Hoe gaat Bluenotion om met de Privacywet 2018?

delen 
1 november 2017

In 2012 werd door de Europese Commissie reeds aangekondigd dat de Wet bescherming persoonsgegevens (Wbp) op de schop gaat. De opvolger van deze Nederlandse Wbp is de Europese privacyverordening, de Algemene Verordening Gegevensbescherming (AVG). De AVG gaat op 25 mei 2018 van kracht, waardoor je als ondernemer tot deze datum de tijd hebt om te voldoen aan de nieuwe privacywet.

Er zijn een hoop onduidelijkheden over de wet. Wat moet je als ondernemer nu precies regelen? Hoe moet je ermee omgaan als IT partij? Wat moet je doen als het mis gaat? En wat zijn nu de verschillen tussen de Wet bescherming persoonsgegevens en de Algemene Verordening Gegevensbescherming?

Wat moet je als ondernemer regelen en wanneer?

De Autoriteit Persoonsgegevens (AP) heeft een stappenplan opgesteld ter voorbereiding op de nieuwe privacywet [1]. Hierin is ook opgenomen wat je als ondernemer allemaal moet regelen ter voorbereiding op de AVG. Een aantal belangrijke zaken:

Bewerkersovereenkomst/verwerkersovereenkomst

Een bewerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking een ander bedrijf inschakelt. Het sluiten van een dergelijke overeenkomst is op zich niks nieuws, want dit is momenteel binnen de Wbp ook verplicht. Met de komst van de AVG gaat deze een verwerkersovereenkomst heten.

In de nieuwe situatie is het voor de bewerker niet meer toegestaan om zonder overleg een externe partij in te schakelen voor de verwerking van persoonsgegevens. Dit mag enkel op het moment dat er van te voren schriftelijk toestemming is gegeven door de verantwoordelijke.

Overzicht verwerkingen

Het is belangrijk dat je de gegevensverwerkingen van jouw organisatie in kaart brengt. Documenteer welke persoonsgegevens er verwerkt worden, met welk doel, waar de gegevens vandaan komen en met wie jij ze deelt. Door de invoering van de AVG heb je namelijk een verantwoordingsplicht, waardoor je moet kunnen aantonen dat jouw organisatie in overeenstemming met de AVG handelt. Daarnaast kan je het overzicht ook nodig hebben indien betrokkenen hun privacyrechten uitoefenen. Vragen zij om hun gegevens te corrigeren of verwijderen? Dan moet je dit doorgeven aan alle organisaties waarmee je hun gegevens hebt gedeeld.

Rechten van betrokkenen

In het kader van transparantie moet de consument geïnformeerd worden over wat er met zijn persoonsgegevens gebeurt. De communicatie moet hierbij in eenvoudige en duidelijke taal verlopen. Naast het bekende recht op verzet, inzage en rectificatie, heeft de betrokkene in de AVG ook het recht om vergeten te worden.

Op ieder moment mag de betrokkene bezwaar maken tegen de verwerking van zijn gegevens voor direct-marketingdoeleinden. Dient de betrokkene dit bezwaar in, dan is het vanaf dat moment niet meer toegestaan zijn gegevens te verwerken voor marketingdoeleinden.

Privacy-proof ontwikkelen van producten en diensten

Ook tijdens het ontwikkelingsproces van jouw producten en diensten moet je rekening houden met privacy. Hiervoor is het van belang dat je enkel noodzakelijke persoonsgegevens verwerkt en technieken toepast als pseudonimisering en anonimisering [2]. Daarnaast dienen de standaardinstellingen van een product of dienst ook altijd zo privacyvriendelijk mogelijk te zijn.

Functionaris voor de gegevensbescherming (FG)

Niet iedere organisatie is verplicht om een functionaris voor de gegevensverwerking aan te stellen. Echter is het goed om alvast na te gaan of dit voor jouw organisatie geldt. Is dit het geval? Wacht dan niet te lang met het werven of het vrijwillig aanstellen van een FG [3].

