U bent hier: Home > Privacyrecht > Privacyverordening over twee jaar van toepassing; is uw organisatie daar straks op tijd klaar voor?
Privacyverordening over twee jaar van toepassing; is uw organisatie daar straks op tijd klaar voor?

Privacyverordening over twee jaar van toepassing; is uw organisatie daar straks op tijd klaar voor?

Op 4 mei j.l. is de privacyverordening definitief gepubliceerd in het Publicatieblad van de Europese Unie. Artikel 99 van de verordening bepaalt dat deze vanaf 25 mei 2018 van toepassing is. Over twee jaar moet er dus aan de uitgebreide set aan regels worden voldaan. Bent u hier klaar voor?

Beginselen veelal hetzelfde

Er is behoorlijk onderhandeld over de privacyverordening en daarbij is bij wijze van spreken ieder woordje gewogen. Over ieder woordje is dan ook veel te zeggen. In grote lijnen geldt echter, uitzoomend bezien, dat veel van de beginselen die nu gelden voor de verwerking van persoonsgegevens (transparantie, doelbinding, doelmatigheid, beveiliging, etc.) straks ook nog gelden. Daar zit dus niet de grootste wijziging (zij het dat ik over de nuances nog wel wat interessante blogs zie aankomen).

Verdere uitwerking

Wel zie je in de verordening vaak veel concreter ingevuld wat er dan precies onder een bepaald beginsel moet worden verstaan en welke uitzonderingen/aanvullingen er gelden. Gewezen kan worden op de uitgewerkte regeling omtrent transparantie (artikel 13/14), het uitgewerkte recht op inzage (artikel 15) en het uitgewerkte recht op “vergetelheid” (artikel 17, zit sterk in de sfeer van oude recht van verzet). Ook de uitzonderingen / beperkingen zijn veel beter uitgewerkt (artikel 23).

Verder valt op dat de eisen die aan bewerkers worden gesteld veel verder zijn uitgewerkt, evenals de eisen die aan een bewerkersovereenkomst worden gesteld (artikel 28). Hierin verschilt de verordening ook duidelijk van de huidige richtlijn, waarover ik onlangs nog blogde.

Belang van compliance

Ook geeft de verordening veel meer regels op het gebied van compliance dan de huidige privacyrichtlijn doet. Het is straks van belang dat organisaties niet alleen correct omgaan met de verwerking van persoonsgegevens, maar dit ook kunnen aantonen. Privacy moet straks in de genen van een organisatie zitten. Dit komt op allerlei plaatsen terug:

  • de verantwoordelijke moet de algemene beginselen niet alleen naleven, maar moet deze (ik vermoed dat de naleving ervan is bedoeld) ook kunnen aantonen (artikel 5 lid 2);
  • de verantwoordelijke moet maatregelen treffen om te borgen dat de betrokkene de informatie over verwerkingen ook ontvangt (artikel 12 lid 1);
  • de verantwoordelijke moet maatregelen treffen om te borgen dat de betrokkene wordt geïnformeerd over zijn rechten (artikel 12 lid 2, dat gaat dus waarschijnlijk verder dan het enkel opstellen van een privacy-statement);
  • de verantwoordelijke moet maatregelen treffen dat systemen privacy-vriendelijk zijn ingericht (artikel 25 lid 1);
  • de verantwoordelijke moet maatregelen treffen dat in de praktijk ook niet meer gegevens worden verwerkt dan noodzakelijk (artikel 25 lid 2);
  • de verantwoordelijke moet een register bijhouden van de verwerkingsactiviteiten (artikel 30);
  • de verantwoordelijke moet niet alleen beveiligingsmaatregelen treffen, maar de adequaatheid hiervan ook borgen, bijv. met periodieke tests (artikel 32 lid 1);
  • voor bepaalde verwerkingen moet vooraf een gegevensbeschermingseffectbeoordeling worden gemaakt (artikel 35);
  • en functionaris gegevensbescherming is voor bepaalde bedrijven en instellingen verplicht (artikel 37).

Meer ruimte voor marktinitiatief

Verder is opvallend dat de verordening veel ruimte laat voor initiatieven uit de markt/sectoren zelf. Er kunnen namelijk gedragscodes (artikel 40) en certificeringen (artikel 42) worden opgesteld die, indien goedgekeurd, kunnen worden gebruikt om aan te tonen dat aan veel van de nieuwe verplichtingen wordt voldaan (of kunnen hiertoe bijdragen).

Ter illustratie, aansluiting bij gedragscodes/certificeringsmechanismen helpt om aan te tonen dat:

  • de verwerker aan de wettelijke eisen voldoet (artikel 28 lid 5);
  • aan de beveiligingsverplichting is voldaan (artikel 32 lid 3); en
  • last but not least, de verantwoordelijke in algemene zin zijn verplichtingen naleeft (artikel 24 lid 3).

Verder geldt dat bij het opleggen van een boete rekening gehouden moet worden met het gegeven of de overtreder aangesloten was bij een goedgekeurde gedragscode/certificeringsmechanisme (artikel 83 lid 2 sub j).

