Dit is een oud nieuwsbericht. De inhoud kan inmiddels achterhaald zijn door recentere ontwikkelingen.
Uitgelichte opleidingen:

De WBP en AP moeilijk? Hier komt Europa: catch!

Deze blog is mede geschreven in opdracht van het Register Specialistisch Casemanagement (RSC), dat haar deelnemers wenst te informeren over de AVG. CS Opleidingen en VeReFi verwachten hun studenten, oud studenten, abonnementhouders en de deelnemers RSC binnenkort meer informatie over de AVG te kunnen bieden.

De WBP en AP moeilijk? Hier komt Europa: catch!

Naar verwachting zal in mei 2018 de ‘General Data Protection Regulation’ (GDPR, in Nederland de Algemene Verordening Gegevensbescherming (AVG) genaamd) de Nederlandse Wet Bescherming Persoonsgegevens vervangen.[1] Het doel van de wet is tweeledig:

  • Enerzijds: het standaardiseren van persoonsgegevens in alle lidstaten;
  • Anderzijds: het ervoor zorgen dat burgers beter worden beschermd tegen ongevraagde berichten, spam en reclameboodschappen.

De wet is nog niet volledig in beton gegoten en stabiel uitgehard, maar de implementatieperiode loopt af op 24 mei 2018 en de horloges kunnen worden gelijkgezet op 25 mei 2018. Daarna mag iedereen organisaties aanspreken op naleving. Omdat de AP en de WBP in verzuimland nogal dingetjes zijn, geven we alvast een samenvatting van de voorlopige stand van zaken. Zo bent u alvast op de hoogte van de ontwikkelingen die binnenkort uw kant op komen.

Om de impact meer tot de verbeelding te laten spreken, benader ik de veranderingen aan de hand van een aantal vragen die verband houden met het belangrijkste instrument met betrekking tot verzuim: het verzuimregistratiesysteem.

Hoe ver reikt de werking van GDPR?

Om de werking van de wet te begrijpen moeten we schakelen op informatie, registratie, opslag en transport. De wet is van toepassing op in Europa woonachtige personen (de “data subject”) en in Europa gevestigde organisaties (de “controller/processor”). De slimme ondernemer die denkt vanuit bijvoorbeeld India te opereren komt bedrogen uit: alle opslag en bewerking van persoonlijke gegevens van EU-burgers valt onder de wet, ook wanneer dit (opslag en bewerking) buiten de EU gebeurt.

Wie is er straks binnen organisaties verantwoordelijk?

De nieuwe wet heeft een behoorlijke impact:  voor alle overheidsorganisaties is het aanstellen van een Data Protection Officer (DPO) verplicht. Ook is een DPO verplicht bij stelselmatige observatie of grootschalige verwerking van bijzondere persoonsgegevens. De DPO moet onafhankelijk zijn en kennis hebben van zowel privacywetgeving als informatiebeveiliging en risicomanagement. Voor de DPO bestaat een beroepsvereniging: de Nederlandse beroepsvereniging van Functionarissen Gegevensbescherming, de NGFG.

Verandert er iets met betrekking tot de opslag van persoonlijke gegevens?

De eisen aan de vastlegging van persoonlijke informatie zullen nog verder worden aangescherpt (artikel 28 – de documentatieplicht). Zo zullen bijvoorbeeld niet alleen onderwerpen als de bewaartermijnen van persoonlijke gegevens en de contactgegevens van de organisatie (controller en/of processor) duidelijk moeten worden vermeld. Ook de contactgegevens van de DPO moeten duidelijk vermeld worden, zodat er geen misverstanden of vaagheden kunnen ontstaan. Mensen moeten meer inzicht krijgen in hoe hun persoonsgegevens worden gebruikt, en zij krijgen het recht om bedrijven en organisaties te verzoeken hun persoonlijke data te verwijderen (het recht om vergeten te worden).

Komen er extra maatregelen om de veiligheid van de dataopslag te toetsen?

De nieuwe wet schrijft verplichte Privacy Impact Assessments voor (Gegevensbeschermingseffect-beoordelingen), aan de hand van regelgeving waarmee vooraf de uitvoering van deze onderzoeken worden bepaald (artikel 33). De beoordelingen moeten periodiek worden uitgevoerd en daarbij moet de controle op het afzwakken van risico’s (mitigeren) worden aangescherpt.

Gaat de GDPR de nationale wetgeving beïnvloeden?

De Europese Data Protection Authority (DPA) wordt de instantie die leidend is. Landelijke DPA’s met een nationaal karakter – in Nederland dus de AP – worden door het European Data Protection Board aangestuurd. Op dit moment is er nog onzekerheid waar het nationale wetgeving met betrekking tot werknemersgegevens betreft. Zodra hierover meer bekend is zullen we dit melden.

Moeten datalekken worden gemeld?

U moet hoe dan ook alle datalekken documenteren. De meldplicht zoals uitgewerkt in artikel 31 bepaalt dat datalekken niet hoeven te worden gemeld wanneer het onwaarschijnlijk is dat deze resulteren in een risico voor de rechten en vrijheden van individuen. Wanneer een datalek tot een hoog risico leidt voor de rechten en vrijheden van de betrokkene, dan moet de betrokkene ook worden geïnformeerd. Ik kan me voorstellen dat dit bij een datalek in een verzuimsysteem het geval kan zijn. De AP kent nu al een meldplicht voor datalekken [2] en zegt daarover het volgende:

Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.

Mag je zomaar iemand toevoegen aan bijvoorbeeld een informatielijst omdat iemand een standaardvinkje heeft aangeklikt?

