The EU's Privacy by Default 2.0

Last December, a draft of the new European e-Privacy rules leaked. It contained a number of interesting insights in the ways the EU will regulate privacy in electronic networks. The new e-Privacy law will supplement the General Data Protection Regulation (GDPR), which was enacted last May and which will enter into application on May 25, 2018.

From Directive to Regulation

Apart from re-shaping existing rules on spam, cookies and location-based services, the most important change is that the Directive will become a Regulation. I fully agree with this change. Internet-based services do not stop at the border. Services of the 4th Industrial Revolution will be powered by the cloud. E.g., self-driving cars will heavily rely on cloud connections. You can't have a different law relating to how your car communicates with the cloud each time you cross a border. Therefore, a clear and fully-harmonized legal framework across the EU is needed to facilitate the uptake of internet-connected products. This includes the rules on e-Privacy.

Hardware manufacturers and retail also covered
The second most important proposal in the draft e-Privacy Regulation is article 10, which reads:

"The settings of all the component of the terminal equipment placed on the market shall be configured to, by default, prevent third parties from storing information, processing information already stored in the terminal equipment and preventing the use by third parties of the equipment's processing capabilities."

By using the wording "placed on the market", this provision is targeted at the retail sector as well as the manufacturers of internet-connected products, such as smart TV's, smart energy meters, smart watches, smartphones, connected cars, computers, smart Barbies, and smart consumer products collectively known as 'IoT devices'.

The draft GDPR contained a similar provision, which required producers of devices to comply with the Data Protection by Design requirement. That provision was subsequently deleted, as it did not make sense in the context of the other provisions of the GDPR. The provision of the e-Privacy Regulation complements art. 25 GDPR.

Nevertheless, personal information collected by the device manufacturers themselves is already covered by the privacy-by-design & default requirements of the GDPR, as they are the controllers of the data processing. So, the settings of smart devices must be configured to ensure the rights of the consumers and to ensure the processing meets the requirements of the GDPR. But the e-Privacy Regulation will require those manufacturers to also configure those devices to prevent third parties from processing user information without the user's choice to do so. This is a duty-of-care requirement on the part of the manufacturer and retailer, which art. 10 translates into a prohibition to sell products in the EU which do not meet this requirement.

Obviously, the retail and wholesale sector in the EU will be covered by this provision. But as most devices are manufactured outside Europe and the settings of the pre-installed software would have to be taken care of already in the factory, this provision will also cover non-European manufacturers of electronic devices. Their products may not be shipped to the EU without the proper privacy and security settings.

EU to set the standard?
Depending on whether those factories choose to produce their products for regional demand or not, by requiring that no products are placed on the market that do not meet the privacy by default requirement, the EU may effectively set the standard for a more secure range of consumer products across the world. Of course, the requirement does not (primarily) cover the hardware itself, but mainly the software pre-installed on the devices, up to the embedded software in the chips used in the device. Ergo, chip manufacturers may be required to ensure that only secure chips are used. On the other hand, device manufacturers, including EMS, ODM and OEM manufacturers, will be required to install software pre-configured to protect user privacy. This pertains to the operating systems used as well as to the apps pre-installed on the device. For example, pre-installed apps and browers should all be installed with Do-Not-Track (DNT) enabled by default. All this under the direction of the companies under whose brand the product is sold. But the ultimate responsibility for compliance with this rule lies with the (web)shop selling the device.

It should be noted that the wording of article 10 limits the requirement to the import and retail phase. There is no legal obligation in the e-Privacy Regulation to keep supporting the device and its software on privacy and security once it has been sold. Ergo, keeping the device free from malware and patching the software will remain the responsibility of the user.

Note that the rule does not give the consumer a reasonable expectation of security nor a warranty that the device is secure at the moment of purchase, as the moment that the product was 'placed on the market' may lie weeks, months - or in some cases even years - before the moment of purchase. So, the faster the retailer moves his inventory, the more likely it is that the product is (still) secure. But nevertheless, this new rule, if enacted, would be a major step forward to ensure that end-user products will be secure.

Enforcement
Although the e-Privacy Regulation will, for the most part, be enforced by privacy and data protection authorities, the enforcement of article 10 would be the primary responsibility of customs (preventing non-compliant products from being imported) and product safety and consumer protection authorities (preventing non-compliant products from being sold).

