Privacy en Compliance: geen ontkomen meer aan De gevolgen van het Europese voorstel voor een Algemene Verordening Gegevensbescherming en het Nederlandse wetsvoorstel Datalekken Mr. H. Gardeniers en dr. mr. E. Schreuders1
Nog maar enkele jaren geleden werd privacy zelden in één adem genoemd met het onderwerp compliance. Anno 2013 is dit drastisch veranderd, zowel in nationaal als in Europees opzicht. Wat is er gebeurd, en wat staat er te gebeuren? Maar bovenal: hoe belangrijk en ingrij pend zijn deze ontwikkelingen voor u? Kunt u het zich permitteren om nog achterover te blijven zitten of wordt het stilaan tijd om blijvend het roer om te gooien wat betreft privacyvraagstukken? Dit artikel gaat vooral in op een voorstel voor een Europese ver ordening die op dit moment in voorbereiding is. Welke concrete veranderingen kan deze verordening voor u meebrengen? Omdat de Europese ontwikkelingen op het moment van schrijven van dit artikel nog niet volledig zijn uitgekristalliseerd, wordt in het artikel ook aandacht besteed aan recente vergelijkbare ontwikkelingen binnen Nederland en de metamorfose die privacywet- en regelgeving de afgelopen 20 jaar heeft doorgaan. Één boodschap staat daarbij centraal. Aandacht voor privacywet- en regelgeving kan niet meer enkel bestaan uit af en toe beoordelen of de gegevensverwerking rechtmatig is. De ontwikkeling van de afgelopen jaren is dat er continue aandacht vereist is. De nieuwe Europese regels zullen dit benadrukken en versterken. Een frisse nieuwe blik op de komende wetgeving is noodzakelijk. Het gaat daarbij niet alleen om de juridische
1
Mr. H. (Huib) Gardeniers en dr. mr. E. (Eric) Schreuders zijn directeur en adviseur bij Net2Legal Consultants <www.n2l.nl>. Beiden zijn al meer dan 20 jaar in wisselende hoedanigheden en vanuit verschillende invalshoeken betrokken bij privacy wet en regelgeving, onder meer vanuit de toezichthouder, het bedrijfsleven en de adviespraktijk.
Jaarboek Compliance 2014
127
Ontwikkelingen in wet- en regelgeving
invalshoek, maar vooral ook vanuit beveiliging en compliance inclusief de organisa torische inbedding. Privacy is een volwassen compliance onderwerp geworden dat niet onderschat moet worden.
Privacy en compliance: meer en meer raakvlakken Privacywet- en regelgeving bestaat al jaren. In Nederland al bijna vijfentwintig jaar. Na de Wet persoonsregistraties (de ‘eerste generatie’ privacywetgeving) is al meer dan tien jaar de Wet bescherming persoonsgegevens (Wbp) van kracht (de tweede generatie wet geving). Deze op een Europese richtlijn uit 1995 gebaseerde privacywetgeving staat nu op het punt vervangen te worden door nieuwe Europese regelgeving (de derde generatie). Naast deze algemene privacywet- en regelgeving is er op dit moment ook diverse sectorale wet- en regelgeving van kracht, onder andere op het terrein van politie en justitie, gezondheidszorg of telecommunicatie. Naast wetgeving kan het daarbij ook gaan om privacygedragscodes, zoals de gedragscodes voor de financiële sector of direct marketing, of richtsnoeren van toezichthouders zoals het College Bescherming Persoons gegevens (CBP) of de Autoriteit Consument & Markt (ACM). Al de genoemde wet- en regelgeving bevat twee aspecten: • Het eerste aspect is gericht op de inhoudelijke regels over toelaatbaarheid van het verwerken van persoonsgegevens. Deze regels en normen zien vooral op de vraag: mag het? Of anders gezegd: of en onder welke voorwaarden is een gegevens verwerking toegestaan? Wat betreft de inhoudelijke regels zijn er sterke overeen komsten tussen de verschillende generaties van privacy wet- en regelgeving. Dat komt omdat de beginselen die ten grondslag liggen aan de regels al sinds begin jaren ’80 van de vorige eeuw nauwelijks zijn aangepast. Deze beginselen zien bijvoorbeeld op de doelbinding, de juridische grondslag en rechtvaardiging voor het verwerken van gegevens, en op het noodzakelijkheidsbeginsel bij de te verwerken gegevens. Ook beginselen zoals transparantie en de plicht tot beveiligen zijn constante factoren die we in de verschillende generaties wetgeving terugzien. • Het tweede kenmerkende aspect ziet op werkzaamheden die uitgevoerd dienen te worden om in overeenstemming met de regels gegevens te mogen verwerken. Daarbij dient de toelaatbaarheid beoordeeld te worden, dient er sprake te zijn van adequate informatiebeveiliging, dienen gegevensbestanden gemeld te worden en dienen burgers en klanten geïnformeerd te worden. De afgelopen jaren is er een belangrijke verschuiving waarneembaar wat betreft het belang van deze werkzaam heden. De ontwikkeling op het gebied van privacy sluit daarbij aan op de ontwikkelingen op het terrein van compliance. Bij compliance lag voorheen de nadruk op de naleving van wet-
128
Jaarboek Compliance 2014
Privacy en Compliance: geen ontkomen meer aan
en regelgeving en het werken volgens de eigen normen en regels van de organisatie. Compliance in deze zin is vooral resultaat-georiënteerd en gericht op de vraag: wordt aan de regelgeving voldaan? In die zin is het vooral een momentopname. Met name in het afgelopen decennium is compliance ook gericht op de activiteiten die uitgevoerd dienen te worden om de naleving van wet- en regelgeving en eigen normen en regels te bereiken en te behouden. In deze betekenis ziet compliance veel meer op de activiteiten en werkzaamheden die continu verricht dienen te worden. Compliance is hierbij vooral gericht op de vraag: hoe dragen we zorg voor continue beheersing van het bedrijfsproces zodat er een blijvende en continue naleving van regels aanwezig is?
Privacy: waar komen we vandaan en waar staan we nu? In de wetgeving van het begin van de jaren ’90 stonden ‘persoonsregistraties’ centraal. De regelgeving richtte zich daardoor vooral op databases op computers en mainframes, en de uitwisseling van gegevens tussen registraties. Compliance vraagstukken in die tijd waren in de regel beperkt tot dit terrein. De werkzaamheden die verricht dienden te worden hadden een sterk formeel karakter. De nadruk bij de werkzaamheden lag bij die eerste generatie van wetgeving vooral op het invullen van formulieren. Het betrof daardoor vaak eenmalige gebeurtenissen waar later verder niet of nauwelijks meer naar omgekeken werd. De Wet bescherming persoonsgegevens die tot op heden van kracht is, richt zich op verwerkingen van gegevens. Deze verschuiving van de focus was vooral het gevolg van technische ontwikkelingen, zoals gegevensverwerkingen op het internet, en de vele samenwerkingsverbanden die bij het verwerken van gegevens ontstonden. Door deze extra dimensies namen ook compliance vraagstukken aan belang toe. Bij deze tweede generatie bleef er een nadruk bestaan op werkzaamheden die eenmalig uitgevoerd wer den. Bedrijven en instellingen voerden veelal een implementatietraject uit, verrichtten een aantal meldingen bij de toezichthouder en besteedden daarna meestal weinig tijd meer in de verdere uitvoering van werkzaamheden. Het gevolg was dat na enkele jaren de implementatiewerkzaamheden vaak (deels) weer overgedaan moesten worden. De verdere metamorfose van het privacyrecht en de benodigde uitvoering van werkzaam heden is de laatste jaren al ingezet, en zal als de Europese verordening wordt ingevoerd, ook daarin zijn nadrukkelijke neerslag vinden. Opvallend is dat de focus is verschoven. Een verantwoordelijke voor een gegevensverwerking wordt inmiddels geacht volledig en continu ‘in control’ te zijn, en kan daarop worden aangesproken (accountability). Niet meer de database, gegevensverwerking of samenwerkingsverbanden staan centraal, maar het bedrijfsproces en de beheersing en de beheersbaarheid van de gegevensver werking. Met deze laatste ontwikkeling is in iets meer dan 20 jaar tijd privacywetgeving
Jaarboek Compliance 2014
129
Ontwikkelingen in wet- en regelgeving
langzaam en soms wat ongemerkt geëvolueerd in volwaardige complianceregelgeving. Privacy is daarmee en wordt daarmee meer en meer een onderdeel van de corporate governance. In deze bijdrage richten we ons vooral op het toegenomen belang van de in het kader van privacy wet- en regelgeving uit te voeren werkzaamheden, inclusief de verzwaring van de normering en sancties. Omdat deze ontwikkeling geleidelijk is gegaan wordt vaak onderschat wat de gevolgen daarvan zijn. Maatschappelijk gezien is het overigens een opmerkelijke ontwikkeling. De maatschappelijke en politieke discussie over privacy heeft immers juist vaak als uitkomst dat er niet teveel gewicht aan privacybescherming moet worden toegekend. We willen er nadrukkelijk op wijzen dat deze maatschappelijke en politieke discussie in de praktijk vooral over de inhoudelijke normen gaat en ziet op de vraag of gegevensverwerking nog toelaatbaar is. Aan de verschuiving van het belang dat wordt toegekend aan de werkzaamheden wordt binnen de maatschappelijke discussie veel minder aandacht besteed.
