De concept-privacyverordening: zware verplichtingen, hoge boetes

De concept-Privacyverordening: zware verplichtingen, hoge boetes

leggen stelde de Europese wetgever in 2009 de e-Privacyrichtlijn4 vast, waardoor voortaan de toestemming van de gebruiker is vereist voor het plaatsen van een cookie. Gekoppeld aan een boetebepaling die toezichthouder OPTA de mogelijkheid geeft een boete van maximaal EUR

Inleiding Jarenlang heeft de zorg voor privacy – de bescherming van persoonsgegevens – niet veel aandacht gekregen binnen de meeste Nederlandse ondernemingen. De uit 1989 stammende Wet persoonsregistraties heeft overwegend een sluimerend bestaan geleid. Weliswaar werd deze in 2001 vervangen door de Wet bescherming persoonsgegevens (Wbp),1 die de uit 1995

450.000 op te leggen heeft dit in relatief korte tijd geleid tot een cultuuromslag. Anno 2013

stammende Privacyrichtlijn2

Het privacybewustzijn is in een stroomversnelling gekomen door het op 25 januari 2012 door de

implementeert, maar privacy leek ook in de jaren daarna een onderwerp waar vooral

In het bedrijfsleven werd de Wbp vaak geschaard onder de administratieve lasten.

bevatten de meeste websites van Nederlandse ondernemingen uitgebreide informatie over de gebruikte cookies en wordt voor het plaatsen daarvan doorgaans (impliciet) toestemming gevraagd.

Europese Commissie gepubliceerde voorstel voor een privacyverordening.5 In dit boekje wordt deze ook wel aangeduid als de concept Verordening. Hoewel dit instrument in bepaalde opzichten de lasten voor het bedrijfsleven in de Europese

overheidsinstellingen,

Unie zal verlichten – een onderneming hoeft in de toekomst maar aan één uniform regime te

het College Bescherming Persoonsgegevens (CBP) en een handvol gespecialiseerde

voldoen in plaats van de privacywetgeving van 27 verschillende lidstaten – valt toch vooral op

juristen zich mee bezighielden. In het bedrijfsleven werd de Wbp vaak geschaard onder de

dat de regels voor de verwerking van persoonsgegevens op veel punten zijn aangescherpt en

administratieve lasten, waarvan het mkb in Nederland er al zoveel heeft. De oorzaak van deze

dat op overtreding daarvan zeer hoge boetes zijn

houding ten opzichte van privacy lag primair in de abstracte normen van de regelgeving die

gesteld, tot 2% van de wereldwijde jaaromzet van

moeilijk concreet uit te voeren waren. Het vrijwel ontbreken van sancties en een chronische

de overtredende onderneming. Het zal nog enkele

onderbezetting bij het CBP zorgde voorts voor een sporadische, op uitwassen gerichte

jaren duren voordat de concept Verordening in

handhaving. In die houding van het bedrijfsleven is verandering gekomen toen met de

werking treedt. Uit het rapport dat over de concept

Code Tabaksblat3 compliance onderdeel werd van het DNA van in Nederland werkzame

Verordening is uitgebracht aan het Europees

ondernemingen. Voldoen aan de privacywetgeving werd onderdeel van de compliance

Parlement6 (naar haar samensteller het Albrecht-

scorecard.

rapport genoemd) blijkt dat deze instelling zo

In diezelfde periode groeide, parallel aan de toename van het commerciëel gebruik van

4

Het privacybewustzijn is in een stroomversnelling gekomen door het voorstel voor een privacyverordening.

 Richtlijn 2009/136/EG van het Europese Parlement en de Raad van 25 november 2009 tot wijziging

het internet, de hoeveelheid gegevens die voor commerciële doeleinden wordt verzameld

van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot

exponentieel. Ondernemingen als Google en Facebook gingen voorop in het samenstellen

elektronische communicatie-netwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking

en uitbaten van profielen van gebruikers. Dat gebeurde met behulp van cookies, kleine

van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische

tekstbestanden die worden geplaatst op de computer van een websitebezoeker, doorgaans

communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties

zonder dat deze zich daarvan bewust was. Om het gebruik van cookies aan banden te

die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, Pb EU Nr. L337/11 van 18/12/2009.  Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van

5

  Wet bescherming persoonsgegevens, Stb. 2000, 302.

natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer

 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de

van die gegevens (algemene verordening gegevensbescherming), 25/01/2012, COM(2012) 11 final. Te vinden

1 2

op http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_nl.pdf.

bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb EG Nr. L 281 van 23/11/1995 blz. 0031 – 0050.  De Nederlandse Corporate Governance Code - beginselen van deugdelijk ondernemingsbestuur en

3

 Draft report on the proposal for a regulation of the European Parliament and of the Council on the

6

protection of individuals with regard to the processing of personal data and on the free movement of such

best-practicebepalingen, Commissie Corporate Governance 9 december 2003. Te vinden op http://www.

data (General Data Protection Regulation) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)). Te vinden op

rijksoverheid.nl/documenten-en-publicaties/richtlijnen/2003/12/09/code-tabaksblat.html.

http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387en.pdf.

56privacy: tips en tricks voor de ondernemingspraktijk

HOUTHOFF BURUMA57

mogelijk nog strengere regels wil stellen aan verwerking van persoonsgegevens in de Europese

Nieuw is een speciale bepaling voor de verwerking van persoonsgegevens van kinderen (artikel

Unie. Bij de behandeling in een aantal commissies van het Parlement bleek echter dat een

8) die voor een kind jonger dan 13 jaar de toestemming van de ouder of voogd vereist. De

meerderheid van de lidstaten een aantal verplichtingen van de Verordening wil afzwakken om

verantwoordelijke moet zo goed mogelijk verifiëren of die toestemming rechtmatig is gegeven.

met name het MKB te ontlasten.. Naar verwachting wordt in juni 2013 in het Europese Parlement

Artikel 20 beperkt het verzamelen en verder verwerken van persoonsgegevens ten behoeve

over de tekst van de concept Verordening gestemd. Privacy staat dan ook hoog op de agenda

van profilering en de daarop gebaseerde marketing.10 Dit onderwerp wordt nader behandeld

van de Nederlandse General Counsel voor de komende jaren.

in het hoofdstuk Cookies en Toestemming. Overigens valt onder deze bepaling ook

Reikwijdte van de concept Verordening De reikwijdte van de concept Verordening is ten opzichte van de Privacyrichtlijn uitgebreid. De concept Verordening is ook van toepassing op het verwerken van persoonsgegevens van betrokkenen die woonachtig zijn in een lidstaat door een Toestemming kan niet worden verantwoordelijke of bewerker die niet in de Europese Unie is gevestigd, gebruikt als grondslag in arbeidsindien de verwerking plaatsvindt verhoudingen, gezien de ongelijke in het kader van een transactie of om een gebruikersprofiel te kunnen positie van werknemer en werkgever. maken (het zogenaamde ‘profilering’). Rechtsgrondslag Evenals onder de Privacyrichtlijn dient een verwerking van persoonsgegevens een rechtmatige grondslag te hebben. Een daarvan is de toestemming van de betrokkene (onderdeel a). De definitie van toestemming in artikel 4 lid 1 van de concept Verordening maakt duidelijk dat deze steeds uitdrukkelijk moet zijn gegeven. Dat kan door een verklaring of een ondubbelzinnige handeling.7 Een optout is niet langer een rechtmatige grondslag voor verwerking van persoonsgegevens. Toestemming kan geen rechtmatige grondslag voor verwerking bieden

verwerking van persoonsgegevens ten behoeve van beoordelingsgesprekken en andere HR- doeleinden. De grondslag daarvoor is in dat geval gelegen in de uitvoering van de

Er staan hoge boetes op overtreding van vaag geformuleerde verplichtingen.

arbeidsovereenkomst.

Algemene verplichtingen De concept Verordening bevat enkele algemeen geformuleerde verplichtingen voor de verantwoordelijke, waarvan overtreding met een hoge boete wordt bedreigd. Een voorbeeld is artikel 11 dat de verantwoordelijke verplicht om een privacybeleid te voeren dat ‘transparant en eenvoudig toegankelijk’ is. Informatie en mededelingen moeten ‘in begrijpelijke vorm worden verstrekt’, waarbij ‘duidelijke en eenvoudige, aan de betrokkene aangepaste taal wordt gebruikt’. Een algemene plicht om de verwerking van persoonsgegevens te beperken vloeit voort uit artikel 5 onder (c), dat vereist dat persoonsgegevens alleen worden verwerkt als doeleinden niet kunnen worden verwezenlijkt door verwerking van andere (bijvoorbeeld geanonimiseerde) gegevens. Het feit dat op overtreding van dergelijke vaag geformuleerde verplichtingen een hoge boete staat is niet in overeenstemming met het beginsel dat het strafbaar stellen van overtredingen alleen dan gerechtvaardigd is wanneer de overtreden norm voldoende duidelijk is geformuleerd.11

