Het Europees privacyrecht in beweging

Transcriptie

1 Het Europees privacyrecht in beweging

2

3 Het Europees privacyrecht in beweging Overzicht van actuele ontwikkelingen en mogelijke consequenties voor werkzaamheden van IT-auditors februari 2013 Mr. dr. A.W. Duthler Drs. A.J. Biesheuvel RA RE

4 Grafische vormgeving: Bert Arts BNO NOREA de beroepsorganisatie van IT-auditors Bezoekadres Antonio Vivaldistraat HP Amsterdam Postadres Postbus AD Amsterdam tel +31 (0) fax + 31 (0) Deze uitgave is ontwikkeld in samenwerking met: Duthler Associates Adviseurs voor Bestuur, Recht en ICT Frankenslag HH s-gravenhage tel +31 (0) info@duthler.nl 2013 Duthler Associates Uitgegeven door: Uitgeverij Kluwer Deventer Deze uitgave wordt uitgegeven onder de Creative Commons licentie Naamsvermelding-GeenAfgeleide-Werken-NietCommercieel 2.0 Nederland ( De volledige tekst van deze licentie is te vinden op

5 VOORWOORD Deze publicatie is het vierde deel in de serie IT-recht, die door de NOREA wordt uitgegeven in samenwerking met Duthler Associates en Kluwer. De publicatiereeks wordt tot stand gebracht in het kader van het NOREA productplan onder auspiciën van de Vaktechnische Commissie. De publicatie behandelt Het Europees Privacyrecht in beweging, waarmee met name wordt gedoeld op de gevolgen van de voorgestelde Europese verordening voor de gegevensbescherming (General Data Protection Regulation) in vergelijking met de huidige Wet bescherming persoonsgegevens (Wbp). In de beroepspraktijk van IT-auditors zijn adequate informatiebeveiliging en bescherming van persoonsgegevens belangrijke aandachtspunten. Daarom is door NOREA bijgedragen aan de ontwikkeling van het Raamwerk Privacy Audit en het keurmerk Privacy Audit Proof. Door IT-auditors wordt de toepassing van een stelselmatige risicoanalyse, de Privacy Impact Assessment (PIA), aanbevolen als een belangrijk instrument voor bedrijven en organisaties. In het nieuwe regeerakkoord is de PIA zelfs benoemd tot standaard bij de bouw van systemen en het aanleggen van databestanden. Ook in dat perspectief is de informatie over de juridische context en de actuele ontwikkeling daarbij van belang. Waar mogelijk wordt in deze handreiking ook ingegaan op de consequenties voor de werkzaamheden van IT-auditors. Dank gaat uit naar een ieder die betrokken is geweest bij de totstandkoming van deze uitgave, in het bijzonder de samenstellers mr. dr. Anne-Wil Duthler en André Biesheuvel. Het bestuur hoopt met deze uitgave haar leden van dienst te zijn. Het NOREA-bestuur V

6

7 INHOUDSOPGAVE Voorwoord / V 1 Inleiding / Introductie / Leeswijzer / 2 2 De rol van de IT-auditor / 5 3 Wat is privacy? / 7 4 Korte introductie huidig privacyrecht / Beginselen Wbp / Begrippen Wbp / Verwerkingen / Toestemming / Privacytoets / Beveiliging / Rechten, reikwijdte en toezicht / 13 5 Kernelementen van de privacyverordening / Inleiding / Kernbepalingen van de voorgestelde verordening / Beginselen en begrippen / Enkele kernbepalingen uitgelicht / 19 6 Meldplicht datalekken / 25 7 Privacy by design en privacy by default en de PIA / 27 8 Functionaris gegevensbescherming / 33 9 Sancties bij niet naleven privacyregels / 37 VII

8 Inhoudsopgave 10 Privacybeleid / Relatie van de privacyverordening met de regels van goed bestuur of good governance / Slot en betekenis verordening voor IT auditors / 43 Index / 45 VIII

9 HOOFDSTUK 1 Inleiding 1.1 Introductie Op 25 januari 2012 presenteerde de Europese Commissie (EC) haar voorstel voor een algemene verordening gegevensbescherming. 1 Ook presenteerde zij op die dag een voorstel voor een richtlijn gegevensbescherming in het kader van de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten. 2 Beide voorstellen moeten met elkaar in samenhang worden gezien en vormen samen het nieuwe (aankomend) rechtskader voor de bescherming van persoonsgegevens binnen de Europese Unie (EU). Aangezien de richtlijn specifiek ziet op het justitieel en politieel werkterrein zullen we deze slechts marginaal behandelen. In deze publicatie staat de algemene verordening die rechtstreeks in alle lidstaten van kracht zal worden, centraal. 3 IT-auditors hebben bijna altijd te maken gehad met het privacybeschermingsrecht. IT-auditing is een specialisatie die ziet op de beheersing en de beoordeling van de kwaliteit van geautomatiseerde informatievoorziening. Informatievoorziening gaat zo goed als altijd gepaard met het verwerken van persoonsgegevens. De IT-auditor zal dus alert moeten zijn of de voor de verwerking van persoonsgegevens geldende wet- en regelgeving op deugdelijke wijze wordt nageleefd. Een belangrijk verschil met de huidige Europese privacyrichtlijn, die door Nederland is geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp), is dat er minder ruimte is voor de toepassing van de criteria proportionaliteit en subsidiariteit en dat de werkingssfeer breder is. Met dat laatste wordt hier bedoeld dat deze verordening ook relevant wordt voor raden van bestuur, raden van toezicht en raden van commissarissen, en niet in de laatste plaats accountants. Vanwege de hoogte van de boetes die kunnen worden opgelegd in geval de verordening niet wordt 1. Voorstel voor een verordening van het Europees parlement en de raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, COM (2012) 11 final. 2. Voorstel voor een richtlijn van het Europees parlement en de raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, COM (2012) 10 final. 3. In tegenstelling tot een richtlijn heeft een verordening rechtstreekse werking en hoeft deze niet eerst te worden omgezet naar nationale wetgeving. 1

