Data Protection Day 2016
Vandaag is het Data Protection Day, een dag waarin wereldwijd wordt stilgestaan bij het belang van privacy en data protectie. Dat zo’n dag nodig is, zegt eigenlijk al genoeg over de huidige stand van zaken. Want privacy en data protectie zijn overal. Het Internet of Things groeit, big data komt steeds meer in de belangstelling. Aan de andere kant is de wetgever ook druk in de weer met de continue uitdaging om techniekneutrale wetgeving te maken waarmee we weer even vooruit kunnen en zit de toezichthouder in alle opzichten bepaald niet stil. Privacy en data protectie zijn volop in ontwikkeling en vandaag is een mooie dag om een aantal van die ontwikkelingen uit te lichten.
Het verschil tussen privacy en dataprotectie, hoe zit dat nou? In de EU worden de termen ‘privacy’ en ‘data protectie’ vaak door elkaar gebruikt. Verwarrend, het is belangrijk om dit onderscheid goed voor ogen te hebben. Vooral om te laten zien hoe omvangrijk de twee rechtsgebieden eigenlijk zijn. Privacyrecht ziet op bescherming van de grondrechten. Een ieder heeft recht op bescherming van zijn persoonlijke levenssfeer, artikel 8 EVRM. Privacyrecht gaat over de vraag hoe persoonsgegevens worden gebruikt en welke rechten betrokkenen hebben. Dataprotectierecht ziet onder meer op de beveiliging van gegevens van betrokkenen. De term ‘privacywet’ klopt dus niet, de Wet bescherming persoonsgegevens (Wbp) regelt veel meer dan alleen bescherming van de privacy. De Wbp vat ook bepalingen die zien op non-discriminatie, autonomie (je leven kunnen inrichten zoals je dat zelf wil) en menselijke waardigheid (artikel 42 bepaalt dat computers niet de baas zijn over mensen). De Wbp heeft dus een grote impact op ons leven. Met de komst van de Algemene Verordening Gegevensbescherming, zal dit niet minder worden.
De Algemene Verordening Gegevensbescherming Er is nog veel onduidelijkheid over wanneer de AVG nu echt van kracht wordt. De AVG is een Verordening die straks voor heel Europa geldt. Onze Wbp is nu gebaseerd op een Europese Richtlijn. Het verschil tussen een Richtlijn en een Verordening is dat een Richtlijn nog in nationale wetten moet worden geïmplementeerd. Lidstaten hebben een bepaalde vrijheid in deze implementatie. We zagen dan ook dat niet in alle Europese landen dezelfde regels golden. Straks is dat dus wel het geval. Inmiddels is overeenstemming bereikt over de uiteindelijke tekst van de AVG. Door de terroristische aanslagen in Parijs is de AVG echter weer onderaan de agenda komen te staan. Met het Nederlandse voorzitterschap de komende maanden hoop ik dat we uiteindelijk een definitieve datum van inwerkingtreding te horen krijgen.
Titanic en Safe Harbor Over het einde van Safe Harbor is veel geschreven. Zo schreef ik in mijn blog vorig jaar al dat er onderhandelingen gaande zijn tussen de EU en de VS over nieuwe afspraken. De ‘deadline’ voor deze nieuwe onderhandelingen verloopt aanstaande zondag. Overigens lijkt deze deadline meer bedoeld als een middel om de betrokken personen en organisaties toegewijd te krijgen dan een harde deadline. De toezichthouders hebben aangekondigd dat ze streng gaan handhaven als er op 1 februari nog geen nieuwe afspraken zijn gemaakt. En de kans lijkt toch wel reëel dat we die deadline niet gaan halen. Zal dit schip dan ten onder gaan in het zicht van de haven? Er zijn allerlei berichten naar buiten gekomen over de stand van zaken, onder meer dat de VS het aanstellen van een Ombudsman hebben voorgesteld die klachten van EU burgers moet behandelen over de verwerking van persoonsgegevens in de VS. Dat lijkt mij geen doeltreffende oplossing. Het gaat erom dat we bij de verwerking al zekerheid hebben. Een Ombudsman is een toetsing achteraf, als het kwaad al is geschied.
Ik merk in de praktijk dat er veel onduidelijkheden zijn over wat de Safe Harbor-uitspraak nu betekent. En dat is vooral belangrijk voor de situatie waarin er geen finale afspraken zijn gemaakt op 1 februari aanstaande en de handhaving toeneemt. Want de uitspraak heeft niet alleen een streep gezet door de verwerking die plaatsvindt op basis van het voormalige Safe Harbor systeem. De juridische basis voor bedrijven die werken met binding corporate rules (een privacy framework dat geldt voor het hele internationale concern) of met Europese modelcontracten, is mijns inziens ook weggevallen. De impact is dus veel groter dan men in eerste instantie denkt.
