Privacy by design en privacy-impact assessments

 in IT-recht

Actuele ontwikkelingen

“Cloud Computing”, “Big Data”, “the internet of things” en computercriminaliteit hebben een enorme impact op de ontwikkeling van het privacy-recht. Er komen zoveel mooie nieuwe producten, die vergaande gevolgen voor privacy hebben, dat het alleen al vanuit economisch belangen en gewenste vooruitgang van groot belang is tijdig de privacy impact te signaleren. Dit om te voorkomen dat men hoge boetes opgelegd krijgt en producten met hoge kosten achteraf weer vergaand aangepast moeten worden aan bestaande wetgeving. Belangrijkste lijkt daarbij beveiliging van persoonsgegevens en  een transparante, betrouwbare en verifieerbare verwerking van persoonsgegevens. 

Actuele wetgeving

Meestal gedreven door techniek  is de privacy wetgeving continue in ontwikkeling. In Nederland is de EU richtlijn 95/46/EG geïmplementeerd in de Wet Bescherming Persoonsgegevens (WBP), heeft het College Bescherming Persoonsgegevens (CBP) in maart 2013 Richtsnoeren Beveiliging van Persoonsgegevens uitgebracht, zijn er wetsvoorstellen ter aanpassing van de WBP en zal waarschijnlijk in de eerste helft van 2016 de nieuwe EU privacy-verordening in werking treden die rechtstreekse werking zal hebben in alle EU lidstaten.

Het bedrijfsleven dient er serieus rekening mee te houden dat het één en ander vergaande impact heeft op de privacy beheersmaatregelen die er genomen moeten worden. Heel kort samengevat dienen er onder meer steeds risico-analyses gemaakt te worden om een passend veiligheidsniveau te waarborgen aangepast aan de alsdan geldende stand van de techniek om verlies (datalekken) en onrechtmatige verwerking van persoonsgegevens te voorkomen.

De realiteit is dat de privacywetgeving meestal achter de praktijk aanloopt, maar er zit ook iets flexibels in de wetgeving, omdat we verplicht zijn privacy-maatregelen steeds aan de stand van de techniek aan te passen. Bedrijven dienen steeds weer de privacy-risico’s  zelf te analyseren om zo nodig vervolgens aangepaste privacy-beschermingsmaatregelen te nemen.

Privacy by design

Privacy by design is het nieuwe modewoord als we het hebben over het tijdig nemen van op de privacy toegesneden beschermingsmaatregelen. Het impliceert dat alvorens tot ingebruikname/bouwen wordt overgegaan van een systeem dat mogelijk impact heeft op de privacy van personen, de privacy risico’s in kaart worden gebracht en de nodige maatregelen worden getroffen om de privacy te waarborgen. Privacy-bescherming is niet iets wat gaat verdwijnen zoals sommige  sociale media-goeroes beweren. Er is daarbij een trend te bespeuren als bij groene energie dat bedrijven juist privacy-bescherming als “unique selling point” gaan zien.

Privacy Impact Assessment (PIA)

Security bedrijven hebben al zogenaamde penetratietesten ontwikkeld om de beveiliging van bestaande systemen te testen op inbraakgevoeligheid en de beveiliging van persoonsgegevens.

Een Privacy Impact Assessment (PIA) is een nieuw fenomeen. NOREA, de beroepsorganisatie van IT-auditors, heeft naast andere organisaties een mooi document en een vragenlijst gemaakt als handleiding voor een PIA. Bijna alle consumenten apparaten,  denk daarbij ook aan medische apparaten, robots en sensoren in de zorg, en allerlei ‘connected devices’ zullen privacy gevoelige gegevens in de cloud brengen. Om die vooruitgang niet te frustreren, moet de privacy impact tijdig onderkend worden en dienen er gepaste privacy beschermingsmaatregelen te worden genomen. De bal ligt daarvoor bij het bedrijfsleven zelf dat op basis van de huidige en aanstaande wetgeving met passende beschermingsmaatregelen dient te komen. Een PIA is daarbij onontbeerlijk. Juridisch advies tot welke grenzen je mag gaan is hierbij een absolute pré.

Wij zullen u daar graag bij adviseren.

Bob CordemeyerIrvette Tempelman

Recent Posts
  • 20 juni 2017

    Einde oefening voor werknemer na liegen over klantbezoek en het uiten van dreigementen

    Marion Hagenaars
    Een ontslag op staande voet is vaak wikken en wegen. Zijn de gedragingen ernstig genoeg? Kunnen de gedragingen worden bewezen? Zijn er (privé) omstandigheden die de gedragingen rechtvaardigen? Gaat het niet te ver om de werknemer loon en uitkering te ontnemen? Maar soms maakt een werknemer het zo bont dat een ontslag op staande onvermijdelijk
    Lees verder
  • 13 juni 2017

    Zelfstandig werken onder eigen voorman, toch StiPP

    Marion Hagenaars
    Voor uitleners blijft het spannend. Nederland kent dan wel geen algemene pensioenverplichting, maar via het verplicht gesteld bedrijfstakpensioenfonds voor personeelsdiensten kan deze verplichting toch bestaan. De gevolgen zijn verstrekkend. Ongevraagd met terugwerkende kracht aangesloten worden, over jaren premies afdragen met soms faillissement tot gevolg, dubbele pensioenvoorzieningen met alle fiscale gevolgen van dien. Het is dan
    Lees verder
  • 8 juni 2017

    Thuiswerkdag recht of gunst?

    Marion Hagenaars
    De meeste werkgevers hebben er wel begrip voor: thuiswerken om efficiënter te kunnen werken, reistijd te beperken of werk en zorg beter te kunnen combineren. Maar soms slaat de twijfel toe. Worden de overeengekomen arbeidsuren wel gemaakt? En werkt thuiswerken disfunctioneren niet in de hand? En kan bij deze twijfel de thuiswerkdag zomaar weer worden
    Lees verder

Plaats een reactie