Privacy by design en privacy-impact assessments

 in IT-recht

Actuele ontwikkelingen

“Cloud Computing”, “Big Data”, “the internet of things” en computercriminaliteit hebben een enorme impact op de ontwikkeling van het privacy-recht. Er komen zoveel mooie nieuwe producten, die vergaande gevolgen voor privacy hebben, dat het alleen al vanuit economisch belangen en gewenste vooruitgang van groot belang is tijdig de privacy impact te signaleren. Dit om te voorkomen dat men hoge boetes opgelegd krijgt en producten met hoge kosten achteraf weer vergaand aangepast moeten worden aan bestaande wetgeving. Belangrijkste lijkt daarbij beveiliging van persoonsgegevens en  een transparante, betrouwbare en verifieerbare verwerking van persoonsgegevens. 

Actuele wetgeving

Meestal gedreven door techniek  is de privacy wetgeving continue in ontwikkeling. In Nederland is de EU richtlijn 95/46/EG geïmplementeerd in de Wet Bescherming Persoonsgegevens (WBP), heeft het College Bescherming Persoonsgegevens (CBP) in maart 2013 Richtsnoeren Beveiliging van Persoonsgegevens uitgebracht, zijn er wetsvoorstellen ter aanpassing van de WBP en zal waarschijnlijk in de eerste helft van 2016 de nieuwe EU privacy-verordening in werking treden die rechtstreekse werking zal hebben in alle EU lidstaten.

Het bedrijfsleven dient er serieus rekening mee te houden dat het één en ander vergaande impact heeft op de privacy beheersmaatregelen die er genomen moeten worden. Heel kort samengevat dienen er onder meer steeds risico-analyses gemaakt te worden om een passend veiligheidsniveau te waarborgen aangepast aan de alsdan geldende stand van de techniek om verlies (datalekken) en onrechtmatige verwerking van persoonsgegevens te voorkomen.

De realiteit is dat de privacywetgeving meestal achter de praktijk aanloopt, maar er zit ook iets flexibels in de wetgeving, omdat we verplicht zijn privacy-maatregelen steeds aan de stand van de techniek aan te passen. Bedrijven dienen steeds weer de privacy-risico’s  zelf te analyseren om zo nodig vervolgens aangepaste privacy-beschermingsmaatregelen te nemen.

Privacy by design

Privacy by design is het nieuwe modewoord als we het hebben over het tijdig nemen van op de privacy toegesneden beschermingsmaatregelen. Het impliceert dat alvorens tot ingebruikname/bouwen wordt overgegaan van een systeem dat mogelijk impact heeft op de privacy van personen, de privacy risico’s in kaart worden gebracht en de nodige maatregelen worden getroffen om de privacy te waarborgen. Privacy-bescherming is niet iets wat gaat verdwijnen zoals sommige  sociale media-goeroes beweren. Er is daarbij een trend te bespeuren als bij groene energie dat bedrijven juist privacy-bescherming als “unique selling point” gaan zien.

Privacy Impact Assessment (PIA)

Security bedrijven hebben al zogenaamde penetratietesten ontwikkeld om de beveiliging van bestaande systemen te testen op inbraakgevoeligheid en de beveiliging van persoonsgegevens.

Een Privacy Impact Assessment (PIA) is een nieuw fenomeen. NOREA, de beroepsorganisatie van IT-auditors, heeft naast andere organisaties een mooi document en een vragenlijst gemaakt als handleiding voor een PIA. Bijna alle consumenten apparaten,  denk daarbij ook aan medische apparaten, robots en sensoren in de zorg, en allerlei ‘connected devices’ zullen privacy gevoelige gegevens in de cloud brengen. Om die vooruitgang niet te frustreren, moet de privacy impact tijdig onderkend worden en dienen er gepaste privacy beschermingsmaatregelen te worden genomen. De bal ligt daarvoor bij het bedrijfsleven zelf dat op basis van de huidige en aanstaande wetgeving met passende beschermingsmaatregelen dient te komen. Een PIA is daarbij onontbeerlijk. Juridisch advies tot welke grenzen je mag gaan is hierbij een absolute pré.

Wij zullen u daar graag bij adviseren.

Bob CordemeyerIrvette Tempelman

Recent Posts
  • 13 december 2017

    e-Privacy Verordening: wat verandert er?

    Bob Cordemeyer
    10 januari 2017 publiceerde de Europese Commissie het voorstel voor een herziening van de bestaande e-Privacyrichtlijn (Richtlijn 2002/58/EG). Met de invoering van de Algemene Verordening Persoonsgegevens (Verordening (EU) 2016/679), die 25 mei 2018 in werking treedt, wordt hiermee een belangrijke stap gezet voor de hervorming en uniformiteit van de regelgeving voor gegevensbescherming. Het streven van
    Lees verder
  • 14 december 2017

    Wijzigingen 2018 & het regeerakkoord voor HR

    Marion Hagenaars
    Nieuwe uitdagingen voor HR in 2018. Ook in 2018 krijgt HR weer te maken met nieuwe wet-en regelgeving. Via deze blog informeren we je over de belangrijkste wijzigingen. 2018 De volgende wijzigingen voor 2018 zijn voor HR van belang: Transitievergoeding De transitievergoeding bedraagt in 2018 maximaal € 79.000,- bruto of – indien hoger – een
    Lees verder
  • 29 november 2017

    Ondernemingsraden let op met privacy!

    Marion Hagenaars
    Ondernemingsraden vervullen een belangrijke rol met betrekking tot privacy. Elk besluit tot het vaststellen, wijzigen of intrekken van een regeling omtrent het verwerken en/of beschermen van persoonsgegevens is namelijk instemmingsplichtig. Dit betekent dat de ondernemer om een dergelijk besluit te kunnen nemen óf instemming nodig heeft van de ondernemingsraad óf vervangende instemming van de kantonrechter.
    Lees verder

Plaats een reactie