Europese Privacy Verordening

Transcriptie

1 Europese Privacy Verordening Effect op de jaarrekeningcontrole? Naam : D. (Daniëlle) Louwerens Studentnummer : Universiteit : Erasmus Universiteit Rotterdam Postmaster opleiding IT-Auditing & Advisory Erasmus School of Accounting & Assurance (ESAA) Datum verdediging : - 1 -

2 Europese Privacy Verordening Effect op de jaarrekeningcontrole? Naam : D. (Daniëlle) Louwerens Studentnummer : Plaats en datum : Papendrecht, Universiteit : Erasmus Universiteit Rotterdam Postmaster opleiding IT-Auditing & Advisory Erasmus School of Accounting & Assurance (ESAA) Begeleider : J. Pasmooij RE RA RO Openbaarmaking : Gebruik met bronvermelding toegestaan - 2 -

3 Voorwoord Deze scriptie is geschreven tijdens de Postmaster opleiding IT-Auditing & Advisory bij Erasmus School of Accounting & Assurance (ESAA). Bij het schrijven van de scriptie heb ik als doel gehad om meer kennis te verkrijgen van de Europese Privacy Verordening en wat een accountant die belast is met de jaarrekeningcontrole met betrekking tot deze verordening moet doen. De opgedane kennis en het beschreven werkprogramma hoop ik tijdens mijn werkzame carrière in te kunnen zetten. Via deze weg wil ik graag mijn scriptiebegeleider dhr. Pasmooij bedanken. Daarnaast wil ik graag de mensen, die hebben meegewerkt aan mijn onderzoek, bedanken. Zonder hen had ik mijn onderzoek niet kunnen uitvoeren. Ook wil ik mijn werkgever BDO bedanken voor de tijd, die zij beschikbaar hebben gesteld om deze scriptie te schrijven. Als laatste wil ik mijn vriend en familie bedanken voor hun steun en hulp! - 3 -

4 Samenvatting In deze scriptie staat de volgende onderzoeksdoelstelling centraal: Het onderzoek is gericht op het verkrijgen van kennis en inzicht met betrekking tot de vraag wat het effect is van de EPV voor de jaarrekeningcontrole en welke controlewerkzaamheden de accountant moet uitvoeren om het risico te mitigeren. Middels een literatuuronderzoek heb ik inzicht gekregen in de vraag wat de Europese Privacy Verordening (hierna: EPV) inhoudt en wat de verschillen zijn met de huidige wet- en regelgeving. De verplichtingen en rechten onder de EPV zijn uitgebreider omschreven en toegelicht in vergelijking met de Wbp. Bovendien is de sanctie vele malen hoger dan de huidige sancties onder de Wbp. In het voorstel van de EPV wordt momenteel gesproken over een geldboete tot 100 miljoen of 5% van de jaarlijkse wereldwijde omzet. Vervolgens is inzicht verkregen in de eisen die aan een organisatie worden gesteld en welke acties zij kunnen ondernemen. Aan een verantwoordelijke worden onder andere de volgende eisen gesteld: documentatieplicht, passende technische en organisatorische maatregelen treffen om een passend beveiligingsniveau te waarborgen, instellen van een functionaris voor gegevensbescherming en uitvoeren van een privacyeffectbeoordeling. Hierbij is het ook van belang dat de organisatie in staat moet zijn om verantwoording af te kunnen leggen (accountable), maar ook gecontroleerd moet kunnen worden (auditable). Daarna is ingegaan op de vraag welke werkzaamheden de accountant moet uitvoeren die belast is met de jaarrekeningcontrole met betrekking tot de naleving van de EPV. De accountant is verantwoordelijk voor het verkrijgen van een redelijke mate van zekerheid dat de financiële overzichten als geheel geen afwijking van materieel belang bevatten die het gevolg zijn van fraude of fouten, waarbij de accountant ook rekening dient te houden met de van toepassing zijnde wet- en regelgeving en dus ook de EPV. De werkzaamheden die de accountant moet uitvoeren zijn afhankelijk van de vraag of er wel of geen vermoeden is van niet-naleving van de EPV. Het niet-naleven van de EPV kan leiden tot het opnemen van een voorziening, een schuld of het vermelden in de toelichting. Aan de hand van dit literatuuronderzoek heb ik een werkprogramma geschreven, die ik aan een aantal experts heb voorgelegd. Dit heeft uiteindelijk geleid tot het een werkprogramma die een accountant die belast is met de jaarrekeningcontrole kan gebruiken. Voor het werkprogramma verwijs ik naar hoofdstuk 6 van mijn scriptie

