De Europese privacy verordening, de 5 dingen die u nu al moet weten!
Met een steeds verder digitaliserende samenleving en de mogelijkheden die dat geeft, ontstaan ook nieuwe gevaren. Een van de grootste gevaren is het gemak waarmee overheid en bedrijven kennis kunnen verzamelen over het privéleven van u en mij. Natuurlijk zijn er al diverse regels die burgers beschermen tegen willekeurige inbreuken op hun grondrecht op privacy, maar dat blijkt in de praktijk vaak niet voldoende. Dit komt voor een groot deel doordat technische ontwikkelingen zo snel gaan dat de (verouderde) wetten daar eigenlijk geen passend antwoord op kunnen geven. Zeker met de komst van nieuwe methoden en technieken om op grote schaal gegevens te analyseren (vaak aangeduid met de term big data) wordt het steeds makkelijker voor overheden en bedrijven om door middel van profiling ook voorspellingen te gaan doen over toekomstig gedrag van mensen (juridisch gezien aangeduid als ‘betrokkenen’). Dat kan natuurlijk nuttig zijn, bijvoorbeeld in de strijd tegen terrorisme, maar heeft ook als belangrijke keerzijde dat de door George Orwell geschetste samenleving in zijn boek ‘Big Brother’, wel erg dichtbij komt.
Om hier een evenwicht in te vinden is de Europese algemene verordening gegevensbescherming[1] (privacy verordening) vastgesteld. Deze verordening is in werking getreden op 25 mei 2016 en wordt daadwerkelijk van kracht op 25 mei 2018. Hij zal gaan gelden als een Europese wet die rechtstreeks van toepassing is in de hele Europese Unie en dus ook in Nederland. De verordening brengt een aantal nieuwe verplichtingen met zich mee, welke verplichtingen verder gaan dan de huidige Wet Bescherming Persoonsgegevens in Nederland.
Hoewel de verordening dus pas over iets minder dan twee jaar van kracht wordt, is het wel van belang om binnen uw organisatie nu al vooruit te kijken en stappen die nu al gezet moeten of kunnen worden, te zetten. Om u daarbij te helpen zal ik hierna de 5 belangrijkste wijzigingen beschrijven en aangeven wat u alvast kunt doen.
1. Informatieverstrekking aan betrokkenen
Wanneer de privacy verordening vanaf 2018 van kracht is zal er aan de betrokkenen wiens persoonsgegevens worden verzameld, veel meer informatie verstrekt moeten worden dan voor die tijd nodig was. Bovendien zullen die gegevens door de verwerkingsverantwoordelijke uit eigen beweging verstrekt moeten worden. Naar Nederlands recht is het nu nog zo dat de betrokkene zelf om inzage kan vragen van de gegevens die over hem worden bijgehouden.Onder meer de volgende gegevens zullen aan iedere betrokkene verstrekt moeten worden:
- De identiteit en de contactgegevens van de verwerkingsverantwoordelijke;
- De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd als ook de rechtsgrond voor de verwerking;
- De gerechtvaardigde belangen van de verwerkingsverantwoordelijke;
- De periode gedurende welke de persoonsgegevens zullen worden opgeslagen;
- Dat de betrokkene het recht heeft te verzoeken om inzage van rectificatie of wissen van de persoonsgegevens.
Concreet betekent dit dat u er goed aan doet om al voor mei 2018 te inventariseren op welke manier u persoonsgegevens verwerkt en wat u daar precies mee doet. Die plicht heeft u nu ook al, maar in de praktijk blijkt dat maar weinig bedrijven en instellingen aan de eisen voldoen.
2. Het recht om vergeten te worden
Een ander belangrijk recht dat de betrokkene vanaf 25 mei 2018 heeft is het zogenaamde ‘recht op vergetelheid’. Concreet komt dit erop neer dat de betrokkene straks het recht heeft om aan de verantwoordelijke voor de gegevensverwerking te verzoeken om alle persoonsgegevens die over die persoon zijn verzameld, te vernietigen binnen een korte termijn. Hoewel ook dit recht eigenlijk al bestaat, kunnen betrokkenen er straks veel nadrukkelijker een beroep op doen. Vooral voor informatie die op internet circuleert kan dit grote gevolgen hebben.Ervaring uit mijn praktijk leert mij dat veel verantwoordelijken voor gegevensverwerking nauwelijks in staat zijn de persoonsgegevens van betrokkenen volledig te verwijderen. Soms komt dat doordat het bestand waarin die gegevens staan dusdanig groot is geworden dat het nauwelijks meer te controleren valt, laat staan te wijzigen, maar het komt ook voor dat ICT-programma’s simpelweg niet de optie hebben om gegevens te verwijderen.U doet er goed aan om vóór 25 mei 2018 te inventariseren of het mogelijk is om persoonsgegevens ook weer te verwijderen. Daarnaast is het verstandig om gegevens die u hebt verzameld maar niet meer gebruikt, al eerder dan in mei 2018 te verwijderen. Immers, u mag die persoonsgegevens nu ook al niet langer bewaren dan nodig is.
