• Nieuws

Nieuwe privacywetgeving weer stap dichterbij. Be aware and prepare.

18 december 2014
IT & privacy

Vrijwel alle bedrijven maken tegenwoordig gebruik van digitale bestanden met persoonsgegevens van hun klanten en werknemers, op hun eigen servers of in de cloud. Zij moeten zich bij het verzamelen en gebruiken van die gegevens houden aan de privacywetgeving. Er is al geruime tijd nieuwe, strengere privacywetgeving in de maak, zowel op Europees als op nationaal niveau. De nieuwe regels leiden deels tot nieuwe verplichtingen voor bedrijven die aanpassing van de interne procedures van bedrijven noodzakelijk maken. Als u niet voldoet aan de al bestaande en nieuwe regels, kan de toezichthouder bovendien een forse boete opleggen. Op dit moment is dat nog niet het geval.

Wetsvoorstel Meldplicht datalekken en Uitbreiding bestuurlijke boetebevoegdheid CBP

Eind november heeft de Minister het wetsvoorstel Meldplicht datalekken aangepast. De al aangekondigde verplichting om succesvolle cyberinbraken (datalekken) te melden bij de toezichthouder(het College Bescherming Persoonsgegevens, het CBP) is beperkt tot alleen die gevallen waarin er sprake is van ernstige nadelige gevolgen voor de bescherming van persoonsgegevens te. Het CBP zal richtsnoeren geven om te bepalen wanneer er sprake is van zulke ernstige nadelige gevolgen. Te denken valt in ieder geval aan het lekken van gezondheidsgegevens van werknemers of creditcardgegevens van klanten.

Het CBP, dat na invoering van de wet Autoriteit Persoonsgegevens gaat heten, krijgt bovendien de bevoegdheid om bij overtreding van de wet boetes tussen de EUR 20.250 tot maximaal EUR 810.000 (of als dat gepast is tot 10% van de jaaromzet) op te leggen. Die boetebevoegdheid geldt niet alleen bij overtreding van de meldplicht bij datalekken, maar ook bij overtreding van de meeste andere verplichtingen in de wet. Het gaat dan om bijvoorbeeld aan het gebruik van NAW-gegevens (zonder toestemming van de betrokkene) voor een doel dat niet veel meer te maken heeft met het doel waarvoor de gegevens zijn verzameld. Of om het laten hosten van de gegevens zonder goede, afdwingbare afspraken te maken met de hosting provider over de beveiliging van die gegevens. Of het (zonder toestemming) bewaren van gegevens van sollicitanten voor een periode langer dan vier weken. Overigens zal het CBP de boete wel pas opleggen nadat het eerst de gelegenheid heeft gegevens om de overtreding van de wet te beëindigen. Op dit moment kan het CBP een boete opleggen van maximaal EUR 4.500 en dan ook nog maar alleen bij overtreding van een aantal administratieve verplichtingen.

Europese Privacyverordening

Parallel aan het Nederlandse wetsvoorstel wordt sinds begin 2012 in Brussel onderhandeld over de Algemene Verordening Gegevensbescherming die in de hele Europese Unie rechtstreekse werking zal hebben. Ook in die verordening is een (strengere) meldplicht datalekken voorgesteld en een hogere boetebevoegdheid voor de toezichthouder. Ook komt er een verplichting voor bedrijven om een “Privacy Impact Assessment” te doen bij verwerking van bepaalde persoonsgegevens. Het is op dit moment nog niet duidelijk hoe hoog de boetes in de verordening zullen zijn, maar de verwachting is dat deze zeker niet lager zullen zijn dan die in het Nederlandse wetsvoorstel. Op dit moment ziet het ernaar uit dat de Verordening begin 2016 zal wordt vastgesteld. De regels treden dan na de overgangstermijn in 2018 in werking.

Hoe kunt u zich voorbereiden op wat komen gaat

2018 lijkt nog ver weg, maar het Nederlandse wetsvoorstel zal al veel eerder in werking treden. Het is dus zaak om u de komende periode op de nieuwe regels en het nieuwe risico van hoge boetes voor te bereiden. Daarbij kunt u aan de volgende maatregelen denken:

  1. Creëer “awareness” bij uw medewerkers over privacyregels bij het gebruiken van klantgegevens en gegevens van uw werknemers. U kunt daarbij denken aan een interne policy, maar ook aan trainingen;
  2. Ga na welk retentiebeleid u hanteert. Hoe lang bewaart u gegevens en is dat nodig? Onthoud dat hoe meer gegevens u heeft, hoe meer u kunt lekken;
  3. Stel interne procedures op om (tijdig) te kunnen voldoen aan de komende meldplicht als u wordt gehackt; en
  4. Controleer of u verzekerd bent voor eventuele schade als gevolg van datalekken.

Voor nader advies over de nieuwe wetgeving en de voorbereiding daarop kunt u contact opnemen met de leden van ons IT-privacy team.

Meer informatie