10 1.2 Hoofdstuk 1 / Inleiding nageleefd, vormen de risico s van niet naleven verslaggevingsrisico s. Een boete van 2% van de wereldwijde jaaromzet kan van invloed zijn op het getrouw beeld van de jaarrekening en is daarmee van belang voor de verantwoordelijkheid van bestuurders en toezichthouders, alsmede van de accountant die belast is met de controle van de verantwoording en het opstellen van de verklaring bij de jaarrekening. Verder wordt in tegenstelling tot de geldende richtlijn en de Wbp in de voorgestelde privacyverordening het treffen van procedures en maatregelen expliciet voorgeschreven. Zo wordt op diverse plekken in de privacyverordening gesproken over te nemen procedures en maatregelen, en mechanismen. De aard van deze publicatie is vooral informerend. Nagegaan wordt wat de consequenties zijn voor de operationele praktijk van degenen die verantwoordelijk zijn voor de verwerking van persoonsgegevens en de controle daarop door IT-auditors. In deze uitgave krijgen IT-auditors praktische aandachtspunten en handreikingen 4 aangereikt zodat zij in staat zijn tijdig tekortkomingen op het gebied van naleving van privacywet- en regelgeving te onderkennen. Er wordt geen juridische kennis of kennis op het gebied van privacybescherming voorondersteld. Voor de juridische fijnproevers worden in voetnoten verwijzingen opgenomen naar relevante wetgeving en literatuur. Dit boekje is ontwikkeld op initiatief van NOREA, de beroepsorganisatie van gekwalificeerde IT-auditors in Nederland. Het is samengesteld door Duthler Associates, adviseurs voor recht, bestuur en ICT en specialisten in het privacyrecht. 1.2 Leeswijzer In deze publicatie worden de belangrijkste onderwerpen van de voorgestelde Europese privacyverordening (hierna: privacyverordening ) besproken en wordt nagegaan welke betekenis deze hebben voor de praktijk en in het bijzonder voor IT-auditors. Voordat daarmee wordt begonnen, wordt in hoofdstuk 4 eerst nog de rol van de IT-auditor beschreven en wordt in hoofdstuk 5 kort ingegaan op de vraag wat privacy nu eigenlijk is. In hoofdstuk 6 worden de belangrijkste kenmerken van de geldende Wet bescherming persoonsgegevens (Wbp) besproken. De Wbp bepaalt voor een groot deel het geldende privacyrecht en vanuit dit geldende privacyrecht is het makkelijker de vernieuwingen en wijzigingen die de voorgestelde privacyverordening met zich mee brengt te beschrijven en te beoordelen. Daarna wordt in hoofdstuk 7 en verder ingegaan op de meest in het oog springende veranderingen die de voorgestelde privacyverordening met zich meebrengt. In hoofdstuk 7 wordt uiteengezet wat de aanleiding is voor de nieuwe verordening. Wat zijn de kernelementen en in hoeverre is er sprake van nieuwe rechten en verplichtingen? Er wordt bijvoorbeeld ingegaan op de praktische uitwerking van de informatie- en documentatieplicht als kernelement en het recht om vergeten te 4. Onder de verwijzing: Voor de IT-auditor. Let hierbij op dat deze voors vooral illustratief zijn en niet (altijd) volledig. 2

11 Hoofdstuk 1 / Inleiding 1.2 worden als nieuw recht. Na dit hoofdstuk komen in de hoofdstukken 8 en 9 enkele van de meer ingrijpende vernieuwingen zoals de meldplicht datalekken, privacy by design en by default en de privacy impact assessment aan de orde. Vervolgens worden in hoofdstuk 10 de rol en positie van de functionaris gegevensbescherming behandeld en worden in hoofdstuk 11 de mogelijke sancties bij het niet-naleven van de privacyregels besproken. Hoofdstuk 12 behandelt de noodzaak en verplichting van een intern privacybeleid en in hoofdstuk 13 wordt de relatie van de voorgestelde privacyverordening besproken met good governance of ook wel goed bestuur. In hoofdstuk 14 wordt de betekenis van de voorgestelde verordening voor IT-auditors nog een keer samengevat. Deze publicatie is geen kookboek voor IT-Auditors of voor de verantwoordelijke hoe om te gaan met de voorgestelde privacyverordening. Het geeft wel een goede indruk van de inhoud en betekenis van de verordening voor de praktijk. Het bevat aandachtspunten en handreikingen voor de toepassing en controle op naleving van de verordening. Niet nagegaan is of en hoe de Europese privacyverordening bijvoorbeeld intervenieert met andere wet- en regelgeving, zoals die voor het financiële toezicht en of met andere nationale of internationale wetgeving. Dat laatste is vooral voor corporate families (betreffende bedrijfsrelaties zoals moeder- en dochtermaatschappijen) van belang. 3

12

13 HOOFDSTUK 2 De rol van de IT-auditor Bedrijven en instellingen merken dat ze voor hun informatievoorziening in toenemende mate afhankelijk zijn van betrokkenen. Betrokkenen bepalen meer en meer zelf wie wanneer voor welke doeleinden toegang krijgt tot hun gegevens. Wij spreken in dit verband van empowerment van de betrokkenen. Informatiesystemen zijn essentieel voor de bedrijfsvoering en de informatievoorziening. Een IT-auditor is degene die een deskundig en onafhankelijk oordeel kan vellen over de kwaliteit van de informatievoorziening en de betrouwbaarheid ervan. Tot zijn opdracht kan tevens het toetsen van de kwaliteit van de naleving van de privacyregels behoren. Bedrijven en instellingen zullen op basis van zijn oordeel maatregelen treffen om de kwaliteit van de naleving van wet- en regelgeving in casu de privacywetgeving te verbeteren. Dit niet in de laatste plaats vanwege het risico op boetes en imagoschade die het gevolg kunnen zijn van het niet naleven van de privacyregels. De naleving van wet- en regelgeving wordt getoetst aan de hand van voorhanden procedures, maatregelen en mechanismen. De IT-auditor beoordeelt het gehanteerde normenkader, vraagt inzage in deze procedures en maatregelen en houdt deze tegen het licht. Hij gaat na of ze voldoende zijn om te kunnen voldoen aan de vereisten uit de wet- en regelgeving. De bestaande wet- en regelgeving (voornamelijk de Wbp) bevat met name de rechten van betrokkenen en verplichtingen van verantwoordelijken. De verdere uitwerking hiervan wordt aan degenen die de regels moeten naleven overgelaten. Dit verandert in de voorgestelde privacyverordening. Daarin wordt het treffen van procedures, maatregelen en mechanismen die nodig zijn om aan de rechten en verplichtingen te kunnen voldoen expliciet verplicht gesteld. Hierdoor wordt het de IT-auditor makkelijker gemaakt en hoeft hij minder te interpreteren wat de specifieke eisen zijn en hoe deze te toetsen zijn. Hij toetst de opzet, het bestaan en eventueel de werking van de procedures, maatregelen en mechnismen. De ITauditor kan nu gerichter aan het werk gaan, iets dat de naleving van privacyregels uiteindelijk ten goede zal komen. Daarnaast is het opvallend dat de auditor in de verordening een expliciete rol toebedeeld heeft gekregen. Zo is in de privacyverordening de verplichting opgenomen dat de doeltreffendheid van getroffen maatregelen wordt getoetst om er voor te zorgen en aan te kunnen tonen dat de 5

