Monday, January 6, 2014

Holland Privacy Outlook 2014

By popular demand, please find below an English version of my earlier blogpost on what 2014 holds in store for privacy compliance in The Netherlands, based on the legislative and enforcement trends in The Hague and Brussels.

2014 is set to become the year for privacy and data protection in The Netherlands. A number of legislative proposals in The Hague and Brussels will significantly change the way businesses operating in The Netherlands have to comply with privacy and data protection laws. Some details still need to be worked out, but one thing is clear: in 2014, businesses operating in Holland need to get serious about privacy and data protection.

First order of business in 2014 is to seriously step up the maturity level of the organization's privacy compliance. The plans in The Hague and Brussels do no longer tolerate low levels of privacy compliance. The new name of the game is data lifecycle compliance management. This requires significant more resources and attention dedicated to privacy and data protection, as personal data need to be protection during their entire lifecycle and mere 'legal compliance' is no longer tolerated.

Privacy Maturity Path to 2015

Here are 6 trends you need to watch this year in order to stay on the right side of privacy compliance:

1. The Dutch Data Protection Authority Gets Power To Fine

The Dutch Cabinet has recently approved a bill which gives the Dutch Data Protection Authority (CBP) the power to fine businesses for violating the Dutch Personal Data Protection Act (WBP). These administrative fines may equal 6th category criminal fines (since January 1st: 810.000 Euro). The fines can be issued for any violation of the WBP. In theory this may lead to cumulative fines (!).

But it may get worse. State-Secretary Teeven, responsible for the WBP, has suggested in Parliament in November that he was about to send a bill to the Cabinet which would contain turn-over related fines. Probably he was referring to another bill which is currently pending in Parliament, which allows for fines of 10% of the annual turn-over if a fine of 810.000 euro would not be fair. It is therefore highly likely that this possibility is included in the CBP fining powers bill.

The bill is expected to become law on January 1, 2015. This would give businesses only 1 year to address their non-compliances to avoid fines next year.

2. Data Breach Notification Law Introduced

Also currently pending in Parliament is a bill requiring data breaches to be notified to the CBP and the data subject. Data breaches must be notified regardless of the amount of personal data breached. The only exceptions are: 1) where the data were encrypted or otherwise made unintelligible to unauthorized users, and 2) where the data breach is a 'trifle'. We don't know yet how the CBP will interpret this last exception, but one may expect that personal data of a more sensitive nature, such special data and financial data, will not qualify under the exception. It is important to note that data breaches which occur at the data processor's side must be notified by the controller. Processor contracts must contain language which require processors to notify controllers of data breaches.

Also this bill is expected to become law on January 1, 2015. Businesses should therefore use 2014 to review their security practices as well as their processor contracts and to take a close look at their internal security incident reporting procedures.

3. Safe Harbor and Cloud

In the wake of the Snowden-scandal, the European Commission has taken a close look at the Safe Harbor Agreement and has proposed a number of changes. The US have until the summer to implement these changes. If they don't agree, the European Commission may choose to terminate the Agreement.

The problem is that Safe Harbor is widely used to allow data transfers from the EU to the US via cloud services. If the Safe Harbor Agreement is terminated, European cloud customers will need to look for alternatives. One alternative may be to enter into modelcontracts with the US cloud provider, but these may be difficult to implement in cloud environments. Another way (favored by the European Parliament) may be to use a European cloud service, where the privacy rights of European citizens are respected.

CIO's and legal counsel should therefore use the first half of 2014 to take a close look at their organization's cloud strategy and prepare a back-up plan in case Safe Harbor is terminated this summer.

4. EU Data Protection Regulation

The EU Data Protection Regulation, which is supposed to replace the WBP in 2016, has hit some political trouble, which has caused a delay (most likely until 2015). Although details may change, there is high-level agreement on several key-elements of the Regulation, such as more responsibilities for the controller (especially with regard to compliance management), more rights for the data subject (especially on the internet), requirements for privacy-by-design and privacy impact assessments on new information systems and changes to business processes, steep turn-over related fines (up to 5% according to the Parliament) and restrictions on sharing data with foreign governments.

