Actualiteiten Privacyrecht Axel Arnbak Legal PLanet 26 juni
Actualiteiten Privacyrecht Axel Arnbak Legal. PLanet, 26 juni 2018
EU Commissie 2012: voorstel "AVG" Algemene Verordering Gegevensbescherming 26 juni 2018 2
Algemene Verordening Gegevensbescherming: Voorpagina Financieele Dagblad, 25 mei 2018 26 juni 2018 3
Bio, proefschrift en andere bronnen: www. axelarnbak. nl en @axelarnbak 26 juni 2018 4
Hoe zijn jullie in dataland verzeild geraakt? 26 juni 2018 5
Op het menu 14: 00 uur De Algemene Verordening Gegevensbescherming (AVG) 15: 30 uur De Toezichthouder: Autoriteit Persoonsgegevens 16: 45 uur Artikel 29 Werkgroep en recente privacyjurisprudentie 17: 45 uur Tips voor de praktijk 18: 30 uur Einde cursus 26 juni 2018 6
26 juni 2018 7
Privacy al erkend sinds mensenheugenis Relationele, ruimtelijke en lichamelijke privacy • “Privacy of prayer” - Bijbel, Qu’ran • “Right to be left alone” – Supreme Court Justices Warren & Brandeis (1890) Grondrecht • Universele Verklaring voor de Rechten van de Mens (1948) • Europees Verdrag voor de Rechten van de Mens (1950) • Nederlandse grondwet (1983): artikel 10 26 juni 2018 8
Informationele privacy: Alan Westin 1967 - Privacy and Freedom • Eerste definitie informationele privacy • "the claim of individuals, groups, or institutions to determine for themselves when, how, and to what extent information about them is communicated to others. " 26 juni 2018 9
Fundamenteel patroon reactieve tech wetten Er moeten regels komen! EU: harmonizeren in richtlijn Landen voeren nationale wetgeving in Verschillen in implementatie tussen landen Big mess! Less mess! EU: verdere harmonisatie: verordening Nauwelijks implementatie nodig Probleem opgelost?
Oorsprong strikte regulering: angst Franse politici voor escort services in 1977 26 juni 2018 Andere bron: Andre Lucas, Le droit de l’informatique (1987), Rapport de la Commission Tricot, p. 38. Met dank aan: 11 Prof. Joel Reidenberg !
Fundament gegevensbescherming: OECD Fair Information Practices (1980) basis: Westin, 1967 26 juni 2018 12
Fundamenteel patroon reactieve tech wetten Er moeten regels komen! EU: harmonizeren in richtlijn Landen voeren nationale wetgeving in Verschillen in implementatie tussen landen Big mess! Less mess! EU: verdere harmonisatie: verordening Nauwelijks implementatie nodig Probleem opgelost?
Richtlijn 95/46/EG & cruciale rol van "activistische" toezichthouders Bron: A. Newman, Protectors of Privacy, Cornell University Press 2008, p. 97 26 juni 2018 14
Verdrag van Nice Dec. 2000: EU Charter of Fundamental Rights 26 juni 2018 15
Jaren '00: technologie "Extension of Man" zoals voorzien door Mc. Luhan (1964) See early writings of Le Corbusier and Mcluhan, Understanding Media: The Extensions of Man (1964) 16
2008: Database Society Iedere burger in duizenden databanken 26 juni 2018 17
Jaren '10: Clouds & 'domme' devices stijgen, Geavanceerde end-user hardware daalt 26 juni 2018 18
Fundamenteel patroon reactieve tech wetten Er moeten regels komen! EU: harmonizeren in richtlijn Landen voeren nationale wetgeving in Verschillen in implementatie tussen landen Big mess! Less mess! EU: verdere harmonisatie: verordening Nauwelijks implementatie nodig Probleem opgelost?
