Gripopdata Ji+yvanDoodewaerdSabineStraver

12april2016

*DDMAisdebrancheverenigingvoordatadrivenmarkeBng

*Opdrachtgevers&dienstverleners(specialisteninsearch,social,mobile,

telemarkeBng,data,crossmedia,post,e-mail,display,targeBngetc.)

*275bedrijfsleden,20commissiesen370acBevevrijwilligers

OverDDMA…

Oogvoorprivacy & Aandachtvoorsecurity

Dezemiddag:

•  Spelregelsprivacywet•  MeldplichtDatalekken•  Cookiewet

ArBkel10Grondwet

• “Iederhee(,behoudensbijofkrachtensdewettestellenbeperkingen,rechtopeerbiedigingvanzijnpersoonlijkelevenssfeer.”

Wetbeschermingpersoonsgegevens

• Despelregelsvoor&spelersbijhetverwerkenvanpersoonsgegevens

TelecommunicaBewet

• Cookiewet• AnBspamwet• RegelsvoortelemarkeBng

• Telemarke@ng:Opt-out

• E-mail:Opt-in

• Cookies:Opt-in

ArBkel10Grondwet

• “Iederhee(,behoudensbijofkrachtensdewettestellenbeperkingen,rechtopeerbiedigingvanzijnpersoonlijkelevenssfeer.”

EuropeseVerordeningGegevensbescherming

• De(nieuwe)spelregelsvoor&spelersbijhetverwerkenvanpersoonsgegevens

• Directvantoepassinginallelidstaten

• Treedtover2jaarenxmaandeninwerking

E-Privacyrichtlijn

• Nieuweversieindemaak,laatnogevenopzichwachten.

• Kanaalspecifiekeregelsvoore-mail,telemarkeBng,cookiesetc.

“Verwerken”van“persoonsgegevens”

“Verwerken”= Iederehandelingdiemetpersoonsgegevenkanworden

verrichtverzamelen,vastleggen,bewaren,raadplegen, bijwerken,wijzigen,verstrekken,metelkaarinverband brengen,doorgevenaanderden(Kortom:ALLES!)

“Persoonsgegevens”= allegegevensherleidbaartoteenbepaald

individu(geengeanonimiseerdegegevens)

Wanneerisprivacywetvantoepassing?

Watzijnpersoonsgegevens…

Foto’s?

Watzijnpersoonsgegevens…

Bankrekeningnummers?

Watzijnpersoonsgegevens…

IP-adressen?

RuimeredefiniBe“persoonsgegevens”innieuweEuropese

VerordeningGegevensbescherming

IP-adressen:JA

Watstaaterindeprivacywet?Despelers:

*Verantwoordelijke “degenediehetdoelendemiddelenvoor deverwerkingvaststelt”(=de

bestandseigenaar)

*Bewerker deparBjdiehandeltnaardeinstrucBesenonder verantwoordelijkheidvandeverantwoordelijke

(verwerkinginopdrachtvan…)*Betrokkene degeneopwieeenpersoonsgegevenbetrekkingheei

(personenuithetbestand) *Derde ieder,nietzijndedebetrokkene,deverantwoordelijk

ofdebewerker

Watstaaterindeprivacywet?

SpelregelA: Hethebbenvaneenrechtma)gegrondslag:

Rechtma)gegrondslagenvoormarke)ng:•  Toestemming•  Teruitvoeringvaneenovereenkomst•  TerbeharBgingvaneengerechtvaardigdbelang

1.Toestemming=elke,vrije,specifiekeenopinformaBeberustendewilsuiBngwaarmeedebetrokkeneaanvaardtdathembetreffendepersoonsgegevenswordenverwerkt.Simpelgezegd:Ermaggééntwijfelbestaanoverdevraagofenwaarvooriemandtoestemmingheeigegeven

2.UitvoeringovereenkomstDenkaan:•  opgeslagenpersoonsgegevensineendatabasegebruikenvoorhet

opsturenvaneenproductnabestelling;•  OpgeslagenpersoonsgegevensommaandelijksedonaBetotuitvoeringte

brengen;•  personeelsbestand(arbeidsovereenkomst)

3.Gerechtvaardigdbelang

•  Reclame•  Doorgevenaanderden•  DirectmarkeBng

Bijeengerechtvaardigdbelangmagjezondertoestemmingénzonderuitvoeringtegevenaaneenovereenkomstpersoonsgegevensverwerken!HetbelangvandeorganisaBemoetprevalerenbovenhetprivacybelangvandebetreffendepersoon(=alBjdeenbelangenafweging).