Nee dat mag niet, is strafbaar en kan redelijk kostbaar zijn. De boetes kunnen oplopen tot maar liefst € 1.000.000,- (of 2% van de jaaromzet wanneer dit bedrag hoger uitvalt). Bij een grote organisatie met een omzet van bijvoorbeeld 1 miljard euro is dat maar liefst 20 miljoen euro. De toestemmingseisen worden hoger en betrokkene moet expliciet op basis van volledige informatie akkoord geven. Artikel 8 regelt dat voor kinderen jonger dan 16 jaar (lidstaten mogen deze leeftijd verlagen maar hij mag niet onder 13 jaar liggen) het altijd de ouders/voogd zijn die toestemming geven. Gegeven toestemmingen moet kunnen worden herroepen en organisaties hebben de plicht om aan te tonen dat een toestemming daadwerkelijk is gegeven.

Datatransport

Een individu moet de eigen persoonlijke gegevens kunnen downloaden in een eenvoudig en begrijpelijk formaat en daarnaast moeten zij hun gegevens kunnen overzetten naar een ander processing systeem.

Samenvatting van de punten conform de 10 voorbereidingsstappen van de AP:

De (concept) Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) strekt tot uitvoering van de Algemene Verordening Gegevensbescherming. De Wet Bescherming Persoonsgegevens (WBP) geldt nog, totdat de UAVG deze vervangen heeft. De Autoriteit Persoonsgegevens heeft 10 stappen beschreven om voorbereid te zijn op de AVG [3]. U kent deze 10 stappen terugvinden op de website van de AP. Ik zal ze hieronder noemen en kort toelichten.

  • Stap 1: Bewustwording – Aanpassen huidige processen, diensten en goederen.
  • Stap 2: Rechten van betrokkenen – recht op inzage, recht op correctie en verwijdering, recht op dataportabiliteit.
  • Stap 3: Overzicht verwerkingen – Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Documentatieplicht.
  • Stap 4: Data Protection Impact Assessment (DPIA) – Verplicht DPIA uit te voeren bij waarschijnlijk hoog privacyrisico.
  • Stap 5: Privacy by design & privacy by default – Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat u standaard alléén persoonsgegevens verwerkt die noodzakelijk zijn. Op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aanvinken.
  • Stap 6: Functionaris voor de gegevensbescherming – Mogelijke verplichting om een functionaris voor de gegevensverwerking (FG) aan te stellen.
  • Stap 7: Meldplicht datalekken – U moet alle datalekken documenteren.
  • Stap 8: Bewerkersovereenkomsten – Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend?
  • Stap 9: Leidende toezichthouder – Vestigingen of gegevensverwerkingen in meerdere EU-lidstaten? Toch één privacytoezichthouder.
  • Stap 10: Toestemming – Kunnen aantonen geldige toestemming van mensen heeft gekregen. Het moet net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Wat betekent dit nu voor u?

Waar doen arbodiensten, casemanagers en andere dienstverleners in verzuimbegeleiding verstandig aan om op te letten bij de verwerking van data? Zonder uitputtend te zijn wil ik u hier toch alvast een paar tips geven:

  • Zorg op voorhand voor duidelijkheid: degene van wie gegevens worden verwerkt is hier vooraf over geïnformeerd en heeft hiervoor met bekendheid van de rechten expliciet toestemming gegeven;
  • Zorg ervoor dat de persoonsgegevens voor betrokkenen opvraagbaar zijn en desgewenst kunnen worden verwijderd;
  • Vraag geen onnodige gegevens: alleen de gegevens die voor het beoogde en bij betrokkene bekende doel noodzakelijk zijn, mogen worden verzameld, gebruikt en opgeslagen;
  • Verzamel niet van alles tegelijk: hoewel dat lekker efficiënt en dus verleidelijk is, mogen de persoonsgegevens die voor een vooraf bepaald en bij betrokkene gewettigd doel zijn verzameld, niet voor andere zaken en/of doelen worden gebruikt;
  • Zorg dat u als verwerker de juistheid van de data kunt aantonen: de persoonsgegevens moeten correct zijn en blijven;
  • Stel indien nodig een DPO aan, een Functionaris voor de gegevensbescherming;
  • Zorg dat er scenario’s en draaiboeken zijn voor het uitvoeren van een DPIA, een data protection impact assessment;
  • Zorg dat er scenario’s en draaiboeken zijn voor het uitvoeren van de procedures die bij een datalek geactiveerd worden;
  • Houd rekening met de bewaarbeperking: persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel;
  • Borg de integriteit en vertrouwelijkheid die voor extra bescherming moeten zorgen: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging;
  • Zorg ervoor dat u zich kunt verantwoorden: de verwerker moet kunnen aantonen aan deze regels te voldoen.

Deze blog is zoals gezegd pas een eerste beschouwing. Duidelijk is wel dat het implementeren van de nieuwe Uitvoeringswet Algemene Verordening Gegevensbescherming heel wat voeten in de aarde zal hebben. We doen er goed aan om ons hierop zo goed mogelijk voor te bereiden. Hier komt Europa, catch!

 

 

 

[1] De in deze blog genoemde artikelnummers zijn ontleend aan de informatiebrief van 7 januari 2016 (kenmerk 717599) waarmee toenmalig minister Van der Steur de Kamerleden informeerde. Deze informatiebrief is te downloaden op https://www.rijksoverheid.nl/documenten/kamerstukken/2016/01/07/tk-eu-pakket-bescherming-persoonsgegevens.

[2] Persbericht 9 december 2015, https://autoriteitpersoonsgegevens.nl/nl/nieuws/cbp-publiceert-beleidsregels-meldplicht-datalekken.

[3] https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/voorbereiding-op-de-avg 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *