Nieuwe privacywetgeving op komst

De belangrijkste wijzigingen op een rij

door: op 03/09/15 in IT- & Privacyrecht, Levensmiddelenrecht & warenwetgeving,

Ondanks het vele gebruik van persoonsgegevens staat het onderwerp privacy niet hoog op de agenda bij veel ondernemingen

Veel Nederlandse ondernemingen verwerken persoonsgegevens en hebben dus te maken met de Wet bescherming persoonsgegevens ("Wbp”). Toch heeft het onderwerp privacy bij maar weinig bedrijven prioriteit.

Op korte termijn gaat daar mogelijk verandering in komen. Het Europees Parlement heeft op 12 maart 2014 een nieuwe privacyverordening aangenomen. Als ook de Raad van de Europese Unie de verordening goedkeurt, wordt een nieuwe privacywet van kracht met verstrekkende gevolgen voor alle verwerkers van persoonsgegevens. Alle reden dus voor een kort overzicht van enkele belangrijke aspecten uit de nieuwe wetgeving.

Huidige Wetgeving

Op iedere verwerking van persoonsgegevens is de Wbp van toepassing. Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon. Onder deze ruime

definitie vallen dus ook pasfoto’s, kentekens en telefoonnummers. Verwerking is alleen toegestaan

als er een grond bestaat die verwerking rechtvaardigt, zoals toestemming van de betrokkene of een gerechtvaardigd belang. Verwerking van bijzondere persoonsgegevens (zoals medische gegevens) is in beginsel verboden. In Nederland heeft het College Bescherming Persoonsgegevens de taak om de Wbp te handhaven. De CBP wordt echter weleens beschouwd als een ‘tandeloze tijger’, de wettelijke mogelijkheden van de CBP om sancties op te leggen zijn namelijk beperkt. Dit gaat veranderen als de privacyverordening wordt ingevoerd.

Hoge boetes bij schending privacy

In het wetsvoorstel is een breed scala aan boetebevoegdheden opgenomen. Als de wet wordt doorgevoerd heeft het CBP de bevoegdheid om boetes op te leggen die maximaal 5% van de wereldwijde jaaromzet kunnen bedragen.

Privacywet geldt voor iedereen die zaken doet in Europa

Als een niet Europese onderneming zaken wil doen op de Europese markt en zo wil profiteren van 500 miljoen potentiële klanten, dan moet men zich ook houden aan de Europese privacywet. Op basis van dit uitgangspunt heeft de Europese Raad voorgesteld dat de privacywet straks geldt voor iedere onderneming die in Europa persoonsgegevens verwerkt, ongeacht of die onderneming daadwerkelijk een vestiging in Europa heeft.

Meldplicht datalekken

Op grond van het voorstel moet een ‘datalek’ binnen 72 uur gemeld worden aan het CBP (of andere toezichthouder). Als het waarschijnlijk is dat het datalek de bescherming van de persoonlijke levenssfeer van de betrokkene nadelig beïnvloedt, moet ook de betrokkene zelf onverwijld ingelicht worden.

The right to be forgotten

De verordening beoogt te waarborgen dat consumenten meer controle krijgen over hun ‘online identity’, bijvoorbeeld door op verzoek ‘vergeten’ te worden. Consumenten krijgen het recht hun (online) vastgelegde persoonsgegevens door de verantwoordelijke te laten wissen. Die verantwoordelijken moeten er vervolgens ook voor zorgen dat derden aan wie gegevens zijn verstrekt ook over gaan tot het wissen van die persoonsgegevens.

Aanstellen data protection officer

Als een onderneming de verwerking van persoonsgegevens als core business heeft (verwerking van gegevens van meer dan 5000 betrokkenen) is het aanstellen van een ‘functionaris voor de gegevensbescherming’ voortaan verplicht. Deze taak kan worden vervuld door een eigen daartoe

gekwalificeerde werknemer of door een externe partij, mits deze die taak minimaal 2 jaar vervult.

Alleen expliciete toestemming voldoende

Soms is verwerking van persoonsgegevens alleen toegestaan met toestemming van de betrokkene. In dat geval dient toestemming voortaan altijd expliciet te zijn gegeven. Impliciete toestemming (bijvoorbeeld door deze te ‘verstoppen’ in algemene voorwaarden of in een privacy-statement) is niet meer voldoende.

Anticipeer op de privacy verordening!

Laat je niet verrassen door de nieuwe privacywet. Zodra de verordening definitief wordt doorgevoerd gaat er veel veranderen op het gebied van privacy. De impact op ondernemingen die

persoonsgegevens verwerken zal groot zijn. Het is daarom nu al verstandig het onderwerp privacy hoog op de agenda te plaatsen en te onderzoeken of uw onderneming voldoet aan de (toekomstige) privacywetgeving.

Meer publicaties over dit onderwerp

REAGEREN OF VRAGEN?