3. Register van verwerkingsactiviteiten en dataportabiliteit
Gekoppeld aan de informatie die verstrekt moet worden aan betrokkene, moet ook door de verantwoordelijke een register bijgehouden worden waarin wordt genoteerd welke gegevens van wie worden verzameld en met welk doel. Het is dus niet voldoende om alleen aan het begin van de verwerking van de persoonsgegevens een mededeling te doen aan de betrokkene ten aanzien van de gegevens die worden verwerkt. Nee, deze gegevens moeten ook in een daartoe bestemd (intern) register bewaard worden. Dit register moet ook op eerste verzoek van de Autoriteit Persoonsgegevens verstrekt worden.Naast het register dat intern bijgehouden moet worden, hebben betrokkenen straks ook een veel verdergaand recht op dataportabiliteit. Dat houdt in dat de verwerkingsverantwoordelijke ervoor moet zorgen dat de informatie die over een betrokkene is verzameld, op een gestructureerde, gangbare en machineleesbare wijze naar een andere verwerkingsverantwoordelijke kan worden gestuurd. Anders gezegd, de informatie moet gemakkelijk overdraagbaar zijn.Het is verstandig om nu al te checken of uw systemen in staat zijn om aan deze (technische) verplichtingen te voldoen. Indien u daarmee pas in 2018 begint, dan is de kans groot dat u niet op tijd aan de verordening zult voldoen.
4. Gegevens beschermingseffect beoordeling [privacy impact assessment]
Een nieuwe verplichting die komt te rusten op de verwerkingsverantwoordelijke is om een zogenaamde gegevensbeschermingseffectbeoordeling te doen, voorafgaande aan het verwerken van persoonsgegevens. Dit moet gebeuren in die gevallen dat er, met name waar het een geautomatiseerde verwerking betreft met nieuwe technologie, er waarschijnlijk een hoog risico is voor de rechten en vrijheden van natuurlijke personen.Dat klinkt allemaal vrij cryptisch, maar het komt erop neer dat bij grootschalige verwerking van persoonsgegevens, u een gegevensbeschermingeffectbeoordeling zal moeten doen. Wat dat concreet inhoudt zal de toekomst nog moeten uitwijzen, maar in de basis moet u onderzoeken op welke wijze persoonsgegevens gevaar lopen door een beoogde verwerking en hoe die gevaren zoveel mogelijk worden ingeperkt.Ook ten aanzien van een dergelijke beoordeling, zullen de resultaten getoond moeten worden aan de Autoriteit Persoonsgegevens, indien deze daar om vraagt.
5. Functionaris voor de gegevensbescherming [Privacy Officer]
Een laatste aankomende verantwoordelijkheid is het aanstellen van een functionaris voor de gegevensbescherming, welke persoon ook middels vaak wordt aangeduid met de term Privacy Officer.Het komt er concreet op neer dat in ieder geval overheidsinstellingen, maar ook verwerkingsverantwoordelijken of bewerkers die hoofdzakelijk belast zijn met verwerkingen die vanwege aard, omvang of doeleinden een regelmatige en stelselmatige observatie op grote schaal van betrokkene vereisen (grote bedrijven dus ook), dan moet er een Privacy Officer aangesteld worden.Dit betreft een persoon die al dan niet in dienst van de organisatie, onafhankelijk toezicht kan houden en kan adviseren omtrent allerhande privacy vragen en beleidsbeslissingen. Omdat een dergelijke Privacy Officer in principe vanaf 25 mei 2018 meteen aanwezig moet zijn, verdient het voor veel bedrijven de voorkeur ook hier reeds nu al rekening mee te houden en eventueel te zoeken naar een Privacy Officer.Wees waakzaam!De voorgaande 5 opgesomde verplichtingen zijn slechts een beperkt overzicht van nieuwe plichten die op verwerkingsverantwoordelijke komen te rusten. In de periode voorafgaande aan de daadwerkelijke inwerkingtreding van de privacyverordening vallen er nog de nodige nieuwe ontwikkelingen te verwachten. Uiteraard zal ik daar aandacht aan besteden, maar wees ook zelf bedacht op de snelle ontwikkelingen!Ik wil deze bijdrage afsluiten met de opmerking dat het van belang is dat u de nieuwe verplichtingen serieus neemt, vooral omdat de boetes die opgelegd kunnen worden voor overtredingen, nog vele malen hoger worden dan de boetes die reeds nu met de uitbereiding van de boetebevoegdheid sinds 1 januari 2016 van kracht zijn. De maximale boete die straks opgelegd kan worden betreft € 20.000.000,-- óf 4% van de wereldwijde jaaromzet indien dat laatste bedrag hoger is van € 20.000.000,--. Dat zijn dus substantiële bedragen, welke gelukkig relatief eenvoudig te voorkomen zijn, mits u zich maar bewust bent van de nieuwe rechten en plichten.
Hebt u privacy vragen, neem dan contact op met ondergetekende.
[1] Verordening EU2016/679
