Nieuwe privacywetgeving: 5x beter voorbereid

Nieuwe privacywetgeving: 5x beter voorbereid

Redactie Baaz
Privacy is hot. Bijna dagelijks verschijnen nieuwsberichten over afluisterschandalen en datalekken. Consumenten zijn zich in toenemende mate bewust van hun zogenaamde ‘digitale voetafdruk’. Het is dan ook niet verwonderlijk dat deze ontwikkeling gepaard gaat met een groeiende aandacht voor strengere privacywetgeving. Zo bereid je je goed voor.

Wie dacht dat we met de cookie-wetgeving alles wel gehad zouden hebben, heeft het mis. Vanuit Europa komt er nieuwe privacywetgeving aan die zal leiden tot meer bescherming voor de consument en strengere regels voor het bedrijfsleven. En zoals altijd geldt: een goede voorbereiding is het halve werk. Op 21 oktober heeft de LIBE commissie van het Europees Parlement gestemd over de introductie van een Algemene Verordening Gegevensbescherming, die ervoor zal zorgen dat in alle Europese lidstaten dezelfde privacyregels zullen gelden. Hoewel over de definitieve inhoud van de verordening nog wordt onderhandeld, is één ding nu al duidelijk: bedrijven moeten privacy compliance de komende jaren hoog op de agenda plaatsen.

De meest in het oog springende veranderingen

De voorgestelde verordening breidt de rechten van betrokkenen aanzienlijk uit. Zo dient in veel gevallen expliciet toestemming van de betrokkene te worden verkregen om persoonsgegevens te mogen verwerken. En bij het woord ‘persoonsgegevens’ moet je niet langer alleen denken aan traditionele persoonsgegevens zoals iemands naam, telefoonnummer en emailadres. Uit de toelichting op de verordening blijkt namelijk dat ook IP-adressen, cookiedata en geodata onder dit begrip, en daarmee onder de aangescherpte wetgeving, zullen vallen.

Ook krijgen betrokkenen, mits aan bepaalde voorwaarden is voldaan, het recht om hun persoonsgegevens te laten verwijderen. Daarbij stelt de verordening strengere eisen aan de informatievoorziening naar de betrokkenen toe en aan de beveiliging van persoonsgegevens. Om aan alle vereisten van de verordening te kunnen voldoen zullen veel bedrijven de inrichting van hun systemen en de wijze waarop zij persoonsgegevens verwerken moeten aanpassen.

De verandering die misschien wel het meest in het oog springt is de sanctiemogelijkheid bij overtreding van de bepalingen uit de verordening. Een overtreding kan leiden tot een maximale boete van 100.000.000 euro of 5 procent van de wereldwijde jaaromzet. Dit is een groot verschil met de huidige situatie waarin het College Bescherming Persoonsgegevens ‘slechts’ een boete van ten hoogste 4500 euro kan opleggen.

De verwachting is dat de verordening in 2015 in werking zal treden. Dit lijkt ver weg, maar vooruitlopend op de nieuwe verordening is de Tweede Kamer nu al bezig met het aanscherpen van de huidige wetgeving, bijvoorbeeld door de invoering van een wet meldplicht datalekken. Het is daarom voor bedrijven van groot belang om zich nu alvast voor te bereiden op wat komen gaat.

Tip 1: Breng in kaart welke persoonsgegevens worden verwerkt

Allereerst moet duidelijk worden of, en zo ja, welke gegevens worden verwerkt binnen het bedrijf. Onder persoonsgegevens vallen – kort gezegd - alle gegevens die je kunt herleiden tot een natuurlijk persoon. Het verwerken daarvan is elke handeling met betrekking tot persoonsgegevens, waaronder het verzamelen, vastleggen, bewaren, opvragen en verspreiden. Het hebben van een enkel klantenbestand valt hier dus al onder. Ga ook na of voor het verwerken van deze gegevens aantoonbaar toestemming is verleend door de betrokkene. Sommige verwerkingen zullen niet langer worden toegestaan indien hiervoor geen expliciete toestemming is verkregen, en het is aan het bedrijf deze toestemming te bewijzen.

Tip 2: Bewaar gegevens niet onnodig

Zodra je in kaart hebt gebracht welke persoonsgegevens binnen het bedrijf worden verwerkt, kun je je afvragen waarom het gebeurt. Voor welke doeleinden is het belangrijk om deze gegevens te bewaren? Zitten er wellicht gegevens tussen die niet langer bewaard hoeven blijven? Als de gegevens niet (langer) worden bewaard voor een duidelijk omschreven doel, dan kunnen deze met het oog op privacy-compliance beter verwijderen.

Tip 3: Maak iemand verantwoordelijk voor privacy

Met de introductie van de verordening dient elk bedrijf dat persoonsgegevens verwerkt van meer dan vijfduizend personen een zogenaamde ‘functionaris voor de gegevensbescherming’ aan te stellen. Deze functionaris moet onder meer toezien op de uitvoering en toepassing van het privacybeleid en op de uitvoering en toepassing van verschillende bepalingen van de verordening, zoals het zoveel mogelijk beperken van gegevensverwerkingen, het beveiligen van gegevens en het voldoen aan bijvoorbeeld een verzoek tot verwijdering van een betrokkene. Hoewel de grens van vijfduizend personen wellicht hoog lijkt, zullen veel kleine bedrijven al snel een klantenbestand hebben van vijfduizend personen of meer en dus verplicht zijn een functionaris aan te stellen. Maar ook voor bedrijven die hier niet onder vallen is het aan te raden iemand aan te wijzen die het naleven van de privacy wetgeving coördineert en de constante veranderingen op de voet volgt.

Tip 4: Herlees het privacybeleid en update deze waar nodig

Op dit moment is een privacybeleid, hoewel nuttig, niet verplicht. Dit wordt anders na inwerkingtreding van de verordening. De verordening verplicht alle bedrijven, groot en klein, om een transparant privacybeleid te voeren dat bovendien voor betrokkenen toegankelijk is. Dus stel een privacybeleid op dat voor iedereen makkelijk toegankelijk is. Zorg daarbij dat uit het beleid in ieder geval volgt welke gegevens worden verwerkt, voor welke doeleinden dit gebeurd en op welke wijze betrokkenen hiertegen bezwaar kunnen maken.

Tip 5: Neem de systeembeveiliging onder de loep

Vooruitlopend op de meldplicht voor datalekken die is opgenomen in de verordening buigt de Tweede Kamer zich momenteel over een eerdere invoering van een meldplicht voor datalekken. Op grond van het wetsvoorstel moet een bedrijf een datalek zo snel mogelijk, maar uiterlijk binnen 24 uur, melden aan het College Bescherming Persoonsgegevens en in sommige gevallen ook aan de betrokkene(n) wiens gegevens door het datalek in gevaar zijn gekomen. Op het niet (tijdig) melden staat een boete van maximaal 450.000 euro. Neem de systeembeveiliging onder de loep en verbeter deze waar mogelijk. Stel daarnaast een noodplan op voor het geval een datalek plaatsvindt, zodat iedereen binnen het bedrijf weet hoe hij bij een datalek moet reageren, welke stappen moeten worden ondernomen en wie verantwoordelijk is voor de uitvoering hiervan.

Redactie Baaz
Door: Redactie Baaz
Redactie

Redactie Baaz

Redactie