Privacy outlook 2014

2014 belooft hét jaar voor privacy te worden. Er staan grote veranderingen op stapel. Hoe een en ander er precies gaat uitzien, weten we nog niet, maar één ding staat vast: in 2014 moeten organisaties met privacy en bescherming van persoonsgegevens aan de slag. Het wordt veel meer het domein van managers, informatiebeveiligers en compliance officers en minder van (bedrijfs)juristen. Nog steeds ligt bij het merendeel van de bedrijven en organisaties de kennis over en aandacht voor privacycompliance bij de juridische afdeling (die het al dan niet uitbesteedt aan een advocatenkantoor). Die doet de nodige meldingen bij het CBP, maakt een paar bewerkersovereenkomsten met leveranciers, geeft juridisch advies bij een nieuw project of de aanschaf van een nieuw systeem en kijkt er daarna niet meer naar om. Privacycompliance overstijgt bij deze organisaties vaak nauwelijks het niveau van 'repeatable' (niveau 2 op een schaal van 5). Bedrijven en organisaties die zich hierin herkennen doen er goed aan om dit beleid in 2014 eens drastisch tegen het licht te houden. Repeatable is no longer an option! Het nieuwe adagium is 'data lifecycle compliance management'. En daar hoort minimaal het niveau 'managed' bij (niveau 4 op een schaal van 5). De plannen voor 2014 in Den Haag en Brussel maken dat bescherming van persoonsgegevens voortdurende aandacht nodig heeft; van wieg tot het graf.
 

De zes belangrijkste aandachtspunten voor 2014 op het gebied van privacy en bescherming van persoonsgegevens op een rijtje:
 

1. Boetebevoegdheid CBP

Hoewel de details van het wetsvoorstel dat het kabinet onlangs naar de Raad van State stuurde nog niet precies bekend zijn, staat al wel vast dat het CBP een algemene bestuurlijke boetebevoegdheid gaat krijgen voor overtredingen van de WBP. Het gaat dan niet meer alleen om het niet naleven van de meldplicht ex artikel 27 WBP (nu maximaal 4500 euro), maar om alle overtredingen van de WBP. Naar verluidt haakt het wetsvoorstel aan bij het boetemaximum van categorie 6 van het Wetboek van Strafrecht (momenteel 780.000 euro), momenteel de hoogst mogelijk boete. Let wel: per overtreding! Het ongericht verzamelen van persoonsgegevens plus het bovenmatig verstekken ervan én een slechte beveiliging zou in theorie dus zomaar een boete van 2,3 miljoen euro (!) kunnen opleveren. Maar dat is wellicht nog niet alles. Staatssecretaris Teeven (Veiligheid en Justitie), verantwoordelijk voor de WBP, had het onlangs in de Tweede Kamer tijdens de begrotingsbehandeling over omzetgerelateerde boetes voor overtredingen van de WBP, daarmee wellicht refererend op het Wetsvoorstel Financieel-Economische Criminaliteit waarmee het boetemaximum in het Wetboek van Strafrecht voor bedrijven wordt verhoogd naar 10% van de jaaromzet als categorie 6 geen passende bestraffing toelaat. Dat wetsvoorstel is in juli 2013 naar de Tweede Kamer is gestuurd. 780.000 euro is al een serieus boetemaximum, hetgeen het CBP vergelijkbare slagkracht zou geven als de Engelse toezichthouder (500.000 pond). Maar met omzetgerelateerde boetes zou het CBP pas echt slagtanden krijgen. Als het vaste inwerkingtredingsschema voor nieuwe wetgeving wordt aangehouden, gaat de boetebevoegdheid in op 1 januari 2015. Dat zou betekenen dat bedrijven, overheden en instellingen nog maar een jaar hebben om hun gegevenshuishouding op orde te brengen om zo boetes te ontlopen. En dat jaar is voorbij voor je het weet.

