Bereidt uw bedrijf zich al voor op de komende veranderingen in de privacy wetgeving?

Bereidt uw bedrijf zich al voor op de komende veranderingen in de privacy wetgeving?

Met ingang van 25 mei 2018 komt de Wet bescherming persoonsgegevens te vervallen en treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Doel van deze nieuwsbrief is om u al vast kennis te laten maken met de veranderingen en uw organisatie te helpen bij de voorbereiding hierop. Bij voorbaat al mijn excuses voor het soms wat technische taalgebruik.

Uw belang
De bescherming van persoonsgegevens is een wettelijke plicht die op elk bedrijf rust. Privacy betreft een grondrecht voor iedereen en dus ook voor werknemers. Werkgevers (en ondernemingsraden) realiseren zich echter vaak nog te weinig hoe relevant privacy(bescherming) is. Dit blijkt bijvoorbeeld uit een recente uitspraak van de Rechtbank Amsterdam (“https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2017:7888″>) over het gebruik van voornamen van Apple-werknemers in een klanttevredenheidsenquête; iedere bezoeker aan een Apple Store krijgt via de e-mail na een bezoek het verzoek een enquête in te vullen met vragen over de dienstverlening. De Amsterdamse rechter heeft onder meer – gelijk het advies hiertoe van de Autoriteit Persoonsgegevens – Apple en de ondernemingsraad in overweging gegeven te onderzoeken of door het gebruik van voornamen in die klanttevredenheidsenquête de privacy van werknemers in het geding komt.

Juridisch kader
Vanaf 25 mei 2018 zal in de gehele EU dezelfde privacywetgeving gelden. De Wet bescherming persoonsgegevens geldt dan in Nederland niet meer.

Uitgangspunten: Privacy by design and default
Uitgangspunten van de nieuwe privacywetgeving zijn ‘privacy by design’ en ‘privacy by default’. ‘Privacy by design’ houdt in dat er al bij het ontwerpen van producten en diensten voor dient te worden gezorgd dat persoonsgegevens goed worden beschermd. Ook dienen niet meer gegevens te worden verzameld dan nodig en moeten deze gegevens weer worden verwijderd zodra ze niet meer nodig zijn. ‘Privacy by default’ ziet erop dat de standaardinstellingen zo min mogelijk inbreuk dienen te maken op de privacy. Zo mag een organisatie bijvoorbeeld voor een abonnement op een nieuwsbrief niet meer gegevens vragen dan nodig.

De 10 belangrijkste verplichtingen en veranderingen uit de nieuwe privacywetgeving

  • Een registerplicht om alle verwerkingsactiviteiten van persoonsgegevens bij te houden.
  • De verplichting tot het opstellen van intern privacy beleid.
  • Het toepassen van ‘privacy by design’ en ‘privacy by default’ als onderdeel van de reeds bestaande plicht tot dataminimalisatie.
  • Het uitvoering geven aan nieuwe rechten van de betrokkenen: een recht op beperking van een verwerking van persoonsgegevens en een recht op overdraagbaarheid van gegevens.
  • Gedetailleerdere verplichtingen met betrekking tot het afsluiten van bewerkersovereenkomsten.
  • Het uitvoeren van Data Protection Impact Assessment (DPIA) voor risicovolle verwerkingen van persoonsgegevens.
  • Een uitbreiding van de categorie bijzondere persoonsgegevens: genetische gegevens en biometrische gegevens. Voor de verwerking van deze persoonsgegevens gelden (nog) strengere regels.
  • Een uitbreiding van de al bestaande meldplicht datalekken voor alle Europese Lidstaten.
  • Het in bepaalde gevallen verplicht aanstellen van een functionaris voor de gegevensbescherming, de Data Protection Officer.
  • Een verhoogd boetemaximum (20 miljoen euro of, bij ondernemingen, 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar) en een uitbreiding van de boetemogelijkheden van de Autoriteit Persoonsgegevens (AP).

Op een aantal van deze verplichtingen zal hieronder nader ingegaan worden.

Toestemming voor gegevensverwerking
De definitie van toestemming is in de AVG (artikel 4 lid 11): “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een duidelijke actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”. Nieuw is de voorwaarde dat bij gegevensverwerking voortaan een duidelijke actieve handeling moet worden verricht om de toestemming kenbaar te maken. Een stilzwijgend akkoord is onder de AVG dus nog eens uitdrukkelijk uitgesloten.

Toestemming moet ondubbelzinnig zijn. Dit betekent dat er voor de verantwoordelijke geen twijfel mag bestaan of de betrokkene wel echt bedoelt dat hij akkoord gaat met de gegevensverwerking. Dat betekent dat uw bedrijf zo specifiek mogelijk dient te vertellen waar iemand mee akkoord gaat.

