Wellicht bent u nog maar net bijgekomen van de nieuwe meldplicht datalekken, maar de volgende wetgeving op het gebied van privacy zit er al weer aan te komen: de Europese Privacyverordening (ook wel bekend als de General Data Protection Regulation GDPR). De Europese Privacyverordening zal de Wet bescherming persoonsgegevens en de nationale varianten daarvan in andere Europese landen vervangen, zodat in alle Europese lidstaten dezelfde wetgeving geldt op het gebied van privacy. Hieronder worden een aantal punten genoemd, die momenteel inhoud van de verordening zijn.
Boetes
De boetes voor overtreding van de Europese Privacyverordening zijn nog hoger dan de huidige boetes genoemd in de Wet bescherming persoonsgegevens. Er wordt gesproken over boetes tot 4% van de wereldwijde jaaromzet met een maximum van € 20 miljoen.
Data protection officer
Voor sommige organisaties zal het verplicht worden om een Data Protection Officer (DPO) (Nederlands: Functionaris voor de Gegevensbescherming (FG)) aan te stellen.
Bewerkersovereenkomst
De bewerkersovereenkomst is al verplicht gesteld in de Wet bescherming persoonsgegevens, maar laat de vorm en inhoud van de overeenkomst nog aan organisaties. De verordening stelt echter aanvullende eisen aan de inhoud van de bewerkersovereenkomst. Zo moeten er bepalingen in staan op het gebied van duur van de gegevensverwerking en de specifieke doeleinden daarvan, het soort persoonsgegevens en een beschrijving van de betrokkenen (van wie de persoonsgegevens zijn). Een bewerker mag tevens voortaan niet meer zonder toestemming van de verantwoordelijke een externe partij (subbewerker) inschakelen om de persoonsgegevens te verwerken. Bestaande bewerkersovereenkomsten zullen mogelijk moeten worden aangepast.
Privacy Impact Assessment (PIA)
Indien er sprake is van gegevensverwerking met een hoog risico voor de privacy, moet de verantwoordelijke voorafgaand aan de verwerking, het effect op de privacy beoordelen. Dit heet een Privacy Impact Assessment (PIA). Dit zal bijvoorbeeld moeten gebeuren wanneer een nieuw systeem wordt gebruikt om persoonsgegevens te verwerken (bijvoorbeeld een tool voor medische dossiers). Dan moet dus niet alleen naar de kosten en functionaliteit van het systeem worden gekeken, maar bijvoorbeeld ook of het op basis van de privacybelangen van de betrokkene rechtmatig is om zijn persoonsgegevens met het systeem te verwerken.
Dit zijn nog maar enkele onderwerpen uit de Europese Privacyverordening, die binnenkort impact gaan hebben op Nederlandse organisaties. Wilt u meer weten over de mogelijke consequenties van de Europese Privacyverordening voor uw organisatie, neemt u dan vrijblijvend contact met ons op.