GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
Korte presentatie @ infosecurity 2018 beurs, 14 maart 2018 in de Brussels Expo. De organisatie vroeg me om in te vallen voor de oorspronkelijke spreker Eddy Vanderstock. Poging om op een bevattelijke manier met mijn beperkte kennis GDPR praktisch te duiden.
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
Korte presentatie @ infosecurity 2018 beurs, 14 maart 2018 in de Brussels Expo. De organisatie vroeg me om in te vallen voor de oorspronkelijke spreker Eddy Vanderstock. Poging om op een bevattelijke manier met mijn beperkte kennis GDPR praktisch te duiden.
Big Data in de praktijk: lust of last?
Big Data en privacy: bescherming persoonsgegevens in kort bestek
Door:
mr. Marten van Hasselt advocaat sinds 2003 Specialisaties:
- Intellectueel eigendomsrecht
- Verbintenissenrecht
- Procesrecht
mr. Vincent Rutgers advocaat sinds 1999 Specialisaties:
- Ondernemingsrecht
- Privacy recht
- Media-, entertainment en ICT
Lecture DPO S 2018 - March 5th, 2018 of the professional association DPO-pro
Privacy Policies - Legal requirements & Best practices
Plain language / du langage clair / Heerlijk helder
Lecture DPO S 2018 - March 5th, 2018 of the professional association DPO-pro
The position and the responsibilities of the DPO.
Some contractual clauses to protect the DPO
AKD verzorgde voor haar relaties het seminar 'Privacy in het arbeidsrecht’ op 17, 19 en 23 april 2012. Dit is de presentatie van Eva van den Krommenacker, advocaat van AKD.
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data OrangeValley
Beveiliging van persoonsgegevens, meldplicht datalekken, big data & profilering staan dit jaar opnieuw hoog op de agenda van onze privacytoezichthouder. Daarnaast wordt alsmaar benadrukt dat organisaties in onze data driven samenleving de verantwoordelijkheid hebben om zorgvuldig met data om te gaan én dat de consument het recht heeft goed en volledig geïnformeerd te worden. Hoe zorgt u als organisatie dat u daaraan voldoet? Waartoe bent u op basis van privacywetgeving verplicht? Sabine Straver, jurist bij DDMA, vertelt wat dit voor uw organisatie betekent.
Vanaf 25 mei 2018 zal de algemene verordening gegevensbescherming (AVG) voor iedereen van toepassing zijn. De AVG zal de wet bescherming persoonsgegevens (WBP), die sinds 2001 in Nederland van toepassing is, vervangen. De belangrijkste veranderingen zijn aangescherpte privacyregelingen. Voor organisaties betekent dit vooral meer plichten.
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Bart Van Den Brande
Juridishce aspecten van privacy, spam, cookies, e-commerce,online wedstrijden, bescherming van intellectuele eigendom, vergelijkende reclame, gebruik van adwords, etc...
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
Wat is de impact van #gdpr en #privacy op uw bedrijf? Wat is er nodig om uw bedrijf GDPR compliant te maken tegen mei 2018? Hoe verloopt een GDPR compliancy traject binnen uw onderneming? Antwoorden hierop probeert het team van advocatenkantoor Sirius Legal u te geven in deze presentatie
Big Data in de praktijk: lust of last?
Big Data en privacy: bescherming persoonsgegevens in kort bestek
Door:
mr. Marten van Hasselt advocaat sinds 2003 Specialisaties:
- Intellectueel eigendomsrecht
- Verbintenissenrecht
- Procesrecht
mr. Vincent Rutgers advocaat sinds 1999 Specialisaties:
- Ondernemingsrecht
- Privacy recht
- Media-, entertainment en ICT
Lecture DPO S 2018 - March 5th, 2018 of the professional association DPO-pro
Privacy Policies - Legal requirements & Best practices
Plain language / du langage clair / Heerlijk helder
Lecture DPO S 2018 - March 5th, 2018 of the professional association DPO-pro
The position and the responsibilities of the DPO.
Some contractual clauses to protect the DPO
AKD verzorgde voor haar relaties het seminar 'Privacy in het arbeidsrecht’ op 17, 19 en 23 april 2012. Dit is de presentatie van Eva van den Krommenacker, advocaat van AKD.