Twee voorbeelden die de verschuiving in het belang van de uitvoering van privacy werkzaamheden illustreren: Voorbeeld 1 Bewijzen dat toestemming is verleend In het kader van de bestrijding van ongevraagde commerciële e-mails (spam) is enige jaren geleden de regel ingevoerd dat er in beginsel voortaan toestemming nodig is om dit soort e-mails aan ontvangers toe te zenden. De eerste maatregel die de ver zenders van dit soort e-mails namen toen deze verplichting van kracht werd, was een zinnetje toe te voegen aan de algemene voorwaarden of aan een privacy statement waarin was opgenomen dat door akkoord te gaan met de voorwaarden of het state ment de toestemming om e-mails toe te sturen verleend was. De daarop volgende handhaving van de toestemmingsregels door de toezichthouder (de voormalige OPTA) hebben een geleidelijke verschuiving tot gevolg gehad voor de verzenders van commerciële e-mails. Allereerst gaf de toezichthouder aan dat het gebruik van het genoemde zinnetje in de algemene voorwaarden of het privacy statement geen vervanging van toestemming kon vormen. De toestemming moest expliciet worden gegeven. Daarop verschenen de zogenaamde tick-boxen waarmee de ontvanger met een vinkje wel expliciet kon aangeven of deze commerciële e-mail wilde ont vangen. Aanvullend gaf de toezichthouder aan dat de verzender daarnaast moet kunnen aantonen dat de toestemming daadwerkelijk verkregen is. Daardoor werd het noodzakelijk om het aanvinken van de tick-boxen ook vast te leggen in de sys temen van de verzenders. Vervolgens werden door de toezichthouders tijdsgrenzen aangegeven hoe lang toestemming mocht worden gebruikt voor het versturen van e-mail. Erg duidelijk zijn die grenzen nog niet, maar veel langer dan 2 tot 3 jaren kan
130
Jaarboek Compliance 2014
Privacy en Compliance: geen ontkomen meer aan
een bedrijf niet meer bouwen op een ooit gegeven toestemming. Dit voorbeeld laat zien dat de eerste werkzaamheden die bestonden uit het toevoegen van een extra ‘juridisch zinnetje’ aan algemene voorwaarden of een privacystatement, inmiddels uitgegroeid zijn tot het aantoonbaar en reproduceerbaar vastleggen van de ver kregen toestemming, inclusief het periodiek beoordelen of de toestemming niet te oud is om nog gebruikt te worden. Voorbeeld 2 Informatiebeveiliging In de beginjaren van privacywetgeving lag de nadruk bij de verplichting om gege vensverwerkingen te beveiligen op het aanwezig zijn van bepaalde maatregelen. In de formulieren om gegevensbestanden bij de toezichthouder te melden was een aantal vragen opgenomen die op heel specifieke maatregelen zagen. Na de ont wikkeling van ISO- en NEN-normen voor informatiebeveiliging, werden ook het vaststellen van beveiligingsbeleid, het uitvoeren van risico-analyses en het periodiek beoordelen van de maatregelen van belang. En binnenkort zal er wetgeving voor het melden van datalekken van kracht worden. Daarbij dient in bepaalde gevallen een datalek aan de toezichthouder gemeld te worden. Niet melden kan zwaar gesanc tioneerd worden. Door deze meldplicht wordt het straks nog meer van belang om continu te monitoren of er sprake is of was van een beveiligingsincident (‘datalek’).
Privacy: wat staat eraan te komen? Waar voorheen in de directie- en bestuurskamers vooral aandacht was voor eventuele negatieve publiciteit ten gevolge van privacy schendingen doordat inhoudelijke regels niet werden gevolgd, wekken de ontwikkelingen ten aanzien van continu uit te voe ren werkzaamheden steeds meer beroering. Twee ontwerpen voor komende wet- en regelgeving, te weten: het voorstel voor de Europese Algemene Verordening Gegevens bescherming (AVG) en het Nederlandse wetvoorstel Datalekken worden hieronder nader toegelicht. Beide voorstellen zijn kenmerkend wat betreft het toegenomen belang van compliance voor privacyregelgeving.