Datacenters in de EU, is dat de (tijdelijke) oplossing? Bedrijven als Microsoft hebben aangegeven extra datacenters in de EU te bouwen, waardoor persoonsgegevens van Europeanen alleen binnen de EU (de wet zegt officieel de EER) worden verwerkt. Dat gebeurt met name in Ierland. De vraag is of dit een oplossing is. Microsoft heeft de Amerikaanse overheid aangeklaagd. De overheid had Microsoft namelijk gesommeerd om persoonsgegevens van hun datacenter in Ierland inzichtelijk te maken voor de Amerikaanse overheid. In het licht van de aanstaande Europese Verordening heeft Microsoft zich verweerd en de data niet inzichtelijk gemaakt. Een belangrijke zet om het vertrouwen van Europese burgers te winnen, maar het is dus nog maar de vraag in hoeverre het verweer stand houdt. Totdat nieuwe afspraken zijn gemaakt tussen de VS en de EU, lijken de datacenters in de EU dus geen waterdichte oplossing.
De mystiek rondom de boetebevoegdheid Advocaten en juristen denken vaak (ten onrechte!) alleen in risico’s. Ik zie daarom veel blogs en artikelen voorbij komen van concullega’s die vooral wijzen op het feit dat de Autoriteit Persoonsgegevens sinds 1 januari 2016 boetes mag opleggen bij overtreding van de privacywetgeving. Wat ik vooral interessant vind is hoe reëel deze dreiging nu is voor een lokale MKB’er. De toezichthouder zal eerst een bindende aanwijzing moeten geven voor ze überhaupt een boete mag opleggen. Dit in tegenstelling tot een andere toezichthouder, de Autoriteit Consument en Markt die bijvoorbeeld KPN in het verleden rechtstreeks een boete heeft opgelegd van meer dan 350.000 euro. Jacob Kohnstamm, voorzitter van de Autoriteit Persoonsgegevens, heeft eerder aangegeven wanneer een boete denkbaar is. Voor een situatie uit het verleden is dat bijvoorbeeld in de situatie waarin opnames werden gemaakt op de Eerste Hulp van het VUmc voor een televisieprogramma. De patiënten hadden hiervoor geen toestemming gegeven. Dit zijn situaties waarbij iedereen aanvoelt dat dit te ver gaat. In dat soort situaties zal de AP een boete opleggen. Je moet het dan dus echt kort gezegd veel te bont hebben gemaakt.
Datalekken Ook over de meldplicht datalekken die per 1 januari 2016 is ingevoerd, is al veel gezegd en geschreven. ziet zowel op de beschikbaarheid van data, de vertrouwelijkheid van data en de uptime. De meldplicht geldt ongeacht het beveiligingsniveau dat een onderneming hanteert. Je ontkomt er simpelweg niet aan, iedere onderneming zal vroeg of laat te maken krijgen met een datalek hoe goed je je beveiliging ook geregeld hebt. Dan is het dus voor iedere bedrijf van belang dat ze weten wat er moet gebeuren. En vooral ook binnen welk tijdsbestek. Ik heb het eerder gezegd: data protectie werkt via een top-down systeem. Het moet op de agenda van het bestuur staan, maar iedere medewerker moet zich bewust zijn van de risico’s, deze herkennen en ernaar handelen. Dat betekent dat je binnen je bedrijf je medewerkers dus bewust moet maken.
Hoe doe je dat? Door goede interne procedures op te laten stellen en je medewerkers hierover voor te lichten. Maar hier houdt het niet op. Ik merk dat bedrijven vaak nalaten om vervolgens controles uit te oefenen op de naleving van de voorschriften. Dat is minstens zo belangrijk als een goed intern beleid. Uit recent onderzoek blijkt dat de kosten van een datalek vaak maanden doorsijpelen, zelfs maanden nadat het lek is beëindigd. Dat blijft dus een aandachtspunt. Benieuwd naar de mogelijkheden? Ik kom graag vrijblijvend bij je langs om hier meer over te vertellen.
Recente gevallen van datalekken Vorige week kwam naar buiten dat de persoonsgegevens van 200.000 patiënten van het St. Anna Ziekenhuis inzichtelijk waren voor onbevoegden. Een datalek dus. Bovendien een datalek van medische gegevens. Medische gegevens zijn bijzondere gegevens in de zin van de wet en dat betekent dat de gegevens met passende maatregelen moeten worden beveiligd.
Aan de andere kant van de sloot is ook sprake van een datalek in de medische sector. Het bedrijf Centene Healthcare, dat zich bezighoudt met het bekostigen van medische zorg voor onverzekerden in de VS, is zes harde schijven kwijt. Hierop staan persoonsgegevens van 950.000 patiënten.
Kortom Volop ontwikkelingen dus, waarvan ik maar een aantal onderwerpen heb uitgekozen voor dit blog. Meer weten over hoe privacy en data protectie? Vrijblijvend een keer kennismaken? Neemt u geheel vrijblijvend contact op met onze collega mr. Simone Dirven.