In 2016 staat er een aantal veranderingen op de agenda op privacy-gebied. In dit artikel worden deze punten in vogelvlucht behandeld.

Wetswijzigingen per 1 januari 2016

2016 is gestart met de inwerkingtreding van verschillende wijzigingen van de Wet bescherming persoonsgegevens (Wbp). De meest opvallende wijzigingen zijn de nieuw ingetreden verplichting om bepaalde datalekken aan de Autoriteit Persoonsgegevens te melden, de introductie van nieuwe bevoegdheden voor deze toezichthoudende autoriteit, en de naamswijziging van het College Bescherming Persoonsgegevens in Autoriteit Persoonsgegevens.

In het kader van de meldplicht datalekken dient een verantwoordelijke sinds 1 januari 2016 een inbreuk op de beveiliging aan de Autoriteit Persoonsgegevens te melden in het geval dat i) de inbreuk leidt tot de aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens en ii) de inbreuk ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Onder bepaalde omstandigheden bestaat eveneens een verplichting om een datalek te melden aan de betrokken personen. Om de naleving van deze en andere verplichtingen zoals voortvloeien uit de Wbp te verzekeren, beschikt de Autoriteit Persoonsgegevens vanaf 1 januari over de mogelijkheid om bij overtreding een bestuurlijke boete op te leggen. Naast deze uitbreiding van de boetebevoegdheid is ook de maximaal op te leggen boete aanzienlijk verhoogd tot EUR 810.000,— of 10% van de jaaromzet.

Van Safe Harbor naar Privacy Shield

Voor het doorgeven van persoonsgegevens naar derde landen zonder waarborgen voor een passend beschermingsniveau geldt in beginsel een verbod, tenzij aan bepaalde voorwaarden is voldaan. Onder andere de Verenigde Staten (VS) heeft naar Europese maatstaven geen passend beschermingsniveau. Tot 6 oktober 2015 was een doorgifte van persoonsgegevens naar de VS onder meer toelaatbaar indien voldaan was aan de de vereisten van het zogenaamde ‘Safe Harbor’ stelsel. Na een uitspraak van 6 oktober 2015 van het Hof van Justitie van de Europese Unie is doorgifte op basis van Safe Harbor niet meer mogelijk wordt sindsdien gezocht naar een oplossing om alsnog de gegevensuitwisseling tussen de Europese Unie (EU) en de VS te faciliteren. Op 2 februari 2016 hebben de onderhandelingen tot een consensus geleid in de vorm van het ‘EU-US Privacy Shield’. Tot op heden zijn slechts de hoofdlijnen van deze regeling bekendgemaakt. Duidelijk is dat ondernemingen in de VS aan strengere verplichtingen zullen moeten voldoen om persoonsgegevens van burgers van de EU te mogen verwerken en dat het toezicht op het naleven van deze verplichtingen robuuster zal worden. Er worden beperkingen gesteld aan de toegang van de autoriteiten tot persoonsgegevens en burgers van de Europese Unie zullen de mogelijkheid hebben om in actie te komen tegen misbruik van hun persoonsgegevens, onder andere door middel van het inschakelen van een speciale ombudsman. Het concept van de nieuwe regeling wordt in de komende weken verwacht.

Algemene Verordening Gegevensbescherming (‘GDPR’)

Nog net in 2015 is overeenstemming bereikt over de tekst van de Algemene Verordening Gegevensbescherming. Het voorstel voor een nieuw juridisch raamwerk om de privacy van Europese burgers te waarborgen is al sinds 2012 onderwerp van discussie. In navolging op de bereikte overeenstemming zullen nog verschillende, onder andere politieke, stappen volgen. De inwerkingtreding van de verordening wordt in 2018 verwacht, waarbij onder andere zwaardere administratieve verplichtingen op de verantwoordelijken zullen ontstaan en (wederom) de bevoegdheden van de toezichthoudende autoriteit worden aangescherpt.

Toezicht en handhaving

In Nederland houdt de Autoriteit Persoonsgegevens bevoegd tot het toezicht op en de handhaving van de Wet bescherming persoonsgegevens. Jaarlijks wordt aangegeven waar de autoriteit zich in het bijzonder op richt. Voor 2016 zijn dit nagenoeg dezelfde onderwerpen als in 2015. Het gaat hierbij om beveiliging, big data en profilering, medische gegevens, persoonsgegevens bij de (digitale) overheid en persoonsgegevens in de arbeidsrelatie. Specifiek voor deze onderwerpen is het van belang om na te gaan of, indien van toepassing, de toepasselijke wet- en regelgeving wordt gevolgd.