NL / EN

Update privacywetgeving

Gegevens en dan met name persoonsgegevens nemen een steeds prominentere plaats in ‘grondstof’. Naast de arbeid, kapitaal en grondstoffen worden (persoons)gegevens ook steeds meer beschouwd als een grondstof. Arbeid, kapitaal en grondstoffen zijn voorzien van wettelijke regelingen, nu zijn dan ook (persoons)gegevens aan de beurt als een grondstof. Wellicht is dit de meest logische verklaring waarom er zoveel regelgeving de afgelopen periode is uitgestort over de reclame en marketing wereld en er ons ook nog wel wat te wachten staat.

In deze blog geven we een update per begin september 2015 van wet- en regelgeving op nationaal en Europees niveau.

Bewerkersovereenkomst

Voor een goed begrip van het onderstaande dient in het achterhoofd te worden gehouden dat de Wet bescherming persoonsgegevens zich richt tot de Verantwoordelijke voor de gegevensverwerking (adverteerder) en de Bewerker (een derde die door de Verantwoordelijke voor de gegevensbescherming wordt ingeschakeld om persoonsgegevens te verwerken). TamTam zal voor de werkzaamheden die zij uitvoert voor haar opdrachtgevers (adverteerders) worden beschouwd als Bewerker. Deze afbakening tussen wie de Verantwoordelijke is en wie de Bewerker wordt vastgelegd in een bewerkersovereenkomst. Door het steeds vaker outsourcen van delen van het gegevensverwerkend proces aan derden neemt de bewerkersovereenkomst alleen maar toe in betekenis.

Europese Verordening

Naar verwachting zal in 2017/2018 de Europese Verordening bescherming persoonsgegevens in werking treden. Traditioneel werd het veld van persoonsgegevens geregeld in Europese richtlijnen die in de verschillende lidstaten werden omgezet in lokale wetten, zoals de Wet bescherming persoonsgegevens. Even zovele wetten met even zovele afwijkingen. Om een vrij verkeer van persoonsgegevens binnen de Europese Unie verder mogelijk te maken zal de Verordening er voor zorgen dat iedere lidstaat niet meer haar eigen wet dient te maken. De regelgeving zal worden geüniformeerd. Tijdens het maken van deze update was de tekst van de Verordening nog niet bekend. Sterker nog; er wordt nog steeds over onderhandeld.

Echter is nu al bekend dat de informatieverplichting jegens de betrokkene zal worden uitgebreid. Adverteerders zullen meer informatie dan nu moeten verstrekken aan de betrokkene zoals, naast de doeleinden waarvoor de persoonsgegevens worden verwerkt, bewaartermijn, waar men een klacht kan indienen en het absolute recht van verzet zal meer prominent moeten worden weergegeven. De positie van de bewerker, de organisatie die voor een adverteerder, persoonsgegevens verwerkt zal meer transparanter dienen te worden, door de verplichting om de gegevensverwerkingen te documenteren, net als de adverteerder dat dient te doen.

Verder zal de Verordening een regeling bevatten met betrekking tot data lekken en worden voorzien van een boeteparagraaf. En met name op het vlak van deze laatste twee zal Nederland niet wachten op de inwerkingtreding van de Europese Verordening.

Wijziging Wet bescherming persoonsgegevens

De Wet bescherming persoonsgegevens raakt het verwerken van persoonsgegevens door Verantwoordelijken en indien ingeschakeld ook de bewerkers.

De komende periode zal de aandacht voor de wetswijziging die zal worden doorgevoerd per 1 januari 2016 de nodig aandacht krijgen. Echter de wetswijziging kent twee belangrijker wijzigingen

  • Datalekken
  • Boetebevoegdheid AP, Autoriteit Persoonsgegevens (de nieuwe naam van het College bescherming persoonsgegevens)

Datalekken

Een van de grootste bedreigingen van de persoonlijke levenssfeer is het verlies van persoonsgegevens en een eventueel daarmee gepaard gaande identiteitsdiefstal. Zoals eerder gesteld zal Nederland algemene datalekken regels invoeren. Op beperkte schal bijvoorbeeld in de telecomsector bestaan al soortgelijke bepalingen.

Wanneer een data lek ‘leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’  dan dient de Verantwoordelijke onverwijld het AP te informeren. ‘Indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer’ zal de Verantwoordelijke tevens de betrokkene onverwijld dienen te informeren. De AP kan dit eventueel ook afdwingen.

Aan het AP dient dan te worden aangegeven welke stappen er zijn gezet om dit datalek te repareren. Het niet melden van een datalek terwijl dat wel had gemoeten, kan leiden tot een boete van maximaal € 810.000,- of 10% van de jaar omzet. De mededeling aan de betrokkene kan achterwege blijven indien de Verantwoordelijke ‘passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.’

Het bovenstaande betekent nogal wat, namelijk risico’s kunnen worden beperkt door persoonsgegevens geencrypt op te slaan en door alleen HTTPS of soortgelijke verbindingen te gebruiken als persoonsgegevens worden verzonden. En het gaat niet alleen om online toepassingen maar ook om offline toepassingen: voor de toepassing maakt het niet uit of het gaat om een bestand of een doos met prints van het bestand, beide vallen onder de regeling.

Hiermee probeert de overheid paal en perk te stellen aan slecht beveiligde data opslag. Een afgeleide daarvan is het volgende:

Persoonsgegevens die u niet verzamelt en dus niet opslaat, kunnen niet lekken en dienen niet beveiligd te worden: dit betekent dat het de hoogste tijd wordt om een na te gaan wat de relevantie van de persoonsgegevens die worden verwerkt, want ieder persoonsgegevens dat word verwerkt, maar niet wordt gebruikt is een potentiele tijdbom vanuit het oogpunt van datalekken.

