Disclaimer = informatiemiddel

❖ Verruimde informatieplicht AVG❖ Identiteit verwerkingsverantwoordelijke en zijn DPO❖ Verwerkingsdoeleinden en de grondslag❖ De gerechtvaardigde belangen, indien van toepassing❖ (Categorieën) van ontvangers en persoonsgegevens❖ Internationale doorgiften❖ Bewaartermijn❖ Rechten van de betrokkene❖ Bestaan van het recht om de toestemming in te trekken❖ Klachtrecht❖ …

Brussels - Kortrijk | www.crosslaw.be 26

Page 27: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Disclaimers

❖ Noodzaak om disclaimers aan te passen❖ Geen overgangsmaatregel voor bestaande verwerkingen

• Toestemmingsbegrip is gewijzigd

• Informatieplicht is gewijzigd

❖ Relatief beperkte ingreep

❖ Mededeling van vernieuwde disclaimers❖ Kostprijs is een aandachtspunt

❖ Recurrent contact met betrokkenen?

Brussels - Kortrijk | www.crosslaw.be 27

Page 28: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Overeenkomsten

❖ Contracten in verband met verwerking van persoonsgegevens❖ Hoofdzakelijk verwerkingsovereenkomsten

❖ Aandachtspunten• Formele en inhoudelijke vereisten AVG

• Aansprakelijkheid en vrijwaringsplicht

❖ Doorkruist AVG contractuele aansprakelijkheidsregels tussen partijen?❖ Gemeen recht: onbeperkte aansprakelijkheid, maar eerder ongebruikelijk in

commerciële overeenkomsten

❖ Markttendens over de voorbije jaren: onbeperkte aansprakelijkheid bij inbreuken op wetgeving rond verwerking van persoonsgegevens• Hoge administratieve geldboetes zullen tendens allicht versterken

Brussels - Kortrijk | www.crosslaw.be 28

Page 29: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Contractuele aspecten van de samenwerking met een verwerker

❖ Verplichte aanwezigheid van overeenkomst of bindende rechtshandeling❖ Formele vereisten

❖ Inhoudelijke vereisten

❖ Formele vereisten❖ Schriftelijk of in elektronische vorm

❖ Onderscheid is niet relevant in Belgisch recht

❖ Artikel XII.15 WER (geschrift)• een opeenvolging van verstaanbare tekens die toegankelijk zijn voor een latere

raadpleging, welke ook de drager en de transmissiemodaliteiten ervan zijn

Page 30: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Contractuele aspecten van de samenwerking met een verwerker

❖ Inhoudelijke vereisten❖ Omschrijving hoofdelementen overeenkomst❖ het onderwerp en de duur van de verwerking❖ de aard en het doel van de verwerking❖ het soort persoonsgegevens en de categorieën van betrokkenen❖ de rechten en verplichtingen van de verwerkingsverantwoordelijke

❖ Naleving van deze bepaling is niet steeds voor de hand liggend❖ Hosting van geëncrypteerde gegevens❖ Hosting van niet-gestructureerde data❖ Impact op vrijstelling aansprakelijkheid hosting (artikel XII.19 WER)?

• Overweging 21 bij AVG• Artikel 2, 4° AVG

Page 31: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Contractuele aspecten van de samenwerking met een verwerker

❖ Inhoudelijke vereisten❖ Uitdrukkelijke bepaling:

• Verwerking uitsluitend op basis van schriftelijke instructies, behoudens wettelijke verplichting (mits voorafgaande kennisgeving van wettelijke bepaling)• Informatieplicht inzake onwettelijke instructies

• Vertrouwelijkheid in hoofde van tussenkomende personen (contractueel of wettelijk)

• Passende technische en organisatorische maatregelen om bijstand te verlenen bij uitoefening rechten betrokkene

• Beveiligingsplicht

• Retransitieverplichting bij einde overeenkomst

• Terbeschikkingstelling informatie en bijstand bij audits

• Regeling aanstelling sub-verwerkers

Page 32: Evoluties inzake verwerking van persoonsgegevens en informatieveiligheid

Compliance heeft toekomst!

Brussels - Kortrijk | www.crosslaw.be 32