Leidende toezichthouder

Heeft jouw organisatie vestigingen in meerdere EU-lidstaten of hebben de gegevensverwerkingen impact in meerdere lidstaten? Dan heb je door de AVG nog maar met één privacytoezichthouder te maken, de leidende toezichthouder [4]. Is dit op jouw organisatie van toepassing? Bepaal dan onder welke privacytoezichthouder je valt.

Toestemming

Is jouw gegevensverwerking gebaseerd op toestemming van de betrokken, dan stelt de AVG strengere eisen aan deze toestemming. Het is om die reden belangrijk om te evalueren waarop jij toestemming vraag, krijgt en registreert. Pas deze wijze indien nodig aan. Door de AVG moet je namelijk ook kunnen aantonen dat je geldige toestemming hebt om de persoonsgegevens te verwerken. Daarnaast moet het net zo makkelijk zijn om toestemming in te trekken als om die te geven.

Privacy Impact Assessment (PIA)

Het uitvoeren van een Privacy Impact Assessment is verplicht als het verwerken van persoonsgegevens risico’s voor betrokkenen inhoudt. Een PIA is in ieder geval verplicht bij het grootschalig verwerken van bijzondere persoonsgegevens (profiling).

In de PIA wordt vastgelegd om welke reden, op welke wijze en hoe lang er persoonsgegevens verwerkt worden. Daarbij moeten de aanwezige risico’s in kaart gebracht en beoordeeld worden. In sommige gevallen is het zelfs verplicht om de PIA met betrokkenen te bespreken [5].

Wat te doen als het misgaat?

Ondanks alle goede inspanningen is er toch een lek ontstaan. Wat nu?

Datalek melden

Vanaf 1 januari 2016 is het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens telt als een datalek. Volgens de wet moeten ‘ernstige’ datalekken binnen 72 uur gemeld worden bij de toezichthouder, maar wat is dan ernstig? Een lek kan ernstig zijn op het gebied van de hoeveelheid data (kwantitatief), maar ook als het om gevoelige gegevens gaat (kwalitatief).

Een aantal voorbeelden van gevoelige gegevens:

  • Inloggegevens;
  • Financiële gegevens;
  • Kopieën van identiteitsbewijzen;
  • School- of werk prestaties;
  • Gegevens die betrekking hebben op levensovertuiging;
  • Gegevens die betrekking hebben op gezondheid.

Wat gebeurt er als je geen melding maakt?

Normaal gesproken dient de Autoriteit Persoonsgegevens (AP) allereerst een bindende aanwijzing af te geven (artikel 66 lid 3 Wbp). Op het moment dat die niet wordt opgevolgd, volgt een boete. Maak je echter bewust geen melding of is er sprake van ernstig verwijtbare nalatigheid, dan berust dit op een opzettelijke schending van artikel 34a lid 1 Wbp waarin de meldplicht staat opgenomen. De boete kan in dit geval oplopen tot € 820.000,- of 10% van de jaaromzet [6].

Waarvoor kunnen de boetes opgelegd worden:

  • Het niet melden van een datalek terwijl dat wel moet;
  • Het niet op orde hebben van de beveiliging;
  • Het verwerken van persoonsgegevens zonder toestemming;
  • Export van persoonsgegevens naar landen buiten de EU zonder dat goed geregeld te hebben.

Toch maar wel melden dus!

Maak je als verantwoordelijke wel een melding van het lek en zorg je vervolgens voor passende technische en organisatorische maatregelen, dan lijkt een boete niet voor de hand te liggen. Ook een databeschermingsbeleid is in dit geval van belang.

Neem je echter geen maatregelen na een melding, dan staat je alsnog een boete te wachten. Die boete is niet zo hoog als de boete die je tegemoet kan zien als je een datalek verzwijgt en de toezichthouder daarachter komt.

Hoe komt een toezichthouder daarachter?

Momenteel wordt er een flinke discussie over de pakkans gevoerd, aangezien er een grijs gebied bestaat. Binnen dit gebied kun je als ondernemer niet bewijzen dat je van niets wist, maar de wetgever kan hier ook niet bewijzen dat je het wel wist. Er zullen echter maar weinig bedrijven zijn die een datalek verzwijgen. Over het algemeen houden Nederlandse ondernemers zich namelijk graag aan de wet.