Het woord ‘vrij’ in de definitie betekent dat bijvoorbeeld de toestemminggever een echte keuze heeft en geen nadelige gevolgen mag ondervinden als hij/zij diens toestemming weigert of intrekt. Hiermee wordt voorzien in bescherming tegen wanverhoudingen of afhankelijkheidsrelaties. Onder meer werkgevers moeten zich hier dus bewust van zijn ten opzichte van hun werknemers vanwege de gezagsverhouding. ‘Specifiek’ houdt in dat de toestemming moet gaan over een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Een (te) algemeen geformuleerde machtiging is dus onvoldoende. De informatie over het doel van de verwerking kan ook niet in de algemene voorwaarden worden opgenomen, maar moet verstrekt worden door middel van een aparte toestemmingsclausule.

In de AVG staan nog twee relevante voorwaarden voor toestemming: 1) u moet kunnen aantonen dat toestemming tot verwerking is gegeven en 2) de toestemminggever heeft te allen tijde het recht zijn/haar gegeven toestemming weer in te trekken – en dat moet u hem vooraf ook vertellen (artikel 7 lid 3 AVG). Ook het intrekken van toestemming moet – net als het toestemming geven – op een eenvoudige manier kunnen gaan. De gegevens die zijn verkregen op basis van toestemming moeten dan – althans ten aanzien van het doel waarvoor de toestemming was gegeven – direct verwijderd worden. Richt uw processen binnen uw organisatie hierop in! Aantal praktische tips op een rij:

  • Vraag om toestemming met een actieve handeling.
  • Registreer de toestemming om de gegeven toestemming te kunnen aantonen.
  • Vraag in eenvoudige/gewone mensentaal om toestemming.
  • Vraag telkens toestemming per aangelegenheid, dus voor ieder doel waarvoor de persoonsgegevens verwerkt worden.
  • Vraag om toestemming van ouders bij gegevens van kinderen jonger dan 16 jaar.
  • Het intrekken van toestemming moet eenvoudig kunnen plaatsvinden zijn en ‘toestemminggevers’ dienen – vóórdat zij hun toestemming geven – al op deze mogelijkheid gewezen te worden.

Recht op dataportabiliteit
Een ander recht dat onder de AVG ontstaat is het recht op ‘dataportabiliteit’. Met dit recht wordt de controle van betrokkenen op de eigen persoonsgegevens verstrekt. Betrokkenen moeten zo ook hun gegevens voortaan makkelijk kunnen verkrijgen om ze door te kunnen geven aan een andere organisatie. Dit geldt alleen wanneer gegevens automatisch worden verwerkt op basis van toestemming of een overeenkomst. Voorbeeld: de door een detacheerder verwerkte gegevens, zoals CV’s, moeten op een eenvoudige wijze inzichtelijk zijn voor een werknemer/gedetacheerde.

Over hoe dit operationeel door een organisatie ingericht moet worden, is de verordening helaas onduidelijk. Verantwoordelijken worden namelijk aangemoedigd om ‘interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken’ maar tegelijkertijd staat er ook: ‘het recht van de betrokkene om hem betreffende persoonsgegevens door te zenden of te ontvangen, mag voor de verwerkingsverantwoordelijke geen verplichting doen ontstaan om technisch compatibele systemen voor gegevensverwerking op te zetten of te houden’. Dit wordt dus vast nog vervolgd.

Verantwoordings- en registerplicht
De AVG legt meer nadruk op de verantwoordelijkheid van de onderneming om aan te tonen dat die zich aan de wet houdt. Dit houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Concreet betekent dit dat de verantwoordelijke organisatie een register van verwerkingsactiviteiten (verwerkingsregister) dient bij te houden. Dit is nodig om aan te tonen dat aan de vereisten van de toezichthouder wordt voldaan, maar ook voor het geval dat betrokkenen hun privacyrechten uitoefenen, zoals het recht op dataportabiliteit en ‘het recht om vergeten te worden’.

Data protection impact assessment (DPIA)
Onder de AVG kan een organisatie verplicht zijn een zogeheten Data Protection Impact Assessment (DPIA) uit te voeren (onder de huidige wetgeving kennen wij al de Privacy Impact Assessments = PIA). DPIA is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. Organisaties dienen een DPIA op te stellen als hun verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen van wie de gegevens worden verwerkt. Dat is in ieder geval:

    – als er systematische en uitgebreide beoordeling plaatsvindt van persoonlijke aspecten van (natuurlijke) personen en op grond daarvan beslissingen worden genomen met rechtsgevolgen. Denk bijvoorbeeld aan profiling.
    – bij grootschalige verwerking van bijzondere persoonsgegevens.

