Privacyrecht: Zomerupdate 2017

Na de Eindejaarsupdate in december 2016 maakt de Werkgroep Privacyrecht van Ovidius de (zomer)balans op. Wat zijn de meest in het oog springende ontwikkelingen van het afgelopen halfjaar? Ovidius praat u bij in dit overzicht.

10 januari 2017: tekstvoorstel ePrivacy Verordening gepubliceerd

Begin dit jaar publiceerde de Europese Commissie een tekstvoorstel voor een nieuwe ePrivacy Verordening, die de wetgeving op het gebied van elektronische communicatie (verder) moet gaan harmoniseren. Het doel is om de ePrivacy Verordening op hetzelfde moment te laten ingaan als de Privacyverordening (zie hieronder). Ovidius vertelt u hier meer over het wetsvoorstel.

Recent hebben de Europese autoriteiten persoonsgegevens, die zijn verenigd in de Artikel 29 Werkgroep (“WP29”), zich (zeer) kritisch uitgelaten over het tekstvoorstel; zo zou de ePrivacy Verordening onder meer afbreuk doen aan de bescherming die de Privacyverordening zelf biedt. Ovidius gaat hier nader op hun kritiek in.

13 april 2017: op weg naar de Europese Privacyverordening

Over minder dan een jaar is het zover: dan wordt de Algemene Verordening Gegevensbescherming (de “Privacyverordening”) van kracht. Ondernemingen hebben dus nog ongeveer 11 maanden om aan de vereisten van de Privacyverordening te voldoen. Om ondernemingen daarin te ondersteunen, heeft de WP29 in het afgelopen halfjaar richtsnoeren gepubliceerd die dieper ingaan op verschillende onderwerpen die in de Privacyverordening worden geregeld, zoals de functionaris gegevensbescherming. Ovidius vertelt u hier meer over deze richtsnoeren en hier meer over de Privacyverordening zelf.

De internetconsultatie van de uitvoeringswet waarmee de Privacyverordening in de Nederlandse wetgeving zal worden geïmplementeerd, is op 20 januari jl. afgerond. De definitieve versie van de uitvoeringswet is tot op heden niet bekendgemaakt. De Autoriteit Persoonsgegevens heeft wel al op 13 april 2017 een tienstappenplan gepubliceerd om uw organisatie klaar te stomen voor de Privacyverordening. Ovidius bespreekt graag met u welke stappen uw organisatie nog kan of moet nemen in de voorbereiding naar 25 mei 2018.

10 mei 2017: cijfers meldplicht datalekken eerste kwartaal 2017 bekend

De Autoriteit Persoonsgegevens publiceerde op 10 mei jl. de eerste kwartaalcijfers van 2017. In de periode januari-maart zijn ruim 2300 datalekken gemeld en startte de Autoriteit Persoonsgegevens 135 keer een onderzoek. Het merendeel van de onderzochte organisaties kwam eraf met een waarschuwing. In het eerste kwartaal heeft de Autoriteit Persoonsgegevens geen boetes uitgedeeld.

1 juni 2017: Autoriteit Persoonsgegevens moet groeien

De Privacyverordening brengt niet alleen voor organisaties, maar ook voor de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, grote veranderingen met zich. De Autoriteit Persoonsgegevens heeft daarom in een onderzoeksrapport laten samenvatten welke aanpassingen de Privacyverordening vereist voor de eigen organisatie. De belangrijkste conclusie van het rapport is dat het nieuwe takenpakket zodanig omvangrijk is, dat de Autoriteit Persoonsgegevens flink zal moeten groeien om dit adequaat te kunnen uitoefenen. Daarvoor zullen (substantiële) financiële middelen ter beschikking moeten worden gesteld.

Het rapport is op 6 april 2017 aangeboden aan het ministerie van Veiligheid en Justitie en op 1 juni 2017 doorgestuurd naar de Tweede Kamer.

8 juni 2017: Opinie WP29 omtrent de verwerking van persoonsgegevens op de werkvloer

Afgelopen maand bracht WP29 een opinie uit omtrent de verwerking van persoonsgegevens op de werkvloer, waarin de balans tussen de gerechtvaardigde belangen van de werkgever enerzijds en de privacy van de werknemer anderzijds centraal staat. Hoewel de opinie met name is geschreven op basis van het huidige recht – de Privacy Richtlijn – komen ook de nieuwe verplichtingen die voortvloeien uit de Privacy Verordening aan bod. De WP29 bespreekt in de opinie onder meer het gebruik van ICT op de werkvloer, het monitoren van aanwezigheid, het verstrekken van personeelsgegevens aan derden en de internationale uitwisseling daarvan. Ovidius gaat in een afzonderlijke update dieper op de opinie en de consequenties daarvan in.

Wat kan Ovidius voor u betekenen?

De nieuwe en steeds veranderende privacyregels dwingen ondernemingen niet alleen om hun contracten met externe partijen kritisch onder de loep te nemen, maar ook om in de eigen bedrijfsvoering de noodzakelijke veranderingen door te voeren. Ovidius staat u daarin graag bij. Dat kan variëren van het opstellen van een privacyverklaring voor de bedrijfswebsite, tot het implementeren van een protocol voor het melden van datalekken. In de afgelopen periode heeft Ovidius onder meer:

  • geadviseerd over de toepasselijke wet en regelgeving op het gebied van bescherming persoonsgegevens;
  • geadviseerd en geassisteerd bij het aanstellen en registreren van een functionaris gegevensbescherming;
  • geadviseerd en geassisteerd bij het maken van goede (contractuele) afspraken over het beschermen en bewerken van persoonsgegevens met ketenpartners en ingeschakelde derden;
  • privacydisclaimers en cookiebeleid opgesteld;
  • protocollen opgesteld voor cameratoezicht op de werkvloer en voor (toezicht op) gebruik van internet en e-mail;
  • een datalekprotocol opgesteld;
  • een toestemmingsverklaring opgesteld voor verwerking van persoonsgegevens van personeel; en
  • geadviseerd over verzoeken tot het verstrekken en verwijderen van persoonsgegevens door rechthebbenden of justitie.