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data OrangeValley
Beveiliging van persoonsgegevens, meldplicht datalekken, big data & profilering staan dit jaar opnieuw hoog op de agenda van onze privacytoezichthouder. Daarnaast wordt alsmaar benadrukt dat organisaties in onze data driven samenleving de verantwoordelijkheid hebben om zorgvuldig met data om te gaan én dat de consument het recht heeft goed en volledig geïnformeerd te worden. Hoe zorgt u als organisatie dat u daaraan voldoet? Waartoe bent u op basis van privacywetgeving verplicht? Sabine Straver, jurist bij DDMA, vertelt wat dit voor uw organisatie betekent.
Vanaf 25 mei 2018 zal de algemene verordening gegevensbescherming (AVG) voor iedereen van toepassing zijn. De AVG zal de wet bescherming persoonsgegevens (WBP), die sinds 2001 in Nederland van toepassing is, vervangen. De belangrijkste veranderingen zijn aangescherpte privacyregelingen. Voor organisaties betekent dit vooral meer plichten.
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Bart Van Den Brande
Juridishce aspecten van privacy, spam, cookies, e-commerce,online wedstrijden, bescherming van intellectuele eigendom, vergelijkende reclame, gebruik van adwords, etc...
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
Wat is de impact van #gdpr en #privacy op uw bedrijf? Wat is er nodig om uw bedrijf GDPR compliant te maken tegen mei 2018? Hoe verloopt een GDPR compliancy traject binnen uw onderneming? Antwoorden hierop probeert het team van advocatenkantoor Sirius Legal u te geven in deze presentatie
Een correcte manier van verwerken, beschermen en verspreiden van persoonsgegevens die volgens de wet plaatsvindt draagt bij aan het vertrouwen van burgers en maatschappij dat de persoonsgegevens die zij verplicht zijn af te staan ook daadwerkelijk volgens de wet worden verwerkt en beschermd. Het voorkomt tevens onrechtmatig gebruik van persoonsgegevens om bijvoorbeeld fraude te plegen.
Tijdens de incompany training Suwinet Services of feitelijke inbreuk op privacygegevens? krijgen uw managers en medewerkers die belast zijn met de verwerking en bescherming van persoonsgegevens in 1 dag een helder en informatief overzicht van alle (juridische) aspecten die komen kijken bij de verwerking van persoonsgegevens door uw gemeente. Uw medewerkers zijn zich na de training bewust van alle wettelijke verplichtingen rondom de verwerking en verspreiding van persoonsgegevens en zullen volgens de WBP handelen. Uw gemeente krijgt tevens inzicht in hoeverre de organisatie volgens de WBP werkt en - indien nodig - welke stappen moeten worden ondernomen om 100% volgens de richtlijnen verwerking persoonsgegevens te werken.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarAlmereDataCapital
Slides van Prof. mr. Jaap Sijmons (hoogleraar Gezondheidsrecht UU). Huidige wet- en regelgeving belemmert externe data/cloudopslag in de zorg niet! Van wie zijn die zorgdata nu eigenlijk?
Gepresenteerd tijdens Privacy, Identity & Security (PIDS) seminar van Almere DataCapital, zie www.almeredatacapital.nl.
Presentatiebestand gebruikt bij de workshop van 16 april 2009 in de raadszaal van het Stadhuis Woerden over 'digitale dienstverlening' van/door de gemeente.
gdpr - avg algemene introductie voor marketeersThe CMR Agency
In tien sheets de basis beginselen van GDPR (General Data Protection Regulation) of AVG (Algemene Verordening van Gegevensbescherming), met als doelgroep: de marketeers.
