Deze website maakt gebruik van cookies. Klik hier voor meer informatie.

Is uw organisatie ‘privacyproof?’

Op 1 januari 2016 wijzigt de Wet bescherming persoonsgegevens (Wbp). De gewijzigde Wbp bevat een meldplicht voor datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) zodra er een ernstig datalek optreedt direct een melding moeten doen bij de toezichthouder, het College bescherming persoonsgegevens (vanaf 1 januari 2016 ‘Autoriteit persoonsgegevens’ geheten). Daarnaast is van belang dat de boetebevoegdheden van de Autoriteit persoonsgegevens aanzienlijk worden uitgebreid. Het niet naleven van privacyregelgeving kan uw organisatie dus duur komen te staan. Bent u al voorbereid op de wijzigingen?

De Wbp

Nagenoeg elk bedrijf en overheidsorgaan verwerkt – al dan niet bewust – persoonsgegevens. Dit zijn gegevens die direct of indirect informatie kunnen verschaffen over een persoon. Bijvoorbeeld een salarisadministratie, gegevens over klanten in een CRM database,  een bestand met e-mailadressen/telefoonnummers ten behoeve van marketingdoeleinden, het gebruik van tracking cookies op internet, beelden van beveiligingscamera’s, gegevens over gebruikers afkomstig van zogeheten ‘slimme energiemeters’, patiëntgegevens in het kader van gezondheidszorg, waaronder begrepen het uitwisselen van dergelijke gegevens tussen zorgverleners, verzekeraars, gemeenten, uitkeringsinstanties, etc.

De Wbp bevat diverse verplichtingen voor organisaties die persoonsgegevens verwerken. Zo mogen zij slechts persoonsgegevens voor welbepaalde, gerechtvaardigde doeleinden verwerken en moeten zij daarvoor een wettelijke grondslag hebben (bijvoorbeeld de vervulling van een publiekrechtelijke taak, of de ondubbelzinnige toestemming van de betrokkene). Verder dient de verwerking proportioneel te zijn, mogen de gegevens niet langer bewaard worden dan nodig voor de doeleinden waarvoor ze verzameld zijn en moeten de betrokkenen op transparante wijze worden geïnformeerd. Tot slot dient een organisatie passende technische en organisatorische maatregelen te treffen om de gegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

Meldplicht datalekken: wanneer melden?

Een nieuwe verplichting die met ingang van 1 januari 2016 geldt, is de meldplicht datalekken. Een datalek is een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Voorbeelden hiervan zijn een kwijtgeraakte USB-stick, een gestolen laptop, een inbraak op de beveiliging door een hacker of een calamiteit zoals een brand in een datacentrum. 

Slechts een datalek dat leidt tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens dient te worden gemeld bij de toezichthouder. Ook dient de verantwoordelijke de betrokkenen onverwijld in kennis te stellen van elk datalek dat waarschijnlijk ongunstige gevolgen zal hebben voor hun privacy. Indien sprake is van gegevens van gevoelige aard (denk aan medische gegevens, gegevens omtrent iemands financiële situatie, of gegevens die kunnen worden misbruikt voor identiteitsfraude, zoals een BSN), zal al snel aangenomen moeten worden dat er ernstige nadelige gevolgen kunnen optreden.

Afspraken met bewerkers

Veel bedrijven en overheidsorganen laten de verwerking van persoonsgegevens geheel of gedeeltelijk uitvoeren door een zogeheten bewerker. Denk bijvoorbeeld aan softwareapplicaties van derden die via de cloud bereikbaar zijn. In dat geval is het van groot belang om goede afspraken te maken met de bewerker, onder meer over de minimaal te treffen beveiligingsmaatregelen. Ook dient de bewerker te worden verplicht zijn opdrachtgever tijdig en adequaat te informeren over datalekken waarvan hij kennis krijgt. De opdrachtgever blijft namelijk verantwoordelijk voor een adequate beveiliging van de persoonsgegevens en het onverwijld melden van een inbreuk op die beveiliging.

Bent u zelf bewerker? Ook dan is het belangrijk te inventariseren of u ‘compliant’ bent. Volgens de toezichthouder is een bewerker ook zelfstandig aansprakelijk voor de naleving van privacyregels, in het bijzonder de verplichting om te zorgen voor voldoende beveiliging van de gegevensverwerking.

Boetebevoegdheid toezichthouder

Vanaf 1 januari kan de Autoriteit persoonsgegevens voor overtreding van verplichtingen uit de Wbp boetes uitdelen. Bijvoorbeeld in geval van gegevensverwerking zonder wettelijke grond, op onzorgvuldige wijze of zonder adequate beveiliging. Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. In andere gevallen gaat hier een bindende aanwijzing aan vooraf. De overtreder krijgt daarmee de gelegenheid om de overtreding weg te nemen, bijvoorbeeld door alsnog passende beveiligingsmaatregelen te nemen. De op te leggen boetes kunnen oplopen tot € 820.000,- of, als dat naar mening van de Autoriteit persoonsgegevens geen passende bestraffing is, zelfs 10% van de jaaromzet.