14 Hoofdstuk 2 / De rol van de IT-auditor verwerking van persoonsgegevens in overeenstemming met de verordening wordt uitgevoerd. Deze toetsing wordt uitgevoerd door onafhankelijke interne of externe controleurs. 1 Een functionaris gegevensbescherming moet toezien op de uitvoering en toepassing van audits Artikel 22 lid Artikel 37 lid 1 sub b. 6

15 HOOFDSTUK 3 Wat is privacy? Om goed met de privacyverordening uit de voeten te kunnen is het van belang vast te stellen wat er onder privacy kan worden verstaan. Er zijn verschillende definities en visies in omloop. In ieder geval is het een grondrecht: een afweerrecht dat de persoonlijke levenssfeer beschermt. Vroeger verstond men onder het recht op privacy het recht om met rust gelaten te worden. Tegenwoordig verstaat men onder het recht op privacy the right to know what other people know about you of te wel het recht om controle te houden over je eigen persoonsgegevens. De privacywet- en regelgeving is gebaseerd op het Europese Verdrag voor de Rechten van de Mens 1 en de Nederlandse Grondwet. 2 Het belang van privacy neemt toe en het besef hiervan is doorgedrongen tot internationale fora. Zo geeft het World Economic Forum aan: As personal data increasingly becomes a critical source of innovation and value, business boundaries are being redrawn. Fundamental questions about privacy [ ] essentially around who should benefit from the products and services built upon personal date are major uncertainties [ ]. Building the legal, cultural, technological and economic infrastructure to enable the development of a balanced personal data ecosystem is vitally important to improving the state of world. 3 Voorkomen moet worden dat een inbreuk wordt gemaakt op de persoonlijke levenssfeer en wanneer een inbreuk noodzakelijk is, moet deze voorzien worden van een aantal effectieve waarborgen. Waarom moet privacy? Is het niet onnodig en overbodig geworden in het internettijdperk waarin iedereen het prima vindt dat al zijn gegevens bekend zijn en je niets te verbergen hebt? Afgezien van deze groteske generalisatie ziet men juist de laatste tijd een kentering plaatsvinden. Niet alleen bij 40-plussers, maar ook bij jongeren wordt goed zichtbaar wat de totale openheid qua persoonsgegevens aanricht. We hoeven alleen maar te refereren aan mensen die spijt hebben van een vroegere actie waarbij persoonsgegevens (zoals foto s en films) in overmoed online zijn gezet en die deze met geen mogelijkheid er meer vanaf 1. Artikel 8 Europees Verdrag voor de Rechten van de Mens (EVRM). 2. Artikel 10 Grondwet. 3. World Economic Forum January 2011, Personal Data: the Emergence of a New Asset Class. 7

16 Hoofdstuk 3 / Wat is privacy? krijgen. Een hoogleraar heeft dit jaar nog heel treffend verwoord waar een privacyloos bestaan naar toe leidt: wie volledig doorrekenbaar is geworden kan volledig gemanipuleerd worden, wie geen geheimen meer heeft voor anderen is ontdaan van de creatieve, dynamische balans tussen binnen en buiten die zowel de persoonlijke autonomie als de relationele kwetsbaarheid constitueert van het zelf Prof. Mr. Dr. M. Hildebrandt, De rechtsstaat in Cyberspace in: P&I Jaargang 15 Afl. 1 februari

17 HOOFDSTUK 4 Korte introductie huidig privacyrecht Het is van belang om te weten hoe het huidige privacyrecht (en dan met name de Wbp) is opgezet om zo makkelijker in te kunnen zien welke veranderingen en vernieuwingen de invoering van de privacyverordening met zich meebrengt. Het op dit moment geldende privacyrecht wordt vooral bepaald door de Wbp. Daarnaast kennen verschillende sectorale wetten privacybepalingen, die soms in de plaats komen van die van de Wbp en soms aanvullend zijn ten opzichte van de Wbp. Voorbeelden van de eerste categorie zijn de Wet politiegegevens en de Wet gemeentelijke basisadministratie. Voorbeelden van de tweede categorie zijn de Wet geneeskundige behandelingsovereenkomst en de Wet op de jeugdhulpverlening. De Wbp vloeit voort uit de Europese privacyrichtlijn, 1 die in 1995 van kracht is geworden. De in de inleiding genoemde Europese privacyverordening komt straks in de plaats van de Europese richtlijn. De privacyverordening hoeft in tegenstelling tot de richtlijn, niet naar Nederlandse wetgeving om te worden gezet (geïmplementeerd) Beginselen Wbp In de Wbp is de bescherming van gegevens van de natuurlijke persoon geregeld. Deze natuurlijke persoon wordt betrokkene genoemd. De tot deze individuele persoon herleidbare gegevens worden persoonsgegevens genoemd. De Wbp regelt onder welke voorwaarden deze persoonsgegevens verwerkt mogen worden en eventueel aan anderen verstrekt mogen worden. Uitgangspunt van de Wbp is dat de betrokkene zelf controle kan houden over zijn eigen gegevens. Eén van de beginselen van de Wbp is dan ook het transparantiebeginsel. Alleen als de verantwoordelijke organisatie die zijn persoonsgegevens verwerkt aan de betrokkene meedeelt dat deze zijn gegevens verwerkt en daarbij kenbaar maakt voor welk doel hij dat doet en hoe lang hij zijn gegevens bewaart, is de betrokkene in staat die controle te houden. Andere belangrijke beginselen zijn het doelbindingsbeginsel en de beginselen van proportionaliteit en subsidiariteit. Met doelbindingsbeginsel wordt bedoeld dat gegevens slechts mogen worden verwerkt voor een van te voren welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde. Met het proportionaliteitsbeginsel (ook wel evenredigheidsbeginsel genoemd) wordt 1. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband niet de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. PbEG 1995 L 281/ De privacyverordening zal rechtstreeks van toepassing zijn. 9

