Wat is er belangrijk voor het privacy beleid binnen uw bedrijf/organisatie bij gebruik van persoonsgegevens (alle gegevens die een persoon kunnen identificeren), meta data (zoals locatiegegevens, tijdstippen, bezochte websites) en datalekken.

Inleiding

Veel bedrijven zijn bezig of gaan zich op korte termijn bezig houden met het aanpassen van het privacy beleid binnen de onderneming/organisatie aan de komende regelgeving. Per 25 mei 2018 wordt de nieuwe privacy verordening van kracht (AVG) en als het goed is ook de nieuwe e-privacy verordening. Dit is een aanvulling op de AVG en is van toepassing op het gebruik van cookies, meta data en direct marketing en geldt niet alleen voor natuurlijke personen maar ook voor rechtspersonen (B2B). De regelgeving met betrekking tot datalekken is onderdeel van de Wet bescherming persoonsgegevens (Wbp) en is al van kracht sinds 1 januari 2016. Momenteel geldt de Wbp en de e-privacy richtlijn.

Ik zal hier de belangrijke aandachtspunten van de (nieuwe) regelgeving benoemen.

AVG

  1. De AVG is van kracht per 25 mei 2018. De AVG is een verordening, dat betekent dat deze rechtstreeks van kracht is in de lidstaten. Dit is gedaan om het privacy recht zo eenduidig mogelijk te laten zijn binnen de EU. Er is per land echter afwijkende regelgeving mogelijk. Dus het is nog steeds verstandig het privacy beleid per land te onderzoeken.
  2. De AVG geldt voor verantwoordelijken en verwerkers. De vereisten voor de verantwoordelijke zijn zwaarder. De verantwoordelijke bepaalt welke gegevens worden verwerkt en voor welk doel. De verwerker verwerkt de persoonsgegevens ten behoeve van de verantwoordelijke.
  3. De AVG is van toepassing op de verwerking van persoonsgegevens, zoals naam, adres, IP adres en gevoelige gegevens zoals gegevens betreffende de gezondheid, religie, ras, financiële gegevens. Voor het verwerken van gevoelige gegevens gelden zwaardere vereisten.
  4. De AVG geldt voor bedrijven die gevestigd zijn in de EU.
  5. Alleen als een verantwoordelijke een geldige grondslag heeft voor verwerking mogen persoonsgegevens verwerkt worden. Eén grondslag is dat verwerking noodzakelijk is voor het gerechtvaardigde belang van een onderneming. Een commercieel belang kan een gerechtvaardigd belang zijn. Een andere grondslag is toestemming. Toestemming vereist een actieve handeling en kan altijd weer worden ingetrokken.
  6. De betrokkene, degene wiens persoonsgegevens verwerkt worden kan altijd informatie opvragen of vragen of zijn of haar persoonsgegevens gewijzigd of verwijderd worden.
  7. De verantwoordelijke neemt passende technische en organisatorische maatregelen bij het verwerken van persoonsgegevens (privacy by design) en bewaart de persoonsgegevens niet langer dan nodig is voor het doel waarvoor de persoonsgegevens verwerkt worden.
  8. De automatische instellingen van producten en diensten dienen standaard op een privacy vriendelijke stand te staan (privacy by default).
  9. Bij risicovolle verwerkingen moeten bedrijven een Privacy Impact Assesment (PIA) uitvoeren. Door het beantwoorden van vragen worden de privacy risico’s in beeld gebracht.
  10. Een bedrijf/organisatie kan verplicht zijn een Functionaris Gegevensbescherming (FG), Data Protection Officer (DPO) aan te stellen. Deze verplichting geldt voor publieke organisaties, bedrijven die aan profiling of tracking doen op grote schaal of bijzondere gegevens op grote schaal verwerken, rekening houdend met de duur van de verwerking en de geografische omvang. Een FG kan iemand zijn van buiten de organisatie of het bedrijf. Dit is bijvoorbeeld een onderwerp waar de vereisten per land kunnen verschillen.
  11. Bedrijven zijn verplicht een register bij te houden van de verwerkingen van persoonsgegevens als een bedrijf of organisatie meer dan 250 werknemers heeft of risicovolle verwerkingen uitvoert.
  12. Het versturen van persoonsgegevens buiten de EEA wordt beperkt, tenzij deze landen adequate privacy bescherming bieden. De Europese Commissie heeft bepaald dat een aantal landen hieraan voldoen, zoals Canada, Zwitserland, Israël en Argentinië. Voor de USA geldt het zogenaamde EU-US Privacy Shield dat van kracht is sinds 1 augustus 2016.
  13. De maximale boete die een autoriteit persoonsgegevens kan opleggen is € 20.000.000,- of 4% van de wereldwijde omzet.

