Datalekken    Overtreding en boete 


Europa

Datum laatste wijziging: 22 mei 2018  |  Trefwoorden: Privacy, Europa

Inhoud

  1. Privacy medewerker straks verplichting?
  2. Mag de baas met je meegluren?
  3. General Data Protection Regulation (GDPR)
  4. Privacywetgeving bepaalt toekomst financiŽle sector
  5. Op naar nieuwe Europese privacywetgeving
  6. Kunnen Europese Privacywaakhonden blaffen?
  7. Acht EU-landen missen deadline privacywet

Privacy medewerker straks verplichting?

De Europese Unie (EU) wil de privacy van personen beter beschermen en heeft daarom het plan om voor de verwerking van persoonsgegevens extra regels in te voeren. Hierdoor moet u mogelijk per 2016 een werknemer in dienst hebben die erop toeziet dat uw organisatie op de juiste manier met persoonsgegevens omgaat.

Veel organisaties verwerken persoonsgegevens. Om de privacy te kunnen waarborgen, regelt de Wet bescherming persoonsgegevens (Wbp) hoe organisaties moeten omgaan met persoonlijke informatie van werknemers, klanten, patiŽnten en relaties. De Europese Algemene verordening gegevensbescherming is een aanvulling hierop. Dit besluit treedt op 27 mei 2016 in werking, organisaties hebben tot 27 mei 2918 de tijd zich hieraan aan te passen. Een van de gevolgen hiervan is dat u mogelijk een functionaris voor de gegevensbescherming moet aanstellen.

Het plan is om organisaties hiertoe te verplichten als zij:
  • een overheidsinstelling zijn, of;
  • minimaal 250 werknemers in dienst hebben, of;
  • gegevens verwerken van meer dan 5.000 personen, of;
  • bijzondere persoonsgegevens verwerken. Dit zijn persoonsgegevens over iemands godsdienst/levensovertuiging, ras, politieke voorkeur, seksuele leven, gezondheid, lidmaatschap van een vakbond en strafrechtelijk verleden.

Mag de baas met je meegluren?

Mag een werknemer een privťbericht onder werktijd en mag je baas dan meekijken en erger, hem ontslaan? Ja, in sommige gevallen wel, aldus een oordeel van het Europees Hof voor de Rechten van de Mens (EHRM). Het ging om een zaak van een Roemeense werknemer die in 2007 werd ontslagen, omdat hij met zijn zakelijke privťberichten verstuurde. Volgens het Hof is het niet onredelijk dat een werkgever wil nagaan of werknemers hun taken uitvoeren onder werktijd en op werkcomputers.

Heeft deze uitspraakgevolgen voor Nederland? Waarschijnlijk niet want Nederland kent voor dit soort zaken al de nodige regels.

General Data Protection Regulation (GDPR)

Het Europese parlement, de EU-raad en de EU-commissie hebben op 15 december 2015 ingestemd met Europa's nieuwe General Data Protection Regulation (GDPR). Dit betekent de grootste verandering in de regelgeving voor de gegevensbescherming sinds de opkomst van het internet. De GDPR is van belangrijke invloed op iedere organisatie die omgaat met gegevens van Europese oorsprong van welke grootte of waar ter wereld dan ook.

Naast de GDPR is/wordt 'Persoonlijk Herleidbare Informatie (PHI)' van kracht'. Met PHI wordt makkelijk inbreuk gemaakt op 'het recht om vergeten te worden',' in andere woorden: als een werknemer niet meer in het bedrijf werkt, moeten na x periode zijn personele gegevens zijn vernietigd.

NB: Nederland bijt het spits af wat betreft de EU Network and Information Security Directive door de Wet Bescherming Persoonsgegevens (Wbp) uit te breiden met de Meldplicht Datalekken. De nieuwe Meldplicht Datalekken is per 1 januari 2016 van toepassing op bedrijven, instellingen en overheden die persoonsgegevens verwerken. De meldplicht verplicht datalekken te melden bij de Autoriteit Persoonsgegevens

Meer informatie kan de 'Autoriteit Personeelsgegevens' u leveren.

Privacywetgeving bepaalt toekomst financiŽle sector

De mate waarin financiŽle instellingen in de toekomst gegevens over klanten met elkaar mogen combineren, bepaalt de toekomst van de financiŽle sector. De vraag is in welke mate dit vanuit privacy-oogpunt toegestaan zal worden. Ook de mate van coŲrdinatie binnen Europa zal zijn stempel drukken op hoe de financiŽle sector eruit gaat zien. Op basis van deze twee factoren onderscheidt het Centraal Planbureau (CPB) vier mogelijke toekomstscenario's. Zo is het in de toekomst mogelijk dat het financiŽle systeem wordt gedomineerd door nationale banken; door grote Europese banken; door (eenvormige) grote internationale technologiebedrijven of door een diversiteit aan technologiebedrijven.

Op naar nieuwe Europese privacywetgeving

De Algemene Verordening Gegevensbescherming (AVG) oftewel de implementatie van de General Data Protection Regulation (GDPR) treedt op 25 mei 2018 in werking. De AVG gaat de huidige wetgeving omtrent persoonsgegevens, de Wet bescherming persoonsgegevens (Wbp), vervangen.