Professionals in welzijn en zorg gaan steeds beter samenwerken en steeds meer maatwerk bieden. Daarvoor is het nodig dat ze informatie delen, met elkaar, met de klanten, met vrijwilligers, met mensen in de omgeving van klanten. Tegelijk is het zaak de persoonsgegevens goed te beschermen en te beantwoorden aan de eisen die de wet hieraan stelt. Ziie voor meer informatie http://privacy.zorgvoorelkaarbreda.nl
Data-driven leren en de Privacyverordening, wat mag er nog? - Arnoud Engelfri...SURF Events
De nieuwe Europese privacywet komt eraan. Wat betekent dit voor learning analytics, online onderwijs en data analyses op studentenprestaties? De nieuwe wet is streng. Iedere vorm van observeren of monitoring met elektronische tools valt onder het begrip ‘verwerken van persoonsgegevens’ en moet daarmee gerechtvaardigd zijn binnen de nieuwe regels. Dit betekent toestemming vragen of onderbouwen waarom de monitoring noodzakelijk is voor het onderwijs. Een toelichting in gewone mensentaal zal er ook bij moeten, en natuurlijk moeten deze gegevens strikt vertrouwelijk en beveiligd worden behandeld. Dit geldt ook bij statistisch onderzoek zoals fraudedetectie. In deze sessie krijgt u van ICT-jurist en privacyexpert Arnoud Engelfriet praktische handvatten om hiermee om te gaan.
Als we de de media moeten geloven is AVG de afkorting voor voor Alles Verandert Gigantisch. Vanuit de optiek van informatiebeveiligers staat AVG voor Alleen Voor Gevorderden. De overheid, waaronder de Autoriteit Persoonsgegevens presenteert de AVG als Aandacht Voor Gegevensbescherming. Is sprake van oude wijn in nieuwe zakken? In deze workshop worden de essentials van de Algemene Verordening Gegevensbescherming besproken voor (bedrijfs)beveiliging, integriteit en fraude.
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGENJeroen Oversteegen
Welke persoonsgegevens mag ik straks nog opslaan?
De door veel ondernemers gevreesde datum van 25 mei 2018 komt met rasse schreden naderbij. Op die dag wordt de Algemene verordening gegevensbescherming (AVG) van toepassing, de privacywet die de omgang met persoonsgegevens radicaal opschudt. Aan welke eisen moet een financieel adviseur, die over een schat aan
persoonsgegevens beschikt, straks voldoen? “Welke gegevens moet ik wel bewaren, wat mag er juist niet”, vraagt Theo Oskam van kantoor JijenWij.
“Weer een regel”, verzucht Oskam, over de AVG. De adviseur vraagt zich af wat hij met deze nieuwe privacywet moet. “We staan op Facebook zonder aarzelen de rechten op onze foto’s af. We accepteren bovendien snel en ongelezen voortdurend allerlei algemene voorwaarden. De rol van bewustwording vind ik tot nu toe in de discussies over de AVG te weinig naar voren komen. Maar vooral zou ik willen weten wat ik als assurantieadviseur wel moet bewaren en wat niet. Wat mag ik straks nog? En wat beslist niet?”
Om die vragen te beantwoorden, is het goed eerst na te gaan over welke gegevens de wet eigenlijk gaat, vindt het panel. “In feite zijn dat alle gegevens waarmee je personen kunt identificeren. Naam, adres, telefoonnummer, bankrekening, gezondheidsgegevens, verklaring omtrent gedrag, BSN, enzovoort”, zegt zelfstandig advocaat Jolanda Aalten, die gespecialiseerd is in arbeidsrecht en privacy. “Elk assurantiekantoor zit barstensvol met die gegevens. Daar moet je je heel goed van bewust zijn. Het draait om gesystematiseerde bestanden, die kunnen ook op papier staan. De wet geldt dus ook voor de meterslange dossierkasten in veel kantoren.”
“De ingrijpendste verandering voor de sector is dat veel bedrijven uit een cultuur komen waarin alles wordt vastgelegd en jaren werd vastgehouden”, zegt Jeroen Oversteegen van de Nationale Hypotheekbond en de Contactgroep Automatisering. “Daar ligt een mogelijk gevaar voor de consument. Je kunt die data onbeperkt combineren en dan krijgen die gegevens een voorspellende waarde.”
This presentation gives an overview of all important rules in the area of social media and privacy settings. It helps companies and marketeers working in or with the Netherlands, to get a better understanding of the legal issues they are facing with.
Op 25 mei is de Algemene Verordening Gegevensbescherming van toepassing op alle organisaties die gegevens van personen in een bestand bewaren
Verenigingen moeten zich hier ook aan houden
Zowel voor digitale bestanden als voor mappen op een plank ook deze laatste moeten voortaan veilig worden opgeborgen zonder dat vreemden daarbij kunnen.
