Hieronder wordt een aantal onderwerpen aangaande privacy besproken. U leest meer over de nut en noodzaak van privacy, privacy buiten Europa en privacy binnen Europa.
Eerst een aantal begrippen en afkortingen:
AVG = de Algemene Verordening Gegevensbescherming.
Wbp = de Wet bescherming persoonsgegevens van kracht sinds 1 september 2001..
Persoonsgegeven = alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de "Betrokkene").
Verantwoordelijke = degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerker = degene die ten behoeve van verantwoordelijke persoonsgegevens verwerkt.
Noodzaak aandacht voor privacy
Organisaties kunnen zich niet langer veroorloven het onderwerp privacy te negeren. Enerzijds vanwege strenger toezicht op- en handhaving van de naleving van de privacywetgeving. Anderzijds vanwege de maatschappelijke bewustwording van het belang van adequate bescherming van persoonsgegevens.
De Autoriteit Persoonsgegevens bepleit in een brief van 6 april 2017 aan de Staatssecretaris van V&J dan ook dat het bedrijfsleven privacy niet alleen als belemmering maar ook als kans zou moeten zien en benoemt de juiste omgang met privacy als een 'unique selling point'.
Privacy buiten Europa
EU Privacy wetgeving
De doorgifte van persoonsgegevens naar niet-EU landen is verboden, tenzij die landen een ‘passend beschermingsniveau’ bieden.
Safe Harbor
De VS heeft geen algemene wetgeving voor de bescherming van persoonsgegevens. Doorgifte naar de VS is hierdoor verboden. Om doorgifte naar de VS te faciliteren is er in 2000 door de Europese Commissie een verdrag gesloten, genaamd Safe Harbor. Organisaties die zich hielden aan de Safe Harbor Principes werden geacht een passend beschermingsniveau te bieden.
Naar aanleiding van onthullingen van voormalig lid van de CIA en klokkenluider Edward Snowden heeft een Oostenrijkse student een rechtszaak aangespannen tegen Facebook. Het Europese Hof van Justitie concludeerde in 2015 dat de Safe Harbor Principes geen passend beveiligingsniveau boden en heeft met die uitspraak het Safe Harbor-verdrag ongeldig verklaard.
Privacy Shield
Ter vervanging van Safe Harbor is sinds 1 augustus 2016 het Privacy Shield-verdrag van toepassing. Het Privacy Shield is gebaseerd op:
stevige verplichtingen voor Amerikaanse bedrijven die persoonsgegevens bewerken. Regelmatige updates en controles van de deelnemende ondernemingen. Niet naleving van de Privacy Shield kan leiden tot verwijdering uit de lijst;
transparantieverplichtingen voor toegang door de Amerikaanse overheid; en
Europese burgers dienen een beroep te kunnen doen op verschillende toegankelijke en betaalbare geschillenbeslechting.
In 2020 is ook het Privacy Shield ongeldig verklaard.
Privacywetgeving in Europa en Nederland
Privacywetgeving reikt verder dan de Wpb en de AVG. Zo zijn er de e-Privacyverordening en de Richtlijn gegevensbescherming opsporing en vervolging. Daarnaast is er sector specifieke regelgeving. Neem bijvoorbeeld de Wet cliëntenrechten bij elektronische verwerking van gegevens. Sector specifieke wetgeving heeft een grote invloed op het gebruik van ICT in deze sectoren.
Ook zijn er diverse documenten die in strikte zin geen wet zijn (niet bindend) maar die wel uitleggen hoe de wetgeving geïnterpreteerd en toegepast worden door toezichthoudende instanties. Zie bijvoorbeeld de guidelines van de WG29 en beleidsdocumenten en zienswijzen van de Autoriteit Persoonsgegevens (voorheen: Cbp).
Verwerkersovereenkomst
Indien de verwerking van persoonsgegevens wordt uitbesteed aan een verwerker dan dient er schriftelijk een verwerkersovereenkomst te worden gesloten. Dit geldt ook tussen de verwerker en de sub-verwerkers die worden ingeschakeld. De AVG stelt een aantal minimumvereisten aan hetgeen in de verwerkersovereenkomst geregeld dient te worden. Zo vereist de AVG:
dat er wordt overeengekomen dat na afloop van de verwerkingsdiensten, de verwerker de persoonsgegevens wist of terugbezorgt (tenzij opslag wettelijk verplicht is);
dat de verwerker passende technische en organisatorische maatregelen treft en behoeve van de beveiliging van persoonsgegevens; en
dat de verwerker audits mogelijk maakt en eraan bijdraagt om aan te tonen dat verwerker voldoet aan de verplichtingen uit de verwerkersovereenkomst.
