Zeven onderwerpen van de privacyverordening samengevat

In de afgelopen weken zijn er zeven blogposts geschreven over de veranderingen op het gebied van privacywetgeving met de komst van de privacyverordening of Algemene Verordening Gegevensbescherming. Om de reeks af te sluiten ga ik in deze post kort samenvatten wat er in de afgelopen zeven blogposts besproken is. Wij hopen dat deze artikelen je een indruk geven van de veranderingen op het gebied van privacywetgeving per 25 mei 2018 en dat het helpt bij de voorbereiding van jouw organisatie.

1. De verplichtingen van de verantwoordelijke

De 10 belangrijkste verplichtingen en veranderingen die op een verantwoordelijke rusten zijn de volgende:

  1. Een registerplicht om alle verwerkingsactiviteiten bij te houden van persoonsgegevens;
  2. Een plicht tot het opstellen van intern privacy beleid;
  3. Het uitvoeren van Privacy Impact Assessments (PIA’s) voor risicovolle verwerkingen van persoonsgegevens;
  4. Het uitvoering geven aan nieuwe rechten van de betrokkenen: een recht op beperking van een verwerking van persoonsgegevens en een recht op overdraagbaarheid van gegevens;
  5. Gedetailleerdere verplichtingen met betrekking tot het afsluiten van bewerkersovereenkomsten;
  6. Het toepassen van privacy by design en privacy by default als onderdeel van de reeds bestaande plicht tot dataminimalisatie;
  7. Een uitbreiding van de categorie bijzondere persoonsgegevens: genetische gegevens en biometrische gegevens. Voor de verwerking van deze persoonsgegevens gelden strengere regels;
  8. Een verhoogd boetemaximum (20 miljoen euro of, bij ondernemingen, 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar) en een uitbreiding van de boetemogelijkheden van de Autoriteit Persoonsgegevens (AP);
  9. Een uitbreiding van de reeds bestaande meldplicht datalekken voor alle Europese Lidstaten;
  10. Het in bepaalde gevallen verplicht aanstellen van een functionaris voor de gegevensbescherming (FG).

2. Toestemming als grondslag voor gegevensverwerking

In deze blogpost zijn veranderingen met betrekking tot de verwerkingsgrondslag ‘toestemming’ besproken. Ook bevat het een aantal praktische tips:

  1. Vraag om toestemming met een actieve handeling. In de privacyverordening is expliciet gemaakt wat al in Nederland de heersende leer was: dat toestemming alleen geldig is wanneer er een actieve handeling door de betrokkene wordt verricht zoals het aanvinken van een vakje of het selecteren van bepaalde technische instellingen;
  2. Registreer de toestemming om de gegeven toestemming te kunnen aantonen. Ook deze verplichting is expliciet gemaakt in de Verordening;
  3. Vraag om toestemming los van andere aangelegenheden, dus voor ieder doel waarvoor de persoonsgegevens verwerkt worden. Daarnaast moet de toestemming in gewone mensentaal gevraagd worden;
  4. Vraag om toestemming van ouders bij gegevens van kinderen jonger dan 16 jaar. Europese Lidstaten mogen de leeftijdsgrens verlagen tot een leeftijdsgrens onder de 13 jaar;
  5. Het intrekken van toestemming moet eenvoudig zijn en betrokkenen moeten op deze mogelijkheid gewezen worden vóórdat zij hun toestemming geven.

3. Functionaris voor de gegevensbescherming

De verplichting om een FG aan te stellen in de privacyverordening geldt alleen voor publieke instanties en organisaties waarvan de aard van de verwerking hiertoe aanleiding geeft of in geval van grootschalige verwerking van bijzondere gegevens. Andere organisaties zijn vrij om een FG aan te stellen.

Kenmerken van een FG:

  • Aanstelling o.b.v. professionele kwaliteiten en inhoudelijke expertise van het recht en de praktijk;
  • Onafhankelijkheid in de uitvoering van zijn of haar taken, ontvangt geen uitvoeringsinstructies van de verantwoordelijke, geniet ontslagbescherming en is gebonden aan geheimhouding;
  • Rapporteert rechtstreeks aan het management;
  • Wanneer ook andere taken vervuld worden door de FG, dan mag dit niet tot een belangenconflict leiden.
  • De FG kan een fulltime of parttime functie zijn en zowel interne of extern. De FG mag ook door een groep van ondernemingen worden aangewezen.

