De agenda 2016 van de Nederlandse privacy waakhond

25 maart, 2016

Sinds 1 januari 2016 heet het voormalige College Bescherming Persoonsgegevens: Autoriteit Persoonsgegevens. Met die naamsverwisseling lijkt de voormalige tandenloze tijger ook een serieuzere waakhond van de privacy te worden. Op 28 januari 2016 (Europese dag van de privacy) presenteerde de toezichthouder haar Agenda 2016.

Het gebruik van persoonsgegevens is aan de orde van de dag. Dit levert weliswaar de nodige voordelen op, maar resulteert aan de andere kant ook tot de nodige risico’s voor de persoonlijke levenssfeer van de betrokkenen.

Het is de taak van de Autoriteit Persoonsgegevens om toezicht te houden over de organisaties en instellingen die persoonsgegevens verwerken, om te controleren of zij zich wel aan de wettelijke regels voor de bescherming van persoonsgegevens houden.

Hoewel de Autoriteit Persoonsgegevens een gedaanteverwisseling zou hebben ondergaan, lijkt uit de Agenda 2016 te kunnen worden geconcludeerd dat er op hoofdlijnen geen grote verschillen zijn in de belangrijkste aandachtsgebieden:

  1. beveiliging van persoonsgegevens,
  2. big data & profiling,
  3. medische gegevens,
  4. persoonsgegevens bij de (digitale) overheid en
  5. persoonsgegevens in de arbeidsrelatie.

Per 1 januari 2016 krijgt de Autoriteit Persoonsgegevens er echter wel een nieuwe taak en een nieuwe bevoegdheid bij.

In 2016 is immers de meldplicht datalekken in werking getreden. Ernstige datalekken moeten in ieder geval bij de Autoriteit worden gemeld en in sommige gevallen ook zelfs aan de betrokkenen. Deze meldplicht ligt in het verlengde van een onderwerp dat al langer hoog op de Europese agenda staat: de bescherming van persoonsgegevens. Vanaf 2016 is daar een sanctiemogelijkheid bijgekomen; de Autoriteit kan nu ook boetes opleggen aan organisaties en instellingen die niet voldoende doen aan het beveiligen van persoonsgegevens.

1. Beveiliging Persoonsgegevens

Omdat databases met persoonsgegevens enorm groeien, kunnen de gevolgen van een datalek ook steeds ingrijpender zijn. Op grond van de Wet bescherming persoonsgegevens moeten organisaties en instellingen die persoonsgegevens verwerken er voor zorgen dat die gegevens adequaat worden beveiligd, om aldus de kans op kwetsbaarheden die leiden tot een datalek te verkleinen.

Vanaf 1 januari 2016 is de meldplicht datalekken in werking getreden. Het naleven van de meldplicht staat hoog op de agenda van de Autoriteit Persoonsgegevens De meldplicht heeft voornamelijk tot doel om het beveiligingsniveau te verhogen. Organisaties die een datalek hebben moeten dit melden bij de Autoriteit en in bepaalde gevallen moeten zij zelfs ook de betrokkenen informeren.

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is. Ook de onrechtmatige verwerking van pesoonsgegevens valt dus onder de term datalek. Er wordt gesproken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens. Bij een datalek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking; de beveiligingsmaatregelen zijn dus tekort geschoten.

De sanctiemogelijkheden die de Autoriteit Persoonsgegevens vanaf 1 januari 2016 heeft liegen er niet om; boetes kunnen oplopen tot boven de € 800.000,-.

2. Big Data & Profiling

Big Data is de verzamelterm voor enorme hoeveelheden persoonsgegevens die verzameld, gekoppeld en geanalyseerd worden, met als doel om innovatieve diensten te kunnen ontwikkelen en problemen in de samenleving aan te pakken.

Het verzamelen van persoonsgegevens vindt tegenwoordig op zeer veel manieren plaats en niet meer alleen via de ‘traditionele’ weg van de computer. Ook door allerhande apparaten en ‘wearables’ worden persoonsgegevens opgeslagen en vervolgens verwerkt; dit wordt omschreven als ‘het Internet of Things’. Het gaat hierbij vaak ook om gevoelige persoonsgegevens die worden verwerkt, zoals gegevens over de gezondheid, die bijvoorbeeld via apps of smart watches continue worden verwerkt.

Organisaties gebruiken deze gegevens in sommige gevallen om profielen te kunnen opstellen, op basis waarvan zij mensen verschillend kunnen behandelen (profiling). Niet iedereen zal dit even wenselijk vinden; het probleem is echter dat de betrokkenen er niet altijd mee bekend zijn (noch er invloed op kunnen uitoefenen) dat zij (of beter: hun gegevens) worden onderworpen aan gegevensverwerking.

Dit botst met de kern van de bescherming van persoonsgegevens, die er op is gebaseerd dat de betrokkenen in beginsel altijd zeggenschap houden over hun eigen gegevens.

In 2016 beoogt de Autoriteit Persoonsgegevens zich vooral te concentreren op de wijze waarop in de publieke sector, onder meer voor de beveiliging van de openbare ruimtes, persoonsgegevens worden verwerkt. Daarbij zal vooral worden bekeken of de verwerkingen in verhouding staan tot de inbreuk die ermee wordt gemaakt op de persoonlijke levenssfeer.

