Wijzigingen in de privacywet

 

We leven in een tijd waarin steeds meer informatie opgeslagen en beschikbaar wordt gesteld voor diverse doeleinden. Ook beveiligingsprofessionals hebben hier mee te maken en dienen op de hoogte te zijn van wat wel en niet mag. Denk hierbij aan het registreren van bezoekers, het tracken van mensen op het terrein of het op beeld vastleggen van personen. Dit heeft een grote invloed op onze privacy, waardoor het belang van privacybescherming steeds meer toeneemt. De Wet bescherming persoonsgegevens (Wbp) is in ons land de wet die ervoor moet zorgen dat persoonsgegevens niet zomaar op straat terecht komen. Per 1 januari is deze wet gewijzigd. Wat zijn de gevolgen hiervan?

Toezichthouder met nieuwe naam

De Autoriteit Persoonsgegevens (APg) is sinds 1 januari de nieuwe naam van de Nederlandse toezichthouder op de verwerking van persoonsgegevens. De APg heeft onder andere de taak om te controleren of personen en organisaties zich aan de regels van de Wbp houden. Voorheen fungeerde de toezichthouder, het College bescherming persoonsgegevens (CBP), als de ‘tandeloze tijger’, vanwege haar geringe boetebevoegdheid. Met de naamswijziging heeft het bestuursorgaan meer bevoegdheden gekregen en kunnen zij naast toezicht houden op en adviseren over regelgeving nu ook boetes opleggen bij overtreding van de Wbp.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn gegevens op basis waarvan een persoon geïdentificeerd kan worden. Naast naam- en adresgegevens, geboortedata en sofinummers vallen ook beeldmateriaal, IP-adressen en telefoonnummers onder persoonsgegevens. Het gebruiken, opslaan en verstrekken (verwerken) van persoonsgegevens is niet zondermeer toegestaan. In een aantal gevallen moet bij de APg melding worden gemaakt als een organisatie persoonsgegevens verwerkt. Voor meer informatie over deze meldplicht verwijzen wij u naar de site van de APg .

Wil een organisatie gegevens voor andere doeleinden gebruiken dan waarvoor ze in eerste instantie verstrekt zijn, dan dient de betrokken persoon hiervoor zijn of haar toestemming te geven. Ook cameratoezicht is alleen toegestaan als dat echt nodig is, zoals in geval van bescherming tegen diefstal of beschadiging. Het gebruik van camera’s moet wel kenbaar gemaakt worden. Cameratoezicht zonder voorafgaande kennisgeving is alleen in uitzonderlijke gevallen toegestaan.

De belangrijkste wijzigingen

Naast de uitgebreide boetebevoegdheid van de APg is er ook een nieuw artikel, artikel 34a, toegevoegd aan de bestaande Wbp. Menig aanbieder van elektronische communicatienetwerken en –diensten was al op basis van de Telecommunicatiewet verplicht melding te maken van diefstal, misbruik of verlies van persoonsgegevens van hun klanten/gebruikers. Door de wijzigingen in de privacywetgeving geldt deze meldplicht nu voor alle publieke en private organisaties die persoonsgegevens verwerken.

Ieder datalek dat ernstige, nadelige gevolgen kan hebben voor de bescherming van persoonsgegevens moet direct bij de APg gemeld worden, als zijnde inbreuk op de privacy. Het is aan u om de ernst hiervan te beoordelen en de inbreuk, de mogelijke gevolgen en de getroffen maatregelen door te geven aan de Autoriteit Persoonsgegevens.
Tevens moet een datalek gemeld worden aan de betrokken personen als de inbreuk negatieve gevolgen voor hen kan hebben en het onversleutelde persoonsgegevens betreft. Een datalek kan bijvoorbeeld ontstaan door het verlies van documenten met persoonsgegevens, een gestolen laptop, een hack of een technisch falen.

De tweede belangrijke wijziging schept meer duidelijkheid over wie de verantwoording draagt over de persoonsgegevens en een eventueel datalek. Veel organisaties maken gebruik van een derde partij voor de verwerking van persoonsgegevens. Denk hierbij aan een administratiekantoor of het gebruik maken van Google Analytics. Zo’n derde partij wordt de bewerker genoemd. Het is de taak van de organisatie die de persoonsgegevens in haar bezit heeft, om ervoor te zorgen dat de bewerker op eenzelfde vertrouwelijke manier met de gegevens omgaat en om kan gaan. Eventuele negatieve gevolgen, door bijvoorbeeld een datalek, zijn te allen tijde de verantwoordelijkheid van de organisatie. Zij is ook degene die de eventuele boete opgelegd krijgt.

Hogere boetes

De APg kan boetes uitdelen als een organisatie persoonsgegevens zonder legitiem doel verwerkt, er niet zorgvuldig en op de juiste wijze mee omgaat of geen goede beveiliging toepast om de persoonsgegevens te beschermen. Bij overtreding van deze regels delen zij niet altijd direct een boete uit, maar waarschuwen eerst, waarna men de overtreding moet corrigeren. Dat kan bijvoorbeeld door de nodige beveiligingsmaatregelen te nemen of de correcte meldingen te doen. Indien de organisatie geen maatregelen neemt om de overtreding weg te nemen, volgt een boete. Een opzettelijk gepleegde overtreding of één die het gevolg is van ernstige nalatigheid kan resulteren in een directe boete. De hoogte van een boete moet wel in verhouding staan tot de mate van overtreding. Deze kan echter oplopen tot het wettelijke boetemaximum van € 820.000.

Voor diepgaandere informatie over het melden van datalekken en de wijzigingen in de wetgeving kunt u terecht op: de meldplicht datalekken in de Wbp .

 
 
 

Bosch Security Projects helpt en adviseert u graag over uw toegangscontrole en andere beveiligingsmaatregelen binnen uw organisatie. Uw wensen en behoeften staan centraal. Wij leggen hier de geldende wet- en regelgeving naast en maken gebruik van de nieuwste technieken, om samen met u te komen tot de best passende oplossing.