BijzonderepersoongegevensArBkel16Wbp:Bijzonderepersoonsgegevens:gegevensomtrentgodsdienst,levensovertuiging,ras,poli@ekegezindheid,gezondheid,seksueleleven,lidmaatschapvaneenvakbond;Bijzonderepersoonsgegevensmogenuitsluitendwordenverwerktwanneerdebetrokkenedaarvooruitdrukkelijketoestemmingheeigegeven!Enigerechtma)gegrondslag: *Toestemming

Watregeltdeprivacywetnogmeer?

SpelregelB:Vooreenbepaalddoel&nietmeerdannoodzakelijk(propoBonaliteit&subsidiariteit)SpelregelC:OpbasisvanduidelijkeenvolledigeinformaBe(deinforma@eplicht)

Daadwerkelijkenvollediginlichtenoveromstandighedenwaarondergegevenswordenverkregen

Hoeinformeren?

MeldingAPVerantwoordelijkemoetmeldenbijdetoezichthouder(AP)dathijgegevensvastlegt.

Meldingenregisterisopenbaar

Watregeltdeprivacywet? De (overige) spelregels voor het verwerken van persoonsgegevens:

SpelregelC: OpbasisvanduidelijkeenvolledigeinformaBe

hetbestandtgebruiktvoormarkeBngdoeleinden,tochmelden!

Hoeinformeren:privacystatement

Eenbetrokkenemoetwetenwaarhijaantoeisencontrolekunnenuitoefenen

ophetverwerkenvanzijngegevensvoormarkeBngdoeleinden

EenorganisaBemoetdebetrokkenedaarominformerenover:1)zijnidenBteit2)hetdoelvandeverwerking3)degegevensdiewordenvastgelegd4)hetrechtvandebetrokkeneopinzageencorrecBevanzijngegevens5)hetRechtvanverzet6)debeveiligingvandepersoonsgegevens

Wanneerinformeren:bijverkrijging

Watregeltdeprivacywetnogmeer?

SpelregelD:Iniedereui@ngrechtvanverzetbiedenEenverzoek:•  moetzosnelmogelijkwordenafgehandeld(“terstondbeëindigen”)•  geenmoBveringnodig•  moetalBjdwordengehonoreerd•  tenallenBjdekosteloosEenorganisaBemoeteeneigensupressielijstbijhouden.

Watregeltdeprivacywetnogmeer?

SpelregelE:Degegevenspassendbeveiligen

Ar@kel13Wbp: “passendetechnischeenorganisatorischemaatregelenom persoonsgegevenstebeveiligentegenverliesofenigevorm vanonrechtma@geverwerking”

Rekeninghoudendmetdestandvandetechniekendekostenvandetenuitvoerleggingengeletopderisico’sdiedeverwerkingendeaardvandegegevens.

Een brede meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) •  Organisaties moeten op grond van artikel 34a (nieuw) elke inbreuk op de

beveiliging, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens, direct melden bij de toezichthouder.

•  Daarnaast moeten organisaties in geval van waarschijnlijk ongunstige

gevolgen voor de privacy van de betrokken personen, melding maken van de datalek aan deze betrokken personen.

MeldplichtDatalekken

Watiseendatalek?

Beveiligingsincident

• Er heeft zich een beveiligingsincident voorgedaan

Datalek

• Het incident heeft betrekking op persoonsgegevens

• De gegevens zijn verloren gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten

Voorkomenalshetkan…

Dekansopbeveiligingsincidentenbeperkendoor…

• Toepassenrichtlijnenvoorveilig(er)ontwikkelenenbeheren

• Alertzijnopkwetsbaarheden

• ConBnuverbeterenbeveiliging(PDCA-cyclus)

Dekansopdatalekkenbeperkendoor…

• Nietmeerpersoonsgegevensverwerkendannoodzakelijk

• Persoonsgegevensnietlangertebewarendannoodzakelijk

Degevolgenbeperkendoor…

• Technischebeschermings-maatregelenzoalsencrypBe

…meldenalshetmoet.