5 Inhoudsopgave 1 Inleiding Onderwerp en aanleiding Onderzoeksdoelstelling Onderzoeksopzet Afbakening en beperking van het onderzoek Wet en regelgeving met betrekking tot privacy Inleiding De huidige wet- en regelgeving De Grondwet Europese privacyrichtlijn en de Wet bescherming persoonsgegevens Meldplicht datalekken Europese privacy verordening Samenvatting Welke eisen worden er aan een organisatie gesteld en welke acties kunnen zij ondernemen? Inleiding Welke eisen? Welke acties? Samenvatting Wat is het effect van de EPV voor de jaarrekening-controle? Inleiding NV COS 250 Wet- en regelgeving bij controle financiële overzichten Richtlijnen voor de Jaarverslaggeving Samenvatting Conceptueel model en onderzoeksopzet Conceptueel model Onderzoeksopzet Toetsing van het conceptueel model Inleiding

6 6.2 Onderzoeksresultaten Verwerking in het werkprogramma Conclusie en aanbevelingen Literatuurlijst

7 1 Inleiding 1.1 Onderwerp en aanleiding Het Europees Parlement heeft op 12 maart 2014 ingestemd met een nieuwe privacy verordening. Met deze nieuwe verordening wil het Europees Parlement enerzijds meer control over de persoonsgegevens geven aan de mensen zelf en anderzijds wil het bedrijven makkelijker maken om samen te werken met andere bedrijven over de grenzen heen door de zelfde regels in alle EU-lidstaten te laten gelden. 1 Op dit moment geldt nog de Europese privacyrichtlijn, die in Nederland is geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp). 2 Organisaties wachten met de huidige wetgeving op een incident, omdat de gevolgen voor het niet naleven van de wet- en regelgeving beperkt is. Echter de nieuwe Europese Privacy Verordening (EPV) creëert materiële risico s voor organisaties, waardoor deze ook van belang zijn voor de externe accountants. 3 De EPV zorgt er voor dat individuen meer control krijgen over hun eigen persoonsgegevens, zoals duidelijker recht op inzage en recht op vernietiging. Daarnaast is onder de EPV het bestuur van een organisatie zelf verantwoordelijk voor het naleven van de EPV. Zij moeten op ieder moment kunnen aantonen dat ze voldoen aan de privacyregels. Om hieraan te kunnen voldoen, zullen organisaties hun interne organisatie en informatiesystemen moeten aanpassen. De maatregelen om de privacyrisico s af te dekken, moeten zijn ingebed in de standaard processen. Als een organisatie dit niet regelt, kan dit leiden tot een boete van maximaal 5% van de wereldwijde jaaromzet of maximaal 100 miljoen. De toezichthouder kan zo n boete opleggen als er geen intern privacybeleid is vastgelegd, de organisatie niet voldoet aan de meldplicht datalekken of de plicht een privacy impact assessment (PIA) te houden. Omdat deze boetes van materieel belang zijn, is het voor openbare accountants van belang om bij de jaarrekeningcontrole van een organisatie in te schatten in hoeverre zij wel of niet voldoen aan de EPV en of een voorziening gevormd moet worden. Naar verwachting zullen vanaf 2016 de bepalingen van de EPV gehandhaafd worden. 4 In de huidige jaarrekeningcontrole is dit nog een onderbelicht onderwerp omdat de financiële risico s veel kleiner zijn vanwege de veel lagere boetes. Vanwege de toenemende aandacht voor privacy en vanwege de grotere financiële risico s onder de EPV is het belangrijk om na te gaan wat het effect van de EPV is voor de accountants die belast zijn met de jaarrekeningcontrole. 1 Persbericht Europees Parlement en accountants.nl, 12 maart Biesheuvel e.a., blz. 1 3 accountant.nl, 15 november accountant.nl, 15 november 2013 en 12 maart 2014; Duthler Associates en SC Online - 7 -

