De concept-privacyverordening: zware verplichtingen, hoge boetes

Transcriptie

1 De concept-privacyverordening: zware verplichtingen, hoge boetes Inleiding Jarenlang heeft de zorg voor privacy de bescherming van persoonsgegevens niet veel aandacht gekregen binnen de meeste Nederlandse ondernemingen. De uit 1989 stammende Wet persoonsregistraties heeft overwegend een sluimerend bestaan geleid. Weliswaar werd deze in 2001 vervangen door de Wet bescherming persoonsgegevens (Wbp), 1 die de uit 1995 stammende Privacyrichtlijn 2 implementeert, maar privacy In het bedrijfsleven werd de Wbp vaak leek ook in de jaren daarna een onderwerp waar vooral overheidsinstellingen, het College Bescherming Persoonsgegevens (CBP) en een handvol gespecialiseerde juristen zich mee bezighielden. In het bedrijfsleven werd de Wbp vaak geschaard onder de administratieve lasten, waarvan het mkb in Nederland er al zoveel heeft. De oorzaak van deze houding ten opzichte van privacy lag primair in de abstracte normen van de regelgeving die moeilijk concreet uit te voeren waren. Het vrijwel ontbreken van sancties en een chronische onderbezetting bij het CBP zorgde voorts voor een sporadische, op uitwassen gerichte handhaving. In die houding van het bedrijfsleven is verandering gekomen toen met de Code Tabaksblat 3 compliance onderdeel werd van het DNA van in Nederland werkzame ondernemingen. Voldoen aan de privacywetgeving werd onderdeel van de compliance scorecard. geschaard onder de administratieve lasten. leggen stelde de Europese wetgever in 2009 de e-privacyrichtlijn 4 vast, waardoor voortaan de toestemming van de gebruiker is vereist voor het plaatsen van een cookie. Gekoppeld aan een boetebepaling die toezichthouder OPTA de mogelijkheid geeft een boete van maximaal EUR op te leggen heeft dit in relatief korte tijd geleid tot een cultuuromslag. Anno 2013 bevatten de meeste websites van Nederlandse ondernemingen uitgebreide informatie over de gebruikte cookies en wordt voor het plaatsen daarvan doorgaans (impliciet) toestemming gevraagd. Het privacybewustzijn is in een stroomversnelling gekomen door het op 25 januari 2012 door de Europese Commissie gepubliceerde voorstel voor een privacyverordening. 5 In dit boekje wordt deze ook wel aangeduid als de concept Verordening. Hoewel dit instrument in bepaalde opzichten de lasten voor het bedrijfsleven in de Europese Unie zal verlichten een onderneming hoeft in de toekomst maar aan één uniform regime te voldoen in plaats van de privacywetgeving van 27 verschillende lidstaten valt toch vooral op dat de regels voor de verwerking van persoonsgegevens op veel punten zijn aangescherpt en dat op overtreding daarvan zeer hoge boetes zijn gesteld, tot 2% van de wereldwijde jaaromzet van de overtredende onderneming. Het zal nog enkele jaren duren voordat de concept Verordening in werking treedt. Uit het rapport dat over de concept Verordening is uitgebracht aan het Europees Parlement 6 (naar haar samensteller het Albrechtrapport genoemd) blijkt dat deze instelling zo Het privacybewustzijn is in een stroomversnelling gekomen door het voorstel voor een privacyverordening. In diezelfde periode groeide, parallel aan de toename van het commerciëel gebruik van het internet, de hoeveelheid gegevens die voor commerciële doeleinden wordt verzameld exponentieel. Ondernemingen als Google en Facebook gingen voorop in het samenstellen en uitbaten van profielen van gebruikers. Dat gebeurde met behulp van cookies, kleine tekstbestanden die worden geplaatst op de computer van een websitebezoeker, doorgaans zonder dat deze zich daarvan bewust was. Om het gebruik van cookies aan banden te 1 Wet bescherming persoonsgegevens, Stb. 2000, Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb EG Nr. L 281 van 23/11/1995 blz De Nederlandse Corporate Governance Code - beginselen van deugdelijk ondernemingsbestuur en best-practicebepalingen, Commissie Corporate Governance 9 december Te vinden op rijksoverheid.nl/documenten-en-publicaties/richtlijnen/2003/12/09/code-tabaksblat.html. 4 Richtlijn 2009/136/EG van het Europese Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatie-netwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, Pb EU Nr. L337/11 van 18/12/ Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25/01/2012, COM(2012) 11 final. Te vinden op 6 Draft report on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011 C7-0025/ /0011(COD)). Te vinden op 56privacy: tips en tricks voor de ondernemingspraktijk HOUTHOFF BURUMA 57

