ict en privacy

Hieronder wordt een aantal onderwerpen aangaande privacy besproken. U leest meer over de nut en noodzaak van privacy, de meldplicht datalekken, geldende privacywetgeving, verwerking buiten de EU, de bewerkersovereenkomst, de functionaris gegevensbescherming en de privacy impact assessment. 

Eerst een aantal begrippen en afkortingen:

  • AVG = de Algemene Verordening Gegevensbescherming (Verordening EU 2016/679 van 27 april 2016).
  • Wbp = de Wet bescherming persoonsgegevens van kracht sinds 1 september 2001 (uitwerking van Richtlijn 95/46/EG).
  • Persoonsgegeven = alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de "Betrokkene"). 
  • Verantwoordelijke = degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. 
  • Verwerker = degene die ten behoeve van verantwoordelijke persoonsgegevens verwerkt. 

Noodzaak aandacht voor privacy

Organisaties kunnen zich niet langer veroorloven het onderwerp privacy te negeren. Enerzijds vanwege strenger toezicht op- en handhaving van de naleving van de privacywetgeving. Anderzijds vanwege de maatschappelijke bewustwording van het belang van adequate bescherming van persoonsgegevens. 

De Autoriteit Persoonsgegevens bepleit in een brief van 6 april 2017 aan de Staatssecretaris van V&J dan ook dat het bedrijfsleven privacy niet alleen als belemmering maar ook als kans zou moeten zien en benoemt de juiste omgang met privacy als een 'unique selling point'. 

De meldplicht datalekken 

De Wet meldplicht datalekken verplicht organisaties met ingang van 1 januari 2016 om inbreuken op de beveiliging van persoonsgegevens te melden. De invoering van de meldplicht datalekken en de boetes die verbonden kunnen zijn aan de niet-naleving van deze wetgeving lijkt organisaties eindelijk wakkergeschud te hebben.

De wet meldplicht datalekken is thans geregeld in artikel 34a Wbp maar wordt vervangen door artikel 33 en 34 van de AVG. Artikel 33 AVG verplicht verantwoordelijke binnen 72 uur na kennisname van een inbreuk op de beveiliging van persoonsgegevens een melding te doen bij de toezichthoudende autoriteit (Autoriteit Persoonsgegevens). In artikel 33 AVG wordt tevens een verplichting voor de verwerker opgenomen om een inbreuk zonder onredelijke vertraging bij de verantwoordelijke te melden. Artikel 34 AVG verplicht verantwoordelijke een inbreuk, die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, te vermelden aan de betrokkene. 

Privacywetgeving 

Privacywetgeving reikt verder dan de Wpb en de AVG die de Wbp per 25 mei 2018 vervangt. Zo zijn er de e-Privacyverordening en de Richtlijn gegevensbescherming opsporing en vervolging. Daarnaast is er sector specifieke regelgeving. Neem bijvoorbeeld de Wet cliëntenrechten bij elektronische verwerking van gegevens. Sector specifieke wetgeving heeft een grote invloed op het gebruik van ICT in deze sectoren. 

Ook zijn er diverse documenten die in strikte zin geen wet zijn (niet bindend) maar die wel uitleggen hoe de wetgeving geïnterpreteerd en toegepast worden door toezichthoudende instanties. Zie bijvoorbeeld de guidelines van de WG29 en beleidsdocumenten en zienswijzen van de Autoriteit Persoonsgegevens (voorheen: Cbp). 

Verwerking buiten Europa en het Privacy Shield 

EU Privacy wetgeving
De doorgifte van persoonsgegevens naar niet-EU landen is verboden, tenzij die landen een ‘passend beschermingsniveau’ bieden.

Safe Harbor
De VS heeft geen algemene wetgeving voor de bescherming van persoonsgegevens. Doorgifte naar de VS is hierdoor verboden. Om doorgifte naar de VS te faciliteren is er in 2000 door de Europese Commissie een verdrag gesloten, genaamd Safe Harbor. Organisaties die zich hielden aan de Safe Harbor Principes werden geacht een passend beschermingsniveau te bieden. Naar aanleiding van onthullingen van voormalig lid van de CIA en klokkenluider Edward Snowden heeft een Oostenrijkse student een rechtszaak aangespannen tegen Facebook. Het Europese Hof van Justitie concludeerde in 2015 dat de Safe Harbor Principes geen passend beveiligingsniveau boden en heeft met die uitspraak het Safe Harbor-verdrag ongeldig verklaard.