wanneer er een ‘aanzienlijke onevenwichtigheid’ bestaat tussen de positie van de betrokkenen en de verantwoordelijke.8 Daarmee staat vast dat toestemming niet kan worden gebruikt als grondslag in arbeidsverhoudingen, gezien de ongelijke positie van werknemer en werkgever.9 In artikel 6 lid 1 onderdeel f is de in Nederland gebruikelijke rechtsgrondslag dat de verwerking

Privacy by design en by default Ook artikel 23, dat ziet op ‘privacy by design and by default’, is nogal open geformuleerd en biedt ondernemingen daarmee weinig houvast voor een concrete invulling van hun

noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke, dat zwaarder weegt dan de bescherming van de grondrechten en fundamentele vrijheden (lees:

 Onder profilering wordt verstaan ‘het geautomatiseerd verwerken van persoonsgegevens met als

10

de privacy van de betrokkenen) gehandhaafd.

doel aspecten van de persoonlijkheid van een betrokkene te evalueren of om zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid en gedrag te

7

  Overweging 25.

8

  Artikel 7 lid 4 concept Verordening.

9

 Overweging 34. Overigens was dat ook al de heersende mening, zie Artikel 29 Werkgroep, Opinion 15/2011

analyseren of te voorspellen’. 11

 Zie artikel 7, 1e lid, van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) en artikel 49, 1e lid, van het Handvest voor de Grondrechten. Zie ook

on the definition of consent, vastgesteld op 13 juli 2011 (WP 187), te vinden op http://ec.europa.eu/justice/

de brief van 11 december 2012 van staatssecretaris Teeven, te vinden op http://www.eerstekamer.nl/eu/

policies/privacy/docs/wpdocs/2011/wp187_en.pdf

behandeling/20121211/brief_vande_staatssecretaris_van/document3/f=/vj5dlxksri7s.pdf.

58privacy: tips en tricks voor de ondernemingspraktijk

HOUTHOFF BURUMA59

verplichtingen. Deze bepaling verplicht de verantwoordelijke, kort gezegd, om bij de aanschaf

de media in het algemeen gevrijwaard van de verplichting gegevens over personen op hun

en het laten ontwikkelen van software, de inrichting van databases en, meer algemeen,

verzoek te verwijderen.

de inrichting van een IT-systeem maatregelen te nemen om te zorgen dat de hoeveelheid verwerkte gegevens en de bewaartermijn daarvan zijn afgestemd op het doel waarvoor zij worden verzameld en dat de gegevens niet aan een onbeperkt aantal personen ter beschikking worden gesteld. Die maatregelen moeten voldoen aan de stand van de techniek van het moment van implementatie.

Informatieplicht Artikel 14, dat ziet op Veel privacy policies van ondernemingen informatieverstrekking aan de betrokkene, bevat een zeer zullen aan de uitgebreide informatiegedetailleerde uitwerking van de informatie die aan de betrokkene plicht moeten worden aangepast. moet worden verstrekt over de verwerking van zijn persoonsgegevens. Nieuw is dat de betrokkene duidelijke informatie moet worden verstrekt over zijn rechten, zoals het recht op inzage, correctie en verwijdering van persoonsgegevens.12 Ook moet specifiek worden vermeld of profilering wordt toegepast en of de intentie bestaat gegevens door te geven naar derde landen (zie hierna). Veel privacy policies van ondernemingen zullen aan deze uitgebreide informatieplicht moeten worden aangepast.

