De huidige Europese privacyrichtlijn omtrent de bescherming van persoonsgegevens stamt uit 1995 en dat past natuurlijk niet meer in dit tijdperk, waar 250 miljoen Europeanen dagelijks gebruik maken van internet. De nieuwe Europese Privacy Verordening voldoet aan de huidige eisen van deze digitale eeuw, maar wat gaat er nu precies veranderen?
Het is belangrijk dat alle regels en wetten rondom de verwerking van persoonsgegevens op Europees niveau zijn vastgelegd, aangezien we in een wereld werken waarin gegevensopslag steeds meer grensoverschrijdend is. De Raad van Ministers is daarom in juni 2015 akkoord gegaan met het eerste onderwerp voor een nieuwe verordening, waarin regels worden vastgelegd voor het veilig verzamelen van persoonsgegevens. Grotendeels gaat dit ervoor zorgen dat bedrijven een duidelijk kader hebben voor het behandelen van deze gegevens. Op 14 april 2016 heeft het Europees parlement ingestemd met de nieuwe verordening.
Wet Bescherming Persoonsgegevens
Veel organisaties gebruiken persoonsgegevens en wisselen deze uit. De belangrijkste regels voor de omgang met persoonsgegevens in Nederland zijn vastgelegd in de Wet Bescherming Persoonsgegevens (WBP). In de WBP staat beschreven wat er wel, maar vooral wat er niet mag gebeuren met de persoonsgegevens die bedrijven of organisaties in bezit hebben. Daarnaast beschrijft de WBP wat uw rechten zijn als persoonlijke gegevens wél misbruikt worden. Deze privacybescherming wordt voor de samenleving en het bedrijfsleven steeds belangrijker in deze digitale wereld. Daar beweegt de privacywetgeving nu in mee!
Europese privacyverordening
De nieuwe Europese verordening zal in de komende maanden gepubliceerd worden, waarna organisaties uiterlijk twee jaar de tijd hebben om hieraan te voldoen. De nieuwe verordening zal na deze twee jaar de WBP gaan vervangen. De WBP is met name gefocust op de verantwoordelijke bij de verwerking van de persoonsgegevens, waarbij de focus in de nieuwe Europese privacyverordening niet meer alleen bij de verantwoordelijke, maar ook bij de verwerker van de persoonsgegevens ligt. Waar we in de WBP over bewerker spraken, wordt er in deze nieuwe verordening juist over een verwerker gesproken. Daarnaast worden er meer gegevens gekwalificeerd als ‘persoonsgegevens’ dan nu het geval is. Denk hierbij aan locatie-data en online-identifiers zoals IP-adressen en identificatiecookies.
Een aantal wijzigingen op een rijtje
Voorheen was het zo dat de verantwoordelijke aan het Autoriteit Persoonsgegevens moest melden dat ze persoonsgegevens verwerkten, terwijl een bewerker dit niet hoeft te melden. In de nieuwe Europese privacyverordening komt dit te vervallen. Hiervoor in de plaats komt de documentatieplicht voor alle verantwoordelijke en verwerkers van de persoonsgegevens. De meldplicht datalekken blijft hierbij gewoon overeind.
Naast deze veranderingen kent de nieuwe verordening nog meerdere aanpassingen ten opzichte van de huidige WBP. Ook is het vanaf deze nieuwe verordening voor overheidsinstanties en -organen verplicht om een data protection officer aan te stellen. In de particuliere sector geldt deze verplichting voor bedrijven met méér dan 250 werknemers of waarvan de kernactiviteiten bestaan uit het verwerken van gegevens. Hierbij is het mogelijk om met een groep van ondernemingen gezamenlijk één data protection officer te benoemen. De rol van data protection officer dient geen rol te zijn die iemand vervult naast zijn huidige baan, maar een onafhankelijke functie om op deze manier belangenverstrengeling te voorkomen.
Naast al deze aanpassingen in de nieuwe verordening is het ook een verplichting geworden om de documentatie in handen te hebben waarin de verwerkte persoonsgegevens staan beschreven en de betrokkenen te informeren.
In hoofdlijnen zijn de wijzigingen die de verordening met zich mee zal brengen bekend. Het is dus zaak dat organisaties zich gaan voorbereiden op de komende veranderingen. Wilt u meer weten over een aantal belangrijke facetten in de nieuwe verordening? In het volgende deel van onze blog zullen wij dieper ingaan op de termen privacy by default; privacy by design & privacy impact asessments.