2016 het jaar van de aap? Of 2016 staan we voor aap?

Dat het goed beschermen van persoonsgegevens een cruciale zaak is waar niet alleen wij maar de hele Europese Unie mee te maken heeft, daarvan houdt onze jurist Alexander Singewald ons nauwgezet op de hoogte. Wij willen u zijn laatste update over deze materie en het fenomeen ‘datalekken’ niet onthouden.

De eisen die worden gesteld aan het verwerken van persoonsgegevens zijn de afgelopen periode aan enkele wijzigingen onderhevig geweest. Europese Verordening, datalekken en afschrikwekkende boetes tot boven de acht ton maken nu of in de toekomst deel uit van de dagelijkse realiteit van organisaties die omgaan met persoonsgegevens.

Europese verordening bescherming persoonsgegevens
Eind 2015 is in Brussel de Europese Verordening bescherming persoonsgegevens tot stand gekomen. Eind 2017, begin 2018, zal deze Verordening van kracht worden in alle lidstaten van de Europese Unie en vervallen alle lokale Wet bescherming persoonsgegevens. Er komt dus een algemene EU brede wet, een Verordening voor terug. De Verordening verschilt op een aantal aspecten van de huidige Wet bescherming persoonsgegevens. Maar wanneer de Wet bescherming persoonsgegevens in de organisatie op een goede manier is ingevoerd en wordt gemonitord dan zal de overgang van wet naar Verordening meevallen, de wereld gaat in ieder geval niet op zijn kop. Ook het verwerken van persoonsgegevens voor direct marketing doeleinden wordt niet verboden. Wel zal de verwerking van persoonsgegevens transparanter dienen te zijn voor de betrokkene. Dit betekent dat de informatieverplichtingen in 2017/2018 zullen worden uitgebreid. Het absolute recht van verzet (het blokkeren van de persoonsgegevens tegen het verwerken voor commerciële en/of charitatieve doeleinden) blijft. Op dit moment wordt de Europese Verordening die in het Engels beschikbaar is vertaald naar de talen van de landen binnen de Europese Unie. In een volgende nieuwsbrief zal nader worden ingegaan op de gevolgen.

Nieuwe verordening, zijn we dan ook van de opt-out voor ongevraagde oproepen, het Bel-me-niet register, de gevraagde oproep en voorafgaande toestemming voor e-mail af?
Nee, helaas niet. De opt-out regeling voor ongevraagde oproepen, de regeling met betrekking tot gevraagde oproepen en toestemming voor e-mail staan namelijk in de E-privacy richtlijn en dus niet in de Verordening. De E-privacy richtlijn zal op termijn worden geëvalueerd en waar nodig aangepast. Als de e-privacy richtlijn een richtlijn blijft dan zullen alle lid staten van de Europese Unie weer eigen wetgeving moeten maken met alle verschillen van dien. Daarom wordt er op aangedrongen om van de e-privacyrichtlijn ook maar een Europees brede Verordening te maken. Maar voorlopig zijn wij nog niet af van de opt-out voor ongevraagde oproepen, het Bel-me-niet register, de gevraagde oproep en voorafgaande toestemming voor e-mail.

En 1 januari jongstleden dan, wat is er toen van kracht geworden?
Op 1 januari 2016 zijn twee nieuwe artikelen in de Wet bescherming persoonsgegevens in werking getreden, artikel 34a Wbp, datalekken en artikel 66 Wbp, bestuurlijke boetes. Hiermee neemt Nederland vast een voorschot op de Verordening, die pas in 2017/2018 in werking zal treden met betrekking tot datalekken en bestuurlijke boetes.

Wat is een datalek?
Een datalek is een inbreuk op de beveiliging van persoonsgegevens die, leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevensgegevens. Het kan hierbij gaan om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Ditmeijers’ hanteert state-of-the-art beveiligings methoden, soft en hardwarematig, alsmede organisatorische maatregelen om de persoonsgegevens die zij als bewerker voor opdrachtgever/adverteerder bewerkt, op een adequaat niveau zijn beschermd.

Daarnaast heeft Ditmeijers’ een protocol opgesteld voor het geval er sprake zou zijn van een datalek. Dit protocol bestaat eruit dat de Verantwoordelijke/Opdrachtgever binnen uiterlijk 24 uur de benodigde informatie ontvangt van Ditmeijers’  zodanig gegroepeerd dat deze rechtstreeks kan worden opgenomen op het vragenformulier op de website van de Autoriteit Persoonsgegevens  wanneer de Verantwoordelijke/Opdrachtgever van mening is dat een melding wettelijk verplicht is.

De Opdrachtgever (de Verantwoordelijke voor de gegevensverwerking) dient de Autoriteit Persoonsgegevens onverwijld (binnen 72 uur)  in kennis te stellen van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

De Opdrachtgever stelt de Autoriteit Persoonsgegevens in kennis door middel van het invullen van een vragenformulier op de website van de Autoriteit Persoonsgegevens.
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop, een verloren tablet of een inbraak in een databestand door een hacker.

Maar een van de beste manieren om een datalek te voorkomen is om stringent na te gaan welke persoonsgegevens wel en welke niet dienen te worden bewaard. Want wat je niet hebt bewaard kan niet lekken EN wat je niet hebt bewaard dient niet te worden beveiligd.

Bestuurlijke boetes
Tot slot heeft de Wetgever aan de Autoriteit Persoonsgegevens de mogelijkheid gegeven om bestuurlijke boetes op te leggen tot 820.000 euro. Er dient dan wel sprake te zijn van de overtreding van een beleidsregel zoals op het gebied van camera toezicht of  beveiliging, of opzettelijke overtreding van de Wbp.  Naast de bestuurlijke boete behoudt de Autoriteit Persoonsgegevens de mogelijkheid om de last onder dwangsom op te leggen. Hierbij legt de AP een voorwaardelijke boete op (dwangsom) om een partij te dwingen om de Wbp na te leven, doet de partij dat niet dan verbeurt de Autoriteit Persoonsgegevens de dwangsom. De procedure met betrekking tot de last onder dwangsom is een veel eenvoudigere voor de Autoriteit Persoonsgegevens. Het is de verwachting dat de Autoriteit Persoonsgegevens ook vooral de last onder dwangsom zal blijven toepassen.

Afronding
Deze bijdrage begon met 2016 het jaar van de aap en zorgt er voor dat u niet voor aap staat. Met deze kleine kennisverrijkingsbijdrage hoopt Ditmeijers’ voor haar opdrachtgever een verfrissende bron van informatie te blijven waarbij het voor de opdrachtgevers duidelijk is dat compliance hoog in het vaandel staat. En die aap, die blijft op de schouder waar die hoort, ok?

Afgesloten 22 februari 2016, mr Alexander J.J.T. Singewald

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*