Privacy is een ‘hot topic’. Onze huidige Wet bescherming persoonsgegevens is gebaseerd op de Europese Privacyrichtlijn uit 1995. Deze richtlijn zal per 25 mei 2018 plaatsmaken voor een nieuwe Europese privacyverordening. In de media wordt veel aandacht besteed aan dit onderwerp. Data zijn het nieuwe goud, wordt wel gezegd. Waar moet je als advocatenkantoor rekening mee houden?
Tekst: Benjamin Bijl en Marloes van den Eeckhout
‘Verandering is noodzakelijk, omdat de huidige wetgeving uit 1995 dateert. De dataverwerking heeft de afgelopen jaren een enorme vlucht genomen, waardoor de wetgeving voor verandering klaar was’, aldus Herwin Roerdink, privacy-specialist bij Vondst Advocaten. De Europese Commissie presenteerde in januari 2012 voorstellen voor herziening van de privacyregelgeving. Dat resulteerde eind 2015 in een hoofdlijnenakkoord tussen de lidstaten. Op 27 april 2016 werd uiteindelijk de tekst gepubliceerd van de Algemene Verordening inzake Gegevensbescherming (2016/679). Per 25 mei 2018 is deze verordening van toepassing.
Wijzigingen
‘Qua uitgangspunten verandert er niet heel veel ten opzichte van de huidige wetgeving, alleen qua uitwerking daarvan wel. Er komen meer verplichtingen voor degenen die persoonsgegevens verwerken en de consumenten krijgen meer rechten’, aldus Roerdink. Bovendien wordt een zwaar boetesysteem geïntroduceerd. De boetes kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet. Roerdink verwacht dat de boetes wel zullen worden opgelegd, hoewel de Autoriteit Persoonsgegevens eerst wel over fors meer mankracht zal moeten beschikken om alle eventuele overtredingen te beboeten. Los van eventuele boetes zal een onzorgvuldige aanpak van dataverwerking kunnen leiden tot reputatieschade. Bijvoorbeeld een datalek, dat binnen mum van tijd viral gaat op social media.
‘Er komen meer verplichtingen en de
consumenten krijgen meer rechten’
Datalek
Een datalek kan snel plaatsvinden, denk aan een hack van je computersysteem, een usb-stick die je vergeten bent in de trein of een laptop die gestolen wordt. Sinds januari 2016 bestaat een meldplicht wanneer er een datalek plaatsvindt. Deze plicht geldt dus al enige tijd, maar voor zover bekend zijn er nog geen boetes opgelegd. Niettemin is het goed dat er openheid wordt gegeven over inbreuken in verband met persoonsgegevens en betrokkenen zodoende op de hoogte zijn van de mogelijke risico’s.
Verwerkersovereenkomst
Ook voor advocatenkantoren heeft deze wetgeving de nodige gevolgen. ‘Als kantoor verwerk je persoonsgegevens. Je bent een dienstverlener. Je bent daardoor zelf verantwoordelijk voor die gegevensverwerking, omdat je zeggenschap hebt over die gegevens. Op het moment dat je de verwerking daarvan uitbesteedt aan een derde, dien je afspraken te maken over onder meer het gebruik van die data en de beveiliging daarvan in een zogeheten verwerkersovereenkomst. Verder is het van belang daarin op te nemen dat wanneer zij een datalek ontdekken, de verantwoordelijke onmiddellijk wordt ingelicht zodat de nodige acties kunnen worden ondernomen en ook de toezichthouder binnen 72 uur kan worden bericht’, aldus Roerdink. Een ander belangrijk punt om op te nemen is het recht om een audit te kunnen uitvoeren bij de verwerker. Op die manier kan worden gecontroleerd of de nodige maatregelen ook daadwerkelijk worden genomen.
Nulmeting
Roerdink raadt ieder kantoor (en zijn cliënten) aan om een nulmeting te doen.’Welke gegevens verwerk ik? Wat is de risicocategorie van die gegevens? Is de beveiliging op orde? En ga zo maar door. Op basis daarvan kun je nagaan of er verder actie moet worden ondernomen die moet leiden tot een verantwoordelijk en transparante verwerking van persoonsgegevens’.
Bewustzijn
Het begrip ‘persoonsgegevens’ is veelomvattend en lijkt steeds breder te worden uitgelegd. Het is aan de orde van de dag dat die persoonsgegevens opgeslagen en gedeeld worden. De nieuwe privacyregels moeten dat enorme dataverkeer in goede banen leiden. Bovendien leidt de hernieuwde aandacht voor dit onderwerp ertoe dat consumenten meer bewust worden welke gegevens zij verstrekken, de risico’s daarvan kunnen inzien en de mogelijkheid hebben deze gegevens te corrigeren of zelfs te laten verwijderen. De nieuwe verordening zal daar een bijdrage aan leveren.
Zorgvuldig
‘In deze tijd waarin zoveel data wordt verzameld en het zo gemakkelijk is om deze op te slaan, te delen of te koppelen met andere systemen, wordt van iedereen verwacht dat zorgvuldig met deze gegevens wordt omgegaan. Door de komst van de verordening wordt dit punt op de agenda gezet en dat is een goede zaak’, besluit Roerdink.