Komende EU-verordening gegevensbescherming: wat betekent dat voor u?
Op 15 december 2015 is de tekst van de Algemene verordening gegevensbescherming (‘AVG’) voorlopig vastgesteld. Die verordening stelt meer en specifiekere eisen aan de rechtmatige omgang met persoonsgegevens. De AVG maakt onderdeel uit van een breder pakket aan maatregelen dat het geldende EU-recht voor gegevensbescherming vervangt.
Privacy en de zorgvuldige omgang met persoonsgegevens staat al langer meer en meer in de belangstelling van organisaties, media en het publiek. Steeds meer organisaties zien het als een concurrentievoordeel om dit goed geregeld te hebben, beschouwen een degelijke informatiehuishouding als onmisbaar of willen in ieder geval niet het risico lopen op dit punt onderuit te gaan.
De AVG krijgt rechtstreekse werking in Nederland en vervangt daarmee de Wet bescherming persoonsgegevens (‘Wbp’).
Het prettige aan deze ontwikkeling is dat hiermee in beginsel de verschillen tussen de wetgeving op dit terrein in de verschillende lidstaten van de Europese Unie komen te vervallen. Ook door de introductie van een one-stop-shop. Vooral internationaal opererende organisaties zouden hiervan moeten profiteren.
Zodra de Algemene verordening gegevensbescherming definitief is aangenomen, geldt er een overgangsperiode van twee jaar. Deze periode geeft organisaties de gelegenheid zich aan te passen aan de (nieuwe) eisen van de AVG.
Aandacht vereist
In 2018 zal iedere organisatie moeten voldoen aan de eisen die de AVG stelt. Dat lijkt ver weg maar het is zaak tijdig voorbereidingen te treffen.
Bovendien loopt Nederland vooruit met de aangescherpte wetgeving die per 1 januari 2016 al van kracht wordt ten aanzien van hogere boetes en meldplicht van datalekken. Bescherming van persoonsgegevens hoort dus ook nu al hoog op de agenda van de directie/raad van bestuur te staan.
Consequenties
De AVG heeft consequenties voor de wijze waarop u als organisatie dient om te gaan met persoonsgegevens en deze mag delen met andere organisaties. Enkele belangrijke wijzigingen zijn:
- Transparantie: anders dan voorheen is transparantie over de gegevens die men deelt en dus verwerkt, een (zelfstandig) beginsel onder de AVG evenals het afleggen van verantwoording over de verwerking als zodanig. Dit betekent dat men verplicht is documentatie te hebben waarin uitgebreid alle aspecten van de verwerking van persoonsgegevens door de organisatie worden beschreven.
- Accountability: anders dan voorheen dienen organisaties straks actief beleid te voeren en maatregelen te implementeren waaruit blijkt dat de AVG wordt nageleefd. Het is dus niet langer voldoende enkel (passief) te informeren over het doel en de middelen van verwerking.
- Data Protection Officer: het aanstellen van een data protection officer is niet langer vrijblijvend, maar verplicht voor organisaties die veel gegevens verwerken.
- Jongeren: het verwerken van persoonsgegevens van jongeren tot 16 jaar ten behoeve van online diensten is slechts toegestaan met toestemming van de ouders, waarbij de bewijslast voor deze toestemming rust op de organisatie die de persoonsgegevens verwerkt. Lidstaten kunnen deze leeftijd verlagen tot 13 jaar.
- Vergeetrecht: degene die persoonsgegevens verwerkt heeft een verregaande verplichting gegevens te wissen en in het geval deze gegevens openbaar worden gedeeld, dienen ook de ontvangers in de regel geïnformeerd te worden.
- Meldplicht: organisaties zijn verplicht datalekken te melden aan de Autoriteit Persoonsgegevens en betrokkenen. Vervelend genoeg is deze meldplicht weer net iets anders uitgewerkt dan de meldplicht die per 1 januari 2016 al in Nederland wordt geïntroduceerd op grond van de Wet bescherming persoonsgegevens.
- Profilering: het gebruik van persoonsgegevens voor profilering wordt strikt gereguleerd dus ook indien men hiertoe gegevens deelt met andere organisaties. Hiervoor is expliciete toestemming vereist hetgeen verder gaat dan ondubbelzinnige toestemming.
- Privacy by design en privacy by default: explicieter dan voorheen dienen er technische en organisatorische maatregelen te zijn getroffen die de gegevensverwerking strikt beperken tot noodzakelijk en mogen persoonsgegevens in beginsel niet met een onbeperkt aantal natuurlijke personen gedeeld worden.
- Privacy Impact Assessment (PIA): door de AVG als bijzonder risicovol beoordeelde verwerkingen dienen voorafgegaan te worden door een privacy-effect-beoordeling en in bepaalde gevallen is hier zelfs voorafgaande toestemming voor nodig van de Autoriteit Persoonsgegevens (voorheen: College bescherming persoonsgegevens).
- Ook nemen de handhavingsmogelijkheden van de Autoriteit Persoonsgegevens flink toe en kan deze straks boetes opleggen tot 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet van de verantwoordelijke. Deze boetes kunnen niet enkel worden opgelegd aan degene in wiens opdracht de persoonsgegevens worden verwerkt, maar ook aan degene die in opdracht met de verwerking is belast. Het boeteregime wordt hiermee aanzienlijk zwaarder dan het ook al niet lichte regime dat in Nederland per 1 januari 2016 in werking treedt.
Stappenplan
Organisaties worstelen met het daadwerkelijk implementeren van deze complexe wetgeving. Als gespecialiseerde advocaten zijn wij enerzijds uitstekend in staat om op strategisch niveau te bepalen hoe de organisatie zich zou moeten positioneren en wat er vervolgens van de organisatie verwacht wordt. Anderzijds zijn we eveneens uitstekend in staat oplossing aan te dragen in de vorm van modelcontracten, handboeken, cursusmateriaal, etc.
Om tijdig en binnen budget de nodige maatregelen te implementeren hanteren wij een stappenplan.
Relevant voor u?
Vraagt u zich af of u juridisch de zaken wel op orde heeft? Bent u van mening dat zorgvuldige omgang met persoonsgegevens van groot belang is voor uw organisatie? Heeft u iemand in huis die over de juiste kennis en ervaring beschikt? Ziet u de AVG en de daarin geïntroduceerde forse boetes als een goede aanleiding orde (weer) op zaken te stellen?
Als uw privacy-deskundigen staan wij graag tot uw beschikking. Gezien onze kennis en ervaring zijn wij in staat snel tot de essentie door te dringen en samen met u te bepalen hoe u ervoor staat en welke additionele maatregelen er eventueel nodig zijn.
Workshops in Den Haag en Eindhoven
Op 3 maart 2016 (Den Haag) en 7 april 2016 (Eindhoven) organiseren wij een workshop voor onze relaties om u bij te praten over de gevolgen van de Algemene verordening gegevensbescherming voor uw organisatie. Download hier de uitnodiging.
U kunt zich ook direct inchrijven voor een van de workshops.
Individueel advies
Past de workshop niet in uw agenda of heeft u liever direct individueel advies op maat? Voor een vast bedrag analyseren wij uw juridische situatie en krijgt u van ons een heldere rapportage. Benieuwd naar onze methodiek, kennis en referenties?
Maak vrijblijvend een afspraak met Huub de Jong of Tom de Wit.
publicatiedatum: donderdag 17 december 2015