Right to be forgotten Een nieuw ‘right to be forgotten’ wordt geïntroduceerd door artikel 17. Dit houdt in dat de verantwoordelijke onder omstandigheden moet zorgen dat persoonsgegevens worden gewist en verdere verspreiding achterwege blijft. Dat is onder meer het geval als de betrokkene zijn toestemming intrekt, bezwaar maakt tegen de verwerking, of als de verwerking ‘op andere gronden’ niet voldoet aan de verordening. Dit laatste impliceert dat een onderneming in dat geval uit eigen beweging de gegevens moet wissen. Worden de gegevens op verzoek van de betrokkene verwijderd en zijn zij door of met toestemming van de verantwoordelijke openbaargemaakt dan moet deze alle redelijke maatregelen nemen om derden die de gegevens verwerken van de intrekking van de toestemming door de betrokkene op de hoogte te stellen. Verwerking van persoonsgegevens voor de uitoefening van het recht op vrijheid van meningsuiting is uitgezonderd van de verplichting gegevens te verwijderen.13 Daarmee worden

Privacybeleid Artikel 22 verplicht de verantwoordelijke een privacybeleid te voeren. Daaronder valt onder meer de verplichting documentatie inzake alle verwerkingen die onder zijn verantwoordelijkheid hebben plaatsgevonden te bewaren (artikel 28), passende technische en organisatorische maatregelen te nemen ter beveiliging van persoonsgegevens (artikel 30), in bepaalde gevallen vooraf een privacyeffectbeoordeling uit De bewerker kan bij overtreding van diens te voeren (artikel 33, zie hierna) verplichtingen worden gestraft met dezelfen een gegevensfunctionaris aan te wijzen (artikel 35). Op de hoge boetes als de verantwoordelijke. grond van artikel 33 moeten ondernemingen een zogenaamde privacy impact assessment) doen, wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico’s inhouden voor de rechten en vrijheden van betrokkenen. Dat is met name het geval wanneer profilering plaatsvindt, bij verwerking van gegevens in de gezondheidszorg die betrekking hebben op het seksuele leven de gezondheid, het ras of de etnische afkomst, videobewaking van openbaar toegankelijke ruimtes en de verwerking in grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens. Functionaris voor de gegevensbescherming De aanstelling van een functionaris voor de gegevensbescherming, hetgeen in Nederland op dit moment vrijwel alleen voorkomt bij de overheid, wordt verplicht voor ondernemingen met meer dan 250 werknemers.14 Deze functionaris moet onder meer toezien op de uitvoering en toepassing van het privacybeleid van de onderneming en van verschillende bepalingen van de verordening, zoals het beperken van gegevensverwerkingen door toepassing van privacy by design en privacy by default, het beveiligen van gegevens en het voldoen aan het verzoek van betrokkenen om informatie in het kader van de uitoefening van hun recht op grond van de verordening. Ook bij melding van datalekken heeft de functionaris een belangrijke rol.

Verplichtingen bewerker Op grond van artikel 26 wordt een aantal verplichtingen gelegd op de bewerker, waaronder het nemen van adequate beveiligingsmaatregelen, het handelen binnen het kader van de

  Artikel 12 concept Verordening.

12 13

 Artikel 17 lid 3 zondert van deze verplichting onder meer ook uit verwerking om redenen van

14

 En kleinere ondernemingen, indien deze verwerkingen doet die vanwege hun aard, omvang of doel

algemeen belang op het gebied van de volksgezondheid (lid 3 sub b), voor historische, statistische of

regelmatige en stelselmatige observatie van betrokkene vereisen. Dit laatste geldt bijvoorbeeld voor

wetenschappelijke doeleinden (en lid 3 sub c) of wanneer gegevens nog moeten worden bewaard ten

headhunters.

behoeve van bewijsvoering (lid 4 sub b).

60privacy: tips en tricks voor de ondernemingspraktijk

HOUTHOFF BURUMA61

instructies van de verantwoordelijke en het opleggen van een geheimhoudingsplicht aan zijn

van een recht in rechte of voor de gerechtvaardigde belangen van de verantwoordelijke

personeel. Onder de huidige wetgeving moeten deze verplichtingen van de bewerker worden

of de bewerker, mits de overdracht niet als frequent of massaal kan worden beschouwd.

neergelegd in een bewerkerovereenkomst en is naleving dus met name een privaatrechtelijke

Daarbij moeten zo nodig passende garanties worden geboden voor de bescherming van

aangelegenheid. Onder de concept Verordening kan de bewerker bij overtreding van diens

persoonsgegevens, mede gezien de aard daarvan, het doel en de duur van de verwerking.

verplichtingen worden gestraft met dezelfde hoge boetes als aan de verantwoordelijke kunnen

Deze garanties moeten worden gedocumenteerd. Voor de doorgifte zal in deze gevallen

worden opgelegd.