Jaarboek Compliance 2014
131
Ontwikkelingen in wet- en regelgeving
De Europese Algemene Verordening Gegevensbescherming (AVG) Het voorstel van de Europese Commissie uit januari 2012 voor een nieuwe Europese Algemene Verordening Bescherming Persoonsgegevens (AVG)2 moet de huidige Algemene Privacyrichtlijn uit 19953 waarop de Wbp is gebaseerd, gaan vervangen. Er is gekozen voor de vorm van een verordening om te bewerkstelligen dat er eenduidige privacyregelgeving van kracht is binnen alle lidstaten. Dat is onder de huidige richtlijn uit 1995 niet het geval. Binnen de verschillende lidstaten wordt over vele onderwerpen anders gedacht waardoor er onder de richtlijn een onwenselijke lappendeken aan afwijkende Europese privacyregels is ontstaan. Het voorstel voor de verordening is ten tijde van het schrijven van dit artikel onderdeel van een complex politiek proces binnen de EU, inclusief de nodige onzekerheden. Het voorstel van de commissie is op onderdelen ingrijpend en heeft dan ook de nodige discus sie losgemaakt. Hoe het verder gaat is op het moment van het schrijven van dit artikel nog niet aan te geven. Opvallend is wel dat de discussie vooral gericht is op een verzwa ring van enkele inhoudelijke aspecten en een aantal specifieke rechten van betrokkenen. De ontwikkelingen van de afgelopen jaren die tot gevolg hadden dat er steeds meer (compliance)werkzaamheden nodig zijn die continu uitgevoerd moeten worden, en dat de accountability van de verantwoordelijke daarbij een belangrijk aandachtspunt is, staat niet of nauwelijks ter discussie. Ondanks alle onzekerheden over het politieke proces is het onverstandig niet te anticiperen en actief voor te sorteren op de veranderingen die de voorschriften in de verordening meebrengen. Hoewel over onderdelen nog fors wordt gediscussieerd, is zoals genoemd opvallend dat op veel punten ook overeenstemming is. Daarnaast zijn er diverse nationale ontwikkelingen gaande (zoals het wetsvoorstel ‘datalekken’) waarin vergelijkbare onderwerpen worden uitgewerkt als genoemd in de verordening, inclusief zware sancties. Of de verordening er komt of niet, en in welke vorm, is daardoor niet doorslaggevend. Linksom of rechtsom krijgt iedere onderneming of organisatie te maken met de komende veranderde regelgeving en aanvullende regels over uit te voeren werk zaamheden en af te leggen verantwoording.
2 Richtlijn 95/46/EG van het Europees parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (Pb EG Nr. L 281 23/11/1995). 3 Voorstel voor een verordening van het Europees parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) van 25/1/2012 COM(2012) 11 final. <eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:NL:PDF>
132
Jaarboek Compliance 2014
Privacy en Compliance: geen ontkomen meer aan
De inhoud van de verordening Enerzijds is de verordening een voortzetting van de uitgangspunten zoals die ook al in eerdere wet- en regelgeving zijn terug te vinden. Anderzijds zijn er opvallende nieuwe accenten. De verordening is van toepassing op alle verantwoordelijken van de verwerking en verwerkers die een vestiging hebben in de EU en op verantwoordelijken die niet in de EU gevestigd zijn maar wel persoonsgegevens van EU-onderdanen verwerken. Verantwoordelijken voor persoonsgegevensverwerkingen met meerdere vestigingen in Europa zullen op basis van de verordening straks alleen te maken hebben met de toe zichthouder van het land waar hun hoofdvestiging gevestigd is (een ‘one-stop-shop’). In het verlengde daarvan kunnen toezichthouders volgens het voorstel straks naar verwachting ook in andere lidstaten toezicht gaan houden en boetes opleggen aan ver antwoordelijken. Administratieve meldplichten (het verplicht melden van persoonsgegevensverwerkingen bij de toezichthouder) vervallen. Hoewel de indruk kan ontstaan dat hierdoor minder werk hoeft te worden verricht, is het omgekeerde eerder waar. In plaats van de meld plicht moeten straks namelijk vele compliancemaatregelen worden geïmplementeerd. Één daarvan bestaat feitelijk uit het bijhouden van een dossier met onder meer infor matie over alle verwerkingen. Ook de toezichthouder moet op verzoek inzage in dit dossier kunnen krijgen. Gezien de omvang van de verplichting zal dit een meer omvangrijke verplichting vormen dan de huidige meldplicht onder de Wet bescherming persoonsgegevens. De verordening vereist een grotere mate van accountability van de ‘verantwoordelijke voor de gegevensverwerking’4. Enkel een implementatieproject van de wettelijke vereis ten, inclusief het melden van de gegevensverwerkingen zoals dat in het verleden vaak werd gedaan, is straks zeker niet meer afdoende. De verantwoordelijke moet op ieder moment kunnen aantonen dat passende maatregelen zijn genomen om te zorgen dat de verwerkingen conform de voorschriften worden gevoerd, en dient continu in controle te zijn. Eigenlijk is dat ook nu al zo maar omdat het geen expliciete verplichting betreft, wordt hier in de praktijk bij de meeste bedrijven en organisaties weinig aandacht aan besteed. Straks is deze zorgplicht dus meer nadrukkelijk vastgelegd. De verantwoorde lijke moet beleid ontwikkelen en op basis daarvan effectieve maatregelen nemen om te borgen dat de verwerkingen plaatsvinden conform de bepalingen in de verordening.
