Privacy versus het digitale tijdperk

Zowel op nationaal als Europees niveau zijn privacyregels aangescherpt

Zoals in artikel 10 Grondwet is vastgelegd heeft eenieder recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer. Daarbij hoort een zorgvuldige omgang met zijn persoonsgegevens. In de Wet bescherming persoonsgegevens (hierna: Wbp) zijn regels opgenomen ter bescherming van persoonsgegevens. Alle bedrijven en overheidsinstellingen die persoonsgegevens verwerken dienen te voldoen aan de eisen die in de Wbp zijn opgenomen.

Sinds 1 januari 2016 is zowel op nationaal als op Europees niveau de regelgeving rondom privacy aanzienlijk aangescherpt. Zo is de Wbp onlangs uitgebreid doordat in deze wet een zogenoemde meldplicht is opgenomen. Daarnaast is op 15 december 2015 op Europees niveau een belangrijk akkoord bereikt met betrekking tot privacyregels.

Gelet op voorgenoemde ontwikkelingen is het hoog tijd om, zeker vandaag, op de Dag van de Privacy – 28 januari 2016 – de stand van zaken rondom privacywetgeving op te maken. 

EU akkoord over verordening databescherming

Op Europees niveau wordt sinds begin 2012 naar hervorming gestreefd op het gebied van databeschermingsregels. Gelet op de grote hoeveelheid aan privacyregels die hebben te gelden op Europees niveau wordt het voor de burger vrijwel onmogelijk gemaakt controle te behouden op eigen persoonsgegevens.

Eind 2015 werd een akkoord bereikt tussen de Europese Commissie, het Europees Parlement en de Raad van de Europese Unie. Dit akkoord bestaat uit een Algemene Verordening Gegevensbescherming (ook wel: AVG) en een Gegevensbeschermingsrichtlijn voor Politie en Justitie.

Volgens de Europese Commissie is de hervormingsprocedure niet alleen van belang om de databeschermingsregels te structureren, maar ook om ‘Europa af te stemmen op het digitale tijdperk’. Bovendien wordt met behulp van een dergelijke herstructurering van de lappendeken aan Europese databeschermingsregels voor de burger vergemakkelijkt controle over eigen persoonsgegevens uit te oefenen.

In de AVG zijn onder meer regels verankerd voor burgers (artikel 14 e.v.) inzake een (eenvoudigere) toegang tot persoonsgegevens, een duidelijker recht om ‘vergeten’ te worden en de mogelijkheid voor burgers om gegevens gemakkelijker over te laten gaan (bijvoorbeeld van de ene dienstverlener naar de andere).

In de AVG zijn ook regels opgenomen die specifiek gelden voor organisaties, zoals het mechanisme van non-stop-shop (dit houdt dat een organisatie te maken krijgt met één toezichthouder, ook al heeft de organisatie meerdere vestigingen in Europa), de plicht tot het aanstellen van een ‘functionaris gegevensbescherming’ als het verwerken van persoonsgegevens tot een van de belangrijkste activiteiten van de organisatie kan worden gerekend en de plicht om privacy-waarborgen al in het ontwikkelingsstadium op te nemen in de producten en diensten.

Gelet op de implementatietermijn die aan lidstaten wordt toegekend, dienen de regels van de hiervoor genoemde verordening en richtlijn binnen twee jaar in werking te treden in Nederland. Dit houdt in dat ook organisaties de nieuwe regels moeten verwerken in hun beleid inzake databescherming.

In artikel 79, derde lid aanhef, van de AVG is opgenomen dat bij overtreding van de databeschermingsregels door een organisatie de boete kan oplopen tot maximaal 4% van de wereldwijde jaaromzet van een organisatie.

• Klik hier voor de Algemene Verordening Gegevensbescherming.
• Klik hier voor de Gegevensbeschermingsrichtlijn voor Politie en Justitie.

Per 2016 leidt datalekken tot aanzienlijke boeterisico’s

Per 1 januari 2016 is de meldplicht datalekken[1] in de Wbp opgenomen. Het primaire doel van de meldplicht datalekken ziet op een betere bescherming van persoonsgegevens.