Taakomvang FG:

  • Rekening houden met het aan de verwerkingen verbonden risico, en met de aard, de omvang, de context en de doelen van de verwerking;
  • Betrokkenheid bij alle zaken die bescherming van persoonsgegevens raken;
  • Privacy awareness bevorderen binnen de organisatie;
  • Toezien op de naleving van het wettelijk kader en het beleid van de organisatie en het monitoren van uitvoering van PIA’s;
  • Samenwerken met en contactpersoon zijn voor de toezichthouders;
  • Contactpersoon zijn voor betrokkenen.

Het advies luidt: begin op tijd met het vormgeven van de FG rol binnen jouw organisatie.

4. De bewerkersovereenkomst

Een bewerker is een partij die persoonsgegevens verwerkt in opdracht van de verantwoordelijke, zonder aan zijn gezag onderworpen te zijn. Het gaat dus om een aparte persoon of instelling die wordt ingeschakeld. Nieuw opgenomen in de privacyverordening is de plicht dat de verantwoordelijke alleen van een dienst van een bewerker gebruik mag maken als de bewerker voldoende garanties biedt dat de verwerking wordt uitgevoerd volgens de regels van de verordening.

De bestaande plicht tot het afsluiten van een bewerkersovereenkomst tussen verantwoordelijke en bewerker wordt aangevuld met nieuwe inhoudelijke eisen:

  • Het vooraf toestemming vragen aan de verantwoordelijke bij het inschakelen van subbewerkers;
  • Het meewerken met de verplichtingen rondom de beveiliging van persoonsgegevens en het melden van datalekken;
  • Een plicht tot het verwijderen of teruggeven van persoonsgegevens na afloop van de dienstverlening;
  • Een meewerkplicht tot audits en het ter beschikking stellen van informatie aan de verantwoordelijke;

Daarnaast rust er, net als voor de verantwoordelijke, een registerplicht op de bewerker. Met deze registerplicht houdt de bewerker bij welke verwerkingen van persoonsgegevens zij uitvoert als bewerker.

5. Dataportabiliteit

Met de komst van de privacyverordening krijgen betrokkenen dit nieuwe recht erbij.
Waarom een nieuw recht op dataportabiliteit? Met het recht op dataportabiliteit wordt de controle van betrokkenen op de eigen persoonsgegevens verstrekt. Het recht poogt te voorkomen dat betrokkenen ‘locked in’ raken met de persoonsgegevens en eenvoudig kunnen overstappen naar een andere dienstverlener. Deze plicht geldt alleen wanneer gegevens automatisch worden verwerkt op basis van toestemming of een overeenkomst.

Wat zijn de operationele gevolgen?
De operationele gevolgen zijn vergaand, omdat het de verantwoordelijke verplicht om een kopie te verstrekken in een gestructureerde, algemeen gebruikte, leesbare en interoperabele vorm. Bovendien moeten – indien technisch mogelijk – de gegevens rechtstreeks doorgestuurd worden aan een nieuwe partij op verzoek van de betrokkene.
Onduidelijkheid over ‘gestructureerd, algemeen gebruikt, leesbaar en interoperabel’ formaat

De tekst van de verordening is op dit punt onduidelijk. Aan de ene kant worden verantwoordelijken aangemoedigd om ‘interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken’ en tegelijkertijd staat er: ‘Het recht van de betrokkene om hem betreffende persoonsgegevens door te zenden of te ontvangen, mag voor de verwerkingsverantwoordelijke geen verplichting doen ontstaan om technisch compatibele systemen voor gegevensverwerking op te zetten of te houden’.

Praktisch

  1. Breng eerst de geautomatiseerde verwerkingen die plaatsvinden op basis van toestemming of contract in kaart;
  2. Zorg dat betrokkenen hun rechten kunnen uitoefenen. In het bijzonder ten aanzien van dit recht dient de kopie in een gestructureerde, leesbare en interoperabele vorm te zijn.
  3. Zorg voor accurate, leesbare en up-to-date informatie over de verwerkingen gericht aan betrokkenen.

6. Sancties

Wat zijn de nieuwe sanctiemogelijkheden en administratieve boetes die de toezichthoudende autoriteiten (in Nederland: Autoriteit Persoonsgegevens) kunnen opleggen met de komst van de privacyverordening?

  • De verantwoordelijke of bewerker waarschuwen dat de voorgenomen verwerking waarschijnlijk inbreuk maakt op de verordening;
  • De verantwoordelijke of bewerker berispen indien een verwerking inbreuk maakt op de verordening;
  • De verantwoordelijke of bewerker bevelen de verzoeken van betrokkenen tot uitoefening van diens rechten op grond van de verordening in te willigen;
  • De verantwoordelijke of bewerker bevelen binnen een bepaalde termijn verwerkingen in overeenstemming te brengen met de verordening;
  • De verantwoordelijke bevelen een inbreuk aan de betrokkene te melden;
  • Een tijdelijke of definitieve verwerkingsbeperking of -verbod opleggen;
  • Een rectificatie of wissing bevelen;
  • Certificering (laten) intrekken;
  • Opleggen van een administratieve geldboete;
  • Opschorten van gegevensstromen naar derde landen of internationale organisaties.

Administratieve boetes:
Administratieve boetes kunnen oplopen tot € 20 miljoen of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dit cijfer hoger is. Deze boetes moeten doeltreffend, evenredig en afschrikwekkend zijn en kunnen worden opgelegd naast of in plaats van de hierboven genoemde maatregelen.

Bij het bepalen van de hoogte van de geldboete wordt rekening gehouden met:

  • De aard, ernst en duur van de inbreuk;
  • Is er sprake is van opzet of nalatigheid;
  • Zijn er maatregelen genomen om de door betrokkenen geleden schade te beperken
  • De toerekenbaarheid gelet op de getroffen beveiligingsmaatregelen;
  • Is er sprake van eerdere inbreuken;
  • In hoeverre er met de toezichthouder is samengewerkt,
  • De categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
  • De wijze waarop de toezichthouder kennis heeft gekregen van de inbreuk (heeft de overtreder de inbreuk zelf gemeld of niet).
  • Zijn er een of meer corrigerende maatregelen opgelegd;
  • Is de overtreder is aangesloten bij een gedragscode of certificeringsmechanisme;
  • Is er sprake van een strafverzwarende of -verhogende omstandigheid.

7. Certificering en gedragscodes

Gedragscodes en certificering zijn mechanismen om de naleving van normen in de privacyverordening aan te tonen. Er kleven meerdere voordelen hieraan, waaronder:

  • De aanwezigheid van een gedragscode of certificeringsmechanisme speelt een (positieve) rol in de hoogte van de boetebepaling bij een overtreding van de verordening;
  • Gedragscodes en certificatenmechanismen kunnen een mogelijke grondslag bieden voor internationale uitwisselingen van persoonsgegevens;
  • Als middel om aan te tonen dat passende beveiligingsmaatregelen zijn genomen.

Verantwoordelijken en bewerkers buiten de EU kunnen ook gedragscodes en certificeringsmechanismen gebruiken. In dit geval is vereist dat de betrokken partij in het derde land een binding and enforceable commitment geeft om de waarborgen daarin na te leven.

Met gedragscodes kunnen per branche of sector best practices worden ontwikkeld om de verplichtingen onder de privacyverordening nader uit te werken. Met certificeringsmechanismen, gegevensbeschermingszegels en –merktekens kan ook de naleving van de privacyverordening op een transparante manier worden aangetoond.

Certificaten kunnen worden vastgesteld door de toezichthoudende autoriteit en het Europese Comité. Daarnaast kunnen ook, onder bepaalde voorwaarden, andere (private) organisaties geaccrediteerd worden voor het in het leven roepen van certificaten.

Deze blogpost is geschreven door Anne Thier, adviseur bij Privacy Company.

Author image
Zischa Bijron
Marketing Professional bij Privacy Company