Wetswijzigingen vragen om actie

Profiling, beveiliging van persoonsgegevens en persoonsgegevens in de arbeidsrelatie. Dat zijn de accenten in het beleid van het College Bescherming Persoonsgegevens voor 2015 die de breedste impact zullen hebben.

Het College Bescherming Persoonsgegevens moet keuzes maken; om die reden heeft het CBP in zijn Agenda 2015 vijf thema’s benoemd waar het dit jaar extra aandacht aan besteed. Eén daarvan is geïnspireerd door de wijzigingen die de overheid heeft aangebracht in de verdeling van zorgtaken. Die brengen het CBP ertoe extra te letten op onwettig verzamelen, bewaren of gebruiken van bijzondere persoonsgegevens: gegevens over godsdienst, ras, politieke gezondheid en strafrechtelijk verleden.

Een overkoepelende regeling voor gegevensuitwisseling in het sociale domein ontbreekt. Hierdoor is het voor gemeenten ingewikkeld om te beoordelen of zij in de praktijk aan de privacywetgeving voldoen, en is het voor burgers lastig of zelfs ondoenlijk om hun privacyrechten uit te oefenen, zoals het recht op inzage in de eigen gegevens. Het CBP vreest dat dit aanleiding kan zijn voor het bovenmatig verwerken van gegevens, het gebruik van gegevens voor andere doelen en onvoldoende beveiliging van de gegevens.

Ook het oprukken van ICT in het domein gezondheidszorg levert risico’s op, constateert het CBP. Zorginstellingen en individuele hulpverleners zien vaak onvoldoende de noodzaak in om bij de toepassing van nieuwe ICT de privacyrisico’s goed in te schatten en te ondervangen. Het CBP gaat daar extra op letten. Dat geldt ook voor de opslag, gebruik en beveiliging van gegevens die mensen verzamelen met zelfhulp-apparaten en -apps voor het monitoren van de gezondheid.

 

Drie terreinen met bredere impact

De breedste impact van de CBP-agenda 2015 is echter te verwachten op drie andere terreinen. De eerste daarvan is profiling, ofwel het onderscheid maken tussen mensen op basis van profielen die zijn gedestilleerd uit patronen of al dan niet toevallige correlaties in gegevensbestanden. “De twee belangrijkste risico’s van profiling zijn het gebrek aan transparantie en het gevaar dat beslissingen over mensen worden genomen op basis van een (soms zelfs foutief) profiel. Het bestrijden van die twee risico’s is dan ook in 2015 een speerpunt van het CBP op het gebied van profiling”, heet het in de Agenda 2015. Waar die profilering geschiedt op basis van tracking en tracing – via bijvoorbeeld smartphones, smart watches en dito tv’s en meters – richt het CBP zich dit jaar vooral op de naleving van de eis dat mensen goed worden geïnformeerd. Ook kijkt het CBP of op de juiste wijze om toestemming is gevraagd dan wel dat een adequate opt-outmogelijkheid is geboden.

De manier waarop werkgevers met hun personeel omgaan, kan in 2015 ook rekenen op de speciale aandacht van het CBP. Daarbij let het CBP onder meer op het gebruik van voor beveiligingsdoeleinden geïnstalleerde camera’s om het functioneren van werknemers in de gaten te houden en het tegen de wettelijke regels vragen van medische gegevens van werknemers die zich ziek melden.

Laatste hoofdpunt op de agenda van het CBP is beveiliging van persoonsgegevens. Nu al is het zo dat de wet voorschrijft dat organisaties die persoonsgegevens vastleggen, deze voldoende horen te beveiligen. Als het vermoeden tot overtreding van deze regel bestaat, zal het CBP daar onderzoek naar doen.