4
Bij bedrijven is dit veelal de rechtspersoon onder wiens bevoegdheid de gegevensverwerking plaatsvindt.
Jaarboek Compliance 2014
133
Ontwikkelingen in wet- en regelgeving
Opvallend is de nieuwe risicogerichte benadering waarvoor binnen de verordening gekozen is. Het gaat daarbij om risico’s van de verwerking voor de betrokkenen. • De verantwoordelijke moet zoals aangegeven een uitvoerig compliancedossier aan leggen met specifieke informatie ten aanzien van alle verwerkingen die onder hem plaatsvinden. Verantwoordelijken moeten door middel van beleidsregels en getrof fen maatregelen aan kunnen tonen dat persoonsgegevens worden verwerkt conform de voorschriften. Dit privacybeleid moet ‘transparant en eenvoudig toegankelijk’ zijn. Informatie en mededelingen moeten ‘in begrijpelijke vorm’ aan betrokkenen worden verstrekt, waarbij ‘duidelijke en eenvoudige, aan de betrokkene aangepaste taal wordt gebruikt’. • De verantwoordelijke moet aantoonbaar voldoen aan de vereisten voor beveiliging en gegevensbescherming. Onderdeel daarvan is het ontwikkelen van beleid en het toepassen van technische maatregelen en procedures. Onder de technische maat regelen vallen ook de maatregelen die zien op ‘privacy by design’ en ‘privacy by default’ waarmee privacywaarborgen en -maatregelen als het ware kunnen worden ‘ingebouwd’ in de techniek en procedures. De verordening verplicht om bij aanschaf en het laten ontwikkelen van ICT toepassingen bij de inrichting van systemen en andere toepassingen maatregelen te treffen die ervoor zorgen dat de hoeveelheid, soort, beschikbaarheid en de duur van de verwerkte gegevens overeenkomen met het doel waarvoor ze zijn verzameld. Deze maatregelen moeten voldoen aan de stand van de techniek op het moment van implementatie. • Bij risicovolle verwerkingen is de verantwoordelijke in bepaalde gevallen verplicht om voorafgaand aan de verwerking, of bij wijzigingen, een zogenaamde privacy-effect beoordeling uit te voeren. Deze Privacy Impact Assessments (PIA) zijn in Nederland in bepaalde gevallen nu al ver plicht gesteld voor de overheid. Er zijn daarvoor diverse PIA methodieken in omloop. Een PIA is vooral een methode om vooraf de risico’s voor de persoonlijke levenssfeer van betrokkenen in kaart te kunnen brengen. De aard van de gegevens, de reikwijdte en de doeleinden van de verwerking zijn medebepalend in hoeverre een verwerking risicovol is voor de rechten en vrijheden van betrokkenen. De politiek en het College Bescherming Persoonsgegevens benadrukken het belang van dit soort PIA’s. In toenemende mate wordt een dergelijke aanpak nu al als ongeschreven voorwaarde gezien om aan te kun nen tonen dat bepaalde gevoelige verwerkingen behoorlijk en zorgvuldig, conform de wettelijke norm worden gevoerd (vergelijk artikel 6 Wbp). • Straks moeten instellingen met meer dan 250 werknemers verplicht een privacy functionaris (Data Protection Officer of DPO) aanstellen. De verordening geeft een uitvoerige beschrijving van de taken van de functionaris. Een dergelijke functionaris rapporteert direct op het niveau van de Raad van Bestuur, en zal naar verwachting
134
Jaarboek Compliance 2014
Privacy en Compliance: geen ontkomen meer aan
hiërarchisch gezien onder het hoogste management vallen. Deze functionaris moet onder meer toezien op de uitvoering en toepassing van het privacybeleid van de onderneming en van verschillende verplichtingen in de verordening. Daarbij valt te denken aan het beperken van gegevensverwerkingen door toepassing van privacy by design en privacy by default, de omgang en afhandeling van (de melding van) datalekken, het beveiligen van gegevens en het behandelen van verzoeken van betrokkenen bij de uitoefening van hun rechten. Ook nu al kent de Wet bescherming persoonsgegevens de mogelijkheid om binnen een organisatie een interne toezichthouder aan te stellen. Een soort wettelijk erkende compliance officer voor de Wbp. Deze Functionaris voor de Gegevensbescherming (FG) is betrokken bij de vraag of de organisatie in overeenstemming met de geldende privacy wet- en regelgeving werkt. De taken en bevoegdheden van de FG zijn in de wet opgenomen (artikel 62 ev. Wbp). Daarnaast geniet een FG ontslagbescherming bij de uitoefening van zijn of haar werkzaamheden. Een bundeling van de taken van een FG met bijvoorbeeld de taken en werkzaamheden van een compliance officer binnen de financiële sector kan spanningsvelden meebrengen. Compliance officers kunnen immers bij de uitoefening van taken met zeer gevoelige gegevensverwerkingen moeten werken. Denk aan uitwisselingen van gegevens met incidentenregisters.