Datalekken

  1. De wetgeving met betrekking tot datalekken geldt sinds 1 januari 2016.
  2. Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan of in handen van onbevoegden terecht zijn gekomen.
  3. Bedrijven/organisaties moeten datalekken melden bij de Autoriteit Persoonsgegevens (AP) als het gaat om persoonsgegevens van gevoelige aard of er is een kans op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens.
  4. Dit hangt onder andere af van de hoeveelheid gelekte persoonsgegevens en de aard van de gelekte gegevens. Als het heel ernstig is kan een melding al verplicht zijn als het slechts een persoon betreft.
  5. De melding moet binnen 72 uur na ontdekking worden gedaan.
  6. Bedrijven/organisaties moeten vervolgens afwegen of het datalek ook gemeld moet worden bij de betrokkene, dat is degene wiens data zijn gelekt. Dit moet gemeld worden als er sprake is van ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene.
  7. Als er gemeld wordt aan de betrokkene dan wordt onder andere de aard van de inbreuk gemeld en de maatregelen die de betrokkene kan nemen om negatieve gevolgen te beperken.
  8. Relevante factoren zijn bijvoorbeeld de goede naam of discriminatie. Is er fraude mogelijk met financiële gegevens?
  9. Melding aan de betrokkene kan achterwege blijven als bijvoorbeeld de gestolen laptop voldoende beveiligd is door middel van encryptie of hashing of dat er zwaarwegende redenen zijn om melding achterwege te laten.
  10. De verantwoordelijke met een vestiging in Nederland moet het datalek melden.
  11. Persoonsgegevens gaan verloren door bijvoorbeeld het verlies van een USB stick, mailing aan een verkeerd e-mail adres, diefstal van een laptop of telefoon, inbraak van een hacker of wachtwoorden die toegankelijk zijn voor onbevoegden en ransomware.
  12. De verantwoordelijke kan preventieve maatregelen nemen. Sluit goede bewerkersovereenkomsten af, controleer hoe bedrijven persoonsgegevens opslaan, is er een ISO 27001 certificering, stel interne protocollen op.
  13. Er moet een overzicht bijgehouden worden van alle datalekken.
  14. De maximale boete is € 820.000,- of 10% van de jaaromzet.

E-privacy verordening

  1. De e-privacy verordening is een aanvulling op de AVG. De definities van de AVG gelden ook voor de e-privacy verordening.
  2. Op 19 oktober 2017 heeft de LIBE commissie ingestemd met de verordening. Het is de bedoeling dat deze ook van kracht wordt op 25 mei 2018. Het Europees parlement en de Raad van Europa moeten nog instemmen met de verordening.
  3. De verordening geldt voor natuurlijke personen maar ook voor eindgebruikers die rechtspersonen zijn.
  4. De verordening is van toepassing op de verwerking van elektronische communicatie gegevens aan eindgebruikers in de EU, ook al is de aanbieder een bedrijf van buiten de EU.
  5. Onder de verordening vallen ook de Over The Top (OTT) aanbieders. OTT betreft distributie via internet zonder dat de systeem beheerder over de distributie van de inhoud gaat, zoals whatsapp, skype en facetime.
  6. Elektronische communicatie met bedrijven kan gevoelige gegevens en persoonlijke informatie bevatten. Metagegevens omvatten bijvoorbeeld opgeroepen nummers, bezochte websites, geografische locaties, heatmaps, tijdstip, duur en datum.
  7. Eindgebruikers kunnen hun toestemming verlenen voor de verwerking van metagegevens. De vereisten voor toestemming zijn hetzelfde als in de AVG. Uitzondering op het verplicht verkrijgen van toestemming moet beperkt blijven tot situaties waarin er geen of slechts beperkte mate sprake is van inmenging in de persoonlijke levenssfeer.
  8. Voor de opslag van tracking cookies in webbrowsers moeten de eindgebruikers ondubbelzinnig instemmen, dat wil zeggen een actieve handeling verrichten. Aan eindgebruikers moet een reeks privacy opties worden geboden.
  9. Ongevraagde communicatie voor direct marketing moet duidelijk als zodanig herkenbaar zijn. Aan de ontvanger van het bericht moet de nodige informatie worden verstrekt om zijn recht van bezwaar tegen verdere ontvangst uit te kunnen oefenen.
  10. De maximale boete is € 20.000.000.- of 4 % van de wereldwijde omzet.