Actualiteiten Privacyrecht Axel Arnbak Legal PLanet 26 juni

Actualiteiten Privacyrecht Axel Arnbak Legal. PLanet, 26 juni 2018

EU Commissie 2012: voorstel "AVG" Algemene Verordering Gegevensbescherming 26 juni 2018 2

Algemene Verordening Gegevensbescherming: Voorpagina Financieele Dagblad, 25 mei 2018 26 juni 2018 3

Bio, proefschrift en andere bronnen: www. axelarnbak. nl en @axelarnbak 26 juni 2018 4

Hoe zijn jullie in dataland verzeild geraakt? 26 juni 2018 5

Op het menu 14: 00 uur De Algemene Verordening Gegevensbescherming (AVG) 15: 30 uur De Toezichthouder: Autoriteit Persoonsgegevens 16: 45 uur Artikel 29 Werkgroep en recente privacyjurisprudentie 17: 45 uur Tips voor de praktijk 18: 30 uur Einde cursus 26 juni 2018 6

26 juni 2018 7

Privacy al erkend sinds mensenheugenis Relationele, ruimtelijke en lichamelijke privacy • “Privacy of prayer” - Bijbel, Qu’ran • “Right to be left alone” – Supreme Court Justices Warren & Brandeis (1890) Grondrecht • Universele Verklaring voor de Rechten van de Mens (1948) • Europees Verdrag voor de Rechten van de Mens (1950) • Nederlandse grondwet (1983): artikel 10 26 juni 2018 8

Informationele privacy: Alan Westin 1967 - Privacy and Freedom • Eerste definitie informationele privacy • "the claim of individuals, groups, or institutions to determine for themselves when, how, and to what extent information about them is communicated to others. " 26 juni 2018 9

Fundamenteel patroon reactieve tech wetten Er moeten regels komen! EU: harmonizeren in richtlijn Landen voeren nationale wetgeving in Verschillen in implementatie tussen landen Big mess! Less mess! EU: verdere harmonisatie: verordening Nauwelijks implementatie nodig Probleem opgelost?

Oorsprong strikte regulering: angst Franse politici voor escort services in 1977 26 juni 2018 Andere bron: Andre Lucas, Le droit de l’informatique (1987), Rapport de la Commission Tricot, p. 38. Met dank aan: 11 Prof. Joel Reidenberg !

Fundament gegevensbescherming: OECD Fair Information Practices (1980) basis: Westin, 1967 26 juni 2018 12

Fundamenteel patroon reactieve tech wetten Er moeten regels komen! EU: harmonizeren in richtlijn Landen voeren nationale wetgeving in Verschillen in implementatie tussen landen Big mess! Less mess! EU: verdere harmonisatie: verordening Nauwelijks implementatie nodig Probleem opgelost?

Richtlijn 95/46/EG & cruciale rol van "activistische" toezichthouders Bron: A. Newman, Protectors of Privacy, Cornell University Press 2008, p. 97 26 juni 2018 14

Verdrag van Nice Dec. 2000: EU Charter of Fundamental Rights 26 juni 2018 15

Jaren '00: technologie "Extension of Man" zoals voorzien door Mc. Luhan (1964) See early writings of Le Corbusier and Mcluhan, Understanding Media: The Extensions of Man (1964) 16

2008: Database Society Iedere burger in duizenden databanken 26 juni 2018 17

Jaren '10: Clouds & 'domme' devices stijgen, Geavanceerde end-user hardware daalt 26 juni 2018 18

Fundamenteel patroon reactieve tech wetten Er moeten regels komen! EU: harmonizeren in richtlijn Landen voeren nationale wetgeving in Verschillen in implementatie tussen landen Big mess! Less mess! EU: verdere harmonisatie: verordening Nauwelijks implementatie nodig Probleem opgelost?

