Iedereen weet nu wel dat per 1 januari 2016 de Nederlandse Wet meldplicht datalekken in werking is getreden. Maar op Europees niveau neemt de privacy regelgeving zo mogelijk nog grotere sprongen. Er is namelijk een akkoord bereikt over de Europese Algemene Verordening Gegevensbescherming.
Na bijna vier jaar fors onderhandelen hebben de Europese Commissie, de Raad en het Europese Parlement in december 2015 overeenstemming bereikt over de Algemene Verordening Gegevensbescherming (AVG). Voor u als bestuurders of IT-security verantwoordelijke betekent dit dat u uw organisatie, maar ook uzelf weerbaar moet maken tegen aansprakelijkheden. Omdat de tekst van de AVG omvangrijk is – maar liefst 91 bepalingen – zetten wij met hulp van First Lawyers de belangrijkste vragen en aandachtspunten hieronder voor u op een rij.
Samenvatting van de belangrijkste AVG-bepalingen:
- De Algemene Verordening Gegevensbescherming is erop gericht dat klanten/patiënten/cliënten/burgers de controle terugkrijgen over hun persoonsgegevens. Dat betekent dat: 1.) u verplicht bent om vooraf inzichtelijk te maken hoe en waarvoor u de persoonsgegevens verwerkt; 2.) klanten/patiënten/cliënten/burgers dwingende middelen krijgen om te achterhalen hoe en wie u hun persoonsgegevens verwerkt; 3.) klanten/patiënten/cliënten/burgers u kunnen verplichten om de persoonsgegevens die u verwerkt over te dragen aan een andere (concurrerende) partij; 4.) klanten/patiënten/cliënten/burgers het recht krijgen om zich te laten verwijderen uit uw database, tenzij legitieme wettelijke vereisten dit voorkomen (denk aan een behandelplan van een arts); 5.) zij het recht hebben om te weten dat hun persoonsgegevens zijn gelekt bijvoorbeeld door een hack.
- Voor uw organisatie heeft tot gevolg dat u: 1.) voortaan verplicht bent om privacywaarborgen in de software te bouwen (privacy by design); 2.) bedrijven waarvan het moederbedrijf zich buiten de EU bevindt maar persoonsgegevens verwerken van EU burger, ook onder de reikwijdte van de AVG vallen; 3.) uw organisatie een Functionaris voor de Gegevensbescherming moet aanstellen op het moment dat de verwerking van persoonsgegevens tot één van uw kernactiviteiten behoort (denk aan een webshop of een e-health programma); 4.) uw organisatie binnen de EU nog maar aanéén privacyregime hoeft te voldoen. Dat maakt de implementatie en uiteindelijk de compliance eenvoudiger; 5.) u voortaan nog maar metéén toezichthouder te maken krijgt (one-stop-shop).
- Net als de Wet meldplicht datalekken, levert een overtreding van de AVG een boete van materieel belang op, waarvan vaststaat dat die gevolgen heeft op de jaarrekening. De boete kan oplopen tot vier procent van de wereldwijde jaaromzet. Het is noodzakelijk om daarover te spreken met uw interne en externe accountant.Â
Wat betekent de inwerkingtreding van de AVG concreet voor de Nederlandse Wet bescherming persoonsgegevens (“Wbp”) en de Wet meldplicht datalekken?
Omdat een verordening rechtstreeks doorwerkt in de nationale rechtsorde, betekent de inwerkingtreding van een verordening dat (daarmee strijdige) nationale wetgeving opzij wordt gezet. De nationale wet- en regelgeving die haaks staat op de verordening, zal dus voortaan ongeldig zijn. In de praktijk betekent de inwerkingtreding van de AVG, dat de tekst van de Wbp – en daarmee dus ook de Wet Meldplicht datalekken – wordt vervangen door de tekst van de AVG. Gelukkig is er met de inwerkingtreding van de Wet Meldplicht datalekken al een groot verschil met de AVG opgevangen; de bepalingen die per 1 januari 2016 in Nederland van kracht zijn lijken in zekere mate op de bepalingen van de AVG. Dat scheelt u dubbele implementatiekosten.
Met de AVG in het vooruitzicht, heeft het dan nog zin om compliant te worden met de Nederlandse Wbp en de Wet meldplicht datalekken?
Ja. De AVG zal pas over 2 jaren worden gehandhaafd. In de tussen gelegen tijd riskeert u sancties van de Nederlandse Autoriteit Persoonsgegevens. Met de inwerkingtreding van de Wet meldplicht datalekken is het Nederlandse privacyregime behoorlijk stricter/strenger geworden. Veel bepalingen uit de Wet meldplicht datalekken lijken in zekere mate op de bepalingen van de AVG. De Nederlandse wetgever probeert daarmee het Nederlandse bedrijfs- organisatieleven voor te bereiden op de AVG. Door nu te conformeren aan de Wet meldplicht datalekken wordt u dus niet alleen compliant naar de Nederlandse toezichthouder, maar ook alvast naar de Europese toezichthouder. Dat scheelt u (zo mogelijk) werk.
Waar moet u beginnen?
Op de lange termijn: het is essentieel dat u uw gegevensverwerkingen in kaart brengt en een inschatting maakt hoeveel risico uw organisatie loopt. U doet dat door te bekijken met welke wettelijke bepalingen uw organisatie niet-compliant is. Met de resultaten kunt u vervolgens rekening houden bij de aanschaf van nieuwe software, het treffen van securitymaatregelen, het opstellen van een privacybeleid, maar ook bij minder voor de hand liggende zaken zoals een fusie of overname. Vergeet u bovendien niet dat u nu al verplicht bent om al uw verwerkingen vooraf te melden bij de Autoriteit Persoonsgegevens (voorheen CBP). Vervolgens, werk aan een gedegen privacyboekhouding ten behoeve van uw organisatie, maar ook ten behoeve van bestuurders en IT security verantwoordelijken (zodat u u kunt verweren tegen een claim).Â
Op de korte termijn: zorg voor awareness (maak de mogelijkheid van privacyinbreuken bespreekbaar met collega’s en maak mensen alert); zorg er voor dat uw organisatie beschikt over een weerbare bewerkersovereenkomst – ON2IT beschikt daarover – die u weerbaar maakt tegen aansprakelijkheden; voer een quick scan – Zero Trust Gap Analysis – uit zodat u in staat bent uw een securitymaatregelen op niveau kunt brengen voor de meest gevoelige persoonsgegevens; benoem iemand binnen uw organisatie als Functionaris voor de Gegevensbescherming of leidt iemand op; stel een draaiboek datalekken op; meld uw gegevensverwerkingen bij het CBP, maak een start met uw privacyboekhouding.Â
Mocht u aan de hand van deze informatie nog vragen hebben, wij kunnen u kosteloos in contact brengen met ons contactpersoon bij First Lawyers.
