Het jaar 2016 vormde een waterscheiding in de privacywetgeving. In dit jaar trad de meldplicht datalekken in werking, werd de Algemene Verordening Gegevensbescherming aangenomen, bepaalde het Hof van Justitie van de EU dat lidstaten geen algemene bewaarplicht voor (communicatie)gegevens mogen opleggen, en zag het EU-US Privacy Shield het levenslicht. Dit lijkt misschien een ver-van-je-bed-show, maar voor veel ondernemingen brengen de nieuwe regels, nieuwe verplichtingen met zich mee. Binnen Ovidius Law is een Werkgroep Privacyrecht actief die regelmatig bijeenkomt om de nieuwste ontwikkelingen op het gebied van privacyrecht te bespreken. De Werkgroep Privacyrecht deelt haar inzichten graag met u via de pagina ‘Privacyrecht Update’. Hieronder wordt een aantal relevante onderwerpen op het gebied van privacyrecht aangestipt. In de verdere nieuwsberichten worden deze onderwerpen uitgebreider toegelicht.
Terug naar de basis: Wat is privacyrecht?
De grondslag van het privacyrecht ligt in een aantal verdragen en in de Nederlandse Grondwet. Kort gezegd is hierin vastgelegd dat ieders persoonlijke levenssfeer moet worden geëerbiedigd en dus dat er ‘recht op privacy’ is.
In 1995 trad de Europese Privacyrichtlijn in werking. Op grond van deze richtlijn werden individuele lidstaten verplicht om in hun nationale wetgeving regels op te nemen ter bescherming van persoonsgegevens. Aanleiding voor de privacyrichtlijn waren de ontwikkelingen op het gebied van ICT, waardoor gegevensuitwisseling steeds makkelijker werd.
De privacyrichtlijn heeft in Nederland geresulteerd in (onder meer) de Wet bescherming persoonsgegevens (de “Wbp”). De Wbp is sinds 1 september 2001 van kracht. In deze wet is geregeld hoe bedrijven, overheid en individuen met persoonsgegevens moeten omgaan. Dit ‘omgaan met persoonsgegevens’ wordt in de wet het ‘verwerken van persoonsgegevens’ genoemd. Dit kan zijn geautomatiseerde verwerking (elektronische bestanden, systemen, mappen etc.), maar ook niet-geautomatiseerde verwerking (bijvoorbeeld mappen met klantgegevens, contracten of personeelsdossiers). Persoonsgegevens zijn alle gegevens die leiden tot de identificatie van een persoon. De belangrijkste bepalingen uit de Wbp zijn als volgt samen te vatten:
- Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt;
- Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Vervolgens mogen deze alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn;
- Degene van wie persoonsgegevens worden verwerkt (de “betrokkene”), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die de persoonsgegevens verwerkt (de “verantwoordelijke”) en van het doel van de gegevensverwerking;
- Persoonsgegevens moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.
De Wbp is onlangs nog, op 1 januari 2016, gewijzigd. Een van de belangrijkste wijzigingen heeft betrekking op de nationale toezichthouder, vroeger het College bescherming persoonsgegevens, nu de Autoriteit Persoonsgegevens. Deze autoriteit heeft sindsdien de bevoegdheid om boetes op te leggen aan organisaties die in strijd met de Wbp handelen.
1 januari 2016: Meldplicht datalekken in werking
Sinds 1 januari 2016 geldt ook de meldplicht datalekken. In de aanloop hier naartoe, heeft de Autoriteit Persoonsgegevens eind 2015 beleidsregels gepubliceerd. Aan de hand van deze beleidsregels kunnen organisaties die persoonsgegevens verwerken, bepalen wanneer sprake is van een datalek en, indien daarvan sprake is, of dit datalek moet worden gemeld bij de Autoriteit Persoonsgegevens (en eventueel aan de betrokkenen). Een organisatie die ten onrechte niet meldt, of dit te laat doet, riskeert een boete die kan oplopen tot EUR 820.000, of 10% van de jaaromzet. Het is daarom van belang dat een onderneming maatregelen neemt om datalekken te voorkomen en om aan de meldplicht te voldoen. Lees meer over datalekken in ons eerdere nieuwsbericht over dit onderwerp.
25 mei 2016: Europese Privacyverordening in werking getreden
Op 25 mei 2016 is de Algemene Verordening Gegevensbescherming (de “Privacyverordening”), in werking getreden. Deze verordening vervangt per 25 mei 2018 de eerder genoemde Privacyrichtlijn. Ondernemingen hebben dus nog tot die tijd om hun bedrijfsvoering in overeenstemming te brengen met de Privacyverordening. Ovidius vertelt u hier meer over de Privacyverordening.
