3 november 2017

Nieuwe privacy wetgeving: wat verandert er?

Een datum waar u misschien al eens van heeft gehoord: 25 mei 2018. De dag waarop de  Algemene Verordening Gegevensbescherming (AVG) van kracht wordt. Hiermee wordt de EU-verordening “General Data protection Regulation” (GDPR) direct van toepassing in Nederland. Direct ook omdat er geen sprake is van overgangsregelingen.

Veel grote en kleine bedrijven vragen zich af wat of dit ook voor hun gevolgen heeft en vragen zich af of ze wel op tijd klaar zijn. De ervaring is dat veel organisaties nog onvoldoende voorbereid zijn op de nieuwe regels.

Maar waarom deze zorgen: ook nu is er al een privacy wet van kracht (Wet Bescherming Persoonsgegevens WBP uit 1995) waaraan voldaan moet worden. Dus waarom deze ophef ?

Deze ophef heeft volgens mij diverse oorzaken:

  • privacy staat meer in de belangstelling doordat inbreuken daarop in de vorm van datalekken regelmatig in de publiciteit komen;
  • Er in de nieuwe wet nieuwe begrippen worden geïntroduceerd zoals Privacy Impact Analyse (PIA) en Functionaris Gegevensbescherming (FG);
  • privacy wordt ook publiekelijk steeds meer een gespreksonderwerp. Zie b.v. het initiatief om een referendum om de “Sleepwet” te organiseren, de zorgen die er zijn omtrent de gegevens die grote (Amerikaanse) internet bedrijven als Facebook en Google van een ieder verzamelen. Dit zal zeker invloed hebben op een aantal eisen in de nieuwe wetgeving zoals de versterking van de rechten van personen waarover gegevens worden vastgelegd;
  • en niet in de laatste plaats: waar de Autoriteit Persoonsgegevens (AP) in het verleden zich ten opzichte van vergelijkbare instanties als AFM en ACM relatief bescheiden profileerde zij nu duidelijk kenbaar heeft gemaakt assertiever te worden. Een gevaarlijke combinatie met de sterk toegenomen bevoegdheden van de AP om boetes op te leggen: deze kunnen oplopen tot 820.000 euro of 4% van de jaaromzet. Dus naast het steeds nadrukkelijkere imago verlies wat bij problemen met privacy optreedt nemen ook de financiële risico’s bij het niet voldoen aan de AVG voor bedrijven sterk toe.

Verschillen ten opzichte van oude wetgeving

Met de nieuwe EU-richtlijn over privacy volgt de EU een lijn die op meer gebieden zichtbaar is: meer aandacht voor de belangen van de burgers en het stellen van regels die voor alle burgers in de EU gelden. Een belangrijk verschil is ook dat de rechten van personen zijn toegenomen, zoals het recht op kosteloze inzage, het recht om vergeten te worden en het recht om gegevens mee te nemen. Invoering van deze rechten kan een grote impact op uw geautomatiseerde systemen hebben !

Andere belangrijke verschillen zijn:

  • ruimere definitie van wat een persoonsgegeven is;
  • strengere eisen aan de registratie en verwerking van gegevens: alleen toegestaan als er een grondslag is en een doel;
  • waar in de oude wetgeving het verwerking in bepaalde situaties globaal aangemeld moest worden bij de AP is het nu verplicht intern en actueel inzicht te hebben in welke persoonsgegevens waar op welke wijze verwekt worden;
  • In specifieke situaties, bijvoorbeeld als de onderneming meer dan 250 werknemers heeft of als sprake is van bijzondere persoonsgegevens (b.v. onderwijs, zorg) moet een Functionaris Gegevensbescherming worden aangesteld;
  • actuele en toereikende informatie beveiliging is expliciet vereist;
  • In specifieke risicovolle situaties/gegevens een speciale risico analyse uit te voeren: Privacy Impact Analyse (PIA).

De meldplicht Datalekken bestaat feitelijk al sinds begin 2016 maar deze is nu uitgebreid en kent veel kortere termijnen.

