Nieuwe EU Privacyverordening

24 nov 2014

Op 14 maart 2014 heeft het Europees Parlement positief gereageerd op een voorstel voor een Privacy Verordening. Dit heeft veel stof doen opwaaien. De veranderingen ten opzichte van de huidige regelgeving zijn groot. De rechten voor natuurlijke personen worden groter. Het niet naleven van de privacy regels kan leiden tot substantiële boetes. Toch blijven er nog mogelijkheden, ook voor big-data gebruik. Wat verandert er?

Huidige situatie
De huidige privacyregelgeving is vastgelegd in de Wet Bescherming Persoonsgegevens [Wbp] uit 2000. Met die wet is de Europese privacy richtlijn uit 1995 omgezet in Nederlandse wetgeving. Europa heeft voor de nieuwe regelgeving gekozen voor een verordening in plaats van een nieuwe richtlijn. Een richtlijn moet een Lid-Staat omzetten in nationale wetgeving. Een verordening werkt direct en hoeft niet in nationale wetgeving te worden omgezet.

Nadat het Europees parlement akkoord is gegaan met het voorstel voor een verordening moet ook de raad van ministers akkoord gaan met het voorstel.

Het voorstel voor de verordening wordt waarschijnlijk in december 2014 besproken in een debat in de Eerste Kamer.

De verordening zal waarschijnlijk in 2015/2016 in werking treden.

Belangrijkste wijzigingen door nieuwe verordening

  1. Één toezichthouder

Voor bedrijven die in meerdere Lid-Staten werken is dit goed nieuws. Nu hebben ze te maken met verschillende nationale toezichthouders die bevoegd zijn. Wanneer het voorstel wordt aangenomen krijgen deze bedrijven met één Europese toezichthouder te maken.

Voor de bedrijven die niet in meerdere Lid-Staten werken verandert er niets. Zij blijven te maken krijgen met hun nationale toezichthouder zoals in Nederland het College Bescherming Persoonsgegevens [CBP].

  1. Nieuwe rechten voor natuurlijke personen

De verordening introduceert het recht om vergeten te worden. Recent heeft het Europees Hof in een zaak tegen Google bepaald dat een natuurlijk persoon het recht heeft om te vragen zijn persoonsgegevens te verwijderen uit zoekresultaten. Een dergelijk recht wordt nu ook in de verordening vastgelegd. Dit betekent dat een organisatie persoonsgegevens moet verwijderen indien:

  • er niet langer een noodzaak is om de gegevens te bewaren gelet op het doel waarvoor de gegevens verzameld zijn;
  • de natuurlijk persoon zijn toestemming intrekt om de persoonsgegevens te bewaren;
  • de natuurlijk persoon bezwaar maakt tegen het gebruiken van zijn persoonsgegevens;
  • de organisatie de verordening niet naleeft.

Daarnaast krijgt een natuurlijk persoon ook het recht om een kopie of overheveling te verzoeken van zijn persoonsgegevens.

  1. Privacybeleid

De organisatie krijgt de verplichting om, nog meer dan nu al het geval is, goed te documenteren. Nu geldt onder omstandigheden een meldplicht bij het CBP. Onder de verordening wordt het een verplichting voor bedrijven om het doel van de bewerking van persoonsgegevens te beschrijven en het proces correct in te richten.

Iedere organisatie die met persoonsgegevens werkt krijgt nu de verplichting om een privacybeleid te formuleren en daarin bepaalde aspecten op te nemen.

Datalekken
De verordening introduceert ook een meldplicht voor datalekken. Dit laatste houdt in dat feitelijk ieder incident waarbij gegevens verloren, vernietigd, ongeautoriseerd vrijgegeven of verspreid worden, moet worden gemeld. Binnen 24 uur moet een dergelijk lek bij de toezichthouder gemeld worden. Ook de natuurlijke personen die erdoor getroffen worden moeten onverwijld geïnformeerd worden indien het datalek mogelijk negatieve gevolgen heeft voor hun privacy.

Boetes voor overtreding privacyregels
De mogelijkheden voor het CBP om een boete op te leggen voor overtreding van de privacyregels zijn nog beperkt. De staatssecretaris van veiligheid en justitie komt met voorstellen om die bevoegdheid en mogelijkheid uit te breiden. De staatssecretaris heeft de Tweede Kamer toegezegd in november 2014 met een brief met voorstellen is komen.

Op grond van de verordening kunnen toezichthouders [hoge] boetes opleggen. De boetes komen meer in de buurt van de boetes die we kennen in het mededingingsrecht. De verordening maakt boetes mogelijk tot 5% van de wereldwijde jaaromzet met een maximum van € 100 miljoen. Boetes kunnen worden opgelegd voor onder meer:

  • niet tijdig of niet volledig informeren van natuurlijke personen;
  • niet melden of niet volledig melden van datalekken;
  • het niet voldoen aan een verzoek tot verwijdering of niet voorzien van de door een natuurlijk persoon opgevraagde informatie.

Wat betekent dit voor de praktijk

  • op dit moment nog niet zoveel. Immers de verordening is nog niet definitief en het is nog onduidelijk wanneer deze in werking treedt. De inhoud van het voorstel voor de verordening geeft wel aan welke richting het op gaat. Bij het maken van beleidskeuzes die verder strekken dan de korte termijn is het verstandig om toch alvast met de inhoud van het voorstel rekening te houden. Zo heeft de verordening gevolgen voor onder andere big data, privacyreglementen, privacy functionarissen, etc.
  • wanneer deze verordening in werking treedt zal allereerst vastgesteld moeten worden of de verordening voor uw organisatie gevolgen heeft en wat deze gevolgen zijn.
  • er zal privacybeleid geformuleerd moeten worden dat in overeenstemming is met de verordening. Bestaande privacystatements zullen moeten worden geëvalueerd en [waarschijnlijk] worden aangepast om nog compliant te zijn.
  • mogelijk betekent dit dat er een privacy functionaris aangesteld moet worden wanneer dat nu nog niet het geval is.
  • mogelijk betekent dit dat anders met eigen data of aangekochte data omgegaan moet worden. Uw big data beleid moet mogelijk worden aangepast.

advocaat te Boxtel, Den Bosch, Eindhoven en Tilburg

Jos van der Wijst