KienhuisHoving-Academy KienhuisHoving-Academy
Website
KienhuisHoving-Academy

Verantwoordelijk voor persoonsgegevens?

Weet wat uw nieuwe verplichtingen zijn! Over de nieuwe Privacyverordening

Is uw bedrijf verantwoordelijk voor de verwerking van persoonsgegevens? Dan brengen wij graag het volgende onder uw aandacht; recentelijk heeft het Europees Parlement een voorstel voor een nieuwe Privacyverordening aangenomen.

Deze verordening bepaalt onder meer dat organisaties bij het niet tijdig melden van een datalek een geldboete opgelegd kunnen krijgen tot 2% van de wereldwijde jaaromzet. Maar de verordening regelt meer. In dit blog behandelen wij in een notendop een aantal speerpunten van de concept verordening.
 
De mate waarin gegevens in het maatschappelijk verkeer en in het bedrijfsleven worden verzameld en verwerkt is sinds de opkomst van het digitale tijdperk enorm toegenomen. Technologie maakt dat organisaties bij het uitvoeren van hun activiteiten veel meer en veel makkelijker gebruik kunnen maken van persoonsgegevens. Helaas zijn daardoor ook zogenaamde “datalekken” aan de orde van de dag. Recentelijk kopten verschillende nieuwssites bijvoorbeeld dat Dropbox zo lek als een mandje zou zijn en toegang zou geven tot opgeslagen bestanden. De gevolgen voor betrokkenen kunnen daarmee aanzienlijk zijn en de maatschappelijke impact hiervan groot. Stelt u zich eens voor wat de gevolgen zouden zijn als de persoonsgegevens van uw werknemers of klanten op straat komen te liggen….

Als gezegd wordt ook op Europees niveau gewerkt aan voorwaarden om in het digitale tijdperk onze privacy zo goed mogelijk te waarborgen.  Wanneer de Raad van de Europese Unie akkoord gaat met het voorstel voor de privacyverordening wordt deze van kracht. Het bijzondere van een verordening is dat hij rechtstreekse werking heeft. Dit betekent dat een verordening niet hoeft te worden omgezet in nationale wetgeving. Met andere woorden: de regels zullen dan per direct gaan gelden in alle Europese lidstaten. Bovendien gaat de verordening voor op de nationale privacywetgeving.

Wat regelt de verordening?

De concept Privacyverordening bevat een aantal verdergaander wijzigingen ten opzichte van de huidige EU-wetgeving. Hieronder geven wij enkele voorbeelden.

1. Functionaris voor de gegevensbescherming
Nieuw is dat organisaties in sommige gevallen verplicht worden om een interne functionaris voor de gegevensbescherming aan te stellen. Dat is op grond van de huidige Nederlandse wetgeving nog facultatief. Is uw bedrijf verantwoordelijke voor persoonsgegevensverwerking en bent u:
- een overheidsinstantie,
- een onderneming met meer dan 250 werknemers of
- bestaat de core business van uw organisatie uit het verwerken van persoonsgegevens ?

Dan bent u in de toekomst gehouden een functionaris voor de gegevensbescherming aan te stellen.  

2. Recht om vergeten te worden en het recht om gegevens te laten wissen
Betrokkenen hebben onder bepaalde voorwaarden het recht dat de verantwoordelijke ervoor zorgt dat zijn persoonsgegevens worden gewist en verdere verspreiding van dergelijke gegevens achterwege blijft.

3. Recht van gegevensoverdraagbaarheid
Betrokkenen krijgen tevens een recht op gegevensoverdraagbaarheid. Dit houdt in dat betrokkenen mogen verzoeken  om hun persoonsgegevens van het ene elektronische verwerkingssysteem naar het andere over te (laten) dragen zonder dat de verantwoordelijke dat kan belemmeren.  De verantwoordelijke is hierbij verplicht om deze gegevens te verstrekken in “een elektronisch en gestructureerd formaat dat algemeen wordt gebruikt en door de betrokkene kan worden gebruikt.”