AVG vs Wbp

Nu is de vraag natuurlijk of het bovenstaande verandert met de overgang van de Wbp naar de AVG? De artikelen met betrekking op datalekken (art. 33 en 34) verschillen op een aantal punten van het huidige artikel in de Wbp. Een opvallend verschil is dat artikel 83 AVG niet bepaalt dat eerst een bindende aanwijzing opgelegd moet worden. Er kan dus direct een boete opgelegd worden. Ook in de concept Uitvoeringswet (de wet die uitvoering geeft aan de AVG in Nederland) is de bindende aanwijzing niet opgenomen. De bindende aanwijzing is juist sinds 1 januari 2016 in de Wbp opgenomen, nadat de Raad van State dat had aanbevolen. Er is ook geen reden bekend waarom de concept Uitvoeringswet een dergelijke regeling niet bevat, maar deze zou zomaar alsnog in de definitieve versie opgenomen kunnen worden.

Naast deze verschillen gaan ook de boetes drastisch veranderen. Deze gaan oplopen tot maximaal 20 miljoen of 4% van de wereldwijde omzet indien dat cijfer hoger is (art 83 lid 5). Overtredingen van artikelen 25, 33 en 34 vallen onder de categorie met een boetemaximum van 10 miljoen of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar als dat cijfer hoger is (art 83 lid 4).

Het begrip 'persoonsgegevens' verandert

Met de komst van de AVG verandert ook de definitie van het begrip ‘persoonsgegevens’. Vrijwel alle gegevens moeten als privacygevoelig behandeld worden. Zo kun je denken aan bestanden met o.a. namen, leeftijden en adressen, maar ook aan gegevens gekoppeld aan IP-adressen, cookies, enzovoorts.

Daarnaast mag je persoonsgegevens ook niet meer bewaren op het moment dat je deze niet meer nodig hebt. Als onderneming word je dus geactiveerd om die data op te ruimen [7].

En nu?

Ga je aan de slag met het voorbereiden op de AVG, stel dan nu alvast een team samen en ontwikkel een plan. Begin met het analyseren van de huidige situatie en kijk naar de persoonsgegevens die al worden geregistreerd in de database. Op die manier kun je nagaan in hoeverre die al voldoen aan de eisen van de nieuwe privacywetgeving. Breng vervolgens de impact in kaart en start met het herinrichten van processen om zo te kunnen voldoen aan de nieuwe eisen.

 

BRONVERMELDING

[1] Voorbereiding op de AVG

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/voorbereiding-op-de-avg

[2] Anonimiseren en pseudonimiseren: wat is het verschil en wat is het belang ervan?

https://www.considerati.com/nl/publicaties/blog/anonimiseren-en-pseudonimiseren-wat-is-het-verschil-en-wat-is-het-belang-ervan/

[3] Functionaris voor de gegevensbescherming

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/functionaris-voor-de-gegevensbescherming-fg

[4] Leidende toezichthouder

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/leidende-toezichthouder

[5] Privacywet 2018: voorkom een boete & start nu met deze 7 veranderingen.

https://www.frankwatching.com/archive/2017/05/30/privacywet-2018-voorkom-een-boete-start-nu-met-deze-7-veranderingen/

[6] Boetes bij datalekken?

http://www.solv.nl/weblog/boetes-bij-datalekken/21358

[7] GDPR: krijg jij in mei 2018 een dikke boete?

https://www.think-online.nl/marketing/gdpr-krijg-jij-in-mei-2018-een-dikke-boete/?utm_source=Mailchimp&utm_medium=email&utm_campaign=GDPR&utm_source=Lijst+2017&utm_campaign=32430b5246-EMAIL_CAMPAIGN_2017_10_30_GDPR&utm_medium=email&utm_term=0_924e93efe4-32430b5246-551939149

Meer weten?

Bedankt voor je bericht. We nemen spoedig contact met je op!