2. Privacy is hot
Wie even googled komt talloze actuele
berichten op het gebied van al dan niet
vermeende privacyschending tegen: het
nieuwe biometrische paspoort met de
bijbehorende vingerafdrukbank, de OV
chipkaart voor studenten, de mobiele
bodyscanner, de Hyves social viral, etc.
Er wordt steeds meer data vastgelegd en
steeds vaker wordt die data geïntegreerd.
Mensen geven ook steeds meer informatie
over zichzelf prijs, op sociale media zoals
Hyves, Facebook, Linkedin, Twitter, ed.
De technologische veranderingen die
elkaar steeds sneller opvolgen,
beïnvloeden onze privacy op een nooit
eerder geziene wijze. Het Nederlands
product Layar laat zien hoe de data uit de
virtuele wereld kan worden gecombineerd
met die uit de reële wereld. Layar is nu al
beschikbaar voor Iphone. Men noemt deze
techniek waarbij men reële data verrijkt
met virtuele data, ook wel augmented
reality.
The age of privacy is over.
Mark Zuckerberg (oprichter Facebook)
Hoe privé zijn mijn privé gegevens
De Wet bescherming persoonsgegevens
(WBP) geeft regels voor een zorgvuldige
omgang met de persoonsgegevens. Sinds
1 september 2001 is de WBP van kracht
als vervanger van de wet
persoonsregistraties (WPR) en brengt
hiermee de Nederlandse wetgeving in
overeenstemming met de Europese
Privacyrichtlijn 95/46/EG.
Over de auteur:
Rob van Hees is
procesmanager.
In zijn werk heeft hij
regelmatig te maken
met compliancy
vraagstukken.
Reikwijdte WBP
De verwerking van persoonsgegevens: elke
handeling of elk geheel van handelingen
met betrekking tot persoonsgegevens,
waaronder in ieder geval het verzamelen,
vastleggen, ordenen, bewaren, bijwerken,
wijzigen, opvragen, raadplegen, gebruiken,
verstrekken door middel van doorzending,
verspreiding of enige andere vorm van
terbeschikkingstelling, samenbrengen, met
elkaar in verband brengen, alsmede het
afschermen, uitwissen of vernietigen van
gegevens (WBP: artikel 1).
Deze wet is van toepassing op de geheel of
gedeeltelijk geautomatiseerde verwerking
van persoonsgegevens, alsmede de niet
geautomatiseerde verwerking van
persoonsgegevens die in een bestand zijn
opgenomen of die bestemd zijn om daarin te
worden opgenomen (WBP: artikel 2)
Beschermen versus faciliteren
Hoewel het woord bescherming in WBP de
connotatie “beperkend” heeft, was de
gedachte achter de wetgeving ook, of beter
gezegd juist, een faciliterende: het reguleren
van vrij informatieverkeer.
Slecht privacybeleid kan in strijd met de wet
zijn, verstrekkende gevolgen hebben voor
de natuurlijke persoon van wie de gegevens
verwerkt worden, en kan daarnaast leiden
tot aanzienlijke reputatieschade.
Goed privacybeleid kan juist als unique
selling point door een organisatie worden
ingezet en kan worden uitgedragen in
informatiefolders en/of op websites.
3. Persoonsgegevens
De persoonsgegevens (elk gegeven
betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon) van
burgers komen in talloze bestanden voor,
zoals de gemeente, de huisarts, de UWV,
de belastingdienst, de bibliotheek,
supermarkt, sportvereniging en werkgever.
Mensen doen mee aan spaaracties en
enquêtes, hebben een klantenkaart of een
tankpas.
Dit is geen enkel probleem wanneer deze
organisaties goed met gegevens omgaan,
maar gegevens kunnen aan derden
worden verkocht of door onvoldoende
beveiliging ten prooi vallen aan
kwaadwillenden. In het digitale tijdperk
waar informatie steeds waardevoller wordt,
neemt de kans op stelen van
persoonsgegevens evenredig toe.
Zodra een bestuursorgaan of een bedrijf
gegevens betreffende een
geïdentificeerde of identificeerbare
natuurlijke persoon verwerkt heeft deze
organisatie te maken met de WBP.