Al met al is het voor partijen dus best aantrekkelijk aansluiting te zoeken bij een goedgekeurde gedragscode/certificeringsmechanisme. Dat geeft immers alvast een begin van bewijs (wellicht zelfs vermoeden) dat wordt gehandeld overeenkomstig de regels. Bovendien geeft het een extra argument in eventuele discussies met toezichthouders.

Drempelverlagend voor consument

Ook valt op dat de consument op diverse plaatsen beter wordt beschermd. Zo kan de consument altijd bij zijn eigen lokale toezichthouder terecht. Zie artikel 56 lid 2, dat bepaalt dat een toezichthouder (grensoverschrijdend) bevoegd is indien een klacht alleen de belangen van consumenten in de eigen lidstaat raakt. Verder wordt het voor consumenten eenvoudiger te klagen, want alle toezichthouders moeten een klachtenformulier online zetten (artikel 57 lid 2). Klagen kost voor de consument nooit geld (artikel 57 lid 3).

Verder staat in artikel 82 lid 4 dat wanneer meerdere verantwoordelijken of verwerkers bij één verwerking betrokken zijn, zij bij schade hoofdelijk aansprakelijk zijn jegens de consument. Met andere woorden: de consument moet zijn schade vergoed krijgen, de zakelijke partijen moeten daarna maar (intern) uitzoeken hoe de schadelast wordt verdeeld.

Het is de vraag of dit regime ook al geldt bij de situatie waarbij één verantwoordelijke één bewerker inschakelt. Taalkundig zou die situatie onder het artikel kunnen vallen (één verantwoordelijk en één bewerker zijn immers twee en dus “meerdere” partijen). Ook gelet op de ratio van consumentenbescherming lijkt het logisch aan te nemen dat ook bij een eenvoudige bewerkersrelatie die hoofdelijke aansprakelijkheid al bestaat. Die uitleg staat wel enigszins op gespannen voet met wat er in lid 2 staat over de beperkte aansprakelijkheid van bewerkers. Dit wordt ongetwijeld wachten op een prejudiciele vraag.

Rechten consument

De consument heeft onder de verordening verder rechten, die we deels ook al kennen van het huidige privacyrecht:

  • recht van inzage (artikel 15, lijkt sterk op bestaande recht van inzage, zij het dat nu uitdrukkelijk recht op elektronische verstrekking gegevens bestaat);
  • recht op rectificatie (artikel 16, lijkt sterk op bestaande recht op correctie);
  • recht op “vergetelheid” (artikel 17, lijkt sterk op bestaande recht van verzet en recht van correctie, zeker gelet op uitleg Hof van Justitie in Google-kwestie);
  • recht op beperking van de verwerking (artikel 18, lijkt een soort voorwaardelijk recht van correctie/verzet te zijn en is in zoverre wel nieuw);
  • recht op kennisgeving aan derden waaraan persoonsgegevens zijn verstrekt (artikel 19, lijkt geïnspireerd  op Rijkeboer-rechtspraak);
  • recht op afgifte gegevens in leesbaar formaat, inclusief doorzending aan andere verantwoordelijke  (artikel 20, een nieuw recht);
  • recht van verzet bij gebruik op grond van grondslag rechtmatige belang waaronder profilering (artikel 21 lid 1, aangescherpt t.o.v. huidige verzetrecht);
  • recht van verzet tegen commercieel gebruik (artikel 21 lid 2 e.v., lijkt sterk op bestaande systematiek, zij het dat consument ook met techniek verzet kan aantekenen volgens lid 5 (dus een do not track instelling in de browser???));
  • recht van verzet tegen geautomatiseerde beslissingen (artikel 22, aangescherpt t.o.v. huidige systematiek).

Meer en hogere boetes

Verder valt op dat de verdere (fors) hogere boetes introduceert. Er zijn twee boetecategorieen:

  • maximaal 10.000.000 euro of 2% van de totale wereldwijde omzet;
  • maximaal 20.000.000 euro of 4% van de totale wereldwijde omzet.

Grosso modo geldt dat de lagere boete staat op overtreding van administratieve vereisten (zoals die rondom compliance) en de hogere boete staat op overtreding van de regels die directer verband houden met de bescherming van de privacy van de betrokkene.

Een opvallende slotbepaling is nog wel artikel 84: dit bepaalt dat lidstaten zelf sancties moeten zetten op inbreuken op de verordening waarop in de verordening zelf geen sanctie wordt gezet. Onderaan de streep zou dus straks op overtreding van iedere bepaling een sanctie staan (hetzij Europees, hetzij nationaal).

Slotopmerking

Er komt dus veel op organisaties af, met name op het gebied van compliance. Het wordt steeds belangrijker het privacyrecht serieus te nemen. Dat is niet alleen omdat op iedere overtreding van de regels straks een boete staat, maar ook, of misschien wel vooral, omdat zowel consumenten als zakelijke afnemers ook steeds meer van organisaties verwachten op het gebied van privacycompliance.

De komende tijd gaan we op deze blog nader in op de komende privacyverordening. Heeft u nu al vragen? Neem dan contact met ons op. Ook maken wij u graag attent op het seminar Actualiteiten Privacyrecht van 20 september a.s., waarvoor u zich nu al kunt inschrijven.

  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
  • Print
Naar boven scrollen