Privacy Desk Alert - De nieuwe Europese Privacy Verordening

De nieuwe Europese Privacy Verordening is op 25 mei 2016 van toepassing geworden en heeft directe werking in alle EU-lidstaten.

De Verordening geeft een ieder die persoonsgegevens verwerkt twee jaar de tijd om zich voor te bereiden op de naleving van deze nieuwe Verordening: na die periode moeten alle bedrijven en overheden hun bestaande processen in lijn hebben gebracht met de nieuwe regelgeving. Op uiterlijk 6 mei 2018 moeten de EU-lidstaten hun huidige wetgeving (zoals in Nederland de Wet bescherming persoonsgegevens) hebben aangepast aan de nieuwe Verordening.

De Verordening introduceert veel nieuwe elementen. Hieronder volgen de zeven belangrijkste punten:
  • Forse uitbreiding van boetebevoegdheid van Europese toezichthouders: sancties voor de diverse overtredingen van de Verordening kunnen variëren van max. € 10.000.000 of 2% van de wereldwijde omzet dan wel max. € 20.000.000 of 4% van de wereldwijde omzet.
  • Right to be forgotten: de betrokkene heeft het recht om zijn persoonsgegevens definitief te laten verwijderen. Organisaties zullen hun systemen hierop moeten aanpassen. Dit ‘recht om vergeten te worden’ lijkt sterk op ons bestaande ‘recht van verzet’ zoals neergelegd in de Wet bescherming persoonsgegevens.
  • Recht op dataportabiliteit (gegevensoverdraagbaarheid): de betrokkene moet zijn gegevens eenvoudig kunnen overzetten van de ene naar de andere organisatie.
  • Verwerkersovereenkomst wordt verplicht: onder de nieuwe Verordening kan de toezichthouder een forse boete opleggen als de verantwoordelijke en de verwerker (de nieuwe benaming van de huidige ‘bewerker’) geen verwerkersovereenkomst (de huidige ‘bewerkersovereenkomst’) hebben afgesloten. De verantwoordelijke moet in het algemeen zeker stellen dat een verwerker “afdoende garanties” biedt om aan de beveiligingseisen voor de gegevensverwerking te voldoen.
  • Functionaris gegevensbescherming (Data Protection Officer): wordt verplicht voor publieke instanties en sommige private organisaties indien die ten behoeve van hun gegevensverwerking regelmatig en stelselmatig betrokkenen observeren of indien die organisaties hoofdzakelijk bijzondere persoonsgegevens verwerken.
  • De Privacy Impact Assesment: bij introductie van nieuwe producten of diensten die een risico vormen op het recht op de persoonlijke levenssfeer, kan het bedrijf verplicht zijn eerst een Privacy Impact Assesment uitvoeren, waarbij de risico’s en de impact van het product of de dienst op de privacyrechten van de betrokkenen in kaart worden gebracht.
  • Meldplicht voor datalekken: in Nederland is de Meldplicht Datalekken al vanaf 1 januari 2016 van kracht; deze zal worden vervangen door een zeer vergelijkbare meldplicht (waarbij ook dan de melding moet worden gedaan aan de Nederlandse Autoriteit Persoonsgegevens (en eventueel aan de betrokken personen) – een Europees meldingensysteem bestaat (nog) niet.

Bron: Sophie den Held, 10 juni 2016
 
De Privacy Desk van Ekelmans & Meijer Advocaten is gespecialiseerd in het privacy proof maken van uw bedrijfsvoering. Kijk op de website voor meer informatie en onze contactgegevens: Privacyrecht.