Daarbij onderkent de wet een aantal
actoren. De belangrijkste daarvan zijn:
Betrokkene
Degene op wie een persoonsgegeven
betrekking heeft.
Bewerker
Degene die ten behoeve van de
verantwoordelijke persoonsgegevens
verwerkt, zonder aan zijn rechtstreeks
gezag te zijn onderworpen.
Ontvanger
Degene aan wie de persoonsgegevens
worden verstrekt.
Verantwoordelijke
De natuurlijke persoon, rechtspersoon of
ieder ander die of het bestuursorgaan dat,
alleen of te samen met anderen, het doel
van en de middelen voor de verwerking
van persoonsgegevens vaststelt.
Functionaris voor de Gegevensbescherming
(FG)
Bedrijven, brancheorganisaties, overheden
en instellingen hebben de mogelijkheid zelf
een interne toezichthouder op de verwerking
van persoonsgegevens aan te stellen: de
functionaris voor de gegevensbescherming.
Deze functionaris houdt binnen de
organisatie toezicht op de toepassing en
naleving van de Wet bescherming
persoonsgegevens.
De wettelijke taken en bevoegdheden van
de FG geven deze functionaris een
onafhankelijke positie in de organisatie.
Alle functionarissen voor de
gegevensbescherming (aangesteld volgens
artikel 62-64 van de Wet bescherming
persoonsgegevens) moeten worden gemeld
bij het CBP.
Respect voor één ieders persoonlijke
levenssfeer door bestuur, bedrijfsleven
en burgers onderling is immers
onontbeerlijk voor het functioneren van
de samenleving als geheel.
Jacop Kohnstamm (voorzitter CBP)
Toezichthouder
Het College Bescherming
Persoonsgegevens (CBP) houdt toezicht op
de naleving van wetten die het gebruik van
persoonsgegevens regelen. Zo controleert
het of bedrijven en instanties zich aan de
WBP houden. Deze rol van het CBP gaat
steeds belangrijker worden in te toekomst.
Met de veranderende techniek zijn niet alle
definities nog even helder: Wat als de
verantwoordelijke zijn bewerking uitbesteedt
aan een partij in het buitenland, welke voor
de bewerking software gebruikt die extern
draait en voor de servercapaciteit gebruikt
maakt van cloud computing oplossing?
Wie is dan de verantwoordelijke en wie is de
bewerker?
4. Belangrijke uitgangspunten WBP
Doelbinding (WBP: artikel 9)
Bij het verzamelen van persoonsgegevens
moet het duidelijk zijn met wat voor doel
dat gebeurt. Er mogen niet meer
gegevens verwerkt worden dan strikt
noodzakelijk is.
Rechtmatigheid
Dit houdt allereerst in dat gegevens op
een behoorlijke, zorgvuldige en legale
manier verwerkt worden.
Proportionaliteit
De privacyinbreuk moet evenredig zijn, in
verhouding met het beoogde doel
waarvoor wordt verwerkt.
Subsidiariteit
Verwerking is alleen toegestaan indien het
verwerkingsdoel niet op een andere
(minder belastende) wijze kan worden
bereikt.
Transparantie (WBP: artikel 35)
De betrokkene heeft recht op informatie
als er persoonsgegevens van hem worden
verwerkt. De verantwoordelijke moet hem
onder andere laten weten wie hij is en wat
voor gegevens hij waarvoor verwerkt.
Meldingsplicht (WBP: artikel 27)
Alle verwerkingen van persoonsgegevens
moeten worden gemeld bij het College
bescherming persoonsgevens (CBP).
Een groot aantal maatschappelijk bekende
en geaccepteerde verwerkingen zijn
echter vrijgesteld van artikel 27. Zo mag
een kerkgenootschap zijn leden
administreren. In het vrijstellingsbesluit is
vastgelegd in welke situaties het
vrijstellingsbesluit geldt.
Bewaartermijn (WBP: artikel 10)
De organisatie mag de gegevens niet
langer bewaren dan noodzakelijk voor de
verwerking of om aan wettelijke eisen te
voldoen.