18 4.2 Hoofdstuk 4 / Korte introductie huidig privacyrecht bedoeld dat de inbreuk op de belangen van de bij de verwerking van persoonsgegevens betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Het subsidiariteitsbeginsel houdt in dat het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere voor de betrokkene minder nadelige wijze kan worden bereikt. 4.2 Begrippen Wbp In de Wbp zijn begrippen met bijbehorende definities opgenomen. Een aantal cruciale begrippen heeft betrekking op rollen of actoren (bijvoorbeeld: de verantwoordelijke) die kunnen worden onderscheiden. De belangrijkste begrippen zijn: verantwoordelijke (de instantie of persoon die verantwoordelijk is voor de verwerking van persoonsgegevens en de zeggenschap heeft over het doel en middelen van de verwerking), bewerker (de instantie of persoon die voor de verantwoordelijke persoonsgegevens bewerkt zonder in een hiërarchische relatie tot de verantwoordelijke te staan), betrokkene (diegene waarover de persoonsgegevens informatie bevatten) en de derde (die noch betrokkene, noch verantwoordelijke, noch bewerker, noch diegene die onder rechtstreeks gezag van verantwoordelijke of bewerker gemachtigd is om de gegevens te verwerken). Als we het voorbeeld van een ziekenhuis nemen, dan is de voorzitter van de Raad van Bestuur de verantwoordelijke, zijn de patienten en medewerkers de betrokkenen, zijn de ziektekostenverzekeraars de derden en is het salarisverwerkingsbedrijf, er van uitgaande dat de salarisverwerkingen zijn uitbesteed, de bewerker. Daarnaast kent de Wbp begrippen als verwerking van persoonsgegevens, toestemming van betrokkene en verstrekken van persoonsgegevens. Met verwerking van persoonsgegevens worden alle handelingen bedoeld met betrekking tot persoonsgegevens, waaronder het verzamelen, het vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, verstrekken, verspreiden, afschermen, uitwissen of vernietigen van gegevens. Dus het opnemen van gegevens van de patient in zijn dossier is een vorm van verwerking. Toestemming van de betrokkene wordt gedefinieerd als elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. Verstrekken van persoonsgegevens wordt omschreven als het bekend maken of ter beschikking stellen van persoonsgegevens. 3 Het verstrekken van patientgegevens uit het dossier bijvoorbeeld aan de ziektekostenverzekeraar is een vorm van verder verwerken. Dit verstrekken van gegevens dient te worden getoetst aan het verenigbaarheidscriterium. Dit houdt in dat het verstrekken van gegevens verenigbaar moet zijn met het doel waarvoor de gegevens verkregen zijn. De Wbp bepaalt dat persoonsgegevens niet verder mogen worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen Zie artikel 1 Wbp. 4. Artikel 9, lid 1 Wbp. 10

19 Hoofdstuk 4 / Korte introductie huidig privacyrecht Verwerkingen De Wbp is doorgaans van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Volgens de wet is een persoonsgegeven alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het gaat dus allereerst om gegevens die informatie over een persoon bevatten. Niet alleen kunnen gegevens zelf informatie bevatten, maar de informatie kan ook uit de context worden opgemaakt waarbinnen deze gegevens worden gebruikt. Gegevens die niet rechtstreeks informatie over een persoon bevatten, maar betrekking hebben op een product of een proces en/of kunnen leiden naar een te identificeren persoon zijn daarmee persoonsgegevens. Zoals we hiervoor hebben gezien kan een groot aantal handelingen of geheel van handelingen worden beschouwd als een verwerking van persoonsgegevens. Het verwerken van persoonsgegevens moet een gerechtvaardigd doeleinde dienen en dit doeleinde moet welbepaald en uitdrukkelijk omschreven zijn. 5 In de wet worden zes categorieen gerechtvaardigde doeleinden genoemd. 6 Een voorbeeld van zo n categorie is de gegevensverwerking die noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is. Ter illustratie: een werkgever is verplicht het burgerservicenummer van zijn medewerkers in de personeelsadministratie op te nemen. Welbepaald en uitdrukkelijk omschreven wil zeggen dat men geen gegevens mag verzamelen zonder een precieze doelomschrijving, dat de doelomschrijving niet vaag en ruim mag zijn, maar precies en duidelijk moet zijn. 4.4 Toestemming Toestemming van de betrokkene (voor een bepaalde verwerking) is een belangrijke grondslag voor gegevensverwerkingen. Met toestemming van betrokkene is in principe veel mogelijk. Aan het rechtsgeldig verlenen van toestemming zijn echter voorwaarden verbonden. Dat betekent dat de toestemming die is verstrekt onder dreiging van bijvoorbeeld ontslag of het niet overgaan tot loonsverhoging, niet kan worden omschreven als toestemming die in vrijheid is verstrekt. De toestemming moet verder voldoende specifiek zijn en op ondubbelzinnige 7 wijze zijn gegeven. Voor de verwerking van gewone gegevens kan de toestemming als ondubbelzinnig worden gekwalificeerd, als dit uit andere gedragingen van betrokkene is af te leiden (bijvoorbeeld het invullen van een formulier, bevestiging van een elektronische dienstverlening door een muisklik en dergelijke). 8 Voorts moet de toestemming zijn gericht op een bepaalde (al vaststaande) gegevensverwerking. De betrokkene moet toestemming verlenen voor bijvoorbeeld 5. Artikel 7 Wbp. 6. Artikel 8 Wbp. 7. Met ondubbelzinnig wordt bedoeld dat dat bij de verantwoordelijke elke twijfel dient te zijn uitgesloten dat de betrokkene toestemming heeft gegeven. 8. Informatiebureaus en de bescherming van persoonsgegevens door J.J.C. Kabel, in: J.M.A. Berkvens en J.E.J. Prins (red.), Privacyregulering in theorie en praktijk, Deventer: Kluwer

20 4.5 Hoofdstuk 4 / Korte introductie huidig privacyrecht het verstrekken van bepaalde gegevens aan bepaalde derden. Hierbij is van belang dat de betrokkene vooraf voldoende geïnformeerd is. Bijvoorbeeld bij toestemming voor een gegevensverstrekking moet vooraf aan betrokkene verteld worden welke gegevens voor welk doel aan wie verstrekt zullen worden als hij toestemming geeft. De grens van deze informatieplicht ligt bij informatie (over een gegevensverwerking) die de betrokkene al kende, of die hij zou moeten kennen. Een gegevensverwerking van een vaak voorkomende soort (ten behoeve van ziekteverlof bijvoorbeeld) zal minder toelichting behoeven dan een verwerking die in de praktijk weinig voorkomt. Daarnaast kent de Wbp ook nog het begrip uitdrukkelijke toestemming. Deze is vereist als uitzondering op het verbod om bijzondere persoonsgegevens (ook wel gevoelige gegevens genoemd) te verwerken. 9 Van uitdrukkelijke toestemming is sprake als de betrokkene expliciet zijn wil omtrent de verwerking heeft geuit aan de verantwoordelijke. Een stilzwijgende of impliciete toestemming is onvoldoende. 4.5 Privacytoets Voordat tot verwerking kan worden overgegaan, moet altijd een zogenaamde privacytoets plaatsvinden. De privacytoets houdt in dat vastgesteld moet worden dat (1) de inbreuk op de persoonlijke levenssfeer van de betrokkene niet onevenredig is in verhouding tot het met de verwerking te dienen doel (proportionaliteitseis) en (2) het doel redelijkerwijs niet op een andere, voor de betrokkene minder nadelige manier kan worden bereikt (subsidiariteitseis). Men moet zich afvragen of men niet hetzelfde doel met minder gegevens kan bereiken. Kan men niet langs een andere weg hetzelfde resultaat bereiken, bijvoorbeeld door met behulp van technische hulpmiddelen te bewerkstelligen dat men geen of zo min mogelijk persoonsgegevens verwerkt? Daarnaast moeten de gegevensverwerkingen passen bij één van de zes genoemde grondslagen in de Wbp 10 om van een rechtmatige verwerking te kunnen spreken. Eén van die grondslagen betreft een verwerking vanwege de behartiging van een gerechtvaardigd belang. Oneerbiedig zou deze verwerkingsgrond kunnen worden aangeduid als een restcategorie. In bepaalde gevallen kan een verwerking van gegevens niet direct op één bepaald welomschreven doel worden teruggevoerd, hoewel er wel een duidelijk aanwijsbare reden is om tot gegevensverwerking over te gaan. Is dat het geval, dan zal de verantwoordelijke of de beheerder zich moeten afvragen of er werkelijk een belang is dat de verwerking rechtvaardigt. Vervolgens zal hij een privacytoets moeten uitvoeren. Daarnaast moet de verantwoordelijke nagaan of de wijze waarop de verwerking is uitgevoerd in overeenstemming is met het beoogde doel. Als de verantwoordelijke deze afwegingen heeft gemaakt en kan beargumenteren, is daarmee inzicht gegeven in het doel van de gegevensverwerking. 9. Artikel 23 Wbp. 10. Artikel 8 Wbp. 12

