Algemene verordening gegevensbescherming: aandachtspunten

Achtergrond
Sinds 1995 vormt de Privacyrichtlijn (richtlijn 95/46/EG) de grondslag voor de bescherming van persoonsgegevens in Europa. Elke EU-lidstaat hanteert deze richtlijn als basis voor bescherming van persoonsgegevens en heeft zijn nationale wet- en regelgeving hierop gebaseerd. De Wet bescherming persoonsgegevens (Wbp) is de Nederlandse uitwerking daarvan. De regels dateren echter nog uit de tijd dat het internet in de kinderschoenen stond en social media nog niet bestond.

Met het oog op de moderne en alsmaar groeiende behoeftes, risico's en zorgen omtrent privacy in de digital age werd het tijd dat de Europese regelgeving op de schop werd genomen. De nieuwe regels zijn dit keer vastgelegd in een verordening die algemeen verbindend en rechtstreeks van toepassing is in alle lidstaten. Hierdoor ontstaat een uniforme privacywetgeving binnen de EU. Hetgeen onmisbaar is gezien de grensoverschrijdende werking van het internet en de groei van online-diensten.

Aandachtspunten
De Algemene verordening gegevensbescherming is pas over twee jaar rechtstreeks van toepassing. In zoverre lijkt de verordening qua overgangstermijn eigenlijk op een richtlijn. Dit geeft organisaties echter nog even de tijd volledig te voldoen aan de nieuwe regels. Hierna zullen kort de meest in het oog springende rechten en verplichtingen uit de verordening tegen het licht worden houden.

Toepassingsbereik
Allereerst het toepassingsbereik. De regels zijn ook van toepassing op niet-Europese organisaties die in de EU diensten of producten aanbieden of het gedrag van betrokkenen die zich in de EU bevinden monitoren, bijvoorbeeld via cookies. Voor niet Europese organisaties is het daarbij verplicht een vertegenwoordiger aan te wijzen die erop toeziet dat de Europese privacyregels worden nageleefd.

Terminologie
Met ingang van de Algemene verordening gegevensbescherming wordt niet meer gesproken van een 'verantwoordelijke' en een 'bewerker' maar van een 'verwerkingsverantwoordelijke' en 'verwerker'. Deze nieuwe termen zorgen voor een duidelijkere indicatie van de rol van deze partijen bij gegevensverwerkingen. De 'verwerker' is in veel gevallen immers de partij die gegevens daadwerkelijk verwerkt en niet louter 'bewerkt'. Terwijl de verwerkingsverantwoordelijke degene is die de doelen en middelen van de verwerking bepaalt en daarmee de eindverantwoordelijkheid voor de verwerking draagt.

 

Register verwerkingsactiviteiten
De verordening moet de regels omtrent de bescherming van persoonsgegevens verduidelijken maar ook makkelijker maken om toe te passen. Een manier om dit te bereiken is het vervallen van de meldingsplicht betreffende verwerkingen van persoonsgegevens bij de nationale toezichthoudende autoriteit (in Nederland: de Autoriteit Persoonsgegevens, kortweg AP). Conform de nieuwe regels dienen organisaties met meer dan 250 werknemers voortaan zelf een register bij te houden van al hun gegevensverwerkingen. Zij dienen op elk moment een up-to-date inventaris van verwerkingen te kunnen overleggen aan de toezichthouder. In bepaalde gevallen kunnen ook kleine organisaties aan deze registratieplicht worden gehouden.

 

Strengere eisen verkrijgen toestemming
Eén van de grondslagen voor de verwerking van persoonsgegevens op grond van de Wbp is het verkrijgen van toestemming van betrokkenen. In de verordening worden strengere eisen gesteld aan de manier waarop deze toestemming wordt verkregen. Deze eisen golden feitelijk al op grond van de Wbp, maar zijn nu duidelijker uiteen gezet. Zo moet de toestemming zijn verkregen via een duidelijke actieve handeling, bijvoorbeeld door een verklaring of het aanklikken van een 'tick box'. Het stilzwijgend dan wel impliciet akkoord gaan met de verwerking, een vooraf ingevulde tick box of enige andere vorm van opt-out is niet toegestaan.