Beveiligingsplicht (WBP: artikel 13/14)
Het nemen van passende technische en
organisatorische maatregelen om het verlies
van gegevens of onrechtmatige verwerking
tegen te gaan.
Wat is privacy?
Privacy (synoniemen privésfeer,
privéleven, persoonlijke levenssfeer of
eigenruimte) is een afweerrecht dat de
persoonlijke levenssfeer beschermt.
Het recht op privacy wordt ook wel
omschreven als “the right to be left
alone”.
Privacy betekent ook dat men dingen
kan doen zonder dat de buitenwereld
daar inbreuk op maakt of zelfs weet
van heeft.
Het begrip privacy is niet objectief te
beschrijven: wat iemand of niet als
privé ervaart is situationeel en
persoonlijk.
Eerbiediging van de persoonlijke
levenssfeer behoort tot de grondslagen
van onze rechtsorde. Het recht op
eerbiediging van de persoonlijke
levenssfeer is
vastgelegd in artikel 10 van de
Grondwet.
Ondubbelzinnige toestemming
De betrokkenen dient toestemming te geven
voor het verwerken van gegevens: daarbij
dient dus sprake te zijn van wilsuiting, het
vooraf informeren, het vrijwillig geven en de
mogelijkheid tot intrekking.
Hierop zijn een aantal uitzonderingen, zoals:
• De uitvoering van een overeenkomst
(klant - leverancierrelatie).
• Wettelijke verplichting (zoals
belastingdienst)
• Ter vrijwaring van vitale belangen
(levensbedreigende situaties)
• Publiekrechtelijke taak
• Ter behartiging gerechtvaardigd belang
5. Bijzondere gegevens
Niet alle gegevens mogen zomaar worden
vastgelegd: WBP: artikel 16 zegt daar
over: De verwerking van
persoonsgegevens betreffende iemands
godsdienst of levensovertuiging, ras,
politieke gezindheid, gezondheid,
seksuele leven, alsmede
persoonsgegevens betreffende het
lidmaatschap van een vakvereniging is
verboden behoudens het bepaalde in deze
paragraaf.
Hetzelfde geldt voor strafrechtelijke
persoonsgegevens en persoonsgegevens
over onrechtmatig of hinderlijk gedrag in
verband met een opgelegd verbod naar
aanleiding van dat gedrag. Hierop zijn wel
een aantal uitzonderingen, welke
benoemd zijn in de WBP: artikelen 17 t/m
24. Zo is het logisch dat een huisarts
gegevens betreffende de gezondheid van
iemand vastlegt.
De privacy paradox
In een online omgeving zijn mensen
vaker en sneller geneigd zichzelf bloot
te geven dan ze in real life zouden
doen.
Persoonsgegevens binnen bedrijven
Binnen bedrijven wordt een veelvoud aan
persoonsgegevens over het personeel
vastgelegd. Denk bijvoorbeeld aan:
• Personeelsadministratie
• Aan- afwezigheidadministratie
• Afschriften identiteitsbewijs
• Gebruiksgegevens computer
• Opgenomen telefoongesprekken
• Medische keuringen
• Opleidingen
• Cameratoezicht
• Smoelenboek
Daarnaast worden er persoonsgegevens
over klanten, mits het natuurlijke personen
betreft, vastgelegd, bijvoorbeeld:
• Adresgegevens
• Aankoopgegevens
• Cookies
• IP nummers
Elke organisatie heeft te maken met
persoonsgegevens en hoewel de WBP niet
zonder meer van toepassing is
(vrijstellingsbesluit) dienen organisaties
intern beleid te ontwikkelen betreffende
privacy. De invloed van de WBP strekt zich
ook uit tot het IT- en beveiligingsbeleid.
Daarnaast dient een organisatie aandacht te
schenken aan interne en externe
communicatie betreffende haar
privacybeleid.
De organisatie die dit stelselmatig doet,
hoeft zich geen zorgen te maken over de
WBP.
Toezicht en handhaving
WBP: artikel 60 geeft het zelfstandig
bestuursorgaan, het CBP, de bevoegdheid
om ambtshalve of op verzoek van
belanghebbende een onderzoek in te stellen
naar de naleving van de wet. Ook beschikt
het CBP over onderzoeksbevoegdheden.