8 In 1991 heeft het NIVRA geschrift nr. 58 geschreven: Automatisering en controle Deel VIII. Privacybescherming; de gevolgen voor organisaties en de rol van de accountant. Het doel van dit geschrift was onder andere aan de leden van het NIVRA duidelijk te maken welke gevolgen de Wet persoonsregistraties (voorganger van de Wbp) heeft voor organisaties en welke rol de accountant kan vervullen in het kader van deze wet en dan met name ter zake van de bescherming van de privacy Onderzoeksdoelstelling Naar aanleiding van bovenstaande heb ik mij afgevraagd wat het effect van de EPV is op de jaarrekeningcontrole en welke controlewerkzaamheden wij als accountants dan moeten uitvoeren om dit risico te mitigeren. Met dit onderzoek wil ik in feite een update van het NIVRA geschrift nr. 58 bewerkstelligen. Waar het NIVRA geschrift nr. 58 eigenlijk alleen in gaat op de rol van de accountant bij privacy-onderzoeken, wil ik in deze scriptie het effect van de EPV op de jaarrekeningcontrole in kaart brengen. Dit heeft geleid tot de volgende onderzoeksdoelstelling, welke in deze scriptie zal worden behandeld: Het onderzoek is gericht op het verkrijgen van kennis en inzicht met betrekking tot de vraag wat het effect is van de EPV voor de jaarrekeningcontrole en welke controlewerkzaamheden de accountant moet uitvoeren om het risico te mitigeren. Om de bovenstaande onderzoeksdoelstelling te behalen, zal ik in eerste instantie moeten weten wat de EPV precies inhoudt en welke eisen aan een organisatie worden gesteld. Hierbij zal ik ook een vergelijking maken met de huidige eisen onder de Wbp. Deze eisen kunnen als basis dienen voor de beoordeling door de accountant bij de jaarrekeningcontrole. Vervolgens dien ik inzicht te verkrijgen in de vraag wat dan het effect is van de EPV voor de jaarrekeningcontrole en welke controlewerkzaamheden de accountant moet uitvoeren om de risico s te mitigeren. Mijn aanpak zal ik laten beoordelen door deskundige en onafhankelijke experts. Hun reactie zal ik analyseren en waar nodig verwerken in mijn werkprogramma. Resumerend kom ik op de volgende onderzoeksvragen: 1. Wat houdt de EPV in en wat zijn de verschillen met de huidige wet- en regelgeving? 2. Welke eisen worden er aan een organisatie gesteld en welke acties kunnen zij ondernemen? 3. Welke werkzaamheden moet de accountant uitvoeren die belast is met de jaarrekeningcontrole met betrekking tot de naleving van de EPV? 5 NIVRA, blz

9 Ik hoop na dit onderzoek meer inzicht te hebben in de EPV en wat het effect daarvan is op de jaarrekeningcontrole. Momenteel ben ik werkzaam bij een accountantskantoor op de Audit & Assurance afdeling, waarbij mijn klantenpakket met name bestaat uit middelgrote- en grote organisaties. Door mijn onderzoek hoop ik mijn klanten beter te kunnen adviseren met betrekking tot de EPV en hoop ik een werkprogramma te hebben, die mijn collega s kunnen gebruiken bij de jaarrekeningcontrole. 1.3 Onderzoeksopzet Om antwoord te kunnen geven op mijn onderzoeksvragen zal ik een kwalitatief onderzoek uitvoeren. De eerste twee deelvragen zal ik beantwoorden aan de hand van een literatuurstudie. Vervolgens zal ik voor deelvraag drie eerst een kwalitatief onderzoek uitvoeren om het werkprogramma te ontwikkelen, waarna ik deze zal laten beoordelen door onafhankelijke en deskundige experts. 1.4 Afbakening en beperking van het onderzoek Op 25 januari 2012 heeft de Europese Commissie een voorstel van de EPV ingediend bij het Europees Parlement. De Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (Commissie LIBE) van het Europees Parlement hebben diverse wijzigingen voorgesteld. Dit gewijzigde voorstel is door het Europees Parlement aangenomen op 12 maart De Europese Raad van Ministers, waarin de nationale vakministers zijn vertegenwoordigd (Justitie) zullen een gezamenlijk standpunt moeten innemen over het voorstel van de EPV. Vervolgens zal het dan in stemming gaan bij het Europees Parlement. Als zij akkoord zijn, dan is de EPV onmiddellijk wet. Dit onderzoek heb ik uitgevoerd op basis van het voorstel van de EPV waar op 12 maart 2014 het Europees Parlement mee heeft ingestemd. Het is mogelijk dat de uiteindelijke verordening zal afwijken van dit voorstel. Het door mij opgestelde werkprogramma zal hierop moeten worden aangepast. Omdat de meldplicht datalekken uiteindelijk zal worden vervangen door de EPV zal mijn werkprogramma alleen ingaan op de uit te voeren werkzaamheden met betrekking tot de EPV. In de privacywetgeving wordt onderscheid gemaakt tussen de verantwoordelijke en de bewerker. Mijn werkprogramma zal alleen betrekking hebben op de jaarrekening van de verantwoordelijke