This requires thorough and up-to-date knowledge of privacy and information security at those agencies; knowledge that they currently are not required to have. The same is true for the procurement departments of retail stores and webshops. The level of knowledge about privacy and information security with those agencies and retailers, or lack thereof, may proof to be the Achilles' Heel of this proposal.

Privacy Outlook 2017

.

Nog 500 dagen !!

2017 wordt vooral het jaar van de voorbereiding op de komst van de Algemene Verordening Gegevensbescherming (AVG). De AVG, ook wel bij zijn Engelse naam GDPR genoemd, is afgelopen jaar van kracht geworden en de overgangstermijn loopt af op 25 mei 2018. Was je nog niet begonnen met het invoeren van de AVG in je organisatie, dan wordt het nu toch wel hoog tijd. Je organisatie heeft nog ongeveer 500 dagen om compliant te worden.

Dat lijkt veel, maar het is voorbij voordat je het weet.

Aan de slag dus!

Regel een budget !

Begin niet met het lukraak implementeren van de AVG. Volg een vooraf vastgesteld plan en beschouw het als een project van meer dan 1 jaar. Dat begint met het regelen van een budget. Heeft jouw organisatie een budgetcyclus van een kalenderjaar, dan ben je eigenlijk nu al te laat. Dan wordt het in 2017 alleen pleisters plakken en verschuift de bulk van je AVG-complianceproject waarschijnlijk naar 2018. Dan wordt het wel heel krap om nog op tijd AVG-compliant te worden. Zorg dan in ieder geval voor een noodbudget om de grootste risico's al in 2017 te kunnen afdekken.

Wees bij het vaststellen van het budget vooral niet te zuinig. Heeft jouw organisatie privacy de afgelopen jaren laten versloffen, dan moet je in 2017 namelijk ook nog eens een inhaalslag maken. Met boetes in het vooruitzicht tot 20 miljoen of 4% van de jaaromzet van de onderneming kan het de moeite waard zijn om in 2017 flink in privacy te investeren. Uiteraard hoort daar ook nog een jaarlijks (onderhouds)budget bij.

Waar beginnen?

Er zijn verschillende scenario's om AVG-compliance aan te vliegen.

Startscenario 1: DPO benoemen

Sommige organisaties gaan nu hard op zoek naar een Data Protection Officer (DPO), in het Nederlands: Functionaris voor de Gegevensbescherming (FG). Ooit ben ik bij Philips op die manier begonnen toen de Wbp werd ingevoerd; weggekaapt bij wat nu de Autoriteit Persoonsgegevens (AP) is. Maar bedenk wel: gekwalificeerde DPO's zijn uiterst schaars. En dus niet goedkoop. Aan de andere kant bieden steeds meer nieuwkomers zich nu aan als DPO, soms met DPO-certificaat en al (voor wat dat waard is).

Maar het privacyvak vereist een hoop competenties in één DPO. Grondige wetskennis in relatie tot de bedrijfsvoering/sector is één. Toezichts-, advies- en communicatievaardigheden is twee. En idealiter ook enig gevoel voor een of meer van de volgende vakgebieden: marktstrategie, sectorkennis, privacy-by-design, informatiebeveiliging, kennis van de door de organisatie gebruikte technologie en risicomanagement. En de DPO moet ook nog eens de persoonlijkheid hebben om als het nodig is met gezag met zijn/haar vuist op tafel te kunnen slaan.

Nog daargelaten dat een goede DPO een boel meters moet hebben gemaakt voordat hij/zij dit vakgebied een beetje in de vingers heeft en dat de DPO slechts voor een beperkt aantal organisaties verplicht is (zie art. 37 AVG), schuilt in zo'n overhaaste benoeming ook het gevaar dat compliance met de AVG door de organisatie primair als het probleem van de DPO wordt gezien (quod non). De DPO is weliswaar een belangrijke drijvende kracht achter de handhaving van het privacybeleid van de organisatie, maar linksom of rechtsom blijft AVG-compliance in eerste instantie het probleem van de directie. Voor je het weet wordt de DPO of FG dus een vorm van window dressing en als het niet goed gaat waarschijnlijk ook de Kop van Jut. Wellicht dat het (lukraak) benoemen van een DPO dus niet de meest aangewezen manier is om een begin te maken met AVG-compliance....

Dit neemt overigens niet weg dat het voorhanden hebben van een DPO, intern of extern, een grote toegevoegde waarde kan hebben voor het waarborgen van AVG-compliance.

