Wijzigingen privacywetgeving: actie noodzakelijk

Per 1 januari 2016 verandert de privacywetgeving ingrijpend. Zo komt er een meldplicht bij datalekken en krijgt de toezichthouder, nu nog College bescherming persoonsgegevens (CBP) straks Autoriteit persoonsgegevens, de bevoegdheid fikse boetes op te leggen. Uitgeverijen verwerken doorgaans aanzienlijke hoeveelheden persoonsgegevens, bijvoorbeeld van abonnees, maar ook van contactpersonen bij adverteerders en andere zakelijke relaties. Het is raadzaam nu alvast maatregelen te treffen om per 1 januari 2016 compliant te zijn.

Datalek

In de wet staat over datalekken dat melding gedaan moet worden bij ‘een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt’. De Eerste Kamer wilde meer duidelijkheid over de termen ‘aanzienlijke kans’ en ‘ernstig’. De zorg bestaat dat bedrijven en instellingen uit voorzorg veel te snel melden om boetes te voorkomen. Staatssecretaris Dijkhoff heeft het bedrijfsleven toegezegd dat het CBP samen met het ministerie met ‘richtsnoeren’ komt waarbij dit nadere invulling krijgt. Die richtsnoeren zijn onderwerp van een consultatie, waaraan ook het NUV zal deelnemen.

Boetebevoegdheid

Op dit moment mag het CBP alleen een boete opleggen bij overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. Straks kan dat ook bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens, bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook bijvoorbeeld als de beveiliging van de gegevens niet voldoende is.

Het bedrag kan hierbij oplopen tot maximaal 810.000 euro of, als dat hoger is, 10 procent van de omzet van een organisatie. Op aandringen van het bedrijfsleven worden boetes alleen direct opgelegd wanneer er sprake is van opzettelijke overtreding (te bewijzen door de toezichthouder). In andere gevallen moet de toezichthouder eerst uitleggen wat de wet in het concrete geval vereist en de overtreder opdragen om de overtreding te beëindigen: een bindende aanwijzing. Als deze aanwijzing niet binnen een bepaalde termijn wordt opgevolgd, kan de toezichthouder vervolgens een boete opleggen.

Relatie met Europees recht

De wijzigingen aan de Nederlandse privacywetgeving worden doorgevoerd vooruitlopend op de Europese Algemene Verordening Gegevensbescherming, die binnenkort de volgende fase van het Europese wetgevingsproces ingaat: de triloog. De gevolgen van die verordening voor direct marketing en profiling kunnen mogelijk minder nadelig uitpakken dan op basis van eerdere versies werd gevreesd, maar vooralsnog blijft het speculeren tot welk eindresultaat de deelnemende instituties zullen komen.