Nieuwsbrief. Privacy en bescherming van persoonsgegevens. Inhoud. CBP adviseert over wetsvoorstel meldplicht datalekken en camerabeelden

Feb-Mrt-Apr 2012 Jaargang 2

Nieuwsbrief Privacy en bescherming van persoonsgegevens

Inhoud CBP adviseert over wetsvoorstel meldplicht datalekken en camerabeelden. Verstrekking adresgegevens UWV aan GBA; CBP adviseert over wijziging Besluit SUWI.

IN DIT NUMMER

De Europese Privacy Verordening; strengere privacyregels op komst.

-CBP over meldplicht datalekken…….…………...….2

Wijziging van de Wbp; d.d. 9 februari 2012 in werking getreden.

-Verstrekken adresgegevens UWV aan GBA……..………...3 -De Europese Privacy Verordening………....……....4 -Wijziging Wbp d.d. 9 februari 2012….………….6

Graven Juridisch Advies Bongaertslaan 22 6417 BB Heerlen [email protected] 045-5716391

1

CBP adviseert over het wetsvoorstel meldplicht datalekken en camerabeelden.

In de nieuwsbrief van januari is uitgebreid aandacht besteed aan het wetsvoorstel meldplicht datalekken (en boetebevoegdheid toezichthouder) en het ruimer gebruik van camerabeelden. Het CBP heeft het navolgende geadviseerd inzake het wetsvoorstel meldplicht datalekken. Het wetsvoorstel zou nauwer moeten aansluiten bij de Europese ontwerpverordening gegevensbescherming. Het Nederlandse wetsvoorstel kent anders dan de ontwerpverordening een drempel voor het melden van zaken: niet alle zaken hoeven te worden gemeld. Het CBP adviseert om pas na enige praktijkervaring met de meldplicht te definiëren welke datalekken wel en welke niet hoeven te worden gemeld. Ook adviseert het CBP om helderheid te verschaffen over de rol van het CBP met betrekking tot de ontvangen meldingen en dit uit te werken in de Memorie van Toelichting. Het CBP heeft voorts verzocht om de gevolgen van invoering van de meldplicht datalekken voor de werklast van het CBP in kaart te brengen. Het CBP vreest dat de invoering van de meldplicht zodanige beheersmatige gevolgen heeft, dat het CBP zijn bestaande taken en

bevoegdheden niet meer naar behoren kan uitvoeren als voor de nieuwe taken geen extra middelen ter beschikking komen. Ten aanzien van het wetsvoorstel camerabeelden merkt het CBP in zijn advies op dat wel duidelijk moet zijn welke opsporingsinstantie bevoegd is om actie te ondernemen wanneer beelden op een beeldscherm of internet worden geplaatst zonder de vereiste voorafgaande toestemming van de Officier van Justitie. In de Memorie van Toelichting moet ook worden verduidelijkt welke actie een bedrijf of organisatie, die in eerste instantie persoonsgegevens openbaar heeft gemaakt via zijn eigen website, maar inmiddels heeft verwijderd, moet nemen tegen het beschikbaar blijven van deze persoonsgegevens via andere websites of andere media.

“Het CBP heeft aan de staatssecretaris van Veiligheid en Justitie en de minister van BZK verzocht om de gevolgen van invoering van de meldplicht datalekken voor de werklast van het CBP in kaart te brengen”.

2

CBP adviseert over wijziging Besluit Suwi. Iemand kan om praktische redenen bij het UWV op een ander adres zijn geregistreerd dan op zijn GBA-adres. Het is de bedoeling dat het UWV deze afwijkende adresgegevens aan gemeenten gaat of moet gaan verstrekken ten behoeve van het kwalitatief op peil houden van de gemeentelijke basisadministratie (GBA). Het CBP heeft de minister van Sociale Zaken en Werkgelegenheid geadviseerd over het conceptbesluit dat de gegevensverstrekking regelt. Het CBP benadrukt dat het inderdaad alleen moet gaan om afwijkende adresgegevens en dat dit duidelijk moet blijken uit de tekst.

gemeenten, zodat de verschillen tussen UWV– en GBA bestanden kunnen worden opgeheven. De tekst van het conceptbesluit bepaalt nu volgens het CBP onvoldoende duidelijk om welke groep adresgegevens het gaat. De noodzaak voor adreslevering is alleen aanwezig in geval van afwijkende adresgegevens, deze afbakening dient ook duidelijk te blijken uit de tekst van het besluit. Voorkomen moet worden dat een bovenmatige gegevensverwerking tot stand komt.