Nederlandse regels = Europese regels

De maatregelen zij opgenomen in een Verordening die direct kracht van wet heeft in alle EU landen, zonder dat er gewacht moet worden op lokale wetgeving met daarbij de kans op lokale verschillen. Dus op dat vlak wordt het eenvoudiger: als aan de regelgeving in Nederland wordt voldaan wordt in principe direct aan de regels in andere landen voldaan. Evenwel: de lokale accenten kunnen verschillen, bijvoorbeeld doordat de lokale toezichthouder meer of minder capaciteit heeft om te handhaven of een meer of minder actief beleid voert.

Gevolgen voor uw organisatie

Concreet betekenen de nieuwe regels dat de volgende zaken nieuw zijn voor veel organisaties en nog geregeld moeten worden:

  • gedetailleerde en actuele beschrijvingen van de aanwezige persoonsgegevens en hoe zij verwerkt moeten worden. Bij hoeveel bedrijven is dit in rond 1995 gedaan en daarna niet meer geactualiseerd ? De kans dat er onbewust minder wordt geregistreerd lijkt me erg klein;
  • transparantie naar personen over de geregistreerde gegevens en hun rechten met betrekking tot deze gegevens. Hieronder valt ook het in specifieke gevallen expliciet toestemming geven;
  • formaliseren van de de omgang met persoonsgegevens met externe verwerkers zoals salarisadministrateurs of accountants. Dit geldt voor beide partijen: de organisatie waarvan de gegevens worden verwerkt en de organisatie die de gegevens verwerkt zal er behoefte aan hebben expliciete afspraken te maken over datalekken, beveiliging, rapportage verwerkte gegevens etc.
  • inregelen van bewaartermijnen voor persoonsgegevens en ervoor zorgen dat na verstrijken van de termijnen de gegevens ook verwijderd kunnen worden;
  • procedures inclusief verantwoordelijkheden indien onverhoopt een data lek optreedt, maar wellicht ook een draaiboek op te stellen

Regels bekend, belangrijke details nog in te vullen

Zowel EU-niveau als op nationaal niveau moeten diverse aspecten nog uitgewerkt worden en zullen pas later in de praktijk invulling krijgen. Dit geldt bijvoorbeeld voor de wijze waarop het recht op data-portabiliteit is in te vullen, hoe Functionarissen Gegevens beschermingen moeten opereren, hoe risico-analyses moeten worden uitgevoerd etc.

Ondersteuning door Syntacc

Het is naar onze mening nu meer dan ooit van belang dat nadrukkelijk gekeken wordt naar de privacy aspecten binnen uw organisatie, gebaseerd op een aanpak waarin alle relevante elementen zijn ondergebracht. De gevolgen moeten integraal worden bepaald op diverse gezichtspunten: business, juridisch en ICT. Alleen beleggen bij b.v. alleen ICT of alleen juridisch is onvoldoende. Organisaties die qua privacy op dit moment “op orde” zijn gaan uit van deze integratie van kennisgebieden.

Syntacc kan u bij uitstek ondersteunen bij het beoordelen van de gevolgen van de nieuwe privacy wetgeving voor uw organisatie, processen en geautomatiseerde registraties en het treffen van de noodzakelijke maatregelen. Door haar unieke combinatie in 1 team van juridische, business en ICT/EDP audit kennis kan zij samen met u de hiervoor genoemde onderwerpen oppakken gebaseerd op een gestructureerde en geïntegreerde aanpak. De adviseurs van Syntacc kunnen als gelijkwaardige gesprekspartners overleggen met betrokkenen zoals interne en externe ICT-deskundigen, voor de processen verantwoordelijke medewerkers en juridische adviseurs en op basis daarvan praktische oplossingen formuleren en implementeren.

Daarbij geldt ook hier de Syntacc aanpak: praktisch en hands-on, adviezen die niet alleen begrijpelijk zijn maar als het noodzakelijk is door ons zelf in overleg met u ook door ons zelf uitgevoerd kunnen worden.

Een andere mogelijkheid is het part time invullen van de functie van Functionaris Gegevensbescherming. Voordeel is dat u niet zelf hoeft te zorgen voor een adequaat opgeleide medewerker en dat gebruik kan worden gemaakt van de kennis en ervaring van andere (vergelijkbare) organisaties. Ook biedt dit de mogelijkheid om aansluiting te houden bij de verdere ontwikkeling van details zoals hoe data-portabiiteit in te vullen.

Met meer dan 25 jaar ervaring één van de overname- en insolventiespecialisten in Nederland