Startscenario 2: Risico's inventariseren

Een andere aanpak voor het aanvliegen van AVG-compliance is die van de risico-inventarisatie. De risk-based approach die in de AVG zit, gaat uit van de risico's voor de betrokkenen, zoals klanten, werknemers, burgers, patiënten en dergelijke (privacyrisico's). Voor die aanpak zal je echter eerst moeten inventariseren welke persoonsgegevens je eigenlijk in huis hebt en in welke processen (lees: voor welke doelen) ze worden gebruikt. En om dat goed uit te voeren, moet je eigenlijk eerst alle persoonsgegevens in je organisatie in kaart brengen (data mapping). Dat is weer wat teveel gevraagd, zeker als je nog maar 500 dagen de tijd hebt om compliant worden.

Je zal dus vooraf al een beperking willen aanbrengen in je risico-inventarisatie en focussen op de belangrijkste risico's. De vraag is dan welke criteria je daarvoor wilt gebruiken; met andere woorden, wélke risico's wil je eigenlijk in eerste instantie gaan afdekken?

• Sommige organisaties willen geen risico's lopen in hun business-kritische systemen. Dat kán een hele goede benadering zijn; je weet dan dat áls de AP langskomt, niet gelijk je hele bedrijf stilligt (business continuity risico).
• Andere organisaties willen naar de betrokkenen of hun vertegenwoordigers uitstralen dat het bij hen qua privacy wel goed zit. Zij willen dus als eerste aan de slag met hun belangrijkste klanten- en/of HR-processen. Bijkomend voordeel is dat hoe eerder die processen compliant zijn met de AVG, hoe kleiner de kans dat over die processen wordt geklaagd (brand damage risico). Voor overheidsorganisaties vertaalt zich dit in politieke risico's.
• Een - vooralsnog - kleine groep organisaties vliegt de AVG top-down aan. Zij willen eerst het privacymanagementkader neerzetten om van daaruit de AVG-compliance in hun processen op een volwassen manier te beheersen. Op zich niet zo gek gedacht als je bedenkt dat de AVG van organisaties eist dat ze "aantoonbaar" compliant zijn met de wet (art. 24 AVG). Dat vereist een relatief hoog maturity-niveau in privacycompliancemanagement (minstens 'defined', liefst 'managed'). Deze organisaties verkleinen daarmee de kans dat ze tegen een boete aanlopen wegens ernstig verwijtbare nalatigheid (accountability risico).
• En dan heb je nog organisaties die niet (als eerste) tegen een boete willen aanlopen of als uitgangspunt hebben om sowieso compliant te zijn. Veelal aangestuurd door de juridische afdeling wordt door die organisaties vaak ingezoomd op de belangrijkste compliance-verplichtingen, al dan niet in relatie tot de speerpunten van het handhavingsbeleid van de AP en jurisprudentie (boete-risico).

Welk criterium (of een combinatie ervan) je ook wilt gebruiken, realiseer je dat 100% compliance niet bestaat.... zeker niet in het privacyrecht. Bovendien is een heleboel nog onduidelijk, omdat de interpretatie van de AVG van de gezamenlijke Europese toezichthouders nog niet beschikbaar is. Maak er dus een langetermijnproject van. Wees daarbij helder en duidelijk naar de organisatie en je stakeholders: "Dit doen we in 2017, dat doen we in 2018 en de rest komt wel in 2019/2020".

Jouw AVG-project

Splits je project dus op in behapbare deelprojecten.

Start met wat jouw organisatie belangrijk vindt.

Data Protection Impact Assessments

Sommige bedrijven storten zich halsoverkop op het uitvoeren van Data Protection Impact Assessments (DPIA's, art. 35 AVG). Maar als je dat op alle processen zou doen, weet je twee dingen zeker: het AVG-project gaat binnen de kortste keren over het budget heen én het komt niet vóór 25 mei 2018 af. DPIA's zijn alleen verplicht voor de gegevensverwerkingen die "waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen" vormen. Het is dus helemaal niet nodig om overal een DPIA op te doen (zou ook veel te duur zijn), al kan het - ook vanuit maatschappelijk verantwoord ondernemen - verstandig zijn om de groep van processen waar je DPIA's op uitvoert iets ruimer te nemen dan de AVG voorschrijft.