De verordening en de rechten van betrokkenen De verordening laat wat betreft de rechten voor betrokkenen een verdieping en verbreding van de rechten zien. Verantwoordelijken moeten om deze rechten praktisch uitvoerbaar te maken straks aanvullende en soms ingrijpende maatregelen treffen. De nieuwe verordening ziet vooral op een versterking van de mogelijkheden om bezwaar te maken tegen bepaalde verwerkingen. • Zo komt er komt een ‘recht om vergeten te worden’, dat grote gelijkenissen heeft met het al bestaande recht om gegevens te verwijderen. Het recht houdt in dat een verantwoordelijke onder bepaalde voorwaarden en op verzoek van de betrokkene onmiddellijk actie moet nemen om alle persoonsgegevens van de betrokkene te verwijderen. Tevens dienen verantwoordelijken ervoor te zorgen dat derde partijen aan wie zij de gegevens hebben verstrekt, de gegevens ook verwijderen en verdere verspreiding achterwege blijft. • Informatie bedoeld voor de betrokkene moet op een duidelijke, eenvoudig toegan kelijke en begrijpelijke wijze worden verstrekt. De verplichting is op onderdelen uit voeriger dan de huidige wetgeving. Dat zal tot gevolg hebben dat vele brochures en met name privacystatement na invoering van de verordening moeten worden
Jaarboek Compliance 2014
135
Ontwikkelingen in wet- en regelgeving
aangepast. Daarin moet straks ook worden vermeld of profilering wordt toegepast (zie hieronder) en of de intentie bestaat gegevens door te geven naar derde landen buiten de EU. Daarnaast moet informatie over de bewaartermijn van de gegevens worden meege stuurd. Dat lijkt vrij evident, maar zal bij de invoering voor menig verantwoordelijk een lastig punt van aandacht gaan vormen. In de praktijk blijkt juist de bewaar termijnen bij veel organisaties een achilleshiel te vormen. Niet zozeer bij de interne regelingen op papier, maar wel bij de praktische toepassing van de interne regelingen. Het komt maar al te vaak voor dat het aflopen van de bewaartermijn geen gevolgen heeft voor de gegevens. Bewaartermijnen van gegevens vormen daarom ook nu al een goede en praktische lakmoesproef om te controleren in hoeverre de wettelijke voorschriften binnen de organisatie op een voldoende wijze worden nageleefd. • Een nieuw recht is het recht om elektronisch opgeslagen gegevens ‘mee te mogen nemen’ om deze gegevens over te kunnen dragen aan een ander bedrijf (‘datapor tabiliteit’). Dit recht lijkt op het reeds bestaande recht op nummerportabiliteit waarmee wordt bewerkstelligd dat abonnees die daarom verzoeken tegen normale kosten hun telefoonnummers kunnen behouden. Het recht op dataportabiliteit van persoonsgegevens moet garanderen dat wanneer persoonsgegevens in een gestruc tureerd en algemeen gebruikt elektronisch format worden verwerkt de betrokkene het recht heeft op een kopie van de gegevens, en dat deze de gegevens vervolgens verder mag gebruiken naar eigen inzicht. Daarnaast is bepaald dat als de verwerking van persoonsgegevens plaatsvindt op basis van de toestemming van de betrokkene of een overeenkomst, de betrokkene het recht heeft om deze persoonsgegevens en alle andere informatie die hij of zij heeft verstrekt en is bewaard, in een algemeen gebruikt elektronisch format over te dragen naar een ander geautomatiseerd verwer kingssysteem. • Een laatste voorbeeld is de bepaling in de verordening die ziet op ‘profilering’. Het betreffende artikel bepaalt dat in beginsel ‘iedere natuurlijke persoon het recht heeft niet te worden onderworpen aan een maatregel waaraan voor hem rechts gevolgen zijn verbonden of die hem in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouw baarheid of gedrag te analyseren of te voorspellen’. Dit soort analysetechnieken wordt in de praktijk nu nog breed toegepast. Onder meer in het kader van risicoanalyses van klanten. Betrokkenen krijgen het recht om hun toestemming te onthouden aan profilingactiviteiten, tenzij verwerking van de persoonsgegevens van uit technisch oogpunt noodzakelijk is.
