De vijf belangrijkste punten uit de nieuwe Europese Privacyverordening

Onze huidige nationale Wet bescherming persoonsgegevens die toeziet op naleving van de privacy is gebaseerd op de Europese Richtlijn uit 1995. Over niet al te lange tijd zal deze wet gaan plaatsmaken voor een nieuwe Europese privacyverordening (de General Data Protection Regulation (5853/12)). Het is wenselijk dat in heel Europa dezelfde privacyregels van toepassing zijn. Dit is nu niet het geval, doordat de richtlijn per lidstaat op eigen wijze geïmplementeerd is en daarbij is aangevuld door nationale (en Europeesrechtelijke) jurisprudentie.

De Europese Commissie heeft in 2012 voorstellen gepresenteerd voor de invoering van een algemene verordening gegevensbescherming en een richtlijn gegevensbescherming opsporing en vervolging. Het voordeel van een verordening is dat deze op het moment van inwerkingtreding is aan te merken als een wetgevend instrument. Het staat de lidstaten niet vrij om, zoals in het geval van een richtlijn, de bepalingen op eigen wijze te implementeren. Wat de lidstaten wel mogen is zelfstandig (strengere) aanvullingen doorvoeren op de bepalingen uit deze verordening in hun nationale wetgeving.

Ondanks dat de inhoud van de verordening nog niet definitief is – verwacht wordt dat dit in 2016 het geval is, waarna er nog een termijn verstrijkt voordat de inwerkingtreding plaatsvindt – kan er alvast van onderstaande hoofdpunten uit worden gegaan. Tijdens de Raad Justitie en Binnenlandse Zaken (JBZ-Raad) van 15 en 16 juni 2015 is namelijk een overeenstemming bereikt over de tekstuele inhoud van de algemene verordening.

1.       Boetes door de toezichthouder
De toezichthouder heeft op basis van de huidige richtlijn enkele bevoegdheden om overtreders te beboeten, maar deze bevoegdheden hebben relatief weinig  impact. Op 26 mei 2015 is de Wet meldplicht datalekken en boetebevoegdheid CBP zonder stemming aangenomen door de Eerste Kamer. Deze wet zal op 1 januari 2016 van kracht worden. Hiermee wordt de bestaande boete op schending van de meldplicht of het exportverbod verhoogd van €4.500,- naar €20.250,-. Verder krijgt het College Bescherming Persoonsgegevens de bevoegdheid om op andere overtredingen van de wet een boete op te leggen tot maximaal €810.000,-.

Dat er een (Europese) tendens bestaat de bevoegdheid van overtredingen zwaarder te sanctioneren, blijkt eveneens uit de verordening. Geldboetes van maximaal  €250.000,- of 0,5% van de totale wereldwijde omzet van de organisatie zullen door de toezichthouder kunnen worden opgelegd aan overtreders.

2.       Meldplicht datalekken
De Wet Meldplicht Datalekken voegt aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Ook de verordening kent een meldplicht voor datalekken. Zodra er – opzettelijk of per ongeluk – een datalek ontstaat, waarbij persoonsgegevens worden ontvreemd, verwijderd of openbaar gemaakt, dient de organisatie hiervan melding te doen aan de toezichthouder. Indien het datalek een nadelig effect op de betrokkene heeft (degene op wie de gegevens betrekking hebben), moet deze eveneens worden ingelicht.

3.       Bewerkersovereenkomst
Bewerkersovereenkomsten tussen de verantwoordelijke en degene die gegevens verwerkt in opdracht van de verantwoordelijke, de bewerker, is op dit moment al geregeld in de Wet bescherming persoonsgegevens. Hoe deze bewerkersovereenkomst qua inhoud vorm gegeven moet worden, is hier niet met zoveel worden genoemd. De verordening gaat uitgebreider in op de bewerkersovereenkomst en noemt verschillende vereisten waar aan voldaan moet worden: duur van de gegevensverwerking, de specifieke doeleinden voor verwerking, het soort persoonsgegevens en een beschrijving van de betrokkenen. Het inschakelen van een externe partij door de bewerker, zonder toestemming van de verantwoordelijke, is op basis van de verordening niet langer toegestaan.

4.       Data protection officer
De data protection officer, oftewel de functionaris gegevensbescherming, is op basis van de huidige wetgeving geen verplichte functie binnen een organisatie. De verordening brengt hier verandering in. Publieke instanties zijn verplicht een functionaris gegevensbescherming aan te stellen. Op basis van Europese of nationale wetgeving kan ook voor andere organisaties het aanstellen van een functionaris gegevensbescherming verplicht worden gesteld. Een functionaris gegevensbescherming moet onafhankelijk kunnen functioneren ,is het privacy-aanspreekpunt binnen de organisatie en moet een natuurlijk persoon zijn.

5.       Privacyeffectbeoordeling (Data protection impact assessment)
In bepaalde gevallen van gegevensverwerking dient de verantwoordelijke – voorafgaand aan de verwerking – een privacyeffectbeoordeling (oftewel “data protection impact assessment”) uit laten voeren. Dit zal voornamelijk het geval zijn bij het gebruik van nieuwe technologieën die een hoog risico met zich meebrengen ten aanzien van de rechten en vrijheden van de betrokkenen. Hierbij valt te denken aan discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatie-schade of elke andere aanzienlijke economische of maatschappelijke schade. De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingsoperaties waarvoor een privacyeffectbeoordeling verplicht is. De verantwoordelijke stemt met de functionaris gegevensbescherming af of een dergelijk assessment noodzakelijk is.

Wij raden u aan te controleren of u voldoet aan de huidige privacy wet- en regelgeving. Indien dat het geval is, is het te verwachten dat de aanpassingen op basis van de verordening minder tijdrovend en kostbaar zullen zijn. Verder raden wij u aan alvast te agenderen nogmaals een privacycheck te laten uitvoeren op het moment van inwerkingtreding van de verordening.

De Koning Vergouwen Advocaten heeft een gratis checklist ontwikkeld, die speciaal toeziet op de vraag of uw bedrijf aan de Wet bescherming persoonsgegevens voldoet. Mocht u interesse hebben in deze checklist, dan kunt u contact opnemen met mw. mr. Barbara Blok (Blok@dkva.nl) of mw. mr. Laura Poolman (Poolman@dkva.nl). Zij zullen de checklist vrijblijvend aan u verstrekken.

Maakt u zich overigens geen zorgen dat een privacycheck op basis van de huidige wetgeving verspilde tijd is. De uitgangspunten van het privacyrecht zijn namelijk relatief stabiel. In het Verdrag van Straatsburg (1981) zijn de belangrijkste privacybeginselen vastgelegd, die zowel terugkomen in de huidige privacyrichtlijn als in de toekomstige verordening.