De nieuwe privacywet

8 belangrijke aspecten met de wet bescherming persoonsgegevens WBP

Veel Nederlandse ondernemingen verwerken persoonsgegevens en hebben dus te maken met de Wet bescherming persoonsgegevens (“Wbp”). Het Europees Parlement heeft een nieuwe privacyverordening aangenomen met verstrekkende gevolgen voor alle verwerkers van persoonsgegevens. Alle reden dus voor een kort overzicht van enkele belangrijke aspecten uit de nieuwe wetgeving.

Huidige wetgeving

Op iedere verwerking van persoonsgegevens is de Wbp van toepassing. Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon. Onder deze ruime definitie vallen dus ook pasfoto’s, kentekens en telefoonnummers. Verwerking is alleen toegestaan als er een grond bestaat die verwerking rechtvaardigt, zoals toestemming van de betrokkene of een gerechtvaardigd belang. Verwerking van bijzondere persoonsgegevens (zoals medische gegevens) is in beginsel verboden. In Nederland heeft het College Bescherming Persoonsgegevens de taak om de Wbp te handhaven. De CBP wordt echter weleens beschouwd als een ‘tandeloze tijger’, de wettelijke mogelijkheden van de CBP om sancties op te leggen zijn namelijk beperkt. Dit gaat veranderen als de privacyverordening wordt ingevoerd.

Hoge boetes bij schending privacy 

In het wetsvoorstel is een breed scala aan boetebevoegdheden opgenomen. Als de wet wordt doorgevoerd heeft het CBP de bevoegdheid om boetes op te leggen die maximaal 5% van
de wereldwijde jaaromzet kunnen bedragen.

Privacywet geldt voor iedereen die zaken doet in europa

Als een niet Europese onderneming zaken wil doen op de Europese markt en zo wil profiteren van 500 miljoen potentiële klanten, dan moet men zich ook houden aan de Europese privacywet. Op basis van dit uitgangspunt heeft de Europese Raad voorgesteld dat de privacywet straks geldt voor iedere onderneming die in Europa persoonsgegevens verwerkt, ongeacht of die onderneming daadwerkelijk een vestiging in Europa heeft.

Meldplicht datalekken

Op grond van het voorstel moet een ‘datalek’ binnen 72 uur gemeld worden aan het CBP (of andere toezichthouder). Als het waarschijnlijk is dat het datalek de bescherming van de persoonlijke levenssfeer van de betrokkene nadelig beïnvloedt, moet ook de betrokkene zelf onverwijld ingelicht worden.

The right to be forgotten

De verordening beoogt te waarborgen dat consumenten meer controle krijgen over hun ‘online identity’, bijvoorbeeld door op verzoek ‘vergeten’ te worden. Consumenten krijgen het recht hun (online) vastgelegde persoonsgegevens door de verantwoordelijke te laten wissen. Die verantwoordelijken moeten er vervolgens ook voor zorgen dat derden aan wie gegevens zijn verstrekt ook over gaan tot het wissen van die persoonsgegevens.

Aanstellen data protection officer

Als een onderneming de verwerking van persoonsgegevens als core business heeft (verwerking van gegevens van meer dan 5000 betrokkenen)
is het aanstellen van een ‘functionaris voor de gegevensbescherming’ voortaan verplicht. Deze taak kan worden vervuld door een eigen daartoe gekwalificeerde werknemer of door een externe partij, mits deze die taak minimaal 2 jaar vervult.

Alleen expliciete toestemming voldoende

Soms is verwerking van persoonsgegevens alleen toegestaan met toestemming van de betrokkene. In dat geval dient toestemming voortaan altijd expliciet te zijn gegeven. Impliciete toestemming (bijvoorbeeld door deze te ‘verstoppen’ in algemene voorwaarden of in een privacy-statement) is niet meer voldoende.

Anticipeer op de privacy verordening!

Laat je niet verrassen door de nieuwe privacywet. Zodra de verordening definitief wordt doorgevoerd gaat er veel veranderen op het gebied van privacy. De impact op ondernemingen die persoonsgegevens verwerken zal groot zijn.
Het is daarom nu al verstandig het onderwerp privacy hoog op de agenda te plaatsen en te onderzoeken of uw onderneming voldoet aan de (toekomstige) privacywetgeving.