Onder een ‘datalek’ wordt kort gezegd verstaan dat persoonsgegevens bij derden terechtkomen die hiertoe in beginsel geen toegang mochten hebben. In geval van een datalek is in ieder geval sprake van een beveiligingsincident. Met andere woorden, het thema ‘datalekken’ ziet op een samenkomst van verschillende aspecten die binnen een bedrijf of overheidsinstelling onverkort een rol spelen: privacy, beheer van data, ICT, security, inzicht in financiële risico’s en de nodige juridische vraagstukken.[2]

Ten behoeve van de onlangs geïntroduceerde meldplicht is vastgelegd dat zowel private organisaties (bedrijven) als publieke organisaties (overheden) die persoonsgegevens verwerken sinds dit jaar verplicht zijn om inbreuken op de beveiliging, waardoor sprake is van diefstal, verlies of misbruik van persoonsgegevens, te melden bij de Autoriteit Persoonsgegevens.

Al sinds 2011 geldt een dergelijke meldplicht in het kader van de Telecommunicatiewet voor organisaties van openbare elektronische communicatienetwerken indien sprake is van een inbreuk op de beveiliging van persoonsgegevens van een abonnee of een gebruiker.

In sommige gevallen dient het datalek ook aan degene waarvan persoonsgegevens zijn gelekt te worden gemeld. Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens[3] indien sprake is van een aanzienlijke kans dat het leidt tot nadelige gevolgen voor de bescherming van persoonsgegevens of als het (daadwerkelijk) ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp).

Daarnaast moet het datalek aan de betrokkene worden gemeld indien dit waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp). 

Verder is sinds 1 januari 2016 de boetebevoegdheid van de Autoriteit Persoonsgegevens uitgebreid. Voorheen kon het Cbp – vanaf 1 januari 2016 aldus: Autoriteit Persoonsgegevens – slechts een bestuurlijke boete opleggen indien een overtreding van een privacyregel aan de orde was. Hierbij valt te denken aan het  overtreden van de verplichting om de verwerking van persoonsgegevens te melden. Op grond van artikel 13 Wbp dienen persoonsgegevens te worden beschermd tegen verlies en een onrechtmatige verwerking.

Sinds 1 januari 2016 kan de Autoriteit Persoonsgegevens ook een bestuurlijke boete opleggen bij een schending van meer algemene verplichtingen die de wet stelt ten aanzien van de verwerking en het gebruik van persoonsgegevens. Voorbeelden hiervan zijn het op een onzorgvuldige manier verwerken van persoonsgegevens, het langer bewaren van persoonsgegevens dan noodzakelijk, misbruik van gevoelige informatie over burgers (zoals informatie over de politieke voorkeur of levensovertuiging van de burger in kwestie) of de situatie dat de beveiliging van persoonsgegevens niet deugt.

De Autoriteit Persoonsgegevens heeft beleidsregels (voor toepassing van artikel 34a Wbp) betreffende datalekken en de daaraan gelegen meldplicht opgesteld.

Beleidsregels cameratoezicht

Vandaag heeft de Autoriteit Persoonsgegevens beleidsregels gepubliceerd die organisaties helpen bij de privacy-afweging die moet worden gemaakt bij de inzet van camera’s.

Vanzelfsprekend leidt cameratoezicht enerzijds tot een inbreuk op de persoonlijke levenssfeer van betrokkenen, maar daar staat het belang van de openbare orde (mogelijk lijnrecht) tegenover.

In de beleidsregels cameratoezicht is met name bepaald dat de betrokkenen – alvorens op camera te worden vastgelegd – moeten worden geïnformeerd over het cameratoezicht, het cameratoezicht noodzakelijk moet zijn om gestelde doelen te bereiken en de beelden op juiste wijze moeten worden beveiligd. Ten slotte heeft de Autoriteit Persoonsgegevens brieven gepubliceerd waarin wordt beschreven hoe in de uitvaartbranche en in sauna’s sprake was van de inzet van onrechtmatig cameratoezicht. De Autoriteit merkt hierbij op dat in geval van uitvaartdiensten sprake dient te zijn van een expliciete opdracht tot het maken van beelden. In een sauna dient men ervan uit te kunnen gaan dat er geen camera’s hangen. 

Cybersecurity

Tot slot is eind 2015 overeenstemming bereikt over een Europese Richtlijn over cybersecurity. In de zogenoemde NIB (netwerk- en informatiebeveiliging)-richtlijn  is een beveiligings- en meldplicht van incidenten betreffende netwerk- en informatiebeveiliging opgenomen. Deze beveiligings- en meldplicht geldt alleen voor de gezondheidszorg, nutssector, transport en de financiële sector (waaronder banken). Deze meldplicht staat overigens in het geheel los van de hiervoor besproken meldplicht datalekken. De EU-lidstaten worden door deze NIB-richtlijn verplicht om bepaalde maatregelen te treffen om de aanpak van cybersecurity te harmoniseren.