26 juni 2017 | Publicatie
Bron: E-Nieuwsbrief juni 2017
Door: Nathalie van der Zande

Is uw organisatie al voorbereid op de privacyverordening?

De huidige wetgeving omtrent privacybescherming gaat vanaf volgend jaar wijzigen. Deze wetswijziging zorgt ervoor dat er nog maar één privacywet geldt in de gehele Europese Unie (EU). Op grond van deze privacyverordening hebben organisaties meer verantwoordelijkheden en kunnen forse boetes tot 20 miljoen euro worden opgelegd. Is uw organisatie al voorbereid op de nieuwe privacyverordening?

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming van toepassing. Deze privacyverordening vervangt vanaf dat moment de huidige Europese richtlijn bescherming persoonsgegevens (95/46/EG) en de Nederlandse Wet bescherming persoonsgegevens (Wbp). Doel van deze privacyverordening is om binnen Europa een nog betere bescherming van persoonsgegevens te verzekeren. De privacyverordening sluit aan bij de huidige regelgeving, maar brengt wel nieuwe verplichtingen met zich mee. Als de strengere regels van de privacyverordening niet worden nageleefd, kan dit forse boetes tot gevolg hebben voor organisaties. Nederland heeft ervoor gekozen om de huidige Wbp per 25 mei 2018 te laten vervallen en te vervangen door de Uitvoeringswet Algemene verordening gegevensbescherming (Uitvoeringswet), waarbij aan de privacyverordening handen en voeten worden gegeven binnen de Nederlands rechtsorde.

Wat zijn de belangrijkste veranderingen?

Documentatieplicht
In de privacyverordening wordt meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om aan te kunnen tonen dat zij zich aan de strengere wettelijke privacyverplichtingen houden (accountability). Om die reden hebben organisaties een documentatieplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om te voldoen aan de gestelde eisen in de privacyverordening.

Hulp bij naleving van de privacyverordening
Tegelijkertijd biedt de privacyverordening meer instrumenten die organisaties helpen om de wet na te leven. ‘Privacy by design’ en ‘Privacy by default’ zijn hier een voorbeeld van. De methode ‘privacy by design’ houdt in dat organisaties bij het ontwikkelen van (nieuwe) informatiesystemen en diensten vanaf het begin af aan rekening dienen te houden met privacy aspecten van personen. ‘Privacy by default’ houdt in dat de instellingen van bijvoorbeeld een social-media platform of een programma, app, website of dienst standaard de hoogst mogelijke privacy garandeert. Het ‘privacy by default’ principe dient ervoor te zorgen dat de privacy van gebruikers in dit soort situaties maximaal worden beschermd.

Geen meldingsplicht bij AP
Verantwoordelijken hoeven geen melding meer te doen van verwerking van persoonsgegevens bij de Autoriteit Persoonsgegevens (AP). Wel moet in bepaalde gevallen een register worden bijgehouden.

Privacy impact assessment
Op grond van de privacyverordening kunnen organisaties verplicht worden om een privacy impact assessment (PIA) uit te (laten) voeren. De PIA is een instrument om vooraf te beoordelen wat de privacyrisico’s zijn van gegevensverwerking. Het uitvoeren van een PIA is niet voor elke gegevensverwerking verplicht. Een PIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor betrokkenen. Hiervan is sprake binnen een organisatie, indien op i) systematische en uitvoerige wijze persoonlijke aspecten worden geëvalueerd, ii) op grote schaal bijzondere gegevens worden verwerkt, iii) en op grote schaal en systematisch mensen worden gevolgd in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Hoe hoog zijn de boetes?

Indien een organisatie de privacyverordening overtreedt kan de AP de organisatie een boete van maximaal 20 miljoen euro opleggen. Ten aanzien van de op te leggen boetes zijn twee categorieën overtredingen en bijbehorende maximale boetes te onderscheiden.

De eerste categorie ziet op overtredingen van verantwoordelijken ten aanzien van de privacyverordening, zoals schending van de documentatieplicht. De AP kan op grond van dit soort schendingen een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

De tweede categorie ziet op overtredingen van verantwoordelijken ten aanzien van de beginselen of grondslagen van de privacyverordening. Of overtreding van de privacyrechten van de betrokkenen. In dit geval kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Zorg dat u tijdig maatregelen neemt
Het is op grond van het voorgaande van belang dat u als ondernemer stilstaat bij de toepasselijkheid van de privacyverordening op uw bedrijfsvoering, zodat u nu alvast maatregelen kunt treffen om de veiligheid van persoonsgegevens te waarborgen en forse boetes kunt vermijden.

Meer informatie?
Heeft u vragen over het privacyrecht of wilt u alvast een datalekprotocol opstellen? Neem dan contact op met Nathalie van der Zande, telefoonnummer 0172-503250, e-mail nvanderzande@lagrolaw.nl.