Given the significant impact of the Regulation on the business, it would be sound policy to start preparing an implementation plan in 2014, as the implementation period of 2 years after adoption of the Regulation will most likely be too short for most companies to review each and every data processing operation and data processor.

5. 2014: The Year of the DPO ?

I predict that 2014 will be the year where many organisations in The Netherlands, government bodies and businesses alike, will start looking for a Data Protection Officer (DPO) or even a Chief Privacy Officer (CPO, a DPO at executive level). This would allow such DPO/CPO to start preparing the implementation of the Regulation as well as to fix the most urgent non-compliances before the new fining power of the CBP and the data breach notification law come into force next year.

However, there are not many experienced DPO's around in The Netherlands, let alone experienced CPO's, since most businesses treat privacy compliance as a legal matter, leaving much of the work to law firms. On the other hand, appointing an existing employee as DPO may also not be a good thing, since such employee would need to be thoroughly trained first in order to acquire the required competencies of a DPO. In such case, 2014 would be wasted. It is therefore good to know that DPO's may also be hired externally (as a service). Not only would this provide some flexibility (DPO's have protected employment status in The Netherlands and cannot be fired without the court's approval), but it also ensures high-level expertise where time to bring the organization into compliance is limited. In the meantime, the in-house privacy lead may be trained to become a DPO.

6. Cookie law enforcement

The Dutch cookie law (art. 11.7a Telecommunications Act) is also likely to be changed this year. A bill is currently being prepared, which would exempt cookies with low privacy risks, such as first party analytics cookies, from the information and consent requirements. Also this bill is expected to become law on January 1, 2015.

On the other hand, I wouldn't be surprised if the Consumer and Market Authority (ACM), which enforces the Telecommunications Act, would step up its enforcement efforts with regard to the cookie law. Until now, the ACM has given priority to the information requirement by giving warning to websites, but could very well also start enforcing the consent requirement in 2014.

But also the CBP may enforce the cookie law, as a particular element of the Dutch cookie law is that cookies which track users over multiple websites are considered personal data (unless the party which places the cookie can demonstrate otherwise). In 2013, the CBP has already shown concerns about the implementation of the cookie law, especially with regard to the way consent is obtained. Also, the CBP has expressed concerns in cases where analytics cookies are placed by third party analytics providers, such as Google Analytics. In such case, the CBP requires an agreement similar to a processor agreement to be put in place between the website owner and the analytics service provider. So, I would also not be surprised if also the CBP would step up its enforcement actions in 2014 with regard to the cookie law.

I wish you a happy and data-breach-free 2014 !!
For more info or support, I can be contacted via

Thursday, January 2, 2014

Privacy Outlook 2014

2014 belooft hét jaar te worden voor privacycompliance. Er staan grote veranderingen op stapel. Hoe een en ander er precies gaat uitzien, weten we nog niet, maar één ding staat vast: in 2014 moeten organisaties serieus met privacy en bescherming van persoonsgegevens aan de slag.

Privacy zou in 2014 wel eens veel meer het domein van managers, informatiebeveiligers en compliance officers kunnen (moeten?) worden en minder van (bedrijfs)juristen. Nog steeds ligt bij het merendeel van de bedrijven en organisaties de kennis over en aandacht voor privacycompliance bij de juridische afdeling (die het al dan niet uitbesteedt aan een advocatenkantoor). Die doet de nodige meldingen bij het CBP, maakt een paar bewerkersovereenkomsten met leveranciers, geeft juridisch advies bij een nieuw project of de aanschaf van een nieuw systeem en kijkt er daarna niet meer naar om. Privacycompliance overstijgt bij deze organisaties vaak nauwelijks het niveau van 'repeatable'. Bedrijven en organisaties die zich hierin herkennen doen er goed aan om dit beleid in 2014 eens drastisch tegen het licht te houden.
Repeatable is no longer an option!

