Gripopdata Ji+yvanDoodewaerdSabineStraver
12april2016
*DDMAisdebrancheverenigingvoordatadrivenmarkeBng
*Opdrachtgevers&dienstverleners(specialisteninsearch,social,mobile,
telemarkeBng,data,crossmedia,post,e-mail,display,targeBngetc.)
*275bedrijfsleden,20commissiesen370acBevevrijwilligers
OverDDMA…
Oogvoorprivacy & Aandachtvoorsecurity
Dezemiddag:
• Spelregelsprivacywet• MeldplichtDatalekken• Cookiewet
ArBkel10Grondwet
• “Iederhee(,behoudensbijofkrachtensdewettestellenbeperkingen,rechtopeerbiedigingvanzijnpersoonlijkelevenssfeer.”
Wetbeschermingpersoonsgegevens
• Despelregelsvoor&spelersbijhetverwerkenvanpersoonsgegevens
TelecommunicaBewet
• Cookiewet• AnBspamwet• RegelsvoortelemarkeBng
• Telemarke@ng:Opt-out
• E-mail:Opt-in
• Cookies:Opt-in
ArBkel10Grondwet
• “Iederhee(,behoudensbijofkrachtensdewettestellenbeperkingen,rechtopeerbiedigingvanzijnpersoonlijkelevenssfeer.”
EuropeseVerordeningGegevensbescherming
• De(nieuwe)spelregelsvoor&spelersbijhetverwerkenvanpersoonsgegevens
• Directvantoepassinginallelidstaten
• Treedtover2jaarenxmaandeninwerking
E-Privacyrichtlijn
• Nieuweversieindemaak,laatnogevenopzichwachten.
• Kanaalspecifiekeregelsvoore-mail,telemarkeBng,cookiesetc.
“Verwerken”van“persoonsgegevens”
“Verwerken”= Iederehandelingdiemetpersoonsgegevenkanworden
verrichtverzamelen,vastleggen,bewaren,raadplegen, bijwerken,wijzigen,verstrekken,metelkaarinverband brengen,doorgevenaanderden(Kortom:ALLES!)
“Persoonsgegevens”= allegegevensherleidbaartoteenbepaald
individu(geengeanonimiseerdegegevens)
Wanneerisprivacywetvantoepassing?
Watzijnpersoonsgegevens…
Foto’s?
Watzijnpersoonsgegevens…
Bankrekeningnummers?
Watzijnpersoonsgegevens…
IP-adressen?
RuimeredefiniBe“persoonsgegevens”innieuweEuropese
VerordeningGegevensbescherming
IP-adressen:JA
Watstaaterindeprivacywet?Despelers:
*Verantwoordelijke “degenediehetdoelendemiddelenvoor deverwerkingvaststelt”(=de
bestandseigenaar)
*Bewerker deparBjdiehandeltnaardeinstrucBesenonder verantwoordelijkheidvandeverantwoordelijke
(verwerkinginopdrachtvan…)*Betrokkene degeneopwieeenpersoonsgegevenbetrekkingheei
(personenuithetbestand) *Derde ieder,nietzijndedebetrokkene,deverantwoordelijk
ofdebewerker
Watstaaterindeprivacywet?
SpelregelA: Hethebbenvaneenrechtma)gegrondslag:
Rechtma)gegrondslagenvoormarke)ng:• Toestemming• Teruitvoeringvaneenovereenkomst• TerbeharBgingvaneengerechtvaardigdbelang
1.Toestemming=elke,vrije,specifiekeenopinformaBeberustendewilsuiBngwaarmeedebetrokkeneaanvaardtdathembetreffendepersoonsgegevenswordenverwerkt.Simpelgezegd:Ermaggééntwijfelbestaanoverdevraagofenwaarvooriemandtoestemmingheeigegeven
2.UitvoeringovereenkomstDenkaan:• opgeslagenpersoonsgegevensineendatabasegebruikenvoorhet
opsturenvaneenproductnabestelling;• OpgeslagenpersoonsgegevensommaandelijksedonaBetotuitvoeringte
brengen;• personeelsbestand(arbeidsovereenkomst)
3.Gerechtvaardigdbelang
• Reclame• Doorgevenaanderden• DirectmarkeBng
Bijeengerechtvaardigdbelangmagjezondertoestemmingénzonderuitvoeringtegevenaaneenovereenkomstpersoonsgegevensverwerken!HetbelangvandeorganisaBemoetprevalerenbovenhetprivacybelangvandebetreffendepersoon(=alBjdeenbelangenafweging).