EU Commissie 2012: voorstel "AVG" Algemene Verordering Gegevensbescherming 26 juni 2018 20
Europees record lobbyen: 4000 amendmenten (!) 229 door één Europarlementariër, Louis Michel 26 juni 2018 21
Sinds juni 2013: Snowden 26 juni 2018 22
Resultaat? AVG lang, vaag, soms ambigu Toezichthouders aanzet: uitleg en handhaving Ms. Pierrotin (CNIL), Chair WP 29, in 2016: "There ambiguities in the GDPR. We'll release guidance and operational toolkits. " 26 juni 2018 23
Het EU Hof is in "Dragon Slaying Mode" … En: het EU Hof is ook aardig politiek aan het bedrijven … 26 juni 2018 24
8 april 2014: Digital Rights Ireland a. o. – vernietigt EU Dataretentierichtlijn 26 juni 2018 25
Cruciale uitspraak EU Hof privacy: Wetgeving moet strenger en zal streng blijven • 'Essence' geschonden • EU Hof ontwikkelt eigen visie op essentie van EU grondrechten • Bouwt verder in Schrems v. Data Protection Commissioner • Positieve verplichtingen Europese wetgever • Expliciete opdracht aan EU wetgever om grondrechten te beschermen • “No sufficient safeguards to ensure full confidentiality and integrity” (§ 66) • Data lokaal opslaan in EU • Door opslag buiten EU volgens EU Hof (later ook in Schrems): • Geen waarborg tegen willekeurige toegang • Geen garantie op onafhankelijk toezicht 26 juni 2018 26
26 juni 2018 27
Quiz Persoonsgegevens… Welke data wel/niet? Definitie "persoonsgegevens" Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Art. 4(1) AVG Any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly (…) Zijn de volgende gegevens volgens jullie "persoonsgegevens"? Burgerservicenummer Postcode Foto Browsergeschiedenis • Type browser, time zone, screen size, language, fonts • Dynamisch IP-address • Wisselend nummer dat je provider aan jouw router geeft, iedere keer dat je connect • E. g. 62. 21. 179. 4 • • 26 juni 2018 28
Gegevensbescherming: Kernbegrippen Verwerking persoonsgegevens? (art. 4[1]) Welke waarborgen vereist? (art. 7 ev) Voor welke doeleinden? (art. 5[1 b]) Welke grondslag voor verwerking? (art. 6) Wet bescherming persoonsgegevens • Geldt sinds EU Richtlijn 1995 • Omnibus regime verwerken data • Vooral open normen • Geen sancties Veranderingen EU 'AVG': • Basisbeginselen intact • Strengere regels op detailniveau • Hergebruik na pseudonimisering soepeler • Sancties: max. EUR 20 mln / 4% omzet Proportionaliteit: hoe gevoeliger de data en commerciëler het doel, hoe strenger de grondslag en waarborgen 26 juni 2018 29
Gegevensbescherming: Kernbegrippen Verder uitgewerkt (naslag) Is er een verwerking van persoonsgegevens? (art. 1[b]) Welke doeleinden? (art. 5[b]) • Persoonsgegeven: data (in)direct herleidbaar tot natuurlijke persoon • Verwerking: elke handeling mbt Persoonsgegeven • Transparant beschreven doel • Doelbinding: alleen hergebruik bij • Verwantschap data, doel, impact • Passende waarborgen • Hergebruik verruimd in AVG (!) Welke privacywaarborgen nodig? (art. 7 ev) bijv. : Welke grondslag nodig voor verwerking? (art. 6): • Informatieplicht • Privacy by Design • Proportionaliteit, subsidiariteit • Beveiliging • Etc. • Toestemming • 'Gerechtvaardigd belang' • Wettelijke verplichting • Noodzakelijk voor uitvoering OVK • Etc. 26 juni 2018 30 Wet bescherming persoonsgegevens • Geldt sinds EU Richtlijn 1995 • Omnibus regime verwerken data • Vooral open normen • Geen sancties Veranderingen EU 'AVG': • Basisbeginselen intact • Strengere regels op detailniveau • Hergebruik data versoepeld • Sancties: EUR 20 mln / 4% omzet
