Privacy

Privacy

Op 25 mei 2018 treedt de Privacyverordening EU 2016/679 in werking, hierna: de Verordening. Hieronder wordt uiteen gezet welke consequenties de Verordening heeft. Daarbij valt niet te ontkomen aan het gebruik van lange en niet steeds duidelijke nieuwe woorden als verwerkingsverantwoordelijke, rechtshandhavingsautoriteiten en gegevensbeschermingseffectbeoordeling. Wij raden u aan om toch te blijven lezen, zeker als u ondernemer bent. De Verordening heeft gevolgen waar u zich op voor moet bereiden.

Waarom is de Privacyverordening opgesteld?

Het doel van de Verordening is binnen de lidstaten een krachtig, coherent kader voor de bescherming van gegevens van natuurlijke personen in het leven te roepen, dat streng zal worden gehandhaafd. De Verordening is gericht op de bescherming van persoonsgegevens. Dat wil zeggen alle gegevens over geïdentificeerde of identificeerbare personen. De verwerking van persoonsgegevens (verzamelen, opslaan en bewerken) moet ten dienste van de mens staan en worden afgewogen tegen andere grondrechten en belangen van alle betrokkenen. De Verordening kent uitzonderingen, zoals activiteiten betreffende nationale veiligheid.

Wanneer mag je persoonsgegevens gebruiken?

Toestemming om persoonsgegevens te verwerken, moet door de betrokkene zelf, door middel van een duidelijke, actieve handeling, worden gegeven. De mogelijkheid om af te melden is onvoldoende. Ook stilzwijgende toestemming of een vooraf al aangevinkt vakje geldt niet als toestemming geven. Ook als er toestemming is gegeven, moet de verwerking rechtmatig, behoorlijk en transparant te zijn. De gegevens moeten juist en actueel zijn. De verwerking beperkt tot het omschreven en gerechtvaardigde doel. De gegevens mogen niet langer worden bewaard dan noodzakelijk is, en bij de opslag van gegevens moeten passende technische en organisatorische beschermingsmaatregelen worden getroffen. Bent u hier al op voorbereid?

Wat moet u doen indien er sprake is van Datalekken?

De zogeheten verwerkingsverantwoordelijke (hierna: Verantwoordelijke) is verantwoordelijk voor de naleving van alle verplichtingen. De Verantwoordelijke dient technisch en organisatorische maatregelen te treffen, evalueren en indien nodig te actualiseren. Als er een inbreuk heeft plaatsgevonden, moet uiterlijk binnen 72 uur melding plaatsvinden aan de bevoegde toezichthoudende Autoriteit (in Nederland is dat de Autoriteit Persoonsgegevens) tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt. Deze verplichting geldt nu al op grond van de Wet Meldplicht Datalekken. In 2016 zijn 5.500 datalekken gemeld. Dat is minder dan tien procent van het verwachte aantal meldingen en vrijwel zeker nog maar het topje van de ijsberg.

Wanneer de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moeten ook de betrokkenen geïnformeerd worden. Dat is niet nodig als de gegevens versleuteld zijn en/of als er achteraf passende maatregelen genomen zijn om herhaling te voorkomen en/of als de mededeling onevenredige inspanning zou eisen.

Wat is een PIA?

Voor verwerkingen die een hoog risico inhouden (zoals verwerkingen van medische gegevens of grote verzamelingen gegevens), is een gegevensbeschermingseffectbeoordeling vooraf verplicht. In het Engels is sprake van een Privacy Impact Assessment, ofwel een PIA. Een PIA bevat een systematische beschrijving van de verwerkingen en de doeleinden en belangen, de noodzaak en de evenredigheid van de verwerking, de risico’s en de maatregelen om risico’s aan te pakken. Uit een PIA kan een verplichting tot voorafgaande raadpleging over de voorgenomen verwerkingen bij de Autoriteit Persoonsgegevens ontstaan.

Wanneer moet een functionaris gegevensbescherming aangewezen worden?

De Verantwoordelijke is verplicht om een functionaris gegevensbescherming (Privacy Officer) aan te wijzen als:

  1. persoonsgegevens worden verwerkt door een overheidsinstantie of –orgaan;
  2. bij verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vergen;
  3. op grote schaal bijzondere gegevens worden verwerkt, zoals gezondheidsgegevens en strafrechtelijke gegevens.

Wij kunnen desgewenst met u beoordelen of (en hoe) er in uw organisatie verplicht PIA’s moeten worden gehouden en/of een Privacy Officer moet worden aangesteld.

Autoriteit Persoonsgegevens

Iedere betrokkene bij de verwerking van persoonsgegevens heeft het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens als hij van mening is, dat er sprake is van een inbreuk. Ook kan de betrokkene een gerechtelijke procedure starten tegen een Verantwoordelijke of de verwerker van persoonsgegevens. De betrokkene kan schade vorderen. De Autoriteit Persoonsgegevens kan daarnaast administratieve geldboetes opleggen. De boetes moeten doeltreffend, evenredig en afschrikkend zijn en kunnen op grond van de Verordening oplopen tot 10 miljoen euro of twee procent van de wereldwijde jaaromzet in het voorgaande jaar en zelfs het dubbele daarvan bij het negeren van een bevel en bij zeer ernstige gevallen. Op grond van de Wet Meldplicht Datalekken gelden andere tarieven, oplopend tot zelfs tien procent van de jaaromzet.

Lees hier meer over Intreden meldplicht datalekken.

Als u vragen heeft over wat de Privacyverordening voor u zelf en/of voor uw onderneming betekent, kunt u contact opnemen met Olivier van Hardenbroek (hardenbroek@delissenmartens.nl) of Bas Martens (martens@delissenmartens.nl) of met uw eigen contactpersoon bij Delissen Martens T + 31 70 311 54 11.

 

Deze Nieuwsflits is slechts een algemene weergave van het geldende recht. Het kan op geen enkele wijze als advies in uw specifieke situatie dienen.

Linkedin Twitter