De Algemene verordening gegevensbescherming (ook wel Europese Privacy Verordening genoemd) zal vooralsnog in january 2016 in werking treden en de huidige richtlijn vervangen. Het verschil tussen een verordening en een richtlijn is dat Europeanen een rechtstreeks beroep kunnen doen op bepalingen uit de verordening. Een richtlijn moet altijd eerst geïmplementeerd worden in de nationale wetgeving.
Definities in de huidige regelgeving
De huidige richtlijn is geïmplementeerd in de Wet bescherming persoonsgegevens, de Wbp. Deze kent veel definities, waarbij een aantal de aandacht verdienen:
- Een persoonsgegeven is directe of indirecte informatie over een persoon, waarmee de identiteit van een persoon te herleiden moet zijn.
- De betrokkene is degene op wie het persoonsgegeven betrekking heeft.
- De verantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
- De verwerker is degene die de gegevens verwerkt voor de verantwoordelijke. Het begrip ‘verwerken’ is heel ruim; denk aan opslaan, vastleggen of ordenen.
In de verordening is de definitie van een persoonsgegeven verbreed, aangezien onze gegevens steeds meer worden verzameld of op onze manieren verwerkt. De bewerker heet in de verordening de verwerker. Daar waar de Wbp spreekt over verantwoordelijke spreekt de verordening over voor de verwerking verantwoordelijke. De definitie zelf blijft nagenoeg gelijk. De verwerking moet zorgvuldig gebeuren voor specifiek omschreven doeleinden. Dit zal in de verordening niet veranderen.
Rechten van de betrokkene
Als jouw persoonsgegevens worden verwerkt door een bedrijf of overheidsinstelling, is het nu al mogelijk om navraag te doen over welke gegevens worden verwerkt en voor welk doel. Zo mag je het bedrijf bijvoorbeeld vragen om de gegevens te corrigeren of aan te vullen. In de verordening is ook het recht om gegevens te laten wissen (‘vergeten te worden’) opgenomen. Hierbij is altijd een belangenafweging vereist.
De informatieplicht neemt een cruciale rol in. Als je verantwoordelijke bent in de zin van de verordening, moet je vooraf vertellen wat je doet, welke gegevens je verzamelt en hoe je deze beschermt. Maar ook moet je betrokkenen vertellen dat ze het recht hebben om hun gegevens op te vragen, te corrigeren of vergeten te worden. Om in de praktijk aan de informatieplicht te voldoen kun je een standaarddocument naar betrokkenen sturen.
Bewerkersovereenkomst
De bewerkersovereenkomst wordt ook uitgewerkt in de verordening. De verantwoordelijke is en blijft verantwoordelijk voor de persoonsgegevens. Hij moet bijvoorbeeld passende technische en organisatorische maatregelen treffen om de gegevens te beschermen. Als hij gebruik maakt van een verwerker (bijvoorbeeld een applicatie of IT-systeem), dan moeten er hierover afspraken worden vastgelegd in een bewerkersovereenkomst. Hierin regel je bijvoorbeeld wat het doel is van de verwerking en welke beveiligingsmaatregelen worden getroffen.
Intern privacybeleid
Ondernemingen die persoonsgegevens verwerken zullen een intern privacybeleid moeten ontwikkelen. Hierin wordt onder andere geregeld wie er binnen de organisatie waarvoor verantwoordelijk is, en hoe de gegevens worden beschermd. De bescherming van privacy vindt plaats door middel van privacy by design en privacy by default. Privacy by design houdt in dat bij het ontwerp van een gegevensverwerking rekening wordt gehouden met privacy. Privacy by default is een systeem dat alleen de gegevens verwerkt die strikt noodzakelijk zijn.
Recht op gegevensoverdraagbaarheid
De betrokkene mag de verantwoordelijke verzoeken om zijn persoonsgegevens van de ene gegevensdrager over te zetten naar een andere gegevensdrager. Dit kennen we nog niet in de huidige Wet bescherming persoonsgegevens.
Functionaris voor Gegevensbescherming
De FG zal een steeds belangrijkere rol in gaan nemen. Dit is een onafhankelijke privacytoezichthouder die rapporteert aan de directie. De FG heeft als taak om alle privacyaspecten te monitoren van bedrijfsprocessen en is verplicht bij de volgende organisaties: overheidsdiensten, bedrijven in de private sector met meer dan 250 medewerkers, bedrijven in de private sector die als kernactiviteit hebben het verwerken van persoonsgegevens, of waarvan de kernactiviteit vereist dat ze bijzondere persoonsgegevens verwerkt (zoals medische gegevens).
Sancties
Het College bescherming persoonsgegevens (Cbp) krijgt de mogelijkheid om straks een boete uit te delen. Deze kan oplopen tot maximaal 100 miljoen euro of vijf procent van de wereldwijde jaaromzet. Er moet dan in juridische termen sprake zijn van ernstige verwijtbare nalatigheid of onzorgvuldig handelen. Kort gezegd moet er dus wel echt iets aan de hand zijn wil het Cbp een boete opleggen. Denk hier bijvoorbeeld aan eerdere situaties waarbij een arbodienstverlener inlogcodes van medische dossiers aan een werkgever gaf.
Voldoet u aan de regelgeving?
Men verwacht dat in het najaar van 2015 de definitieve Europese tekst van de verordening klaar is. Als de verordening in werking treedt, geldt eerst nog een overgangsperiode van twee jaar. Dat betekent niet dat het niet nu al belangrijk is om kritisch te kijken naar het interne privacybeleid. Voldoet u aan de huidige regelgeving? Weet u in welke situatie u verantwoordelijke of bewerker bent? Gebruikt u bewerkersovereenkomsten? Heeft u melding gedaan bij het Cbp over uw verwerking? Loop deze vragen eens rustig door.
Voor vragen of opmerkingen kunt u hieronder uw reactie achterlaten of contact met ons opnemen.