Wat betekent de Europese Privacyverordening voor jou?
Op 14 april jl. was het dan eindelijk zo ver: de uiteindelijke tekst van de Algemene Verordening Gegevensbescherming, populair de Privacyverordening genoemd, werd aangenomen door het Europees Parlement. Daarmee kwam een eind aan een jarenlange discussie over de voors- en tegens van strenge privacybescherming. De nieuwe regels voor de omgang met persoonsgegevens, het recht te worden vergeten en het kunnen opleggen van boetes, zijn vanaf nu bekend. Wat betekent het voor jou?
Richt je organisatie hier nu al op in
De Verordening zal per 25 mei 2018 van toepassing zijn in alle EU-lidstaten. Daarmee vervalt nationale privacywetgeving binnen deze lidstaten die is gebaseerd op de Europese richtlijn uit 1995. Ondanks dat het nog anderhalf jaar zal duren voordat de Verordening van toepassing zal zijn, is het, niet in de laatste plaats voor bedrijven die actief zijn in de (direct) marketing, van belang om hun processen, gegevensverwerking en beheer al ruim voor die tijd conform de Verordening te organiseren. Een goede voorbereiding is immers het halve werk; bovendien liegen de mogelijke sancties bij non-compliance er niet om.
De vraag is dan ook: wat betekent de Verordening voor jou in de praktijk?
Aanscherping en uitwerking van bestaande wetgeving
De Verordening is geen principiële wijziging, maar vooral een aanscherping en uitwerking naar de internetomgeving. Zo kreeg het ‘recht te worden vergeten’ op internet erg veel aandacht. Dit is echter niet meer dan een uitwerking van het bestaande recht om irrelevante persoonsgegevens te laten verwijderen. Het is dus eigenlijk ‘niets nieuws’.
Nieuwe rechten en plichten
Enkele zaken zijn wél nieuw. Neem bijvoorbeeld het recht van dataportabiliteit: de betrokkene (de persoon op wie de gegevens betrekking hebben) moet zijn persoonsgegevens mee kunnen nemen naar een andere verantwoordelijke, en wel in een standaard elektronisch formaat. Je moet dus tegen Facebook kunnen zeggen dat je een export van je gegevens wilt ontvangen om deze te kunnen verstrekken aan een ander sociaal medium.
Daarnaast wordt direct marketing expliciet gereguleerd. Zo wordt gesteld dat betrokkenen altijd bezwaar mogen maken tegen het gebruik van hun gegevens ten behoeve van direct marketing. De eisen voor de (online) privacyverklaring zijn dat deze moet worden ontdaan van juridische taal en “transparant en eenvoudig toegankelijk” moet worden voor de leek.
Meer accountability
Verder dwingt de Verordening tot meer accountability. Procesinrichting, -beheersing, compliance maar vooral ook documentatie zijn hierbij de toverwoorden. Organisaties dienen verplicht een schriftelijk (of elektronisch) register bij te houden waarin alle activiteiten worden omschreven waarbij persoonsgegevens worden verwerkt. In een register dient onder andere het volgende opgenomen te worden:
- contactgegevens;
- de doeleinden van de gegevensverwerking;
- een beschrijving van de categorieën van betrokkenen;
- de ontvangers van de gegevens;
- een beschrijving van de beveiligingsmaatregelen en de beoogde bewaartermijnen.
Dit register is niet verplicht voor organisaties met minder dan 250 medewerkers, tenzij er stelselmatig (bijzondere) persoonsgegevens worden verwerkt, of de verwerking een risico voor de betrokkenen inhoudt. Op verzoek van de toezichthouder dient het register aan de toezichthouder overhandigd te worden ter controle. Organisaties moeten kunnen verantwoorden waarom het niet een onsje minder kan met die persoonsgegevens. En in bepaalde gevallen dient er ook nog een privacy officer aangesteld te worden.