EU Commissie 2012: voorstel "AVG" Algemene Verordering Gegevensbescherming 26 juni 2018 20

Europees record lobbyen: 4000 amendmenten (!) 229 door één Europarlementariër, Louis Michel 26 juni 2018 21

Sinds juni 2013: Snowden 26 juni 2018 22

Resultaat? AVG lang, vaag, soms ambigu Toezichthouders aanzet: uitleg en handhaving Ms. Pierrotin (CNIL), Chair WP 29, in 2016: "There ambiguities in the GDPR. We'll release guidance and operational toolkits. " 26 juni 2018 23

Het EU Hof is in "Dragon Slaying Mode" … En: het EU Hof is ook aardig politiek aan het bedrijven … 26 juni 2018 24

8 april 2014: Digital Rights Ireland a. o. – vernietigt EU Dataretentierichtlijn 26 juni 2018 25

Cruciale uitspraak EU Hof privacy: Wetgeving moet strenger en zal streng blijven • 'Essence' geschonden • EU Hof ontwikkelt eigen visie op essentie van EU grondrechten • Bouwt verder in Schrems v. Data Protection Commissioner • Positieve verplichtingen Europese wetgever • Expliciete opdracht aan EU wetgever om grondrechten te beschermen • “No sufficient safeguards to ensure full confidentiality and integrity” (§ 66) • Data lokaal opslaan in EU • Door opslag buiten EU volgens EU Hof (later ook in Schrems): • Geen waarborg tegen willekeurige toegang • Geen garantie op onafhankelijk toezicht 26 juni 2018 26

26 juni 2018 27

Quiz Persoonsgegevens… Welke data wel/niet? Definitie "persoonsgegevens" Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Art. 4(1) AVG Any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly (…) Zijn de volgende gegevens volgens jullie "persoonsgegevens"? Burgerservicenummer Postcode Foto Browsergeschiedenis • Type browser, time zone, screen size, language, fonts • Dynamisch IP-address • Wisselend nummer dat je provider aan jouw router geeft, iedere keer dat je connect • E. g. 62. 21. 179. 4 • • 26 juni 2018 28

Gegevensbescherming: Kernbegrippen Verwerking persoonsgegevens? (art. 4[1]) Welke waarborgen vereist? (art. 7 ev) Voor welke doeleinden? (art. 5[1 b]) Welke grondslag voor verwerking? (art. 6) Wet bescherming persoonsgegevens • Geldt sinds EU Richtlijn 1995 • Omnibus regime verwerken data • Vooral open normen • Geen sancties Veranderingen EU 'AVG': • Basisbeginselen intact • Strengere regels op detailniveau • Hergebruik na pseudonimisering soepeler • Sancties: max. EUR 20 mln / 4% omzet Proportionaliteit: hoe gevoeliger de data en commerciëler het doel, hoe strenger de grondslag en waarborgen 26 juni 2018 29

Gegevensbescherming: Kernbegrippen Verder uitgewerkt (naslag) Is er een verwerking van persoonsgegevens? (art. 1[b]) Welke doeleinden? (art. 5[b]) • Persoonsgegeven: data (in)direct herleidbaar tot natuurlijke persoon • Verwerking: elke handeling mbt Persoonsgegeven • Transparant beschreven doel • Doelbinding: alleen hergebruik bij • Verwantschap data, doel, impact • Passende waarborgen • Hergebruik verruimd in AVG (!) Welke privacywaarborgen nodig? (art. 7 ev) bijv. : Welke grondslag nodig voor verwerking? (art. 6): • Informatieplicht • Privacy by Design • Proportionaliteit, subsidiariteit • Beveiliging • Etc. • Toestemming • 'Gerechtvaardigd belang' • Wettelijke verplichting • Noodzakelijk voor uitvoering OVK • Etc. 26 juni 2018 30 Wet bescherming persoonsgegevens • Geldt sinds EU Richtlijn 1995 • Omnibus regime verwerken data • Vooral open normen • Geen sancties Veranderingen EU 'AVG': • Basisbeginselen intact • Strengere regels op detailniveau • Hergebruik data versoepeld • Sancties: EUR 20 mln / 4% omzet