Daarnaast zijn er 9 criteria gegeven om te kunnen beoordelen wanneer een dergelijke DPIA dient te worden opgesteld. Hoe meer criteria van toepassing zijn, hoe waarschijnlijker het is dat de verwerking een verhoogd privacy risico heeft en een DPIA moet worden uitgevoerd. Vuistregel is dat bij voldoen aan twee of meer criteria een verhoogd privacy risico bestaat en een DPIA vereist is. Maar dit kan ook al bij één criterium het geval zijn, mits de verwerking voldoende vergaand is. De 9 criteria kunt op deze site vinden: “https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia””>

De “Data Protection Officer”
Een andere belangrijke wijziging zijn de veranderingen rond de zogeheten “Data Protection Officer” (DPO). De verplichting om een DPOG aan te stellen geldt alleen voor publieke instanties én organisaties waarvan de aard van de verwerking hiertoe aanleiding geeft of in geval van grootschalige verwerking van bijzondere gegevens. Andere organisaties zijn vrij om een DPO aan te stellen. De DPO moet toezien op alle verwerkingen van persoonsgegevens in een organisatie. Daarvoor mag hij/zij geen ‘dubbele pet ophebben’; de DPO mag dus geen senior management posities innemen of hoofd van HR of IT zijn. De DPO kan ook een extern persoon zijn. De DPO kan een fulltime of parttime functie betreffen en mag ook door een groep van ondernemingen worden aangewezen.

Betreft de verwerking van persoonsgegevens een kernactiviteit van uw onderneming of vindt dit op grote schaal plaats of is sprake van ‘regelmatige en systematische monitoring’, dan is een DPO verplicht. Is de DPO niet verplicht, dan wordt en DPO wel aanbevolen als “good practice”. In de uitzend- en detacheringsbranche kan ik me voorstellen dat een uitzender/detacheerder gebruik maakt van big-data analyse en daarmee sowieso een DPO dient aan te trekken. En zelfs als een uitzendbureau/ detacheerder geen big-data analyse uitvoert, wordt nog steeds veelvuldig grote hoeveelheden persoonlijke data behandeld. Een DPO wordt dan verplicht. Mijn advies luidt dan ook: begin tijdig met het vormgeven van de DPO rol binnen uw organisatie.

Sancties
De AP wordt straks bevoegd om sancties op te leggen die op kunnen lopen tot maximaal 20 miljoen euro of 4% van uw wereldwijde omzet. Per 28 mei 2018 kunnen de toezichthoudende autoriteiten ook nieuwe sanctiemogelijkheden en administratieve boetes opleggen. Administratieve boetes kunnen dan gaan oplopen tot 20 miljoen euro of tot 4% van de totale wereldwijde jaaromzet van uw bedrijf in het voorgaande boekjaar indien dit cijfer hoger is dan 20 miljoen euro. Deze boetes moeten doeltreffend, evenredig en afschrikwekkend zijn en kunnen worden opgelegd naast of in plaats van de andere genoemde maatregelen.

Bij het bepalen van de hoogte van de geldboete wordt rekening gehouden met:

  • De aard, ernst en duur van de inbreuk.
  • Is er sprake is van opzet of nalatigheid.
  • Zijn er maatregelen genomen om de door betrokkenen geleden schade te beperken.
  • De toerekenbaarheid gelet op de getroffen beveiligingsmaatregelen.
  • Is er sprake van eerdere inbreuken.
  • In hoeverre er met de toezichthouder is samengewerkt.
  • De categorieën van persoonsgegevens waarop de inbreuk betrekking heeft.
  • De wijze waarop de toezichthouder kennis heeft gekregen van de inbreuk (heeft de overtreder de inbreuk zelf gemeld of niet).
  • Zijn er al een of meer corrigerende maatregelen opgelegd.
  • Is de overtreder is aangesloten bij een gedragscode of certificeringsmechanisme.
  • Is er sprake van een strafverzwarende of -verhogende omstandigheid.

Conclusies
Door de overgang van de Wbp naar de AVG zijn er belangrijke veranderingen te ontwaren, te weten onder meer: de data protection impact assessment, de data protection officer en de verhoogde sancties op niet-naleving. Met een aantal punten (‘Privacy by design and default’, het recht op dataportabiliteit, en de verantwoordingsplicht) zal iedere organisatie aan de slag moeten. Voor bijvoorbeeld de DPIA en de DPO geldt dat het van de omstandigheden van het geval afhangt of een organisatie/werkgever hieraan moet voldoen.