Boetebevoegdheid, ook voor Google en Facebook
Om dit alles kracht bij te zetten, krijgt de toezichthouder een boetebevoegdheid die op kan lopen tot € 20.000.000,- per overtreding of 4 procent van de wereldwijde jaaromzet. Wereldwijd, want Google, Facebook en andere Amerikaanse bedrijven kunnen ‘pakken’ is expliciet de bedoeling. Deze vallen volgens de Verordening onder Europese jurisdictie wanneer zij persoonsgegevens van Europese burgers verwerken door het leveren van goederen/diensten of door het monitoren van Europese burgers, ongeacht in welk land dat gebeurt.
Het begrip ‘persoonsgegeven’ wordt specifieker en breder
Allereerst wordt het begrip ‘persoonsgegeven’ gemoderniseerd. Men gaat verder dan onze huidige privacywet, de Wet bescherming persoonsgegevens (Wbp), die enkel spreekt van ‘gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. De Verordening is wat dat betreft specifieker, maar ook breder. Zo worden ook locatie en online nicknames beschermde data.
Hiermee komt er eindelijk een einde aan de discussie of een IP-adres, kenteken, nickname of “die meneer op de achterste bank met dat rode shirt” nu een persoonsgegeven is. Dat zijn ze: ze identificeren iemand aan de hand van een bepaalde identifier, en dat is genoeg. Dit betekent ook dat de scope van de Verordening een stuk breder wordt. Zij is immers van toepassing op iedere verwerking van zulke persoonsgegevens.
Zes verwerkingsbeginselen
De Verordening formuleert maar liefst zes principes waarbinnen iedere verwerking moet blijven:
- Rechtmatigheid: gegevens moeten op een behoorlijke en transparante wijze verwerkt worden;
- Doelbinding: gegevens moeten alleen voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde te worden verwerkt;
- Minimalisatie: alleen de gegevens die toereikend, ter zake dienend en niet meer dan nodig zijn, dienen verwerkt te worden;
- Juistheid: gegevens dienen correct en actueel te zijn;
- Opslagbeperking: gegevens moeten geanonimiseerd/verwijderd worden zodra identificeerbaarheid niet meer noodzakelijk is;
- Integriteit en vertrouwelijkheid: passende technische en organisatorische maatregelen moeten gegevens beveiligen en afschermen.
De bewijslast ligt in alle gevallen bij de verantwoordelijke (de organisatie die het doel en de middelen bepaald). Deze moet kunnen aantonen dat de verwerking is gebaseerd op deze principes, en moet dat kunnen verantwoorden met bijvoorbeeld een Privacy Impact Analyse (waarover hierna meer).
Rechtmatigheid
Net als onder de Wbp, zijn er zes grondslagen (toestemming, overeenkomst, wettelijke plicht, vitale belangen van de betrokken, overheidstaak en eigen dringend belang) die kunnen rechtvaardigen dat persoonsgegevens worden verwerkt. De Verordening stelt daarbij met name strengere regels aan de toestemming, en bevat uitzonderingen voor een eigen dringend belang in geval van direct marketing.
De betrokkene moet actief akkoord gaan voor toestemming
Eerst de toestemming. De definitie van “vrije, specifieke, en op informatie berustende wilsuiting” wordt uitgebreid. De uiting moet nu ondubbelzinnig en actief zijn, zodat er geen twijfel kan bestaan dat de betrokkene akkoord is dat zijn persoonsgegevens worden verwerkt. Uit impliciet handelen valt dus geen toestemming meer af te leiden. De overwegingen noemen als voorbeelden het aanvinken van een vakje op een website, of het selecteren van een technische instelling. Deze zijn immers expliciet. Het weghalen van een vinkje om verwerking te stoppen, of het niet veranderen van een standaardinstelling telt expliciet niet als toestemming.
Toestemming en nieuwsbrieven
Bij aankopen in webwinkels schrijven klanten zich vaak automatisch in voor nieuwsbrieven van de webwinkel. Moet daar ook expliciet toestemming voor gegeven worden als de verordening van toepassing is?
