Home
Blogs

Bent u al voorbereid op de Europese Privacy Verordening?

De nieuwe privacywetgeving komt eraan! De definitieve tekst van de Europese Privacy Verordening is eind april 2016 gepubliceerd. Deze verordening treedt in werking op 25 mei 2018 en is dan rechtstreeks van toepassing in Nederland. Wat betekent dit voor u? Wat zijn de belangrijkste veranderingen?

De belangrijkste wijzigingen zijn:

  • Transparantie en overzicht persoonsgegevensverwerkingen;
  •  Aanstelling van een “Data Privacy Officer” (DPO); 
  •  Verplichting tot het uitvoeren van “Privacy Impact Assessments” (PIA);
  • Uitbreiding van categorieën van bijzondere persoonsgegevens;
  • Meer waarborgen voor het toestemmingsvereiste voor de verwerking van persoonsgegevens;
  •  Recht om vergeten te worden;
  • Bewerkersovereenkomsten controleren;
  • Uniformering van sancties en handhaving.

Transparantie en overzicht persoonsgegevensverwerkingen

U zal allereerst verantwoording voor de persoonsgegevensverwerking moeten kunnen afleggen waarbij transparantie het sleutelwoord is. Daarvoor moet documentatie van alle persoonsgegevensverwerkingen worden bijgehouden. Daarnaast moet u – indien uw organisatie tenminste 250 personen in dienst heeft of gevoelige persoonsgegevens zoals gezondheidsgegevens verwerkt – een actueel overzicht bijhouden van deze verwerkingen.

Aanstellen DPO

De verplichting tot het aanstellen van een DPO geldt voor: 

  • overheden;
  • organisaties die op grote schaal persoonsgegevens verwerken;
  • organisaties die op grote schaal gevoelige persoonsgegevens verwerken.

Onduidelijk is wanneer er sprake is van een ‘grote schaal’, maar niet ondenkbaar is dat in de praktijk deze verplichting zal gaan gelden voor veel organisaties.

Een DPO informeert en adviseert uw organisatie over de verplichtingen van de privacywetgeving en houdt toezicht op de naleving daarvan. Verder kan hij u adviseren over de uitvoering van een PIA. Een DPO is onafhankelijk en kan geen instructies voor deze taken ontvangen. Bovendien geniet een DPO aanvullende (ontslag)bescherming.

PIA

Een PIA is verplicht wanneer uw organisatie persoonsgegevens wil gaan verwerken die een hoog privacyrisico kunnen inhouden voor de betrokkenen. U onderzoekt dan vooraf wat de risico’s kunnen zijn voor eventuele inbreuken op de bescherming van privacy, zodat u passende maatregelen kunt nemen. Een PIA is in ieder geval verplicht ingeval uw organisatie:

  • systematisch en uitgebreid persoonlijke aspecten van betrokkenen beoordeelt, zoals het gebruik maken van profilering;
  • grootschalig gevoelige persoonsgegevens verwerkt;
  • stelselmatig en grootschalig betrokkenen volgt in een openbare ruimte, bijvoorbeeld met cameratoezicht.

Uitbreiding categorieën bijzondere persoonsgegevens

Bijzondere persoonsgegevens mogen in beginsel niet worden verwerkt. In de Europese Privacy Verordening worden de categorieën met bijzondere – gevoelige – persoonsgegevens uitgebreid. Ook gegevens betreffende de etnische achtergrond, genetische gegevens en biometrische gegevens ter identificatie van een persoon zoals vingerafdrukken worden dan uitdrukkelijk als bijzondere persoonsgegevens aangemerkt.

Toestemmingsvereiste: meer waarborgen

Een grondslag om persoonsgegevens te mogen verwerken is het verkrijgen van toestemming van de betrokkene. Met ingang van de inwerkingtreding van de Europese Privacy Verordening zijn er meer waarborgen voor dit toestemmingsvereiste vastgelegd. U dient duidelijk aan te kunnen tonen dat de betrokkene toestemming heeft verleend. Een stilzwijgend en impliciet gegeven toestemming voldoet niet meer. Voor de betrokkene moet bovendien duidelijk zijn waarvoor hij precies toestemming geeft. De toestemming dient daarom specifiek gericht te zijn op de betreffende persoonsgegevensverwerking. Een algemene toestemming, bijvoorbeeld in de algemene voorwaarden, is niet meer voldoende.

Recht om vergeten te worden

De betrokkene heeft het ‘recht om te worden vergeten’. U moet onder bepaalde omstandigheden, op verzoek van de betrokkene, diens persoonsgegevens wissen. Bijvoorbeeld in de omstandigheid dat de persoonsgegevens onrechtmatig zijn verwerkt of dat de betrokkene zijn toestemming voor de persoonsgegevensverwerking intrekt. Hiervoor moeten dus voorzieningen in de bewerkersovereenkomsten worden opgenomen.

Bewerkersovereenkomsten controleren

Verder zult u de bewerkersovereenkomsten met bijvoorbeeld een hostingdienstverlener moeten controleren. In de bewerkersovereenkomsten zal op basis van de Europese Privacy Verordening meer moeten worden geregeld dan nu het geval is. Bijvoorbeeld het vastleggen van de verplichting voor de bewerker om na afloop van de bewerkersovereenkomst alle persoonsgegevens te wissen of aan uw organisatie terug te bezorgen, tenzij er een wettelijke bewaarplicht geldt. Een ander voorbeeld is de verplichting om bijstand te verlenen aan de door uw organisatie uit te voeren PIA.

Uniformering van sancties en handhaving

De handhavings- en sanctiemogelijkheden worden met de komst van de Europese Privacy Verordening geüniformeerd. De Europese toezichthouders, waaronder de Autoriteit Persoonsgegevens, zullen meer met elkaar samenwerken. Daarnaast kunnen deze toezichthouders forse boetes opleggen van ten hoogste € 20.000.000,- euro of 4 procent van de totale wereldwijde jaaromzet. 

Conclusie

Kortom: werk aan de winkel. U heeft nog tot mei 2018 om uw organisatie compliant te maken!

Deze blog is een productie van Intellectueel eigendom, ICT-recht & privacy.