Author Archives: admin

De algemene verordening gegevensbescherming bestrijkt een aantal essentiële kwesties.

Rechten van de betrokkene

De verordening geeft een overzicht van de rechten van de betrokkene, dat wil zeggen de natuurlijke persoon van wie de persoonsgegevens worden verwerkt. Met deze versterkte rechten krijgen natuurlijke personen meer controle over hun persoonsgegevens. Zo wordt onder meer voorzien in:

  • verplichte duidelijke toestemming van de natuurlijke persoon voor de verwerking van persoonsgegevens
  • eenvoudigere toegang voor de betrokkene tot zijn persoonsgegevens
  • het recht op rectificatie, het recht op wissing en het recht op vergetelheid
  • het recht om bezwaar te maken, onder meer tegen het gebruik van persoonsgegevens met het oog op "profilering"
  • het recht om gegevens mee te nemen van de ene dienstverlener naar de andere.

Tevens worden verwerkingsverantwoordelijken ertoe verplicht aan de betrokkenen transparante en gemakkelijk toegankelijke informatie over de verwerking van hun gegevens te verstrekken.

Naleving

De verordening geeft een nauwkeurige omschrijving van de algemene verplichtingen van de verwerkingsverantwoordelijken en van degenen die de persoonsgegevens namens hen verwerken (verwerkers). Daarbij gaat het onder meer om de verplichting om passende veiligheidsmaatregelen toe te passen, die in verhouding staan tot het risico dat aan de door hen verrichte gegevensverwerkingsactiviteiten verbonden is (risicogerichte aanpak). In bepaalde gevallen moeten verwerkingsverantwoordelijken betrokkenen ook in kennis stellen van inbreuken in verband met persoonsgegevens. Alle overheidsinstanties en de ondernemingen die bepaalde risicovolle gegevensverwerkingsactiviteiten verrichten, zullen ook een functionaris voor gegevensbescherming moeten aanwijzen.

Toezicht en schadevergoeding

De ontwerpverordening bevestigt de bestaande verplichting van de lidstaten om op nationaal niveau eenonafhankelijke toezichthoudende autoriteit op te richten. Tevens is het de bedoeling mechanismen in te stellen die moeten zorgen voor een samenhangende toepassing van de wetgeving inzake gegevensbescherming in de hele EU. Met name in grensoverschrijdende gevallen, waarbij verschillende nationale toezichthoudende autoriteiten betrokken zijn, wordt één toezichtsbesluit genomen. Dit beginsel, ook bekend als het "éénloketsysteem" (one-stop shop), houdt in dat een onderneming met dochterondernemingen in verschillende lidstaten alleen te maken zal hebben met de gegevensbeschermingsautoriteit in de lidstaat waar zich haar hoofdvestiging bevindt.

Het ontwerpakkoord omvat de oprichting van een Europees Comité voor gegevensbescherming. Dit comité zal bestaan uit vertegenwoordigers van alle 28 onafhankelijke toezichthoudende autoriteiten, en zal in de plaats komen van het bestaande Comité van artikel 29.

Betrokkenen krijgen het recht bij een toezichthoudende autoriteit een klacht in te dienen, en om beroep in te stellen; de verordening voorziet tevens in een recht op vergoeding en in een aansprakelijkheidsregeling. Om natuurlijke personen te betrekken bij besluiten die hen aanbelangen, zullen zij het recht hebben een besluit van hun gegevensbeschermingsautoriteit door hun nationale rechterlijke instantie te laten toetsen. Daarbij doet het niet ter zake in welke lidstaat de verwerkingsverantwoordelijke gevestigd is.

De verordening voorziet in zeer strenge sancties tegen verwerkingsverantwoordelijken of verwerkers die de gegevensbeschermingsregels overtreden. Zo kan de boete voor verwerkingsverantwoordelijken oplopen tot € 20 miljoen of 4% van hun algemene jaaromzet. Deze administratieve sancties zullen worden opgelegd door de nationale gegevensbeschermingsautoriteiten.

Doorgiften aan een derde land

De verordening heeft ook betrekking op de doorgifte van persoonsgegevens aan derde landen en internationale organisaties. De Commissie krijgt hiervoor de taak te onderzoeken welke graad van bescherming een grondgebied of een verwerkingssector in een derde land biedt. Als de Commissie (nog) niet heeft beslist of gegevens in een bepaald(e) gebied of sector voldoende worden beschermd, kunnen persoonsgegevens toch worden doorgegeven in bijzondere gevallen of wanneer er passende waarborgen zijn (standaardbepalingen voor gegevensbescherming, bindende bedrijfsvoorschriften, contractuele bepalingen).

Verwerkt u persoonsgegevens of gevoelige informatie binnen uw organisatie? Gaan deze gegevens ook naar buiten of ontvangt u persoonsgegevens van derden? Of heeft u belangrijke bedrijfsinformatie waarvan u vermoed dat die gelekt is of wordt? Heeft u uw (IT) Security voldoende op orde om het lekken van data of privacygegevens te voorkomen of vroegtijdig te signaleren?

Hou er rekening mee! Het opzettelijk doorspelen of het van buitenaf hacken van bedrijfsinformatie of persoonsgegevens en het doorspelen aan derden zoals concurrenten, een zakenrelatie, de pers, kwaadwillenden blijft namelijk altijd een risico!

Hierbij kan worden gedacht aan het doorspelen van productinformatie, tarieven, klantenbestanden, privacybestanden of offertes. De kans op financiele schade of imagoschade voor uw onderneming is daardoor groot en op voorhand lastig te overzien. In het geval van het lekken van privacygegevens kan de overheid zelfs forse boetes uitdelen.

Uit onderzoek blijkt dat er diverse belangen kunnen zijn om informatie bewust te lekken, te weten een persoonlijk belang, een organisatie belang en een publiek belang. Deze belangen zijn van nature altijd aanwezig in en buiten iedere organisatie, dus in potentie loopt uw organisatie een risico, zeker als uw organisatie privancygegevens verwerkt!

Niet melden van datalekken

Indien er door uw bedrijf privacygevoelige data wordt gelekt en dit niet wordt gemeld, kan er een boete worden opgelegd van maximaal 450 duizend euro door de overheid. Alle organisaties moeten dus diefstal, verlies of misbruik van persoonsgegevens gaan melden volgens het wetsvoorstel van 21 juni 2013: nader-rapport-meldplicht-datalekken.pdf Bent u voldoende voorbereid?