Op 25 mei 2018 komt er een nieuwe privacywet aan. Die nieuwe wet gaat een hoop veranderingen teweegbrengen voor organisaties. Wat houdt de wet precies in en hoe zorg je ervoor dat je organisatie GDPR-ready is? We vroegen het aan Michelle Wijnant, juriste van ICTRecht. Deze week: deel 1/2 van het interview.
Lees ook: AVG-ready in 10 stappen
Kun je in een notendop vertellen waar de nieuwe wet exact over gaat?
Er was al een richtlijn, de Europese privacyrichtlijn. Deze gaf al een richting voor de Europese lidstaten, een indicatie om bepaalde zaken al te regelen in het rechtssysteem. Maar hoe je dit precies moest doen was eigenlijk aan de lidstaat zelf. Dat ging alle kanten op. Er ontstond veel differentiatie. In Duitsland waren de richtlijnen bijvoorbeeld anders dan in de andere lidstaten. Daarom is er een verordening ontstaan, zodat deze voor ieder lidstaat hetzelfde zou zijn. Het laat minder ruimte aan de lidstaat, maar het zorgt er wel voor dat deze voor de gehele Europese Unie gelijk staat. Alles is strikter.
In Nederland hadden we al richtlijnen voor het beschermen van persoonsgegevens. Hoe verschilt de nieuwe wet met de huidige wet?
We hadden al de Wet bescherming persoonsgegevens. Die was gebaseerd op de Europese richtlijnen. Dat was dus onze interpretatie. In hoofdlijnen blijft dit hetzelfde. Sommige zaken worden gespecificeerd, bijvoorbeeld de toestemmingsvereisten worden verscherpt en de informatie-vereisten nemen toe. Wet meldplicht datalekken was al een voorloper op de verordening, net zoals de bewerkersovereenkomsten die naar voren komen. In de nieuwe wet wordt het allemaal meer gespecificeerd.
De burger krijgt door de wet meer privacyrechten. Welke rechten zijn dat precies?
Het recht om vergeten te worden. Deze kenden we al door een uitspraak van het Europees Hof, destijds uitgesproken bij een rechtszaak waar Google bij betrokken was. In de nieuwe wet wordt deze standaard opgenomen.
Het recht op dataportabiliteit, waar veel organisaties zich zorgen over maken. Dat betekent dat een betrokkene bij een organisatie kan aankloppen, en zijn data in een machineleesbaar formaat over kan leveren naar een andere organisatie. Dit is een flinke uitdaging, want hoe zorg je dat deze geporteerde data op elkaar aansluit? Dat wat organisatie A exporteert, ook door organisatie B te importeren is. Op dit moment is daar nog geen standaard voor. Er is niets vastgelegd. Er is wel een werkgroep opgesteld die een richtlijn heeft opgesteld, om iets meer uitleg te geven hoe het recht op dataportabiliteit eruitziet. Hier is vooralsnog geen standaard voor.
Daarnaast is er het recht op beperking. Als je het niet eens bent met een bedrijf dat je persoonsgegevens verwerkt, kun je een beroep doen op het recht op beperking, bijvoorbeeld als een verwerking niet klopt. Je krijgt het recht om verwerkingen stil te leggen totdat duidelijk wordt wat ermee mag gebeuren.
In de nieuwe wet is vastgesteld dat verwerkingen van persoonsgegevens vastgesteld moeten worden in registers. Wat betekent dit precies?
Dat je in kaart moet brengen welke persoonsgegevens je hebt, wat je er allemaal mee doet en hoe je dat beveiligt. Hoeveel je van die gegevens vastlegt hangt af van je rol. In de privacywet zijn er verschillende rollen: de verantwoordelijke (die bepaalt welke persoonsgegevens er worden vastgelegd en wat ermee gebeurt), zij kiezen vaak een ict-dienstverlener om dit voor hen te doen.
Dit is dan een verwerker (die handelt in opdracht van de verantwoordelijke, maar staat niet in direct gezag) en dan heb je de betrokkene (de persoon van wie die gegevens van zijn). Als verantwoordelijke moet je meer gegevens vastleggen dan een verwerker. Bij een hostingprovider zoals True weet je niet wat de verantwoordelijke met de gegevens doet, dus dan is het niet nodig om deze gegevens mee te nemen in het register. Je heb minder documentatieplicht dan een verantwoordelijke.
