Privacy: donderdag 25 mei 2017 – Nog 1 jaar en dan……..!!!

Bijzondere dag!

Vandaag is het donderdag 25 mei 2017. Het is Hemelvaart. Een Christelijke feestdag, maar verder is het voor de meesten onder ons geen bijzondere datum. Toch is het wel degelijk een datum om even bij stil te staan. Over precies 1 jaar zal namelijk nieuwe wetgeving gaan gelden op het gebied van privacy.  Op vrijdag 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR) genoemd, van kracht.

Leuk voor juristen, is uw volgende gedachte. Dat klopt, maar niet alleen voor ons. Het is ook leuk en vooral ook belangrijk voor u als burger, als ondernemer, als overheid.


Privacy is nu toch ook al geregeld?

Dat klopt. Op dit moment hebben we al goede privacywetgeving. Maar het kan altijd beter. Alles om ons heen verandert en dat betekent dat ook de behoefte aan privacy in ontwikkeling is. En daarmee ook de  bescherming van uw privacy.

Gaat u maar na. De Wet Bescherming persoonsgegevens dateert van 2001. We hadden toen nog nooit gehoord van Facebook, WhatsApp, Instagram, Cloud computing en BigData. Wat er nu allemaal technisch kan, hadden we toen niet voor mogelijk gehouden. Het is technische vooruitgang waar wij bijna allemaal profijt van hebben. Maar het is ook technische vooruitgang die vraagt om aanpassingen in privacywetgeving. Deze moet immers gelijke tred houden met de nieuwe mogelijkheden.

Het Europees parlement omschrijft het als volgt:

Die ontwikkelingen vereisen een krachtig en coherenter kader voor gegevensbescherming in de Unie, dat wordt gesteund door streng te handhaven, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele internet markt te laten ontwikkelen.

Om die reden is er in Europa een regeling gemaakt die actueler is. Ook zal die in alle landen van de Europese Unie hetzelfde zijn. En daarbij geldt als algemeen uitgangspunt:

Natuurlijke personen dienen controle te hebben over hun eigen persoonsgegevens

 

Wat betekent dit voor mij als persoon?

Uw rechten nemen toe en er zal beter op toegezien worden dat uw rechten nageleefd worden. U hoeft daar niets voor te doen. Er zal dan ook niet veel voor u veranderen. Wel zullen organisaties die uw persoonsgegevens verwerken vaker nadrukkelijk aan u melden met welke doelstelling dat gebeurt. Ook kunt u meer verzoeken om toestemming verwachten. En als het goed is zult u vaker geïnformeerd worden over de manier waarop u uw rechten kan uitoefenen.

Wat er echt gaat veranderen is het toezicht op de naleving van de wet. Dat betekent dat partijen die uw persoonsgegevens verwerken, kunnen rekenen op de aandacht van de Autoriteit Persoonsgegevens. Dit toezichthoudend orgaan heeft vergaande bevoegdheden en kan boetes opleggen. Die kunnen oplopen tot € 20.000.000,- of 4% van de wereldwijde omzet van een bedrijf.  En waar het College Bescherming persoonsgegevens, inmiddels genaamd Autoriteit Persoonsgegevens, in het verleden zeer terughoudend optrad, zal er na 25 mei 2018 actief toezicht gehouden worden op naleving van de wet. Het eindresultaat moet natuurlijk zijn dat uw rechten steeds beter gewaarborgd zijn.

 

Wat betekent dit voor mij als ondernemer?

Dat u moet weten welke persoonsgegevens er binnen uw bedrijf verwerkt worden. U moet uw organisatie en de processen binnen uw bedrijf zo ingericht hebben dat er op een juiste manier met die persoonsgegevens omgegaan wordt. Denk daarbij onder meer aan bewaartermijnen, beveiligingsmaatregelen, bewerkersovereenkomsten,  etc.

Dat u bij alles wat u binnen uw bedrijf doet (voortaan) na moet denken of het mogelijk een privacy component heeft. Dit klinkt als een open deur, maar dat is het niet. Zoals u altijd nagaat wat de financiële en operationele gevolgen zijn van uw beslissingen, zult u ook na moeten gaan wat de privacy gevolgen zijn. Het kan natuurlijk heel goed zijn dat de meeste besluiten die u neemt geen privacy gevolgen hebben. Maar u moet zichzelf die vraag wel gesteld hebben. Maar let op: zodra er ook maar op de een of nadere manier persoonsgegevens mee gemoeid zijn, is er een privacy impact.

Dat personen waarvan u de gegevens verwerkt steeds meer rechten krijgen. Denk bijvoorbeeld aan het recht op vergetelheid.

Dat u bij het niet naleven van de regelgeving het (reële) risico loopt op boetes.

Het bovenstaande lijkt niet nieuw, maar is het deels wel. Op basis van de nieuwe  wetgeving moet u namelijk in veel gevallen op ieder moment kunnen aantonen dat uw onderneming privacy proof is. En voor sommige organisaties is het ook verplicht om een Privacy Officer aan te stellen. Dit geldt in voor overheidsinstanties en instanties die bijzondere persoonsgegevens verwerken zoals medische gegevens.

Wat gaat er echt gebeuren op 25 mei 2018?

Vanaf dat moment gaat de nieuwe wet gelden én zal er toegezien worden op naleving. Ondernemingen zullen dan dus echt privacyproof moeten zijn en dat ook aan moeten kunnen tonen. En excuses dat het een nieuwe wet betreft zullen niet geaccepteerd worden. Daarvoor heeft iedereen dan voldoende tijd gehad om dat te regelen.

Lees ook