2015 is het jaar van de privacy

Blog

2015 is het jaar van de privacy

Rondvliegende Drones die foto’s maken, horloges die bepalen hoe gezond je bent en TV kijken op een tablet die precies weet wat je wilt zien. Bijna dagelijks ploppen er nieuwe technologische ontwikkelingen op waar privacy fanaten zoals ik heel blij van worden. Iedere nieuwe technologische ontwikkeling creëert namelijk weer nieuwe privacy vragen. En dat is nou precies wat ik zo leuk vind aan mijn vak. Een koelkast die aan je supermarkt doorgeeft dat de melk op is, biedt mooie nieuwe voordelen, maar of je hierop zit te wachten? En wat wordt er eigenlijk nog meer gedaan met die data over jouw “koelkastgebruik”? Het jaar 2015 is uitgeroepen tot het jaar van de privacy. Met het eerste kwartaal achter de rug is het tijd voor een eerste evaluatie.

De wet bescherming persoonsgegevens
De Wet bescherming persoonsgegevens (Wbp) wordt dit jaar nog aangepast. De twee belangrijkste wijzigingen zijn: de uitbreiding van de boetebevoegdheid van het College Bescherming Persoonsgegevens (CBP) en de meldplicht datalekken.

De boetebevoegdheid van het CBP wordt verruimd. Het CBP heeft nu een zeer beperkte boete bevoegdheid, die zeer zelden wordt toegepast. Dat gaat veranderen. Niet alleen ligt het maximum straks op € 810.000,= (in plaats van een paar duizend euro), er mag ook veel vaker een boete worden opgelegd. Het CBP moet wel eerst een bindende aanwijzing geven voordat een boete wordt opgelegd. Immers: de Wbp staat vol met open normen, die op meerdere manieren te interpreteren zijn. Als onduidelijk is hoe organisaties aan de wet kunnen voldoen, is het maar goed dat niet in alle gevallen direct een boete volgt. In de bindende aanwijzing geeft het CBP uitleg over die normen, zodat de organisatie precies weet wat niet mag en hoe de organisatie hier wat aan kan doen.

De bindende aanwijzing geldt niet voor organisaties die opzettelijk of door roekeloosheid de privacy hebben geschonden. Zulke organisaties krijgen direct een boete. Voor veel organisaties is het overigens niet het verscherpte toezicht, maar vooral de druk van de maatschappij die ervoor zorgt dat privacy een hoge prioriteit heeft gekregen. Data is van onschatbare waarde en consumentenvertrouwen is onmisbaar. Op een integere en transparante wijze met persoonsgegevens omgaan heeft dus ook grote commerciële voordelen. Microsoft CPO Brendon Lynch zei daarover het volgende:

 "For us, protecting privacy is beyond what the law requires. We try and anticipate what their expectations are, and quite often, we find, consumers are more demanding than the law.”

Naast de uitgebreide boetebevoegdheid wordt ook de meldplicht datalekken toegevoegd aan de Wbp. Hiermee wordt het verplicht om een datalek te melden aan het CBP en in sommige gevallen ook aan de betrokkene(n) wiens gegevens het betreft. Ook moet een register worden bijgehouden waarin alle datalekken worden vermeld. Voor organisaties betekent dit al gauw een aanzienlijke investering. Met de IT leverancier moet bijvoorbeeld contractueel worden afgesproken dat zij direct ingrijpen wanneer er zich een datalek voordoet. Ook moet worden beoordeeld of er ernstige gevolgen zijn voor de bescherming van persoonsgegevens. En, moeten de klanten nu wel of niet op de hoogte hiervan worden gebracht? De PR risico’s zijn immers aanzienlijk. Organisaties worstelen met dit soort vragen en de wet geeft enkel open normen. Het verslag van de behandeling in de Eerste Kamer op 18 maart 2015 illustreert dit:

“Is de regering met de leden van de PvdA-fractie van mening dat de gekozen omschrijving – aanzienlijke kans op ernstig nadelige gevolgen − niet eenduidig is en voor organisaties problemen kan opleveren bij het beoordelen of zij een datalek moeten melden of niet?”.

