Impact van de nieuwe

General Data

Protection Regulation(GDPR)

op jouw organisatie

Harry Heijligers

Data Protection Officer (DPO)

bij:

Een Veilige Digitale Wereld met

Privacy als 5e P in de

Marketingmix

• Iedereen heeft wel iets te verbergen, al is het alleen al iets

waar je je voor schaamt. Betekent dit dan dat je geen recht

meer hebt op privacy?

• Privacy vertegenwoordigt een grondwettelijk recht van

ieder mens dat zelfs verankerd is in de Universele

Verklaring van de Rechten van de Mens opgesteld door de

Verenigde Naties in 1948

• Daarom kan zelfs het (mogelijk) opsporen van criminelen

niet het argument zijn om een inbreuk te doen op de

privacy

• Dit geldt ook voor universele rechten als de vrijheid van

meningsuiting en het recht om met rust gelaten te worden

Belang van

Privacy

Belang van

Privacy

• Zonder Privacy is er bijna géén sociale interactie mogelijk,

omdat het vertrouwen dan volledig weg is (denk aan het

communistische tijdperk)

• Zonder Privacy is er ook géén commerciële interactie

mogelijk, omdat klanten niet zullen kopen (althans zeker

niet online) van een bedrijf dat ze niet vertrouwen. Klanten

zullen hun interactie en hun band met organisaties tot een

minimum willen beperken.

• Kortom: zonder Privacy worden we

teruggeworpen op een soort

Middeleeuwse tijd waarin iedereen zich

terugtrekt in zijn eigen vesting

Begrippen &

Afkortingen

Om deze presentatie gemakkelijk te kunnen volgen,

introduceer ik eerst een aantal belangrijke begrippen en

afkortingen

• Betrokkene / Data Subject: dit is een identificeerbaar persoon waar

persoonlijke gegevens van worden verzameld en bewerkt

• Verantwoordelijke / Data Controller: dit is een natuurlijke of rechtspersoon die

de doelen vast stelt voor het verwerken van persoonlijke gegevens

• Bewerker / Data Processor: deze verwerkt persoonlijke gegevens in opdracht

van de Verantwoordelijke, zonder aan zijn gezag te zijn onderworpen

• Toezichthouder / Data Protection Authority (DPA): ieder land heeft een

toezichthouder die er op toeziet dat de privacy op het gebied van persoonlijke

gegevens wordt nageleefd; in Nederland is dat het College Bescherming

Persoonsgegevens (CBP)

• De huidige wetgeving op het gebied van privacy en data

protectie dateert van 2001 (Wet Bescherming

Persoonsgegevens (WBP)

• En deze is gebaseerd op de General Data Protection

Directive van de Europese Unie uit 1995 (95/46/EC)

• De Directive is echter niet meer van deze tijd. Sinds 1995

hebben zich talloze technologische en innovatieve

ontwikkelingen voorgedaan die vragen om strengere

wetgevingDe General Data Protection Directive (95/46/EC) van de Europese Unie is een protocol waar alle landen binnen de EU hun eigen wetgeving op moeten baseren. In Nederland heeft dat geleid tot de WBP. Het nadeel daarvan is natuurlijk dat elk land zijn eigen invulling geeft en dat er dus geen uniformiteit heerst. Waardoor bedrijven als Facebook, Google, Dell en LinkedIn bijvoorbeeld liever hun Europese hoofdkantoor in Dubin zetten, omdat dat het land is met de minste bescherming in Europa.

Aanleiding

Aanleiding

• Bedrijven als Facebook, Twitter of LinkedIn zijn pas ver na

2000 opgericht

• De ontwikkelingen op het gebied van Internet of Things en

Big Data hebben grote consequenties voor onze Digitale

Veiligheid

• Tegelijkertijd kunnen IoT en Big Data alleen maar bestaan

als de Digitale Wereld Veilig is. Want alleen dan zullen

mensen het vertrouwen hebben om hier hun persoonlijke

gegevens achter te latenDe Verzekeraar AXA heeft een app ontwikkeld:

AXA DriveZogenaamd om je te rijvaardigheden te helpen verbeteren.Maar tegelijkertijd verzameld AXA allerlei informatie over jouw rijstijl en de intentie is om mensen met een onveilige rijstijl in de toekomst meer te laten betalen voor hun verzekering.