EU AVG: greep uit nieuwe verplichtingen… • Strengere verplichtingen vanaf mei 2018 Verwerkingsregister Data Protection Impact Assessments Privacy by design/by default Data Security: strikte technische & organisatorische maatregelen Privacy policies dienen zowel volledig als begrijpelijk te zijn Vereisten toestemming steeds zwaarder Meldplicht datalekken verstevigd Zeer strikt regime voor profilering, automatische besluitvorming Verwerkers: zelfstandige verplichtingen Verplichte Functionaris Gegevensbescherming - Legal/IT/project management ineen - Sancties: gerelateerd aan geschonden norm, tot 4% jaaromzet - • Is er nog goed nieuws… ? - Nieuwe kansen voor big data analytics - Creatief (her)gebruik van 'gepseudonimiseerde data' 31

Game Changer: Boetes Let op: expansieve uitleg begrip 'Undertaking' WP 29 verbindt nieuwe concept 'undertaking' aan mededingingsrecht • • Rec. 37, rec. 150: implicit connection to competition law WP 29: Broad understanding of 'economic unit' that 'provides of goods and services' WP 29: Liability for violations not limited to the 'legal entity' of the data controller WP 29: Broad discretion to determine 'undertaking' and 'fine calculation' Game Changer voor handhaving • 'Isoleren' entiteiten werk allicht niet meer • Bewijslast bij bedrijf • Boetes gericht aan de gehele Groep, niet aan dochter • 4% omzet Facebook Inc. , Ireland of Netherlands Full analysis at: https: //www. debrauw. com/newsletter/multinationals-beware-wider-group-may-be-liable-for-dataviolations-under-new-eu-rules/ 26 juni 2018

Op het menu 14: 00 uur De Algemene Verordening Gegevensbescherming (AVG) 15: 30 uur De Toezichthouder: Autoriteit Persoonsgegevens 16: 45 uur Artikel 29 Werkgroep en recente privacyjurisprudentie 17: 45 uur Tips voor de praktijk 18: 30 uur Einde cursus 26 juni 2018 33

Implicaties voor de praktijk: cultuuromslag Compliance cyclus Implementeer maatregelen Interne monitoring & audits Effectieve training & interne communicatie 26 juni 2018 Continue risk assessments verwerkingen Opstellen beleid & procedures Goedkeuring DPO & Board commitment 34

"Sweet Spot" voor privacy toezichthouders Veel consumenten, media-aandacht Guidance toezichthouder 26 juni 2018 "Sweet Spot voor Toezichthouders" Continue tracking 35

Privacy handhaving: hoe te prioriteren? Handhavingsrisico's: hoe begint een onderzoek van de AP? • • Bijzondere Persoonsgegevens Automatische besluitvorming profilering, AI Combining online and offline data wifi-tracking, slimme billboards Grootschalige datalekken Minder risico (wel voetnoot in onderzoeken toezichthouder) • Algemene policies e. g. bewaarbeleid • IT-contracten e. g. cloud computing • Verwerkersovereenkomsten 26 juni 2018 36

Kandidaat: Selfies for Life Insurance: Zurich Facequote en Artificial Intelligence 26 juni 2018 37

EU AVG: verwerkers en verwerkingsregister • Art. 4 lid 7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; • Art. 4 lid 8) „verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt; • Hoofdregel Wbp: verwerkingsverantwoordelijke aansprakelijk • Cruciaal en verplicht: verwerkersovereenkomst (art. 28 lid 3) • Ook in AVG, maar introduceert zelfstandige verplichtingen voor verwerkers • Compliance: zelfstandige verplichting voor verwerkers (art. 28) • Vereringsregister: zowel verwerkingsverantwoordelijke als verwerker (art. 30) • Komt veel voor in de praktijk! • Outsourcing, datalekken, interne onderzoeken. 26 juni 2018 38