Het nieuwe adagium is 'data lifecycle compliance management'. En daar hoort minimaal het niveau 'managed' bij. De plannen voor 2014/2015 in Den Haag en Brussel maken dat bescherming van persoonsgegevens voortdurende aandacht nodig heeft; van wieg tot graf dus.

Privacy Maturity Pad naar 2015

Daarom de zes belangrijkste aandachtspunten voor 2014 op het gebied van privacycompliance en bescherming van persoonsgegevens op een rijtje:

1. Boetebevoegdheid CBP

Hoewel de details van het wetsvoorstel dat het kabinet onlangs naar de Raad van State stuurde nog niet precies bekend zijn, staat al wel vast dat het CBP een algemene bestuurlijke boetebevoegdheid gaat krijgen voor overtredingen van de WBP. Het gaat dan niet meer alleen om het niet naleven van de meldplicht ex artikel 27 WBP (nu maximaal 4500 euro), maar om alle overtredingen van de WBP. Naar verluidt haakt het wetsvoorstel aan bij het boetemaximum van categorie 6 van het Wetboek van Strafrecht (per 1 januari 2014: 810.000 euro), de hoogst mogelijke boete. Let wel: per overtreding! Het ongericht verzamelen van persoonsgegevens plus het bovenmatig verstekken ervan én een slechte beveiliging zou in theorie dus zomaar een boete van 2,4 miljoen euro (!) kunnen opleveren.

Maar dat is wellicht nog niet alles. Staatssecretaris Teeven (Veiligheid en Justitie), verantwoordelijk voor de WBP, had het onlangs in de Tweede Kamer tijdens de begrotingsbehandeling over omzetgerelateerde boetes voor overtredingen van de WBP, daarmee mogelijk refererend aan het Wetsvoorstel Verruiming Mogelijkheden Bestrijding Financieel-Economische Criminaliteit waarmee het boetemaximum in het Wetboek van Strafrecht voor bedrijven wordt verhoogd naar 10% van de jaaromzet als categorie 6 geen passende bestraffing biedt. Dat wetsvoorstel is in juli 2013 naar de Tweede Kamer is gestuurd. 810.000 euro is een serieus boetemaximum, waarmee het CBP vergelijkbare boetes kan uitdelen als de Engelse toezichthouder (500.000 pond). Maar met omzetgerelateerde boetes zou het CBP pas echt slagtanden krijgen.

Als het vaste inwerkingtredingsschema voor nieuwe wetgeving wordt aangehouden, gaat de boetebevoegdheid in op 1 januari 2015. Dat zou betekenen dat bedrijven, overheden en instellingen nog maar een jaar hebben om hun gegevenshuishouding op orde te brengen om zo boetes te ontlopen. En dat jaar is voorbij voor je het weet.
2. Meldplicht datalekken

In de Tweede Kamer ligt momenteel het wetsvoorstel meldplicht datalekken. Een datalek moet worden gemeld bij het CBP en bij de betrokkenen, tenzij er sprake is van een 'bagatel'. Hoewel we nog niet precies weten hoe het CBP met de bagatelregeling zal omgaan, mag men er van uitgaan dat datalekken waarbij persoonsgegevens met een hoge mate van gevoeligheid zijn betrokken, altijd gemeld moeten worden. Je moet dan bijvoorbeeld denken aan bijzondere gegevens ex artikel 16 WBP (medische gegevens, etniciteitsgegevens, strafrechtelijke gegevens, etc), financiële gegevens zoals creditcardinformatie en rekeninggegevens, burgerservicenummers en inloggegevens op websites en sociale media, maar ook aan camerabeelden of gegevens uit personeelsvolgsystemen.

Het maakt voor de meldplicht overigens niet uit hoeveel data is gelekt. Zelfs een klein datalek moet gemeld worden als de gegevens gevoelig zijn. Datalekken waarbij gevoelige persoonsgegevens zijn betrokken hoeven alleen dan niet gemeld te worden als ze zijn versleuteld of anderszins onbegrijpelijk zijn gemaakt voor onbevoegden.

