Deze workshop is gehouden tijdens Legal Business Day op 20 september 2012.
In deze sessie werd stilgestaan bij de uitdagingen van bedrijven bij het beschermen van persoonsgegevens. Thema's als het aangepaste boetebeleid, de overdracht van persoonsgegevens naar derde landen en nieuwe termen als 'privacy by design' en 'right to be forgotten' kwamen hierbij aan de orde.
Naast cloud computing leiden ook andere technologische ontwikkelingen tot nieuwe bedrijfsmodellen. In veel gevallen hebben deze impact op de wijze waarop persoonsgegevens worden verwerkt. De bescherming van de privacy lijkt als gevolg daarvan steeds verder onder druk te staan. In nieuwe Europese regelgeving wordt deze tendens onderkend. Maatregelen zijn aanstaande, waaronder de nieuwe Privacy Verordening.
Privacy in 2013: cloud services en andere bedreigingen
1. HEADLINE PART 1
HEADLINE PART 2
Sub-headline Arial 18pt white
Optional Name Arial 13pt italic white
Venue Arial 13pt italic white
Date of Presentation Arial 13pt italic white
2. Privacy in 2013:
cloud services en andere
bedreigingen
Deze presentatie is Arend Lagemaat
beschikbaar op
legalbusinessday.nl Richard van Schaik
3. Privacy in 2013: Cloud services en
andere bedreigingen
De veranderende ICT-behoefte van organisaties leidt er toe, dat bedrijven in toenemende mate
overgaan tot een flexibele ICT-oplossing, die naar behoefte wordt geschaald. Cloud computing
biedt organisaties aanzienlijke voordelen; niet alleen voor de directe gebruiker, maar ook ten
aanzien van de zorg voor onderhoud en beheer.
Naast cloud computing leiden ook andere technologische ontwikkelingen tot nieuwe
bedrijfsmodellen. In veel gevallen hebben deze impact op de wijze waarop persoonsgegevens
worden verwerkt. De bescherming van de privacy lijkt als gevolg daarvan steeds verder onder
druk te staan. In nieuwe Europese regelgeving wordt deze tendens onderkend. Maatregelen
zijn aanstaande, waaronder de nieuwe Privacy Verordening.
De vraag is of ondernemingen nog wel aan alle regels kunnen voldoen. In deze sessie staan
wij stil bij de uitdagingen van bedrijven bij het beschermen van persoonsgegevens. Ook
discussiëren wij met u over de oplossingsrichtingen. Thema's als het aangepaste boetebeleid,
de overdracht van persoonsgegevens naar derde landen en nieuwe termen als 'privacy by
design' en 'right to be forgotten' komen hierbij aan de orde.
Legal Business Day 2012 20 september 2012 3
4. Agenda
Eerste bedreiging : Cloud services
Tweede bedreiging : Cookie regelgeving
Derde bedreiging : Privacy verordening
Legal Business Day 2012 20 september 2012 4
5. Definitie van Cloud computing
Cloud computing:
Een verzamelnaam voor technologieën en diensten die
gericht zijn op het gebruik van IT-applicaties, rekenkracht en
opslag op afstand via het internet.
Legal Business Day 2012 20 september 2012 5
6. Cloud computing resources
Software 'Google'
Hardware 'Dropbox'
Legal Business Day 2012 20 september 2012 6
7. Cloud computing: kenmerken en voordelen
Kenmerken
Delen van resources
Wereldwijde toegang
On-demand service
Pay per use
Voordelen
Efficiënt gebruik van resources
Beschikbaarheid van up-to-date resources
Legal Business Day 2012 20 september 2012 7
9. Cloud computing as a service
Application-as-a-Service
Platform-as-a-Service
Infrastructure-as-a-Service
Legal Business Day 2012 20 september 2012 9
10. Privacyrisico's van Cloud computing
Article 29 Data Protection Working Party
Opinion 05/2012 on Cloud Computing
Risico's verbonden aan cloud computing
services:
Gebrek aan controle over de data
Gebrek aan informatie m.b.t. de verwerking
van de data (transparantie)
Legal Business Day 2012 20 september 2012 10
11. Privacyrisico's van Cloud computing
Vereisten m.b.t. gegevensbescherming:
Compliance with basic principles
Contractual safeguards of the client-provider relationship
Technische en organisatorische maatregelen ter bescherming
van persoonsgegevens
Legal Business Day 2012 20 september 2012 11
12. Privacyrisico's van Cloud computing
Aanbevelingen van de Article 29 Working Party
Betere verdeling van verantwoordelijkheden
tussen klant en aanbieder van cloud computing
services
Legal Business Day 2012 20 september 2012 12
13. Privacyrisico's van Cloud computing
Zienswijze College Bescherming Persoonsgegevens over cloud
computing
bij een overeenkomst met betrekking tot cloud computing
diensten van een Amerikaanse leverancier
Bij het sluiten van de overeenkomst zal de verantwoordelijke zich
ervan moeten vergewissen dat alle van toepassing zijnde wettelijke
bepalingen zijn afgedekt, en zal hij eventueel aanvullende afspraken
in de overeenkomst op moeten nemen.