Indien er aanleiding is om gebruik te maken
van deze bevoegdheid, wordt de aanpak en
de diepgang van het onderzoek bepaald.
Deze kunnen uiteenlopen van een
briefwisseling met verzoek om informatie, tot
een onderzoek ter plaatse, al dan niet in de
vorm van een audit, of een steekproef op
meer plaatsen in een sector.
Het CBP kan bestuurlijke boetes opleggen
en besluiten tot het opleggen van
dwangsommen en het toepassen van
bestuursdwang, op grond van WBP: artikel
65 e.v. van de Wet bescherming
persoonsgegevens (WBP). De maximale
bestuurlijke boete bedraagt €4500,- (WBP:
artikel 66). Ook strafrechtelijke sancties zin
mogelijk (WBP: artikel 75).
The ultimate aspect of the privacy issue
is the possibility of complete social
control.
Robert Ellis Smith
6. Daarnaast heeft het CBP (volgens het
zogenaamde name, blame and shame
principe) de mogelijkheid tot actieve
openbaarmaking.
Hoewel de kans dat een organisatie wordt
onderworpen aan een onderzoek door het
CBP minimaal is, is het verstandig om een
draaiboek te maken waarin wordt
beschreven hoe om te gaan bij een
onaangekondigde inval of dawn raid.
Zo’n draaiboek beschrijft bijvoorbeeld
organisatorische afspraken, preliminaire
vergadering, zwijgrecht en cautie, interne
en externe communicatie, begeleiding bij
inzage, eigen kopieën maken, etc. Er
dienen ook instructies te worden gemaakt
voor de receptie.
Toekomst van de WBP
De WBP is al weer een paar jaar oud. In
die tijd is de stand van de techniek
ingrijpend veranderd. Berichtgeving in
kranten maar ook de invloed van
belangengroeperingen zoals Bits of
Freedom (BOF) maakten dat het tijd werd
om de WBP te evalueren.
Uit deze evaluatie is gebleken dat de WBP
onvoldoende wordt nageleefd. Het toezicht
op de naleving van de wet zal daarom
worden aangescherpt. De nadruk op de
adviestaken van het CBP, zal afnemen en
het College zal meer handhavend op gaan
treden. In dit verband wordt het opleggen
van bestuurlijke boetes bij wet mogelijk
gemaakt. Het CBP moet de transformatie
maken van tandeloze tijger naar een
Nederlandse Data Autoriteit.
De evaluatie heeft verder geleid tot het
wetsvoorstel 31841. Dit wetsvoorstel heeft
tot doel de administratieve lasten en
nalevingkosten - die voortvloeien uit de
Wet bescherming persoonsgegevens
(WBP) - te verlagen.
Dit wordt onder andere bereikt door
• een uitzondering op de verplichting
van een voorafgaand onderzoek, als
bedoeld in WBP: artikel 31 van de wet.
• het verlagen van de frequentie en het
waar mogelijk laten vervallen van de
inlichtingenplicht ten aanzien van het
recht op verzet bij verwerking van
persoonsgegevens met het oog op direct
marketing.
• het vervallen van de vergunningplicht
voor doorgifte van gegevens naar derde
landen zonder passend
beschermingsniveau wanneer gebruik
wordt gemaakt van door de Europese
Commissie goedgekeurde
modelcontracten.
• Diverse technische en tekstuele
vereenvoudigingen of verhelderingen.
Hoewel de WBP bij het merendeel van de
organisaties bekend is, blijkt in de praktijk
dat privacy meestal niet hoog op de agenda
staat. Dat is jammer.
Burgers hebben recht op privacy en op
bescherming van hun gegevens!
Organisaties hebben de keuze om de WBP
als een administratieve last te zien, of de
WBP als instrument in te zetten om zich als
bedrijf te onderscheiden.
Voor meer informatie, zie de website:
http://wbpers.weebly.com/
Rob van Hees
Referenties:
Bits of Freedom
https://www.bof.nl/
College bescherming
persoonsgegevens
http://www.cbpweb.nl/
Aanbevolen literatuur
WBP
(de Vries)
WBP en ICT
(Huydecoper)
Uitsprakenbundel WBP
(van Schoonhoven & van Dijk)