Privacy Quick Scans
Beter is dus om zogeheten Privacy Quick Scans te doen op je (selectie van) gegevensverwerkingen c.q. bedrijfsprocessen. Zo'n Privacy Quick Scan (PQS) is goedkoop en snel, omdat je inzoomt op de vraag of er sprake is van mogelijke hoge risico's, zonder heel diep op die risico's in te gaan. Door PQS-en uit te voeren, weet je snel op welke processen je wél een DPIA moet uitvoeren (dubbel werk voorkom je door de resultaten van de PQS te gebruiken voor je DPIA). De overige processen hebben waarschijnlijk geen hoge risico's. En dus is dat 'gewoon' compliancewerk dat je eventueel kan uitstellen tot 2018 (of nog later).

Bijkomend voordeel van een PQS is dat je met niet al teveel extra werk ook snel zicht krijgt op de 'red flags' qua AVG-compliance (die moeten sowieso in 2017) en de stand van zaken van het maturity niveau van het privacymanagement in je organisatie. 

Data mapping
Maar om zo'n PQS uit te voeren moet je wel met aan zekerheid grenzende waarschijnlijkheid weten welke persoonsgegevens je eigenlijk is huis hebt. Een goede manier om dat te doen is een data mapping exercitie. Daarvoor bestaat tegenwoordig ook software. Je kan dus overwegen om zo'n licentie aan te schaffen. Groot voordeel daarvan is dat je gelijk voldoet aan je artikel 30-verplichting om een register van gegevensverwerkingen bij te houden.

Elementen AVG-project

Een beetje AVG-complianceproject kent dus de volgende elementen:

1. Het in kaart brengen van de (belangrijkste) gegevensverwerkingen en het inrichten van het artikel 30-register;
2. Het uitvoeren van Privacy Quick Scans op de (geselecteerde) gegevensverwerkingen om de risico's in kaart te brengen;
3. Het uitvoeren van Data Protection Impact Assessments op de verwerkingen met 'waarschijnlijk hoge risico's en het volledig documenteren van deze verwerkingen;
4. Het implementeren van proces-gerelateerde (aanpassings)maatregelen op het gebied van privacy-by-design/default, informatiebeveiliging, verwerkersovereenkomsten, internationaal gegevensverkeer, privacyverklaringen en bewaartermijnen;
5. Het implementeren van beleid en procedures op het gebied van privacymanagement, zoals privacytraining, privacy risk management (PQS/DPIA/audit), inkoop/outsourcing, toegang tot privacyexpertise (aanstelling DPO/FG en/of inhuren externe ondersteuning) en omgang met datalekken.

Veel organisaties zullen deze stappen in de volgorde 1 - 5 uitvoeren. Vooral als zij de AVG-compliance aanvliegen vanuit business continuity risico's, brand damage risico's of boeterisico's.

Zo'n AVG-project zou er dan als volgt uit kunnen zien:

• Q1 2017: Instellen privacy project organisatie. Data mapping en optuigen artikel 30 register.
• Q2/Q3 2017: Uitvoeren Privacy Quick Scans en DPIA's.
• Q3 2017 - Q1 2018: Implementatie procesmaatregelen op hoge-risico systemen en aanpakken 'red flags' privacycompliance. Start van het privacy management programma.
• Q2 2018 - 2020: Compliant maken van lage-risico verwerkingen, verhogen maturity niveau privacymanagement.
• Vanaf 2019: Onderhoud privacycompliance (aanpassen van processen, maatregelen en documenten aan de laatste inzichten en herziening/audit eerder uitgevoerde DPIA's).

Voor organisaties die liever eerst hun privacymanagement op orde willen brengen (accountability risico's), zou de tijdslijn van hun AVG-project er als volgt uit kunnen zien:

• Q1 2017: Definiëren van de organisatie-brede privacybeleidskaders en instellen van privacycompliance organisatie.
• Q2 2017: Data mapping en inrichten art. 30-register.
• Q3 2017: Uitvoeren Privacy Quick Scans en DPIA's.
• Q4 2017 - Q1 2018: Implementatie procesmaatregelen op hoge-risico verwerkingen.
• Q2 2018 - 2020: Compliant maken van lage-risico verwerkingen en aanpak 'red flags' privacycompliance, verhogen maturity niveau privacymanagement.
• Vanaf 2019: Onderhoud privacycompliance (aanpassen van processen, maatregelen en documenten aan de laatste inzichten en herziening/audit eerder uitgevoerde DPIA's).

