Privacy by design en privacy-impact assessments

 in IT-recht

Actuele ontwikkelingen

“Cloud Computing”, “Big Data”, “the internet of things” en computercriminaliteit hebben een enorme impact op de ontwikkeling van het privacy-recht. Er komen zoveel mooie nieuwe producten, die vergaande gevolgen voor privacy hebben, dat het alleen al vanuit economisch belangen en gewenste vooruitgang van groot belang is tijdig de privacy impact te signaleren. Dit om te voorkomen dat men hoge boetes opgelegd krijgt en producten met hoge kosten achteraf weer vergaand aangepast moeten worden aan bestaande wetgeving. Belangrijkste lijkt daarbij beveiliging van persoonsgegevens en  een transparante, betrouwbare en verifieerbare verwerking van persoonsgegevens. 

Actuele wetgeving

Meestal gedreven door techniek  is de privacy wetgeving continue in ontwikkeling. In Nederland is de EU richtlijn 95/46/EG geïmplementeerd in de Wet Bescherming Persoonsgegevens (WBP), heeft het College Bescherming Persoonsgegevens (CBP) in maart 2013 Richtsnoeren Beveiliging van Persoonsgegevens uitgebracht, zijn er wetsvoorstellen ter aanpassing van de WBP en zal waarschijnlijk in de eerste helft van 2016 de nieuwe EU privacy-verordening in werking treden die rechtstreekse werking zal hebben in alle EU lidstaten.

Het bedrijfsleven dient er serieus rekening mee te houden dat het één en ander vergaande impact heeft op de privacy beheersmaatregelen die er genomen moeten worden. Heel kort samengevat dienen er onder meer steeds risico-analyses gemaakt te worden om een passend veiligheidsniveau te waarborgen aangepast aan de alsdan geldende stand van de techniek om verlies (datalekken) en onrechtmatige verwerking van persoonsgegevens te voorkomen.

De realiteit is dat de privacywetgeving meestal achter de praktijk aanloopt, maar er zit ook iets flexibels in de wetgeving, omdat we verplicht zijn privacy-maatregelen steeds aan de stand van de techniek aan te passen. Bedrijven dienen steeds weer de privacy-risico’s  zelf te analyseren om zo nodig vervolgens aangepaste privacy-beschermingsmaatregelen te nemen.

Privacy by design

Privacy by design is het nieuwe modewoord als we het hebben over het tijdig nemen van op de privacy toegesneden beschermingsmaatregelen. Het impliceert dat alvorens tot ingebruikname/bouwen wordt overgegaan van een systeem dat mogelijk impact heeft op de privacy van personen, de privacy risico’s in kaart worden gebracht en de nodige maatregelen worden getroffen om de privacy te waarborgen. Privacy-bescherming is niet iets wat gaat verdwijnen zoals sommige  sociale media-goeroes beweren. Er is daarbij een trend te bespeuren als bij groene energie dat bedrijven juist privacy-bescherming als “unique selling point” gaan zien.

Privacy Impact Assessment (PIA)

Security bedrijven hebben al zogenaamde penetratietesten ontwikkeld om de beveiliging van bestaande systemen te testen op inbraakgevoeligheid en de beveiliging van persoonsgegevens.

Een Privacy Impact Assessment (PIA) is een nieuw fenomeen. NOREA, de beroepsorganisatie van IT-auditors, heeft naast andere organisaties een mooi document en een vragenlijst gemaakt als handleiding voor een PIA. Bijna alle consumenten apparaten,  denk daarbij ook aan medische apparaten, robots en sensoren in de zorg, en allerlei ‘connected devices’ zullen privacy gevoelige gegevens in de cloud brengen. Om die vooruitgang niet te frustreren, moet de privacy impact tijdig onderkend worden en dienen er gepaste privacy beschermingsmaatregelen te worden genomen. De bal ligt daarvoor bij het bedrijfsleven zelf dat op basis van de huidige en aanstaande wetgeving met passende beschermingsmaatregelen dient te komen. Een PIA is daarbij onontbeerlijk. Juridisch advies tot welke grenzen je mag gaan is hierbij een absolute pré.

Wij zullen u daar graag bij adviseren.

Bob CordemeyerIrvette Tempelman

Recent Posts
  • 8 september 2017

    Een rechter die het functioneren van een werknemer beoordeelt?

    Marion Hagenaars
    Een werknemer die zijn beoordeling bij de rechter aanvecht. De rechter zal zich toch afgevraagd hebben: wat moet ik als buitenstaander vinden van het functioneren van een werknemer? Toch wijst de rechter de vordering van de werknemer toe. Het salaris wordt met terugwerkende kracht verhoogd. Werknemer is portfolio manager bij een bedrijf voor professionele reiniging
    Lees verder
  • 28 augustus 2017

    Waar gaat u naar toe met een internationaal IT-geschil?

    Hanneke Slager
    Van ICC naar NCC. Of toch maar liever SGOA?
    Lees verder
  • 11 augustus 2017

    Hoge bomen…stellen hun eigen verbeterplan op…

    Marion Hagenaars
    Niet alle rechters zijn het met elkaar eens, maar deze rechter is in ieder geval van oordeel dat een werkneemster verantwoordelijk is voor haar eigen verbeterplan. Wanneer is ontslag vanwege disfunctioneren mogelijk? Er moet natuurlijk sprake zijn van disfunctioneren. Maar daarnaast moet de werknemer hiervan tijdig in kennis zijn gesteld, moet de werknemer in voldoende
    Lees verder

Plaats een reactie