van artikel 44 steeds een overeenkomst moeten worden gesloten met de ontvanger van de persoonsgegevens, die voldoet aan de modelbepalingen die de Commissie op grond van

Meldplicht datalekken De concept Verordening voert een Voor doorgifte naar derde landen meldplicht in voor datalekken, die wordt zal steeds een overeenkomst uitgewerkt in artikelen 30 tot en met 32. Uitgangspunt is dat ieder datalek zo moeten worden gesloten die spoedig mogelijk wordt gemeld aan de toezichthouder (het CBP) en, als negatieve voldoet aan de modelbepalingen. gevolgen voor de bescherming van de persoonsgegevens of de privacy van de betrokkenen waarschijnlijk zijn, eveneens aan de betrokkenen. Dit wordt nader behandeld in het hoofdstuk Datalekken.

artikel 42 vaststelt. Een voordeel voor ondernemingen ten opzichte van de huidige regeling van doorgifte onder de Privacyrichtlijn is dat niet langer

De maximale boete bedraagt 2% van de jaarlijkse wereldwijde omzet.

de voorafgaande goedkeuring van de toezichthouder kan worden vereist. Overigens is dit vergunningvereiste in Nederland onlangs afgeschaft voor gevallen waarin tussen verantwoordelijke en ontvanger een modelcontract is gesloten.18

Concentratie toezicht Een belangrijke verbetering voor ondernemingen die in meerdere lidstaten zijn gevestigd is dat de handhaving van de concept Verordening wordt opgedragen aan de toezichthouder van de lidstaat waar de onderneming zijn hoofdvestiging heeft. Dit is de plaats waar zich zijn centrale administratie in de Europese Unie bevindt.19 Deze ‘hoofdtoezichthouder’ moet samenwerken

Overdracht gegevens naar derde landen Een ander aandachtspunt is de overdracht van gegevens naar landen buiten de Europese Economische Ruimte, waarvoor de Europese Commissie niet een verklaring heeft afgegeven dat zij een passend beschermingsniveau waarborgen.15 Onder de Privacyrichtlijn zijn

met de toezichthouders in de andere lidstaaten waar de onderneming werkzaam is. Wellicht dat

dergelijke verklaringen al afgegeven voor een aantal landen.16 Doorgifte is ook mogelijk op

de huidige praktijk met BCR, waarin één toezichthouder de regels toetst en goedkeurt en twee

grond van binding corporate rules (BCR).17 Een belangrijke verbetering ten opzichte van de

andere toezichthouders commentaar kunnen leveren, hierbij een voorbeeld voor praktische

Privacyrichtlijn is dat BCR niet ook kunnen worden gebruikt in de relatie met bewerkers.Dit

uitvoering van deze bepaling.

zijn bindende voorschriften die gelden voor alle leden van de groep van ondernemingen waartoe de verantwoordelijke of de bewerker behoort. Goedkeuring van een toezichthouder van één lidstaat is voldoende om de BCR te laten gelden in alle lidstaten. Overdracht naar derde landen is overigens alleen toegestaan op de gronden die zijn opgenomen in artikel 44. Naast toestemming van de betrokkene en doorgifte die noodzakelijk is ter uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke is doorgifte onder meer toegestaan als deze noodzakelijk is voor de vaststelling, de uitoefening of de verdediging   Op grond van artikel 41 kunnen dergelijke verklaringen door de Europese Commissie worden afgegeven.

15

16

 Andorra, Argentinië, Australië, Canada, Zwitserland, Israël, Faeröer eilanden, Guernsey en Isle of Man (stand

Beperkingen en uitzonderingen De reikwijdte van een aantal bepalingen, zoals de plicht betrokkenen over verwerking van hun gegevens te informeren, het recht om gegevens te laten wissen en de beperkingen ten aanzien van profilering kunnen op basis van de in artikel 21 genoemde gronden worden beperkt door nationale of EU-wetgeving, voor zover dat in een democratische samenleving een noodzakelijke en evenredige maatregel is. Daaronder valt onder meer dat een dergelijke beperking nodig is ter bescherming van de betrokkene of van de rechten en vrijheden van anderen. Deze grond is nu opgenomen in artikel 43 Wbp en vormt onder meer de grondslag voor beperking van de verplichting om de betrokkene informatie te verstrekken over verwerking

per 01/02/2013).  Artikel 43 concept Verordening. Dit zijn bindende voorschriften die gelden voor alle leden van de groep

17

18

van ondernemingen waartoe de verantwoordelijke of de bewerker behoort, waarin de belangrijkste verplichtingen onder de concept Verordening zijn neergelegd.

