GDPR - Presentatie - 2015-07-18
-
Upload
harry-heijligers-pmp-nlp- -
Category
Documents
-
view
103 -
download
5
Transcript of GDPR - Presentatie - 2015-07-18
Harry Heijligers
Data Protection Officer (DPO)
bij:
Een Veilige Digitale Wereld met
Privacy als 5e P in de
Marketingmix
• Iedereen heeft wel iets te verbergen, al is het alleen al iets
waar je je voor schaamt. Betekent dit dan dat je geen recht
meer hebt op privacy?
• Privacy vertegenwoordigt een grondwettelijk recht van
ieder mens dat zelfs verankerd is in de Universele
Verklaring van de Rechten van de Mens opgesteld door de
Verenigde Naties in 1948
• Daarom kan zelfs het (mogelijk) opsporen van criminelen
niet het argument zijn om een inbreuk te doen op de
privacy
• Dit geldt ook voor universele rechten als de vrijheid van
meningsuiting en het recht om met rust gelaten te worden
Belang van
Privacy
Belang van
Privacy
• Zonder Privacy is er bijna géén sociale interactie mogelijk,
omdat het vertrouwen dan volledig weg is (denk aan het
communistische tijdperk)
• Zonder Privacy is er ook géén commerciële interactie
mogelijk, omdat klanten niet zullen kopen (althans zeker
niet online) van een bedrijf dat ze niet vertrouwen. Klanten
zullen hun interactie en hun band met organisaties tot een
minimum willen beperken.
• Kortom: zonder Privacy worden we
teruggeworpen op een soort
Middeleeuwse tijd waarin iedereen zich
terugtrekt in zijn eigen vesting
Begrippen &
Afkortingen
Om deze presentatie gemakkelijk te kunnen volgen,
introduceer ik eerst een aantal belangrijke begrippen en
afkortingen
• Betrokkene / Data Subject: dit is een identificeerbaar persoon waar
persoonlijke gegevens van worden verzameld en bewerkt
• Verantwoordelijke / Data Controller: dit is een natuurlijke of rechtspersoon die
de doelen vast stelt voor het verwerken van persoonlijke gegevens
• Bewerker / Data Processor: deze verwerkt persoonlijke gegevens in opdracht
van de Verantwoordelijke, zonder aan zijn gezag te zijn onderworpen
• Toezichthouder / Data Protection Authority (DPA): ieder land heeft een
toezichthouder die er op toeziet dat de privacy op het gebied van persoonlijke
gegevens wordt nageleefd; in Nederland is dat het College Bescherming
Persoonsgegevens (CBP)
• De huidige wetgeving op het gebied van privacy en data
protectie dateert van 2001 (Wet Bescherming
Persoonsgegevens (WBP)
• En deze is gebaseerd op de General Data Protection
Directive van de Europese Unie uit 1995 (95/46/EC)
• De Directive is echter niet meer van deze tijd. Sinds 1995
hebben zich talloze technologische en innovatieve
ontwikkelingen voorgedaan die vragen om strengere
wetgevingDe General Data Protection Directive (95/46/EC) van de Europese Unie is een protocol waar alle landen binnen de EU hun eigen wetgeving op moeten baseren. In Nederland heeft dat geleid tot de WBP. Het nadeel daarvan is natuurlijk dat elk land zijn eigen invulling geeft en dat er dus geen uniformiteit heerst. Waardoor bedrijven als Facebook, Google, Dell en LinkedIn bijvoorbeeld liever hun Europese hoofdkantoor in Dubin zetten, omdat dat het land is met de minste bescherming in Europa.
Aanleiding
Aanleiding
• Bedrijven als Facebook, Twitter of LinkedIn zijn pas ver na
2000 opgericht
• De ontwikkelingen op het gebied van Internet of Things en
Big Data hebben grote consequenties voor onze Digitale
Veiligheid
• Tegelijkertijd kunnen IoT en Big Data alleen maar bestaan
als de Digitale Wereld Veilig is. Want alleen dan zullen
mensen het vertrouwen hebben om hier hun persoonlijke
gegevens achter te latenDe Verzekeraar AXA heeft een app ontwikkeld:
AXA DriveZogenaamd om je te rijvaardigheden te helpen verbeteren.Maar tegelijkertijd verzameld AXA allerlei informatie over jouw rijstijl en de intentie is om mensen met een onveilige rijstijl in de toekomst meer te laten betalen voor hun verzekering.
• Eurocommissaris voor Justitie en Mensenrechten, Viviane
Reding, is de aanjager geweest van de nieuwe GDPR
• Op 25 januari 2012 kondigt ze de nieuwe GDPR aan,
waarbij ze nog maar eens aanstipt dat in 1995 ten tijde van
het ontstaan van de Directive minder dan 1% van de
Europese bevolking internet gebruikte. Waarbij
tegenwoordig bijna iedereen internet gebruikt en zijn of
haar data met de snelheid van het licht de aarde rond
gestuurd wordt
• Op 21 oktober 2013 bereikt het Europees Parlement na
maandenlange onderhandelingen een akkoord over de
ontwerptekst
OntstaanGDPR
OntstaanGDPR
• De EU Council (de Raad van Ministers), heeft op 15 juni
2015 ingestemd met de nieuwe GDPR
• Vanaf dan tot eind 2015 vindt er 3 keer een overleg plaats
tussen Europees Parlement, de Europese Commissie en de
European Council om de meningsverschillen te bespreken
• Het streven is om de nieuwe GDPR per 1 januari 2016 in te
laten gaan, met een overgangstermijn van 2 jaar
Territoriale Scope
• Alle lidstaten op het grondgebied van de Europese Unie
• Wat niet wil zeggen dat een bedrijf persé in Europa
gevestigd moet zijn: zodra een niet-Europees bedrijf
producten of diensten aanbiedt gericht op EU burgers,
moet dit bedrijf zich houden aan de GDPR
Hoofdlijnen
GDPR
One-Stop-Shop
• Bedrijven die zich op meerdere landen binnen de EU
richten, hebben slechts één Data Protection Authority (DPA)
als aanspreekpunt voor alle dataverwerkingen
• Ter discussie staat o.a. nog:
• of de One-Stop-Shop vrijwillig of automatisch is
• of het wel zo handig is dat een Nederlands ingezetene
naar bijv. een Spaanse DPA moet om zijn recht te
halen
Hoofdlijnen
GDPR
Toestemming van de Betrokkene (art. 7)
• aanscherping bestaande wetgeving
• Bewijslast voor het bestaan van toestemming ligt volledig
bij de Verantwoordelijke
• Toestemming moet specifiek en onderscheidend zichtbaar
zijn, ook als deze wordt verkregen in een grotere algemene
context
• De Betrokkene moet zijn toestemming kunnen intrekken en
moet dan worden geïnformeerd over de mogelijke gevolgen
• De toestemming is gerelateerd aan een specifiek doel en
vervalt zodra dit doel niet meer relevant is
Hoofdlijnen
GDPR
Inzagerecht van de Betrokkene (art. 12)
• Als verwerkingen van persoonsgegevens automatisch
gebeuren, moet de Verantwoordelijke ervoor zorgen dat de
Betrokkene ook via een automatische mogelijkheid zijn
inzagerecht kan uitoefenen
Hoofdlijnen
GDPR
Data Portability (Art. 15.2a)
• Als gegevens van de Betrokkene elektronisch worden
verwerkt, heeft hij het recht
• deze gegevens elektronisch te kunnen opvragen
• op een wijze die interoperabel is (software
onafhankelijk)
• en zonder dat de Betrokkene voor verder gebruik
afhankelijk is van de Verantwoordelijke
• indien realistisch mogelijk, moet het mogelijk zijn de
data door te laten geven van de ene Verantwoordelijke
naar de andere
Hoofdlijnen
GDPR
Recht om vergeten te worden (Art. 17)
De Betrokkene heeft het recht om zijn informatie te laten
verwijderen. Hiervoor kunnen vele redenen zijn:
• gegevens zijn niet langer noodzakelijk voor het oorspronkelijke doel
• Betrokkene trekt zijn toestemming in
• er is geen wettelijke basis meer
• de bewaartermijn is verstreken
• Betrokkene verzet zich tegen de wijze van gegevens verwerking
(zie ook Art.19)
• Rechtbank besluit dat de gegevens definitief verwijderd moeten
worden
• de gegevens zijn onrechtmatig verwerkt
Hoofdlijnen
GDPR
Hoofdlijnen
GDPR
Datalek notificatie (Art. 31 en 32)
• Bij een datalek moet de Verantwoordelijke < 72 uur de
Toezichthouder (CBP of andere DPA) inlichten
• Tevens moeten de Betrokkenen worden ingelicht
• de DPA moet een openbaar register bijhouden van alle
datalekken
Hoofdlijnen