Het niet melden van een datalek kan worden beboet met maximaal 810.000 euro (het boetemaximum van 450.000 euro in het huidige voorstel wordt door het onder punt 1 genoemde wetsvoorstel verhoogd). Ook dit wetsvoorstel treedt naar verwachting in werking op 1 januari 2015. En dus doen organisaties er goed aan om niet alleen hun beveiligingsmaatregelen in 2014 nog eens kritisch tegen het licht te houden, maar ook om hun bewerkerscontracten te herzien (een datalek bij de bewerker moet door de verantwoordelijke worden gemeld) en hun interne procedure voor het rapporteren en adresseren van datalekken af te stoffen, bij te werken en te testen.

3. Cloud en Safe Harbor

De rel rond de NSA na de openbaarmakingen van klokkenluider Edward Snowden hebben de gemoederen in Europa het afgelopen jaar flink bezig gehouden. Door deze rel zijn doorgiften van persoonsgegevens van Europa naar de Verenigde Staten in een kwaad daglicht komen te staan. En dan vooral de gegevensdoorgiften op basis van het Safe Harbor Akkoord, het doorgifteverdrag tussen de EU en de VS. In Brussel vindt men dat de VS wel heel liberaal omgaan met de zogeheten 'national security exception' van dat verdrag. Brussel heeft bij monde van Eurocommissaris Reding (Justitie en Binnenlandse Zaken) dan ook geëist dat het Safe Harbor Akkoord in 2014 wordt aangepast. Uiterlijk zomer 2014 moeten de VS aan Brussel laten weten of zij zich kunnen vinden in de voorstellen van de Europese Commissie om het Safe Harbor Akkoord aan te passen.

Problematisch is echter dat Safe Harbor een van de belangrijkste grondslagen is voor de doorgiften van persoonsgegevens in cloud-omgevingen. Opzegging van het Safe Harbor Akkoord zou niet alleen de Amerikaanse cloud industrie hard treffen, maar ook hun Europese klanten. Deze laatsten zijn immers verantwoordelijk voor de doorgiften naar de VS via de cloud. Zij zouden dan dus op zoek moeten naar alternatieven. Zij moeten ofwel een andere juridische basis zoeken (bijvoorbeeld modelcontracten, hoewel dat lastig kan zijn in cloud-omgevingen), ofwel op zoek gaan naar een andere (lees: Europese) cloudleverancier. Dat laatste zou Brussel overigens niet erg vinden. In het Europese Parlement gaan stemmen op om de verwerking van persoonsgegevens in de cloud aan banden te leggen, tenzij er sprake is van een Europese cloud waar de rechten van de Europese burgers gewaarborgd zijn. Ook Eurocommissaris Kroes (Digitale Maatschappij) heeft zich voorstander betoond van zo'n Europese aanbieder.

Als de VS de Europeanen niet tegemoet willen komen, dan kan er zomaar een heus digitaal handelsconflict ontstaan, met alle gevolgen van dien.... CIO's doen er dus goed aan om in de eerste helft van 2014 hun cloudstrategie eens kritisch tegen het licht te houden en een back-up plan te hebben klaarliggen voor het geval in de zomer de stekker uit Safe Harbor wordt getrokken.
4. Europese Verordening Bescherming Persoonsgegevens

De onderhandelingen over een nieuwe Europese Verordening Bescherming Persoonsgegevens, die vanaf 2016 de WBP moet gaan vervangen, naderen hun eindfase. Er liggen nog wel een paar politieke knopen op tafel die lastig door te hakken zijn en het is twijfelachtig of dat gaat lukken vóór de Europese Verkiezingen in juni. Maar over de grote lijnen is men het in Brussel wel eens: meer verantwoordelijkheid voor bedrijven en instellingen (vooral op het gebied van privacymanagement), meer rechten voor consument (vooral op internet), verplichte privacy-by-design en privacy impact assessments bij de introductie van nieuwe systemen en veranderingen in bedrijfsprocessen, omzetgerelateerde boetes (als het aan het Parlement ligt tot zelfs 5% van de wereldwijde jaaromzet of 100 miljoen euro) en restricties aan de uitwisseling van persoonsgegevens met buitenlandse overheden.

