De Europese Privacy verordening: een agendapunt voor 2014?!

dinsdag, 25 maart 2014

De Europese Privacy verordening heeft al ruim voordat deze in werking zal treden heel wat stof doen opwaaien. Het voorstel bevat niet alleen strengere privacy regels dan de huidige Nederlandse privacyregelgeving, maar kent ook een boeteregeling die kan oplopen tot 100 miljoen euro of 5% van de wereldwijde jaarlijkse omzet van een onderneming. Na inwerkingtreding zullen de bepalingen van de verordening rechtstreeks van kracht zijn in de lidstaten van de Europese Unie, dus ook in Nederland. 

Al op 25 januari 2012 heeft de Europese Commissie een voorstel voor een Algemene verordening gegevensbescherming ingediend bij het Europees Parlement. De verordening moet de huidige Privacy richtlijn 95/46/EG gaan vervangen. De richtlijn is in de diverse lidstaten op verschillende wijze geïmplementeerd in de nationale wetgeving en sluit ook niet goed aan op huidige en toekomstige technologieën. De voorgestelde verordening zal rechtstreeks werken in de lidstaten, zodat in de hele EU dezelfde privacyregels zullen gelden.

De commissie Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken van het Europees Parlement heeft diverse wijzigingen voorgesteld ten aanzien van het voorstel van de Europese Commissie Het gewijzigde voorstel van deze commissie is op 12 maart 2014 door het Europees Parlement met grote meerderheid (621 stemmen voor, 10 tegen en 22 onthoudingen) aangenomen.

De Europese Raad van Ministers, waarin de nationale vakministers zijn vertegenwoordigd (voor Nederland is dat de Staatssecretaris voor Veiligheid en Justitie Teeven) zullen nu een gezamenlijk standpunt gaan vormen over het aangenomen voorstel. De Raad komt hiervoor in in juni 2014 bij elkaar. Als de Raad een gezamenlijk voorstel heeft aangenomen zal een tripartiete overleg volgen tussen de Raad, de Europese Commissie en het Europees Parlement, alvorens een definitieve tekst kan worden aangenomen. Wanneer de tekst wordt aangenomen en op welke datum de verordening in werking zal treden is nog onduidelijk. Wel is duidelijk dat de nieuwe regels van de verordening een grote invloed zullen hebben op ondernemingen.

Hieronder een greep uit de belangrijkste bepalingen van het gewijzigde voorstel:

§  Boetes tot maximaal € 100.000.000 of 5% van de wereldwijde jaaromzet.

De Europese Privacy toezichthouders - in Nederland het College Bescherming Persoonsgegevens - krijgen de bevoegdheid om ondernemingen een boete op te leggen bij overtreding van de verordening. Daaronder valt bijvoorbeeld het niet documenteren van de verwerkingen van persoonsgegevens, het niet voldoen aan verzoeken van betrokkenen tot verbetering of afscherming van hun persoonsgegevens en het niet tijdig melden van datalekken.

§  Verplichte Functionaris voor de Gegevensbescherming (Privacy Officer)

Iedere onderneming die in een periode van 12 maanden persoonsgegevens verwerkt van meer dan 5.000 betrokkenen zal een Functionaris voor de Gegevensbescherming moeten aanstellen. Dit kan een werknemer zijn of een persoon van buitenaf die voor minimaal 2 jaar op basis van een overeenkomst deze taak vervuld.

§  Melden van datalekken binnen 72 uur

In het geval een datalek is ontstaan dient dit binnen 72 uur aan het College Bescherming Persoonsgegevens of een andere relevante toezichthouder te worden gemeld. Ook de betrokkenen dienen onverwijld te worden geïnformeerd indien het datalek waarschijnlijk negatieve gevolgen heeft voor de privacy van de betrokkenen.

§  Documentatieplicht

Zowel de verantwoordelijke voor de gegevensverwerking als de bewerkers (in de verordening verwerker genoemd) dienen alle documenten die betrekking hebben op de verwerking van persoonsgegevens - zoals een omschrijving van het doel van de verwerking en de categorieën  van betrokkenen - te bewaren en op verzoek van de toezichthouder over te leggen. Deze documentatieplicht komt in de plaats van de meldplicht bij het College Bescherming Persoonsgegevens.

§  Zelfstandige verantwoordelijkheid bewerkers

Bewerkers dienen onder meer passende technische en organisatorische maatregelen te nemen die in verhouding staan tot de risico’s die het verwerken van persoonsgegevens mee kunnen brengen. Naast de verantwoordelijke voor de verwerking van de persoonsgegevens kunnen ook bewerkers door de toezichthouder worden gesanctioneerd indien zij niet voldoen aan de verordening.

§  Voorwaarden voor toestemming

Indien toestemming is vereist om persoonsgegevens te verwerken moet de verantwoordelijke kunnen aantonen dat toestemming is gegeven. Dit verzoek om toestemming dient los te staan van andere aspecten, waarvoor de betrokkene zijn persoonsgegevens moet verstrekken, zoals bijvoorbeeld het online aanvragen van een dienst.

§  Recht op het laten wissen van gegevens

Betrokkenen hebben het recht om van de verantwoordelijke te vragen om al hun persoonsgegevens te wissen (‘right to erasure’). De verantwoordelijke zal daarbij ook zorg moeten dragen dat derden aan wie hij de gegevens heeft verstrekt ook over gaan tot het wissen van deze persoonsgegevens.

§  Doorgifte persoonsgegevens aan overheden buiten de EU

Indien een overheidsorgaan van buiten de EU persoonsgegevens opvraagt zal de verantwoordelijke daarvoor toestemming moeten vragen van het College Bescherming Persoonsgegevens of een andere relevante toezichthouder. Dit wordt ook wel de anti-NSA clausule genoemd.

Vanwege de hoge boete die bij overtreding van de nieuwe privacyregels kan worden opgelegd, is het aan te raden het privacybeleid nu al op de agenda te hebben staan, ook al wordt de inwerkingtreding van de verordening niet voor 2016 verwacht.