136
Jaarboek Compliance 2014
Privacy en Compliance: geen ontkomen meer aan
Wat de echte impact van deze bepalingen zal zijn, is nog afwachten. Het is echter wel verstandig de ontwikkelingen nauw te blijven volgen, en waar mogelijk al voor te sor teren op wat gaat komen.
Een ingrijpende verandering: de boetebepalingen Ter verbetering van de handhaving krijgt de toezichthouder de mogelijkheid hoge boetes op te leggen bij overtreding van de verordening (non-compliance). De maximale boete bedraagt 2% van de jaarlijkse mondiale omzet. Dit is een grote verandering. De moge lijkheden om onder de Wbp boetes uit te delen zijn beperkt, en de hoogte verre van indrukwekkend. Het toepassen van bestuursdwang en opleggen van dwangsommen, evenals het risico van negatieve publiciteit vormen op dit moment de beste ‘stok achter de deur’ bij niet naleving van de wettelijke vereisten. Boetes, zoals nu voorgesteld in de verordening, moeten kunnen worden opgelegd bij overtredingen, zoals bij: • het niet voldoen aan verzoeken van betrokkenen om informatie, correctie of afscher ming van hun gegevens; • het niet documenteren van de verwerkingen van persoonsgegevens binnen de organisatie (de documentatieplicht); • het ontbreken van adequate beveiligingsmaatregelen om datalekken, ongeauto riseerde toegang en vernietiging van gegevens te voorkomen en/of het niet tijdig of volledig melden van datalekken; • het niet uitvoeren van PIA’s (privacyeffectrapportages) bij verwerkingen die bijzon dere privacyrisico’s meebrengen. Veel van deze verplichtingen gelden in een vergelijkbare vorm nu al. Als de organisatie nu al compliant is aan de huidige wetgeving, dan zullen deze veranderde sanctiemogelijk heden geen wezenlijke veranderingen meebrengen.
Jaarboek Compliance 2014
137
Ontwikkelingen in wet- en regelgeving
Datalekken en beveiliging Het onderwerp van de datalekken en beveiliging verdient extra aandacht. In de verorde ning is nu een speciale bepaling opgenomen die voorziet in een meldplicht als er sprake is van datalekken. In Nederland kent dit onderwerp intussen ook een nationale variant. In 2013 is daarvoor een nieuw wetsvoorstel met betrekking tot de meldplicht datalekken naar de Tweede Kamer gestuurd.5 Het betreft hier een aanvulling op de huidige Wbp. Met de regeling wordt een algemene meldplicht geïntroduceerd voor inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens. Het wetsvoorstel verplicht organisaties om een ‘lek’ van persoonsgegevens te melden bij het CBP. In geval de inbreuk aannemelijk negatieve gevolgen kan hebben voor degenen wier gegevens gelekt zijn, moet ook deze op de hoogte worden gesteld. Het wetsvoorstel verruimt daarnaast de boetebevoegdheid van de toezichthouder. Deze nationale meldplicht bij datalekken zal waarschijnlijk dus vlak voor de mogelijke afronding van de verordening worden ingevoerd. Van de uiteindelijke vorm van die Europese meldplicht zijn nog niet alle details bekend. Er bestaat daardoor een aanzienlijke kans op twee verschillende regelingen over eenzelfde onderwerp met snel opeenvol gende implementatietermijnen. Ook in Europees verband verschilt het Nederlandse voorstel qua opbouw van die in Duitsland of Oostenrijk. Of dit gevolgen heeft voor de discussie binnen de Tweede Kamer valt nog te bezien. Het is echter waarschijnlijk dat er op korte termijn een regeling komt, inclusief aangescherpte mogelijkheden voor sancties, waarbij een boete van ten hoogste € 450.000 kan worden opgelegd. De reikwijdte van het wetsvoorstel datalekken Het wetsvoorstel sluit bij de regeling voor datalekken aan bij de algemene beveiligings norm voor persoonsgegevens zoals deze nu al in de Wbp is opgenomen (artikel 13 Wbp). Volgens de Memorie van Toelichting gaat het bij een ‘datalek’ niet alleen om een ‘inbreuk op de beveiliging als bedoeld in artikel 13 Wet bescherming persoonsgegevens’, maar om alle gevallen van verlies van of onbevoegd doen verkrijgen van persoonsgegevens. Daaronder verstaat de Memorie van Toelichting zowel de inbreuk op passende beveili gingsmaatregelen, maar ook tekortschietende maatregelen. Geconcludeerd mag worden dat de term ’datalek’ erg slecht gekozen is. Verlies van gege vens, bijvoorbeeld door een brand in een rekencentrum valt ook onder deze regeling.