 

Daarnaast wordt benadrukt dat het voor de betrokkene duidelijk moet zijn waarvoor hij/zij toestemming verleent. Organisaties die persoonsgegevens verwerken dienen deze informatie daarom op beknopte wijze, in begrijpelijke taal en in een toegankelijke vorm beschikbaar te stellen aan betrokkenen. Bijvoorbeeld in een privacy statement. De informatie mag niet meer worden weggestopt in de algemene voorwaarden. Een organisatie die persoonsgegevens verwerkt kan er ook voor kiezen betrokkenen te informeren door gebruik te maken van zogenoemde 'privacy-iconen' (zie afbeelding).

Recht op vergetelheid
Met de AVG wordt een wettelijk afdwingbaar 'recht op vergetelheid' geïntroduceerd. Het recht op vergetelheid vloeit voort uit het Google Spain-arrest, waarin door het Hof van Justitie is bepaald dat een zoekmachine (i.c. Google) verplicht kan worden zoekresultaten te verwijderen wanneer deze 'ontoereikend, niet ter zake dienend of bovenmatig' zijn. Op grond van de verordening heeft betrokkene het recht om de verwerkingsverantwoordelijke ervoor te laten zorgen dat de hem betreffende persoonsgegevens worden gewist en dat er geen verdere verspreiding van deze gegevens plaatsvindt. De verwerkingsverantwoordelijke is verplicht aan een dergelijk verzoek te voldoen wanneer de gegevens onder andere niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld, de gegevens onrechtmatig zijn verwerkt of wanneer de betrokkene diens toestemming voor de verwerking intrekt en er geen andere rechtsgrond aanwezig is voor de verwerking. Indien de gegevens worden verwijderd dient de verwerkingsverantwoordelijke tevens derde partijen op de hoogte te stellen van het verwijderingsverzoek ter voorkoming van verdere verspreiding. Het betreft echter geen absoluut recht van betrokkene. Zo kunnen zich altijd situaties voordoen waarbij er redenen zijn de gegevens niet te verwijderen, zoals de uitoefening van het recht op vrijheid van meningsuiting en informatie.

 

In de praktijk zorgt dit niet per se voor een duidelijke oplossing. Wat we van het Google Spain-arrest hebben geleerd is dat de verwerkende organisaties altijd een voor hen gunstige interpretatie bij de beoordeling van het verwijderingsverzoek kunnen hanteren waardoor de gegevens niet altijd verwijderd worden terwijl dat wel gerechtvaardigd zou zijn. Zo kan gedacht worden aan het feit dat de gegevens nog vrij recent zijn dus relevant of de betrokkene een publiek figuur is. Dit heeft geresulteerd in veel discussie en gerechtelijke procedures, met name tegen Google. Het is de vraag in hoeverre de nieuwe bepaling deze onduidelijkheid wegneemt.

 

Verhouding tussen verwerkingsverantwoordelijke en verwerker
Met de verordening krijgt de verwerker meer verantwoordelijkheden en verplichtingen opgelegd. Onder de huidige regels van de Wbp dienen de verplichtingen van de verwerker te worden vastgelegd in een 'verwerkersovereenkomst' en is naleving voor de verwerking met name een privaatrechtelijke aangelegenheid. Geschillen over de uitvoering van de overeenkomst dienen partijen onderling te beslechten. Met de komst van de verordening kunnen aan de verwerker bestuurlijke boetes worden opgelegd wanneer hij diens verplichtingen uit deze overeenkomst niet nakomt.

 

Meldplicht datalekken
De verplichting tot het melden van 'datalekken' is sinds 1 januari 2016 van kracht in Nederland. Deze verplichting vloeit voort uit de nieuwe Europese privacy regels. Inbreuken in de beveiligingsmaatregelen van organisaties die mogelijk tot ernstige gevolgen hebben geleid of kunnen leiden voor de bescherming van persoonsgegeven dienen binnen 72 uur na ontdekking te worden gemeld aan de toezichthouder. Voorbeelden van een 'datalek' zijn het verliezen van een usb-stick met gegevens, hacking, onrechtmatige toegang in het systeem of zelfs het per ongeluk verwijderen van gegevens waar geen back-up van is. In bepaalde gevallen dient ook de betrokkene in kwestie te worden geïnformeerd.