Privacy Shield 
Ter vervanging van Safe Harbor is sinds 1 augustus 2016 het Privacy Shield-verdrag van toepassing. Het Privacy Shield is gebaseerd op:

  • stevige verplichtingen voor Amerikaanse bedrijven die persoonsgegevens bewerken. Regelmatige updates en controles van de deelnemende ondernemingen. Niet naleving van de Privacy Shield kan leiden tot verwijdering uit de lijst;
  • transparantieverplichtingen voor toegang door de Amerikaanse overheid; en
  • Europese burgers dienen een beroep te kunnen doen op verschillende toegankelijke en betaalbare geschillenbeslechting.

Bewerkersovereenkomst

Indien de verwerking van persoonsgegevens wordt uitbesteed aan een verwerker dan dient er schriftelijk een bewerkersovereenkomst (in de AVG: 'Verwerkersovereenkomst') te worden gesloten. Dit geldt ook tussen de verwerker en de sub-verwerkers die worden ingeschakeld. De AVG stelt een aantal minimumvereisten aan hetgeen in de bewerkersovereenkomst geregeld dient te worden. Zo vereist de AVG:

  • dat er wordt overeengekomen dat na afloop van de verwerkingsdiensten, de verwerker de persoonsgegevens wist of terugbezorgt (tenzij opslag wettelijk verplicht is);
  • dat de verwerker passende technische en organisatorische maatregelen treft en behoeve van de beveiliging van persoonsgegevens; en 
  • dat de verwerker audits mogelijk maakt en eraan bijdraagt om aan te tonen dat verwerker voldoet aan de verplichtingen uit de bewerkersovereenkomst. 

Checklist vereisten AVG

Klik hier voor de checklist vereisten AVG die de Algemene Verordening Gegevensbescherming stelt aan de inhoud van de verwerkersovereenkomst. Uiteraard kunnen hieronder ook andere onderwerpen (nader) worden geregeld indien en voor zover die tussen de partijen bij de overeenkomst nog niet (voldoende) zijn uitgewerkt.

Het sluiten van een bewerkersovereenkomst alleen is niet voldoende, verantwoordelijke dient ook toe te zien op de naleving van de gemaakte afspraken. 

Functionaris gegevensbescherming

De AVG verplicht de aanstelling van een functionaris gegevensbescherming in drie gevallen:

  1. indien de organisatie een overheidsinstantie of publieke organisatie is (rechtbanken uitgezonderd);
  2. indien de kernactiviteit van de organisatie ziet op stelselmatige observatie op grote schal van natuurlijke personen; en 
  3. indien de organisatie op grote schaal bijzondere persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerkt.

De functionaris gegevensbescherming wordt ook wel de FG of data protection officer (DPO) genoemd. De functionaris gegevensbescherming dient een natuurlijke persoon te zijn en deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming te bezitten. Nadere vereisten zijn door de Article 29 Data Protection Working Party uitgewerkt in de 'Guidelines on Data Protection Officers (DPO's)'. 

PIA (Privacy Impact Assessment)

De AVG verplicht de uitvoering van een PIA in de gevallen waar de bewerking waarschijnlijk een hoog risico inhoudt voor natuurlijke personen. Dit ziet in het bijzonder op gevallen waar nieuwe technologieën zullen worden toegepast en gevallen waar de aard, omvang, context of doeleinden van de verwerking een risico vormen. De PIA is een instrument om risico's van de verwerking van persoonsgegevens in kaart te brengen. 

In de AVG worden drie voorbeelden genoemd van gevallen waarin verwerking een hoog risico inhoudt voor natuurlijke personen:

  1. systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, gebaseerd op geautomatiseerde verwerking (bijvoorbeeld profilering), waarop besluiten worden gebaseerd die de natuurlijke persoon wezenlijk treffen;
  2. grootschalige verwerking van bijzondere persoonsgegevens of gegevens met betrekking tot strafrechtelijke vervolging; en
  3. stelselmatige en grootschalige monitoring in openbare ruimten. 

Dit is een niet-limitatieve opsomming. Nadere gevallen zijn door de Article 29 Data Protection Working Party uitgewerkt in de 'Guidelines on Data Protection Impact Assessment'.

Indien uit de resultaten van de PIA voortvloeit dat de verwerking een hoog risico voor de bescherming van persoonsgegevens oplevert dan dient u dit risico te beperken. Voorafgaande raadpleging bij de Autoriteit Peroonsgegevens (AP) dient plaats te vinden indien de beveiligingsmaatregelen die u treft (mogelijk) dit risico onvoldoende beperken. De AP voorziet de raadpleger van een schriftelijk advies. 

De PIA wordt ook wel een gegevensbeschermingseffectbeoordeling of Data Protection Impact Assessment (DPIA) genoemd. 

Downloads

Download hier de volgende artikelen over privacy:

Heeft u vragen of wilt u contact over wat Legalz als ICT-jurist voor u kan betekenen, neem dan contact op of bel +31 (0)10 2290646 en spreek meteen een medewerker.