Misschien herkent u het wel. U verwerkt persoonsgegevens in uw organisatie, dat kan zijn op kleine of grote schaal, maar u heeft daar verder niet veel bij stil gestaan. Steeds vaker hoort of leest u in de media over privacy-incidenten of zelfs privacyschendingen bij bedrijven, de overheid maar ook bij ziekenhuizen, scholen en woningcorporaties. Stilletjes vraagt u zich af of uw organisatie eigenlijk wel compliant is wat betreft de privacyregelgeving. U kunt dit vraagstuk weer wegwuiven en overgaan tot de orde van de dag, u kunt wachten op een klacht van het College bescherming persoonsgegevens (CBP, de toezichthouder op de Wet bescherming persoonsgegevens, Wbp) en dan in actie komen of u kunt direct overgaan tot actie en uw organisatie eens grondig onder de loep nemen. Voor dat laatste is het nu een mooi moment, waarom dat kunt u hierna lezen.

Europese Privacy Verordening

In januari 2012 heeft de Europese Commissie een voorstel voor een Algemene verordening gegevensbescherming ingediend bij het Europees Parlement. Daarna zijn er nog een aantal wijzigingen aangebracht op het voorstel en is het voorstel op 12 maart 2014 door het Europees Parlement met een grote meerderheid van stemmen aangenomen. De Europese Raad van Ministers, waar voor Nederland Staatssecretaris voor Veiligheid en Justitie Teeven in is vertegenwoordigd, komen met een gezamenlijk standpunt over het aangenomen voorstel. Op dit moment zijn zij echter nog volop in onderhandeling over de Verordening. Punt van onderhandeling voor Nederland is bijvoorbeeld nog het zeer hoge niveau van administratieve lasten en nalevingskosten waarbij geen onderscheid wordt gemaakt tussen de verschillende verantwoordelijken en bewerkers. Nederland is voorstander van een meer rechtvaardige verdeling op basis van een risicogeoriënteerde aanpak. Als het voorstel door de Raad wordt aangenomen dan zal er als laatste nog een overleg plaatsvinden tussen de Raad van de Europese Unie, de Europese Commissie en het Europees Parlement over de definitieve tekst. Wanneer de tekst wordt aangenomen, zal de Verordening op het moment dat deze in werking treedt rechtstreekse werking hebben in alle lidstaten. Dat betekent dat de bepalingen uit de Verordening niet eerst hoeven te worden omgezet in nationale wetgeving, maar direct toegepast moeten worden en de huidige wetgeving vervangen. Hoewel het nog niet zeker is dat en wanneer de Verordening wordt aangenomen, is de verwachting wel dat de Verordening uiteindelijk wordt aangenomen en in 2016 in werking zal treden.

Wat betekent dit voor u?

De Verordening kent een groot aantal uitgebreide en nieuwe verplichtingen voor de verantwoordelijke voor en de bewerker van persoonsgegevens evenals hoge boetes. De belangrijkste wijzigingen voor u op een rijtje:

  • Uitbreiding reikwijdte Verordening. De Verordening is ook van toepassing op organisaties buiten de Europese Unie wanneer zij persoonsgegevens verwerken van personen die in de Europese Unie wonen en de verwerking betrekking heeft op het aanbieden van goederen en diensten of het observeren van personen (profilering);
  • Strengere toestemmingsvereisten. Voor het gebruik van persoonsgegevens is een uitdrukkelijke wilsuiting vereist in de vorm van een verklaring of een ondubbelzinnige actieve handeling. Een organisatie moet kunnen aantonen dat zij toestemming heeft gekregen voor bepaalde doeleinden. Opt-out is dan ook niet langer toegestaan. Daarnaast heeft de betrokkene het recht zijn toestemming ten allen tijde in te trekken. Nieuw is dat voor de verwerking van persoonsgegevens van een kind jonger dan 13 jaar toestemming van de ouder of wettelijk vertegenwoordiger nodig is;
  • Beperking data opslag. De Verordening schrijft een algemene plicht voor tot beperkte opslag van persoonsgegevens. De persoonsgegevens moeten adequaat en ter zake dienend zijn en beperkt blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt;
  • Transparantie. Het privacybeleid van een organisatie inclusief de rechten van personen moet transparant, begrijpelijk en eenvoudig toegankelijk zijn;
  • Right to erasure. Het nieuwe recht om vergeten te worden (right to be forgotten) van een persoon is vervangen door het recht om gegevens te laten wissen door een organisatie op bepaalde gronden. De organisatie heeft ook de plicht om er voor te zorgen dat derden aan wie zij gegevens heeft verstrekt eveneens over gaan tot het wissen van die gegevens;
  • Profilering. Iedere persoon heeft recht om bezwaar te maken tegen profilering. Een organisatie dient heel zichtbaar en duidelijk te informeren over dit recht van bezwaar;
  • Verplichting voeren privacybeleid. Een organisatie wordt verplicht een privacybeleid vast te stellen en passende maatregelen te nemen om er voor te zorgen en aan te kunnen tonen dat de verwerking van persoonsgegevens in overeenstemming met de verordening geschied;
  • Documentatieplicht. De meldplicht bij het CBP wordt vervangen door een documentatieplicht. Organisaties dienen documenten te bewaren van alle verwerkingen die hebben plaatsgevonden. De documenten moeten aan een verplicht voorgeschreven minimum set van gegevens voldoen, waaronder naam en contactgegevens van de verantwoordelijke en Functionaris voor Gegevensbescherming, doeleinden van de verwerking, gerechtvaardigde belangen en de beschrijving van categorieën. Op verzoek van het CBP dienen de documenten ook ter beschikking te worden gesteld;
  • Beveiliging persoonsgegevens. Zowel de organisatie zelf als de derde die zij inschakelt voor het verwerken van gegevens dienen passende technische en organisatorische maatregelen te treffen om een passend beveiligingsniveau te waarborgen van de persoonsgegevens. Dit op straffe van hoge boetes. Nu worden de verplichtingen van de derde (de bewerker) nog geregeld in een zogenaamde bewerkersovereenkomst, waarin de verantwoordelijke eventueel een boete opneemt. De naleving van de overeenkomst is dan privaatrechtelijk. In de toekomst hebben bewerkers voortaan een zelfstandige verantwoordelijkheid;
  • Meldplicht datalekken. In Nederland bestond er al een meldplicht datalekken in de Telecommunicatiewet voor met name telecomaanbieders en internet service providers. De Verordening schrijft echter een algemene meldplicht voor. Indien er sprake is van een datalek dient de verantwoordelijke dit zo snel mogelijk te melden bij de toezichthoudende autoriteit (het CBP dus). Indien de inbreuk waarschijnlijk negatieve gevolgen heeft voor de bescherming van de persoonsgegevens of de privacy van de betrokkene, dient eveneens melding aan de betrokkene worden gedaan. Vooruitlopend op de Verordening heeft de Tweede Kamer op 10 februari 2015 met algemene stemmen reeds het Nederlandse Wetsvoorstel meldplicht datalekken aangenomen waarin een algemene meldplicht voor bedrijven en de overheid is opgenomen. Het voorstel moet nog door de Eerste Kamer worden goedgekeurd en zal daarna in werking treden;
  • Privacy Impact Assessment. Wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico’s inhouden voor de rechten en vrijheden van een persoon, dient een organisatie een risicoanalyse uit te voeren om eventuele risico’s in kaart te brengen. Bij een Privacy Impact Assessment wordt gekeken in hoeverre inbreuk wordt gemaakt op de persoonlijke levenssfeer, welke risico’s een organisatie loopt en welke maatregelen een organisatie moet nemen;
  • Verplichte Functionaris voor de Gegevensbescherming. Worden er in uw organisatie in een periode van 12 maanden persoonsgegevens verwerkt van meer dan 5.000 personen dan wordt u verplicht om een zogenaamde Functionaris voor de Gegevensbescherming (ook vaak Privacy Officer genoemd) aan te stellen. Dit kan een werknemer zijn of een persoon van buitenaf die voor minimaal 2 jaar op basis van een overeenkomst deze taak vervuld. Deze functionaris moet onder meer toezien op de uitvoering en toepassing van het privacybeleid van de organisatie en van verschillende bepalingen van de verordening, zoals het beperken van gegevensverwerkingen door toepassing van privacy by design en privacy by default, het beveiligen van gegevens en het voldoen aan verzoeken van personen in verband met de verwerking van hun gegevens. Ook bij melding van datalekken heeft de functionaris een belangrijke rol;
  • Privacy by design & privacy by default. Een organisatie dient privacy by design en privacy by default toe te passen. Dit betekent dat een organisatie passende technische en organisatorische maatregelen moet nemen en procedures moet invoeren zodat de verwerking voldoet aan de voorwaarden van de verordening en de bescherming van de rechten van de betrokkenen gewaarborgd zijn. Ook wordt een organisatie verplicht mechanismen in te stellen om er voor te zorgen dat alleen die persoonsgegevens worden verwerkt die strikt noodzakelijk zijn voor de doeleinden. Denk daarbij aan beperking van de hoeveelheid aan gegevens en de opslag van gegevens. Deze mechanismen dienen er ook voor te zorgen dat persoonsgegevens niet voor een onbeperkt aantal personen toegankelijk wordt gemaakt;
  • Certificering. Een organisatie moet in de toekomst de mogelijkheid hebben om bij het CBP een certificaat te vragen waarin wordt vermeld dat zij zich aan de regels uit de Verordening houdt;
  • Doorgifte persoonsgegevens aan overheden buiten de EU. Indien een overheidsorgaan van buiten de Europese Unie persoonsgegevens opvraagt zal de verantwoordelijke daarvoor toestemming moeten vragen aan het CBP. Ook bekend als de anti-NSA clausule;
  • Εén loket. In het geval een organisatie in meer dan één lidstaat is gevestigd, is de toezichthoudende autoriteit van de hoofdvestiging bevoegd. Het toezicht wordt geconcentreerd bij één loket;
  • Hoge boetes. Toezichthouders krijgen de bevoegdheid om hoge boetes op te leggen bij overtreding van de Verordening in het kader van de handhavingstaak. De maximale boete die opgelegd kan worden is 100.000.000,- Euro of, bij een onderneming, een geldboete van 5% van de jaarlijkse wereldwijde omzet afhankelijk van welk bedrag hoger is. Tegelijk met de meldplicht datalekken heeft de Tweede Kamer op 10 februari 2015 een uitbreiding van de boetebevoegdheid van het CBP aangenomen. Dit bekent dat het CBP binnenkort boetes kan opleggen tot 810.000,- Euro. Het CPB is daarmee zeker geen tandeloze tijger meer.