1 augustus 2016: EU-US Privacy Shield van kracht
Volgens de privacyrichtlijn mogen persoonsgegevens alleen naar landen buiten de EU doorgegeven worden wanneer deze landen een ‘passend beschermingsniveau’ voor persoonsgegevens bieden. Dit wil zeggen dat een land dat de privacyrichtlijn niet in haar nationale wetgeving heeft geïmplementeerd, moet kunnen garanderen dat het niveau waarop de persoonsgegevens beschermd worden minimaal even hoogt ligt als binnen de EU. Omdat de Verenigde Staten niet geacht worden een passend beschermingsniveau te bieden, hebben de Europese Commissie en de Amerikaanse overheid in 2000 een overeenkomst gesloten waarin het ‘Safe Harbour systeem’ is afgesproken. Dit systeem maakte het voor Amerikaanse bedrijven mogelijk om door zelfcertificering te voldoen aan de Richtlijn, waardoor een passend beschermingsniveau wel geboden werd.
Op 6 oktober 2015 maakte een uitspraak van het Hof van Justitie van de Europese Unie een einde aan het Safe Harbour systeem. Het Hof kwam in de zaak Schrems vs Facebook tot het oordeel dat dataverkeer naar de Verenigde Staten dat uitsluitend gebaseerd was op Safe Harbour, niet langer in overeenstemming was met het regime van de privacyrichtlijn. Vervolgens zijn de Europese Commissie en de Verenigde Staten gaan onderhandelen met het doel om een nieuw veilig systeem vast te stellen voor doorgifte van persoonsgegevens naar de Verenigde Staten.
Op 12 juli 2016 is een kaderovereenkomst gesloten tussen de Europese Unie en de Verenigde Staten die het doorgeven van gegevens aan de Verenigde Staten (voorlopig) een juridische basis geeft: het EU-US Privacy Shield. Deze oplossing stuit echter opnieuw op veel kritiek, en lag al kort na inwerkingtreding zwaar onder vuur.
Over het Privacy Shield en andere mogelijkheden voor het doorgeven van gegevens aan de Verenigde Staten (of een ander land buiten de Europese Unie) leest u meer in ons nieuwsbericht hierover.
21 december 2016: einde richtlijn bewaarplicht communicatiegegevens
Tot 8 april 2014 gold in Europa een richtlijn met betrekking tot de bewaring van communicatiegegevens. Het Europese Hof van Justitie heeft die richtlijn ongeldig verklaard in een uitspraak in een zaak van Digital Rights Ireland. Ondanks het wegvallen van de richtlijn, bleef nationale wetgeving over gegevensbewaring van kracht, waaronder in Nederland. Bij ons is de Wet bewaarplicht telecommunicatiegegevens op 11 maart 2015 door de rechtbank Den Haag buiten werking gesteld. Sindsdien wordt gewerkt aan aanpassing van die wet. Op 13 september 2016 heeft de minister van Veiligheid en Justitie daarvoor een wetsvoorstel ingediend bij de Tweede Kamer. Naar aanleiding van vragen uit Zweden en Engeland, heeft het Europese Hof van Justitie geoordeeld of nationale wetten die telecomaanbieders verplichten tot bewaring van communicatiegegevens verenigbaar zijn met het Europese recht. Uit de uitspraak van 21 december 2016 volgt dat het in strijd is met het recht op privacy als nationale regelgeving voorziet in een algemene en ongedifferentieerde bewaring van communicatiegegevens.
Wat kan Ovidius voor u betekenen?
De nieuwe en steeds veranderende privacyregels dwingen ondernemingen niet alleen om hun contracten met externe partijen kritisch onder de loep te nemen, maar ook om in de eigen bedrijfsvoering de noodzakelijke veranderingen door te voeren. Dat kan variëren van het opstellen van een privacyverklaring voor de bedrijfswebsite, tot het implementeren van een protocol voor het melden van datalekken. Ovidius staat u graag bij met advies en in procedures. Wij kunnen onder meer:
- adviseren over de toepasselijke wet en regelgeving op het gebied van bescherming persoonsgegevens;
- toetsen of uw organisatie voldoet aan de privacyregels;
- een privacybeleid voor uw organisatie opstellen;
- assisteren bij het maken van goede (contractuele) afspraken over het beschermen en bewerken van persoonsgegevens met uw ketenpartners en door u ingeschakelde derden;
- adviseren over internationale gegevensuitwisselingen (bijv. met toeleveranciers of binnen uw concern);
- een privacydisclaimer en cookiebeleid opstellen;
- een protocol opstellen voor cameratoezicht op de werkvloer;
- een protocol opstellen voor (toezicht op) gebruik van internet en e-mail;
- een datalekprotocol opstellen;
- een toestemmingsverklaring opstellen voor verwerking van persoonsgegevens van uw personeel;
- adviseren over verzoeken tot het verstrekken van persoonsgegevens door rechthebbenden of justitie;
- adviseren over privacyaspecten rondom de ontwikkeling van nieuwe producten en diensten; en
- bijstaan in juridische procedures bij een geschil met een betrokkene (zoals een klant of personeelslid) of wanneer de Autoriteit Persoonsgegevens handhavend optreedt.