EU AVG: greep uit nieuwe verplichtingen… • Strengere verplichtingen vanaf mei 2018 Verwerkingsregister Data Protection Impact Assessments Privacy by design/by default Data Security: strikte technische & organisatorische maatregelen Privacy policies dienen zowel volledig als begrijpelijk te zijn Vereisten toestemming steeds zwaarder Meldplicht datalekken verstevigd Zeer strikt regime voor profilering, automatische besluitvorming Verwerkers: zelfstandige verplichtingen Verplichte Functionaris Gegevensbescherming - Legal/IT/project management ineen - Sancties: gerelateerd aan geschonden norm, tot 4% jaaromzet - • Is er nog goed nieuws… ? - Nieuwe kansen voor big data analytics - Creatief (her)gebruik van 'gepseudonimiseerde data' 31
Game Changer: Boetes Let op: expansieve uitleg begrip 'Undertaking' WP 29 verbindt nieuwe concept 'undertaking' aan mededingingsrecht • • Rec. 37, rec. 150: implicit connection to competition law WP 29: Broad understanding of 'economic unit' that 'provides of goods and services' WP 29: Liability for violations not limited to the 'legal entity' of the data controller WP 29: Broad discretion to determine 'undertaking' and 'fine calculation' Game Changer voor handhaving • 'Isoleren' entiteiten werk allicht niet meer • Bewijslast bij bedrijf • Boetes gericht aan de gehele Groep, niet aan dochter • 4% omzet Facebook Inc. , Ireland of Netherlands Full analysis at: https: //www. debrauw. com/newsletter/multinationals-beware-wider-group-may-be-liable-for-dataviolations-under-new-eu-rules/ 26 juni 2018
Op het menu 14: 00 uur De Algemene Verordening Gegevensbescherming (AVG) 15: 30 uur De Toezichthouder: Autoriteit Persoonsgegevens 16: 45 uur Artikel 29 Werkgroep en recente privacyjurisprudentie 17: 45 uur Tips voor de praktijk 18: 30 uur Einde cursus 26 juni 2018 33
Implicaties voor de praktijk: cultuuromslag Compliance cyclus Implementeer maatregelen Interne monitoring & audits Effectieve training & interne communicatie 26 juni 2018 Continue risk assessments verwerkingen Opstellen beleid & procedures Goedkeuring DPO & Board commitment 34
"Sweet Spot" voor privacy toezichthouders Veel consumenten, media-aandacht Guidance toezichthouder 26 juni 2018 "Sweet Spot voor Toezichthouders" Continue tracking 35
Privacy handhaving: hoe te prioriteren? Handhavingsrisico's: hoe begint een onderzoek van de AP? • • Bijzondere Persoonsgegevens Automatische besluitvorming profilering, AI Combining online and offline data wifi-tracking, slimme billboards Grootschalige datalekken Minder risico (wel voetnoot in onderzoeken toezichthouder) • Algemene policies e. g. bewaarbeleid • IT-contracten e. g. cloud computing • Verwerkersovereenkomsten 26 juni 2018 36
Kandidaat: Selfies for Life Insurance: Zurich Facequote en Artificial Intelligence 26 juni 2018 37
EU AVG: verwerkers en verwerkingsregister • Art. 4 lid 7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; • Art. 4 lid 8) „verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt; • Hoofdregel Wbp: verwerkingsverantwoordelijke aansprakelijk • Cruciaal en verplicht: verwerkersovereenkomst (art. 28 lid 3) • Ook in AVG, maar introduceert zelfstandige verplichtingen voor verwerkers • Compliance: zelfstandige verplichting voor verwerkers (art. 28) • Vereringsregister: zowel verwerkingsverantwoordelijke als verwerker (art. 30) • Komt veel voor in de praktijk! • Outsourcing, datalekken, interne onderzoeken. 26 juni 2018 38
Let ook op nieuw regime: joint controller Grote implicaties voor o. a. advocatenkantoren 26 juni 2018 39
Verschil tussen nu (NL) en mei 2018 (EU): EU AVG is strikter 40