21 Hoofdstuk 4 / Korte introductie huidig privacyrecht Beveiliging Specifiek wordt aan de verantwoordelijke opgedragen om er voor te zorgen dat er technische en organisatorische maatregelen worden getroffen om persoonsgegevens te beveiligen tegen verlies van gegevens of tegen onrechtmatige verwerking. 11 De precieze details van de mate van beveiliging worden niet in de wet gegeven. Vast staat dat naarmate de gegevens gevoeliger zijn en meer gegevens over meer betrokkenen worden verwerkt, er meer en strengere beveiligingsmaatregelen noodzakelijk zijn. Het College bescherming persoonsgegevens heeft als hulpmiddel voor het nader invullen van beveiligingsaspecten zogenaamde Achtergrondstudies en Verkenningen opgesteld. 12 Deze worden binnenkort vervangen door nieuwe Richtsnoeren voor de beveiliging Rechten, reikwijdte en toezicht Is de verwerking van persoonsgegevens eenmaal op basis van het hiervoor staande op rechtmatige wijze in gang gezet kan de betrokkene alsnog ingrijpen in het proces. De betrokkene heeft de volgende rechten: het inzagerecht, het correctierecht en het recht van verzet. De toepasselijkheid van de Wbp gaat verder dan je in eerste instantie zou denken. Het valt op dat in veel bijzondere wetten (bijvoorbeeld de gemeentewet) privacyaspecten worden geregeld maar voor een nadere concretisering zal toch een beroep moeten worden gedaan op de Wbp. Formeel gaan deze bijzondere wetten voor de bepalingen van de Wbp. In de praktijk zal aan de uitwerking van een concrete casus verder invulling moeten worden gegeven met behulp van de algemene normen uit de Wbp. Het College bescherming persoonsgegevens (CBP) houdt toezicht op de uitvoering van de Wbp. 14 Het CBP is een onafhankelijk bestuursorgaan dat toezicht houdt op de naleving van de wetten die het gebruik van persoonsgegevens regelen. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit en behandelt vragen en klachten. Een organisatie kan echter ook een functionaris voor de gegevensbescherming (de FG) benoemen, die intern toezicht houdt op de verwerkingen van persoonsgegevens. In de Wbp is in deze mogelijkheid voorzien. Bij de invulling van de functie van FG dient in ieder geval rekening te worden gehouden met de desbetreffende wettelijke artikelen. 15 Tot zover de hoofdlijnen van de Wbp. In het volgende hoofdstuk wordt ingegaan op de voorgestelde privacyverordening. 11. Artikel 13 Wbp. 12. G.W. van Blarkom, J.J. Borking, Beveiliging van persoonsgegevens, Achtergrondstudies en verkenningen nr Een concept is gereed. De precieze publicatiedatum is op het moment van dit schrijven niet bekend. 14. Artikel 51 Wbp e.v. 15. Artikelen 63 en 64 Wbp. 13

22

23 HOOFDSTUK 5 Kernelementen van de privacyverordening 5.1 Inleiding Door de snelle technologische ontwikkelingen zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan, zo begint de toelichting op de voorgestelde privacyverordening enigszins plechtstatig. 1 De mate waarin gegevens worden verzameld en gedeeld, is enorm gestegen. Mensen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd. Dat is inderdaad allemaal zo. Maar wat de toelichting niet zegt, maar wat wel net zo belangrijk is, is dat als gevolg hiervan ketenomkering mogelijk wordt. Het is niet zo dat individuen gegevens verstrekken aan bijvoorbeeld banken en belastingdienst, die deze vervolgens in systemen en databases stoppen en naar behoefte gebruiken. Nee, individuen houden zelf de beschikking over hun eigen gegevens in bijvoorbeeld een digitale kluis of digitaal dossier en deze individuen bepalen zelf welke instanties wanneer welke gegevens voor welk doeleinde mag inzien en eventueel gebruiken. Empowerment van het individu wordt zo mogelijk. Het individu wordt in staat gesteld daadwerkelijk controle te houden over zijn eigen persoonsgegevens. De doelstelling en beginselen van de huidige privacyrichtlijn gelden nog steeds, zo vervolgt de Europese Commissie in haar toelichting. Het probleem is dat persoonsgegevens in de EU op gefragmenteerde wijze worden beschermd, er sprake is van rechtsonzekerheid en in brede lagen van de bevolking bestaat het beeld dat met name onlineactiviteiten aanzienlijke risico s inhouden. De Europese Commissie (EC) vindt het daarom tijd worden om een krachtiger en coherenter kader voor gegevensbescherming in de EU tot stand te brengen en bovendien scherp toe te zien op de handhaving daarvan. Zonder gemeenschappelijke regels op EU-niveau bestaat het risico dat lidstaten verschillende niveaus van gegevensbescherming bieden en dat het grensoverschrijdende verkeer van persoonsgegevens tussen lidstaten met verschillende normen wordt belemmerd. Een verordening wordt beschouwd als het meest geschikte rechtsinstrument. Een verordening is rechtstreeks toepasselijk en hoeft daarom niet per aparte wet te worden omgezet in de nationale wetgeving. Door de rechtstreekse toepasselijkheid zal een verordening de juridische fragmentatie verminderen en de rechtszekerheid bevorderen, zo verwacht de EC. 1. COM(2012) 11 final, pagina 1. 15

