De Europese Privacyverordening is een feit

De Europese Privacyverordening is op 14 april 2016 aangenomen in het Europees Parlement. Gevolg is dat alle lidstaten dezelfde, nieuwe, privacyregels zullen gaan hanteren. Huidige nationale wetgeving komt daarmee te vervallen. Voor Nederland betekent dit dat de huidige Wet bescherming persoonsgegevens (Wbp) komt te vervallen.


Aanscherping regels

De veranderingen ten opzichte van onze huidige nationale wetgeving zijn vooral aanscherpingen. Er ligt wat dat betreft een behoorlijk pak van eisen waaraan alle verwerkers van data rekening mee moeten houden. De aanscherpingen en de daarbij behorende verplichten zijn bedoeld om de privacy van de burgers te waarborgen. Vreemd genoeg wordt op dezelfde dag door hetzelfde Europees Parlement de PNR-verordening aangenomen. Hierbij worden vluchtgegevens van passagiers vijf jaar lang in overheidsdatabanken opgeslagen.


Een aantal richtlijnen uit de verordening

In de praktijk krijgen we te maken met vooral méér regels en verdieping van de huidige regels. Denk hierbij aan onder andere:

  • Een gegeven wordt met de nieuwe regels al heel snel een “persoonsgegeven”, niet alleen een naam, geboortedatum met postcode of adresgegevens worden als persoonsgegeven gezien. Ook unieke kenmerken waardoor iemand indirect kan worden herleidt zoals een alias of andere online identifier is straks een persoonsgegeven.

  • Het “recht om te worden vergeten” breidt zich uit. Een verwerker van data dient er straks voor te zorgen dat gegevens die zijn doorgegeven aan derden, ook worden verwijderd.

  • Bij het verwerken van persoonsgegevens moet meer gedocumenteerd worden. Hierbij is voornamelijk van belang hoe de toestemming voor het verwerken van de gegevens is verkregen. Ook dient er verantwoording worden afgelegd met betrekking tot de omvang van de gegevens: zijn alle gevraagde gegevens wel nodig?

  • De toezichthouder heeft een boetebevoegdheid die behoorlijk kan oplopen: tot 20 miljoen per overtreding of vier procent van de wereldwijde jaaromzet.

  • Bewijslast: de toezichthouder mag van uw bedrijf verlangen om aan te tonen dat u al het noodzakelijke doet met betrekking tot het beveiligen van data.


Twee jaar de tijd

Artikel 99 met als titel “Entry into force and application” geeft ons twee jaar de tijd om voor te bereiden op deze nieuwe regels. Dat lijkt best wel lang maar, als u het ons vraagt, zal er in de praktijk door veel organisaties nog heel veel geregeld moeten worden.

Terug naar overzicht

1