Er wordt voorzien in een overgangstermijn van twee jaar. Dat lijkt lang, maar voor veel bedrijven en instellingen zal blijken dat die twee jaar veel te kort is om alle systemen, bedrijfsprocessen en bewerkers door te lichten en waar nodig aanpassingen door te voeren. In 2014 beginnen met een implementatieplan voor de Verordening is zeker geen overbodige luxe.
5. De Data Protection Officer (DPO)

Ik voorspel dat 2014 ook hét jaar van de DPO wordt. Veel bedrijven, overheden en andere instellingen gaan dit jaar op zoek naar een DPO. Of misschien wel naar een CPO (Chief Privacy Officer, een DPO op executive niveau). De DPO wordt voor alle overheden, instellingen in de gezondheidszorg en veel bedrijven verplicht als de Europese Verordening van kracht wordt. Maar als je als organisatie dan nog op zoek moet naar een DPO, ben je waarschijnlijk te laat. Niet alleen zijn goed gekwalificeerde DPO's uiterst dun gezaaid, de DPO is ook de spil van het privacycomplianceprogramma van de organisatie. En dat programma moet op poten staan als de Verordening in werking treedt.

Men doet er dus goed aan om de DPO of de CPO al in 2014 aan te stellen, zodat de organisatie op tijd klaar is voor de Europese Verordening. Ook kan hij/zij dit jaar gebruiken om alvast de ergste rotzooi op te ruimen voordat de wetsvoorstellen inzake de boetebevoegdheid van het CBP en de meldplicht datalekken in werking treden. Overigens is het goed om te weten dat de DPO ook extern mag worden ingehuurd. Enerzijds geeft dat flexibiliteit (een DPO heeft immers ontslagbescherming), anderzijds is men daarmee verzekerd van deskundigheid op hoog niveau. Vanwege het brede scala aan competenties die een DPO moet hebben gelet op zijn/haar wettelijke takenpakket, is het vaak niet verstandig om nog even snel een medewerker die al in dienst is tot DPO te bombarderen. Hij/zij moet immers nog worden opgeleid en dan is 2014 voorbij voordat zo'n DPO goed en wel in kaart heeft gebracht wat er allemaal moet gebeuren. Uiteraard kan zo iemand altijd al als "privacy lead" aan de slag en worden opgeleid tot een echte DPO.
6. Cookiewetgeving

Het lijkt erop dat in 2014 ook de cookiewet zal worden aangepast. Straks is er geen toestemming meer nodig voor analytics cookies (hoewel we nog even moeten afwachten of de ACM daar ook de cookies van marktleider Google Analytics onder laat vallen). Tegelijkertijd zou het mij niet verbazen als de ACM de handhaving van de cookiewet gaat opvoeren en de eerste boetes gaat uitdelen voor overtreding daarvan. Tot nu toe ging de ACM vooral voor de handhaving van de informatieplicht. In 2014 zou daar zomaar ook de handhaving van het toestemmingsvereiste bij kunnen komen.

En als we het CBP mogen geloven schort het daar nog vaak aan. Het CBP heeft tracking cookies hoog op haar prioriteitenlijstje staan. Deze worden immers geacht persoonsgegevens te zijn als zij het gedrag van de gebruiker over meerdere websites volgen. In 2013 heeft het CBP in een aantal zaken al wat piketpaaltjes geslagen. 2014 zou dus zomaar ook het jaar kunnen worden waarin de cookiewet serieus zal worden gehandhaafd.
Ik wens u een voorspoedig en datalek-vrij 2014 !!
Voor meer info over bovenstaande ben ik bereikbaar via