10 In deze scriptie zullen alleen de voor deze scriptie relevante artikelen worden behandeld. Voor de volledige wetteksten en wetsvoorstellen verwijs ik u naar de verwijzingen in de literatuurlijst. Deelvraag 3 zal ik beantwoorden aan de hand van de Nederlandse controlestandaarden, Titel 9 Boek 2 van het Burgerlijk Wetboek en de Richtlijnen voor de Jaarverslaggeving voor grote en middelgrote rechtspersonen (hierna: RJ). Derhalve is het door mij opgestelde werkprogramma alleen geschikt voor ondernemingen die rapporteren op basis van deze RJ. In deze scriptie zal ik ook niet ingaan op het effect van de EPV voor accountants die belast zijn met het samenstellen van een jaarrekening

11 2 Wet en regelgeving met betrekking tot privacy 2.1 Inleiding In dit hoofdstuk zal worden ingegaan op mijn eerste onderzoeksvraag: Wat houdt de EPV in en wat zijn de verschillen met de huidige wet- en regelgeving? Om antwoord te kunnen geven op deze onderzoeksvraag zal eerst worden ingegaan op de huidige wet- en regelgeving, namelijk de Grondwet, de Europese privacyrichtlijn en de hierop gebaseerde Wet bescherming persoonsgegevens (Wbp). In Nederland is er tevens een wetsvoorstel in behandeling bij de Tweede Kamer met betrekking tot de meldplicht datalekken. Hier zal in paragraaf 3 van dit hoofdstuk verder op worden ingegaan. Vervolgens zal worden ingegaan op het voorstel van de Europese Privacy Verordening (EPV) en de verschillen met de Wbp en de meldplicht datalekken. In paragraaf 5 zal een samenvatting worden opgenomen. 2.2 De huidige wet- en regelgeving De Grondwet Artikel 10 van de Grondwet gaat in op privacy. Hierin staat onder andere dat iedereen het recht heeft op eerbiediging van de persoonlijke levenssfeer. Dit houdt in dat iedereen, behoudens bij of krachtens de wet te stellen beperkingen, het recht heeft om met rust te worden gelaten. De persoonlijke levenssfeer omvat onder meer je huis, je briefwisseling, je communicatie via de telefoon en het recht om niet te worden afgeluisterd. Daarnaast is opgenomen dat de wet regels stelt ter bescherming van de hiervoor genoemde persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Als laatste is in dit artikel van de Grondwet geregeld dat de wet regels stelt inzake aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens. In feite betekent dit dat privacy het recht is van individuen en groepen om zelf te bepalen wanneer, hoe en in welke mate informatie over hen wordt vastgelegd en wordt doorgegeven aan anderen Europese privacyrichtlijn en de Wet bescherming persoonsgegevens Op 24 oktober 1995 is de Richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens in werking getreden. De Europese privacyrichtlijn is in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp). 7 Derhalve zal hierna worden ingegaan op de Wbp. 6 Artikel 10, De Grondwet en collegemateriaal IT & Recht 7 Biesheuvel e.a., blz

12 Definities In de Wbp zijn een aantal definities van belang. Zo wordt onder persoonsgegevens verstaan: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 8 In de richtlijn is meer toegelicht over wat men dan onder identificeerbaar beschouwt: als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. 9 Onder verwerking van persoonsgegevens wordt verstaan elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. 10 Samengevat gaat de Wbp over het hele proces vanaf de verzameling tot de vernietiging van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon. In de Wbp is het onderscheid tussen de verantwoordelijke en de bewerker van belang. De verantwoordelijke is de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. 11 De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. 12 Kortom: de verantwoordelijke hoeft niet dezelfde te zijn als de bewerker. Toepassingsgebied De Wbp is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. De bepalingen in de richtlijn zijn bijvoorbeeld niet van toepassing als de verwerking door of ten behoeve van de inlichtingen- en veiligheidsdiensten en ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden worden uitgevoerd. 13 De Wbp is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. Deze wet is ook van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen 8 artikel 1a, Wbp 9 artikel 2a, Europese privacyrichtlijn 10 artikel 1b, Wbp 11 artikel 1d, Wbp 12 artikel 1e, Wbp 13 artikel 2, Wbp

13 vestiging heeft in de Europese Unie, waarbij gebruikt wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens. Een verantwoordelijke die geen vestiging heeft in de Europese Unie mag geen persoonsgegevens verwerken, tenzij hij in Nederland een persoon of instantie aanwijst die namens hem handelt. 14 Met betrekking tot de kwaliteit van de gegevens is bepaald dat de persoonsgegevens: a. op behoorlijke en zorgvuldige wijze moeten worden verwerkt; b. voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens niet worden verwerkt op een wijze die onverenigbaar is met die doeleinden; c. toereikend, ter zake dienend en niet bovenmatig moeten zijn; d. nauwkeurig en juist dienen te zijn; e. niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of volgens worden verwerkt. 15 De verwerking van de persoonsgegevens mag dan slechts plaatvinden indien: a. de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend; b. de verwerking noodzakelijk is voor de uitvoering van een overeenkomst; c. de verwerking noodzakelijk is om een wettelijke verplichting na te komen; d. de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene; e. de verwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt; of f. de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. 16 Verplichtingen verantwoordelijke Een verantwoordelijke heeft een drietal verplichtingen in de Wbp: - beveiligingsplicht; - meldingsplicht; en - informatieverstrekking artikel 4, Wbp 15 artikel 6, 7, 9, 10 en 11, Wbp 16 artikel 8, Wbp 17 collegemateriaal IT & Recht

14 Beveiligingsplicht: Artikel 13 van de Wbp stelt dat de verantwoordelijke passende technische en organisatorische maatregelen moet nemen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Rekening houdend met de stand van de techniek en de kosten, moeten deze maatregelen garanderen dat een passend beveiligingsniveau is behaald gelet op de risico s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen hebben tevens tot doel onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. We zien steeds vaker dat gegevens door een andere partij dan de verantwoordelijke worden verwerkt, ook wel de bewerker genoemd. In zo n geval dient de verantwoordelijke er voor te zorgen dat de bewerker voldoende technische en organisatorische beveiligingsmaatregelen heeft genomen. De verantwoordelijke gaat na of de bewerker de maatregelen naleeft. Kortom de verantwoordelijke draagt zorg dat de bewerker de persoonsgegevens verwerkt in overeenstemming met de wet en de verplichtingen nakomt die op de verantwoordelijke rusten. 18 In een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke wordt de uitvoering van verwerkingen door een bewerker vastgelegd. De onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligingsmaatregelen als in de vorige paragraaf bedoeld worden schriftelijk of in een andere, gelijkwaardige vorm vastgelegd met het oog op het bewaren van het bewijs. 19 Het is verboden persoonsgegevens te verwerken met betrekking tot iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en het lidmaatschap van een vakvereniging. Dit geldt ook voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. 20 Op voorgaande worden wel uitzonderingen genoemd in de wet. Meldingsplicht Als een verantwoordelijke persoonsgegevens wilt verwerken, dient hij dit voorafgaand te melden bij het College bescherming persoonsgegevens (CBP) of de functionaris voor de gegevensbescherming (FG). 21 Het CBP ziet er op toe dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd en dat de privacy ook in de toekomst gewaarborgd blijft. 22 Een FG kan 18 artikel 13 en 14, Wbp 19 artikel 14, Wbp 20 artikel 16, Wbp 21 artikel 27, Wbp

15 worden benoemd door een verantwoordelijke of een organisatie waarbij verantwoordelijken zijn aangesloten. Een FG ziet toe op de verwerking van persoonsgegevens door de verantwoordelijke of door de verantwoordelijken die zijn aangesloten bij de organisatie die hem heeft benoemd overeenkomstig het bij of krachtens de wet bepaalde. De FG dient te worden aangemeld bij het CBP. De FG dient onafhankelijk te handelen. 23 Een melding bevat een opgave van: a. de naam en adres van de verantwoordelijke; b. het doel of de doeleinden van de verwerking; c. een beschrijving van de categorieën van betrokkenen en van de gegevens of categorieën van gegevens die daarop betrekking hebben; d. de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt; e. de voorgenomen doorgiften van gegevens naar landen buiten de Europese Unie; f. een algemene beschrijving om een voorlopig oordeel te kunnen geven over de gepastheid van de voorgenomen maatregelen om de beveiliging van de verwerking te waarborgen. 24 Zowel het CBP als de FG dienen een register bij te houden van de bij hen aangemelde gegevensverwerkingen. 25 Bovenstaande meldingen zijn niet verplicht voor een aantal verwerkingen van persoonsgegevens. Deze uitzonderingen zijn vermeld in het vrijstellingsbesluit Wbp. Een uitzondering is bijvoorbeeld verwerkingen in het kader van de personeels- en salarisadministratie betreffende personen in dienst van of werkzaam ten behoeve van de verantwoordelijke 26 en verwerkingen betreffende debiteuren en crediteuren van de verantwoordelijke 27. Hierbij is wel van belang dat de verwerking geschiedt volgens het vrijstellingsbesluit Wbp en voldoet aan de eisen die hierin zijn genoemd. Informatieverstrekking: Als persoonsgegevens worden verkregen bij een betrokkene, dient de verantwoordelijke vóór het moment van verkrijgen de betrokkene te informeren, tenzij de betrokkene reeds op de hoogte is. De informatie, die moet worden verstrekt, bestaat uit: a. zijn identiteit; b. de doeleinden van de verwerking; en 23 artikel 62, 63 en 64, Wbp 24 artikel 28 Wbp 25 artikel 30, Wbp 26 artikel 7 en 8, vrijstellingsbesluit Wbp 27 artikel 12, vrijstellingsbesluit Wbp

16 c. nadere informatie als dat nodig is om zorgvuldig met de persoonsgegevens om te gaan en de rechten van de betrokkene te waarborgen. Als de persoonsgegevens niet worden verkregen van de betrokkene zelf, dient bovenstaande informatie te worden verstrekt aan de betrokkene op het moment van vastlegging van de persoonsgegevens of uiterlijk op het moment van eerste verstrekking aan een derde. 28 Rechten van de betrokkene In de Wbp wordt ook aandacht besteed aan verschillende rechten van de betrokkene, zoals: - recht op toegang tot de gegevens; het zogenaamde inzagerecht 29 ; - correctie, verwijdering, aanvulling en afscherming van de verwerkte persoonsgegevens 30 ; - doorgeven van correcties aan derden 31 ; en - recht van verzet 32. Als iemand schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens de wet gegeven voorschriften heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding, indien het nadeel niet ziet op vermogensschade. De verantwoordelijke is aansprakelijk voor de schade of het nadeel. De bewerker is aansprakelijk voor die schade of dat nadeel, voor zover ontstaan door zijn werkzaamheden. Als de verantwoordelijke of de bewerker bewijst dat de schade hem niet kan worden toegerekend, kan hij geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid. 33 Indien de verantwoordelijke of de bewerker handelt in strijd met het bij of krachtens deze wet bepaalde en een ander daardoor schade lijdt of dreigt te leiden, kan de rechter hem zodanig gedrag verbieden en hem bevelen maatregelen te treffen tot herstel van de gevolgen van dat gedrag. 34 Sancties Het CBP is bevoegd een last onder bestuursdwang op te leggen ter handhaving van de bij of krachtens de Wbp gestelde verplichtingen. Het CBP kan ook aan de verantwoordelijke een bestuurlijke boete opleggen van ten hoogste met betrekking tot de meldingsplicht, zoals genoemd in artikel 27 en artikel 33 en 34, Wbp en collegemateriaal IT & Recht 29 artikel 35, Wbp 30 artikel 36, Wbp 31 artikel 38, Wbp 32 artikel 40, Wbp 33 artikel 49, Wbp 34 artikel 50, Wbp 35 artikel 65 en 66, Wbp

17 De verantwoordelijke kan ook worden gestraft met een geldboete: - geldboete van de derde categorie (maximaal 8.100) indien hij in strijd heeft gehandeld met betrekking tot: o het verwerken van persoonsgegevens, terwijl de verantwoordelijke niet in de Europese Unie is gevestigd 36 ; o de meldingsplicht 37 ; en o een verbod tot doorgifte naar een land buiten de Europese Unie 38 - een gevangenisstraf van ten hoogste zes maanden of een geldboete van de vierde categorie (maximaal ) als een verantwoordelijke een feit, zoals hiervoor genoemd, opzettelijk begaat Meldplicht datalekken Op 17 juni 2013 is een wetsvoorstel ingediend bij de Tweede Kamer met betrekking tot een wijziging van de Wbp en de Telecommunicatiewet. Dit wetsvoorstel is ingediend naar aanleiding van een groot aantal incidenten waarbij door een inbreuk op de beveiliging van, onder meer, websites persoonsgegevens vrijkwamen met nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkenen. Dit wetsvoorstel gaat over de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens; ook wel meldplicht datalekken genoemd. De regering wil met deze meldplicht de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Als dit voorstel tot wetswijziging wordt aangenomen, moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij het CBP, maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken in zowel de private als publieke sector voor de verwerking van persoonsgegevens. Als er geen melding of niet op tijd melding wordt gemaakt van een datalek, kan dit bestraft worden door het CBP met een bestuurlijke boete. 40 Bovenstaande zal hieronder verder worden toegelicht. Toepassingsgebied De verplichting van de verantwoordelijke tot informatieverstrekking wordt uitgebreid. De verantwoordelijke dient het CBP onverwijld in kennis te stellen van een inbreuk op de beveiliging, die ernstige nadelige gevolgen heeft voor de bescherming van de verwerkte persoonsgegevens. De verantwoordelijke dient ook de betrokkene onverwijld in kennis te 36 artikel 4, Wbp 37 artikel 27 en 28, Wbp 38 artikel 78, Wbp 39 artikel 75, Wbp en en Memorie van Toelichting bij wetsvoorstel wijziging Wbp, hoofdstuk 1 en

18 stellen indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens levenssfeer. Deze kennisgeving aan het CBP en de betrokkene bevat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen te beperken. Aan het CBP wordt tevens een beschrijving van de gevolgen van de inbreuk voor de verwerkte persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen verstuurd. Het CBP en de betrokkene hoeft niet op de hoogte van de inbreuk te worden gebracht als de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. 41 Zoals in de voorgaande paragraaf is aangegeven, is pas sprake van een onder de meldplicht vallend datalek als de technische en organisatorische beveiligingsmaatregelen niet hebben gefunctioneerd en de inbreuk op de beveiliging ernstige nadelige gevolgen heeft voor de bescherming van de verwerkte persoonsgegevens. In de memorie van toelichting 42 wordt aangegeven dat dan niet noodzakelijkerwijs sprake hoeft te zijn van tekortschietende beveiligingsmaatregelen. Als de beveiliging van voldoende niveau is, kan sprake zijn van een inbreuk op de beveiliging als bijvoorbeeld beveiligingsmaatregelen teniet worden gedaan of worden omzeild. Voorbeelden hiervan zijn een hack van een ICT-systeem of de diefstal van een laptop of mobiele telefoon. Daarnaast is het ook mogelijk dat er sprake is van inbreuk op de beveiligingsmaatregelen bij een tekortschietende beveiliging, die de verantwoordelijke zelf kan worden aangerekend. Hierbij kunnen we bijvoorbeeld denken aan het slordig omgaan met het beheer van wachtwoorden die toegang geven tot informatiebestanden of aan situaties van het per ongeluk verkeerd adresseren van een brief of die persoonsgegevens bevat, het als oud papier aanbieden van gevoelige stukken, of het zoekraken van een mobiele telefoon of geheugenstick. De meldplicht geldt in feite dan alleen niet wanneer voorzieningen van algemene aard die niet specifiek zijn gericht op de beveiliging van persoonsgegevens worden aangetast. Dit is bijvoorbeeld van toepassing als door een blikseminslag het gebouw afbrandt en hierdoor persoonsgegevens verloren gaan. De wetswijziging heeft ook effect op de taken van de verantwoordelijke in relatie tot de bewerker. In de Wbp dient de verantwoordelijke zorg te dragen dat de bewerker voldoende beveiligingsmaatregelen heeft ingericht met betrekking tot de te verrichten verwerkingen. In het wetsvoorstel wordt dit uitgebreid met waarborgen ten aanzien van de melding van een inbreuk op de beveiliging, die ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens die door hem worden bewerkt. Met het oog op het bewaren van het bewijs zal, naast de beveiligingsmaatregelen, de hiervoor genoemde verplichting tot melding van een 41 artikel 1B, wetsvoorstel wijziging Wbp en de nota van wijziging 42 hoofdstuk