Tot slot: in de tweede helft van 2015 komt het Cbp met richtsnoeren op dit vlak om enige richting te geven aan de interpretatie van de datalekken regelgeving. Maar wacht hier niet op maar ga aan de slag en voorkom door het nemen van technische en organisatorische maatregelen dat er datalekken ontstaan.

Dwangsommen en bestuurlijke boetes

Gelijk met de datalekken regeling krijgt het AP een boetebevoegdheid. Maar kan en zal de AO bij iedere constatering het bonnenboekje trekken?

Wat is de huidige situatie?

Het Cbp kan op dit moment een last onder dwangsom opleggen. De hoogte van een dwangsom kan variëren, zolang deze maar een afschrikwekkende werking heeft. Het Cbp schrijft dan voor om hoe de Wbp moet worden nageleefd (last) en wordt dat niet gedaan dan zal de Verantwoordelijke een dwangsom moeten betalen. Het Cbp gebruikt dit dwangmiddel nogal eens, net zoals Verantwoordelijken dan aan de last voldoen.

Toekomst

In de toekomst krijgt de AP de mogelijkheid om, naast de last onder dwangsom (ter harer keuze) om een boete op te leggen. De AP dient echter voordat zij kan over gaan tot het beboeten een nadere uitleg te geven aan de wettelijke bepaling. Deze nadere uitleg in de vorm van een beleidsregel (zie hierboven bij datalekken en richtsnoeren) dient te worden goed gekeurd door de Minister van Veiligheid en Justitie en de Minister van Binnenlandse Zaken en Koninkrijksrelaties. Als die goedkeuring is gegeven door de Ministers dan kan de AP aan de overtreder een bindende aanwijzing geven. Het AP kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. Wordt die termijn overschreden dan kan de AP de boete opleggen van maximaal € 810.000,- of 10% van de jaaromzet.

Directe boete bij opzet of ernstige nalatigheid

Een beleidsregel, die niet nodig is bij een last onder dwangsom, is ook niet nodig in het geval de overtreding opzettelijk is gepleegd of het gevolg is van ernstige nalatigheid. Dan kan de AP zonder bindende aanwijzing en zonder een termijn te stellen, direct overgaan tot het opleggen van een bestuurlijke boete. Hierbij zal men moeten denken aan ernstige overtredingen, zoals het zonder voorafgaande toestemming patiënten filmen die een eerste hulp worden binnengebracht of ARBO diensten die de toegangsgegevens tot de individuele dossier van zieke werknemers aan hun werkgever ter beschikking stellen.

Wat zijn de beboetbare bepalingen?

Bestuurlijke boetes kunnen worden opgelegd voor:

  • Artikel 6: Rechtmatig algemeen
  • Artikel 7: Bepaald doel
  • Artikel 8: Algemeen Rechtmatigheidsgronden
  • ontbreken of onjuiste grondslag gegevens verwerking
  • Artikel 8.a: Toestemming
  • Artikel 8.b: Overeenkomst
  • Artikel 8.c: Wettelijke verplichting
  • Artikel 8.d: Vitaal belang
  • Artikel 8.e: Publiekrechtelijke taak
  • Artikel 8.f: Gerechtvaardigd belang
  • Artikel 9.1: Onverenigbaar gebruik
  • Artikel 9.4: Geheimhoudingsplicht
  • Artikel 10.1: Bewaartermijnen te lang
  • Artikel 11.1: Kwaliteit – toereikend, ter zake dienend, niet bovenmatig, te veel persoonsgegevens
  • Artikel 11.2: Kwaliteit, juist, nauwkeurig
  • Artikel 12.1: Vertrouwelijkheid verwerkingen
  • Artikel 12.2: Geheimhoudingsplicht
  • Artikel 13: Beveiliging, niet voldoen aan beveilgingsverplichting
  • Artikel 16: Verbod algemeen bijzondere gegevens
  • Artikel 24: Persoonsnummer algemeen
  • Artikel 33/34 lid 1, 2 en 3: informeren betrokkenen
  • Artikel 34a: datalekken
  • Artikel 35 eerste lid, tweede volzin, tweede, derde en vierde lid: inzage in gegevens
  • Artikel 36 tweede, derde en vierde lid: correctie van gegevens
  • Artikel 38: kennisgeving correctie aan derden
  • Artikel 39: kosten inzageverzoek
  • Artikel 40 tweede en derde lid:  relatief recht van verzet/termijn
  • Artikel 41 tweede en derde lid: absoluut recht van verzet, blokkering voor DM niet aanbieden in elke dm uiting
  • Artikel 42, eerste en vierde lid: verbod geautomatiseerd besluit
  • Artikel 76: passend beschermingsniveau
  •  Artikel 77: uitzonderingen op verbod doorgifte
  • Artikel 78, derde en vierde lid: doorgifte derde land overig
  • Artikel 5:20 van de Algemene wet bestuursrecht.: medewerking verlenen binnen de door de toezichthouder gestelde termijn alle medewerking te verlenen bij de uitoefening van zijn bevoegdheden.

Het is een grote lijst van beboetbare bepalingen. De suggestie die soms wordt gewekt dat er altijd meteen een boete zal worden opgelegd van € 810.000,- of bij een rechtspersoon tien procent van de jaaromzet is dus niet geheel juist. En de AP heeft altijd nog de mogelijkheid om te kiezen voor een last onder dwangsom.


info@expandonline.nl
+31 (0)15 750 2000

Follow us