Checklist vereisten AVG
Klik hier voor de checklist vereisten AVG die de Algemene Verordening Gegevensbescherming stelt aan de inhoud van de verwerkersovereenkomst. Uiteraard kunnen hieronder ook andere onderwerpen (nader) worden geregeld indien en voor zover die tussen de partijen bij de overeenkomst nog niet (voldoende) zijn uitgewerkt.
Het sluiten van een verwerkersovereenkomst alleen is niet voldoende, verantwoordelijke dient ook toe te zien op de naleving van de gemaakte afspraken.
Functionaris gegevensbescherming
De AVG verplicht de aanstelling van een functionaris gegevensbescherming in drie gevallen:
indien de organisatie een overheidsinstantie of publieke organisatie is (rechtbanken uitgezonderd);
indien de kernactiviteit van de organisatie ziet op stelselmatige observatie op grote schal van natuurlijke personen; en
indien de organisatie op grote schaal bijzondere persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerkt.
De functionaris gegevensbescherming wordt ook wel de FG of data protection officer (DPO) genoemd. De functionaris gegevensbescherming dient een natuurlijke persoon te zijn en deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming te bezitten. Nadere vereisten zijn door de Article 29 Data Protection Working Party uitgewerkt in de 'Guidelines on Data Protection Officers (DPO's)'.
PIA (Privacy Impact Assessment)
De AVG verplicht de uitvoering van een PIA in de gevallen waar de bewerking waarschijnlijk een hoog risico inhoudt voor natuurlijke personen. Dit ziet in het bijzonder op gevallen waar nieuwe technologieën zullen worden toegepast en gevallen waar de aard, omvang, context of doeleinden van de verwerking een risico vormen. De PIA is een instrument om risico's van de verwerking van persoonsgegevens in kaart te brengen.
In de AVG worden drie voorbeelden genoemd van gevallen waarin verwerking een hoog risico inhoudt voor natuurlijke personen:
systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, gebaseerd op geautomatiseerde verwerking (bijvoorbeeld profilering), waarop besluiten worden gebaseerd die de natuurlijke persoon wezenlijk treffen;
grootschalige verwerking van bijzondere persoonsgegevens of gegevens met betrekking tot strafrechtelijke vervolging; en
stelselmatige en grootschalige monitoring in openbare ruimten.
Dit is een niet-limitatieve opsomming. Nadere gevallen zijn door de Article 29 Data Protection Working Party uitgewerkt in de 'Guidelines on Data Protection Impact Assessment'.
Indien uit de resultaten van de PIA voortvloeit dat de verwerking een hoog risico voor de bescherming van persoonsgegevens oplevert dan dient u dit risico te beperken. Voorafgaande raadpleging bij de Autoriteit Peroonsgegevens (AP) dient plaats te vinden indien de beveiligingsmaatregelen die u treft (mogelijk) dit risico onvoldoende beperken. De AP voorziet de raadpleger van een schriftelijk advies.
De PIA wordt ook wel een gegevensbeschermingseffectbeoordeling of Data Protection Impact Assessment (DPIA) genoemd.
De meldplicht datalekken
De Wet meldplicht datalekken verplicht organisaties met ingang van 1 januari 2016 om inbreuken op de beveiliging van persoonsgegevens te melden. De invoering van de meldplicht datalekken en de boetes die verbonden kunnen zijn aan de niet-naleving van deze wetgeving lijkt organisaties eindelijk wakkergeschud te hebben.
De wet meldplicht datalekken is thans geregeld in artikel 34a Wbp, maar is vervangen door artikel 33 en 34 van de AVG. Artikel 33 AVG verplicht verantwoordelijke binnen 72 uur na kennisname van een inbreuk op de beveiliging van persoonsgegevens een melding te doen bij de toezichthoudende autoriteit (Autoriteit Persoonsgegevens).
In artikel 33 AVG is tevens een verplichting voor de verwerker opgenomen om een inbreuk zonder onredelijke vertraging bij de verantwoordelijke te melden. Artikel 34 AVG verplicht verantwoordelijke een inbreuk, die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, te vermelden aan de betrokkene.
Downloads
Download hier de volgende artikelen over privacy:
Checklist verwerkersovereenkomsten (AVG, 25 mei 2018)
Nieuwsitem Terugblik op Q1 2017 wet meldplicht datalekken, 12 mei 2017
Nieuwsitem Privacy agenda 2017, 21 februari 2017
Nieuwsitem Wet datalekken en Wbp, 5 juli 2016
Presentatie Privacy & security issues voor de contractmanager, Congres Grip op Contractmanagement, IIR Congres, 27 en 28 november 2013
Presentatie Privacy en Security, Hogeschool Rotterdam, 11 mei 2012
Artikel De juridische kant van informatiebeveiliging in een notendop, Best Practice Magazine 2008
Heeft u vragen of wilt u contact over wat Legalz als ICT-jurist voor u kan betekenen, neem dan contact op of bel +31 (0)10 2290646 en spreek meteen een medewerker.