Goedomgaanmetbeveiligingsincidenten

• Goedincidentbeheer

• ZorgdatuBjdigwordtgeïnformeerdoverincidentenbijbewerkers

• Weesalertopsignalenuitdebuitenwereld

Goedomgaanmetdatalekken

• Kijkwatermiskangaanmetwelkepersoonsgegevens

• Maakeenrampenplan:wiedoetwat?Wiebeoordeelthetdatalekendoetdemelding?Hoegaatudebetrokkeneninformeren?

Goedomgaanmetdegevolgen

• Trefmaatregelenomdeschadetebeperkenenherhalingtevoorkomen

• ZorgdatudebetrokkenenBjdigenadequaatinformeert

WanneermeldenAutoriteitPersoonsgegevens?

Sanc)esBoetesAlssprakeisvaneenovertredingvandeWetbeschermingpersoonsgegevensdieopze<elijkisgepleegdofhetgevolgisvanerns)gverwijtbarenala)gheid,kandetoezichthouderdirecteenboeteopleggen.Deboetekanoplopentotmaximaal820.000euro

Sanc)es•  Zorgdatjepersoonsgegevensopgegevensdragerszoalsusb-sBcks,smartphonesenlaptopsadequaatversleutelt;

•  MeldopBjd(datwilzeggen:binnen72uurnaontdekking);

•  Meldookdatalekkendoormalware(bijvoorbeelddooreenvirusopeenpc/bedrijfsnetwerk

Indeverhoudingverantwoordelijke–bewerkerDenkaan:clouddienstverlener,hosBngproviders,ESP’sBewerkerdraagtervoorzorgdatdeverantwoordelijkeBjdigmeldingkanmakenInbewerkersovereenkomst: •  schriielijkeafsprakenmakenoverwijzebewerkermelding

maakt•  wijzewaaropbewerkersubbewerkersingeschakeld(met

toestemming/kennisgeving)•  afsprakendiebewerkermetsubbewerkersmaakt

Tervoorbereiding:-  Brengdatastromeninkaart

-  Checkallebewerkersovereenkomsten(voegbepalingdatalekkentoe)

-  Ganahoebewerkersdegegevensopslaan(legditvast)

-  Stelinterneenprotocoldatalekkenop,stelwerknemersdaarvanopdehoogte(evtteamdatalekken)

Cookie|toestemming

Ar)kel11.7aLid1

OnverminderddeWetbeschermingpersoonsgegevensishetviaeenelektronischcommunicaBenetwerkopslaanvanoftoegangverkrijgentotinformaBeinderandapparatuurvaneengebruiker,alleentoegestaanopvoorwaardedatdebetrokkengebruiker:

a. isvoorzienvanduidelijkeenvolledigeinformaBeovereenkomsBgdeWetbeschermingpersoonsgegevens,iniedergevaloverdedoeleindenwaarvoordezeinformaBewordtgebruikt,en

b. daarvoortoestemmingheeiverleend.

=OPT-IN

Toestemmingcookies

IndetoelichBnggeeihetMinisterienadereuitlegovertoestemming.Dewetwilgeïnformeerdetoestemming.

•  OnvolledigeinformaBeisgeentoestemming

•  Cookiesmogenpasgeplaatstwordennahandeling(nietbijopenenwebpagina)

•  MagcollecBefvoormeerderesites/labels

Cookiewet|toestemming

Geentoestemming:11cookies

FuncBoneel?

APenACMroerenzichophetdossier,leidttotonduidelijkheid.

Waardewetgeverdeteugelslaatvieren,trekkenzijdeteugels

aan.