De AP (Autoriteit Persoonsgegevens) heeft de 10 meest belangrijke stappen in kaart gebracht:
  1. Bewustwording in de organisatie. De relevante mensen in de organisatie (zoals beleidsmakers) moeten op de hoogte zijn van de nieuwe privacyregels.
  2. Rechten van betrokkenen. Organisaties moeten zorgen dat mensen hun rechten kunnen uitoefenen. Dat zijn de al bestaande rechten, zoals het recht op inzage en verwijdering van hun gegevens. Er zijn ook nieuwe rechten zoals het recht op dataportabiliteit, of wel het recht in om persoonsgegevens te ontvangen die een organisatie van hen heeft, deze zelf op te slaan of door te geven aan een andere organisatie. Ook kunnen werknemers bij de AP klachten indienen over de manier waarop de werkgever met hun gegevens omgaat.
  3. Overzicht verwerkingen. Organisaties moeten documenteren welke maatregelen getroffen zijn op het gebied van gegevensbescherming. Per categorie van gegevens moet duidelijk zijn welke wettelijke grondslag hieraan ten gronde liggen.
  4. Privacy impact assessment (PIA). Werkgevers kunnen verplicht worden een PIA uit te voeren. Het gaat hier om het in kaart brengen van de privacyrisicoís van een gegevensverwerking. Tevens wordt verlangd maatregelen te nemen om de risicoís te verkleinen.
  5. Privacy by design & privacy by default. Privacy by design houdt in dat bij het ontwerpen van producten en diensten ervoor gezorgd wordt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in de werkgever organisatorische maatregelen moet nemen om ervoor te zorgen dat alleen persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat men wil bereiken.
  6. Functionaris voor de gegevensbescherming. Er moet een functionaris gegevensbescherming (privacy officer) worden aangesteld. Deze functionaris ziet toe op de naleving van de privacy-wetgeving, informeert en adviseert, is de aanspreekpersoon voor de toezichthouder en voert risicoanalyses uit.
  7. Meldplicht datalekken. De AVG stelt strengere eisen aan de eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of aan de meldplicht wordt voldaan.
  8. Bewerkersovereenkomst vanaf 25 mei 2018 Verwerkersovereenkomst. Als de gegevensverwerking zijn uitbesteed aan een bewerker (ook wel verwerker genoemd) moet worden beoordeeld of de overeengekomen maatregelen in bestaande contracten met de bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, dan moeten tijdige noodzakelijke wijzigingen worden aangebracht.
  9. Leidende toezichthouder. Als de organisatie vestigingen in meerdere EU-lidstaten heeft, of hebben de gegevensverwerkingen in meerdere lidstaten impact, dan hoeft de werkgever met slechts ťťn privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt.
  10. Toestemming. De werkgever moet van alle betrokkenen toestemming krijgen om hun persoonsgegevens te verwerken. Ook moeten betrokkenen deze toestemming weer kunnen intrekken.
Tenslotte kan de AP ďphishingĒ-aanvallen uitvoeren. Dat betekent dat aantallen medewerkers een nepmail ontvangen, waarin geprobeerd wordt hen te verleiden om een online vragenlijst in te vullen waarin ze gevoelige informatie moeten prijsgeven, e.d.

Kunnen Europese Privacywaakhonden blaffen?

Europese privacywaakhonden gaan samen een strategie ontwikkelen voor het omgaan met sociale media die persoonlijke gegevens verzamelen en gebruiken. Aanleiding is het datalek bij Facebook waardoor gebruikersgegevens in handen kwamen van data-analysebedrijf Cambridge Analytici.

De werkgroep van Europese databeschermingsautoriteiten (WP29) heeft dat besloten, Nederland wordt daarin vertegenwoordigd door de Autoriteit Persoonsgegevens. De WP29 liet weten de onderzoeken van nationale waakhonden, onder leiding van het Britse Information Commissioner's Office, voluit te steunen.

Op 25 mei treedt de Algemene Verordening Gegevensbescherming (GDPR) in werking. De WP29 wordt dan omgedoopt tot Europees Toezichthouder voor Gegevensbescherming en belooft de toepassing van de wet scherp in de gaten te houden. Facebookbaas Mark Zuckerberg sprak zich dinsdag positief uit over de nieuwe wetgeving. Verantwoordelijk EU -commissaris Vera Jourova zei woensdag blij verrast te zijn door de steun van Zuckerberg. (Bron: Europa Nu, 12 apr. 2018)

Red.: Dat de waakhonden het kunnen is zeker, maar gaan ze ook werkelijk blaffen? Daar is een spreekwoord voor 'Tussen doen en zeggen lange mijlen leggen''.

Acht EU-landen missen deadline privacywet

Acht van de 28 EU -landen zijn niet op tijd met het omzetten van de nieuwe Europese wetgeving rond privacy- en gegevensbescherming in nationale wetten. De in 2016 aangenomen Algemene Verordening Gegevensbescherming (GDPR) wordt op 25 mei van kracht.

BelgiŽ, Bulgarije, Cyprus, Griekenland, Hongarije, Litouwen, TsjechiŽ en SloveniŽ missen de deadline zeker, zei EU-commissaris Vera Jourova (zelf Tsjechise) tegen journalisten. Zes andere landen hebben hun zaakjes eind mei of begin juni op orde.

De wetgeving geldt ook voor bedrijven van buiten de EU met Europese gebruikers, zoals Facebook. Op overtreding staan boetes tot 4 procent van de wereldwijde omzet, met een minimum van 20 miljoen euro. Jourova denkt dat de GDPR de kans op misbruik minimaliseert. ,,De sancties zijn afschrikwekkend.íí Zij hoopt dat de wetgeving een wereldwijde standaard zet. (Bron: Europa Nu, 22 mei 2018),

Gerelateerde artikelen en/of partner bijdragen:
Gerelateerd nieuws en/of opinies:


 Datalekken    Overtreding en boete