Bent u privacyproof?
Het gebruik van persoonsgegevens in het kader van big data en nieuwe technologieën zoals de blockchain, drones en wearable computing leiden tot steeds meer privacyvraagstukken.
De vraag naar regulering heeft geresulteerd in grote veranderingen op het gebied van privacywetgeving. Zo heeft de Europese Commissie op 14 april 2016 de General Data Protection Regulation (ook wel bekend als de ‘Algemene verordening gegevensbescherming’) aangenomen en is op 12 juli 2016 het Privacyshield tussen de EU en de VS in werking getreden.
In dit blog vertel ik u meer over de Algemene verordening gegevensbescherming en de impact hiervan voor uw bedrijf. In een volgend blog zal ik ingaan op het Privacyshield.
De Algemene verordening gegevensbescherming
Het doel van de Algemene verordening gegevensbescherming is het creëren van een uniform privacyrecht binnen de Europese Unie. Momenteel is er namelijk een Europese privacyrichtlijn die door iedere lidstaat op een andere manier in haar nationale wetgeving is geïmplementeerd.
In het voorjaar van 2018 treedt de Algemene verordening gegevensbescherming in werking en wordt onze Nederlandse Wet bescherming persoonsgegevens (‘Wbp’) definitief vervangen.
De Europese toezichthouder kan met de komst verordening handhavend optreden. Zo kunnen er boetes worden opgelegd tot wel € 20 miljoen of 4% van de wereldwijde jaaromzet. Bovendien kent de verordening niet de beperking dat boetes pas na een waarschuwing van de Autoriteit Persoonsgegevens worden opgelegd.
U doet er dus verstandig aan om uw bedrijf nu al voor te bereiden op de eisen van de verordening die komen gaat.
De belangrijkste eisen op een rij
(1) De bewerkersovereenkomst
Vanuit de Wbp was het al verplicht om een bewerkersovereenkomst te sluiten wanneer je een derde inschakelt om de door jou verzamelde persoonsgegevens te verwerken. Wat nieuw is, is dat de Algemene verordening gegevensbescherming concrete regels over de invulling van de bewerkersovereenkomst kent. Wanneer de bewerkersovereenkomst hier niet aan voldoet riskeert u een boete. Overigens worden bewerkers ook direct aansprakelijk gehouden voor het niet-nakomen van verplichtingen onder de Algemene verordening gegevensverwerking, waaronder de verantwoordelijkheid om persoonsgegevens conform de wet en op een zorgvuldige wijze te verwerken.
(2) Privacy officer
Onder de Algemene verordening gegevensbescherming zijn overheidsinstanties en organisaties die stelselmatig op grote schaal persoonsgegevens verwerken, verplicht om een privacy officer aan te stellen. Deze privacy officer houdt in de gaten of de organisatie aan de toepasselijke privacy wet- en regelgeving voldoet.
(3) Register
U bent niet meer verplicht om iedere verwerking van persoonsgegevens te melden bij de Autoriteit Persoonsgegevens. Organisaties met meer dan 250 medewerkers zijn wel verplicht om een register bij te houden waarin de activiteiten worden omschreven waarbij persoonsgegevens worden verwerkt. Hierbij moeten onder andere de doeleinden van de gegevensverwerking, de beoogde bewaartermijn en de beveiligingsmaatregelen worden vermeld.
(4) Privacy Impact Assesment (‘PIA’)
Wanneer het verwerken van persoonsgegevens privacyrisico’s met zich mee brengen, bent u eveneens verplicht om voorafgaand aan de verwerking een PIA uit te voeren. De Autoriteit Persoonsgegevens heeft aangekondigd samen met de andere Europese toezichthouders een lijst op te stellen van alle soorten verwerkingen waarbij een organisatie verplicht is om een PIA uit te voeren.
Tot slot
De verordening laat de nationale wetgever op veel punten nog de vrijheid om de regels nader vorm te geven. De tekst van de Algemene verordening gegevensbescherming kan worden beschouwd als een raamwerk, waarvan de impact nog kan wijzigen door aanvullende of afwijkende nationale regels. De tijd zal het leren.
Wilt u meer informatie over de actuele stand van zaken of wilt u weten wat u kunt doen om u voor te bereiden op de Algemene verordening gegevensbescherming? Neem contact op met aernoutzappey@levenbach.nl of evelienvanderburgt@levenbach.nl