2 mogelijk nog strengere regels wil stellen aan verwerking van persoonsgegevens in de Europese Unie. Bij de behandeling in een aantal commissies van het Parlement bleek echter dat een meerderheid van de lidstaten een aantal verplichtingen van de Verordening wil afzwakken om met name het MKB te ontlasten.. Naar verwachting wordt in juni 2013 in het Europese Parlement over de tekst van de concept Verordening gestemd. Privacy staat dan ook hoog op de agenda van de Nederlandse General Counsel voor de komende jaren. Reikwijdte van de concept Verordening De reikwijdte van de concept Verordening is ten opzichte van de Privacyrichtlijn uitgebreid. De concept Verordening is ook van toepassing op het verwerken van persoonsgegevens van betrokkenen die woonachtig zijn in een lidstaat door een verantwoordelijke of bewerker die niet in de Europese Unie is gevestigd, indien de verwerking plaatsvindt in het kader van een transactie of om een gebruikersprofiel te kunnen maken (het zogenaamde profilering ). Rechtsgrondslag Toestemming kan niet worden gebruikt als grondslag in arbeidsverhoudingen, gezien de ongelijke positie van werknemer en werkgever. Evenals onder de Privacyrichtlijn dient een verwerking van persoonsgegevens een rechtmatige grondslag te hebben. Een daarvan is de toestemming van de betrokkene (onderdeel a). De definitie van toestemming in artikel 4 lid 1 van de concept Verordening maakt duidelijk dat deze steeds uitdrukkelijk moet zijn gegeven. Dat kan door een verklaring of een ondubbelzinnige handeling. 7 Een optout is niet langer een rechtmatige grondslag voor verwerking van persoonsgegevens. Toestemming kan geen rechtmatige grondslag voor verwerking bieden wanneer er een aanzienlijke onevenwichtigheid bestaat tussen de positie van de betrokkenen en de verantwoordelijke. 8 Daarmee staat vast dat toestemming niet kan worden gebruikt als grondslag in arbeidsverhoudingen, gezien de ongelijke positie van werknemer en werkgever. 9 In artikel 6 lid 1 onderdeel f is de in Nederland gebruikelijke rechtsgrondslag dat de verwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke, dat zwaarder weegt dan de bescherming van de grondrechten en fundamentele vrijheden (lees: de privacy van de betrokkenen) gehandhaafd. 7 Overweging Artikel 7 lid 4 concept Verordening. 9 Overweging 34. Overigens was dat ook al de heersende mening, zie Artikel 29 Werkgroep, Opinion 15/2011 on the definition of consent, vastgesteld op 13 juli 2011 (WP 187), te vinden op policies/privacy/docs/wpdocs/2011/wp187_en.pdf Nieuw is een speciale bepaling voor de verwerking van persoonsgegevens van kinderen (artikel 8) die voor een kind jonger dan 13 jaar de toestemming van de ouder of voogd vereist. De verantwoordelijke moet zo goed mogelijk verifiëren of die toestemming rechtmatig is gegeven. Artikel 20 beperkt het verzamelen en verder verwerken van persoonsgegevens ten behoeve van profilering en de daarop gebaseerde marketing. 