Verstrekking adresgegevens UWV aan GBA.

Vanwege werk of huiselijke problemen kunnen mensen gedurende langere tijd het UWV een ander adres opgeven dan waarop zij in de GBA zijn geregistreerd. Onderzoek wijst uit dat dit bijvoorbeeld voor zo’n 7% van de Amsterdamse bevolking geldt. De beoogde wijziging van het Besluit SUWI vloeit voort uit een door de kamer aangenomen motie. Daarin is het kabinet verzocht te bepalen dat het UWV moet bijdragen aan de verbetering van de kwaliteit van de GBA door adresverschillen door te geven. Het conceptbesluit schept een bevoegdheid en op verzoek een verplichting voor het UWV om adresgegevens te leveren aan de

3

Strengere privacyregels op komst

De Europese Privacy Verordening; een aantal punten uitgelicht.

Het voorstel (verordening) ligt nu ter goedkeuring voor bij het Europees Parlement. Na goedkeuring door het Europees Parlement, moet het voorstel goedgekeurd worden door de EUlidstaten (bijeen in de Raad van ministers). Twee jaar na aanname kan de verordening in werking treden. Op zijn vroegst zou dit in 2015 het geval kunnen zijn.

Op 25 januari 2012 heeft de Europese Commissie de Europese Privacy Verordening voorgesteld. De verordening is opgesteld ter vervanging van de Europese Privacyrichtlijn 95/46/EC. Het voordeel van een verordening boven een richtlijn is dat een verordening directe werking heeft binnen alle lidstaten en zo een eind kan maken aan de thans heersende versnipperde privacyregelgeving binnen de EU. In het licht van een toenemende hoeveelheid grensoverschrijdende data is één set regels van groot belang. Toepassing De verordening is van toepassing op alle verantwoordelijken van de verwerking en verwerkers die een vestiging hebben in de EU. Of de verwerking van de gegevens in de EU plaatsvindt of daarbuiten, is niet van belang. Daarnaast is de verordening van toepassing op verantwoordelijken die niet in de EU gevestigd zijn maar wel persoonsgegevens van EUonderdanen verwerken. De verordening geldt niet voor politie en justitie. Hiervoor is een aparte richtlijn gemaakt. Persoonsgegevens De definitie van betrokkene en persoonsgegevens zoals verwoord in artikel 4 van de ontwerpverordening gaat uit van het principe dat er pas sprake is van een betrokkene, als de natuurlijke persoon daadwerkelijk (direct of indirect) geïdentificeerd kan worden. Er is sprake van persoonsgegevens als gegevens betrekking hebben op de geïdentificeerde natuurlijke persoon.

4

Doelbinding Artikel 6, vierde lid, van de ontwerpverordening doorbreekt in latere fases van gegevensverwerking het principe van doelbinding. In de Verordening wordt verder gebruik bij onverenigbaarheid met het eerdere doel waarvoor de gegevens zijn verzameld mogelijk gemaakt als er een andere dan de oorspronkelijke grondslag kan worden gevonden in de noodzakelijkheid voor de uitvoering van een overeenkomst, wetgeving, vitaal belang, of de uitvoering van een taak in het publieke belang. Het CBP heeft tegen deze bepaling in ieder geval in de huidige vorm ernstige bedenkingen, omdat op deze wijze de kern van het doelbindingsprincipe onderuit wordt gehaald. “Doelbinding is één van de belangrijkste principes van gegevensbescherming. Dit betekent dat een precies doel moet worden aangegeven voor de verwerking van gegevens en dat degenen die gegevens verwerkt, zich moet houden aan het doel waarvoor hij de gegevens (kenbaar) heeft verzameld. Deze scheiding van domeinen waarbinnen gegevens gebruikt mogen worden, vormt, tezamen met de plicht enkel noodzakelijke gegevens te verwerken, de basis van de bescherming van persoonsgegevens. De Staatscommissie Grondwet (2010/2011) adviseerde (in navolging van de conventie 108 van de Raad van Europa) daarom zelfs om in een grondwettelijke bepaling over het recht op de bescherming van persoonsgegevens dit doelbindingsprincipe vast te leggen”.