Hoe eerder je met je project begint, hoe groter de kans dat je op 25 mei 2018 de belangrijkste risico's hebt afgedekt.

En wat brengt 2017 verder nog?

Traditioneel geef ik u in de jaarlijkse Privacy Outlook ook een overzicht van de veranderingen in de wet- en regelgeving die er aan zitten te komen. Bij deze dus.

Uitvoeringswet AVG

Een belangrijke aanvulling op de AVG wordt gevormd door de nationale uitvoeringswetten. Voor Nederland is dat de Uitvoeringswet AVG (UAVG). Het voorstel is in december 2016 in consultatie gegaan en zal naar verwachting in de loop van de eerste helft 2017 naar de Tweede Kamer worden gestuurd.

De UAVG regelt een aantal zaken, waarbij de wetgever uitgaat van een - waar mogelijk - beleidsneutrale invoering van de AVG. Met andere woorden, waar het kan, volgt de UAVG zoveel mogelijk de Wet bescherming persoonsgegevens (Wbp). Het gaat onder andere om:

• De instelling en de bevoegdheden van de Autoriteit Persoonsgegevens.
• De Nederlandse invulling van een aantal onderwerpen die de AVG aan de nationale wetgever voorbehoudt, zoals de beperking van het gebruik van het BSN-nummer en de leeftijdsgrens voor toestemming voor gegevens van kinderen (het voorstel in de UAVG is 16 jaar); en
• De verwerking van bijzondere gegevens zoals ras/etniciteit en gezondheidsgegevens in specifieke gevallen á la art. 17 - 22 Wbp.

Voorstel herziening e-Privacy Richtlijn

In het kielzog van de AVG wordt ook de e-Privacy Richtlijn 2002/58 herzien. Die richtlijn bevat nu onder meer de regels rondom het gebruik van cookies, spam en location-based services en is in Nederland uitgewerkt in hoofdstuk 11 van de Telecommunicatiewet.

In december lekte al een ontwerp van het voorstel uit. Daaruit bleek dat ook deze wet net als de AVG - terecht - een verordening wordt; één en dezelfde wet voor hele Europa dus. Naast de genoemde onderwerpen, die hier en daar worden aangescherpt of verduidelijkt, bevat het ontwerp van de e-Privacy Verordening ook uitbreidingen. Zo gaan ook internetcommunicatiediensten als Skype en WhatsApp onder de werking van de e-Privacy Verordening vallen.

Maar de opmerkelijkste uitbreiding is die artikel 10: het privacy-by-default vereiste gaat ook gelden voor slimme apparaten, zoals smart-TV's en Internet-of-Things apparaten. De regel komt erop neer dat de Europese Commissie een verbod voorstelt op het 'op de markt brengen' van slimme apparaten die niet aan deze eis voldoen. Dit en dit is onder de e-Privacy Verordening dus uit den boze. Deze nieuwe eis raakt primair de elektronicabranche (retail, groothandel, import) en in hun kielzog de - vaak buitenlandse - producenten van de apparatuur. Dat wordt nog een fikse kluif voor de douane en de NWVA !

Eerste boetes?

Bij zijn aantreden zei de nieuwe voorzitter van de AP, Aleid Wolfsen, dat de boetes er aan zitten te komen. Bij de AP zijn in 2016 een kleine 5500 meldingen van een datalek binnengekomen. Daarvan zijn een aantal door de AP in onderzoek genomen. En daarvan zullen waarschijnlijk weer een aantal in aanmerking komen voor een boete.

Omdat de AP in haar boetebeleidsregels werkt met boetecategorieën voor het niet nakomen van de beveiligingsverplichting (categorie II: minimaal 150.000 euro, maximaal 500.000 euro), waarbij sprake kan zijn van zowel boeteverhogende als boeteverlagende omstandigheden, is het dus nog even afwachten wat de gemiddelde hoogte zal zijn van een boete voor een datalek.

Maar daarnaast kan de AP natuurlijk ook een boete uitdelen voor andere overtredingen van de Wbp. Het maximum is ook in 2017 nog 820.000 euro (of 10% van de jaaromzet van de rechtspersoon als 820.000 euro niet passend zou zijn).

Kortom, ook 2017 wordt weer een spannend privacyjaar!