62privacy: tips en tricks voor de ondernemingspraktijk

 Aan artikel 77, eerste lid, Wbp is daartoe een onderdeel g. toegevoegd. Wet van 26 januari 2012, Stb. 2012, 33, onderdeel K.

  Overweging 27.

19

HOUTHOFF BURUMA63

van zijn persoonsgegevens maar ook voor het opschorten van de informatieplicht in geval van

Een belangrijke voorgestelde wijziging betreft de grondslagen voor verwerking van

verwerking van persoonsgegevens ten behoeve van een overheidsonderzoek of in het kader

persoonsgegevens.22 De in Nederland doorgaans gebruikte rechtvaardigingsgrond dat

van een discoveryprocedure (zie hierover het hoofdstuk e-Discovery).

verwerking noodzakelijk is voor de gerechtvaardigde belangen van de verantwoordelijke, die zwaarder wegen dan het privacybelang van de betrokkene, wordt alleen nog toegestaan

Boetes Zoals aangegeven krijgen het CBP en zijn Europese collega’s ter verbetering van de handhaving van de privacyregels de mogelijkheid hoge boetes op te leggen bij overtreding van de verordening. De maximale boete bedraagt 2% van de jaarlijkse wereldwijde omzet (artikel 79 lid 6 van de concept Verordening). Die boete kan worden opgelegd voor overtredingen, zoals: • niet voldoen aan verzoeken van betrokkenen om informatie, correctie of afscherming van hun gegevens (artikel 19); • het niet documenteren van de verwerkingen van persoonsgegevens binnen de onderneming (artikel 28);

Het Albrecht-rapport wil de regels voor verwerking van persoonsgegevens in de Europese Unie nog verder aanscherpen.

in specifiek genoemde omstandigheden en alleen wanneer geen van de andere rechtvaardigingsgronden (zoals toestemming) kan worden gebruikt. Bovendien moet de verantwoordelijke de betrokkene

Overdracht van gegevens naar een derde land in het kader van e-Discovery wordt in de voorstellen in het Albrecht-rapport aan strenge voorwaarden onderworpen.

informeren over de redenen waarom het gerechtvaardigd belang van de verantwoordelijke zwaarder weegt dan de bescherming van de privacy van de betrokkene. Die mededeling is ook opgenomen in het voorstel voor aanpassing van de informatieverplichtingen van artikel 14, die verder zijn uitgebreid met informatie over de maatregelen die bij doorgifte zijn genomen en over ‘rights and mechanisms’ om bezwaar te maken tegen verwerking van persoonsgegevens of deze te vermijden. Ook wordt voorgesteld

• verwerking van gezondheidgegevens en andere gevoelige gegevens zonder de vereiste ondubbelzinnige toestemming van de betrokkene (artikel 9);

een verplichting in te voeren om de betrokkene op de hoogte te stellen in geval van mededeling van zijn persoonsgegevens aan een overheidsorgaan op diens verzoek.

• ontbreken van adequate beveiligingsmaatregelen om datalekken, ongeautoriseerde toegang tot en vernietiging van data te voorkomen (artikel 30); • niet tijdig of volledig melden van datalekken, zoals verlies van een USB-stick of de hack van een website (artikel 31 en 32); en • niet verrichten van privacyeffectrapportages van verwerkingen die bijzondere privacyrisico’s

Ten aanzien van profilering stelt het Albrecht-rapport voor om dit alleen toe te staan met toestemming van de betrokkene of op basis van een wettelijke regeling.23 Profiling dient verder te worden beperkt door daarvan uit te sluiten het verwerken van bijzondere gegevens en gegevens die het mogelijk maken om kinderen te identificeren of te individualiseren.24

meebrengen, zoals gezondheidsgegevens (artikel 34). Een belangrijke voorgestelde wijziging is ook dat ondernemingen die persoonsgegevens