Het versturen van dergelijke commerciële e-mails berichten wordt geregeld in de Telecommunicatiewet. Daarin is geregeld dat klantrelaties (klanten die een aankoop hebben gedaan en hiervoor hebben betaald) een uitzondering op de regel zijn. Het aanbieden van een opt-out, bijvoorbeeld de mogelijkheid om een vinkje weg te halen waardoor de inschrijving niet plaats vindt, is bij een klantrelatie voldoende. Het is belangrijk dat men zich ervan bewust is dat het hier alleen gaat om commerciële e-mails: andere vormen van direct marketing vallen niet onder deze uitzondering, zoals profilering. Dat betekent dat expliciet om toestemming gevraagd moet worden zoals opgenomen in de Verordening.
Wordt toestemming gevraagd in combinatie met andere zaken, zoals algemene voorwaarden, dan moet de toestemmingsvraag duidelijk apart worden gepresenteerd. Dit kan door meerdere boxes te plaatsen die aangevinkt dienen te worden.
De betrokkenen mogen hun toestemming altijd weer intrekken
Toestemming mag op ieder moment worden ingetrokken. De verantwoordelijke moet het verwerken dan staken, tenzij hij kan bewijzen dat hem nog een andere grond (zoals een wettelijke plicht) ter beschikking staat die voortgezette verwerking rechtvaardigt. Bij kinderen geven de ouders toestemming. De Verordening legt de leeftijdsgrens bij de lidstaten: die mogen bepalen dat kinderen vanaf 13 jaar zélf beslissen.
Wanneer het verwerken van gegevens wordt gebaseerd op een eigen dringend belang van de verantwoordelijke, moet een afweging tegen het privacybelang van de betrokkene worden gemaakt. Dat gold onder de Wbp ook al, maar de Verordening biedt een afwegingskader waarin onder meer het kader van verkrijging, de aard van de gegevens en de mogelijkheid tot versleuteling of pseudonimisering van belang zijn. Daarnaast kan een betrokkene bezwaar maken, waarna de verantwoordelijke een nieuwe afweging moet maken waarin hij het bezwaar moet betrekken. Het gebruik van gegevens ten behoeve van direct marketing kan ook een dringend eigen belang zijn. Op het moment dat de betrokkene echter bezwaar maakt tegen het gebruik van zijn gegevens ten behoeve van direct marketing dan hoeft er geen nieuwe afweging te worden gemaakt: bij iedere piep moet dit worden gestaakt.
Rechten van betrokkenen
De betrokkene moet adequaat worden geïnformeerd over wat er allemaal gaat gebeuren met zijn gegevens. De privacyverklaring kennen we ook al natuurlijk, maar deze moet nu in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal opgesteld zijn. Het is dus gedaan met wollige braaftaal, lijkt men te denken. Ook zijn er inhoudelijke eisen. Zo moet onder andere expliciet de verantwoordelijke worden benoemd, de contactgegevens van de (indien aanwezig) privacy officer, de doeleinden waarvoor de gegevens verwerkt worden, de duur van de verwerking (bewaartermijn) en de rechten van inzage, correctie en verwijdering.
In essentie behoudt de betrokkene onder de Verordening zijn recht van inzage, correctie en verwijdering. Het recht van verwijdering wordt ook wel het recht om vergeten te worden genoemd. Dit komt eigenlijk neer op hetzelfde recht van verwijdering als voorheen, zij het met de toevoeging dat de verantwoordelijke er óók voor moet zorgen dat de gegevens worden gewist bij andere databanken waar ze met zijn medeweten in zijn beland. Nieuw hierbij is wel de dataportabiliteit: de betrokkene kan in bepaalde gevallen zijn gegevens bij de verantwoordelijke opvragen in een standaardformaat, zodat hij het bijvoorbeeld bij een andere dienstverlener kan onderbrengen.
Verplichtingen van verantwoordelijken
Tegenover rechten van betrokkenen staan plichten voor de verantwoordelijke. Allereerst is er de plicht te borgen en te kunnen aantonen dat er conform de Verordening wordt gewerkt. Dit betekent dus een compliance-actie van jewelste: zo moet de verantwoordelijke aan kunnen tonen, (indien persoonsgegevens op grond van toestemming wordt gewerkt) dat toestemming is verkregen, dat mensen adequaat zijn geïnformeerd, dat zij hun rechten daadwerkelijk kunnen uitoefenen en dat bezwaren serieus worden genomen.
