privacy in de cloud mr. j.j. braat advocaat it, privacy en contracten legaltree 06-05-2013privacy in...
TRANSCRIPT
Privacy in de cloud
mr. J.J. BraatAdvocaat IT, privacy en contracten
Legaltree
06-05-2013 Privacy in de cloud
Partijen• Verantwoordelijke: alle verplichtingen • Cloud service provider = bewerker• Beveiligingsplicht• Geheimhoudingsplicht
• Andere CSP´s = sub-bewerkers• Idem, o.b.v. overeenkomst
Privacy in de cloud 06-05-2013
Controle is de sleutel
Privacy in de cloud 06-05-2013
- Waar staan de data (data-export verbod)?
- Wie kan er bij de data (overheden)?
- Hoe kom ik bij de data (voldoen aan rechten betrokkenen)?
- Hoe lang worden de data bewaard?
- Hoe zorg ik dat ik aan mijn verplichtingen voldoe?
- Wie kan ik aansprakelijk stellen als het fout gaat?
Betere controle beperkt aansprakelijkheid
21-2-2013 Privacy in de cloud
In house
Public
Tabel is illustratief
Gevolgen wetsovertreding
• Huidig recht:• Schadevergoeding door betrokkene• Reputatieschade• Vermindering vertrouwen klant
• Toekomstig recht:• Aanvullend: hoge boetes
Privacy in de cloud 06-05-2013
Boetes
Privacy in de cloud
Soort overtreding Hoogte boete
Mild 250 000 of 0,5% wereldwijze omzet
Gemiddeld 500 000 of 1% wereldwijze omzet
Ernstig 1 000 000 of 2% wereldwijze omzet
• NL wetsvoorstel meldplicht datalekken:• Tot EUR 250.000 bij niet melden
• Boetes nieuwe wetgeving:
06-05-2013
De boetes op huidige verplichtingen in de cloud
Privacy in de cloud 06-05-2013
Verplichting Boete
Betrokkene tijdig antwoorden op inzageverzoek 250 000 / 0,5 %
Betrokkenen inzage geven in gegevens 500 000 / 1%
Gegevens betrokkenen op verzoek verwijderen 500 000 / 1%
Data export verbod 1 000 000 / 2,5%
Bewerkersovereenkomst sluiten 1 000 000 / 2,5%
De boetes op “nieuwe” verplichtingen in de cloud
Privacy in de cloud 06-05-2013
Verplichting Boete
Documentatieplicht 500 000 / 1%
Zorgen voor data portability 500 000 / 1%
Voldoen aan het recht om vergeten te worden 500 000 / 1%
“Mechanismen” instellen om te voldoen aan rechten betrokkenen, bewaartermijnen
500 000 / 1%
Privacy impact assessment uitvoeren 1 000 000 / 2,5%
Datalekken melden 1 000 000 / 2,5%
Er komen ook zelfstandige verplichtingen voor CSP´s
• Cloud service providers krijgen eigen, zelfstandige verplichtingen, o.a.:• Data export verbod• Geheimhouding• Beveiligen• Sub-bewerkers alleen met toestemming • Meewerkingsplicht
• Niet voldoen = verantwoordelijke = boete
Privacy in de cloud 06-05-2013
Risico´s mitigeren• Risk assessment / privacy impact assessment• Maatregelen m.b.t. persoonsgegevens• Anonimiseren• Encrypten
• Contractuele afspraken maken• Verplichting om cloud bewerkersovereenkomst
sluiten
Privacy in de cloud 06-05-2013
Wat moet er in de bewerkersovereenkomst staan?
Privacy in de cloud 06-05-2013
Laat je niet van de wijs brengenGez. Toezichthouders:
“De onbalans van de contractuele verhouding tussen een kleine
verantwoordelijke en een grote service provider mag geen reden
zijn voor de verantwoordelijke om contractvoorwaarden te
accepteren die in strijd zijn met het Europese Privacyrecht.”
Privacy in de cloud06-05-2013
Vragen?
Privacy in de cloud 06-05-2013
Bieneke BraatLegaltree
http://www.legaltree.nl/nl/partners/bieneke-braat/
Privacy in de cloud 06-05-2013