Let ook op nieuw regime: joint controller Grote implicaties voor o. a. advocatenkantoren 26 juni 2018 39

Verschil tussen nu (NL) en mei 2018 (EU): EU AVG is strikter 40

EU AVG: over de hele linie strengere verplichtingen beveiligen gegevens AVG is strenger dan richtlijn: • Mensenrechten: verantwoordelijke moet rekening houden met "ernst uiteenlopende risico's voor de rechten en vrijheden van personen" (art. 32) • Hv. J ECJ uitspraak over Dataretentie • Tegenmaatregelen die "op het risico afgestemd" kunnen worden (art. 32, recital 91): • Encryptie en pseudonimisering • Zorgen voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht • Na zowel fysieke als technische incidenten • Procedure voor het op gezette tijden "testen, beoordelen en evalueren van de doeltreffendheid" van maatregelen • Bijhouden: verantwoordelijke en verwerker moeten omschrijving van veiligheidsmaatregelen opnemen (art. 30) • Verantwoordelijke/verwerker: Verantwoordelijken - verwerkers moeten ook compliant zijn (art. 28) 26 juni 2018 41

Uitvoeringswet AVG: Weinig interessants… • Een 'vluggertje' • Eerste Kamer aangenomen per hamerstuk op 15 mei 2018 • Gepubliceerd in Staatsblad op 22 mei 2018 • Bijzondere Persoonsgegevens min of meer zelfde als Wbp. Verschillen: • Biometrisch persoonsgegeven is bijzonder persoonsgegeven • Maar voor identificatie en beveiliging geldt 'normale' regime persoonsgegevens • Burgerservicenummer zelfde regime als Wbp, geen bijzonder persoonsgegeven 26 juni 2018 42

… maar artikel 38 UAVG: Incentive procederen tegen boetes • Merkwaardigheid in bestuursrecht • Vgl. Wob-verzoek • Rechtbank kijkt 'holistischer' dan toezichthouder - Niet alleen naar AVG • Tekstuele uitleg AVG verdedigbaar - 26 juni 2018 Veel debat in Europese instituties Toezichthouders leggen AVG breder uit 43

26 juni 2018 44

TJ Maxx: datalek uit 2005 -2007, procedures tot de dag vandaag • Creditcardgegevens gelekt • 45 miljoen klantprofielen • Verkocht op zwarte markt voor $25 per profiel • Dader 20 jaar gevangenisstraf • Creditcardmaatschappijen en verzekeringsmaatschappijen procederen erop los • Ook na Target breach van 2013 • Leidt meestal tot megaschikkingen 26 juni 2018 45

2017, Yahoo "biggest breach ever" ≈ 1 miljard 10+ onderzoeken, 50+ procedures… 26 juni 2018 46

Koersgevoelige informatie • Koersgevoelige informatie is specifieke informatie die, indien openbaar gemaakt, waarschijnlijk een significant effect heeft op de koers van financiële instrumenten of afgeleide producten • Richtlijn marktmisbruik: Onverwijlde openbaarmaking is verplicht, tenzij er uitstel mogelijk is. Vereist: • Gerechtvaardigd belang • Niet misleidend • Vertrouwelijkheid kan worden gewaarborgd • Cybersecurity incident bij beursgenoteerd bedrijf kan leiden tot openbaarmakingsverplichting • Incident kan koersgevoelig zijn (materialiteitsgrens) of • Vertrouwelijkheid van koersgevoelige informatie kan onder druk komen te staan, kan leiden tot openbaarmakingsverplichting • Verordening Marktmisbruik wordt op 3 juli 2016 van kracht • Verplicht tot melden van alle koersgevoelige informatie waarvan publicatie wordt uitgesteld

Trend: (Bestuurders)aansprakelijkheid na datalekken - Chefsache binnen ondernemingen 26 juni 2018 48

Opkomst van procederende consument We hebben grote ambities [. . ], we hopen volgend jaar onze eerste rechtszaak te doen. - Bits of Freedom 26 juni 2018 49