10 Dit onderwerp wordt nader behandeld in het hoofdstuk Cookies en Toestemming. Overigens valt onder deze bepaling ook verwerking van persoonsgegevens ten behoeve van beoordelingsgesprekken en andere HR- doeleinden. De grondslag daarvoor is in dat geval gelegen in de uitvoering van de arbeidsovereenkomst. Algemene verplichtingen Er staan hoge boetes op overtreding van vaag geformuleerde verplichtingen. De concept Verordening bevat enkele algemeen geformuleerde verplichtingen voor de verantwoordelijke, waarvan overtreding met een hoge boete wordt bedreigd. Een voorbeeld is artikel 11 dat de verantwoordelijke verplicht om een privacybeleid te voeren dat transparant en eenvoudig toegankelijk is. Informatie en mededelingen moeten in begrijpelijke vorm worden verstrekt, waarbij duidelijke en eenvoudige, aan de betrokkene aangepaste taal wordt gebruikt. Een algemene plicht om de verwerking van persoonsgegevens te beperken vloeit voort uit artikel 5 onder (c), dat vereist dat persoonsgegevens alleen worden verwerkt als doeleinden niet kunnen worden verwezenlijkt door verwerking van andere (bijvoorbeeld geanonimiseerde) gegevens. Het feit dat op overtreding van dergelijke vaag geformuleerde verplichtingen een hoge boete staat is niet in overeenstemming met het beginsel dat het strafbaar stellen van overtredingen alleen dan gerechtvaardigd is wanneer de overtreden norm voldoende duidelijk is geformuleerd. 11 Privacy by design en by default Ook artikel 23, dat ziet op privacy by design and by default, is nogal open geformuleerd en biedt ondernemingen daarmee weinig houvast voor een concrete invulling van hun 10 Onder profilering wordt verstaan het geautomatiseerd verwerken van persoonsgegevens met als doel aspecten van de persoonlijkheid van een betrokkene te evalueren of om zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid en gedrag te analyseren of te voorspellen. 11 Zie artikel 7, 1e lid, van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) en artikel 49, 1e lid, van het Handvest voor de Grondrechten. Zie ook de brief van 11 december 2012 van staatssecretaris Teeven, te vinden op behandeling/ /brief_vande_staatssecretaris_van/document3/f=/vj5dlxksri7s.pdf. 58privacy: tips en tricks voor de ondernemingspraktijk HOUTHOFF BURUMA 59

3 verplichtingen. Deze bepaling verplicht de verantwoordelijke, kort gezegd, om bij de aanschaf en het laten ontwikkelen van software, de inrichting van databases en, meer algemeen, de inrichting van een IT-systeem maatregelen te nemen om te zorgen dat de hoeveelheid verwerkte gegevens en de bewaartermijn daarvan zijn afgestemd op het doel waarvoor zij worden verzameld en dat de gegevens niet aan een onbeperkt aantal personen ter beschikking worden gesteld. Die maatregelen moeten voldoen aan de stand van de techniek van het moment van implementatie. Informatieplicht Artikel 14, dat ziet op informatieverstrekking aan de betrokkene, bevat een zeer gedetailleerde uitwerking van de informatie die aan de betrokkene moet worden verstrekt over de Veel privacy policies van ondernemingen zullen aan de uitgebreide informatieplicht moeten worden aangepast. verwerking van zijn persoonsgegevens. Nieuw is dat de betrokkene duidelijke informatie moet worden verstrekt over zijn rechten, zoals het recht op inzage, correctie en verwijdering van persoonsgegevens. 12 Ook moet specifiek worden vermeld of profilering wordt toegepast en of de intentie bestaat gegevens door te geven naar derde landen (zie hierna). Veel privacy policies van ondernemingen zullen aan deze uitgebreide informatieplicht moeten worden aangepast. de media in het algemeen gevrijwaard van de verplichting gegevens over personen op hun verzoek te verwijderen. Privacybeleid Artikel 22 verplicht de verantwoordelijke een privacybeleid te voeren. Daaronder valt onder meer de verplichting documentatie inzake alle verwerkingen die onder zijn verantwoordelijkheid hebben plaatsgevonden te bewaren (artikel 28), passende technische en organisatorische maatregelen te nemen ter beveiliging van persoonsgegevens (artikel 30), in bepaalde gevallen vooraf een privacyeffectbeoordeling uit te voeren (artikel 33, zie hierna) en een gegevensfunctionaris aan te wijzen (artikel 35). Op grond van artikel 33 moeten De bewerker kan bij overtreding van diens verplichtingen worden gestraft met dezelfde hoge boetes als de verantwoordelijke. ondernemingen een zogenaamde privacy impact assessment) doen, wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico s inhouden voor de rechten en vrijheden van betrokkenen. Dat is met name het geval wanneer profilering plaatsvindt, bij verwerking van gegevens in de gezondheidszorg die betrekking hebben op het seksuele leven de gezondheid, het ras of de etnische afkomst, videobewaking van openbaar toegankelijke ruimtes en de verwerking in grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens. Right to be forgotten Een nieuw right to be forgotten wordt geïntroduceerd door artikel 17. Dit houdt in dat de verantwoordelijke onder omstandigheden moet zorgen dat persoonsgegevens worden gewist en verdere verspreiding achterwege blijft. Dat is onder meer het geval als de betrokkene zijn toestemming intrekt, bezwaar maakt tegen de verwerking, of als de verwerking op andere gronden niet voldoet aan de verordening. Dit laatste impliceert dat een onderneming in dat geval uit eigen beweging de gegevens moet wissen. Worden de gegevens op verzoek van de betrokkene verwijderd en zijn zij door of met toestemming van de verantwoordelijke openbaargemaakt dan moet deze alle redelijke maatregelen nemen om derden die de gegevens verwerken van de intrekking van de toestemming door de betrokkene op de hoogte te stellen. Verwerking van persoonsgegevens voor de uitoefening van het recht op vrijheid van meningsuiting is uitgezonderd van de verplichting gegevens te verwijderen. 13 Daarmee worden 12 Artikel 12 concept Verordening. 13 Artikel 17 lid 3 zondert van deze verplichting onder meer ook uit verwerking om redenen van algemeen belang op het gebied van de volksgezondheid (lid 3 sub b), voor historische, statistische of wetenschappelijke doeleinden (en lid 3 sub c) of wanneer gegevens nog moeten worden bewaard ten behoeve van bewijsvoering (lid 4 sub b). Functionaris voor de gegevensbescherming De aanstelling van een functionaris voor de gegevensbescherming, hetgeen in Nederland op dit moment vrijwel alleen voorkomt bij de overheid, wordt verplicht voor ondernemingen met meer dan 250 werknemers. 14 Deze functionaris moet onder meer toezien op de uitvoering en toepassing van het privacybeleid van de onderneming en van verschillende bepalingen van de verordening, zoals het beperken van gegevensverwerkingen door toepassing van privacy by design en privacy by default, het beveiligen van gegevens en het voldoen aan het verzoek van betrokkenen om informatie in het kader van de uitoefening van hun recht op grond van de verordening. Ook bij melding van datalekken heeft de functionaris een belangrijke rol. Verplichtingen bewerker Op grond van artikel 26 wordt een aantal verplichtingen gelegd op de bewerker, waaronder het nemen van adequate beveiligingsmaatregelen, het handelen binnen het kader van de 14 En kleinere ondernemingen, indien deze verwerkingen doet die vanwege hun aard, omvang of doel regelmatige en stelselmatige observatie van betrokkene vereisen. Dit laatste geldt bijvoorbeeld voor headhunters. 60privacy: tips en tricks voor de ondernemingspraktijk HOUTHOFF BURUMA 61

4 instructies van de verantwoordelijke en het opleggen van een geheimhoudingsplicht aan zijn personeel. Onder de huidige wetgeving moeten deze verplichtingen van de bewerker worden neergelegd in een bewerkerovereenkomst en is naleving dus met name een privaatrechtelijke aangelegenheid. Onder de concept Verordening kan de bewerker bij overtreding van diens verplichtingen worden gestraft met dezelfde hoge boetes als aan de verantwoordelijke kunnen worden opgelegd. Meldplicht datalekken De concept Verordening voert een meldplicht in voor datalekken, die wordt uitgewerkt in artikelen 30 tot en met 32. Uitgangspunt is dat ieder datalek zo spoedig mogelijk wordt gemeld aan de toezichthouder (het CBP) en, als negatieve gevolgen voor de bescherming van de Voor doorgifte naar derde landen zal steeds een overeenkomst moeten worden gesloten die voldoet aan de modelbepalingen. persoonsgegevens of de privacy van de betrokkenen waarschijnlijk zijn, eveneens aan de betrokkenen. Dit wordt nader behandeld in het hoofdstuk Datalekken. Overdracht gegevens naar derde landen Een ander aandachtspunt is de overdracht van gegevens naar landen buiten de Europese Economische Ruimte, waarvoor de Europese Commissie niet een verklaring heeft afgegeven dat zij een passend beschermingsniveau waarborgen. 