4. Expliciete toestemming vereist
Als algemeen uitgangspunt geldt dat betrokkenen toestemming moeten geven voor de verwerking van persoonsgegevens. Dit geldt tenzij een andere wettelijke verwerkingsgrondslag van toepassing is. De verordening eist nu dat deze toestemming  “uitdrukkelijk” zal worden verleend.  De betrokkene dient zich ervan bewust te zijn waarvoor hij precies toestemming geeft. Concreet betekent dit bijvoorbeeld dat niet in algemene voorwaarden mag worden opgenomen dat de wederpartij toestemming geeft voor de verwerking van zijn persoonsgegevens. Een dergelijk toestemming zal immers niet als uitdrukkelijk kunnen worden aangemerkt.

5. Meldplicht datalekken
Wanneer sprake is van “inbreuk in verband met persoonsgegevens” – in de volksmond ook wel datalek - moet dit binnen 24 uur worden gemeld aan de toezichthouder. Dit geldt tenzij dat redelijkerwijs niet mogelijk is.  Onder “inbreuk” wordt verstaan: een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, tot gevolg. Daarnaast moet ook de betrokkene zelf worden ingelicht, indien het  waarschijnlijk is dat het datalek de bescherming van de persoonlijke levenssfeer van de betrokkene nadelig beïnvloedt.  De toezichthouder kan bij het nalaten van de melding waar dat wel had gemoeten een geldboete tot één miljoen euro opleggen of, bij een onderneming, een geldboete van 2% van de wereldwijde jaaromzet.

Op nationaal niveau zijn wettelijke maatregelen voorgesteld om eventuele schade van datalekken te beperken c.q. te verminderen. Over het wetsvoorstel ‘meldplicht datalekken’ schreven wij eerder in het Huisorgaan van het Platform voor Informatiebeveiliging. In dit wetsvoorstel wordt een meldplicht voorgesteld in het geval zich een ‘datalek’ heeft voorgedaan. Deze meldplicht zal worden opgenomen in de Wet bescherming persoonsgegevens (Wbp). Vanwege privacyoverwegingen moeten betrokken personen in zo’n geval snel worden ingelicht. Dit betekent dat organisaties worden verplicht diefstal, verlies of misbruik van persoonsgegevens te melden aan de betrokken personen en aan het College Bescherming Persoonsgegevens (CBP). Lees hier meer over de laatste stand van zaken. 

Staatssecretaris Teeven heeft onlangs een wijziging voorgesteld voor de Nederlandse wet Meldplicht datalekken. Slechts datalekken met ernstige nadelige gevolgen voor betrokkenen zouden volgens hem moeten worden gemeld. Het is maar zeer de vraag of deze wijziging wel strookt met de verplichting uit het voorstel voor de Privacyverordening die een melding aan de toezichthouder vereist in geval van een “inbreuk in verband met persoonsgegevens”.

Wat staat verantwoordelijken te doen?

Het is zaak dat u als verantwoordelijke voor de persoonsgegevensverwerking processen en mechanismen gaat inrichten in uw organisatie, voorzover u dat nog niet heeft gedaan – opdat u kunt voldoen aan de vereisten van de Privacyverordening die binnen nu en enkele jaren in werking zal treden. Door nu al processen te standaardiseren en een functionaris voor de gegevensbescherming aan te stellen die verantwoordelijk is voor de omgang van en met persoonsgegevens binnen uw organisatie loopt u in de pas met de toekomstige wetgeving. Voorkom hoge boetes, doordat u niet op de hoogte bent van de nieuwe Europese wet- en regelgeving!

U zou kunnen denken aan het opstellen van een privacyprotocol waarin wordt geprotocolleerd hoe om te gaan met persoonsgegevensverwerking en wat te doen in geval van calamiteiten. U beperkt daarmee risico’s en maakt uw organisatie bewust van de gevoeligheid van de omgang met precaire gegevens. Over een dergelijke protocol schreven wij eerder in het Huisorgaan van het Platform voor Informatiebeveiliging.

Mirjam Elferink

Dinsdag 13 mei a.s. zullen Mirjam Elferink en Martijn Kortier in het kader van de Expert class van de KienhuisHoving Academy de privacyverordening nader toelichten.

U kunt zich nog inschrijven: http://www.kienhuishoving-academy.nl/expertclasses/ict-en-privacy/.

Auteurs: Mirjam Elferink en Martijn Kortier

 

Delen op