In de private sfeer worden profielen vooral gebruikt voor commerciële doeleinden. Omdat de gegevens die voor profiling worden gebruikt een steeds indringender beeld van de betrokkenen biedt, zal de Autoriteit Persoonsgegevens handreikingen geven en onderzoek doen, waarbij onder meer naar beveiligingsaspecten zal worden gekeken.

Ook kinderen zijn steeds meer ‘doelwit’ van profiling. De huidige generatie kinderen zal al eerste te maken krijgen met het fenomeen ‘life-logging’; veel van hun persoonlijke informatie belandt via allerlei digitale wegen in databases. Het is van belang om bewustzijn te creëren hieromtrent, zodat betrokkenen welbewuste keuzes kunnen maken over welke gegevens bij derden mogen komen.

De Autoriteit Persoonsgegevens richt zich in 2016 op onderzoek naar apps voor kinderen en privacy van kinderen in het onderwijs.

3. Medische Gegevens

Medische gegevens krijgen in de Wet Bescherming Persoonsgegevens bijzondere aandacht en worden ook als ‘bijzondere persoonsgegevens’ aangemerkt. Ze mogen alleen onder strikte voorwaarden worden verzameld, bewaard en gebruikt. Uit efficiëntie overwegingen worden deze persoonsgegevens in de zorgsector steeds vaker in de cloud opgeslagen, terwijl daar om veiligheidsredenen ook de nodige risico’s aan zitten.

Vooral bij het gebruik van lifestyle apps, waar ook medische gegevens worden verwerkt, ontbreekt vaak de bescherming van het medisch beroepsgeheim.

De Autoriteit Persoonsgegevens richt zich in 2016 vooral op het plaatsen van medische gegevens in de cloud. Daarbij wordt vooral aandacht besteed aan het creëren van bewustwording rondom de risico’s daarvan en naar het adequaat beveiligen van bijzondere persoonsgegevens. Ook zullen handreikingen worden opgesteld voor het gebruik van persoonsgegevens op het snijvlak van zorg en wetenschap.

4. Persoonsgegevens bij de (digitale) overheid

Omdat ook de overheid steeds effectiever en efficiënter haar taken wil uitvoeren, vindt er in de publieke ruimte een toename van het gebruik van Big Data en Profiling plaats.

Als gevolg van de decentralisatie van overheidstaken ontbreekt het aan een overkoepelende regeling voor gegevensuitwisseling in het sociale domein.

De Autoriteit heeft permanent aandacht voor de risico’s die dit tot gevolg heeft.

In 2016 geeft de Autoriteit Persoonsgegevens de aanpak van fraudebestrijding en het gebruik dat daarbij wordt gemaakt van persoonsgegevens opnieuw aandacht; gemeenten zullen richtlijnen worden gegeven om op te kunnen treden tegen overtredingen.

Ook ten aanzien van het onderwerp veiligheid gelden strikte regels om gebruik te mogen maken van persoonsgegevens. De Autoriteit Persoonsgegevens heeft onder meer als aandachtspunt de verwerking van persoonsgegevens in grensoverschrijdende systemen en de trend om ten behoeve van de veiligheid gedragspatronen te voorspellen.

5. Persoonsgegevens in de arbeidsrelatie

Hoewel werkgever en werknemer een relatie van wederzijdse afhankelijkheid hebben, is er tevens sprake van een kwetsbare relatie; werknemers zijn immers financieel afhankelijk van hun werkgever. Hierdoor kan het voor werknemers onder omstandigheden wel eens moeilijk zijn om niet te voldoen aan een vraag van de werkgever, ook al raakt dat verzoek aan de persoonlijke levenssfeer.

De Autoriteit Persoonsgegevens meldt signalen te ontvangen dat de controles van werkgevers op werknemers steeds intenser worden, waardoor de kans op inbreuk op de privacy steeds groter wordt. Ook de inmenging door werkgevers op het gebied van de persoonlijke levenssfeer, waar het de gezondheid van werknemers betreft, lijkt steeds groter te worden.

Beide verschijnselen gaat de Autoriteit Persoonsgegevens in 2016 nader onderzoeken.

Dit zijn de voornaamste nationale agendapunten van de Autoriteit Persoonsgegevens voor 2016.

Daarnaast zal in 2016 – naar verwachting – ook op internationaal vlak een belangrijke doorbraak worden bereikt op het gebied van gegevens bescherming, als de Europese instituties zullen stemmen over de inwerking treding van de Europese Privacy Verordening.

Zodra er meer duidelijkheid bestaat over de inhoud van die regelgeving en de gevolgen daarvan voor de Nederlandse betrokkenen, zal ik daarover een nieuw bericht schrijven.

Wilt u in de tussentijd weten of uw organisatie voldoende doet in het kader van gegevensbescherming? Of wilt u assistentie bij het opstellen van een privacy protocol?; neem dan contact op met Thuis Partners advocaten.

Deze bijdrage is geschreven door oud-medewerker mr. Ruben Veenhuysen.

Geschreven door

Was dit artikel nuttig?

Wij bespreken graag uw persoonlijke situatie tijdens een vrijblijvende kennismaking met een voor uw situatie relevante specialist.

Een van onze adviseurs neemt binnen uiterlijk één werkdag contact met u op om samen een afspraak in te plannen