15 Onder de Privacyrichtlijn zijn dergelijke verklaringen al afgegeven voor een aantal landen. 16 Doorgifte is ook mogelijk op grond van binding corporate rules (BCR). 17 Een belangrijke verbetering ten opzichte van de Privacyrichtlijn is dat BCR niet ook kunnen worden gebruikt in de relatie met bewerkers.dit zijn bindende voorschriften die gelden voor alle leden van de groep van ondernemingen waartoe de verantwoordelijke of de bewerker behoort. Goedkeuring van een toezichthouder van één lidstaat is voldoende om de BCR te laten gelden in alle lidstaten. Overdracht naar derde landen is overigens alleen toegestaan op de gronden die zijn opgenomen in artikel 44. Naast toestemming van de betrokkene en doorgifte die noodzakelijk is ter uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke is doorgifte onder meer toegestaan als deze noodzakelijk is voor de vaststelling, de uitoefening of de verdediging 15 Op grond van artikel 41 kunnen dergelijke verklaringen door de Europese Commissie worden afgegeven. 16 Andorra, Argentinië, Australië, Canada, Zwitserland, Israël, Faeröer eilanden, Guernsey en Isle of Man (stand per 01/02/2013). 17 Artikel 43 concept Verordening. Dit zijn bindende voorschriften die gelden voor alle leden van de groep van ondernemingen waartoe de verantwoordelijke of de bewerker behoort, waarin de belangrijkste verplichtingen onder de concept Verordening zijn neergelegd. van een recht in rechte of voor de gerechtvaardigde belangen van de verantwoordelijke of de bewerker, mits de overdracht niet als frequent of massaal kan worden beschouwd. Daarbij moeten zo nodig passende garanties worden geboden voor de bescherming van persoonsgegevens, mede gezien de aard daarvan, het doel en de duur van de verwerking. Deze garanties moeten worden gedocumenteerd. Voor de doorgifte zal in deze gevallen van artikel 44 steeds een overeenkomst moeten worden gesloten met de ontvanger van de persoonsgegevens, die voldoet aan de modelbepalingen die de Commissie op grond van artikel 42 vaststelt. Een voordeel voor ondernemingen ten opzichte van de huidige regeling van doorgifte onder de Privacyrichtlijn is dat niet langer de voorafgaande goedkeuring van de De maximale boete bedraagt 2% van de jaarlijkse wereldwijde omzet. toezichthouder kan worden vereist. Overigens is dit vergunningvereiste in Nederland onlangs afgeschaft voor gevallen waarin tussen verantwoordelijke en ontvanger een modelcontract is gesloten. 18 Concentratie toezicht Een belangrijke verbetering voor ondernemingen die in meerdere lidstaten zijn gevestigd is dat de handhaving van de concept Verordening wordt opgedragen aan de toezichthouder van de lidstaat waar de onderneming zijn hoofdvestiging heeft. Dit is de plaats waar zich zijn centrale administratie in de Europese Unie bevindt. 19 Deze hoofdtoezichthouder moet samenwerken met de toezichthouders in de andere lidstaaten waar de onderneming werkzaam is. Wellicht dat de huidige praktijk met BCR, waarin één toezichthouder de regels toetst en goedkeurt en twee andere toezichthouders commentaar kunnen leveren, hierbij een voorbeeld voor praktische uitvoering van deze bepaling. Beperkingen en uitzonderingen De reikwijdte van een aantal bepalingen, zoals de plicht betrokkenen over verwerking van hun gegevens te informeren, het recht om gegevens te laten wissen en de beperkingen ten aanzien van profilering kunnen op basis van de in artikel 21 genoemde gronden worden beperkt door nationale of EU-wetgeving, voor zover