De Algemene verordening gegevensbescherming wordt ook wel Europese Privacy Verordening genoemd. Er is al veel over geschreven en te doen geweest. Vooralsnog zal deze in januari 2016 in werking treden en de huidige richtlijn vervangen. Het verschil tussen een verordening en een richtlijn is dat Europeanen een rechtstreeks beroep kunnen doen op bepalingen uit de verordening. Een richtlijn moet altijd eerst geïmplementeerd worden in nationale wetgeving.
Definities in de huidige regelgeving
De huidige richtlijn is geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp). Een belangrijke wet, maar ook één waarvan ik in de praktijk merk dat er veel vragen over zijn. Met name over de praktische toepasbaarheid. De Wbp kent veel definities, waarbij een aantal extra aandacht verdient:
- Een persoonsgegeven is directe of indirecte informatie over een persoon. Via een persoonsgegeven moet de identiteit van een persoon te herleiden zijn.
- De betrokkene is degene op wie het persoonsgegeven betrekking heeft.
- De verantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
- De verwerker is degene die de gegevens verwerkt voor de verantwoordelijke. Het begrip ‘verwerken’ is heel ruim, je kunt dan denken aan opslaan, vastleggen of ordenen.
In de verordening is de definitie van persoonsgegeven verbreed. Dat is logisch, gezien het feit dat onze gegevens steeds meer worden verzameld of op onze manieren verwerkt. De bewerker heet in de verordening de verwerker. Daar waar de Wbp spreekt over verantwoordelijke spreekt de verordening over voor de verwerking verantwoordelijke. De definitie zelf blijft nagenoeg gelijk.
De verwerking moet zorgvuldig gebeuren voor specifiek omschreven doeleinden. Dit zal in de verordening niet veranderen.
Rechten van de betrokkene
Als je persoonsgegevens worden verwerkt door een bedrijf of overheidsinstelling, is het nu al mogelijk om navraag te doen over welke gegevens worden verwerkt en voor welk doel. Zo mag je het bedrijf bijvoorbeeld vragen om de gegevens te corrigeren of aan te vullen. In de verordening is ook het recht om gegevens te laten wissen c.q. vergeten te worden opgenomen. Hierbij is altijd een belangenafweging vereist.
De informatieplicht neemt een cruciale rol in. Als je verantwoordelijke bent in de zin van de verordening, moet je vooraf vertellen wat je doet, welke gegevens je verzamelt, hoe je deze beschermt. Maar ook moet je betrokkenen vertellen dat ze het recht hebben om hun gegevens op te vragen, te corrigeren of vergeten te worden. Om in de praktijk aan de informatieplicht te voldoen kun je een standaarddocument naar betrokkenen sturen.
Bewerkersovereenkomst
De bewerkersovereenkomst wordt ook uitgewerkt in de verordening. De verantwoordelijke is en blijft verantwoordelijk voor de persoonsgegevens. Hij moet bijvoorbeeld passende technische en organisatorische maatregelen treffen om de gegevens te beschermen. Als hij gebruik maakt van een verwerker (bijvoorbeeld een applicatie of IT-systeem), dan moeten er hierover afspraken worden vastgelegd in een bewerkersovereenkomst. Hierin regel je bijvoorbeeld wat het doel is van de verwerking en welke beveiligingsmaatregelen worden getroffen.
Intern privacybeleid
Ondernemingen die persoonsgegevens verwerken, zullen een intern privacybeleid moeten ontwikkelen. Hierin wordt onder andere geregeld wie er binnen de organisatie waarvoor verantwoordelijk is. Evenals hoe de gegevens worden beschermd. De bescherming van privacy vindt plaats door middel van privacy by design en privacy by default. Privacy by design houdt in dat bij het ontwerp van een gegevensverwerking rekening wordt gehouden met privacy. Privacy by default is een systeem dat alleen de gegevens verwerkt die strikt noodzakelijk zijn.
Recht op gegevensoverdraagbaarheid
De betrokkene mag de verantwoordelijke verzoeken om zijn persoonsgegevens van de ene gegevensdrager over te zetten naar een andere gegevensdrager. Dit is nieuw en kennen we nog niet in de huidige Wbp.
Functionaris voor gegevensbescherming (FG)
De FG zal een steeds belangrijkere rol in gaan nemen. De FG is een onafhankelijke privacytoezichthouder die rapporteert aan de directie. Bijzonder daarbij is dat de FG verplicht een contract van vier jaar moet krijgen. De FG heeft als taak om alle privacyaspecten te monitoren van bedrijfsprocessen. Een FG is verplicht voor overheden, bedrijven die van meer dan 5000 betrokkenen gegevens verwerken, die als kernactiviteit hebben het verwerken van persoonsgegevens, of waarvan de kernactiviteit vereist dat ze bijzondere persoonsgegevens verwerkt (zoals medische gegevens).
Sancties toezichthouder
Het Cbp krijgt de mogelijkheid om straks een rode kaart (boete) uit te delen. De boete kan oplopen tot maximaal 100 miljoen euro of vijf procent van de wereldwijde jaaromzet. Er moet dan in juridische termen sprake zijn van ernstige verwijtbare nalatigheid of onzorgvuldig handelen. Kort gezegd moet er dus wel echt iets aan de hand zijn wil het Cbp een boete opleggen. Denk hierbij aan eerdere situaties waarbij een arbodienstverlener inlogcodes van medische dossiers aan een werkgever gaf. En de eerste hulp van VUMc waar werd gefilmd zonder voorafgaande toestemming.
Conclusie
Voor bedrijven die gegevens verwerken (en dat zijn er heel veel), betekent de verordening wel dat er werk aan de winkel is. Als de verordening in werking treedt, geldt eerst nog een overgangsperiode van twee jaar. Dat betekent niet dat het niet nu al belangrijk is om kritisch te kijken naar het interne privacybeleid. Voldoet u aan de huidige regelgeving? Weet u in welke situatie u verantwoordelijke of bewerker bent? De verantwoordelijke heeft namelijk vergaande verplichtingen. Gebruikt u bewerkersovereenkomsten? Heeft u melding gedaan bij het Cbp over uw verwerking?
Er zijn ongetwijfeld puntjes op de spreekwoordelijke i’s te zetten. Uiteraard kunnen we u hierbij helpen. We hebben ruime ervaring met het opstellen van bewerkersovereenkomsten en het uitvoeren van privacy scans binnen organisaties. We signaleren de risico’s en maken met u een duidelijk stappenplan. Neem voor meer informatie contact met ons op.
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan