Privacy by design en privacy-impact assessments

 in IT-recht

Actuele ontwikkelingen

“Cloud Computing”, “Big Data”, “the internet of things” en computercriminaliteit hebben een enorme impact op de ontwikkeling van het privacy-recht. Er komen zoveel mooie nieuwe producten, die vergaande gevolgen voor privacy hebben, dat het alleen al vanuit economisch belangen en gewenste vooruitgang van groot belang is tijdig de privacy impact te signaleren. Dit om te voorkomen dat men hoge boetes opgelegd krijgt en producten met hoge kosten achteraf weer vergaand aangepast moeten worden aan bestaande wetgeving. Belangrijkste lijkt daarbij beveiliging van persoonsgegevens en  een transparante, betrouwbare en verifieerbare verwerking van persoonsgegevens. 

Actuele wetgeving

Meestal gedreven door techniek  is de privacy wetgeving continue in ontwikkeling. In Nederland is de EU richtlijn 95/46/EG geïmplementeerd in de Wet Bescherming Persoonsgegevens (WBP), heeft het College Bescherming Persoonsgegevens (CBP) in maart 2013 Richtsnoeren Beveiliging van Persoonsgegevens uitgebracht, zijn er wetsvoorstellen ter aanpassing van de WBP en zal waarschijnlijk in de eerste helft van 2016 de nieuwe EU privacy-verordening in werking treden die rechtstreekse werking zal hebben in alle EU lidstaten.

Het bedrijfsleven dient er serieus rekening mee te houden dat het één en ander vergaande impact heeft op de privacy beheersmaatregelen die er genomen moeten worden. Heel kort samengevat dienen er onder meer steeds risico-analyses gemaakt te worden om een passend veiligheidsniveau te waarborgen aangepast aan de alsdan geldende stand van de techniek om verlies (datalekken) en onrechtmatige verwerking van persoonsgegevens te voorkomen.

De realiteit is dat de privacywetgeving meestal achter de praktijk aanloopt, maar er zit ook iets flexibels in de wetgeving, omdat we verplicht zijn privacy-maatregelen steeds aan de stand van de techniek aan te passen. Bedrijven dienen steeds weer de privacy-risico’s  zelf te analyseren om zo nodig vervolgens aangepaste privacy-beschermingsmaatregelen te nemen.

Privacy by design

Privacy by design is het nieuwe modewoord als we het hebben over het tijdig nemen van op de privacy toegesneden beschermingsmaatregelen. Het impliceert dat alvorens tot ingebruikname/bouwen wordt overgegaan van een systeem dat mogelijk impact heeft op de privacy van personen, de privacy risico’s in kaart worden gebracht en de nodige maatregelen worden getroffen om de privacy te waarborgen. Privacy-bescherming is niet iets wat gaat verdwijnen zoals sommige  sociale media-goeroes beweren. Er is daarbij een trend te bespeuren als bij groene energie dat bedrijven juist privacy-bescherming als “unique selling point” gaan zien.

Privacy Impact Assessment (PIA)

Security bedrijven hebben al zogenaamde penetratietesten ontwikkeld om de beveiliging van bestaande systemen te testen op inbraakgevoeligheid en de beveiliging van persoonsgegevens.

Een Privacy Impact Assessment (PIA) is een nieuw fenomeen. NOREA, de beroepsorganisatie van IT-auditors, heeft naast andere organisaties een mooi document en een vragenlijst gemaakt als handleiding voor een PIA. Bijna alle consumenten apparaten,  denk daarbij ook aan medische apparaten, robots en sensoren in de zorg, en allerlei ‘connected devices’ zullen privacy gevoelige gegevens in de cloud brengen. Om die vooruitgang niet te frustreren, moet de privacy impact tijdig onderkend worden en dienen er gepaste privacy beschermingsmaatregelen te worden genomen. De bal ligt daarvoor bij het bedrijfsleven zelf dat op basis van de huidige en aanstaande wetgeving met passende beschermingsmaatregelen dient te komen. Een PIA is daarbij onontbeerlijk. Juridisch advies tot welke grenzen je mag gaan is hierbij een absolute pré.

Wij zullen u daar graag bij adviseren.

Bob CordemeyerIrvette Tempelman

Recente berichten

Plaats een reactie

Top