Ook de verplichtingen omtrent gegevensbescherming en beveiliging worden aangescherpt. Niet alleen moet er passend worden beveiligd op zowel organisatorisch als technisch gebied, de maatregelen moeten ook zorgen voor minimalisatie van de verwerkte gegevens en voor het kunnen uitoefenen van de rechten. Gegevens mogen dus bijvoorbeeld niet zomaar worden opgeslagen zonder dat ze eenvoudig kunnen worden gewist, iets dat met name bij back-ups nog een probleem kan geven. De maatregelen moeten er ook voor zorgen dat alleen gegevens worden verwerkt die nodig zijn voor de specifieke en vooraf vastgestelde doelen. Dit heet privacy by design: het systeem is ontworpen om de privacy van de betrokkenen te waarborgen. Een aanverwant begrip is privacy by default: het systeem handelt zo privacyvriendelijk mogelijk, tenzij er iets bijzonders wordt gedaan of de betrokkene zelf een instelling verandert. De standaardinstellingen van het systeem dienen echter zo privacyvriendelijk mogelijk ingesteld te zijn.
Werken met derden
In de praktijk zullen gegevens vaak door meerdere partijen worden verwerkt. Meestal zal het gaan om de relatie verantwoordelijke – bewerker. Denk daarbij aan partijen die gegevens hosten of e-mails verzenden in opdracht van. De Verordening bepaalt, net als de Wbp, dat er dan een bewerkersovereenkomst moet worden gesloten. De Verordening benoemt echter een aantal specifieke punten die opgenomen dienen te worden in deze overeenkomst, waaronder:
- de doeleinden van de gegevensverwerking;
- het soort persoonsgegevens dat verwerkt wordt;
- de categorieën van betrokkenen op wie de gegevens zien;
- het passend beveiligen van de gegevens;
- het uitvoeren van audits;
- het na afloop vernietigen of terugleveren van de gegevens aan de verantwoordelijke.
Bovendien zal de bewerker voortaan niet meer een externe partij mogen inschakelen om persoonsgegevens te verwerken zonder voorafgaande schriftelijke toestemming van de verantwoordelijke.
Datalekken
Nederland heeft sinds 1 januari 2016 een meldplicht voor datalekken in de Wbp. Deze zal komen te vervallen zodra de Verordening in werking treedt. Vanaf dan geldt immers de regeling daarover uit de Verordening. Deze komt grofweg op hetzelfde neer: op het moment dat er per ongeluk, of opzettelijk, data verloren gaan, of op straat terecht gekomen zijn, moet dit binnen 72 uur aan de toezichthouder gemeld worden. Als het lek waarschijnlijk een hoog risico inhoudt voor de betrokkenen, dan moeten zij ook van het lek op de hoogte worden gesteld.
Op het moment dat er per ongeluk, of opzettelijk, data verloren gaan, of op straat terecht gekomen zijn, moet dit binnen 72 uur aan de toezichthouder gemeld worden.
Nieuw is dat de bewerker verplicht is om het datalek aan de verantwoordelijke te melden, iets dat onder de Wbp niet expliciet vastligt (maar natuurlijk wel contractueel in iedere bewerkersovereenkomst kan worden opgenomen). Het belangrijkste verschil met onze huidige meldplicht is dat er enkel een melding bij de toezichthouder gedaan hoeft te worden van een lek als het lek daadwerkelijk heeft plaatsgevonden. Onze huidige meldplicht noemt een incident al een datalek wanneer de onrechtmatige verwerking van persoonsgegevens niet uitgesloten kan worden.
Privacy officer
De privacy officer is een persoon die toeziet op de omgang met persoonsgegevens binnen een organisatie en controleert of de organisatie voldoet aan de wet en toepasselijke regelgeving. De privacy officer moet onafhankelijk kunnen functioneren als privacyvraagbaak en mag zowel intern als extern aangesteld worden. De privacy officer wordt verplicht voor overheidsinstanties, maar ook voor organisaties die stelselmatig op grote schaal personen observeren of die op grote schaal bijzondere persoonsgegevens verwerken (zoals medische of strafrechtelijke gegevens).