In de loop van dit jaar worden de regels waarschijnlijk aangescherpt. Als het parlement doorpakt, treedt dit jaar de meldplicht datalekken in werking. Organisaties zullen dan datalekken moeten melden bij het CBP; in ernstige gevallen zullen ze ook de personen waarop gelekte gegevens betrekking hebben, moeten informeren. Het inrichten van de verwerking van meldingen is dit jaar speerpunt bij het CBP. Het lijkt een veilige voorspelling om te veronderstellen dat in 2016, uiterlijk in 2017 controle op de effectiviteit en efficiëntie van procedures om in voorkomende gevallen personen van een datalek te verwittigen, als aandachtspunt op de agenda van het CBP verschijnt.

 

Veranderingen op til

Op afzienbare termijn gaat in Nederland een meldplicht datalekken gelden. Het wetsvoorstel is goedgekeurd door de Tweede Kamer; de Eerste Kamer moet zich er nog over buigen, maar daar lijkt het niet op oppositie te stuiten.

De houder van een verzameling persoonsgegevens wordt na inwerkingtreding van deze aanvulling op de Wet bescherming persoonsgegevens – mogelijk al in juni – verplicht bij het College bescherming persoonsgegevens (CBP) melding te maken van inbreuken waarvan ‘redelijkerwijs kan worden aangenomen dat die leiden tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens’. Men zal ook betrokkenen moeten inlichten als de inbreuk ongunstige gevolgen kan hebben voor hun persoonlijke levenssfeer. Het nalaten aan deze verplichting te voldoen, kan organisaties op een bestuurlijke boete komen te staan.

De boetebedragen gaan bovendien omhoog. Nu kan het CBP boetes tot 4500 euro opleggen, eventueel verhoogd met een strafrechtelijke sanctie van 8100 euro en, als van opzet sprake is, een boete van 20.250 euro of 6 maanden gevangenisstraf. Genoemde bedragen gaan omhoog naar 20.250 tot 810.000 euro, of eventueel 10 procent van de jaaromzet. Overigens kan het CBP boetes pas opleggen wanneer een bindende aanwijzing om de misstand te verbeteren genegeerd wordt – tenzij opzet in het spel is.

 

Europa trekt touwtjes aan

De Europese Commissie werkt al sinds 2012 aan uitbreiding en harmonisatie van de Europese wetgeving die verregaande consequenties krijgen. De belangrijkste aanpassingen:

Expliciete toestemming vereist om gegevens over personen toe te voegen aan dataverzamelingen. Expliciete toestemming vereist om klanten op mailinglijsten te plaatsen en mails toe te sturen. Expliciete toestemming vereist om consumentendata te gebruiken voor profilering. De optie om op verzoek weer geschrapt te worden uit gegevensverzamelingen als er geen wettelijke basis is voor de gegevensvastlegging. De mogelijkheid tot inzage in vastgelegde persoonsgegevens. Het recht om gegevens mee te nemen naar een andere dienstverlener. Regels gelden ook voor business-to-businesscommunicatie. Privacy hoort deel uit te maken van de opzet van gegevensverzamelingen, ofwel: bij incidenten ligt de bewijslast ligt bij de houder van de gegevensverzameling. Bedrijven met meer dan 250 medewerkers en kleinere bedrijven die zich specialiseren in dataverzameling dienen een data protection officer aan te stellen. Boetes mogelijk van 2 procent van de wereldwijde omzet of 1 miljoen euro; op voorstel van het Europees parlement zijn die boetes opgetrokken naar 5 procent dan wel 100 miljoen euro.

De uitwerking van de hervorming van de Privacyverordening heeft enige vertraging opgelopen, met name door discussie over het ‘one-stop-shop’-principe: sommige landen kunnen er niet mee leven dat organisaties na inwerkingtreding van de wet in één Europees land afspraken kunnen maken met de ­privacy-autoriteit die voor alle lidstaten gelden. Daardoor lijkt het niet meer haalbaar de tekst in 2015 goed te keuren. Dat betekent dat de inwerkingtreding van de wet waarschijnlijk een jaar opschuift, naar 2018.