BijzonderepersoongegevensArBkel16Wbp:Bijzonderepersoonsgegevens:gegevensomtrentgodsdienst,levensovertuiging,ras,poli@ekegezindheid,gezondheid,seksueleleven,lidmaatschapvaneenvakbond;Bijzonderepersoonsgegevensmogenuitsluitendwordenverwerktwanneerdebetrokkenedaarvooruitdrukkelijketoestemmingheeigegeven!Enigerechtma)gegrondslag: *Toestemming
Watregeltdeprivacywetnogmeer?
SpelregelB:Vooreenbepaalddoel&nietmeerdannoodzakelijk(propoBonaliteit&subsidiariteit)SpelregelC:OpbasisvanduidelijkeenvolledigeinformaBe(deinforma@eplicht)
Daadwerkelijkenvollediginlichtenoveromstandighedenwaarondergegevenswordenverkregen
Hoeinformeren?
MeldingAPVerantwoordelijkemoetmeldenbijdetoezichthouder(AP)dathijgegevensvastlegt.
Meldingenregisterisopenbaar
Watregeltdeprivacywet? De (overige) spelregels voor het verwerken van persoonsgegevens:
SpelregelC: OpbasisvanduidelijkeenvolledigeinformaBe
hetbestandtgebruiktvoormarkeBngdoeleinden,tochmelden!
Hoeinformeren:privacystatement
Eenbetrokkenemoetwetenwaarhijaantoeisencontrolekunnenuitoefenen
ophetverwerkenvanzijngegevensvoormarkeBngdoeleinden
EenorganisaBemoetdebetrokkenedaarominformerenover:1)zijnidenBteit2)hetdoelvandeverwerking3)degegevensdiewordenvastgelegd4)hetrechtvandebetrokkeneopinzageencorrecBevanzijngegevens5)hetRechtvanverzet6)debeveiligingvandepersoonsgegevens
Wanneerinformeren:bijverkrijging
Watregeltdeprivacywetnogmeer?
SpelregelD:Iniedereui@ngrechtvanverzetbiedenEenverzoek:• moetzosnelmogelijkwordenafgehandeld(“terstondbeëindigen”)• geenmoBveringnodig• moetalBjdwordengehonoreerd• tenallenBjdekosteloosEenorganisaBemoeteeneigensupressielijstbijhouden.
Watregeltdeprivacywetnogmeer?
SpelregelE:Degegevenspassendbeveiligen
Ar@kel13Wbp: “passendetechnischeenorganisatorischemaatregelenom persoonsgegevenstebeveiligentegenverliesofenigevorm vanonrechtma@geverwerking”
Rekeninghoudendmetdestandvandetechniekendekostenvandetenuitvoerleggingengeletopderisico’sdiedeverwerkingendeaardvandegegevens.
Een brede meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) • Organisaties moeten op grond van artikel 34a (nieuw) elke inbreuk op de
beveiliging, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens, direct melden bij de toezichthouder.
• Daarnaast moeten organisaties in geval van waarschijnlijk ongunstige
gevolgen voor de privacy van de betrokken personen, melding maken van de datalek aan deze betrokken personen.
MeldplichtDatalekken
Watiseendatalek?
Beveiligingsincident
• Er heeft zich een beveiligingsincident voorgedaan
Datalek
• Het incident heeft betrekking op persoonsgegevens
• De gegevens zijn verloren gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten
Voorkomenalshetkan…
Dekansopbeveiligingsincidentenbeperkendoor…
• Toepassenrichtlijnenvoorveilig(er)ontwikkelenenbeheren
• Alertzijnopkwetsbaarheden
• ConBnuverbeterenbeveiliging(PDCA-cyclus)
Dekansopdatalekkenbeperkendoor…
• Nietmeerpersoonsgegevensverwerkendannoodzakelijk
• Persoonsgegevensnietlangertebewarendannoodzakelijk
Degevolgenbeperkendoor…
• Technischebeschermings-maatregelenzoalsencrypBe
…meldenalshetmoet.
