2 november 2015

Veel beweging in privacyland

Een hangslot dat op een toetsenbord ligt Het zal weinig mensen ontgaan zijn: privacy is hot. Er gebeurt van alles en nog wat op het gebied van privacy en dit heeft verstrekkende gevolgen voor iedere webwinkel. Een ver-van-je-bed-show? Nou nee! Wist je bijvoorbeeld dat er sinds kort actie ondernomen moet worden om Google Analytics nog legitiem te kunnen gebruiken? En ben je al op de hoogte van de nieuwe meldplicht voor datalekken die per 1 januari 2016 ingaat?

Safe harbor

De safe harbor-principes zijn ontwikkeld door de Amerikaanse overheid. Ze bieden Amerikaanse organisaties de mogelijkheid om zichzelf te certificeren en zo aan Europese partijen aan te geven dat ze voldoende maatregelen treffen ter bescherming van Europese persoonsgegevens. Begin oktober heeft de Europese rechter deze principes echter afgeschoten. Safe harbor bood onvoldoende bescherming tegen het datagraaien van de Amerikaanse overheid.

Wil het afschieten van de safe harbor-principes dan zeggen dat er geen persoonsgegevens meer naar Amerika overgebracht kunnen worden? Nee, dat niet. De Wet bescherming persoonsgegevens biedt namelijk ook andere gronden waarop persoonsgegevens buiten de EU verwerkt mogen worden, bijvoorbeeld met toestemming van de betrokkenen, of wanneer er een modelcontract met de importeur wordt gesloten. Op dit moment wordt er door verschillende instanties nog druk vergaderd over de gevolgen van het wegvallen van safe harbor.

Meldplicht datalekken

Vanaf 1 januari 2016 moet een datalek gemeld worden bij het College bescherming persoonsgegevens (CBP) als er sprake is van een inbreuk op de beveiliging en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Daar komt bij dat je een datalek niet alleen moet melden bij het CBP, maar óók bij de betrokkenen (diegene waar de persoonsgegevens betrekking op hebben) indien het lek nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkenen. Meld je een datalek toch niet, dan kan het CBP een boete opleggen die kan oplopen tot € 500.000,-.

Een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens klinkt behoorlijk vaag. Hiervan is bijvoorbeeld sprake wanneer hackers toegang krijgen tot je database met klantgegevens. Mocht dit het geval zijn, dan dien je dit te melden bij het CBP én bij je klanten. Een melding bij je klanten kun je achterwege laten als de persoonsgegevens in de database niet leesbaar zijn voor de hacker. Daar is bijvoorbeeld sprake van wanneer er een goede vorm van encryptie is toegepast. Hieronder kun je in een schema zien wanneer en aan wie er een melding gedaan moet worden in het geval van een datalek.

Beslisboom meldplicht datalekken

Beslisboom meldplicht datalekken. Tekstversie bereikbaar via link onder afbeelding.

Bekijk de tekstversie van de beslisboom meldplicht datalekken.

Voor meer informatie, download de factsheet: impact van de meldplicht datalekken.

Peter Kager

Auteur: Peter Kager, juridisch adviseur bij ICTRecht

Als juridisch adviseur staat Peter opdrachtgevers bij op het gebied van privacy, cookies, e-commerce, consumentenrecht en webdevelopment. Hoewel het juridische aspect hierbij centraal staat, maakt Peter dagelijks de koppeling met de praktische kant door het opstellen van adviezen en overeenkomsten, het begeleiden van samenwerkingen en het geven van trainingen en lezingen.
Geef uw mening