Deze website maakt gebruik van cookies. Klik hier voor meer informatie.

Op 1 januari 2016 wijzigt de Wet bescherming persoonsgegevens (Wbp). De gewijzigde Wbp bevat een meldplicht voor datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) zodra er een ernstig datalek optreedt direct een melding moeten doen bij de toezichthouder, het College bescherming persoonsgegevens (vanaf 1 januari 2016 ‘Autoriteit persoonsgegevens’ geheten). Daarnaast is van belang dat de boetebevoegdheden van de Autoriteit persoonsgegevens aanzienlijk worden uitgebreid. Het niet naleven van privacyregelgeving kan uw organisatie dus duur komen te staan. Bent u al voorbereid op de wijzigingen?

De Wbp

Provincies, gemeenten en waterschappen verwerken veel persoonsgegevens in grote databases. Zo beheren gemeenten de Basisregistratie Personen (BRP). Sinds de decentralisatie van taken in het sociaal domein verwerken gemeenten bovendien nog aanvullende persoonsgegevens die veelal van gevoelige aard zijn. Denk bijvoorbeeld aan gegevensverwerking in het kader van jeugdzorg.

De Wbp bevat diverse verplichtingen voor organisaties die persoonsgegevens verwerken. Zo mogen zij slechts persoonsgegevens voor welbepaalde, gerechtvaardigde doeleinden verwerken en moeten zij daarvoor een wettelijke grondslag hebben (bijvoorbeeld de vervulling van een publiekrechtelijke taak, of de ondubbelzinnige toestemming van de betrokkene). Verder dient de verwerking proportioneel te zijn, mogen de gegevens niet langer bewaard worden dan nodig voor de doeleinden waarvoor ze verzameld zijn en moeten de betrokkenen op transparante wijze worden geïnformeerd. Tot slot dient een organisatie passende technische en organisatorische maatregelen te treffen om de gegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

Meldplicht datalekken: wanneer melden?

Een nieuwe verplichting die met ingang van 1 januari 2016 geldt, is de meldplicht datalekken. Een datalek is een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Voorbeelden hiervan zijn een kwijtgeraakte USB-stick, een gestolen laptop, een inbraak op de beveiliging door een hacker of een calamiteit zoals een brand in een datacentrum.  

Slechts een datalek dat leidt tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens dient te worden gemeld bij de toezichthouder. Ook dient de verantwoordelijke de betrokkenen onverwijld in kennis te stellen van elk datalek dat waarschijnlijk ongunstige gevolgen zal hebben voor hun privacy. Indien sprake is van gegevens van gevoelige aard (denk aan medische gegevens, gegevens omtrent iemands financiële situatie, of gegevens die kunnen worden misbruikt voor identiteitsfraude, zoals een BSN), zal al snel aangenomen moeten worden dat er ernstige nadelige gevolgen kunnen optreden.

Afspraken met bewerkers

Veel bedrijven en overheidsorganen laten de verwerking van persoonsgegevens geheel of gedeeltelijk uitvoeren door een zogeheten bewerker. Denk bijvoorbeeld aan softwareapplicaties van derden die via de cloud bereikbaar zijn of externe hosting van een website waar persoonsgegevens worden verwerkt. In dat geval is het van groot belang om goede afspraken te maken met de bewerker, onder meer over de minimaal te treffen beveiligingsmaatregelen. Ook dient de bewerker te worden verplicht zijn opdrachtgever tijdig en adequaat te informeren over datalekken waarvan hij kennis krijgt. De opdrachtgever blijft namelijk verantwoordelijk voor een adequate beveiliging van de persoonsgegevens en het onverwijld melden van een inbreuk op die beveiliging.

Boetebevoegdheid toezichthouder

Vanaf 1 januari kan de Autoriteit persoonsgegevens voor overtreding van verplichtingen uit de Wbp boetes uitdelen. Bijvoorbeeld in geval van gegevensverwerking zonder wettelijke grond, op onzorgvuldige wijze of zonder adequate beveiliging. Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. In andere gevallen gaat hier een bindende aanwijzing aan vooraf. De overtreder krijgt daarmee de gelegenheid om de overtreding weg te nemen, bijvoorbeeld door alsnog passende beveiligingsmaatregelen te nemen. De op te leggen boetes kunnen oplopen tot € 820.000,- of, als dat naar mening van de Autoriteit persoonsgegevens geen passende bestraffing is, zelfs 10% van de jaaromzet.

Nieuwe Europese Privacyverordening

Het Europees Parlement, de Europese Commissie en de Europese ministers hebben op 15 december 2015 een voorlopig akkoord bereikt over de nieuwe Privacyverordening. Het voltallige Europese parlement zal hierover nog zijn stem uitbrengen begin 2016. De verwachting is dat de definitieve verordening in de eerste helft van 2016 wordt aangenomen. Twee jaar daarna treedt de verordening in werking. De lidstaten hebben die periode nodig om hun wetgeving in lijn met de nieuwe verordening te brengen. Met de nieuwe verordening wordt een strenger privacyregime van kracht, dat consumenten meer rechten geeft en meer verplichtingen oplegt aan organisaties die persoonsgegevens verwerken. Zo wordt het voor alle overheidsorganen en bepaalde bedrijven verplicht om een zogeheten ‘privacy officer’ aan te stellen.

In een volgende nieuwsbrief zal nader worden ingegaan op de wijzigingen die de Privacyverordening teweeg brengt en de consequenties die deze voor verwerkers van persoonsgegevens zullen hebben.

Privacycheck: is uw organisatie privacyproof?

Het is raadzaam om te (laten) toetsen of uw organisatie, ook na de aankomende wetswijzigingen, (nog) voldoet aan de privacyregels. Welke persoonsgegevens verwerkt u en voor welke doeleinden? Heeft u goede afspraken gemaakt met derden die in uw opdracht persoonsgegevens verwerken? Welke beveiligingsmaatregelen heeft u getroffen? En wat is het protocol indien er onverhoopt een inbreuk op die beveiligingsmaatregelen plaatsvindt?

Wilt u uw gegevensverwerking laten toetsen aan de hand van onze ‘privacy checklist’ of heeft u nadere vragen over dit onderwerp? Neem dan contact op met Alexandra van Beelen, advocaat privacyrecht.