Europees Parlement stemt voor Algemene Verordening Gegevensbescherming

Terug naar articles

14 april, 2016

Algemene Verordening Gegevensbescherming | Considerati

Het Europees Parlement heeft vandaag de Algemene Verordening Gegevensbescherming (General Data Protection Regulation; GDPR) aangenomen. Organisaties krijgen tot medio 2018 de tijd om aan de daarin neergelegde verplichtingen te voldoen. De Verordening heeft directe werking en vervangt daarmee de Europese Privacy Richtlijn uit 1995 en onze Wet bescherming persoonsgegevens. 2018 lijkt ver weg, maar door de ingrijpende veranderingen zal het organisaties en overheidsinstanties veel tijd kosten om zich op deze nieuwe wetgeving voor te bereiden. Bij het niet (tijdig) voldoen aan de hierin vervatte eisen loopt een organisatie risico op hoge boetes. We zetten de belangrijkste wijzigingen nog eens op een rijtje.

Een eerste belangrijke wijziging is dat de Verordening niet alleen van toepassing is op organisaties die binnen de EU actief zijn, maar ook op organisaties die buiten de EU opereren. Dit geldt uiteraard alleen in de gevallen dat organisaties persoonsgegevens van Europese burgers verwerken. Een tweede wijziging is dat de ouders van een betrokkene toestemming moeten geven voor verwerking van diens gegevens indien deze jonger is dan zestien jaar. Het staat Lidstaten echter vrij om deze leeftijdsgrens te verlagen. De minimumleeftijd is dertien jaar. Daarnaast is voor verwerking voor profileringsdoeleinden de grondslag expliciete toestemming van betrokkene geïntroduceerd.

Een andere belangrijke wijziging is dat organisaties verplicht kunnen worden gesteld om een Privacy Officer (PO) aan te wijzen. Deze persoon heeft enerzijds een adviserende rol (bijvoorbeeld bij het opstellen van privacy beleid) en anderzijds een toezichthoudende rol door te beoordelen of de organisatie haar verplichtingen naleeft. Een organisatie dient in de volgende gevallen een Privacy Officer in huis te nemen:

  • Indien zij een publiek orgaan is; of
  • Indien haar kernactiviteit bestaat uit het op grote schaal regelmatig en systematisch monitoren van betrokkenen; of
  • Indien haar kernactiviteit bestaat uit het op grote schaal verwerken van bijzondere persoonsgegevens.

Ook indien een organisatie niet wettelijk verplicht is een PO aan te stellen, heeft het in huis hebben van een PO veel voordelen. Zowel de verantwoordelijke als de verwerker (voorheen bekend als bewerker) moeten namelijk een actief gegevensbeschermingsbeleid voeren en maatregelen treffen waaruit blijkt dat zij de Verordening naleven (accountability). Een voorbeeld is het bijhouden van een overzicht van verwerkingen, waarin staat welke gegevens op welke manier worden verwerkt. Daarnaast wordt zowel Privacy by Design als Privacy by Default verplicht gesteld. Dat betekent dat een organisatie bij het ontwerpen van nieuwe producten en diensten moet nadenken over hoe het product zo privacy-vriendelijk mogelijk wordt. De meest privacy-vriendelijke instellingen moeten tevens als standaard gelden. Een Privacy Officer kan helpen bij het in kaart brengen van de risico’s door bijvoorbeeld een Privacy Impact Assessment uit te voeren.

De EU tracht niet alleen extra verplichtingen op te leggen, maar probeert organisaties ook tegemoet te komen. Voor organisaties die vestigingen in vele landen hebben is de one-stop-shop geïntroduceerd. Ondernemingen die in meerdere EU-landen actief zijn kunnen ervoor kiezen om onder één toezichthouder te vallen, namelijk de toezichthouder van het land waar de hoofdvestiging is. Dit beperkt de administratieve lasten en bevordert de rechtszekerheid voor internationale ondernemingen.

Onder de Verordening heeft de betrokkene twee belangrijke nieuwe rechten verworven: het recht om vergeten te worden en het recht op dataportabiliteit. Het eerste recht houdt in dat een organisatie niet alleen (op verzoek van de betrokkene) persoonsgegevens moet verwijderen, maar ook de plicht heeft – wanneer de persoonsgegevens openbaar zijn gemaakt – om derde partijen ervan op de hoogte te stellen dat een betrokkene wenst dat diens gegevens verwijderd worden. Dit betekent dat iedere koppeling naar, of kopie of reproductie van die persoonsgegevens gewist moeten worden. Dit recht is met name relevant voor betrokkenen die als kind toestemming hebben gegeven, zonder zich volledig bewust te zijn geweest van de risico’s. Op verzoek zou bijvoorbeeld ongewenste data verwijderd kunnen worden uit de zoekresultaten van Google. Dataportabiliteit betekent dat een betrokkene zijn of haar gegevens van de ene organisatie moet kunnen meenemen naar een andere organisatie. Daarmee lijkt het op de in de Telecommunicatiewet neergelegde recht op nummerportabiliteit, waarbij abonnees hun telefoonnummer van de ene telecomaanbieder moeten kunnen meenemen naar een ander. In het geval van dataportabiliteit zou bijvoorbeeld een Facebook-gebruiker zijn gehele profiel mee kunnen nemen naar een ander sociaal netwerk.

De toezichthouders hebben aanzienlijke slagkracht verworven onder de nieuwe regelgeving. De boetebevoegdheid van de Autoriteit Persoonsgegevens komt te liggen op een maximum van twintig miljoen euro of 4% van de wereldwijde jaaromzet van een organisatie per overtreding. De onlangs in Nederland van kracht geworden Meldplicht datalekken ‘verdwijnt’ overigens niet; in de Verordening zijn verantwoordelijken verplicht de toezichthouder binnen 72 uur na ontdekking van een datalek op de hoogte stellen.

Wilt u uw organisatie optimaal voorbereiden op de Verordening om boetes te vermijden? Neem dan contact met ons op. Considerati heeft jarenlange ervaring met het uitvoeren van Privacy Impact Assessments en het opstellen van privacy compliant beleid. Tevens beschikt Considerati over Privacy Officers met de nodige expertise die u kunnen helpen.

, ,

Considerati_Navid
Navid Kamalzadeh

Juridisch Adviseur

Gerelateerde blogs

Privacy en eigendom: ben je echt eigenaar van je persoonsgegevens?

Vorige week heeft Spotify haar nieuwe privacy policy gepubliceerd, die onmiddellijk tot ophef...

Lees meer

WP29 geeft meer duidelijkheid over het recht om vergeten te worden

De Artikel 29 Werkgroep (WP29), het Europese samenwerkingsverband van privacytoezichthouders, heeft...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.