Goedomgaanmetbeveiligingsincidenten
• Goedincidentbeheer
• ZorgdatuBjdigwordtgeïnformeerdoverincidentenbijbewerkers
• Weesalertopsignalenuitdebuitenwereld
Goedomgaanmetdatalekken
• Kijkwatermiskangaanmetwelkepersoonsgegevens
• Maakeenrampenplan:wiedoetwat?Wiebeoordeelthetdatalekendoetdemelding?Hoegaatudebetrokkeneninformeren?
Goedomgaanmetdegevolgen
• Trefmaatregelenomdeschadetebeperkenenherhalingtevoorkomen
• ZorgdatudebetrokkenenBjdigenadequaatinformeert
WanneermeldenAutoriteitPersoonsgegevens?
Sanc)esBoetesAlssprakeisvaneenovertredingvandeWetbeschermingpersoonsgegevensdieopze<elijkisgepleegdofhetgevolgisvanerns)gverwijtbarenala)gheid,kandetoezichthouderdirecteenboeteopleggen.Deboetekanoplopentotmaximaal820.000euro
Sanc)es• Zorgdatjepersoonsgegevensopgegevensdragerszoalsusb-sBcks,smartphonesenlaptopsadequaatversleutelt;
• MeldopBjd(datwilzeggen:binnen72uurnaontdekking);
• Meldookdatalekkendoormalware(bijvoorbeelddooreenvirusopeenpc/bedrijfsnetwerk
Indeverhoudingverantwoordelijke–bewerkerDenkaan:clouddienstverlener,hosBngproviders,ESP’sBewerkerdraagtervoorzorgdatdeverantwoordelijkeBjdigmeldingkanmakenInbewerkersovereenkomst: • schriielijkeafsprakenmakenoverwijzebewerkermelding
maakt• wijzewaaropbewerkersubbewerkersingeschakeld(met
toestemming/kennisgeving)• afsprakendiebewerkermetsubbewerkersmaakt
Tervoorbereiding:- Brengdatastromeninkaart
- Checkallebewerkersovereenkomsten(voegbepalingdatalekkentoe)
- Ganahoebewerkersdegegevensopslaan(legditvast)
- Stelinterneenprotocoldatalekkenop,stelwerknemersdaarvanopdehoogte(evtteamdatalekken)
Cookie|toestemming
Ar)kel11.7aLid1
OnverminderddeWetbeschermingpersoonsgegevensishetviaeenelektronischcommunicaBenetwerkopslaanvanoftoegangverkrijgentotinformaBeinderandapparatuurvaneengebruiker,alleentoegestaanopvoorwaardedatdebetrokkengebruiker:
a. isvoorzienvanduidelijkeenvolledigeinformaBeovereenkomsBgdeWetbeschermingpersoonsgegevens,iniedergevaloverdedoeleindenwaarvoordezeinformaBewordtgebruikt,en
b. daarvoortoestemmingheeiverleend.
=OPT-IN
Toestemmingcookies
IndetoelichBnggeeihetMinisterienadereuitlegovertoestemming.Dewetwilgeïnformeerdetoestemming.
• OnvolledigeinformaBeisgeentoestemming
• Cookiesmogenpasgeplaatstwordennahandeling(nietbijopenenwebpagina)
• MagcollecBefvoormeerderesites/labels
Cookiewet|toestemming
Geentoestemming:11cookies
FuncBoneel?
APenACMroerenzichophetdossier,leidttotonduidelijkheid.
Waardewetgeverdeteugelslaatvieren,trekkenzijdeteugels
aan.
• APrapportYD(nuYieldr)enlastonderdwangsom
• APrapportNPO
• ACMrapportNPO
Cookiewet|toezichthouders
YD
Overtreedt(cookie-)enprivacywetvolgensCbp:
YDmaaktprofielenopbasisvancookiedataenverwerkt–volgens
hetCbp–persoonsgegevens.Privacywetisvantoepassing,wat
zegtdiewet:
• Informeren
• Ondubbelzinnigetoestemmingvragen
Cookiewet|toezichthouders
Toestemminginrichtenbijplaatsentrackingcookies:Informerenover:• daterpersoonsgegevenswordenverwerkt.• voorwelkecategorieën,de“preciezesoortenverwerktegegevens”.• voorwelkedoeleindendegegevenswordengebruikt,bijvoorbeeldhetkunnen
(re)targetenoftonenvangepersonaliseerdeadvertenBes.• hoelangdiegegevenswordenbewaard(bewaartermijnen).• hoedegebruikerdecookie-instellingenkanwijzigen(endaarmeeeerdergegeven
toestemmingvoorhetgebruikvancookieskanintrekken).Dankantoestemmingwordenuitgedruktdooreenhandeling
Cookiewet|toezichthouders
NPOovertreedt(cookie-)enprivacywetvolgensAP(voorheenCbp):
• OnjuisteenonvolledigeinformaBe
• Geentoestemming
Cookiewet|toezichthouders
NPO–2014cookiebanner
• GeeninformaBeHetCBPhee(op3enop9april2014eengrootaantalpermanentecookiesaangetroffen,waaroverdeNPOinhetgeheelgeeninforma@egee(.Ditbetre(deveelvuldigvoorkomendegads,PREFenNIDcookiesvanGoogleDoubleClick,maarookadverten@ecookiesa[oms@gvan13anderedomeinen185,deanaly@schecookiesvanGoogleenMediaMathendesocialemediacookiesvanintagme.comenvangigya.com.• GeentoestemmingUithetfeitdateenbezoekeréénkeerhee(doorgekliktineenperiodevan10jaaropeenwebsitevandepubliekeomroep,zonderdathijadequaatisgeïnformeerd,kandaaromgeenondubbelzinnigetoestemmingwordenafgeleidvoordeverwerkingvanzijnpersoonsgegevens.
Cookiewet|toezichthouders
comScoreStaBsBschecookie,dievolgenshetCbpnietonderdewetswijzigingvalt,want:• BevatuniqueidenBfier• Kan(aldannietincombinaBemetanderedata)gebruiktwordenom
mensenteherleiden• Meetoververschillendesites(dienstenvandeinformaBemaatschappijOokalsdewijzigingvanar@kel11.7avandeTwwetwordt,vallendedoordeNPOgebruikteanaly@schecookiesnietonderdeuitzonderingendientdeNPOdaaromnogsteedsteinformerenoverenondubbelzinnigetoestemmingteverkrijgenvoordeanaly@schecookiesvancomScore,GoogleenMediamath.
Cookiewet|toezichthouders
D.w.z.affiliatepar)jplaatsttrackingcookieopjouwdomeinInformerenover:
1. welkecookiesgeplaatstworden(analyBcsentracking,funcBoneelhoeiniet)
2. voorwelkdoel(staBsBeken,bijhoudenvoorkeurenengerichtadverteren,ookgebruikdoorderden)
3. Hoeiemandtoestemminggeei:“doorverdertegaanopdepagina/dezemeldingwegteklikken/opokteklikkengaatuakkoord”.
4. Mogelijkheidomcookiesteweigeren
Inkoop|Sitepartner
Cookiewet|toestemming
Ketenverantwoordelijkheid/aansprakelijkheid• DeparBjdieeencommerciëlecookieplaatstmoettotvijfjaarnaplaatsing
kunnenaantonendattoestemmingisverkregen.Dathoudtindatopvoldoendebetrouwbarewijzekanwordenaangetoondopwelkewijze,opwelkBjdsBp,vanuitwelkeURLenopbasisvanwelketeksttoestemmingisverkregenenwelkeprivacyverklaringopdatmomentvoorhetbetreffendedomeinwerdgehanteerdIndieneenwebsitedetoestemmingverkrijgt,maareenderdeparBjdecookieplaatst,zaldezederdeparBjmoetenbeschikkenoverdeverkregentoestemming.Hierkunnenafsprakenoverwordengemaakt.
KamerstukkenI2014/15,33902,nr.E,p.[].
Inkoop|Adverteerder
Vragen?