Privacy by design en privacy-impact assessments

 in IT-recht

Actuele ontwikkelingen

“Cloud Computing”, “Big Data”, “the internet of things” en computercriminaliteit hebben een enorme impact op de ontwikkeling van het privacy-recht. Er komen zoveel mooie nieuwe producten, die vergaande gevolgen voor privacy hebben, dat het alleen al vanuit economisch belangen en gewenste vooruitgang van groot belang is tijdig de privacy impact te signaleren. Dit om te voorkomen dat men hoge boetes opgelegd krijgt en producten met hoge kosten achteraf weer vergaand aangepast moeten worden aan bestaande wetgeving. Belangrijkste lijkt daarbij beveiliging van persoonsgegevens en  een transparante, betrouwbare en verifieerbare verwerking van persoonsgegevens. 

Actuele wetgeving

Meestal gedreven door techniek  is de privacy wetgeving continue in ontwikkeling. In Nederland is de EU richtlijn 95/46/EG geïmplementeerd in de Wet Bescherming Persoonsgegevens (WBP), heeft het College Bescherming Persoonsgegevens (CBP) in maart 2013 Richtsnoeren Beveiliging van Persoonsgegevens uitgebracht, zijn er wetsvoorstellen ter aanpassing van de WBP en zal waarschijnlijk in de eerste helft van 2016 de nieuwe EU privacy-verordening in werking treden die rechtstreekse werking zal hebben in alle EU lidstaten.

Het bedrijfsleven dient er serieus rekening mee te houden dat het één en ander vergaande impact heeft op de privacy beheersmaatregelen die er genomen moeten worden. Heel kort samengevat dienen er onder meer steeds risico-analyses gemaakt te worden om een passend veiligheidsniveau te waarborgen aangepast aan de alsdan geldende stand van de techniek om verlies (datalekken) en onrechtmatige verwerking van persoonsgegevens te voorkomen.

De realiteit is dat de privacywetgeving meestal achter de praktijk aanloopt, maar er zit ook iets flexibels in de wetgeving, omdat we verplicht zijn privacy-maatregelen steeds aan de stand van de techniek aan te passen. Bedrijven dienen steeds weer de privacy-risico’s  zelf te analyseren om zo nodig vervolgens aangepaste privacy-beschermingsmaatregelen te nemen.

Privacy by design

Privacy by design is het nieuwe modewoord als we het hebben over het tijdig nemen van op de privacy toegesneden beschermingsmaatregelen. Het impliceert dat alvorens tot ingebruikname/bouwen wordt overgegaan van een systeem dat mogelijk impact heeft op de privacy van personen, de privacy risico’s in kaart worden gebracht en de nodige maatregelen worden getroffen om de privacy te waarborgen. Privacy-bescherming is niet iets wat gaat verdwijnen zoals sommige  sociale media-goeroes beweren. Er is daarbij een trend te bespeuren als bij groene energie dat bedrijven juist privacy-bescherming als “unique selling point” gaan zien.

Privacy Impact Assessment (PIA)

Security bedrijven hebben al zogenaamde penetratietesten ontwikkeld om de beveiliging van bestaande systemen te testen op inbraakgevoeligheid en de beveiliging van persoonsgegevens.

Een Privacy Impact Assessment (PIA) is een nieuw fenomeen. NOREA, de beroepsorganisatie van IT-auditors, heeft naast andere organisaties een mooi document en een vragenlijst gemaakt als handleiding voor een PIA. Bijna alle consumenten apparaten,  denk daarbij ook aan medische apparaten, robots en sensoren in de zorg, en allerlei ‘connected devices’ zullen privacy gevoelige gegevens in de cloud brengen. Om die vooruitgang niet te frustreren, moet de privacy impact tijdig onderkend worden en dienen er gepaste privacy beschermingsmaatregelen te worden genomen. De bal ligt daarvoor bij het bedrijfsleven zelf dat op basis van de huidige en aanstaande wetgeving met passende beschermingsmaatregelen dient te komen. Een PIA is daarbij onontbeerlijk. Juridisch advies tot welke grenzen je mag gaan is hierbij een absolute pré.

Wij zullen u daar graag bij adviseren.

Bob CordemeyerIrvette Tempelman

Recent Posts
  • 7 juni 2018

    IT-ondernemingen wees zuinig op je personeel

    Marion Hagenaars
    Terugkerend nieuws: gebrek aan IT-ers. Dit gebrek aan IT-ers is een groot obstakel voor innovatie. Het plan om de fiscale regeling voor buitenlandse werknemers (de zogenaamde “30%-regeling”) van 8 naar 5 jaar te verkorten per 1 januari a.s. helpt IT-ondernemingen hierbij niet. Niet alleen het werven, maar ook het behouden van IT-ers is daarom steeds
    Lees verder
  • 1 juni 2018

    C&S wint de eerste prijs met het beste en leukste stageverslag!

    Hanneke Slager
    Ter gelegenheid van de officiële uitreiking van de stageverklaring van onze collega Pim Hesselink op 31 mei 2018 heeft de deken van Noord-Holland het stageverslag van C&S voor de lichting 2014/2015, als beste en meest originele beloond met de 1e prijs! Nadat we bij vorige uitreiking 2e zijn geworden gaan we er natuurlijk voor zorgen
    Lees verder
  • 1 juni 2018

    SGOA start met ‘Privacy & Security kamer’

    Hanneke Slager
    SGOA, sinds 1989 het onafhankelijke instituut voor geschiloplossing in de informatiemaatschappij, is een Privacy & Security kamer gestart. Als voorzitter van SGOA Nederland ben ik trots op dit initiatief en op de privacy specialisten die beschikbaar zijn voor het behandelen van privacy en security geschillen. Want dat die geschillen gaan ontstaan, is net zo zeker
    Lees verder

Plaats een reactie