 

De meldplicht datalekken maakt deel uit van een grotere context inzake gegevensbeveiliging. Zo worden in de verordening beveiligingsmaatregelen genoemd die door de Europese wetgever als passend worden gekwalificeerd. Dergelijke maatregelen omvatten onder meer het volgende:

- pseudonimisering en versleuteling van persoonsgegevens;
- het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen te garanderen;
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot persoonsgegevens tijdig te herstellen;
- hanteren van een procedure voor het op gezette tijdstippen testen,

beoordelen en evalueren van de doeltreffendheid van de beveiligingsmaatregelen.

 

Het betreft een niet-limitatieve opsomming. Het gaat erom dat er adequate technische en organisatorische beveiligingsmaatregelen ten uitvoer worden gelegd waarbij rekening wordt gehouden met de stand der techniek. Makkelijker gezegd dan gedaan aangezien de praktijk bewijst dat het nogal eens goed fout kan gaan. Een voorbeeld is het lek van LinkedIn-inloggegevens in 2012. De inloggegevens van LinkedIn-gebruikers waren onvoldoende versleuteld waardoor de wachtwoorden van zo'n 117 miljoen gebruikers konden worden buitgemaakt.

 

Het is dus van belang beveiligingsmaatregelen te blijven testen en updaten conform de huidige stand der techniek wat hashing en encryptie betreft. Een goede richtlijn zijn de daarvoor opgestelde ISO en NEN-normen betreffende informatiebeveiliging.

Privacy impact assessment en privacy officer
In het kader van gegevensbeveiliging wordt het in bepaalde gevallen verplicht om een Privacy Impact Assessment (PIA) uit te voeren. Dat is het geval wanneer het verwerken van persoonsgegevens, in het bijzonder met behulp van nieuwe technologieën, risico's voor de betrokkenen met zich meebrengt zoals bij profiling, grootschalige verwerking van bijzondere persoonsgegevens of het monitoren van openbare ruimten. In een PIA dient te worden vastgelegd hoe en voor hoe lang gegevens worden verwerkt, welke risico's er aanwezig (zouden kunnen) zijn en welke maatregelen zijn genomen om aan te tonen dat aan de verordening is voldaan.

 

In tegenstelling tot de huidige regels van de Wbp is het straks in bepaalde gevallen verplicht een privacy officer aan te stellen. Een privacy officer is iemand binnen een organisatie die toeziet op de omgang met persoonsgegevens. Hij/zij moet onafhankelijk kunnen opereren en mag zowel intern als extern aangesteld worden maar kan niet worden ontslagen. Het aanstellen van een dergelijke privacy vraagbaak/adviseur is een verplichting voor overheidsinstanties en bij grootschalige en stelselmatige observaties van personen of waarbij op grote schaal bijzondere persoonsgegevens worden verwerkt. De lidstaten worden verder vrijgelaten in het aanvullen van de gevallen waarin het aanstellen van een privacy officer verplicht is. Wanneer het verwerken/verzamelen van data een van de kernactiviteiten is dient er een privacy officer aangesteld te worden. Het maakt dan niet uit hoe groot je organisatie is.

Handhaving en sancties
Met de komst van de Algemene verordening gegevensbescherming worden ook de sanctiemogelijkheden en –bevoegdheden van de nationale toezichthouders uitgebreid. De toezichthoudende autoriteit kan boetes opleggen tot 20 miljoen Euro of 4% van de jaaromzet. Deze boetes kunnen worden verbonden aan alle overtredingen van de verordening. De nationale wetgever kan zelf bepalen wat de maximale boete is die in zijn lidstaat kan worden opgelegd. In Nederland is dat maximaal 820.000 Euro. In veel gevallen zal de Autoriteit Persoonsgegevens eerst een waarschuwing sturen alvorens er daadwerkelijk een boete zal worden opgelegd.

 

Uw bedrijfsvoering aanpassen?
Afgezien van het feit dat de nieuwe regels pas in 2018 rechtstreeks van toepassing zijn (afgezien van de meldplicht datalekken en de uitbreiding van bevoegdheden van de AP) zullen veel organisaties aan de slag moeten om een solide basis te leggen voor een goede implementatie van de nieuwe regels. Men ontkomt er niet aan de bedrijfsvoering hierop in te kleden.

Het advies is om de door u verrichte gegevensverwerkingen in kaart te brengen en te (laten) beoordelen hoe u het meest effectief aan de nieuwe regels kunt voldoen. Voor vragen kunt u altijd (vrijblijvend) contact opnemen via info@van-kaam.nl of 020- 421 20 40.

 

Geschreven door: Hanneke van Lith