Nieuwe Europese Privacyverordening

Het Europees Parlement, de Europese Commissie en de Europese ministers hebben op 15 december 2015 een voorlopig akkoord bereikt over de nieuwe Privacyverordening. Het voltallige Europese parlement zal hierover nog zijn stem uitbrengen begin 2016. De verwachting is dat de definitieve verordening in de eerste helft van 2016 wordt aangenomen. Twee jaar daarna treedt de verordening in werking. De lidstaten hebben die periode nodig om hun wetgeving in lijn met de nieuwe verordening te brengen. Met de nieuwe verordening wordt een strenger privacyregime van kracht, dat consumenten meer rechten geeft en meer verplichtingen oplegt aan organisaties die persoonsgegevens verwerken. Zo wordt het voor alle overheidsorganen en bepaalde bedrijven verplicht om een zogeheten ‘privacy officer’ aan te stellen.

In een volgend bericht zal nader worden ingegaan op de wijzigingen die de Privacyverordening teweeg brengt en de consequenties die deze voor verwerkers van persoonsgegevens zullen hebben.

Privacycheck: is uw organisatie privacyproof?

Het is raadzaam om te (laten) toetsen of uw organisatie, ook na de aankomende wetswijzigingen, (nog) voldoet aan de privacyregels. Welke persoonsgegevens verwerkt u en voor welk doeleinden? Heeft u goede afspraken gemaakt met derden die in uw opdracht persoonsgegevens verwerken? Welke beveiligingsmaatregelen heeft u getroffen? En wat is het protocol indien er onverhoopt een inbreuk op die beveiligingsmaatregelen plaatsvindt?

Wilt u uw gegevensverwerking laten toetsen aan de hand van onze ‘privacy checklist’ of heeft u nadere vragen over dit onderwerp? Neem dan contact op met Alexandra van Beelen, advocaat privacyrecht.

ONZE MENSEN VAN A TOT Z//
  • Incasso debiteuren, regel het goed! NAAR NIEUWS//
  • Automatisch gezag bij erkenning?
  • Restschuld na crisis; kan ik mijn bank daarvoor verantwoordelijk houden?
  • Geen huwelijkse voorwaarden? Toch blijft privé, wat privé was.
  • Ontslag nemen, lagere alimentatie?
  • Belangrijke termijn voor werknemers bij ontslag op staande voet
  • Dienstverband laten ‘slapen’ om geen transitievergoeding te hoeven betalen, is toegestaan
  • Twaalf jaar partneralimentatie?
  • Van twee naar vier ouders?
  • Overlast door huurders: wat vindt het Gerechtshof daarvan?
  • De failliete huurder: leegstandschade en de bankgarantie
  • Wetsvoorstel UBO-register omvat nieuwe ‘terugmeldingsplicht’ Wwft-instellingen
  • Is uw gedragsverklaring aanbesteden nog geldig?
  • Een werknemer met twee dienstverbanden? Houd rekening met de Arbeidstijdenwet!
  • Strafvervolging voor bestuurder van beboete rechtspersoon
  • Nieuw ROZ-model huurovereenkomst voor woonruimte
  • Het adviesrecht van de ondernemingsraad in geval van faillissement
  • Transitievergoeding ook verschuldigd bij dienstverband van exact 24 maanden
  • Onteigening Hedwigepolder: gaat de Hoge Raad om?
  • Koop breekt geen huur (maar soms wel in stukjes)
  • UAV-GC 2005: (gevolgen van) onvoorziene omstandigheden?
  • Parfums voor € 30,-. Moet Bol.com leveren?
  • Provincie Fryslân kan door met inpassingsplan
  • Valse reviews op internet: niet zonder consequenties
  • Transitievergoeding bij langdurig arbeidsongeschiktheid: geld terug?
  • Onteigening Hedwigepolder: Hoge Raad bevestigt rechtbankvonnis
  • Natrekking versus wegbreekrecht; voor wie gaat de zon op?
  • Nederlands huurstelsel niet in strijd met het eigendomsrecht
  • Belangrijk arrest HvJ EU over toepassing van de Dienstenrichtlijn bij bestemmingsplanregels over detailhandel
  • Goodwill valt niet onder tegemoetkoming in verhuis- en inrichtingskosten bij dringend eigen gebruik
  • De statutair directeur (deel 1) – Benoeming en indiensttreding
  • Overheid wil het aantal vechtscheidingen terugdringen
  • De statutair directeur (deel 2) – Ontslag: geen ontslagbescherming, maar niet vogelvrij
  • Verborgen camera’s: diefstal op de werkvloer NAAR NIEUWS//
  • De meest gestelde vragen over de AVG: deel 1 – Minder dan 250 werknemers: toch een verwerkingsregister bijhouden? NAAR NIEUWS//
  • De meest gestelde vragen over de AVG: deel 2 – Toestemming niet altijd nodig NAAR NIEUWS//
  • Bankbreuk; wat is dat eigenlijk? NAAR NIEUWS//
  • Wetsvoorstel Wet arbeidsmarkt in balans: wat verandert er? Wetsvoorstel Wet arbeidsmarkt in balans: wat verandert er?
  • Trip Advocaten & Notarissen trekt opnieuw ervaren juristen aan
  • Een brancheringsregeling in een bestemmingsplan: Mag dat?
  • Heeft u al een privacystatement voor uw werknemers?
  • Kwijtschelden van studiekosten kost u mogelijk meer dan u denkt
  • Mijn werknemer heeft schulden. Wat nu?
CONTACT Alexandra van Beelen
Stel Hier Uw Vraag contactformulier//