Verantwoordelijken krijgen meer verplichtingen, waaronder: - Informatieplicht wordt zwaarder. Verantwoordelijken dienen betrokkenen op een duidelijke, eenvoudig toegankelijke en begrijpelijke wijze te informeren over de verwerking van persoonsgegevens. Nieuw is dat verantwoordelijken betrokkenen moeten informeren over de periode van opslag van de persoonsgegevens. - Strengere regels met betrekking tot het verantwoorden van gegevensverwerking. Verantwoordelijken dienen middels beleidsregels en genomen maatregelen aan te kunnen tonen dat persoonsgegevens worden verwerkt conform de verordening (compliance). De plicht om gegevensverwerkingen te melden is in de verordening geschrapt. Hiervoor in de plaats komt de verplichting om alle gegevensverwerkingen te documenteren en de toezichthouder hier op verzoek inzage in te geven. - Meldplicht datalekken. Datalekken dienen zo spoedig mogelijk, binnen 24 uur na bekend worden, door verantwoordelijken gemeld te worden aan de nationale toezichthouder. Tevens is er een meldplicht jegens betrokkenen.

“De plicht om gegevensverwerkingen te melden is in de verordening geschrapt. Hiervoor in de plaats komt de verplichting om alle gegevensverwerkingen te documenteren en de toezichthouder hier op verzoek inzage in te geven”. -Uitdrukkelijke toestemming. Uitgangspunt is dat verantwoordelijken uitdrukkelijke toestemming van betrokkenen dienen te krijgen voor het verzamelen en gebruiken van gegevens. Voor direct mail en telemarketing is een uitzondering gemaakt; hiervoor blijft optout gelden. Uitdrukkelijke toestemming is strenger dan de ondubbelzinnige toestemming die nu in de Wbp is opgenomen. Voor uitdrukkelijke toestemming moet de betrokkene expliciet zijn wil hebben geuit. Dit vereist een actieve houding van betrokkene. Een stilzwijgende of impliciete toestemming is onvoldoende. Voor ondubbelzinnige toestemming geldt dat alle twijfel moet zijn uitgesloten over de vraag of de betrokkene zijn toestemming heeft gegeven en voor welke specifieke verwerkingen toestemming is gegeven. Het verifiëren hiervan hoeft niet noodzakelijkerwijs te leiden tot het vragen van uitdrukkelijke toestemming. Voorts geldt dat de bewijslast bij de verantwoordelijke ligt. - Privacyfunctionaris. Bedrijven met meer dan 250 personen per vestiging worden verplicht om een privacyfunctionaris aan te stellen.

- Databeveiliging. Nieuw is dat, onafhankelijk van contractuele afspraken met verantwoordelijken, ook bewerkers verantwoordelijk zijn voor databeveiliging. Betrokkenen krijgen meer rechten, waaronder: - Het recht om vergeten te worden. Dit houdt in dat verantwoordelijken, onder bepaalde voorwaarden, op verzoek van betrokkenen onmiddellijk actie dienen te ondernemen om alle persoonsgegevens van betrokkenen te verwijderen. Tevens dienen verantwoordelijken ervoor te zorgen dat derde partijen aan wie zij de gegevens hebben verstrekt, de gegevens ook verwijderen. - Recht op dataportabiliteit. Betrokkenen moeten een kopie van hun opgeslagen persoonsgegevens kunnen krijgen om deze gegevens over te kunnen dragen aan een ander bedrijf. - Geen profiling zonder toestemming. Betrokkenen hebben het recht om hun toestemming te onthouden aan profilingactiviteiten, tenzij verwerking van de persoonsgegevens vanuit technisch oogpunt noodzakelijk is.

5

Wijziging Wbp, in werking getreden op 9 februari 2012.

FG niet langer verplicht een jaarverslag te maken.

Lastenverlichting voor verantwoordelijken Verantwoordelijken zijn niet langer verplicht bij het CBP een voorafgaand onderzoek aan te vragen voor hun verwerking als op verzoek van een andere verantwoordelijke al een voorafgaand onderzoek voor die gegevensverwerking is uitgevoerd en het CBP daarbij de verwerking rechtmatig heeft verklaard (artikel 31, lid 3, Wbp). Dit is bijvoorbeeld van toepassing als een verantwoordelijke wil deelnemen aan een bestaande zwarte lijst. Functionaris Gegevensbescherming De functionaris voor de gegevensbescherming is niet langer verplicht een jaarverslag op te stellen van zijn of haar werkzaamheden en bevindingen (artikel 63, lid 5, Wbp is vervallen).