Het Albrecht-rapport Op 10 januari 2013 heeft rapporteur Albrecht namens de LIBE commissie20 van het Europees Parlement, die bij dit onderwerp de leiding heeft, een rapport uitgebracht dat, zoals in de inleiding is aangegeven, de regels voor verwerking van persoonsgegevens in de Europese Unie nog verder wil aanscherpen.21 Het rapport telt ruim 200 pagina’s, zodat in het kader van deze

verwerken die betrekking hebben op meer dan 500 betrokkenen een functionaris van de gegevensbescherming moeten aanstellen, ook als zij minder dan 250 werknemers hebben.25 Overdracht van gegevens naar een derde land in het kader van e-Discovery wordt in de voorstellen in het Albrecht-rapport aan strenge voorwaarden onderworpen door een nieuw

uitgave alleen aandacht kan worden gegeven aan enkele bepalingen die ingrijpende gevolgen kunnen hebben voor in Nederland gevestigde ondernemingen.   Artikel 6 conceptverordening.

22 23

  Amendement 158, pagina 102 van het Albrecht-rapport.

  De Commissie Burgerlijke vrijheden, justitie en binnenlandse zaken.

24

  Voor de vindplaats van het rapport zie noot 6.

25

20 21

64privacy: tips en tricks voor de ondernemingspraktijk

  Amendement 162 en 164, pagina 104 en 105 van het Albrecht-rapport.   Amendement 223, pagina 134 Albrecht-rapport

HOUTHOFF BURUMA65

artikel 43a.26 Een dergelijke overdracht is alleen nog toegestaan op basis van een verdrag en na toestemming te hebben verkregen van de toezichthouder (zie ook het hoofdstuk e-Discovery). Ten slotte is opmerkelijk dat in de voorstellen een belangrijke plaats bij de handhaving van en het toezicht op de concept Verordening wordt ingeruimd voor de European Data Protection Board, een nieuw orgaan dat in de plaats treedt van de Artikel 29 Werkgroep. Daarmee krijgt dit adviesorgaan van de Europese Commissie, waarin de toezichthouders van de 27 EU-lidstaten zijn vertegenwoordigd, op privacygebied de status van supertoezichthouder, die op sommige terreinen zelfs de bevoegdheid krijgt nadere uitvoeringsregels te stellen. Inmiddels hebben verschillende commissies van het Parlement een groot aantal wijzigingsvoorstellen ingediend. Inmiddels is uit een brief van het Ierse voorzitterschap van de EU aan de Raad gbleken, dat een meerderheid van de lidstaten wil dat er een meer risicogeoriënteerde aanpak wordt gekozen en dat met name de administratieve lasten meebrengen voor kleinere ondernemingen worden verminderd.27 De volgende stap in het wetgevend proces is de behandeling in het Europees Parlement, dat vervolgens (vermoedelijk in juni 2013) zal stemmen over de tekst van de Verordening. Wanneer de Commissie en het Parlement het over de tekst van de Vervordening zijn eens geworden, zal deze worden voorgelegd aan de Raad, die mede als wetgever optreedt. Verwacht wordt dat de Verordening in de loop van 2014 of 2015 in werking zal treden.

Het privacyteam van Houthoff Buruma bestaat uit: Wolter Wefers Bettink partner bij Houthoff Buruma en gespecialiseerd in IP en IT litigation, privacy en e-business T +31 20 605 6167 | [email protected] Thomas de Weerd partner bij Houthoff Buruma en gespecialiseerd in IT, outsourcing, privacy en e-business T +31 20 605 6985 | [email protected]

Copyright © 2013 Houthoff Buruma Voorbehoud: Het is toegestaan om korte passages uit deze uitgave te citeren in andere publicaties, op voorwaarde dat duidelijk aan bronvermelding wordt gedaan. Aanbevolen citeerwijze: “Privacy: Tips & Tricks voor de Ondernemingspraktijk, Houthoff Buruma”.

  Amendement 259, pagina 151 en 152 van het Albrecht-rapport.

26

 Brief van 22 februari 2013, te vinden op http://www.statewatch.org/news/2013/feb/eu-council-dp-

27

regulation-risk-based-approach-public-flexibility-6607-13.pdf

66privacy: tips en tricks voor de ondernemingspraktijk

Voor het overige mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder de voorafgaande schriftelijke toestemming van Houthoff Buruma. Deze uitgave is bedoeld ter informatie en niet als juridisch advies. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaardt Houthoff Buruma geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor de gevolgen daarvan.

HOUTHOFF BURUMA67