5
138
Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoons gegevens (meldplicht datalekken, kamerstuk 33662).
Jaarboek Compliance 2014
Privacy en Compliance: geen ontkomen meer aan
Daar hoeft geen hacker aan te pas te komen, en hoeven de gegevens dus zelfs niet in handen van derden te zijn komen. De regeling zal daardoor van grote invloed worden op de wijze waarop het algemene beveiligingsbeleid in voldoende mate aanwezig is, is geïmplementeerd en wordt nageleefd. Dit zal binnen veel organisaties een accentver schuiving met zich mee moeten brengen. Beveiliging van persoonsgegevens is lang niet overal voldoende uitgewerkt, of staat vaak te veel op zichzelf om de risico’s en impact op het persoonsgegevensbeleid van een organisatie afdoende te kunnen inschatten. Richtsnoeren Beveiliging Persoonsgegevens Wat de interpretatie van de nieuwe regeling met betrekking tot datalekken extra las tig maakt, is de interpretatie van de algemene beveiligingsverplichting door het CBP. Sinds maart 2013 zijn er nieuwe Richtsnoeren Beveiliging Persoonsgegevens van kracht.6 De nieuwe Richtsnoeren gaan uit van de eigen verantwoordelijkheid van de verant woordelijke om passende maatregelen voor de beveiliging van persoonsgegevens vast te stellen. Ze geven een aantal, op internationale normen gebaseerde, maatregelen, waaruit de verantwoordelijk – binnen de grenzen van de beschikbare technologie en redelijke kosten – een voor de specifieke situatie passende set beveiligingsmaatregelen kan samenstellen. De Richtsnoeren moeten in samenhang worden gebruikt met algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging, zoals ISO 27001 en 27002, de Code voor Informatiebeveiliging of de ICT-beveiligings richtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum. Het uitgangspunt om volgens het CBP tot een passende beveiliging te komen is dat in een organisatie bestuurders en de mensen die verantwoordelijk zijn voor de informatiesystemen en beveiliging, al vóórdat persoonsgegevens worden verzameld, gezamenlijk nadenken over de wijze van beveiliging. Daarbij staat voorop dat de beveiliging van persoonsgegevens binnen een organisatie gedurende de gehele levens duur van een informatiesysteem punt van aandacht moet zijn. Volgens het CBP past dit bij de eis van privacy by design. Hier dus wederom een verplichting die in de Europese verordening is opgenomen, en die nu al wordt toegepast binnen Nederland. Feitelijk leggen de Richtsnoeren uit hoe het CBP bij het onderzoeken en de beoordeling van maatregelen voor de beveiliging van persoonsgegevens de beveiligingsnorm van artikel 13 Wbp toepast. De richtsnoeren zijn echter op veel punten weinig concreet. Dat heeft voordelen omdat de normering ruimte laat voor eigen oplossingen. Maar het veroorzaakt meteen ook onzekerheid, omdat niet duidelijk is hoe de toezichthouder in een concrete situatie oordeelt over beleid en maatregelen.
6
De Richtsnoeren zijn beschikbaar via <www.cbpweb.nl>.
Jaarboek Compliance 2014
139
Ontwikkelingen in wet- en regelgeving
Afsluitend In het voorgaande is in vogelvlucht ingegaan op enkele recente ontwikkelingen. Van veel van de wet- en regelgeving die in ontwikkeling is, is nog niet zeker hoe deze eruit gaat zien. Desondanks zal duidelijk zijn dat privacywet- en regelgeving vraagt om nadrukkelijke en blijvende aandacht. In het verleden kreeg het onderwerp – soms om hele begrijpelijke redenen – minder aandacht. Anno 2013 is dat ronduit onverstandig. Door complexiteit van de voorschriften, informatiesystemen en met name de informatiehuishouding (met bijvoorbeeld uitwisselingen en samenwerkingen met vele partijen) is het niet meer moge lijk dit onderwerp in ‘een projectje’ af te doen. Van essentieel belang is dat de organisatie niet alleen verantwoordelijk is, maar dat ook zo voelt. Een verhoging van de awareness, met nadrukkelijke aandacht voor governance-aspecten is daarbij cruciaal. De organisato rische inbedding en borging vragen daarbij extra aandacht. Waar de Wbp nu heel vaak vooral het terrein is van een juridische afdeling, of beveiliger, zullen straks de juristen, beveiligers en compliance medewerkers nauw betrokken moeten worden in een multi disciplinaire samenstelling om gezamenlijk de naleving blijvend in goede banen te leiden.
140
Jaarboek Compliance 2014