Privacywet 2018: voorkom een boete & start nu met deze 7 veranderingen
De Wet bescherming persoonsgegevens (Wbp) gaat op de schop. Dit werd al in januari 2012 door de Europese Commissie aangekondigd als General Data Protection Regulation (GDPR). In Nederland noemen we die Algemene Verordening Gegevensbescherming (AVG). De (Europese) toezichthouder krijgt met de komst van deze verordening tanden, met boetes die kunnen variëren van een schriftelijke waarschuwing tot maximaal €20 miljoen. In dit artikel een checklist waarmee je dat kunt voorkomen – voer dit zo snel mogelijk door, niet als project, maar als manier van werken.
Ja, je leest het goed: een boete kan bestaan uit een bedrag van zes nullen of 4 procent van de wereldwijde jaaromzet. Zet dit in het licht van de boetes die Europa vanwege vermeende verkeerde fiscaliteiten heeft uitgedeeld aan Starbucks (€25 miljoen).
Twee onderzoeken
Opvallend is dat van de directies van zowel grote en kleine ondernemingen (adverteerders, e-commerce en publishers) die ik sprak, slechts een enkeling deze enorme wijziging nu al serieus oppakt. Hiermee beweer ik overigens niet een representatief onderzoek te verrichten. Maar ik vrees dat het overgrote deel van de ondernemingen onvoldoende beseft dat de wet al bijna een jaar geleden is aangekondigd (april 2016) en in mei 2018 van kracht is. Dat is dichterbij dan de meeste mensen zich realiseren. De consequenties zijn verstrekkender dan zo maar een ‘governance projectje’, dat je bij een persoon in het bedrijf kunt beleggen en daarna klaar bent.
Opvallender nog is een tweede onderzoek, een expertsessie van de brancheorganisatie DDMA.nl. Ook dit claimt niet representatief te zijn. Hieronder de resultaten van de 45 respondenten (met dank aan Tim Vermeulen voor het beschikbaar stellen van de data. Hij stelde deze vragen tijdens zijn presentatie aan de toehoorders van deze DDMA-sessie).
- 66 procent van de aanwezigen is nog niet met de verordening bezig. Let wel: dit zijn experts! Enige nuance: 9 procent is er nog helemaal niet mee bezig, 57 procent weet wat hen te doen staat, maar is nog niet begonnen.
- Bij 32 procent van de bedrijven is de verantwoordelijkheid voor privacy niet duidelijk binnen de organisatie belegd.
2017 is het jaar voor ondernemingen om hun onderneming Algemene Verordening Gegevensbescherming-compliant te maken.
Wat mij opvalt, is dat in dit verband steeds over een bedreiging of uitdaging wordt gesproken. Maar het biedt ook kansen om, goed ingericht, een concurrentievoordeel te creëren.
We leven in een tijdperk van een datagedreven economie en in Nederland vervullen we een voorloperrol op dit gebied. Daarom is het in ieders belang dat de verordening goed wordt geïmplementeerd. Het is geen kwestie van innovatie versus privacy, maar de juiste balans vinden tussen innovatie én privacy! We hebben in Nederland een goede positie om onze voortrekkersrol te blijven voortzetten. Onze grootste concurrent is Engeland, maar die hebben met Brexit nog een extra uitdaging op dit gebied.
Veelzeggend is het citaat van de Estse EU Commissaris, Andrus Ansip, die verantwoordelijk is voor het beleid van EU Digital Single Market:
Met de individuele landenaanpak qua data binnen de Europese Unie beperken we als EU. Als we de huidige beperkingen opheffen, dan zou het Bruto Nationaal Product met €8 miljard per jaar groeien. Maar als de huidige trend van de individuele landen aanpak niet tot stilstand komt, dan zullen de kosten voor de economie van EU veel hoger zijn.
De Nederlandse Wbp gaat dus plaatsmaken voor de Europese privacyverordening, de ‘Algemene Verordening Gegevensbescherming’ (AVG). Deze verordening zal in heel Europa voor dezelfde regels rondom privacy gaan zorgen en brengt heel wat veranderingen met zich mee voor het bedrijfsleven.
De AVG zorgt beknopt voor:
- Transparantie, versterking en uitbreiding van de privacyrechten
- Meer verantwoordelijkheden bij organisaties
- Dezelfde stevig geformaliseerde bevoegdheden voor alle Europese privacy toezichthouders
Deze wet is van toepassing als het data-subject (de persoon) en/of de data-controller of processor (de organisatie) in Europa woonachtig/gevestigd zijn. Dus óók op opslag en bewerkingen van persoonlijke gegevens van EU-burgers als dit buiten de EU gebeurt.
Er is dus vanaf mei 2018 één Europese wet en organisaties hoeven zich slechts met één Data Protection Authority (DPA) te liëren. De nationale DPA’s, zoals in Nederland het College Bescherming Persoonsgegevens (CBP), worden dan door één European Data Protection Board (EDPB) gecoördineerd. Uitzondering hierop kan nationale wetgeving met betrekking tot werknemersgegevens zijn.
Hieronder een niet-uitputtende checklist op hoofdlijnen wat de AVG teweeg kan brengen voor alle ondernemingen die op het gebied van online en/of data bezig zijn. Dan zoom ik hier met name in op de invalshoek van publishers, adverteerders en e-commerce-ondernemingen.
1. Bewerkersovereenkomst
Het sluiten van een bewerkersovereenkomst is op zich niks nieuws, want die is nu binnen de Wbp al verplicht. Helaas zie ik in de dagelijkse praktijk een vragende blik als ik er bij een project naar vraag. Deze gaat nu met de AVG een verwerkersovereenkomst heten, en geldt tussen de verantwoordelijke voor de persoonsgegevens, en de partij die de persoonsgegevens voor hem verwerkt (nu bekend als bewerker, straks verwerker).
