Privacy Agenda 2017
Organisaties hebben een roerig jaar achter de rug op het gebied van privacy. Het jaar begon met de Wet Meldplicht Datalekken die organisaties met ingang van 1 januari 2016 verplicht om inbreuken op de beveiliging van persoonsgegevens te melden. Slechts vijf maanden later werd een belangrijke wetswijziging op het gebied van privacyrecht aangekondigd: de Europese Verordening Gegevensbescherming (AVG) die per mei 2018 de Wet bescherming persoonsgegevens (Wbp) zal vervangen. Vlak erna, op 12 juli 2016 is door de Europese Commissie het EU-VS Privacyschild aangenomen ter vervanging van het Safe Harbor-verdrag.
Wat staat ons te wachten op het gebied van privacybescherming?
Effecten van meldplicht datalekken
In de periode van 1 januari tot en met 15 december 2016 zijn er 5500 datalekken gemeld bij de Autoriteit persoonsgegevens terwijl er door de Autoriteit persoonsgegevens fors meer meldingen werden verwacht. Voor zover bekend is de gevreesde boete, die kan oplopen tot € 820.000,- voor bijvoorbeeld het niet melden van een datalek, nog niet opgelegd. De Autoriteit Persoonsgegevens geeft echter aan in 2017 “niet (te) aarzelen ernstige overtredingen van de Wbp te onderzoeken en zo nodig handhavende maatregelen te nemen.” (bron: Autoriteit Persoonsgegeven, 27 januari 2017: Agenda 2017)
Voorbereidingen op de AVG
De Wet Bescherming Persoonsgegevens (Wbp) zal van kracht blijven tot 28 mei 2018. Echter organisaties kunnen zich niet langer veroorloven om de voorbereidingen op de AVG uit te stellen. Organisaties dienen vast te stellen of diensten en producten voldoen aan de vereisten van de AVG.
Een fractie uit de ingrijpende veranderingen:
- De documentatieplicht: organisaties dienen een register van de verwerkingsactiviteiten die plaatsvinden bij te houden. Daarnaast moeten organisaties op papier kunnen aantonen dat zij passende en technische organisatorische maatregelen nemen om aan de eisen van de AVG te voldoen. Hier dienen organisaties hun processen op aan te passen.
- Functionaris gegevensbescherming: voor sommige organisaties wordt het verplicht om een FG (Data Protection Officer – DPO) aan te stellen.
- Bewerkersovereenkomst: de bewerkersovereenkomst die voortaan ook de ‘verwerkersovereenkomst’ kan heten dient voortaan aan een behoorlijk aantal eisen te voldoen. Organisaties dienen de bestaande bewerkersovereenkomsten te (her)beoordelen en nieuwe (model)verwerkersovereenkomsten op te stellen.
Rechtszaak over de geldigheid van het Privacy Shield
Het Privacy Shield is in de zomer 2016 in de plaats gekomen van het Safe Harbor-verdrag. Het Safe Harbor-verdrag is naar aanleiding van de rechtszaak Schrems/Facebook op 6 oktober 2015 door het Europese Hof van Justitie ongeldig verklaard. Volgens de EC voldoet het Privacy Shield aan de eisen die het EU HvJ vaststelde in de rechtszaak tegen Facebook.
Het Privacy Shield biedt juridische zekerheid voor ondernemingen die gegevensdoorgifte tussen de EU en de VS bewerkstelligen. Hoe lang die juridische zekerheid blijft bestaan is echter onduidelijk. Op 21 oktober 2016 heeft de Ierse Privacy Belangenbehartiger (Digital Rights Ireland Ltd.) een zaak aanhangig gemaakt bij het (EU) Gerecht van eerste aanleg waarin zij stelt dat óók het Privacy Shield de privacy rechten van de Europese burgers onvoldoende waarborgt.
Het is nog niet duidelijk of de zaak van Digital Rights Ireland in 2017 überhaupt wordt beoordeeld. Allereerst zal het EU Gerecht de ontvankelijkheid van het verzoek beoordelen. Indien de zaak ontvankelijk is, wordt het niet ondenkbaar geacht dat óók het Privacy Shield ongeldig verklaard wordt. Belangenbehartigers maar ook Europese toezichthouders hebben hun zorgen uitgesproken over het feit dat het Privacy Shield niet voldoende weerstand biedt tegen onder andere het op grootschalige en ongerichte wijze van verzamelen van persoonsgegevens door de Amerikaanse inlichtingendiensten.
Advocatenkantoor Legalz
Sinds 1 januari 2016 constateren wij sterk verhoogde aandacht voor het onderwerp privacy. Zeker in de ICT-branche spelen vele vragen en onduidelijkheden. Neem contact met ons op voor meer informatie over de Algemene Verordening Gegevensbescherming, het opstellen of (her)beoordelen van de bewerkersovereenkomsten en de andere vraagstukken die u heeft op het gebied van privacy recht.