Nieuws

Privacy wordt serieus risicogebied!

Privacy is lange tijd een onderwerp geweest dat niet al te hoog op de agenda stond bij veel organisaties. Dit zal gaan veranderen wanneer de voorgestelde regels van de nieuwe EU Privacy Verordening (hierna ‘de Verordening) van kracht worden. De Verordening ligt op dit moment bij het Europees Parlement ter behandeling en de verwachting is dat de Verordening in de periode 2015-2016 in werking zal treden. Hoewel de inhoud nog niet definitief is, is het wel duidelijk dat de Verordening een aantal ingrijpende wijzigingen met zich meebrengt. In dit nieuwsitem zullen we ingaan op de belangrijkste wijzigingen en aangeven wat dit in de praktijk voor organisaties betekent.

Huidige situatie
Op dit moment is voor de Nederlandse privacy wetgeving de Richtlijn 95/46/EG van belang. Deze richtlijn is in 2000 geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp). De Wbp regelt onder andere:

  • de meldingsplichten (en vrijstelling van melding) van persoonsgegevens verwerkende organisaties bij het CBP
  • het verzamelen en verwerken van persoonsgegevens
  • de rechten van de betrokkenen

Het College Bescherming Persoonsgegevens (CBP) is verantwoordelijk voor het toezicht op naleving van de eisen uit de Wbp en eventuele handhaving. Intern ligt de verantwoordelijk voor privacy compliance vaak bij de compliance officer of juridische zaken maar er zijn ook organisaties die beschikken over een zogenaamde privacy officer; iemand die specifiek verantwoordelijk is voor privacy.

EU Privacy Verordening
Begin 2012 werd de privacywereld flink opgeschud door de publicatie van het voorstel voor de Verordening. Het eerste opvallende aspect is dat er sprake is van verordening ter vervanging van de Richtlijn 95/46/EG en geen nieuwe richtlijn. Een verordening heeft, anders dan een richtlijn, rechtstreekse werking en is dus direct toepasselijk in alle lidstaten. De keuze voor een verordening is begrijpelijk vanuit het oogpunt van harmonisatie; op deze wijze worden verschillen in interpretatie zoals die op dit moment bestaan grotendeels voorkomen.

Belangrijkste onderwerpen uit de Verordening
We zullen hierna een aantal van de belangrijkste voorstellen uit de Verordening kort toelichten en aangeven wat de consequenties zijn voor organisaties die persoonsgegevens bewerken.

Eén bevoegde toezichthouder
Dit voorstel is vooral van belang, en een belangrijke verbetering, voor organisaties die in meerdere lidstaten persoonsgegevens verwerken. In dat geval heeft de organisatie nog maar met één toezichthouder te maken; waar de ‘main establishment’ is gevestigd. Met andere woorden, waar de centrale administratie van de organisatie zich bevindt. In de Verordening zijn criteria opgenomen aan de hand waarvan bepaald kan worden waar de ‘main establishment’ is gevestigd. Voor organisaties betekent dit dat de ‘main establishment’ uitgerust moet zijn om te voldoen aan de nieuwe eisen uit de Verordening.

Nieuwe rechten voor de betrokkene
De Verordening introduceert een nieuw recht voor de betrokkene; ‘the right to be forgotten’. Dit recht om ‘vergeten’ te worden houdt in dat een organisatie in bepaalde gevallen de persoonsgegevens dient te verwijderen en af moet zien van verdere verspreiding. De betrokkene kan gebruik maken van dit recht wanneer:

  • Er niet langer een noodzaak is om de persoonsgegevens te bewaren ten aanzien van het doel waarvoor ze verzameld zijn;
  • De betrokkene zijn toestemming intrekt;
  • De betrokkene bezwaar maakt tegen de verwerking; of,
  • De organisatie zich niet houdt aan de bepalingen uit de Verordening.