24 5.2 Hoofdstuk 5 / Kernelementen van de privacyverordening De nieuwe wetgeving op het gebied van privacy bestaat zoals eerder gezegd uit twee voorstellen. Het eerste voorstel komt in de plaats van de bestaande privacyrichtlijn die in 1995 werd vastgesteld. Het tweede voorstel komt in de plaats van het Kaderbesluit 2008/977/JBZ voor de politiële en justitiële samenwerking in strafzaken. Dit tweede voorstel is van toepassing op alle verwerkingsactiviteiten die bevoegde autoriteiten voor de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen uitvoeren. Dit tweede voorstel, de richtlijn, komt hier niet verder aan de orde. Het eerste voorstel, de verordening staat hierna centraal. 5.2 Kernbepalingen van de voorgestelde verordening Beginselen en begrippen Voordat we de daadwerkelijke kernbepalingen bespreken zal eerst worden gekeken naar enkele begrippen. Begrippen vormen de ruggengraat van een wet en/of verordening. De privacyverordening introduceert niet alleen nieuwe begrippen (zoals genetische gegevens) maar heeft ook een paar begrippen gewijzigd. Een voorbeeld van dit laatste is dat de bewerker nu verwerker wordt genoemd en dat er duidelijkheid wordt gecreëerd over de uitleg van het begrip toestemming. De term ondubbelzinnige toestemming is gekoppeld aan een uitdrukkelijke wilsverklaring. Sommige begrippen zijn hetzelfde gebleven, indien niet letterlijk verwoord dan toch qua strekking (zoals betrokkene). We zetten hier de belangrijkste begrippen uit de voorgestelde privacyverordening op een rij: 2 Betrokkene Het gaat hier om degene waarvan de persoonsgegevens worden verwerkt. Een natuurlijk persoon die geïdentificeerd is of geïdentificeerd kan worden. Het laatste geval kan onder andere plaatsvinden aan de hand van een identificatienummer, gegevens over de verblijfplaats van de persoon, een onlineidentificatiemiddel of een of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit. Verwerking De definitie van dit begrip is vergelijkbaar met die uit de Europese richtlijn en Wbp. Het komt erop neer dat elke bewerking van persoonsgegevens geautomatiseerd of niet hieronder valt. Enkele voorbeelden zijn het verzamelen, wijzigen, bijwerken, ordenen, raadplegen, terbeschikkingstellen, met elkaar in verband brengen, wissen of vernietigen van gegevens. Bestand Dit begrip is gedefinieerd omdat het hebben van een bestand maakt dat een niet-geautomatiseerde verwerking die geen bestand is hiermee geen verwerking is die onder de werking van de voorgestelde privacyverordening valt. Bij een bestand moet men denken aan een gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze. 2. Voor een letterlijke omschrijving van de begrippen verwijzen we naar artikel 4 van de voorgestelde privacyverordening. 16

25 Hoofdstuk 5 / Kernelementen van de privacyverordening Verantwoordelijke (voor de verwerking) De natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan dat allen of tezamen met anderen, het doel van en de voorwaarden en middelen voor de verwerking van persoonsgegevens vaststelt. Bepalend is dat de verantwoordelijke het doel, de voorwaarden en middelen voor verwerking vaststelt. Verwerker De verwerker is de natuurlijke of rechtspersoon, de overheidsinstantie, die dienst of enig ander orgaan die, respectievelijk dat ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Overigens is het in dit kader van belang voor de IT-auditor zich niet alleen op de verantwoordelijke te richten maar tevens alert te zijn op een verwerker die namens/voor de verantwoordelijke gegevens verwerkt. Voor de verwerker gelden bijna dezelfde verplichtingen. De IT-auditor dient na te gaan of de verantwoordelijke de verantwoordelijkheden op de juiste wijze (onder andere via een bewerkersovereenkomst) heeft belegd bij de verwerker. Inbreuk Dit begrip is van belang in verband met de meldingsplicht bij datalekken. Het gaat hier op een inbreuk op de beveiliging van persoonsgegevens. Dit moet een gevolg hebben dat een nadeel vormt. Een nadeel zou kunnen zijn: vernietiging, verlies van gegevens of de ongeoorloofde toegang tot gegevens. Een inbreuk hoeft niet onrechtmatig te zijn veroorzaakt maar kan ook per ongeluk gebeuren. Biometrische gegevens Eenduidige kenmerking gebeurt met deze gegevens aan de hand van bijvoorbeeld afbeeldingen van het gezicht. In de privacyverordening komt dit begrip alleen maar voor in combinatie met de privacyeffectbeoordeling (PIA). Vertegenwoordiger Een representant (een natuurlijke persoon of rechtspersoon) die een verantwoordelijke die buiten de Europese Unie is gevestigd binnen de Unie vertegenwoordigt. Toestemming: in de definitie van toestemming is het criterium uitdrukkelijk toegevoegd om verwarring met ondubbelzinnige toestemming te voorkomen en om tot een enkele en consistente definitie van toestemming te komen. Gewaarborgd moet worden dat de betrokkene zich ervan bewust is dat hij toestemming geeft en waarvoor hij toestemming geeft. De voorwaarden waaronder toestemming een geldige grond is voor een rechtmatige verwerking zijn de hierna volgende: de verantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven. 3 wanneer de betrokkene zijn toestemming moet geven in het kader van een schriftelijke verklaring die ook op een andere gelegenheid betrekking heeft, moet het vereiste van toestemming duidelijk afzonderlijk van deze andere aangelegenheid worden weergegeven. de betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. toestemming biedt geen rechtsgrondslag voor verwerking wanneer er een aanzienlijke onevenwichtigheid bestaat tussen de positie van de betrokkene en de verantwoordelijke. Van zo n onevenwichtigheid is bijvoorbeeld sprake in het geval een werkgever persoonsgegevens van een werknemer verwerkt. 3. Zie artikel 7 lid 1 van de voorgestelde privacyverordening. 17