Verwerking bijzondere persoonsgegevens Verantwoordelijken mogen nu bijzondere persoonsgegevens verwerken als dit noodzakelijk is om de belangen van een betrokkene of een ander persoon te verdedigen maar het niet mogelijk is om uitdrukkelijke toestemming te vragen (artikel 23, lid 1, sub d, Wbp). Dit speelt bijvoorbeeld als er een acuut gevaar voor iemands leven of gezondheid dreigt. Ook voor het CBP, de Nationale Ombudsman en andere ombudslieden is onder voorwaarden het verwerken van bijzondere persoonsgegevens zonder toestemming niet langer verboden. De voorwaarden zijn dat er een zwaarwegend belang is, dat de verwerking nodig is om hun taken goed te kunnen uitvoeren en dat de privacy van de

6

betrokkenen niet onevenredig wordt geschaad (artikel 23, lid 1, sub g, Wbp). Samenwerkingsverbanden van bestuursorganen en/of organisaties met een overheidstaak mogen nu onder voorwaarden strafrechtelijke gegevens verwerken, ook als

de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevens niet van toepassing zijn op de verwerking. Op grond van deze wetten was er al een uitzondering mogelijk op het verbod om strafrechtelijke gegevens te verwerken. Er zijn echter ook verwerkingen door samenwerkingsverbanden mogelijk waarop deze wetten niet van toepassing zijn. Bijvoorbeeld wanneer de reclassering en de gemeente deel uitmaken van een samenwerkingsverband en de reclassering binnen dit verband van de politie verkregen strafrechtelijke gegevens aan de gemeente wil doorgeven. Voorwaarden voor de gegevensverwerking zijn dat deze noodzakelijk is om de taken van het samenwerkingsverband of van de afzonderlijke partijen hierin goed te kunnen uitvoeren en dat de privacy van de betrokkenen niet onevenredig wordt geschaad (artikel 22, lid 6, Wbp).

Overige wijzigingen Wbp De strafrechtelijke boetes voor het overtreden van de meldingsplicht zijn verhoogd, zodat deze niet meer uit de pas lopen met de bestuurlijke boetes (artikel 75, lid 1 en 2, Wbp).

.

Betrokkenen kunnen verzet aantekenen als zij niet willen dat een verantwoordelijke hun persoonsgegevens gebruikt of doorgeeft voor reclamedoeleinden (direct marketing). Zij hebben nu ook de mogelijkheid een verantwoordelijke te vragen welke maatregelen deze heeft genomen om het gebruik van hun gegevens te beëindigen. De verantwoordelijke moet hier binnen vier weken op antwoorden (artikel 41 lid 2, Wbp).

7

Opdrachtgevers privacy gemeenten Graven Juridisch Advies is een zelfstandig en onafhankelijk  adviesbureau op het gebied van privacy en bescherming van persoonsgegevens. Voor meer informatie neem contact op met mr. Charlotte Graven op 06-22778091 of stuur een e-mail naar [email protected]

- Gemeente Sittard-Geleen - Gemeente Valkenburg aan de Geul - Gemeente Maastricht - Gemeente Vaals - Gemeente Venlo - Gemeente Simpelveld - Regionale Sociale Dienst Pentasz Mergelland - Gemeente Eijsden-Margraten - Gemeente Gulpen-Wittem - ISD BOL (Intergemeentelijke Sociale Dienst Brunssum Onderbanken Landgraaf) - Gemeente Beek - Gemeente Roermond - RIEC Limburg - Gemeente Onderbanken - Gemeente Brunssum - Gemeente Stein - Gemeente Maasgouw - Gemeente Weert - Gemeente Nederweert

Graven Juridisch Advies Bongaertslaan 22 6417 BB Heerlen Telefoonnummer: 045-5716391 of 06-22778091 emailadres: [email protected] www.gravenadvies.nl

Disclaimer: De inhoud van deze Nieuwsbrief is van informatieve aard en kan niet worden beschouwd als een juridisch advies in welke vorm dan ook. Ondanks de zorgvuldige samenstelling van de inhoud van deze nieuwsbrief kan Graven Juridisch Advies geen enkele aansprakelijkheid aanvaarden voor schade, direct dan wel indirect, ten gevolge van eventuele fouten of vergissingen. Dit geldt zowel ten aanzien van de eigen content als ten aanzien van de door Graven Juridisch Advies aangeboden content die afkomstig is van derden.

8