Organisaties zullen goed moeten kijken hoe zij gegevens verwerken en bewaren, en op welke wijze zij deze definitief kunnen verwijderen.

Naast dit recht om ‘vergeten’ te worden is ook het ‘right to data portability’ een nieuw recht voor de betrokkenen. Op basis van dit voorstel kan de betrokkene een organisatie verzoeken om een kopie van de verstrekte persoonsgegevens of het overhevelen van zijn persoonsgegevens. Hierbij moet gedacht worden aan het exporteren van persoonsgegevens naar een andere verantwoordelijke (bijvoorbeeld wanneer iemand overstapt naar een andere provider). Hier geldt als voorwaarde dat de betrokkene de gegevens zelf verstrekt heeft en de overheveling plaatsvindt op basis van een overeenkomst of met toestemming van de betrokkene. Organisaties zullen derhalve vast moeten leggen welke persoonsgegevens door de betrokkene zelf zijn verstrekt en de procedures aanpassen zodat door de betrokkene zelf verstrekt gegevens alleen overgeheveld worden wanneer er sprake is van toestemming van de betrokkene of op basis van een overeenkomst.

Privacybeleid
In de Verordening is nu wettelijk vastgelegd dat een organisatie een privacybeleid dient te hebben en welke aspecten in dit beleid in ieder geval dienen opgenomen te worden. Zo dient bijvoorbeeld een organisatie in ieder geval over beleid te beschikken omtrent de technische en organisatorische maatregelen ter beveiliging van de persoonsgegevens, de privacy functionaris en de bewaring van gegevens. Het is voor organisaties van belang tijdig hun bestaande privacybeleid te evalueren en aan te passen aan de nieuwe eisen uit de Verordening.

Informatieverplichting
De Verordening bevat een zeer gedetailleerde beschrijving van de informatie die een organisatie aan een betrokkene dient te verstrekken met betrekking tot de verwerking van de persoonsgegevens. Met name ten aanzien van de rechten van de betrokkene, zoals bijvoorbeeld het inzage- en verwijderingsrecht, dient de organisatie de betrokkene uitdrukkelijk en duidelijk te informeren. Deze wijziging brengt met zich mee dat organisaties hun privacy beleid en statements dienen te evalueren en aan te passen.

Meldplicht datalekken
Een meldplicht zal gaan gelden voor zogenaamde ‘datalekken’. De Verordening voorziet in een ruime definitie van datalekken; feitelijk ieder incident waarbij gegevens verloren, vernietigd, ongeautoriseerd vrijgegeven of verspreid wordt. Een dergelijk lek dient binnen 24 uur gemeld te worden bij de toezichthouder.

Privacy functionarissen
Zoals eerder opgemerkt zijn er reeds organisaties die beschikken over ‘privacy officer’. De Verordening introduceert de verplichting om een dergelijke functionaris aan te stellen voor organisaties met meer dan 250 medewerkers. De taken van deze functionaris bestaan onder andere uit het toezien op de naleving van de regels van de Verordening, het uitvoeren van het privacybeleid en het beveiligen van de persoonsgegevens. Zo zullen organisaties met meer dan 250 medewerkers tijdig, intern of extern, op zoek moeten gaan naar een geschikte kandidaat en duidelijke functiebeschrijving moeten opstellen voor deze functionaris.

Boetes
Een van de belangrijkste wijzigingen uit de Verordening is de handhavingsmogelijkheid voor toezichthouders. Op basis van de concept Verordening kunnen toezichthouder, in Nederland het CBP, (hoge) boetes opleggen bij overtreding van bepalingen uit de verordening. Overtredingen die bestraft kunnen worden met een boete zijn bijvoorbeeld:

  • Niet tijdig of volledig informeren van betrokkenen;
  • Niet melden of niet volledig melden van datalekken;
  • Het vragen van een vergoeding voor het verstrekken informatie door betrokkenen; of,
  • Niet voldoen aan verzoek tot verwijdering of niet voorzien van de door de betrokkene opgevraagde informatie.