26 5.2.1 Hoofdstuk 5 / Kernelementen van de privacyverordening Dat wil niet zeggen dat het dan niet is toegestaan. Vaak is er een andere gerechtvaardigde grondslag dan toestemming, zoals de nakoming van een wettelijke plicht (aangifte loonheffing) of uitvoering van een overeenkomst (arbeidscontract). Voor de IT-auditor: Controleer of de genoemde waarborgen verwerkt zijn in de getroffen maatregelen en procedures om toestemming van de betrokkene te verkrijgen. Leidt de wijze waarop toestemming wordt verkregen er toe dat de betrokkene zich er voldoende bewust van is dat hij toestemming verleent en weet deze waarvoor hij toestemming geeft? Is dit door de verantwoordelijke aan te tonen (bestaat hiervan schriftelijk of digitaal bewijs)? Bekijk of er aanwijzingen zijn dat bepaalde betrokkenen hun toestemming hebben ingetrokken. Welke posities nemen de betrokkenen in ten opzichte van de verantwoordelijke? Samenwerkingsverbanden: partners van samenwerkingsverbanden die voor een gezamenlijke verwerking van persoonsgegevens verantwoordelijkheid dragen, moeten dit door middel van een onderlinge regeling (bijvoorbeeld een overeenkomst) vastleggen. Daarin stellen zij hun respectieve verantwoordelijkheden vast voor de nakoming van de verplichtingen die uit de verordening voortvloeien, met name met betrekking tot de procedures en mechanismen voor de uitoefening van de rechten van betrokkenen. Dit gaat verder dan wat partners van samenwerkingsverbanden doorgaans gewend zijn. Gewoonlijk leggen ze hun afspraken vast in een convenant. En meestal is het dat dan. Nu worden ze, naast het overeenkomen van een overeenkomst, verplicht hun procedures en mechanismen uit te werken voor de effectuering van de rechten van betrokkenen en deze op elkaar af te stemmen. Veel partners van samenwerkingsverbanden en trouwens ook organisaties die los van een samenwerkingsverband opereren, kennen geen standaardprocedures en mechanismen om adequaat en tijdig op verzoeken van betrokkenen te kunnen reageren. Veel organisaties vergeten immers nog wel eens om over te gaan op de zogeheten materiële implementatie van de privacyregelgeving, waartoe het vastleggen van dit soort procedures behoort. Nu worden ze gedwongen om dat wel te doen. Anders zijn ze immers niet in staat hun procedures en mechanismen op elkaar af te stemmen. Voor de IT-auditor: als er sprake is van een samenwerkingsverband, controleer of er een overeenkomst bestaat, of daarin in voldoende mate de verantwoordelijkheden zijn vastgelegd en of er daarnaast daadwerkelijk procedures en maatregelen zijn afgesproken en vastgelegd om de verplichtingen van de verordening na te komen, met name met betrekking tot de procedures en mechanismen voor de uitoefening van de rechten van betrokkenen. 18

27 Hoofdstuk 5 / Kernelementen van de privacyverordening Bescherming van het kind: De bescherming van persoonsgegevens van kinderen speelt met name een rol bij direct marketing en in de gezondheidszorg. Volgens de privacyverordening is iemand kind tot de persoon achttien jaar oud is. De extra bescherming van het kind valt op. In het voorgestelde artikel 6 lid 1 sub f bijvoorbeeld, dat een van de zes rechtvaardigingsgronden bevat voor gegevensverwerkingen, wordt aan de privacybescherming van kinderen extra gewicht toegekend. Ook is er een apart artikel gewijd aan de verwerking van persoonsgegevens van kinderen. Ingeval diensten van de informatiemaatschappij rechtstreeks worden aangeboden aan kinderen jonger dan 13 jaar dan is dat op grond van het voorgestelde artikel 8 slechts rechtmatig wanneer en voor zover de ouder of voogd van het kind daartoe toestemming heeft gegeven Enkele kernbepalingen uitgelicht Algemene documentatieverplichting De voorgestelde privacyverordening bevat een algemene documentatieverplichting. 4 Dit artikel verplicht de verantwoordelijken en de bewerkers alsmede in voorkomend geval de vertegenwoordigers van de verantwoordelijken de documenten inzake alle verwerkingen die onder hun verantwoordelijkheid hebben plaatsgevonden te bewaren. De documenten bevatten tenminste de volgende gegevens: naam en contactgegevens van de verantwoordelijke of eventueel de gezamenlijke verantwoordelijke of verwerker, en van de vertegenwoordiger in voorkomend geval de naam en contactgegevens van de FG (in voorkomend geval) de doeleinden van de verwerking, waaronder de gerechtvaardigde belangen van de verantwoordelijke wanneer de verwerking op die grondslag is gebaseerd 5 en/ of de eventuele wettelijke basis categorieën betrokkenen (bijvoorbeeld differentiatie tussen klanten en personeel) en persoonsgegevens per categorie ontvangers of categorieën (bijvoorbeeld toeleveranciers en overheidsdiensten) van ontvangers van persoonsgegevens doorgifte van gegevens naar een derde land of internationale organisatie in voorkomend geval en eventueel de documenten inzake de passende garanties een algemene aanwijzing betreffende de termijnen waarbinnen de verschillende categorieën moeten worden gewist de beschrijving van de mechanismen die er voor moeten zorgen dat de doeltreffendheid van de maatregelen worden getoetst. 6 Deze maatregelen betreffen met name het bewaren van documentatie, 7 het voldoen aan de vereisten inzake gegevensbeveiliging, het uitvoeren van een PIA, het voldoen aan de eisen inzake voorafgaande toestemming of voorafgaande raadpleging van het CBP of FG en het aanwijzen van een FG. 4. Artikel 28 voorgestelde privacyverordening. 5. Artikel 6 lid 1, sub f voorgestelde privacyverordening. 6. Artikel 22 lid 1 en 2 voorgestelde privacyverordening. 7. Artikel 28 voorgestelde privacyverordening. 19

28 5.2.2 Hoofdstuk 5 / Kernelementen van de privacyverordening Voor de IT-auditor: Stel vast of de verantwoordelijke de documenten bewaart inzake alle verwerkingen die onder zijn verantwoordelijkheid plaatsvinden. Stel vast of de documenten tenminste de in artikel 28 lid 2 van de voorgestelde privacyverordening genoemde gegevens bevatten. Zijn maatregelen zoals bedoeld in artikel 22 beschreven, om er voor te zorgen en aan te kunnen tonen dat de documentatie in overeenstemming met artikel 28 wordt bewaard? Zijn de in artikel 22 genoemde maatregelen daadwerkelijk getroffen? Zijn mechanismes beschreven om de doeltreffendheid van deze maatregelen te toetsen? Zijn de documenten zodanig geordend dat deze op verzoek aan de toezichthouder kunnen worden overhandigd? Zijn de documenten helder en zijn de interne verantwoordelijkheden adequaat belegd? De afschaffing van de meldingsplicht lijkt dan ook een heel mooie maatregel in het kader van het verminderen van administratieve lasten. De algemene documentatieplicht blijkt daar echter voor in de plaats te komen en brengt een net zo zware, zo niet een zwaardere administratieve last met zich mee. Of dit bezwaarlijk is, valt nog te bezien. De introductie en de uitbreiding van de documentatieplicht kan ook worden opgevat als een aansporing aan verantwoordelijken om hun organisatie zo in te richten dat ze sowieso aan de verplichtingen van de privacyverordening voldoen. Informatieplicht De informatieplicht (ten behoeve van de betrokkene) wordt sterk uitgebreid. Naast de verplichting voor de verantwoordelijke om het doel van de verwerking en de identiteit van verantwoordelijke aan de betrokkenen door te geven, zal hij de betrokkene nu ook (onder meer) moeten informeren over: 8 de vertegenwoordiger van de verantwoordelijke de FG de bewaartermijn van de persoonsgegevens het bestaan van het recht van betrokkene om inzage, correctie en vernietiging van de gegevens te verlangen of om bezwaar te maken het recht om een klacht in te dienen bij het CBP de ontvangers of categorieën ontvangers van zijn persoonsgegevens en in voorkomend geval het voornemen van de doorgifte van zijn persoonsgegevens naar een derde land of een internationale organisatie en het door dat derde land geboden beschermingsniveau onder verwijzing naar een besluit van de EC waarbij het beschermingsniveau passend wordt verklaard en alle verdere informatie die nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen. 8. Artikel 14 voorgestelde privacyverordening. 20

