Europese Privacy Verordening is een feit!

Het liet even op zich wachten, maar op 14 april j.l. werd de Europese Privacy Verordening* aangenomen. In januari 2012 kwam de Europese Commissie al met een eerste voorstel. Dat de verordening eraan zat te komen wisten we dus al, maar nu is het een feit.

Van richtlijn naar verordening

Even terug in de tijd. De vorige wetgeving op het gebied van privacy vanuit Europa was de privacyrichtlijn uit 1995. Deze richtlijn liet lidstaten behoorlijk vrij in de manier van implementeren, wat alsnog zorgde voor veel diversiteit in privacybescherming binnen de Europese Unie.
Sinds 1995 is de wereld enorm veranderd. Met de opkomst van internet is het heel gemakkelijk geworden om veel data te verzamelen en grote hoeveelheden informatie te delen. De veranderingen in de wereld en de ongelijke implementatie in de verschillende lidstaten hebben uiteindelijke geleid tot de Europese Privacy Verordening (EPV).

Deze verordening is rechtstreeks van toepassing en hoeft dus niet eerst te worden omgezet in nationale wetgeving. Na een overgangsperiode van 2 jaar zal deze verordening in 2018 volledig van kracht zijn.

Consequenties voor organisaties

De EPV betekent dat organisaties nog bewuster moeten omgaan met de bescherming van persoonsgegevens. Vooruitlopend op de verordening is in Nederland op 1 januari j.l. de meldplicht datalekken ingevoerd. Met de invoering van de meldplicht datalekken werden de boetes verhoogd naar 820.000 euro. Met de EPV worden de boetes nog verder verhoogd naar 20 miljoen euro (of 4% van de wereldwijde omzet wanneer dit hoger is dan 20 miljoen).

Wanneer een verwerking van persoonsgegevens risicovol is (bijvoorbeeld gevoelige gegevens of veel gegevens), dan is het verplicht om een Privacy Impact Assessment (PIA) uit te voeren.
Voor overheidsorganen ontstaat de verplichting voor het aanstellen van een functionaris gegevensbescherming (FG). Wanneer er veel gevoelige persoonsgegevens worden verwerkt is een FG ook verplicht. De autoriteit kan een lijst opstellen met (soorten) organisaties waarbij een FG verplicht wordt.

De EPV betekent ook dat organisaties nog meer rekening moeten houden met de rechten van betrokkenen. Belangrijke rechten zijn:

  • Het recht om vergeten te worden
  • Het recht op export van data wanneer wordt overgegaan op een andere leverancier (dataportabiliteit)
  • Het recht op informatie over een hack (meldplicht datalekken)
  • Privacyverklaringen moeten in duidelijke taal worden opgesteld

Privacy Shield

De bepaling dat persoonsgegevens niet zomaar getransporteerd mogen worden naar landen buiten de EU blijft bestaan. Het privacy shield blijft daarom van belang. De Europese toezichthouders hebben zich op 13 april j.l. uitgesproken over de nieuwe regeling. Zij komen tot de conclusie dat het privacy shield een betere bescherming biedt dan Safe Harbour, maar hebben ook nog enkele bedenkingen. Zo kan er nog altijd grootschalige ongerichte surveillance plaatsvinden en is er niets te vinden over bewaartermijnen van persoonsgegevens. De toezichthouders hebben opheldering gevraagd aan de Europese Commissie. Een hooggeplaatste Amerikaanse overheidsfunctionaris heeft inmiddels aangegeven de onderhandelingen niet te willen heropenen.
We houden u op de hoogte!

Voldoen aan de verordening? Het Verbeterplan meldplicht datalekken is een goede start.

*Internationaal bekend als General Data Protection Regulation of GDPR

Meer artikelen

Bekijk al het nieuws