Kun je een paar voorbeelden noemen van persoonsgegevens die vastgelegd moeten worden?
Denk aan de categorieën van verwerken. Sla je het op? Geef je het door? Hoe vaak deel je het met derden? Wis je de data? Wordt het gedeeld met landen binnen de EU? Of juist buiten de EU? Hoe is het beveiligd (en dan specifiek welke maatregelen je hebt genomen)? Daarbij moet ook de verantwoordelijke vertellen met welk doeleinde de verwerking plaatsvindt. Welke categorieën gegevens het zijn of welke betrokkenen het zijn.
Een flinke pil voor organisaties om dit allemaal te registreren, als ik het zo hoor.
Ja klopt. Het scheelt alleen dat niet iedereen een register hoeft bij te houden. Het geldt alleen als je meer dan 250 medewerkers hebt of structurele of risicovolle verwerkingen doet. Een eenmanszaak die kleding verkoopt zal daar niet zo snel aankomen. Maar stel dat je medische gegevens verwerkt, dan zit je er al snel aan.
Wat is een goed startpunt voor het maken van zo’n register?
Waar wij bij ICTRecht mee beginnen is een inventarisatie van de GDPR. We brengen eerst in kaart wat er allemaal is. Begin daarom bij medewerkers die een leidende rol hebben binnen de organisatie en stel die vragen over de gebruikte systemen. Wat wordt er opgevraagd van klanten? Wat wordt er opgeslagen? Als je vanuit de systemen kijkt, kun je vanuit verschillende hoeken bekijken welke persoonsgegevens worden opgehaald. Daarna kun je kijken welke persoonsgegevens erop worden gevraagd. En aan de hand daarvan kun je kijken waar zaken aangevuld moeten worden. Is het privacybewustzijn binnen de organisatie groot genoeg? Moeten we nog iets doen met de bewustwording rondom datalekken? Moet daar een beleid voor komen? Na zo’n traject heb je het register in kaart, en heb je een tool om alle zaken in te richten.
Een van de eisen binnen de nieuwe wet is dat je als organisatie een privacyverklaring moet hebben. Wat moet daarin staan?
Dit is een stuk informatieplicht. Je moet betrokkenen informeren over wat je allemaal met hun persoonsgegevens doet. Dan dien je in een privacyverklaring op te nemen wie je bent, welke informatie je verzamelt en wat je met deze informatie doet. Deel je het met derde partijen? Worden er cookies geplaatst? Zijn die van mij of zijn die van iemand anders? Waar kan je terecht voor meer informatie? Wat moeten ze doen als ze vragen hebben? Welke bewaartermijnen zijn er? Dat hoef je niet te expliciet te vermelden, maar je moet daar wel een enigszins duidelijke indicatie geven. Dat je niet langer bewaart dan voor het doeleinde nodig is bijvoorbeeld.
Ik begreep dat het begrip persoonsgegevens wordt uitgerekt. Wat betekent dit precies?
Het is een heel breed begrip. Het is ieder gegeven dat direct of indirect identifceerbaar is aan een natuurlijk persoon. Dat gaat zelfs zo ver dat een e-mailadres daar ook onder valt. Het opvallende daaraan is dat als organisaties mijn e-mailadres hebben, dat ze misschien niet weten wie ik ben. Maar omdat deze data gekoppeld kan worden aan de gehashte versie, is dit e-mailadres theoretisch gezien toch herleidbaar naar mij als natuurlijk persoon. Denk aan handelingen die herleidbaar zijn naar een natuurlijk persoon, zoals IP-adres, geolocatie en meerdere nieuwe technologische ontwikkelingen zoals biometrische gegevens.
Benieuwd naar de rest van de nieuwe privacywet en hoe jouw organisatie GDPR-ready wordt? In het volgende artikel vertelt Michelle meer over persoonsgegevens, de meldplicht datalekken, de verwerkersovereenkomst, privacy by default, privacy by design en geeft ze tips hoe jouw organisatie GDPR-ready wordt.
E-book: veilig gedrag en slimme technologie
IT-security gaat over veilig gedrag en slimme technologie. Hoe bereik je de goede balans tussen menselijk gedrag, processen en technologie? In het e-book zoomen we in op de volgende onderwerpen:
- Veiligheid is meer dan technologie
- Hoe bereik je compliance en security?
- Oplossingen en tools
- Checklist #1: Ga de uitdaging aan
- Checklist #2: Is mijn IT-securityplan compleet?