GDPR
Data Protection Impact Assessment (Art. 33)
• Als er grote risico’s verbonden zijn aan de
gegevensverwerking moet door de Verantwoordelijke een
Data Protection Impact Assessment (DPIA) worden
uitgevoerd
• De DPIA moet beschikbaar zijn voor de DPA
• Dit omvat o.a.:
• beschrijving van de beoogde processen
• toelichting mbt deze processen in relatie tot beoogde
doeleinden
• overzicht van mogelijke risico’s voor de Betrokkenen
• Lijst met veiligheidsmaatregelen die zullen worden genomen
• Bewaartermijnen
• Lijst met ontvangers van de gegevens
Hoofdlijnen
GDPR
Aanstellen Data Protection Officer (DPO) (Art.35-37)
• In de definitieve draft van het Europees Parlement staat
dat een DPO moet worden aangesteld indien:
• De verwerking gebeurt door een overheidsinstelling
• De verwerking gebeurt door een rechtspersoon, waarbij het
gaat om > 5.000 Betrokkenen over een periode van 12
aaneengesloten maanden
• De verwerking betrekking heeft op gevoelige
persoonsgegevens
• De verwerking leidt tot het structureel en systematisch
monitoren van Betrokkenen
• De Raad van Europa verschilt hier trouwens over van
mening en zet in op géén verplichte aanstelling van een
DPO
• Hier moet dus nog verder over onderhandelt worden
Hoofdlijnen
GDPR
Administratieve sancties (Art. 79)
• Als de verordening niet wordt nageleefd door een
organisatie kan de DPA diverse sancties opleggen:
• Een brief in geval van eerste of onregelmatige overtreding
• Regelmatige audits door de DPA
• boete van €100 miljoen (!) of 5% jaarlijkse omzet
Gevolgen en Impact
4 typen Privacy risico’s voor organisaties
Volgens het Gartner Risk & Security Survey, 2015 maken
organisaties zich zorgen om 4 typen Privacy risico’s:
• Reputatie- en merk schade: 45% van de ondervraagde organisaties
is bang voor reputatieschade a.g.v. privacy risico’s en 43% is bang
voor het verlies van klanten
• Compliance: 33% van de organisaties is bang voor boetes, audits of
andere sancties door de DPA
• Mislopen van zakelijke kansen: 33% van de organisaties is bang dat
ze omzet mislopen, omdat de sales cycle enorm gaat oplopen a.g.v.
privacy zorgen bij de klanten
• IT Infrastructuur: 32% van de organisaties is bang dat ze onnodige
IT infrastructuur moeten onderhouden om te voldoen aan privacy
wetgeving
Gevolgen en Impact
4 typen Privacy risico’s voor organisaties
Volgens het Gartner Risk & Security Survey, 2015 maken
organisaties zich zorgen om 4 typen Privacy risico’s:
• Reputatie- en merk schade: 45% van de ondervraagde organisaties
is bang voor reputatieschade a.g.v. privacy risico’s en 43% is bang
voor het verlies van klanten
• Compliance: 33% van de organisaties is bang voor boetes, audits of
andere sancties door de DPA
• Mislopen van zakelijke kansen: 33% van de organisaties is bang dat
ze omzet mislopen, omdat de sales cycle enorm gaat oplopen a.g.v.
privacy zorgen bij de klanten
• IT Infrastructuur: 32% van de organisaties is bang dat ze onnodige
IT infrastructuur moeten onderhouden om te voldoen aan privacy
wetgeving
Voldoende reden
voor een beter Privacybeleid
in jouw organisatie
Conclusie
• Zoals altijd zit niemand op verandering te wachten, maar
als het eenmaal achter de rug is, vaart iedereen er wel bij
• En hoe eerder je als organisatie de nieuwe GDPR hebt
omarmt en geïmplementeerd, hoe eerder je toetreedt tot
de nieuwe digitaal veilige wereld en hoe groter je
concurrentievoorsprong
Waar wacht je dus nog
op?
Dare to Dream
Ask
Neem gerust contact met me op als je wilt weten wat de
consequenties en impact voor jouw organisatie zullen zijn.
Mijn contact details vind je hier:
https://nl.linkedin.com/in/harryheijligers
kun je me meteen een connectieverzoek sturen ;-)