De Europese privacyregels gaan op de schop. De Wet bescherming persoonsgegevens en haar Europese tegenhangers zijn gebaseerd op een Richtlijn uit 1995. De voorgestelde Verordening moet één regime voor privacybescherming in heel Europa brengen. Vanwege alle technische ontwikkelingen rond advertentieprofielen, cookies en Big Data zal deze Europese wet nogal wat met zich meebrengen.
Game of Thrones
Het gebruik van persoonsgegevens is sinds de opkomst van internet gigantisch toegenomen. Internetdiensten worden gewoonlijk als gratis met advertenties geleverd, en om die advertenties aantrekkelijk te maken, moeten die advertenties zo specifiek mogelijk zijn. Sociale netwerken als Facebook hebben dit tot een ware kunst verheven. Wie specifiek wil adverteren bij Nederlandse vrouwen tussen 35 en 40 die recent verhuisd zijn en graag Game of Thrones kijken, kan ze alle veertig volautomatisch gericht benaderen.
De uitwerking
De Verordening is geschreven om de burger de controle over zijn persoonsgegevens terug te geven. Met de komst van de Verordening wordt het dan ook niet makkelijker voor ondernemers. De nieuwe privacyregels dwingen tot meer accountability. Daarnaast moeten bedrijfsprocessen waarbij persoonsgegevens worden verwerkt, gedocumenteerd worden. En als er van meer dan 5.000 betrokkenen persoonsgegevens worden verwerkt, moet een bedrijf verplicht een onafhankelijke privacy officer hebben.
Daar komt bij dat de sanctiemogelijkheden worden verzwaard. De toezichthouder krijgt immers een boetebevoegdheid die op kan lopen tot €100.000.000 per overtreding of 5% van de wereldwijde jaaromzet. Verder moeten privacyregels op grotere schaal gehandhaafd kunnen worden, want Google, Facebook en andere Amerikaanse bedrijven moeten ook ‘aangepakt’ kunnen worden.
Wat kunt u nu al doen?
Bedrijven krijgen pas in 2015/2016 te maken met de Verordening, maar het is nu al zeker dat deze veel zal losmaken in bedrijven en instellingen. Ga dus nu al aan de slag met inventariseren en leg de basis voor een goede implementatie.
• Onderzoek hoe toestemming wordt verkregen. Onder de Verordening moet dit veelal apart worden gevraagd en de bewijslast ligt bij uw organisatie. Hoe wordt dit bij u gedocumenteerd?
• Lees uw privacyverklaring nog eens kritisch door. Deze moet straks “transparant en eenvoudig toegankelijk” zijn, wat betekent dat alle juridische taal moet verdwijnen. En klópt de verklaring nog met hoe uw organisatie tegenwoordig werkt?
• Neem technische en organisatorische maatregelen ter beveiliging van de persoonsgegevens. Zorg dat u afspraken met uw toeleveranciers (bijvoorbeeld uw hostingprovider) over beveiliging vastlegt in een bewerkersovereenkomst.
• Houd uw inzage- en correctieprocedures tegen het licht. Deze moeten elektronisch kunnen verlopen. Weet uw helpdesk wat een inzageverzoek persoonsgegevens is?
• Onderzoek hoe ‘portable’ uw opslag is. Kunnen uw klanten of relaties eenvoudig een kopie van hun data in bijvoorbeeld Microsoft Excel krijgen?
• Controleer of bedrijfsprocessen die persoonsgegevens verwerken, adequaat gedocumenteerd hebben welke gegevens zij verwerken en waarom. Deze documentatie wordt wettelijk verplicht.
Training
Meer weten over de veranderingen die de Privacyverordening met zich meebrengt? Schrijf je dan nu in voor ons webinar “Privacy 2.0: De aankomende privacyverordening” op 4 september op 14:00 uur of 20:00 uur (99 euro) voor 1 PO-punt. Kijk op ICTRecht.nl voor meer informatie.