Hoog tijd dus

voor een nieuwe wetmet dank

aan Vivane Reding

• Eurocommissaris voor Justitie en Mensenrechten, Viviane

Reding, is de aanjager geweest van de nieuwe GDPR

• Op 25 januari 2012 kondigt ze de nieuwe GDPR aan,

waarbij ze nog maar eens aanstipt dat in 1995 ten tijde van

het ontstaan van de Directive minder dan 1% van de

Europese bevolking internet gebruikte. Waarbij

tegenwoordig bijna iedereen internet gebruikt en zijn of

haar data met de snelheid van het licht de aarde rond

gestuurd wordt

• Op 21 oktober 2013 bereikt het Europees Parlement na

maandenlange onderhandelingen een akkoord over de

ontwerptekst

OntstaanGDPR

OntstaanGDPR

• De EU Council (de Raad van Ministers), heeft op 15 juni

2015 ingestemd met de nieuwe GDPR

• Vanaf dan tot eind 2015 vindt er 3 keer een overleg plaats

tussen Europees Parlement, de Europese Commissie en de

European Council om de meningsverschillen te bespreken

• Het streven is om de nieuwe GDPR per 1 januari 2016 in te

laten gaan, met een overgangstermijn van 2 jaar

Territoriale Scope

• Alle lidstaten op het grondgebied van de Europese Unie

• Wat niet wil zeggen dat een bedrijf persé in Europa

gevestigd moet zijn: zodra een niet-Europees bedrijf

producten of diensten aanbiedt gericht op EU burgers,

moet dit bedrijf zich houden aan de GDPR

Hoofdlijnen

GDPR

One-Stop-Shop

• Bedrijven die zich op meerdere landen binnen de EU

richten, hebben slechts één Data Protection Authority (DPA)

als aanspreekpunt voor alle dataverwerkingen

• Ter discussie staat o.a. nog:

• of de One-Stop-Shop vrijwillig of automatisch is

• of het wel zo handig is dat een Nederlands ingezetene

naar bijv. een Spaanse DPA moet om zijn recht te

halen

Hoofdlijnen

GDPR

Toestemming van de Betrokkene (art. 7)

• aanscherping bestaande wetgeving

• Bewijslast voor het bestaan van toestemming ligt volledig

bij de Verantwoordelijke

• Toestemming moet specifiek en onderscheidend zichtbaar

zijn, ook als deze wordt verkregen in een grotere algemene

context

• De Betrokkene moet zijn toestemming kunnen intrekken en

moet dan worden geïnformeerd over de mogelijke gevolgen

• De toestemming is gerelateerd aan een specifiek doel en

vervalt zodra dit doel niet meer relevant is

Hoofdlijnen

GDPR

Inzagerecht van de Betrokkene (art. 12)

• Als verwerkingen van persoonsgegevens automatisch

gebeuren, moet de Verantwoordelijke ervoor zorgen dat de

Betrokkene ook via een automatische mogelijkheid zijn

inzagerecht kan uitoefenen

Hoofdlijnen

GDPR

Data Portability (Art. 15.2a)

• Als gegevens van de Betrokkene elektronisch worden

verwerkt, heeft hij het recht

• deze gegevens elektronisch te kunnen opvragen

• op een wijze die interoperabel is (software

onafhankelijk)

• en zonder dat de Betrokkene voor verder gebruik

afhankelijk is van de Verantwoordelijke

• indien realistisch mogelijk, moet het mogelijk zijn de

data door te laten geven van de ene Verantwoordelijke

naar de andere

Hoofdlijnen

GDPR

Recht om vergeten te worden (Art. 17)

De Betrokkene heeft het recht om zijn informatie te laten

verwijderen. Hiervoor kunnen vele redenen zijn:

• gegevens zijn niet langer noodzakelijk voor het oorspronkelijke doel

• Betrokkene trekt zijn toestemming in

• er is geen wettelijke basis meer

• de bewaartermijn is verstreken

• Betrokkene verzet zich tegen de wijze van gegevens verwerking

(zie ook Art.19)

• Rechtbank besluit dat de gegevens definitief verwijderd moeten

worden

• de gegevens zijn onrechtmatig verwerkt

Hoofdlijnen

GDPR

Hoofdlijnen

GDPR

Datalek notificatie (Art. 31 en 32)

• Bij een datalek moet de Verantwoordelijke < 72 uur de

Toezichthouder (CBP of andere DPA) inlichten

• Tevens moeten de Betrokkenen worden ingelicht

• de DPA moet een openbaar register bijhouden van alle

datalekken

Hoofdlijnen

GDPR

Data Protection Impact Assessment (Art. 33)

• Als er grote risico’s verbonden zijn aan de

gegevensverwerking moet door de Verantwoordelijke een

Data Protection Impact Assessment (DPIA) worden

uitgevoerd

• De DPIA moet beschikbaar zijn voor de DPA

• Dit omvat o.a.:

• beschrijving van de beoogde processen

• toelichting mbt deze processen in relatie tot beoogde

doeleinden

• overzicht van mogelijke risico’s voor de Betrokkenen

• Lijst met veiligheidsmaatregelen die zullen worden genomen

• Bewaartermijnen

• Lijst met ontvangers van de gegevens

Hoofdlijnen

GDPR

Aanstellen Data Protection Officer (DPO) (Art.35-37)

• In de definitieve draft van het Europees Parlement staat

dat een DPO moet worden aangesteld indien:

• De verwerking gebeurt door een overheidsinstelling

• De verwerking gebeurt door een rechtspersoon, waarbij het

gaat om > 5.000 Betrokkenen over een periode van 12

aaneengesloten maanden

• De verwerking betrekking heeft op gevoelige

persoonsgegevens

• De verwerking leidt tot het structureel en systematisch

monitoren van Betrokkenen

• De Raad van Europa verschilt hier trouwens over van

mening en zet in op géén verplichte aanstelling van een

DPO

• Hier moet dus nog verder over onderhandelt worden

Hoofdlijnen

GDPR

Administratieve sancties (Art. 79)

• Als de verordening niet wordt nageleefd door een

organisatie kan de DPA diverse sancties opleggen:

• Een brief in geval van eerste of onregelmatige overtreding

• Regelmatige audits door de DPA

• boete van €100 miljoen (!) of 5% jaarlijkse omzet

Gevolgen en Impact

4 typen Privacy risico’s voor organisaties

Volgens het Gartner Risk & Security Survey, 2015 maken

organisaties zich zorgen om 4 typen Privacy risico’s:

• Reputatie- en merk schade: 45% van de ondervraagde organisaties

is bang voor reputatieschade a.g.v. privacy risico’s en 43% is bang

voor het verlies van klanten

• Compliance: 33% van de organisaties is bang voor boetes, audits of

andere sancties door de DPA

• Mislopen van zakelijke kansen: 33% van de organisaties is bang dat

ze omzet mislopen, omdat de sales cycle enorm gaat oplopen a.g.v.

privacy zorgen bij de klanten

• IT Infrastructuur: 32% van de organisaties is bang dat ze onnodige

IT infrastructuur moeten onderhouden om te voldoen aan privacy

wetgeving

Gevolgen en Impact

4 typen Privacy risico’s voor organisaties

Volgens het Gartner Risk & Security Survey, 2015 maken

organisaties zich zorgen om 4 typen Privacy risico’s:

• Reputatie- en merk schade: 45% van de ondervraagde organisaties

is bang voor reputatieschade a.g.v. privacy risico’s en 43% is bang

voor het verlies van klanten

• Compliance: 33% van de organisaties is bang voor boetes, audits of

andere sancties door de DPA

• Mislopen van zakelijke kansen: 33% van de organisaties is bang dat

ze omzet mislopen, omdat de sales cycle enorm gaat oplopen a.g.v.

privacy zorgen bij de klanten

• IT Infrastructuur: 32% van de organisaties is bang dat ze onnodige

IT infrastructuur moeten onderhouden om te voldoen aan privacy

wetgeving

Voldoende reden

voor een beter Privacybeleid

in jouw organisatie

Conclusie

• Zoals altijd zit niemand op verandering te wachten, maar

als het eenmaal achter de rug is, vaart iedereen er wel bij

• En hoe eerder je als organisatie de nieuwe GDPR hebt

omarmt en geïmplementeerd, hoe eerder je toetreedt tot

de nieuwe digitaal veilige wereld en hoe groter je

concurrentievoorsprong

Waar wacht je dus nog

op?

Dare to Dream

Ask

Neem gerust contact met me op als je wilt weten wat de

consequenties en impact voor jouw organisatie zullen zijn.

Mijn contact details vind je hier:

https://nl.linkedin.com/in/harryheijligers

kun je me meteen een connectieverzoek sturen ;-)