 

Check uw procedures

Het privacybeleid laat in veel gevallen te wensen over. Die conclusie dringt zich op bij kennisname van de resultaten van het onderzoek van PwC naar de ‘Volwassenheid van privacybeheersing binnen Nederlandse organisaties’ onder 93 organisaties. Dat onderzoek suggereert dat de volgende punten op uw checklist horen te staan:

Is er een formeel privacybeleid? In bijna 30 procent van de gevallen is er van beleid geen sprake. Bij ruim een derde is er wel beleid, maar dan als onderdeel van algemeen beleid of informatiebeveiligingsbeleid. Slechts 27 procent van de organisaties kent een apart privacybeleid.

Is de interne afstemming goed geregeld? Twee derde van de ondervraagden meent dat het onderwerp privacy een samenspel hoort te zijn tussen IT, de business en de juridische specialisten. Maar bij nog geen 20 procent bespreken deze disciplines privacygerelateerde zaken eens per maand of vaker; nog eens 20 procent doet dat minimaal eens per kwartaal.

Heeft uw organisatie inzichtelijk en gedocumenteerd welke persoons­gegevens worden verwerkt? Slechts bij 1 op de 6 organisaties zijn alle verwerkingen inzichtelijk en gedocumenteerd. Bij ongeveer de helft zijn de meeste verwerkingen niet gedocumenteerd.

Worden privacy en compliance aan de Wet bescherming persoonsgegevens (Wbp) periodiek beoordeeld? Slechts 42 procent van de organisaties neemt zijn privacymaatregelen regelmatig de maat. Bijna 20 procent doet dat nooit.

Heeft uw organisatie voldoende waarborgen om verzoeken tot inzage in persoonsgegevens af te handelen? Dat blijkt in een derde van de onderzochte organisatie niet het geval, en nog eens 10 procent kan de vraag niet beantwoorden.

Heeft uw organisatie een of meerdere risicoanalyses uitgevoerd in het kader van omgang met persoonsgegevens? Meer dan de helft van de organisaties heeft niet getoetst of ze de risico’s helder op het netvlies hebben staan.

Hebben u en/of uw collega’s de afgelopen 12 maanden privacytrainingen gevolgd? In tweederde van de gevallen zijn medewerkers al een jaar lang niet bijgeschoold.

Controleert u de bewerkersovereenkomsten periodiek op naleving (of laat u deze periodiek controleren)? Ruim 60 procent geeft te kennen dat de overeenkomsten met externe partijen waarmee persoonsgegevens worden gewisseld, niet worden gecontroleerd.

Worden privacy-incidenten geanalyseerd om toekomstige privacy-incidenten te voorkomen? 23 procent van de ondervraagde organisaties doet dat niet, nog een kleine 20 procent kan de vraag niet beantwoorden.

Is uw organisatie voorbereid om te voldoen aan de verplichting die gaat gelden om datalekken te melden bij het College bescherming Persoonsgegevens en aan betrokkenen? 88 procent durft hier niet volmondig Ja op te antwoorden.

Weet u wat de nieuwe privacyregelgeving voor uw organisatie gaat betekenen? 55 procent van de ondervraagden moet de wijzigingen nog in kaart brengen, nog eens 30 procent heeft ze wel geïdentificeerd maar moet deze nog implementeren.

Heeft uw organisatie al een Functionaris Gegevensbescherming of Privacy Officer aangesteld? Bij slechts 17 procent van de onderzochte organisaties is al zo’n functionaris aangesteld.

Heeft uw organisatie een interne procedure om verzoeken af te handelen om persoonsgegevens te wissen, zodra onder de Europese Privacy Verordening het ‘Recht om vergeten te worden’ wordt ingevoerd? Ruim twee derde van de deelnemende organisaties geeft aan dat er in de eigen organisatie geen procedure bestaat om aan het ‘recht om vergeten te worden’ invulling te geven.

Tag

Cbp

OnderwerpNiet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag