Recht volgens Ruby: privacy by design

Een mooie titel voor een onderwerp dat eigenlijk niets met design te maken heeft maar alles met privacy. Waar staat het voor? Privacy heeft te maken met persoonsgegevens. Ieder bedrijf verzamelt persoonsgegevens en slaat deze op. Dat is aan strenge regels gebonden. Voldoe je daar niet aan als bedrijf, dan loop je het risico tegen torenhoge boetes op te lopen. Privacy by design houdt in dat de organisatie zo wordt ingericht dat alleen die persoonsgegevens worden verzameld en verwerkt die noodzakelijk zijn. Noodzakelijk voor het doel waar de persoonsgegevens voor verwerkt worden. De persoonsgegevens van uw personeel worden bijvoorbeeld verwerkt om de salarisadministratie te kunnen doen, maar ook om ziekteverzuim bij te houden. De regel is dat u zo min mogelijk gegevens verwerkt, deze zo kort mogelijk opslaat, en voor zo min mogelijk mensen toegankelijk maakt. Dit zogenaamde privacy by design-beginsel moet iedere organisatie toepassen.

Het toepassen van dit beginsel is al verplicht en wordt nog belangrijker door de rechtstreekse werking van Europese privacy wetgeving, die is vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Per 25 mei 2018 is de AVG geldig in Nederland. Veel van de regelgeving is nu al van toepassing onder de Wet bescherming persoonsgegevens (Wbp). Het wordt echter nog strenger en de boetes worden nog hoger: maximaal 20 miljoen EUR of 4% van de totale wereldwijde jaaromzet van de overtreder tijdens het voorgaande boekjaar.

Oh, hoor ik u denken, dat duurt nog heel lang. Ja, dat is ook zo, maar er moet bij heel veel bedrijven ook nog veel gebeuren wil de organisatie privacyproof zijn. Daarom wordt iedere organisatie geadviseerd nu al aan de slag te gaan. Dat kan met een Privacy Impact Assessment, een onderzoek naar de verwerking van persoonsgegevens. Werkgevers zijn verplicht om een PIA uit te voeren, omdat zij bijzondere persoonsgegevens verwerken. Zij beschikken namelijk over de medische gegevens en het Burgerservicenummer van werknemers. Bijzondere persoonsgegevens moeten nog beter beveiligd worden dan de ‘gewone’ personeelsgegevens. Als organisatie bewaart u uw personeelsgegevens en klantgegevens wellicht wel in de Cloud. Wat heeft u daarover afgesproken met uw ICT bedrijf? Staan deze gegevens op een server in Europa of buiten Europa? En welke andere partijen schakelt u nog in die allemaal bij de door u verzamelde persoonsgegevens kunnen? Staan uw personeelsdossiers en klantendossiers in een kast of heeft u die alleen nog maar digitaal?

En welk personeel van uw bedrijf kan bij de persoonsgegevens? Heeft iedereen vrij toegang, of zijn de gegevens beveiligd en zijn er maar een beperkt aantal personen binnen uw bedrijf bevoegd om bij de persoonsgegevens te kunnen? Betrokkenen (diegenen van wie de persoonsgegevens worden verzameld) krijgen naast het recht van inzage in hun gegevens een aantal andere rechten. Zij kunnen persoonsgegevens laten wijzigen of laten verwijderen. Bijvoorbeeld wanneer een klant niet langer uw nieuwsbrief wil ontvangen. Het is aan de organisatie om regelingen en mechanismen te ontwerpen die betrokkenen in staat stellen om deze rechten gemakkelijk uit te oefenen. Op een verzoek daartoe moet snel gereageerd kunnen worden. Het is dus nu van belang om uw organisatie zo in te richten dat iedereen bekend is met de verantwoordelijkheid die het verwerken van persoonsgegevens met zich meebrengt, en wie binnen uw organisatie verantwoordelijk is en besluiten kan nemen wanneer het mis gaat. Wanneer het adressenbestand van de klanten op uw mobiele telefoon staat en u verliest de telefoon, dan is er sprake van een datalek. Dit datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens, die daar over gaat.

Binnen uw organisatie moet bekend zijn wat een datalek is en er moet adequaat gehandeld worden, want ook hier staan boetes op. Het is aan te raden en in sommige gevallen ook verplicht een register bij te houden, zodat gecontroleerd kan worden welke persoonsgegevens worden verwerkt en door welke afdeling, welke beveiligingsmaatregelen er genomen zijn en of aangetoond kan worden dat deze maatregelen proportioneel en doeltreffend zijn. Kortom, begin met een inventarisatie en risico-analyse, houdt alle afspraken met derden waarbij toegang tot persoonsgegevens wordt verleend kritisch tegen het licht en maak een plan om straks te voldoen aan de strenge regelgeving. Dan is straks ook uw organisatie privacy proof.

Tekst: Ruby Nefkens-advocaat intellectueel eigendom, ICT, design, architectuur, kunst, media

Dit artikel werd gepubliceerd in ArchitectuurNL nummer 5 van 2016