Al enige jaren wordt er hard gewerkt aan nieuwe en aangescherpte regelgeving met betrekking tot de privacy. Dit wordt kortweg aangeduid als EPV, Europese Privacy Verordening. Formeel heet dit het “Voorstel voor een Verordening van het Europees Parlement en de Raad, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)”.
Naar verwachting zal dit medio 2014 worden vastgesteld. Aangezien het een Verordening betreft en geen Richtlijn zal het daarna ook meteen van kracht zijn in alle lidstaten. Wel zal er een overgangstermijn van twee jaar worden aangehouden waarin organisaties hun zaken met betrekking tot dit onderwerp op orde kunnen maken.
De belangrijkste consequenties op een rijtje:
Patiënt centraal
De klant/patiënt/cliënt (in dit artikel door ons kortweg patiënt genoemd) krijgt meer invloed op de van hem vast te leggen gegevens doordat er expliciete toestemming aan hem moet worden gevraagd waarbij in duidelijke en voor hem begrijpelijke taal moet worden uitgelegd welke gegevens worden vastgelegd, waarom, wat ermee wordt gedaan en door wie. Er mogen geen andere gegevens worden opgeslagen of langer bewaard dan strikt noodzakelijk voor het rechtmatige doel van de verzameling/verwerking. “Elke verwerking dient ten opzichte van de betrokkenen eerlijk, rechtmatig en transparant te geschieden. Met name dienen de specifieke doelen […] rechtmatig te zijn en te zijn vastgesteld […]”
Right to erase
De patiënt krijgt meer mogelijkheden om zijn recht op privacy uit te oefenen. Doordat de verantwoordelijke en/of verwerker (dit hoeft niet dezelfde te zijn) procedures moet hebben vastgelegd voor het door de klant opvragen van zijn gegevens, het laten corrigeren of verwijderen van die gegevens. Tot voor kort werd gesproken over “ the right to be forgotten”, dit wordt nu “the right to erasure” genoemd, het recht van de patiënt om al zijn gegevens uit alle bestanden te laten verwijderen.
Dataportabiliteit
De patiënt krijgt het recht van “dataportabiliteit”, dat wil zeggen dat hij mag eisen dat zijn gegevens, mits opgeslagen in een gangbaar formaat, aan hem of een door hem aan te wijzen andere organisatie, worden overgedragen.
Privacy by design
Door de Verordening wordt “privacy by design” afgedwongen, bijvoorbeeld doordat de verantwoordelijke/verwerker voor het opzetten van een (grote) verzameling persoonsgegevens een zogenaamde PIA, Privacy Impact Analysis, of Privacyeffectbeoordeling, moet (laten) uitvoeren om de risico’s in beeld te krijgen die gemoeid zijn met de verwerking.
Expliciete toestemming
De verantwoordelijke/verwerker dient elke gegevensverwerking te documenteren en de expliciete toestemming voor deze verwerking van de klant te archiveren.
Te nemen maatregelen
De verantwoordelijke/verwerker dient afdoende beschermingsmaatregelen te hebben getroffen om de privacy te waarborgen, rekening houdend met de stand van de techniek. Dit houdt in dat er voortdurend aandacht moet zijn voor nieuwe ontwikkelingen die van invloed kunnen zijn op privacy bescherming.
De verantwoordelijke/verwerker dient afdoende maatregelen te hebben getroffen om misbruik en datalekken, tijdig te constateren. Vervolgens dient daarop adequaat te worden gereageerd door het datalek binnen 24 uur te melden bij de daartoe aangestelde overheidsinstantie. Indien het datalek ernstige gevolgen heeft voor specifieke klanten dienen ook deze persoonlijk op de hoogte te worden gesteld, waarbij adviezen worden gegeven om de schade zoveel mogelijk te beperken.
Functionaris voor de Gegevensbescherming
Overheidsorganisaties en organisaties met meer dan 250 medewerkers zouden een Functionaris voor de Gegevensbescherming (FG) dienen aan te stellen voor een periode van ten minste twee jaar. Recent is dit niet meer afhankelijk gesteld van het aantal medewerkers, maar van het personen van wie de gegevens worden verwerkt. Deze functionaris geniet in die periode ontslagbescherming om zijn onafhankelijkheid te waarborgen en is contactpersoon voor publiek en toezichthoudende overheidsinstantie. Verder houdt hij o.a. toezicht op uitvoering en toepassing van de Verordening, informeert en adviseert en houdt toezicht op de uitvoering van verzoeken van klanten uit hoofde van hun rechten.
Sancties
De toezichthoudende overheidsinstantie kan overgaan tot het opleggen van (hoge) administratieve sancties. Dit begint bij een boete van € 250.000 of 0,5% van de wereldwijde omzet van de verantwoordelijke/verwerker als deze bijvoorbeeld niet voorziet in mechanismen voor de uitoefening van rechten van betrokkenen (zoals opvragen of laten verwijderen van eigen gegevens etc.). Het kan oplopen tot 5% van de wereldwijde omzet in gevallen van nalatigheid om afdoende beschermingsmaatregelen te treffen, het niet aanstellen van een FG, of het te laat melden van een datalek.
Tot slot
Al met al wordt de wet- en regelgeving rond privacy van persoonsgegevens aanzienlijk strikter. Naleving ervan zal veel vergen voor de verantwoordelijke/verwerker ervan, maar ook de verantwoordelijkheid en rol van de patiënt hierbij zal flink veranderen.