Een lidstaat mag echter zelf de gevallen aanvullen waarin een privacy officer verplicht is. Dit houdt in dat Nederland kan beslissen dat naast bovenstaande gevallen, een organisatie ook verplicht is een privacy officer aan te stellen indien er bijvoorbeeld 250 medewerkers in dienst zijn. Het is nog niet duidelijk of er voor Nederland aanvullende gevallen zullen gelden.
Wanneer moet een privacy officer worden aangesteld?
Een privacy officer waarborgt de verwerking en opslag van persoonsgegevens zoals voorgeschreven in de Verordening. Onder bepaalde omstandigheden zullen organisaties verplicht worden om een privacy officer aan te stellen. Organisaties waarvan het de core business is om (bijzondere) persoonsgegevens te verwerken, of mensen te observeren (denk aan cameratoezicht of bijvoorbeeld profilering op grote schaal) moeten een privacy officer aanstellen. Overheidsinstellingen zijn altijd verplicht om een privacy officer aan te stellen. Een privacy officer hoeft niet per se in dienst te zijn van de organisatie: deze kan ook ingehuurd worden. Let er in dat geval op dat de privacy officer de juiste kennis en bevoegdheden heeft.
Privacy Impact Assessment (PIA)
Een ‘gegevensbeschermingseffectbeoordeling’ oftewel een privacy impact assessment (PIA) is een beoordeling van het effect dat de beoogde verwerkingsactiviteiten zal hebben op de bescherming van persoonsgegevens. Wanneer het verwerken van persoonsgegevens, in het bijzonder met behulp van nieuwe technologieën, risico’s voor betrokkenen inhoudt, is het uitvoeren van een PIA verplicht. Een PIA is in ieder geval verplicht bij profiling, grootschalige verwerking van bijzondere persoonsgegevens of monitoring van openbare ruimten. In de PIA wordt vastgelegd waarom, op welke manier en hoelang er persoonsgegevens verwerkt worden. Daarbij moeten de aanwezige risico’s in kaart gebracht en beoordeeld worden. In sommige gevallen is het zelfs verplicht om de PIA met betrokkenen te bespreken.
Derde landen
Doorgifte van persoonsgegevens aan derde landen blijft een heikel punt. Zo is er in oktober 2015 een streep gezet door het Safe Harbor-verdrag, een verdrag dat was gesloten tussen Europa en de Verenigde Staten. Ondertussen is er een opvolger voor het verdrag gekomen, namelijk het ‘EU-US Privacy Shield’. In de Verordening is gekozen voor een flexibel systeem waarbij de Europese Commissie bij bepaalde landen (of zelfs bij specifieke bedrijven in een land) kan bepalen dat sprake is van een adequaat niveau van bescherming. Is er geen sprake van een adequaat niveau van bescherming, dan kan doorgifte van gegevens enkel plaatsvinden indien er zogeheten passende waarborgen zijn genomen, zoals het modelcontract dat is opgesteld door de Europese Commissie, of (indien het een Amerikaanse partij betreft) een certificering op grond van het EU-US Privacy Shield.
Waar staat jouw data?
Als je in de cloud werkt, zeker als je data bij één van de grote public cloudproviders (Google, Amazon, Microsoft en IBM) in beheer heeft gegeven, is het mogelijk dat je gegevens buiten Europa verwerkt worden. Dat brengt met zich mee dat je moet controleren of de vereiste contracten zijn gesloten, en indien het een partij in de Verenigde Staten betreft of deze wellicht gecertificeerd is op grond van het EU-US Privacy Shield.
Om op het gebied van privacy meer zekerheid te hebben kunt je jouw persoonsgegevens naar een private cloud laten migreren van een cloudprovider gevestigd in de EU, waarvan je zeker weet dat de de data in Nederland of de EU wordt opgeslagen. Je kunt afspraken hieromtrent vast laten leggen in een bewerkersovereenkomst. Ook kun je voor een hybride cloud (een combinatie van public en private) kiezen, waarbij je onderscheid maakt tussen persoonsgegevens en overige gegevens, waarbij je de gegevens die niet aan te merken zijn aan persoonsgegevens in een public cloud opslaat.
