Op privacygebied zijn er bijzonder interessante juridische ontwikkelingen gaande, die van belang zijn voor elke onderneming. Zo oordeelde het Hof van Justitie dat doorgifte op grond van de safe harbor-regeling onrechtmatig is, werd een akkoord bereikt over de Algemene Verordening Gegevensbescherming, en zijn in Nederland per 1 januari 2016 nieuwe meldplichten en hogere boetebevoegdheden in werking getreden. In dit artikel staan wij kort stil bij deze ontwikkelingen.
Doorgifte naar de VS: Het Europese Hof van Justitie heeft op 6 oktober 2015 de safe harbor-regeling van de Europese Commissie voor doorgifte van persoonsgegevens naar de Verenigde Staten onrechtmatig verklaard. De privacytoezichthouders hebben aangegeven vanaf eind januari 2016 te zullen optreden tegen organisaties die dan nog persoonsgegevens doorgeven op grond van safe harbor afspraken. Doorgifte van persoonsgegevens naar de Verenigde Staten op andere gronden, zoals EC modelcontracten of binding corporate rules, is (vooralsnog) wel toegestaan. Voor nadere informatie: klik hier en hier voor onze client briefings.
Boetebevoegdheden AP: Met ingang van 1 januari 2016 kan de Autoriteit Persoonsgegevens aanzienlijk hogere boetes opleggen tot een maximum van EUR 820.000 of 10% van de jaaromzet voor overtredingen van de Wet bescherming persoonsgegevens (Wbp). De boetes zijn ingedeeld in drie categorieën afhankelijk van welke specifieke Wbp bepaling is geschonden en zijn nader uitgewerkt in Boetebeleidsregels .
Meldplicht datalekken: Met de introductie van de meldplicht datalekken, zijn alle bedrijven die persoonsgegevens verwerken op grond van de Wbp sinds 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens en mogelijk ook aan de betrokkenen. Of een datalek gemeld moet worden, is afhankelijk van de (potentiële) ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. In deze client briefing gaan we nader in op deze nieuwe regels en de relevante maatregelen die een bedrijf kan nemen om aan de meldplicht te voldoen. Vergelijkbare meldplichten voor cyberincidenten kunnen verplicht worden voor exploitanten van essentiële diensten en aanbieders van digitale diensten indien de EU ontwerprichtlijn inzake netwerk- en informatiebeveiliging of de Nederlandse ontwerpwet gegevensverwerking en meldplicht cybersecurity wordt aangenomen.
Algemene Verordening Gegevensbescherming: Op 18 december 2015 is de tekst van de langverwachte Europese Algemene Verordening Gegevensbescherming goedgekeurd, waarmee de huidige regels van de Europese privacyrichtlijn uit 1995 worden gemoderniseerd. De conceptverordening bevat onder meer versterkte rechten voor natuurlijke personen, bestaande uit meer controle over hun persoonsgegevens. Bovendien zullen organisaties aan de betrokkenen transparante en gemakkelijk toegankelijke informatie over de verwerking van hun gegevens moeten verstrekken. Overige verplichtingen betreffen een meldplicht datalekken (waarop in Nederland reeds is geanticipeerd, zoals hierboven uiteengezet) en het aanstellen van een functionaris gegevensbescherming voor organisaties die bepaalde risicovolle gegevens verwerken. De schending van verplichtingen kan gesanctioneerd worden met zeer hoge boetes, die kunnen oplopen tot EUR 20 miljoen of 4% van de wereldwijde jaaromzet. De verordening zal naar verwachting in het voorjaar van 2016 in werking treden, en toepasselijk zijn vanaf het voorjaar van 2018. Onze client briefing bevat de laatste update over de verordening.
Met bovenstaande ontwikkelingen en nieuwe regelgeving gelden er aanzienlijk strengere juridische vereisten voor organisaties die persoonsgegevens verwerken. Het niet voldoen aan deze eisen kan gesanctioneerd worden met hoge boetes. Op organisaties komt een grotere mate van verantwoordelijkheid te rusten en daarmee gepaard gaande risico’s van aansprakelijkheid en boetes. Alle reden om als General Counsel de wijze waarop binnen uw organisatie persoonsgegevens worden verwerkt onder de loep te nemen en ervoor zorg te dragen dat uw onderneming voldoet aan de huidige eisen en gereed is voor alle nieuwe regels.