Legal Business Day 2012 20 september 2012 13
14. Agenda
Eerste bedreiging : Cloud services
Tweede bedreiging : Cookie regelgeving
Derde bedreiging : Privacy verordening
Legal Business Day 2012 20 september 2012 14
16. Artikel 11.7a Tw.
Verplichtingen artikel 11.7a Telecommunicatiewet:
1. Informatie
2. Toestemming
Legal Business Day 2012 20 september 2012 16
17. Informatievereiste
Wanneer?
voorafgaand aan plaatsing
Wat?
dát er geplaatst wordt
doel plaatsing
afzender
verstrekking aan derden
18. Toestemmingsvereiste
Richtlijn 2009/136:
"Wanneer dit technisch mogelijk en
doeltreffend is, kan de toestemming van
de gebruiker met de verwerking worden
uitgedrukt door gebruik te maken van
de desbetreffende instellingen van een
browser of een andere toepassing."
Echter: browserinstellingen (vooralsnog) onvoldoende
19. Toestemmingsvereiste
Toestemming: 'vrij, specifiek en op informatie berustend'
In beginsel vormvrij
Niet: verwijzing naar algemene voorwaarden
/ privacy statement
Niet: default settings browser
Let op: toestemming mag voorwaarde zijn voor toegang website
20. Implementatie in Nederland –
verplichting: reikwijdte
Vraag : Alle cookies?
Antwoord: Nee – functionele cookies uitgezonderd
Vraag : Alleen cookies?
Antwoord: Nee – iedere techniek m.b.t. plaatsen/lezen gegevens op
randapparatuur (o.a. Flashcookies, HTML5-local storage,
browser fingerprints, set-up boxes,)
Vraag : Alleen computers?
Antwoord: Nee – alle randapparatuur
(smartphones, spelcomputers, tablets)
21. Implementatie in Nederland –
verplichting: reikwijdte
Vraag : Wie verantwoordelijk?
Antwoord: "Een ieder die cookies plaatst"
Vraag : Cookies onbeperkt houdbaar?
Antwoord: Ja, tenzij
24. Cookieregelgeving bedreiging?
Bedreiging in 2013?
1. Regels gaan verder dan in
meeste EU-landen
2. OPTA actief?
3. Per 1/1/2013: vermoeden
van persoonsgegevens
25. Agenda
Eerste bedreiging : Cloud services
Tweede bedreiging : Cookie regelgeving
Derde bedreiging : Privacy verordening
Legal Business Day 2012 20 september 2012 25
26. Derde bedreiging: Privacy Verordening
Achtergrond:
Nieuwe technologische en sociale omgeving
Huidige regelgeving niet voldoende
Legal Business Day 2012 20 september 2012 26
27. Verordening - Wijzigingen
Uitbreiding begrip persoonsgegevens
Nieuwe definities: genetische gegevens, vertegenwoordiger,
belangrijkste vestiging, onderneming, groep van ondernemingen
Uitbreiding toepassingsgebied
Inperking 'toestemming' als verwerkingsgrond
Positie bewerker
28. Verordening –
Verplichtingen verantwoordelijke (i)
Interne beleidsregels leidraad
Meldplicht gegevensverwerking vervalt
Meldplicht datalekken (DPA, betrokkenen
Ook bewerkers zijn verantwoordelijk voor databeveiliging
29. Verordening –
Verplichtingen verantwoordelijke (ii)
Verplichting Data Privacy Officer (functionaris)
> 250 werknemers; of monitoren is core business
dit geldt ook voor bewerker
verplichte aanstelling van 2 jaar
onafhankelijk en ontvangen
geen instructies
30. Verordening – Right to be forgotten
Recht om te worden vergeten (artikel 17):
Recht om te wissen/verdere verspreiding tegengaan
Bij openbaarmaking: ook derden waarschuwen