dat in een democratische samenleving een noodzakelijke en evenredige maatregel is. Daaronder valt onder meer dat een dergelijke beperking nodig is ter bescherming van de betrokkene of van de rechten en vrijheden van anderen. Deze grond is nu opgenomen in artikel 43 Wbp en vormt onder meer de grondslag voor beperking van de verplichting om de betrokkene informatie te verstrekken over verwerking 18 Aan artikel 77, eerste lid, Wbp is daartoe een onderdeel g. toegevoegd. Wet van 26 januari 2012, Stb. 2012, 33, onderdeel K. 19 Overweging privacy: tips en tricks voor de ondernemingspraktijk HOUTHOFF BURUMA 63

5 van zijn persoonsgegevens maar ook voor het opschorten van de informatieplicht in geval van verwerking van persoonsgegevens ten behoeve van een overheidsonderzoek of in het kader van een discoveryprocedure (zie hierover het hoofdstuk e-discovery). Boetes Zoals aangegeven krijgen het CBP en zijn Europese collega s ter verbetering van de handhaving van de privacyregels de mogelijkheid hoge boetes op te leggen bij overtreding van de verordening. De maximale boete bedraagt 2% van de jaarlijkse wereldwijde omzet (artikel 79 lid 6 van de concept Verordening). Die boete kan worden opgelegd voor overtredingen, zoals: niet voldoen aan verzoeken van betrokkenen om informatie, correctie of afscherming van hun gegevens (artikel 19); het niet documenteren van de verwerkingen van persoonsgegevens binnen de onderneming (artikel 28); Een belangrijke voorgestelde wijziging betreft de grondslagen voor verwerking van persoonsgegevens. 22 De in Nederland doorgaans gebruikte rechtvaardigingsgrond dat verwerking noodzakelijk is voor de gerechtvaardigde belangen van de verantwoordelijke, die zwaarder wegen dan het privacybelang van de betrokkene, wordt alleen nog toegestaan in specifiek genoemde omstandigheden en alleen wanneer geen van de andere rechtvaardigingsgronden (zoals toestemming) kan worden gebruikt. Bovendien moet de verantwoordelijke de betrokkene informeren over de redenen Overdracht van gegevens naar een derde land in het kader van e-discovery wordt in de voorstellen in het Albrecht-rapport aan strenge voorwaarden onderworpen. waarom het gerechtvaardigd belang van de verantwoordelijke zwaarder weegt dan de bescherming van de privacy van de betrokkene. Het Albrecht-rapport wil de regels voor verwerking van persoonsgegevens in de Europese Unie nog verder aanscherpen. verwerking van gezondheidgegevens en andere gevoelige gegevens zonder de vereiste ondubbelzinnige toestemming van de betrokkene (artikel 9); ontbreken van adequate beveiligingsmaatregelen om datalekken, ongeautoriseerde toegang tot en vernietiging van data te voorkomen (artikel 30); niet tijdig of volledig melden van datalekken, zoals verlies van een USB-stick of de hack van een website (artikel 31 en 32); en niet verrichten van privacyeffectrapportages van verwerkingen die bijzondere privacyrisico s meebrengen, zoals gezondheidsgegevens (artikel 34). Het Albrecht-rapport Op 10 januari 2013 heeft rapporteur Albrecht namens de LIBE commissie 20 van het Europees Parlement, die bij dit onderwerp de leiding heeft, een rapport uitgebracht dat, zoals in de inleiding is aangegeven, de regels voor verwerking van persoonsgegevens in de Europese Unie nog verder wil aanscherpen. 21 Het rapport telt ruim 200 pagina s, zodat in het kader van deze uitgave alleen aandacht kan worden gegeven aan enkele bepalingen die ingrijpende gevolgen kunnen hebben voor in Nederland gevestigde ondernemingen. Die mededeling is ook opgenomen in het voorstel voor aanpassing van de informatieverplichtingen van artikel 14, die verder zijn uitgebreid met informatie over de maatregelen die bij doorgifte zijn genomen en over rights and mechanisms om bezwaar te maken tegen verwerking van persoonsgegevens of deze te vermijden. Ook wordt voorgesteld een verplichting in te voeren om de betrokkene op de hoogte te stellen in geval van mededeling van zijn persoonsgegevens aan een overheidsorgaan op diens verzoek. Ten aanzien van profilering stelt het Albrecht-rapport voor om dit alleen toe te staan met toestemming van de betrokkene of op basis van een wettelijke regeling. 23 Profiling dient verder te worden beperkt door daarvan uit te sluiten het verwerken van bijzondere gegevens en gegevens die het mogelijk maken om kinderen te identificeren of te individualiseren. 24 Een belangrijke voorgestelde wijziging is ook dat ondernemingen die persoonsgegevens verwerken die betrekking hebben op meer dan 500 betrokkenen een functionaris van de gegevensbescherming moeten aanstellen, ook als zij minder dan 250 werknemers hebben. 25 Overdracht van gegevens naar een derde land in het kader van e-discovery wordt in de voorstellen in het Albrecht-rapport aan strenge voorwaarden onderworpen door een nieuw 22 Artikel 6 conceptverordening. 23 Amendement 158, pagina 102 van het Albrecht-rapport. 20 De Commissie Burgerlijke vrijheden, justitie en binnenlandse zaken. 21 Voor de vindplaats van het rapport zie noot Amendement 162 en 164, pagina 104 en 105 van het Albrecht-rapport. 25 Amendement 223, pagina 134 Albrecht-rapport 64privacy: tips en tricks voor de ondernemingspraktijk HOUTHOFF BURUMA 65

6 artikel 43a. 26 Een dergelijke overdracht is alleen nog toegestaan op basis van een verdrag en na toestemming te hebben verkregen van de toezichthouder (zie ook het hoofdstuk e-discovery). Ten slotte is opmerkelijk dat in de voorstellen een belangrijke plaats bij de handhaving van en het toezicht op de concept Verordening wordt ingeruimd voor de European Data Protection Board, een nieuw orgaan dat in de plaats treedt van de Artikel 29 Werkgroep. Daarmee krijgt dit adviesorgaan van de Europese Commissie, waarin de toezichthouders van de 27 EU-lidstaten zijn vertegenwoordigd, op privacygebied de status van supertoezichthouder, die op sommige terreinen zelfs de bevoegdheid krijgt nadere uitvoeringsregels te stellen. Inmiddels hebben verschillende commissies van het Parlement een groot aantal wijzigingsvoorstellen ingediend. Inmiddels is uit een brief van het Ierse voorzitterschap van de EU aan de Raad gbleken, dat een meerderheid van de lidstaten wil dat er een meer risicogeoriënteerde aanpak wordt gekozen en dat met name de administratieve lasten meebrengen voor kleinere ondernemingen worden verminderd. 27 De volgende stap in het wetgevend proces is de behandeling in het Europees Parlement, dat vervolgens (vermoedelijk in juni 2013) zal stemmen over de tekst van de Verordening. Wanneer de Commissie en het Parlement het over de tekst van de Vervordening zijn eens geworden, zal deze worden voorgelegd aan de Raad, die mede als wetgever optreedt. Verwacht wordt dat de Verordening in de loop van 2014 of 2015 in werking zal treden. Het privacyteam van Houthoff Buruma bestaat uit: Wolter Wefers Bettink partner bij Houthoff Buruma en gespecialiseerd in IP en IT litigation, privacy en e-business T w.bettink@houthoff.com Thomas de Weerd partner bij Houthoff Buruma en gespecialiseerd in IT, outsourcing, privacy en e-business T t.de.weerd@houthoff.com Copyright 2013 Houthoff Buruma Voorbehoud: Het is toegestaan om korte passages uit deze uitgave te citeren in andere publicaties, op voorwaarde dat duidelijk aan bronvermelding wordt gedaan. Aanbevolen citeerwijze: Privacy: Tips & Tricks voor de Ondernemingspraktijk, Houthoff Buruma. 26 Amendement 259, pagina 151 en 152 van het Albrecht-rapport. 27 Brief van 22 februari 2013, te vinden op Voor het overige mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder de voorafgaande schriftelijke toestemming van Houthoff Buruma. Deze uitgave is bedoeld ter informatie en niet als juridisch advies. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaardt Houthoff Buruma geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor de gevolgen daarvan. 66privacy: tips en tricks voor de ondernemingspraktijk HOUTHOFF BURUMA 67