Het zal de privacyliefhebbers niet zijn ontgaan: afgelopen donderdag heeft het Europees Parlement met grote meerderheid ingestemd met de Europese Privacy Verordening (EPV). Na publicatie in het Publicatieblad van de EU zal een overgangstermijn van twee jaar gelden. Ik verwacht dat de EPV vanaf mei 2018 echt in werking treedt.
De vier belangrijkste veranderingen van de privacyverordening
Het zal de privacyliefhebbers niet zijn ontgaan: afgelopen donderdag heeft het Europees Parlement met grote meerderheid ingestemd met de…
De EPV borduurt voort op het bestaande wettelijk kader. De kernbeginselen als doelbinding, data-minimalisatie en de verwerkingsgrondslagen blijven onveranderd. De belangrijkste veranderingen zitten in het organisatorische vlak, zoals het op juiste wijze inrichten van werkprocessen waarbij persoonsgegevens een rol spelen, in de risico’s die organisaties lopen en in het verscherpte toezicht.
Organisaties hebben nog twee jaar de tijd om hun werkprocessen EPV-proof te krijgen. Maar wat zijn nu de belangrijkste veranderingen (behalve de al bekende hoge boetes)? Ik zet ze even op een rij.
1: Het accountability principe. Alle organisaties moeten kunnen laten zien dat zij aan de privacywetgeving voldoen. Dit betekent dat je als organisatie een Privacy Management Programma moet opzetten. Hoe doe je dat? Ik ben daar ook nog naar op zoek. Er is nog geen kant en klare werkwijze waarmee je dit organiseert. Wat mij betreft begint het met een privacybeleidsplan en het gestructureerd in kaart brengen van alle verwerkingen, het databeheer en het inzichtelijk maken waar en op welke wijze de data ligt opgeslagen. Vergeet hierbij ook niet alle bewerkersovereenkomsten en convenanten in beeld te krijgen. Deze stappen heb ik al gezet. Ik ben nu bezig een plan te ontwikkelen om op deze processen grip te houden en daarbij op eenvoudige wijze management informatie en rapportages te kunnen opleveren. Wat hierbij kan helpen is het volgende punt.
2: Een verplicht Privacy Impact Assessment voor ‘high risk’ verwerkingen van persoonsgegevens, bijvoorbeeld bij de verwerking van bijzondere persoonsgegevens. Het consequent afnemen van PIA, kan ook helpen bij het stroomlijnen van je Privacy Management Programma.
3: Voor overheidsorganisaties wordt het verplicht een Data Protection Officer aan te stellen, vergelijkbaar met de huidige Functionaris Gegevensbescherming. Er worden zeer hoge eisen gesteld aan een dergelijke DPO, waar ik in een afzonderlijke column nog een keer op zal ingaan.
4: Meer rechten voor betrokkenen: naast het reeds bestaande recht op voorafgaande informatie en inzage, heeft een betrokkene straks onder andere het recht om ‘vergeten te worden’. Hoe gaat dat recht zich verhouden tot de wellicht tegen die tijd geldende Wet open overheid?, vroeg een Wob collega mij laatst…ik heb geen idee. De tijd zal het leren.
Ik heb de wat mij betreft belangrijkste en meest in het oog springende veranderingen op een rij gezet. De tijd is nu echt aangebroken om hiermee aan de slag te gaan!
Wolfje Mijnders
Meer columns van wolfje Mijnders leest u hier.
Reacties: 2
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Kan Europa niet weg?
Zoals ik het lees komt de EPV erop neer dat je je nog steeds (of eindelijk eens?) aan de WBP moet houden en dat je het ook moet kunnen aantonen. Dat veel (bijna de meeste) organisaties nu pas wakker worden ligt niet aan Europa. Kennelijk is wetgeving in Nederland niet zo erg bindend voor bedrijven of de overheid zelf, en wordt het dat pas als vanuit Europa wetgeving komt die zegt dat je je aantoonbaar aan de al jaren bestaande wet moet houden.
Om dan te gaan klagen over Europa lijkt me vreemd. Of vinden we het eigenlijk wel normaal dat de Nederlandse overheid zichzelf en anderen niet aan de Nederlandse wet houdt?