19 inbreuk op de beveiliging ook schriftelijk of in een andere, gelijkwaardige vorm worden vastgelegd. 43 Sancties De boetes die het CBP kan opleggen worden verder uitgebreid. Het CBP kan aan de verantwoordelijke een bestuurlijke boete opleggen van maximaal ter zake van een overtreding met betrekking tot het in kennis stellen van het CBP van een inbreuk op de beveiliging. 44 Daarnaast kan bij veroordeling van een rechtspersoon, indien die boete geen passende bestraffing toelaat, een geldboete worden opgelegd tot ten hoogste tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan de uitspraak of strafbeschikking. 45 In verhouding tot de huidige boetemaxima in de Wbp is dit een hoog bedrag. Volgens de memorie van toelichting bij het wetsvoorstel wijziging Wbp 46 staat vermeld dat dit hoge maximum het belang moet weerspiegelen dat wordt gehecht aan het geven van transparantie bij de doorbreking van beveiligingsmaatregelen en het verlies aan vertrouwen dat het gevolg kan zijn van het nalaten van het treffen van de nodige maatregelen. Uit het wetsvoorstel tot wijziging van de Wbp en de bijbehorende memorie van toelichting blijkt dat deze hoge boete niet kan worden opgelegd als aan de beveiligingsverplichting wordt voldaan. Wel is het zo dat in het regeerakkoord van kabinet-rutte II is opgenomen dat bij wet zal worden voorzien in een algehele uitbreiding van de bevoegdheid van het CBP om overtredingen van de Wbp met bestuurlijke boetes te sanctioneren Europese privacy verordening Zoals in hoofdstuk 1 aangegeven heeft het Europees Parlement op 12 maart 2014 ingestemd met een nieuwe privacy verordening. 48 Deze verordening heeft betrekking op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), hierna ook wel de EPV genoemd. De EPV dient de Europese privacyrichtlijn te vervangen. Met deze verordening wil de Europese Commissie een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie (hierna: EU) waarborgen. Het is van belang dat een krachtiger en samenhangend kader voor gegevensbescherming in de EU tot stand wordt gebracht en bovendien scherp wordt toegezien op de handhaving daarvan. Dit is noodzakelijk, omdat het voor de economische ontwikkeling cruciaal is om vertrouwen in de onlineomgeving tot stand te brengen. De laatste 43 artikel 1A, wetsvoorstel wijziging Wbp en de nota van wijziging 44 artikel 1D, wetsvoorstel wijziging Wbp 45 Artikel IVb, nota van wijziging Wbp van 25 november 2014 en artikel 23 lid 7 van het Wetboek van Strafrecht. 46 hoofdstuk 5 47 Nota n.a.v. het verslag voorstel wijziging Wbp, 16 april 2014, blz persbericht Europees Parlement en accountants.nl, 12 maart

20 jaren zijn door snelle technologische ontwikkelingen nieuwe uitdagingen ontstaan voor de bescherming van persoonsgegevens. Steeds meer gegevens worden verzameld en gedeeld. Bedrijven en overheid kunnen door technologie bij het uitvoeren van hun activiteiten gebruik maken van persoonsgegevens. Bij een gebrek aan vertrouwen zullen consumenten aarzelen om online te kopen en nieuwe vormen van dienstverlening te accepteren. Dit zou tot gevolg kunnen hebben dat de ontwikkeling van innovatieve toepassingen van nieuwe technologieën vertraging kan oplopen. Het is noodzakelijk het vrije verkeer van gegevens binnen de Europese Unie en de doorgifte naar derde landen en internationale organisaties verder te vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens te garanderen. 49 Definities Een deel van de definities van de EPV komen overeen met de Wbp. Zo is de definitie van persoonsgegevens nagenoeg gelijk aan de definitie onder de Wbp. Onder de EPV is met name de manier van het identificeren van een natuurlijk persoon aan de hand van een onlineidentificatiemiddel toegevoegd. De definitie van het verwerken van persoonsgegevens is onder de EPV identiek aan de definitie onder de Wbp. Onder de Wbp stelde de verantwoordelijke het doel van en de middelen voor de verwerking van persoonsgegevens vast. Onder de EPV stel de verantwoordelijke ook de voorwaarden voor de verwerking vast. De bewerker wordt onder de EPV verwerker genoemd; verder is de definitie gelijk. Onder de EPV zijn ook een aantal definities bijgekomen, waaronder de inbreuk in verband met persoonsgegevens. Hieronder wordt verstaan: een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, tot gevolg. 50 Om te waarborgen dat de betrokkene zich bewust ervan is dat en waarvoor hij toestemming geeft, is in de definitie van toestemming het criterium uitdrukkelijk toegevoegd om verwarring met ondubbelzinnige toestemming te voorkomen en tot één enkele en consistente definitie te komen. Toestemming houdt onder de EPV in: elke vrije, specifieke, op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem betreffende persoonsgegevens worden verwerkt voorstel EPV, blz. 1, 2, 20 en artikel 4, voorstel EPV 51 blz. 8 en artikel 4, voorstel EPV