De Autoriteit Persoonsgegevens, de toezichthouder voor de naleving van regels van bescherming van persoonsgegevens, kan niet ieder jaar aan alle onderwerpen evenveel aandacht geven. Daarom stelt zij ieder jaar een agenda op met onderwerpen waarop zij zich dat betreffende jaar in het bijzonder zal richten. De Autoriteit Persoonsgegevens heeft deze agenda afgelopen maand bekendgemaakt. Uit de agenda blijkt dat zij zich in 2017 zal richten op vier onderwerpen, te weten: Nieuwe wetgeving, gegevens verzamelen en (aan de hand daarvan) profileren, bijzondere persoonsgegevens en beveiliging van persoonsgegevens.
De Algemene Verordening Gegevensbescherming, afgekort AVG en ook wel Privacyverordening genoemd, zal met ingang van 25 mei 2018 van toepassing zijn en daarmee de (huidige) Wet bescherming persoonsgegevens vervangen.
Met de Privacyverordening verandert de wijze waarop bedrijven en organisaties met de verwerking van persoonsgegevens moeten omgaan en zullen nieuwe verplichtingen voor uw bedrijf of organisatie (kunnen) ontstaan, zoals de aanstelling van een functionaris voor de gegevensbescherming.
Uit de agenda komt naar voren dat de Autoriteit Persoonsgegevens dit jaar bedrijven en organisaties zal informeren en adviseren over de Privacyverordening. Daarmee kunnen bedrijven en organisaties de verwerking van persoonsgegevens in lijn brengen met de uit de Privacyverordening voortvloeiende verplichtingen.
Het lijkt erop dat de Autoriteit Persoonsgegevens met dit agendapunt alvast vooruitloopt op de agenda van volgend jaar. Het lijkt me namelijk niet onwaarschijnlijk dat de nieuwe verplichtingen van de Privacyverordening op de agenda van 2018 zullen staan.
Wilt u meer weten over de Privacyverordening? Op donderdag 6 april (vanaf 17.00 uur) organiseert de ICT/IE-branche van Bout Advocaten een Legal Meetup over dit onderwerp. U kunt zich aanmelden voor de Legal Meetup via www.legal-meetup.nl of via bodewes@boutadvocaten.nl.
Er worden steeds meer (persoons)gegevens verzameld. Vooral via internet. Onder andere via enkele grote en bekende media zoals Google, Facebook en Linkedin. Die gegevens worden niet alleen verzameld, maar die gegevens worden vervolgens ook gebruikt voor profileren. Dit wil zeggen dat onderscheid gemaakt kan worden tussen personen (om bijvoorbeeld gericht – dat wil zeggen naar bijvoorbeeld leeftijd, geslacht en voorkeuren – te adverteren).
In de agenda laat de Autoriteit Persoonsgegevens haar zorgen over het verzamelen van (de grote hoeveelheid) persoonsgegevens en over het profileren aan de hand daarvan blijken. Zij geeft dan ook te kennen dat de verzameling van gegevens transparant dient te zijn. Burgers dienen geïnformeerd te zijn over welke gegevens verzameld worden. De Autoriteit Persoonsgegevens zal hierop dit jaar, en naar het lijkt ook in 2018 wanneer de Privacyverordening van toepassing is, extra letten.
Bijzondere persoonsgegevens zijn persoonsgegevens die het meest privacygevoelig zijn. Gedacht kan worden aan medische gegevens, ras, godsdienst, seksuele voorkeur, strafrechtelijk verleden en – wat niet iedereen weet – BSN. Deze gegevens worden (door de Wet bescherming persoonsgegevens) extra beschermd. Bedrijven en organisaties dienen, voor het verwerken van deze bijzondere persoonsgegevens, aan extra verplichtingen en waarborgen te voldoen. Zoals uit de agenda blijkt, heeft de Autoriteit Persoonsgegevens geconstateerd dat steeds meer bedrijven en organisaties – waaronder ook overheden – bijzondere persoonsgegevens verwerken, en in voorkomend geval dat bedrijven en organisaties die bijzondere persoonsgegevens voor een ander doel gebruikt dan waarvoor de gegevens bedoeld waren. De Autoriteit Persoonsgegevens zal om die reden er in 2017 extra op letten dat de verwerking van bijzondere persoonsgegevens plaatsvindt met inachtneming van de wettelijke verplichtingen en waarborgen.
Steeds meer zaken kunnen digitaal en via internet worden geregeld. Gedacht kan bijvoorbeeld worden aan de belastingaangifte, bankzaken, het inzien van loonstrookjes en patiëntendossiers. Door de toename van de digitale mogelijkheden neemt echter ook het risico op het “op straat komen te liggen” en het misbruik van persoonsgegevens toe. Met alle (financiële) gevolgen van dien.
Sinds 2016 geldt een meldplicht in geval van datalekken. Deze meldplicht is bedoeld om het lekken en de onrechtmatige verwerking van persoonsgegevens tegen te gaan. Om daaraan te voldoen, dienen voldoende juridische, organisatorische en technische waarborgen getroffen te worden. In de agenda benadrukt de Autoriteit Persoonsgegevens dat zij toezicht houdt op de meldplicht en dat zij de taak ook in 2017 hoog in het vaandel (en de agenda) heeft staan. Mocht u met een datalek te maken krijgen, of mocht u twijfelen over de vraag of de verwerking van persoonsgegevens in uw bedrijf of organisatie voldoende gewaarborgd is, is het raadzaam om dit jaar niet stil te blijven zitten. Daarbij geldt onverkort: voorkomen is beter dan genezen.
Tim Bodewes
Hebt u vragen over de verwerking van persoonsgegevens of over de Algemene Verordening Gegevensbescherming? Of hebt u te maken met een datalek of de Autoriteit Persoonsgegevens? De advocaten van de ICT|IE-branche helpen u graag verder!