•  APrapportYD(nuYieldr)enlastonderdwangsom

•  APrapportNPO

•  ACMrapportNPO

Cookiewet|toezichthouders

YD

Overtreedt(cookie-)enprivacywetvolgensCbp:

YDmaaktprofielenopbasisvancookiedataenverwerkt–volgens

hetCbp–persoonsgegevens.Privacywetisvantoepassing,wat

zegtdiewet:

•  Informeren

•  Ondubbelzinnigetoestemmingvragen

Cookiewet|toezichthouders

Toestemminginrichtenbijplaatsentrackingcookies:Informerenover:•  daterpersoonsgegevenswordenverwerkt.•  voorwelkecategorieën,de“preciezesoortenverwerktegegevens”.•  voorwelkedoeleindendegegevenswordengebruikt,bijvoorbeeldhetkunnen

(re)targetenoftonenvangepersonaliseerdeadvertenBes.•  hoelangdiegegevenswordenbewaard(bewaartermijnen).•  hoedegebruikerdecookie-instellingenkanwijzigen(endaarmeeeerdergegeven

toestemmingvoorhetgebruikvancookieskanintrekken).Dankantoestemmingwordenuitgedruktdooreenhandeling

Cookiewet|toezichthouders

NPOovertreedt(cookie-)enprivacywetvolgensAP(voorheenCbp):

•  OnjuisteenonvolledigeinformaBe

•  Geentoestemming

Cookiewet|toezichthouders

NPO–2014cookiebanner

•  GeeninformaBeHetCBPhee(op3enop9april2014eengrootaantalpermanentecookiesaangetroffen,waaroverdeNPOinhetgeheelgeeninforma@egee(.Ditbetre(deveelvuldigvoorkomendegads,PREFenNIDcookiesvanGoogleDoubleClick,maarookadverten@ecookiesa[oms@gvan13anderedomeinen185,deanaly@schecookiesvanGoogleenMediaMathendesocialemediacookiesvanintagme.comenvangigya.com.•  GeentoestemmingUithetfeitdateenbezoekeréénkeerhee(doorgekliktineenperiodevan10jaaropeenwebsitevandepubliekeomroep,zonderdathijadequaatisgeïnformeerd,kandaaromgeenondubbelzinnigetoestemmingwordenafgeleidvoordeverwerkingvanzijnpersoonsgegevens.

Cookiewet|toezichthouders

comScoreStaBsBschecookie,dievolgenshetCbpnietonderdewetswijzigingvalt,want:•  BevatuniqueidenBfier•  Kan(aldannietincombinaBemetanderedata)gebruiktwordenom

mensenteherleiden•  Meetoververschillendesites(dienstenvandeinformaBemaatschappijOokalsdewijzigingvanar@kel11.7avandeTwwetwordt,vallendedoordeNPOgebruikteanaly@schecookiesnietonderdeuitzonderingendientdeNPOdaaromnogsteedsteinformerenoverenondubbelzinnigetoestemmingteverkrijgenvoordeanaly@schecookiesvancomScore,GoogleenMediamath.

Cookiewet|toezichthouders

D.w.z.affiliatepar)jplaatsttrackingcookieopjouwdomeinInformerenover:

1.  welkecookiesgeplaatstworden(analyBcsentracking,funcBoneelhoeiniet)

2.  voorwelkdoel(staBsBeken,bijhoudenvoorkeurenengerichtadverteren,ookgebruikdoorderden)

3.  Hoeiemandtoestemminggeei:“doorverdertegaanopdepagina/dezemeldingwegteklikken/opokteklikkengaatuakkoord”.

4.  Mogelijkheidomcookiesteweigeren

Inkoop|Sitepartner

Cookiewet|toestemming

Ketenverantwoordelijkheid/aansprakelijkheid•  DeparBjdieeencommerciëlecookieplaatstmoettotvijfjaarnaplaatsing

kunnenaantonendattoestemmingisverkregen.Dathoudtindatopvoldoendebetrouwbarewijzekanwordenaangetoondopwelkewijze,opwelkBjdsBp,vanuitwelkeURLenopbasisvanwelketeksttoestemmingisverkregenenwelkeprivacyverklaringopdatmomentvoorhetbetreffendedomeinwerdgehanteerdIndieneenwebsitedetoestemmingverkrijgt,maareenderdeparBjdecookieplaatst,zaldezederdeparBjmoetenbeschikkenoverdeverkregentoestemming.Hierkunnenafsprakenoverwordengemaakt.

KamerstukkenI2014/15,33902,nr.E,p.[].

Inkoop|Adverteerder

Vragen?