De bewerker zal voortaan niet meer een externe partij mogen inschakelen om persoonsgegevens te verwerken, zonder voorafgaande schriftelijke toestemming van de verantwoordelijke.
2. Rechten van betrokkene (right to access & to be forgotten)
Transparantie staat voorop: de consument moet geïnformeerd worden over wat er met zijn persoonsgegevens gebeurt. Alles moet, zoals hierboven gemeld, in eenvoudige en duidelijke taal worden gecommuniceerd. Naast het bekende recht op verzet, inzage en rectificatie, heeft de betrokkene in de AVG ook het recht om vergeten te worden.
De betrokkene heeft te allen tijde het recht om bezwaar te maken tegen de verwerking van zijn gegevens voor direct-marketingdoeleinden. Als de betrokkene een dergelijk bezwaar indient, dan mogen zijn gegevens niet meer voor marketingdoeleinden worden verwerkt.
3. Privacy by design and by default
Tijdens het gehele ontwikkelingsproces van producten en diensten moet je rekening houden worden met privacy. Dit kan door technieken als pseudonimisering toe te passen en door alleen noodzakelijke persoonsgegevens te verwerken.
Deze noodzakelijkheidseis geldt ook voor het in kaart brengen van de toegankelijkheid tot de gegevens (wie heeft toegang tot welke gegevens?) en de periode dat de gegevens bewaard worden. Ook moeten de standaardinstellingen van een product of dienst altijd zo privacyvriendelijk mogelijk zijn.
Kortom: producten en diensten moeten dus ‘privacy-proof’ ontwikkeld worden en ingesteld zijn.
Producten en diensten moeten dus ‘privacy-proof’ ontwikkeld worden en ingesteld zijn.
4. Meldplicht datalekken
Deze kennen we al in de Nederlandse wet: meldplicht voor datalekken. Deze is ook in de AVG opgenomen.
Concreet: op het moment dat er per ongeluk (of opzettelijk) data verloren gaan, of op straat terecht komen, moet dit binnen 72 uur aan de toezichthouder gemeld worden. Houdt het lek waarschijnlijk een hoog risico in voor de personen waar de gegevens betrekking op hebben? Dan moeten zij ook van het lek op de hoogte worden gesteld.
5. Privacy officer
De privacy officer was in de Wbp niet verplicht, maar is het onder de AVG in sommige situaties wel. Dit is voor meerdere EU-landen nieuw, en wordt bekritiseerd als een extra administratieve last.
De privacy officer is een persoon die toeziet op de omgang met persoonsgegevens binnen een organisatie. Ook controleert hij of zij of de organisatie voldoet aan de wet en toepasselijke regelgeving. De privacy officer moet onafhankelijk kunnen functioneren als privacy-vraagbaak en mag zowel intern als extern aangesteld worden. Deze persoon moet deskundig zijn en zijn of haar contactgegevens moeten bij het CBP bekend zijn.
De privacy officer wordt verplicht voor overheidsinstanties, maar ook voor organisaties die stelselmatig op grote schaal personen observeren (bijvoorbeeld: camerabewaking) of die op grote schaal bijzondere persoonsgegevens verwerken (zoals medische of strafrechtelijke gegevens). Een lidstaat mag echter zelf de gevallen aanvullen waarin een privacy officer verplicht is.
De privacy officer moet onafhankelijk kunnen functioneren als privacy-vraagbaak en mag zowel intern als extern aangesteld worden.
6. Een Privacy Impact Assessment (PIA) verplicht uitvoeren?
Het uitvoeren van een Privacy Impact Assessment (PIA) is verplicht als het verwerken van persoonsgegevens, in het bijzonder met behulp van nieuwe technologieën, risico’s voor betrokkenen inhoudt. Een PIA is in ieder geval verplicht bij profiling: grootschalige verwerking van bijzondere persoonsgegevens.
In de PIA wordt vastgelegd waarom, op welke manier en hoelang er persoonsgegevens verwerkt worden. Daarbij moeten de aanwezige risico’s in kaart gebracht en beoordeeld worden. In sommige gevallen is het zelfs verplicht om de PIA met betrokkenen te bespreken.
7. Organisatie verplicht een register bij te houden?
Een register bijhouden is niet verplicht voor organisaties met minder dan 250 medewerkers. Dat wil zeggen: tenzij er stelselmatig (bijzondere) persoonsgegevens worden verwerkt, of de verwerking een risico voor de betrokkenen heeft. Op verzoek van de toezichthouder dient het register aan de toezichthouder overhandigd te worden ter controle.
Zowel de verantwoordelijke als de bewerker dient verplicht een schriftelijk (of elektronisch) register bij te houden, waarin alle activiteiten worden omschreven waarbij persoonsgegevens worden verwerkt.
Geen project, maar een manier van werken
De punten doorvoeren is niet eenvoudig, zeker als je nog niet begonnen bent. Het is verstandig om zo snel mogelijk te beginnen. Gezien de verschillende invalshoeken, zou ik voorstellen om dit met een multidisciplinair team op te pakken. Vorm dit team met in ieder geval een jurist, IT’er en marketeer. Voordat je het gevoel krijgt van een ‘AVG-oekaze’, zou ik met klem aanbevelen dat het geen project is. Het is een manier van werken die bij alle relevante afdelingen geborgd moet worden.
Eerlijkheid gebied te zeggen als je erin duikt, je nog tegen veel meer problemen en vragen zult aanlopen. Maar zoals de Engelsen zeggen: “The best way to finish is to start.”