29 Hoofdstuk 5 / Kernelementen van de privacyverordening Voor de IT-auditor: Stel vast welke procedures en mechanismen door de verantwoordelijke zijn vastgelegd (schriftelijk of digitaal) om aan zijn verplichting om betrokkenen informatie te verstrekken te kunnen voldoen. Stel verder vast welke procedures en mechanismen daadwerkelijk zijn getroffen. Stel per verwerking of een representatieve steekproef van verwerkingen vast of aan de informatieplicht is voldaan. Zijn aan de betrokkenen daadwerkelijk de gegevens zoals genoemd in artikel 14 verstrekt en kan dat worden aangetoond? Zo nee, kan gemotiveerd worden aangegeven op welke grond van artikel 14 lid 5 verstrekking van gegevens achterwege is gebleven? De Europese Commissie kan zo nodig standaardformulieren vaststellen voor het verstrekken van de verplichte informatie. Ook kan de Europese Commissie gedelegeerde handelingen vaststellen met het oog op de nadere invulling van de informatieplicht. 9 Rechten van betrokkenen Om de rechten van betrokkenen zo goed mogelijk te waarborgen wordt in de privacyverordening voorgesteld om de verantwoordelijke te laten voorzien in procedures en mechanismen die betrekking hebben op de uitoefening van de rechten van de betrokkene. 10 Bij de begrippen procedures en mechanismen zal een IT-auditor ongetwijfeld zijn oren spitsen omdat dit zijn werkterrein raakt. Als het over rechten van betrokkenen gaat, worden daarmee bedoeld: middelen voor elektronische indiening van verzoeken door betrokkenen een termijn voor de beantwoording van verzoeken van betrokkenen en de plicht om weigeringen door de verantwoordelijke te motiveren. Verder gaat het om: het recht op toegang tot zijn gegevens 11 het recht op rectificatie 12 het recht om vergeten te worden 13 het recht om gegevens te laten wissen 14 het recht van gegevensoverdraagbaarheid 15 en het recht van bezwaar Artikel 14 lid 7 en 8 voorgestelde privacyverordening. 10. Artikel 12 voorgestelde privacyverordening. 11. Artikel 14 voorgestelde privacyverordening. 12. Artikel 14 voorgestelde privacyverordening. 13. Artikel 17 voorgestelde privacyverordening. 14. Artikel 5d voorgestelde privacyverordening. 15. Artikel 18 voorgestelde privacyverordening. 16. Artikel 19 voorgestelde privacyverordening. 21

30 5.2.2 Hoofdstuk 5 / Kernelementen van de privacyverordening Voor de IT-auditor: Stel vast welke procedures en mechanismen door de verantwoordelijke zijn vastgelegd (schriftelijk of digitaal) om de rechten van betrokkenen te kunnen effectueren. Stel verder vast welke procedures en mechanismen daadwerkelijk zijn getroffen. Zijn deze procedures en mechanismen zodanig ingericht dat de verantwoordelijke aan de wettelijke termijnen binnen een maand na ontvangst van een verzoek van een betrokkene - kan voldoen? De verantwoordelijke informeert de betrokkene onverwijld en uiterlijk binnen een maand na ontvangst van het verzoek, of er al dan niet actie is ondernomen om ontvangers aan wie gegevens zijn verstrekt op de hoogte te stellen van elke rectificatie dan wel het wissen van gegevens. Ook voor deze rechten geldt dat de informatie die verantwoordelijken moeten verstrekken bij het inwilligen van de rechten van betrokkenen, vergelijkbaar is met de informatie die nu op meldingsformulieren voor het CBP moet worden ingevuld. Recht om vergeten te worden Het recht om vergeten te worden 17 houdt in dat de betrokkene een recht heeft op volledige verwijdering van zijn persoonsgegevens indien hij zijn toestemming intrekt en er geen andere legitieme redenen zijn om de data te bewaren. De verantwoordelijke dient derden op de hoogte te stellen van het verzoek van betrokkene om iedere koppeling naar en kopie of reproductie van zijn persoonsgegevens te verwijderen. Dat dit recht zo expliciet wordt genoemd is nieuw, maar de strekking is niet nieuw. We kennen namelijk al wettelijke eisen omtrent bewaartermijnen van persoonsgegevens. 18 Gegevens mogen op grond van artikel 10 van de Wet bescherming persoonsgegevens (Wbp) niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld of vervolgens worden verwerkt en in het Vrijstellingsbesluit staan concrete bewaartermijn genoemd. 19 Het recht om vergeten te worden is als uitgangspunt - een mooi recht, maar hoe weet een betrokkene zeker dat zijn persoonsgegevens en iedere koppeling of reproductie daarnaar volledig zijn verwijderd? Dat is vooral op het internet lang niet altijd zeker. De procedures en maatregelen die een verantwoordelijke daarvoor aantoonbaar heeft getroffen, zullen een belangrijke indicatie vormen. Een prangende vraag is hoe dit recht kan worden geëffectueerd als het gaat om gegevens die via social media worden gegenereerd en die op het internet staan? Het is immers zo goed als onmogelijk om persoonsgegevens voor 100% van het internet verwijderd te krijgen. Het recht om te vergeten lijkt dan vooral een aanmoediging voor 17. Artikel 17 voorgestelde privacyverordening. 18. Artikel 10.1 Wbp. 19. Besluit van 1 mei 2001, Stb. 2001, 250, houdende aanwijzing van verwerkingen van persoonsgegevens die zijn vrijgesteld van de melding bedoeld in artikel 27 van de Wet bescherming persoonsgegevens. 22