Door de mogelijkheden met Big Data, de toenemende inzet van nieuwe technologieën zoals mobiele telefonie, slimme energiemeters, drones en wearable computing, komen er steeds meer vragen over de bescherming van de privacy. Mede hierom heeft de Europese Unie een nieuwe regeling voor privacybescherming en het omgaan met persoonsgegevens opgesteld: de algemene verordening gegevensbescherming.

De Privacy verordening zal alle regels inzake de bescherming van persoonsgegevens bevatten die gaan gelden binnen de EU. De nieuwe verordening is de opvolger van de huidige Europese Privacyrichtlijn en treedt voor u in werking op 25 mei 2018. Centraal in de nieuwe verordening staat de verplichting om te kunnen aantonen dat de privacynormen structureel en effectief worden nageleefd. De nieuwe Verordening gaat dan ook uit van accountability.

De Privacy verordening heeft rechtstreekse werking, dat wil zeggen dat de verordening niet vertaald hoeft te worden naar nationale wetgeving. De verordening is direct toepasbaar in Nederland. De Wet bescherming persoonsgegevens wordt dan ook per 25 mei 2018 ingetrokken. Wat zijn de gevolgen voor uw bedrijf?

De Privacy verordening bevat veel normen die op grond van de Wet bescherming persoonsgegevens al gelden in Nederland. Toch zijn er ook wijzigingen of geheel nieuwe onderwerpen, waarvan de belangrijkste zijn:

  • organisaties worden verplicht om privacy te integreren als vast onderwerp binnen de bedrijfsvoering, alsmede de werking daarvan jaarlijks te controleren;
  • Privacy Impact Assessments (PIA) worden verplicht in geval nieuwe systemen worden ontwikkeld of aangeschaft en in gebruik genomen. Ook moeten nieuwe systemen voldoen aan de principes van privacy by design and default. Ook is een PIA verplicht bij gevoelige verwerkingsactiviteiten;
  • er gaat een uitgebreidere informatieplicht (ook inzake rechten) gelden richting betrokkenen;
  • de betrokkene krijgt het recht om vergeten te worden (verwijderingplicht voor verantwoordelijke) onder bepaalde voorwaarden;
  • er komt een recht op dataportabiliteit, zijnde het recht van de betrokkene om zijn data te ontvangen en mee te kunnen nemen naar een andere dienstverlener;
  • er komt een uitgebreidere documentatieplicht. Betrokkenen moeten onder meer informatie kunnen krijgen over de periode van opslag van de persoonsgegevens.
  • met het vervallen van de Wet bescherming persoonsgegevens wordt ook de Meldplicht datalekken vervangen.

Bent u er al klaar voor?
Veel normen bestaan al in de Wet bescherming persoonsgegevens. Dit betekent dat u niet geheel opnieuw hoeft te beginnen. De hierboven vermelde wijzigingen en nieuwe elementen kunnen echter wel een grote impact hebben op uw organisatie. Het is dan ook belangrijk dat u zich goed voorbereidt om de komst van de nieuwe Privacy verordening. Vergeet hierbij niet dat de boetes onder de Privacy verordening aanzienlijk kunnen zijn, namelijk tot € 20 miljoen respectievelijk 4% van de jaaromzet! En dit staat los van de aansprakelijkheid voor geleden materiële of immateriële schade door de betrokkene.

Dit jaar staat het onderwerp privacy hoog op de agenda binnen verzekeringsland. Wij zullen u vanuit Turien & Co. de komende maanden –tot de ingangsdatum- periodiek nader informeren over de Privacy verordening.