privacy TipS EN TricKS voor DE ONDErNEMiNGSpraKTiJK 2013 in-house counsel practical GuiDE

Transcriptie

1 privacy TIPS EN TRICKS VOOR DE ONDERNEMINGSPRAKTIJK 2013 in-house counsel practical guide

2

3 3 privacy: tips en tricks voor de ondernemingspraktijk

4 4 privacy: tips en tricks voor de ondernemingspraktijk

5 Inhoud 7 Voorwoord 9 Keypoints 10 De concept-privacyverordening: zware verplichtingen, hoge boetes 22 Datalekken: de meldplicht komt eraan 32 De klokkenluidersregeling en privacy 42 Document retention: dataopslag en bewaartermijnen 50 Cookies en toestemming 60 Privacy in de cloud: er zit onweer in de lucht 70 e-discovery en privacy: het eeuwige dilemma? 82 Bijlage 85 Privacy team 87 Houthoff Buruma vestigingen 5 privacy: tips en tricks voor de ondernemingspraktijk

6 6 privacy: tips en tricks voor de ondernemingspraktijk

7 voorwoord Uit een recent onderzoek 1 onder Nederlandse bedrijfsjuristen blijkt dat privacy, de bescherming van persoonsgegevens, een van de zes thema s is die hoog op de agenda van de General Counsel staan. Die constatering staat in duidelijk contrast met de eerdere houding van het bedrijfsleven tegenover privacy sinds de invoering van de Wet persoonsregistratie in 1989 en de Wet bescherming persoonsgegevens in Tot voor kort benadrukten de meeste Nederlandse ondernemingen vooral de administratieve lasten die de implementatie van privacyregelgeving met zich meebracht. Het privacybewustzijn is met name in een stroomversnelling gekomen door het op 25 januari 2012 door de Europese Commissie gepubliceerde voorstel voor een privacyverordening. Hoewel het nog enkele jaren kan duren voor deze verordening van kracht wordt terwijl de inhoud nog uitgebreid ter discussie staat werpen de torenhoge boetes op overtreding (tot 2% van de wereldwijde omzet van een onderneming) hun lange schaduw vooruit. In deze uitgave wordt in korte hoofdstukken aandacht geschonken aan zes actuele thema s die met privacy te maken hebben: de nieuwe EU verordening, datalekken, klokkenluiderregelingen, cookies, bewaren van documenten en gegevens, e-discovery en de cloud. Een aantal Nederlandse ondernemingen heeft met een of meer van deze onderwerpen te maken, sommige zelfs dagelijks. Als de EU verordening van kracht is zal het hele Nederlandse bedrijfsleven werk moeten maken van bescherming van persoonsgegevens. Privacyrisico s moeten worden geanalyseerd en vastgelegd. Er moeten adequate beveiligingsmaatregelen, procedures en protocollen zijn ter bescherming van persoonsgegevens. De verwerking van persoonsgegevens moet zoveel mogelijk bij de bron worden beperkt. Datalekken moeten onmiddellijk worden gemeld. Veel ondernemingen moeten een functionaris aanstellen die moet toezien op naleving van de privacyregels. En op overtreding van elk van deze regels staat een hoge boete. Het is dan ook niet voor niets dat privacy de komende jaren hoog op de agenda van de Nederlandse General Counsel staat. Thomas de Weerd en Wolter Wefers Bettink, partners Houthoff Buruma, maart 2013 Dit boekje verscheen eveneens als nummer 1 in de NGB reeks Tips & Tricks voor de praktijk van de bedrijfsjurist. 1 Bedrijfsjuristenmonitor 2012, Houthoff Buruma, Amsterdam. Zie 7 privacy: tips en tricks voor de ondernemingspraktijk

8 8 privacy: tips en tricks voor de ondernemingspraktijk

9 keypoints De nieuwe Privacy verordening verzwaart de lasten van het bedrijfsleven aanzienlijk. Iedere onderneming moet een roadmap hebben hoe om te gaan met datalekken en het melden daarvan. Een klokkenluidersregeling moet voldoen aan strenge eisen ter waarborging van de privacy van betrokkenen. Een document retentie beleid bespaart kosten en beschermt tegen claims. Opslaan van gegevens in de cloud maakt het moeilijk om aan de nieuwe Privacyverordening te voldoen. Voldoen aan de cookie regels begint met bekijken welke cookies noodzakelijk zijn. 9 privacy: tips en tricks voor de ondernemingspraktijk

10 De concept-privacyverordening: zware verplichtingen, hoge boetes Inleiding Jarenlang heeft de zorg voor privacy de bescherming van persoonsgegevens niet veel aandacht gekregen binnen de meeste Nederlandse ondernemingen. De uit 1989 stammende Wet persoonsregistraties heeft overwegend een sluimerend bestaan geleid. Weliswaar werd deze in 2001 vervangen door de Wet bescherming persoonsgegevens (Wbp), 1 die de uit 1995 stammende Privacyrichtlijn 2 implementeert, maar privacy In het bedrijfsleven werd de Wbp vaak leek ook in de jaren daarna een onderwerp waar vooral overheidsinstellingen, het College Bescherming Persoonsgegevens (CBP) en een handvol gespecialiseerde juristen zich mee bezighielden. In het bedrijfsleven werd de Wbp vaak geschaard onder de administratieve lasten, waarvan het mkb in Nederland er al zoveel heeft. De oorzaak van deze houding ten opzichte van privacy lag primair in de abstracte normen van de regelgeving die moeilijk concreet uit te voeren waren. Het vrijwel ontbreken van sancties en een chronische onderbezetting bij het CBP zorgde voorts voor een sporadische, op uitwassen gerichte handhaving. In die houding van het bedrijfsleven is verandering gekomen toen met de Code Tabaksblat 3 compliance onderdeel werd van het DNA van in Nederland werkzame ondernemingen. Voldoen aan de privacywetgeving werd onderdeel van de compliance scorecard. geschaard onder de administratieve lasten. In diezelfde periode groeide, parallel aan de toename van het commerciëel gebruik van het internet, de hoeveelheid gegevens die voor commerciële doeleinden wordt verzameld exponentieel. Ondernemingen als Google en Facebook gingen voorop in het samenstellen en uitbaten van profielen van gebruikers. Dat gebeurde met behulp van cookies, kleine tekstbestanden die worden geplaatst op de computer van een websitebezoeker, doorgaans zonder dat deze zich daarvan bewust was. Om het gebruik van cookies aan banden te 1 Wet bescherming persoonsgegevens, Stb. 2000, Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb EG Nr. L 281 van 23/11/1995 blz De Nederlandse Corporate Governance Code - beginselen van deugdelijk ondernemingsbestuur en best-practicebepalingen, Commissie Corporate Governance 9 december Te vinden op rijksoverheid.nl/documenten-en-publicaties/richtlijnen/2003/12/09/code-tabaksblat.html. 10 privacy: tips en tricks voor de ondernemingspraktijk

11 leggen stelde de Europese wetgever in 2009 de e-privacyrichtlijn 4 vast, waardoor voortaan de toestemming van de gebruiker is vereist voor het plaatsen van een cookie. Gekoppeld aan een boetebepaling die toezichthouder OPTA de mogelijkheid geeft een boete van maximaal EUR op te leggen heeft dit in relatief korte tijd geleid tot een cultuuromslag. Anno 2013 bevatten de meeste websites van Nederlandse ondernemingen uitgebreide informatie over de gebruikte cookies en wordt voor het plaatsen daarvan doorgaans (impliciet) toestemming gevraagd. Het privacybewustzijn is in een stroomversnelling gekomen door het op 25 januari 2012 door de Europese Commissie gepubliceerde voorstel voor een privacyverordening. 5 In dit boekje wordt deze ook wel aangeduid als de concept Verordening. Hoewel dit instrument in bepaalde opzichten de lasten voor het bedrijfsleven in de Europese Unie zal verlichten een onderneming hoeft in de toekomst maar aan één uniform regime te voldoen in plaats van de privacywetgeving van 27 verschillende lidstaten valt toch vooral op dat de regels voor de verwerking van persoonsgegevens op veel punten zijn aangescherpt en dat op overtreding daarvan zeer hoge boetes zijn gesteld, tot 2% van de wereldwijde jaaromzet van de overtredende onderneming. Het zal nog enkele jaren duren voordat de concept Verordening in werking treedt. Uit het rapport dat over de concept Verordening is uitgebracht aan het Europees Parlement 6 (naar haar samensteller het Albrechtrapport genoemd) blijkt dat deze instelling zo Het privacybewustzijn is in een stroomversnelling gekomen door het voorstel voor een privacyverordening. 4 Richtlijn 2009/136/EG van het Europese Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatie-netwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, Pb EU Nr. L337/11 van 18/12/ Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25/01/2012, COM(2012) 11 final. Te vinden op 6 Draft report on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011 C7-0025/ /0011(COD)). Te vinden op 11 privacy: tips en tricks voor de ondernemingspraktijk

12 mogelijk nog strengere regels wil stellen aan verwerking van persoonsgegevens in de Europese Unie. Bij de behandeling in een aantal commissies van het Parlement bleek echter dat een meerderheid van de lidstaten een aantal verplichtingen van de Verordening wil afzwakken om met name het MKB te ontlasten.. Naar verwachting wordt in juni 2013 in het Europese Parlement over de tekst van de concept Verordening gestemd. Privacy staat dan ook hoog op de agenda van de Nederlandse General Counsel voor de komende jaren. Reikwijdte van de concept Verordening De reikwijdte van de concept Verordening is ten opzichte van de Privacyrichtlijn uitgebreid. De concept Verordening is ook van toepassing op het verwerken van persoonsgegevens van betrokkenen die woonachtig zijn in een lidstaat door een verantwoordelijke of bewerker die niet in de Europese Unie is gevestigd, indien de verwerking plaatsvindt in het kader van een transactie of om een gebruikersprofiel te kunnen maken (het zogenaamde profilering ). Toestemming kan niet worden gebruikt als grondslag in arbeidsverhoudingen, gezien de ongelijke positie van werknemer en werkgever. Rechtsgrondslag Evenals onder de Privacyrichtlijn dient een verwerking van persoonsgegevens een rechtmatige grondslag te hebben. Een daarvan is de toestemming van de betrokkene (onderdeel a). De definitie van toestemming in artikel 4 lid 1 van de concept Verordening maakt duidelijk dat deze steeds uitdrukkelijk moet zijn gegeven. Dat kan door een verklaring of een ondubbelzinnige handeling. 7 Een optout is niet langer een rechtmatige grondslag voor verwerking van persoonsgegevens. Toestemming kan geen rechtmatige grondslag voor verwerking bieden wanneer er een aanzienlijke onevenwichtigheid bestaat tussen de positie van de betrokkenen en de verantwoordelijke. 8 Daarmee staat vast dat toestemming niet kan worden gebruikt als grondslag in arbeidsverhoudingen, gezien de ongelijke positie van werknemer en werkgever. 9 In artikel 6 lid 1 onderdeel f is de in Nederland gebruikelijke rechtsgrondslag dat de verwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke, dat zwaarder weegt dan de bescherming van de grondrechten en fundamentele vrijheden (lees: de privacy van de betrokkenen) gehandhaafd. 7 Overweging Artikel 7 lid 4 concept Verordening. 9 Overweging 34. Overigens was dat ook al de heersende mening, zie Artikel 29 Werkgroep, Opinion 15/2011 on the definition of consent, vastgesteld op 13 juli 2011 (WP 187), te vinden op policies/privacy/docs/wpdocs/2011/wp187_en.pdf 12 privacy: tips en tricks voor de ondernemingspraktijk

13 Nieuw is een speciale bepaling voor de verwerking van persoonsgegevens van kinderen (artikel 8) die voor een kind jonger dan 13 jaar de toestemming van de ouder of voogd vereist. De verantwoordelijke moet zo goed mogelijk verifiëren of die toestemming rechtmatig is gegeven. Artikel 20 beperkt het verzamelen en verder verwerken van persoonsgegevens ten behoeve van profilering en de daarop gebaseerde marketing. 10 Dit onderwerp wordt nader behandeld in het hoofdstuk Cookies en Toestemming. Overigens valt onder deze bepaling ook verwerking van persoonsgegevens ten behoeve van beoordelingsgesprekken en andere HR- doeleinden. De grondslag daarvoor is in dat geval gelegen in de uitvoering van de arbeidsovereenkomst. Er staan hoge boetes op overtreding van vaag geformuleerde verplichtingen. Algemene verplichtingen De concept Verordening bevat enkele algemeen geformuleerde verplichtingen voor de verantwoordelijke, waarvan overtreding met een hoge boete wordt bedreigd. Een voorbeeld is artikel 11 dat de verantwoordelijke verplicht om een privacybeleid te voeren dat transparant en eenvoudig toegankelijk is. Informatie en mededelingen moeten in begrijpelijke vorm worden verstrekt, waarbij duidelijke en eenvoudige, aan de betrokkene aangepaste taal wordt gebruikt. Een algemene plicht om de verwerking van persoonsgegevens te beperken vloeit voort uit artikel 5 onder (c), dat vereist dat persoonsgegevens alleen worden verwerkt als doeleinden niet kunnen worden verwezenlijkt door verwerking van andere (bijvoorbeeld geanonimiseerde) gegevens. Het feit dat op overtreding van dergelijke vaag geformuleerde verplichtingen een hoge boete staat is niet in overeenstemming met het beginsel dat het strafbaar stellen van overtredingen alleen dan gerechtvaardigd is wanneer de overtreden norm voldoende duidelijk is geformuleerd. 11 Privacy by design en by default Ook artikel 23, dat ziet op privacy by design and by default, is nogal open geformuleerd en biedt ondernemingen daarmee weinig houvast voor een concrete invulling van hun 10 Onder profilering wordt verstaan het geautomatiseerd verwerken van persoonsgegevens met als doel aspecten van de persoonlijkheid van een betrokkene te evalueren of om zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid en gedrag te analyseren of te voorspellen. 11 Zie artikel 7, 1e lid, van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) en artikel 49, 1e lid, van het Handvest voor de Grondrechten. Zie ook de brief van 11 december 2012 van staatssecretaris Teeven, te vinden op behandeling/ /brief_vande_staatssecretaris_van/document3/f=/vj5dlxksri7s.pdf. 13 privacy: tips en tricks voor de ondernemingspraktijk

14 verplichtingen. Deze bepaling verplicht de verantwoordelijke, kort gezegd, om bij de aanschaf en het laten ontwikkelen van software, de inrichting van databases en, meer algemeen, de inrichting van een IT-systeem maatregelen te nemen om te zorgen dat de hoeveelheid verwerkte gegevens en de bewaartermijn daarvan zijn afgestemd op het doel waarvoor zij worden verzameld en dat de gegevens niet aan een onbeperkt aantal personen ter beschikking worden gesteld. Die maatregelen moeten voldoen aan de stand van de techniek van het moment van implementatie. Informatieplicht Artikel 14, dat ziet op informatieverstrekking aan de betrokkene, bevat een zeer gedetailleerde uitwerking van de informatie die aan de betrokkene moet worden verstrekt over de Veel privacy policies van ondernemingen zullen aan de uitgebreide informatieplicht moeten worden aangepast. verwerking van zijn persoonsgegevens. Nieuw is dat de betrokkene duidelijke informatie moet worden verstrekt over zijn rechten, zoals het recht op inzage, correctie en verwijdering van persoonsgegevens. 12 Ook moet specifiek worden vermeld of profilering wordt toegepast en of de intentie bestaat gegevens door te geven naar derde landen (zie hierna). Veel privacy policies van ondernemingen zullen aan deze uitgebreide informatieplicht moeten worden aangepast. Right to be forgotten Een nieuw right to be forgotten wordt geïntroduceerd door artikel 17. Dit houdt in dat de verantwoordelijke onder omstandigheden moet zorgen dat persoonsgegevens worden gewist en verdere verspreiding achterwege blijft. Dat is onder meer het geval als de betrokkene zijn toestemming intrekt, bezwaar maakt tegen de verwerking, of als de verwerking op andere gronden niet voldoet aan de verordening. Dit laatste impliceert dat een onderneming in dat geval uit eigen beweging de gegevens moet wissen. Worden de gegevens op verzoek van de betrokkene verwijderd en zijn zij door of met toestemming van de verantwoordelijke openbaargemaakt dan moet deze alle redelijke maatregelen nemen om derden die de gegevens verwerken van de intrekking van de toestemming door de betrokkene op de hoogte te stellen. Verwerking van persoonsgegevens voor de uitoefening van het recht op vrijheid van meningsuiting is uitgezonderd van de verplichting gegevens te verwijderen. 13 Daarmee worden 12 Artikel 12 concept Verordening. 13 Artikel 17 lid 3 zondert van deze verplichting onder meer ook uit verwerking om redenen van algemeen belang op het gebied van de volksgezondheid (lid 3 sub b), voor historische, statistische of wetenschappelijke doeleinden (en lid 3 sub c) of wanneer gegevens nog moeten worden bewaard ten behoeve van bewijsvoering (lid 4 sub b). 14 privacy: tips en tricks voor de ondernemingspraktijk

15 de media in het algemeen gevrijwaard van de verplichting gegevens over personen op hun verzoek te verwijderen. Privacybeleid Artikel 22 verplicht de verantwoordelijke een privacybeleid te voeren. Daaronder valt onder meer de verplichting documentatie inzake alle verwerkingen die onder zijn verantwoordelijkheid hebben plaatsgevonden te bewaren (artikel 28), passende technische en organisatorische maatregelen te nemen ter beveiliging van persoonsgegevens (artikel 30), in bepaalde gevallen vooraf een privacyeffectbeoordeling uit te voeren (artikel 33, zie hierna) en een gegevensfunctionaris aan te wijzen (artikel 35). Op grond van artikel 33 moeten De bewerker kan bij overtreding van diens verplichtingen worden gestraft met dezelfde hoge boetes als de verantwoordelijke. ondernemingen een zogenaamde privacy impact assessment) doen, wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico s inhouden voor de rechten en vrijheden van betrokkenen. Dat is met name het geval wanneer profilering plaatsvindt, bij verwerking van gegevens in de gezondheidszorg die betrekking hebben op het seksuele leven de gezondheid, het ras of de etnische afkomst, videobewaking van openbaar toegankelijke ruimtes en de verwerking in grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens. Functionaris voor de gegevensbescherming De aanstelling van een functionaris voor de gegevensbescherming, hetgeen in Nederland op dit moment vrijwel alleen voorkomt bij de overheid, wordt verplicht voor ondernemingen met meer dan 250 werknemers. 14 Deze functionaris moet onder meer toezien op de uitvoering en toepassing van het privacybeleid van de onderneming en van verschillende bepalingen van de verordening, zoals het beperken van gegevensverwerkingen door toepassing van privacy by design en privacy by default, het beveiligen van gegevens en het voldoen aan het verzoek van betrokkenen om informatie in het kader van de uitoefening van hun recht op grond van de verordening. Ook bij melding van datalekken heeft de functionaris een belangrijke rol. Verplichtingen bewerker Op grond van artikel 26 wordt een aantal verplichtingen gelegd op de bewerker, waaronder het nemen van adequate beveiligingsmaatregelen, het handelen binnen het kader van de 14 En kleinere ondernemingen, indien deze verwerkingen doet die vanwege hun aard, omvang of doel regelmatige en stelselmatige observatie van betrokkene vereisen. Dit laatste geldt bijvoorbeeld voor headhunters. 15 privacy: tips en tricks voor de ondernemingspraktijk

16 instructies van de verantwoordelijke en het opleggen van een geheimhoudingsplicht aan zijn personeel. Onder de huidige wetgeving moeten deze verplichtingen van de bewerker worden neergelegd in een bewerkerovereenkomst en is naleving dus met name een privaatrechtelijke aangelegenheid. Onder de concept Verordening kan de bewerker bij overtreding van diens verplichtingen worden gestraft met dezelfde hoge boetes als aan de verantwoordelijke kunnen worden opgelegd. Meldplicht datalekken De concept Verordening voert een meldplicht in voor datalekken, die wordt uitgewerkt in artikelen 30 tot en met 32. Uitgangspunt is dat ieder datalek zo spoedig mogelijk wordt gemeld aan de toezichthouder (het CBP) en, als negatieve gevolgen voor de bescherming van de Voor doorgifte naar derde landen zal steeds een overeenkomst moeten worden gesloten die voldoet aan de modelbepalingen. persoonsgegevens of de privacy van de betrokkenen waarschijnlijk zijn, eveneens aan de betrokkenen. Dit wordt nader behandeld in het hoofdstuk Datalekken. Overdracht gegevens naar derde landen Een ander aandachtspunt is de overdracht van gegevens naar landen buiten de Europese Economische Ruimte, waarvoor de Europese Commissie niet een verklaring heeft afgegeven dat zij een passend beschermingsniveau waarborgen. 15 Onder de Privacyrichtlijn zijn dergelijke verklaringen al afgegeven voor een aantal landen. 16 Doorgifte is ook mogelijk op grond van binding corporate rules (BCR). 17 Een belangrijke verbetering ten opzichte van de Privacyrichtlijn is dat BCR niet ook kunnen worden gebruikt in de relatie met bewerkers.dit zijn bindende voorschriften die gelden voor alle leden van de groep van ondernemingen waartoe de verantwoordelijke of de bewerker behoort. Goedkeuring van een toezichthouder van één lidstaat is voldoende om de BCR te laten gelden in alle lidstaten. Overdracht naar derde landen is overigens alleen toegestaan op de gronden die zijn opgenomen in artikel 44. Naast toestemming van de betrokkene en doorgifte die noodzakelijk is ter uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke is doorgifte onder meer toegestaan als deze noodzakelijk is voor de vaststelling, de uitoefening of de verdediging 15 Op grond van artikel 41 kunnen dergelijke verklaringen door de Europese Commissie worden afgegeven. 16 Andorra, Argentinië, Australië, Canada, Zwitserland, Israël, Faeröer eilanden, Guernsey en Isle of Man (stand per 01/02/2013). 17 Artikel 43 concept Verordening. Dit zijn bindende voorschriften die gelden voor alle leden van de groep van ondernemingen waartoe de verantwoordelijke of de bewerker behoort, waarin de belangrijkste verplichtingen onder de concept Verordening zijn neergelegd. 16 privacy: tips en tricks voor de ondernemingspraktijk

17 van een recht in rechte of voor de gerechtvaardigde belangen van de verantwoordelijke of de bewerker, mits de overdracht niet als frequent of massaal kan worden beschouwd. Daarbij moeten zo nodig passende garanties worden geboden voor de bescherming van persoonsgegevens, mede gezien de aard daarvan, het doel en de duur van de verwerking. Deze garanties moeten worden gedocumenteerd. Voor de doorgifte zal in deze gevallen van artikel 44 steeds een overeenkomst moeten worden gesloten met de ontvanger van de persoonsgegevens, die voldoet aan de modelbepalingen die de Commissie op grond van artikel 42 vaststelt. Een voordeel voor ondernemingen ten opzichte van de huidige regeling van doorgifte onder de Privacyrichtlijn is dat niet langer de voorafgaande goedkeuring van de De maximale boete bedraagt 2% van de jaarlijkse wereldwijde omzet. toezichthouder kan worden vereist. Overigens is dit vergunningvereiste in Nederland onlangs afgeschaft voor gevallen waarin tussen verantwoordelijke en ontvanger een modelcontract is gesloten. 18 Concentratie toezicht Een belangrijke verbetering voor ondernemingen die in meerdere lidstaten zijn gevestigd is dat de handhaving van de concept Verordening wordt opgedragen aan de toezichthouder van de lidstaat waar de onderneming zijn hoofdvestiging heeft. Dit is de plaats waar zich zijn centrale administratie in de Europese Unie bevindt. 19 Deze hoofdtoezichthouder moet samenwerken met de toezichthouders in de andere lidstaaten waar de onderneming werkzaam is. Wellicht dat de huidige praktijk met BCR, waarin één toezichthouder de regels toetst en goedkeurt en twee andere toezichthouders commentaar kunnen leveren, hierbij een voorbeeld voor praktische uitvoering van deze bepaling. Beperkingen en uitzonderingen De reikwijdte van een aantal bepalingen, zoals de plicht betrokkenen over verwerking van hun gegevens te informeren, het recht om gegevens te laten wissen en de beperkingen ten aanzien van profilering kunnen op basis van de in artikel 21 genoemde gronden worden beperkt door nationale of EU-wetgeving, voor zover dat in een democratische samenleving een noodzakelijke en evenredige maatregel is. Daaronder valt onder meer dat een dergelijke beperking nodig is ter bescherming van de betrokkene of van de rechten en vrijheden van anderen. Deze grond is nu opgenomen in artikel 43 Wbp en vormt onder meer de grondslag voor beperking van de verplichting om de betrokkene informatie te verstrekken over verwerking 18 Aan artikel 77, eerste lid, Wbp is daartoe een onderdeel g. toegevoegd. Wet van 26 januari 2012, Stb. 2012, 33, onderdeel K. 19 Overweging privacy: tips en tricks voor de ondernemingspraktijk

18 van zijn persoonsgegevens maar ook voor het opschorten van de informatieplicht in geval van verwerking van persoonsgegevens ten behoeve van een overheidsonderzoek of in het kader van een discoveryprocedure (zie hierover het hoofdstuk e-discovery). Boetes Zoals aangegeven krijgen het CBP en zijn Europese collega s ter verbetering van de handhaving van de privacyregels de mogelijkheid hoge boetes op te leggen bij overtreding van de verordening. De maximale boete bedraagt 2% van de jaarlijkse wereldwijde omzet (artikel 79 lid 6 van de concept Verordening). Die boete kan worden opgelegd voor overtredingen, zoals: niet voldoen aan verzoeken van betrokkenen om informatie, correctie of afscherming van hun gegevens (artikel 19); het niet documenteren van de verwerkingen van persoonsgegevens binnen de onderneming (artikel 28); Het Albrecht-rapport wil de regels voor verwerking van persoonsgegevens in de Europese Unie nog verder aanscherpen. verwerking van gezondheidgegevens en andere gevoelige gegevens zonder de vereiste ondubbelzinnige toestemming van de betrokkene (artikel 9); ontbreken van adequate beveiligingsmaatregelen om datalekken, ongeautoriseerde toegang tot en vernietiging van data te voorkomen (artikel 30); niet tijdig of volledig melden van datalekken, zoals verlies van een USB-stick of de hack van een website (artikel 31 en 32); en niet verrichten van privacyeffectrapportages van verwerkingen die bijzondere privacyrisico s meebrengen, zoals gezondheidsgegevens (artikel 34). Het Albrecht-rapport Op 10 januari 2013 heeft rapporteur Albrecht namens de LIBE commissie 20 van het Europees Parlement, die bij dit onderwerp de leiding heeft, een rapport uitgebracht dat, zoals in de inleiding is aangegeven, de regels voor verwerking van persoonsgegevens in de Europese Unie nog verder wil aanscherpen. 21 Het rapport telt ruim 200 pagina s, zodat in het kader van deze uitgave alleen aandacht kan worden gegeven aan enkele bepalingen die ingrijpende gevolgen kunnen hebben voor in Nederland gevestigde ondernemingen. 20 De Commissie Burgerlijke vrijheden, justitie en binnenlandse zaken. 21 Voor de vindplaats van het rapport zie noot privacy: tips en tricks voor de ondernemingspraktijk

19 Een belangrijke voorgestelde wijziging betreft de grondslagen voor verwerking van persoonsgegevens. 22 De in Nederland doorgaans gebruikte rechtvaardigingsgrond dat verwerking noodzakelijk is voor de gerechtvaardigde belangen van de verantwoordelijke, die zwaarder wegen dan het privacybelang van de betrokkene, wordt alleen nog toegestaan in specifiek genoemde omstandigheden en alleen wanneer geen van de andere rechtvaardigingsgronden (zoals toestemming) kan worden gebruikt. Bovendien moet de verantwoordelijke de betrokkene informeren over de redenen Overdracht van gegevens naar een derde land in het kader van e-discovery wordt in de voorstellen in het Albrecht-rapport aan strenge voorwaarden onderworpen. waarom het gerechtvaardigd belang van de verantwoordelijke zwaarder weegt dan de bescherming van de privacy van de betrokkene. Die mededeling is ook opgenomen in het voorstel voor aanpassing van de informatieverplichtingen van artikel 14, die verder zijn uitgebreid met informatie over de maatregelen die bij doorgifte zijn genomen en over rights and mechanisms om bezwaar te maken tegen verwerking van persoonsgegevens of deze te vermijden. Ook wordt voorgesteld een verplichting in te voeren om de betrokkene op de hoogte te stellen in geval van mededeling van zijn persoonsgegevens aan een overheidsorgaan op diens verzoek. Ten aanzien van profilering stelt het Albrecht-rapport voor om dit alleen toe te staan met toestemming van de betrokkene of op basis van een wettelijke regeling. 23 Profiling dient verder te worden beperkt door daarvan uit te sluiten het verwerken van bijzondere gegevens en gegevens die het mogelijk maken om kinderen te identificeren of te individualiseren. 24 Een belangrijke voorgestelde wijziging is ook dat ondernemingen die persoonsgegevens verwerken die betrekking hebben op meer dan 500 betrokkenen een functionaris van de gegevensbescherming moeten aanstellen, ook als zij minder dan 250 werknemers hebben. 25 Overdracht van gegevens naar een derde land in het kader van e-discovery wordt in de voorstellen in het Albrecht-rapport aan strenge voorwaarden onderworpen door een nieuw 22 Artikel 6 conceptverordening. 23 Amendement 158, pagina 102 van het Albrecht-rapport. 24 Amendement 162 en 164, pagina 104 en 105 van het Albrecht-rapport. 25 Amendement 223, pagina 134 Albrecht-rapport 19 privacy: tips en tricks voor de ondernemingspraktijk