Wat kunt u al doen?

2016 lijkt nog ver weg, maar het implementeren van een privacybeleid is niet een klus die zo 1, 2, 3 is geklaard. Het is – zoals ik hiervoor reeds aangaf – raadzaam om uw organisatie op het gebied van privacy eens grondig onder de loep te nemen.

U kunt nu alvast inventariseren of en in welke mate u persoonsgegevens verwerkt en of u aan de huidige en toekomstige privacyregelgeving voldoet. Daarnaast is het raadzaam om alvast te starten met het maken van een goed privacybeleid en het implementeren daarvan als u dat nog niet heeft. U kunt dit niet alleen maar heeft daarbij de hulp en het vertrouwen van uw organisatie nodig. Het beleid moet tussen de oren van de medewerkers zitten en door de medewerkers gedragen worden. Ook de toepassing van privacy by design op alle bedrijfsprocessen kan u op een later moment het leven makkelijker maken. Voorziet u nu al bijzondere risico’s? Laat dan voor die specifieke verwerkingen alvast een Privacy Impact Assessment verrichten. En mocht u een Privacy Officer nodig hebben, kijk dan ook alvast rond voor een geschikte kandidaat.

Begint het allemaal te duizelen of ziet u hier als een berg tegen op? Dan helpen wij u graag. Bureau 42 kan uw organisatie bijvoorbeeld helpen bij het maken en implementeren van een door de organisatie gedragen privacybeleid. Om in de eerste plaats aandacht binnen u organisatie te krijgen voor dit onderwerp en privacy op de kaart te zetten, adviseren wij u te starten met een interactieve presentatie of workshop over dit onderwerp met voorbeelden uit de praktijk en waarbij uw medewerkers zelf aan het denken worden gezet.