Investeren in privacy is daarom geen overbodige luxe anno 2015. Privacy staat ook hoog op de politieke agenda. De Eerste Kamer dringt er dan ook op aan om de wetswijziging nog voor de zomer te laten plaatsvinden.

De Cookiewet
Begin 2015 was ook de wijziging van artikel 11.7a van de Telecommunicatiewet, beter bekend als de “Cookiewet”, een feit. De inmiddels “beruchte” cookiewet zorgde voor een wildgroei aan pop ups en banners op websites. Dit was nodig vanwege de bescherming van de privacy, zo werd ons destijds voorgehouden. Want, cookies zorgen niet alleen voor een goede werkende website, ze brengen ook je online gedrag in kaart. Voorheen was toestemming vereist voor bijna iedere cookie. Tegenwoordig hoef je geen toestemming meer te geven voor cookies die de kwaliteit of effectiviteit van de website meten èn weinig impact hebben op de privacy van de bezoeker. Toezichthouder Autoriteit Consument en Markt (ACM) kondigt aan dat ze de cookiewet actief gaat handhaven, nu duidelijk is hoe deze precies werkt. Ik vraag me af of de wet wel zo duidelijk is? Wanneer is een cookie vereist voor het meten van de kwaliteit en effectiviteit van de website en wanneer wordt deze gebruikt voor andere doeleinden? Kwaliteit lijkt mij een subjectief begrip. En nog belangrijker: wanneer spreek je van veel of weinig impact op de privacy van de bezoeker? Ook daar zijn de meningen over verdeeld. De aangekondigde handhaving door het ACM zal in ieder geval leiden tot jurisprudentie waarmee privacy juristen wat handvatten krijgen om goed over dit soort vraagstukken te kunnen adviseren.

De Algemene Verordening Gegevensbescherming
Tot slot zijn er ook weer stappen gezet naar de Algemene Verordening Gegevensbescherming. Ironisch genoeg lekte het eerste concept van deze Europese “wet” in 2012 uit. Een ding was meteen duidelijk: het Europese privacy landschap gaat aanzienlijk veranderen. Het wordt bijvoorbeeld voor de meeste organisaties verplicht om een Data Protection Officer aan te stellen, die onafhankelijk toeziet op de naleving van de verordening. Ook wordt een podium gegeven aan het Privacy By Design beginsel, dat inhoudt dat je bij het inrichten van je systemen zoveel mogelijk waarborgen treft ter bescherming van persoonsgegevens. CBP voorzitter Kohnstamm ziet veel heil in Privacy By Design, zo benadrukte hij in een interview op 18 maart 2015:

“Aan de tekentafel ontstaan de mooiste en leukste ideeën, maar na een release kan er een rel ontstaan, omdat het product of de dienst niet in overeenstemming met de Wet bescherming persoonsgegevens is, niet ‘Wbp-proof’is.”

Het is voor organisaties belangrijk de inhoud van deze verordening te kennen. De boetes die volgen naar aanleiding van het niet naleven van deze ‘wet’ zijn namelijk niet mis. Bedragen van 100 miljoen euro of
2 % van de wereldwijde omzet geven aan dat ook de Europese wetgever het onderwerp Privacy hoog op de agenda heeft staan. Wanneer de verordening precies in werking zal treden is nog niet bekend. Dat de verordening er komt is duidelijk. Mijn advies is dan ook om dit niet af te wachten, maar alvast te beoordelen waar je als organisatie staat ten aanzien van de privacy bescherming.

De belangrijkste conclusie van deze eerste evaluatie is dat het loont om over privacy na te denken. Als je kunt aantonen dat je over privacy hebt nagedacht bij de inrichting van je systemen, beleid en organisatie, dan wordt de kans op een (hoge) boete aanzienlijk verlaagd. En dan heb ik het nog niet eens over de commerciële voordelen van een transparant en rechtmatig privacy beleid.

Door: mr. Lydia Faltas, business consultant Privacy bij Balance – Advies, Projecten, Interim

 

Begin met typen en druk op enter om te zoeken