Uiteraard kun je er ook voor kiezen om persoonsgegevens in house te hosten of jouw IT in een datacenter te plaatsen (colocatie). Je houdt in beide gevallen zelf de controle over de beveiliging van data en het naleven van de Verordening en andere van toepassing zijnde wet- en regelgeving. Het voordeel van migratie naar een datacenter is dat je niet alleen fysiek weet waar jouw data staat, maar dat veel datacenters ook gecertificeerd zijn voor bijvoorbeeld informatiebeveiliging (ISO 27001) en uitgebreide maatregelen hebben getroffen voor de fysieke beveiliging van het gebouw.
Amerikaans datagraaien in strijd met Europees recht
De Verordening kent nog een opmerkelijke clausule: wanneer een rechtbank in een derde land bepaalt dat persoonsgegevens moeten worden afgegeven, dan mag dat alleen wanneer een verdrag of dergelijke regeling hierin voorziet. Hiermee wil men met name Amerikaans datagraaien in Europa blokkeren: de Amerikaanse rechtbank meent dat zij Amerikaanse bedrijven kan verplichten bij Europese dochters daarvan data op te halen. Dit is in strijd met Europees recht, en dat wordt nu expliciet vastgelegd.
Toezichthouders
Iedere lidstaat krijgt een privacytoezichthouder – In Nederland is dat de Autoriteit Persoonsgegevens. Deze kan alle regels handhaven op het gebied van persoonsgegevens die worden verwerkt in dat land. Wanneer een bedrijf in meerdere landen gevestigd is, is de toezichthouder bevoegd van het land waar de hoofdvestiging staat. Deze mag dan voor alle landen een uitspraak doen.
Daarnaast is er nog het Europees Comité voor gegevensbescherming, een Europees orgaan waarin alle toezichthouders opereren. Dit comité heeft vooral een adviserende taak, door bijvoorbeeld richtsnoeren uit te brengen en “samenwerking te bevorderen”.
Invoering en overgangsrecht
De Verordening is nu in werking getreden, maar zal pas op 25 mei 2018 van toepassing zijn. Gedurende deze periode geldt de Wbp nog, maar vanaf 25 mei 2018 moet je voor al je processen en verwerkingen kunnen laten zien dat je aan de Verordening voldoet. En let op: toestemming die onder de Wbp rechtsgeldig is, is dat zeker niet automatisch ook onder de Verordening. Het is dus verstandig nu al langzaam maar zeker toestemming te gaan vragen op de nieuwe manier.
Wat kun je nu al doen?
Hoewel het nog vroeg is, zal de Verordening veel losmaken in bedrijven en instellingen. Ga dus nu al aan de slag met inventariseren en leg de basis voor een goede implementatie.
- Onderzoek hoe toestemming wordt verkregen. Onder de Verordening moet dit veelal apárt worden gevraagd, moet de toestemming actief worden verstrekt en ligt de bewijslast bij de organisatie. Hoe wordt dit bij jou gedocumenteerd?
- Lees jouw privacyverklaring nog eens kritisch door. Deze moet straks “transparant en eenvoudig toegankelijk” zijn, wat betekent dat alle juridische taal moet verdwijnen. Bovendien dient er specifieke informatie verschaft te worden aan de betrokkenen. En klópt de verklaring nog met hoe jouw organisatie tegenwoordig werkt?
- Houd je inzage-, correctie- en verwijderingsprocedures tegen het licht. Deze moeten elektronisch kunnen verlopen. Weet jouw helpdesk wat een inzageverzoek voor persoonsgegevens is?
- Onderzoek hoe ‘portable’ je opslag is. Kunnen jouw klanten of relaties eenvoudig een kopie van hun data in bijvoorbeeld Microsoft Excel krijgen?
- Controleer of de bedrijfsprocessen waarbij persoonsgegevens worden verwerkt, adequaat gedocumenteerd zijn. Deze documentatie wordt wettelijk verplicht.
Heb je hier nog vragen of opmerkingen over? Laat dan een reactie achter.
Afbeeldingen met dank aan 123RF.com