8 juni 2016

Het effect van de nieuwe Europese privacywetgeving

Loep boven privacy

De Wet bescherming persoonsgegevens (Wbp) gaat op de schop. Dit werd al in januari 2012 door de Europese Commissie aangekondigd, en nu heeft de plaatsvervanger van de Wbp een definitieve vorm gekregen. De (Europese) toezichthouder krijgt met de komst van de verordening tanden. Er kunnen boetes worden opgelegd van maximaal € 20.000.000,- of 4% van de wereldwijde omzet.

De Wbp gaat plaatsmaken voor een Europese privacyverordening, de ‘Algemene Verordening Gegevensbescherming’ (AVG). Deze verordening zal in heel Europa voor dezelfde regels rondom privacy gaan zorgen en brengt heel wat veranderingen met zich mee voor bedrijven. Hier staat alvast een aantal hoofdpunten uit de AVG voor jou op een rij:

1. Wat moet er in een bewerkersovereenkomst staan?

Als jouw organisatie persoonsgegevens laat verwerken door bijvoorbeeld een derde partij als een e-commerceplatform of logistieke dienstverlener dan is het sluiten van een bewerkersovereenkomst verplicht. Het sluiten van een bewerkersovereenkomst tussen de verantwoordelijke voor de persoonsgegevens (diegene die persoonsgegevens verzamelt, meestal de webwinkel), en de partij die de persoonsgegevens voor hem verwerkt (zoals een logistieke of andere e-commerce dienstverlener), was al verplicht vanuit de Wbp. De AVG benoemt nu echter een aantal specifieke punten die opgenomen dienen te worden in deze overeenkomst waaronder:
  • de doeleinden van de gegevensverwerking;
  • het soort persoonsgegevens dat verwerkt wordt;
  • de categorieën van betrokkenen op wie de gegevens zien;
  • het passend beveiligen van de gegevens;
  • het uitvoeren van audits;
  • het na afloop vernietigen of terugleveren van de gegevens aan de verantwoordelijke in dit geval de webwinkel.
Bovendien zal de bewerker voortaan niet meer een externe partij mogen inschakelen om persoonsgegevens te verwerken zonder voorafgaande schriftelijke toestemming van de verantwoordelijke. Een webwinkel moet dus schriftelijke toestemming geven om gegevens te laten bewerken door bijv. een leverancier van webshopsoftware.

2. Wat betekent Privacy by design and by default?

Tijdens het hele ontwikkelingsproces van producten, diensten en je webshop moet je rekening houden met privacy. Dit kan door technieken als pseudonimisering toe te passen en door zo min mogelijk persoonsgegevens te verwerken, namelijk door uitsluitend noodzakelijke persoonsgegevens te verwerken. Deze noodzakelijkheidseis geldt tevens voor de toegankelijkheid tot de gegevens (wie heeft toegang tot welke gegevens) en de periode dat de gegevens bewaard worden. Ook moeten de standaardinstellingen van een product of dienst altijd zo privacyvriendelijk mogelijk zijn. Producten en diensten moeten dus ‘privacy proof’ ontwikkeld worden en ingesteld zijn.

3. Verandert de meldplicht datalekken?

Naast de Nederlandse wettelijke meldplicht voor datalekken kent ook de AVG een meldplicht voor datalekken. Op het moment dat er per ongeluk, of opzettelijk, data verloren gaan, of op straat terecht gekomen zijn, moet dit binnen 72 uur aan de toezichthouder gemeld worden. Als het lek waarschijnlijk een hoog risico inhoudt voor de betrokkenen (de personen waar de gegevens betrekking op hebben), dan moeten zij ook van het lek op de hoogte worden gesteld.

Daarnaast kent de AVG aan de bewerker een verplichting toe om het datalek aan de verantwoordelijke te melden. Dus wanneer een leverancier van jouw webwinkel die persoonsgegevens voor je verwerkt een mogelijk datalek heeft gehad, moet dit bij jou gemeld worden. Het verschil met onze huidige meldplicht, is dat er enkel een melding bij de toezichthouder gedaan hoeft te worden van een lek als het lek daadwerkelijk heeft plaatsgevonden. Onze huidige meldplicht noemt een incident al een datalek wanneer de onrechtmatige verwerking van persoonsgegevens niet uitgesloten kan worden.

4. Per wanneer moet jouw organisatie voldoen aan de AVG?

Vanaf de officiële publicatie van de AVG geldt er twee jaar overgangsrecht voordat de AVG écht van toepassing is. Dus per 25 mei 2018 moet jouw organisatie kunnen aantonen dat ze aan de Europese Privacyverordening voldoen.

5. Wat kun je nu al doen?

Hoewel het nog vroeg is, zal de Verordening veel losmaken in bedrijven. Ga dus nu al aan de slag met inventariseren en leg de basis voor een goede implementatie.
  • Onderzoek hoe toestemming voor persoonsgegevens wordt verkregen. Onder de Verordening moet dit veelal apárt worden gevraagd, moet de toestemming actief worden verstrekt en ligt de bewijslast bij de organisatie. Hoe wordt dit bij jullie gedocumenteerd?
  • Lees je privacyverklaring nog eens kritisch door. Deze moet straks “transparant en eenvoudig toegankelijk” zijn, wat betekent dat alle juridische taal moet verdwijnen. Bovendien moet er specifieke informatie verschaft worden aan jouw klanten. En klópt de verklaring nog met hoe jouw organisatie tegenwoordig werkt?
  • Houd je inzage-, correctie- en verwijderingsprocedures van persoonsgegevens tegen het licht. Deze moeten elektronisch kunnen verlopen. Weet jouw helpdesk wat een inzageverzoek voor persoonsgegevens is?
  • Onderzoek hoe 'portable' je opslag is. Kunnen jouw klanten of relaties eenvoudig een kopie van hun data in bijvoorbeeld Microsoft Excel krijgen?
  • Controleer of de bedrijfsprocessen waarbij persoonsgegevens worden verwerkt, adequaat gedocumenteerd zijn. Deze documentatie wordt wettelijk verplicht.
Wil je meer weten over belangrijke veranderingen in Europese privacywetgeving?
Download de ICTRecht factsheet: impact van de Europese Privacyverordening

Peter Kager

Auteur: Peter Kager, juridisch adviseur bij ICTRecht

Als juridisch adviseur staat Peter opdrachtgevers bij op het gebied van privacy, cookies, e-commerce, consumentenrecht en webdevelopment. Hoewel het juridische aspect hierbij centraal staat, maakt Peter dagelijks de koppeling met de praktische kant door het opstellen van adviezen en overeenkomsten, het begeleiden van samenwerkingen en het geven van trainingen en lezingen.
Geef uw mening