Het was een hele bevalling, maar op 14 april heeft het Europees Parlement eindelijk ingestemd met de Algemene Verordening Gegevensbescherming (de Verordening). De Verordening treedt in werking 20 dagen na de aanstaande bekendmaking ervan in het Publicatieblad van de Europese Unie. Twee jaar later is de Verordening van toepassing. Ergens in het voorjaar van 2018 zal de huidige richtlijn gegevensbescherming en de daarmee corresponderende Wet bescherming persoonsgegevens dus definitief vervangen worden. Met de Verordening wordt de trend van strengere wettelijke eisen en een hogere boetedreiging voortgezet. Het is duidelijk dat de handhavende autoriteiten serieus genomen zullen moeten worden.  

Nieuwe terminologie

Degenen die zich reeds intensief met privacyregelgeving bezig houden, zullen even moeten wennen aan nieuwe begrippen. De termen voor de belangrijkste spelers in de wetgeving worden aangepast: "verantwoordelijke" wordt vervangen door "gegevensverantwoordelijke" en de "bewerker" wordt onder de Verordening een "verwerker". Verder heeft de vertaalafdeling haar best gedaan om het gebruik van Engelse termen in de Nederlandse taal tegen te gaan. "Privacy by design en default" wordt "Gegevensbescherming door ontwerp en door standaardinstellingen". Voor de in privacy-land reeds aardig ingeburgerde term "Privacy Impact Assessment" of kortweg "PIA", wordt het nieuwe Nederlandse woord:   "Gegevensbeschermingseffectbeoordeling" gehanteerd (af te korten met GBEB?). Het zou mij niet verbazen als de afkorting PIA in de praktijk populair blijft.

De regelgeving kan nu echt niet meer genegeerd worden​

Over ruim twee jaar dient eenieder te voldoen aan de nieuwe Verordening. Het is van belang goed voorbereid te zijn op de wijzigingen die er komen. Overtreding van de Verordening kan immers potentieel tot enorme boetes leiden. Bovendien kunnen op grond van de Verordening ook verwerkers (nu nog "bewerkers") direct aansprakelijk gesteld worden door betrokkenen.

Bij de boetes gaat het potentieel om astronomische bedragen tot 20 miljoen Euro of 10% van de wereldwijde jaaromzet van een onderneming. Bovendien kent de Verordening niet de beperking (zoals de huidige Wbp) dat in de meeste gevallen pas boetes kunnen worden opgelegd als eerst een bindende aanwijzing is gegeven door de Autoriteit Persoonsgegevens. De Verordening geeft wel veel ruimte om boetes afhankelijk van de omstandigheden van het geval te matigen en ook is het opleggen van een boete niet verplicht als een overtreding heeft plaatsgevonden. Om voor clementie in aanmerking te komen is het echter wel aangewezen om de regelgeving serieus te nemen. Met name ondernemingen die er op compliance-gebied met de pet naar gooien, kunnen vanaf 2018 met serieuze boetes geconfronteerd worden. In de Verordening wordt immers aangegeven dat bij het opleggen van boetes rekening gehouden dient te worden met (o.a.):

  • de opzettelijke of nalatige aard van de inbreuk;
  • de mate waarin aandacht is besteed aan beveiliging;
  • de mate waarin sprake is geweest van gegevensbescherming door ontwerp en standaardinstellingen.

Op het punt van beveiliging is het van belang goed voor ogen te houden dat beveiliging niet slechts een technische kwestie is, maar ook een organisatorische. In toenemende mate eisen toezichthouders dat – als onderdeel van de organisatorische beveiliging - in organisaties op alle relevante niveaus aandacht wordt besteed aan bewustwording op het gebied van privacy en beveiliging van gegevens. Gezien de mogelijke ernstige gevolgen als hier onvoldoende sprake van is, bevelen wij aan, ruim voor 2018 aandacht te besteden aan deze bewustwording en de overige eisen die de Verordening aan gegevensverwerking stelt. 

Bekijk hier de meest recente Nederlandse tekst die op het moment van publicatie van deze blog beschikbaar is.