Het CBP kan op dit moment slechts in beperkte gevallen bestuurlijke boetes van ten hoogste 4.500 euro opleggen. De boetes die de toezichthouders kunnen opleggen op basis van de Verordening zijn aanzienlijk; de maximale boete kan oplopen tot € 1 miljoen of 2% van de jaarlijkse wereldwijde omzet.

De Verordening hanteert een gedifferentieerd boeteregime; bij verschillende overtredingen worden verschillende boetes gehanteerd. Zo kan de toezichthouder een boete opleggen van ten hoogste 250.000 euro of 0.5% van de jaarlijkse wereldwijde omzet bij overtreding van de bepalingen omtrent de informatieplicht van betrokkenen. De eerder genoemde hoogste boetecategorie wordt gehanteerd wanneer een organisatie persoonsgegevens verwerkt maar hier geen juridische grond voor bestaat. De toezichthouder kan in bepaalde gevallen ook eerst een waarschuwing geven wanneer een organisatie voor de eerste maal een overtreding begaat en dit niet opzettelijk doet.

Samenvattend
Zoals al eerder opgemerkt ligt het voorstel voor de Verordening op dit moment nog bij het Europees Parlement en is het goed mogelijk dat er nog de nodige aanpassingen gedaan worden. Wat echter wel duidelijk is, is dat er behoorlijk wat zal gaan veranderen op het gebied van privacy. Voor organisaties zullen de verplichtingen op basis van de Verordening sterk toenemen. Hier komt bij dat de toezichthouders eerder, en met hogere sancties, kunnen handhaven.

Verantwoordelijke organisaties zullen dan ook serieus moeten kijken wat de Verordening voor hen gaat betekenen. Zoals eerder gezegd is de concept Verordening in behandeling bij het Europees Parlement, dat daarna zal stemmen over de Verordening. Na goedkeuring door het Parlement, moet het voorstel goedgekeurd worden de Europese Raad. Als de Verordening aangenomen is, treedt deze na twee jaar in werking; de verwachting is dan ook dat de Verordening in werking zal treden in de periode 2015-2016. Voor de volledigheid wordt opgemerkt dat, ondanks de rechtstreeks werking van de Verordening, de nationale wetgever nog wel de bevoegde toezichthouder dient te benoemen en de mogelijkheid tot de inzet van handhavingsmaatregelen in Nederlandse wetgeving zal moeten opnemen. Acties die in ieder geval genomen dienen te worden door organisaties wanneer de Verordening is aangenomen zijn:

  • Impactanalyse op de bedrijfsvoering van de organisatie.
  • Risicoanalyse met een beschrijving van de beheersmaatregelen.
  • Aanpassen, aanvullen of opstellen van het privacybeleid.
  • Aanpassen van de relevante processen en procedures om aan de nieuwe verplichten te voldoen en periodiek evalueren van het beleid.
  • Indien van toepassing; aanstellen van privacy functionaris.
  • Opleiden en/of bijscholen van alle medewerkers die met privacy te maken hebben.

Charco & Dique
Wij zullen de ontwikkelingen omtrent de Verordening blijven volgen en zullen terugkomen op dit onderwerp als er relevante ontwikkelingen zijn. Mocht u meer informatie willen over dit onderwerp, de opzet van een impactanalyse of over het opstellen, aanpassen en implementeren van beleid op het gebied van privacy, dan kan Charco & Dique u daarbij van dienst zijn.

Voor meer informatie kunt u contact opnemen met Charco & Dique op telefoonnummer 020-4165403 of e-mailadres info@charcoendique.nl

Schrijf ons

Of vraag een vrijblijvend adviesgesprek aan

Contact Adviesgesprek aanvragen

Door op 'toestaan' te klikken ga je akkoord met het plaatsen van cookies voor statistische-, functionele- en marketingdoeleinden.

Cookiebeleid
Toestaan Niet toestaan