EU AVG: over de hele linie strengere verplichtingen beveiligen gegevens AVG is strenger dan richtlijn: • Mensenrechten: verantwoordelijke moet rekening houden met "ernst uiteenlopende risico's voor de rechten en vrijheden van personen" (art. 32) • Hv. J ECJ uitspraak over Dataretentie • Tegenmaatregelen die "op het risico afgestemd" kunnen worden (art. 32, recital 91): • Encryptie en pseudonimisering • Zorgen voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht • Na zowel fysieke als technische incidenten • Procedure voor het op gezette tijden "testen, beoordelen en evalueren van de doeltreffendheid" van maatregelen • Bijhouden: verantwoordelijke en verwerker moeten omschrijving van veiligheidsmaatregelen opnemen (art. 30) • Verantwoordelijke/verwerker: Verantwoordelijken - verwerkers moeten ook compliant zijn (art. 28) 26 juni 2018 41
Uitvoeringswet AVG: Weinig interessants… • Een 'vluggertje' • Eerste Kamer aangenomen per hamerstuk op 15 mei 2018 • Gepubliceerd in Staatsblad op 22 mei 2018 • Bijzondere Persoonsgegevens min of meer zelfde als Wbp. Verschillen: • Biometrisch persoonsgegeven is bijzonder persoonsgegeven • Maar voor identificatie en beveiliging geldt 'normale' regime persoonsgegevens • Burgerservicenummer zelfde regime als Wbp, geen bijzonder persoonsgegeven 26 juni 2018 42
… maar artikel 38 UAVG: Incentive procederen tegen boetes • Merkwaardigheid in bestuursrecht • Vgl. Wob-verzoek • Rechtbank kijkt 'holistischer' dan toezichthouder - Niet alleen naar AVG • Tekstuele uitleg AVG verdedigbaar - 26 juni 2018 Veel debat in Europese instituties Toezichthouders leggen AVG breder uit 43
26 juni 2018 44
TJ Maxx: datalek uit 2005 -2007, procedures tot de dag vandaag • Creditcardgegevens gelekt • 45 miljoen klantprofielen • Verkocht op zwarte markt voor $25 per profiel • Dader 20 jaar gevangenisstraf • Creditcardmaatschappijen en verzekeringsmaatschappijen procederen erop los • Ook na Target breach van 2013 • Leidt meestal tot megaschikkingen 26 juni 2018 45
2017, Yahoo "biggest breach ever" ≈ 1 miljard 10+ onderzoeken, 50+ procedures… 26 juni 2018 46
Koersgevoelige informatie • Koersgevoelige informatie is specifieke informatie die, indien openbaar gemaakt, waarschijnlijk een significant effect heeft op de koers van financiële instrumenten of afgeleide producten • Richtlijn marktmisbruik: Onverwijlde openbaarmaking is verplicht, tenzij er uitstel mogelijk is. Vereist: • Gerechtvaardigd belang • Niet misleidend • Vertrouwelijkheid kan worden gewaarborgd • Cybersecurity incident bij beursgenoteerd bedrijf kan leiden tot openbaarmakingsverplichting • Incident kan koersgevoelig zijn (materialiteitsgrens) of • Vertrouwelijkheid van koersgevoelige informatie kan onder druk komen te staan, kan leiden tot openbaarmakingsverplichting • Verordening Marktmisbruik wordt op 3 juli 2016 van kracht • Verplicht tot melden van alle koersgevoelige informatie waarvan publicatie wordt uitgesteld
Trend: (Bestuurders)aansprakelijkheid na datalekken - Chefsache binnen ondernemingen 26 juni 2018 48
Opkomst van procederende consument We hebben grote ambities [. . ], we hopen volgend jaar onze eerste rechtszaak te doen. - Bits of Freedom 26 juni 2018 49
Brede agenda: privacy, cybersecurity en conformiteit IT-producten 26 juni 2018 50
En inderdaad, op 25 mei, de dag van de AVG Max Schrems strikes again 26 juni 2018 51
Nieuwe "European Data Protection Board" Agenda nog niet helemaal duidelijk 26 juni 2018 52
Internet of Things: sensoren overal Strijd gaande over besturingssysteem Io. T 26 juni 2018 53
Neuralink: Connected brain Cyber Security overschaduwt privacy?
26 juni 2018 55
French Politicians keep on swinging 26 juni 2018 56
En… genoeg te doen voor ons juristen… Vragen? 26 juni 2018 57
- Slides: 57