2. Meldplicht datalekken

In de Tweede Kamer ligt momenteel het wetsvoorstel meldplicht datalekken. Een datalek moet worden gemeld bij het CBP en bij de betrokkenen, tenzij er sprake is van een 'bagatel'. Hoewel we nog niet precies weten hoe het CBP met de bagatelregeling zal omgaan, mag men er van uitgaan dat datalekken waarbij persoonsgegevens met een hoge mate van gevoeligheid zijn betrokken, altijd gemeld moeten worden. Je moet dan denken aan bijzondere gegevens ex artikel 16 WBP (medische gegevens, etniciteitsgegevens, strafrechtelijke gegevens, etc), financiële gegevens zoals creditcardinformatie en rekeninggegevens, burgerservicenummers en inloggegevens op websites en sociale media, maar ook aan camerabeelden of gegevens uit personeelsvolgsystemen. Het maakt voor de meldplicht overigens niet uithoeveel data is gelekt. Zelfs een klein datalek moet gemeld worden als de gegevens gevoelig zijn. Datalekken waarbij gevoelige persoonsgegevens zijn betrokken hoeven alleen dan niet gemeld te worden als ze zijn versleuteld of anderszins onbegrijpelijk zijn gemaakt voor onbevoegden. Het niet melden van een datalek kan worden beboet met maximaal 780.000 euro (het boetemaximum van 450.000 euro in het huidige voorstel wordt door het onder punt 1 genoemde wetsvoorstel verhoogd). Ook dit wetsvoorstel treedt naar verwachting in werking op 1 januari 2015. En dus doen organisaties er goed aan om in 2014 niet alleen hun beveiligingsmaatregelen nog eens kritisch tegen het licht te houden, maar ook om hun bewerkerscontracten te herzien (een datalek bij de bewerker moet door de verantwoordelijke worden gemeld) en hun interne procedure voor het rapporteren en adresseren van datalekken af te stoffen, bij te werken en te testen.

3. Cloud en Safe Harbor

De rel rond de NSA na de openbaarmakingen van klokkenluider Edward Snowden hebben de gemoederen in Europa, en dan met name in Brussel en Duitsland, het afgelopen jaar flink beziggehouden. Door deze rel zijn doorgiften van persoonsgegevens van Europa naar de Verenigde Staten in een kwaad daglicht komen te staan. En dan vooral de gegevensdoorgiften op basis van Safe Harbor, het doorgifteverdrag tussen de EU en de VS. In Brussel vindt men dat de VS wel heel liberaal omgaan met de zogeheten 'national security exception' van dat verdrag. Brussel heeft bij monde van Eurocommissaris Reding (Justitie en Binnenlandse Zaken) dan ook geëist dat het Safe Harbor Akkoord in 2014 wordt aangepast. Uiterlijk zomer 2014 moeten de VS aan Brussel laten weten of zij zich kunnen vinden in de voorstellen van de Europese Commissie om het Safe Harbor Akkoord aan te passen. Problematisch is echter dat Safe Harbor een van de belangrijkste grondslagen is voor de doorgiften van persoonsgegevens in cloud-omgevingen. Opzegging van het Safe Harbor Akkoord zou niet alleen de Amerikaanse cloud industrie hard treffen, maar ook hun Europese klanten. Deze laatsten zijn immers verantwoordelijk voor de doorgiften naar de VS via de cloud. Zij zouden dus op zoek moeten naar alternatieven: ofwel zij moeten een andere juridische basis zoeken (bijvoorbeeld modelcontracten, hoewel dat lastig kan zijn in cloud-omgevingen), ofwel op zoek moeten naar een andere (lees: Europese) cloudleverancier. Dat laatste zou Brussel overigens niet erg vinden. In het Europese Parlement gaan stemmen op om verwerking van persoonsgegevens in de cloud aan banden te leggen, tenzij er sprake is van een Europese cloud waar de rechten van de Europese burgers gewaarborgd zijn. Ook Eurocommissaris Kroes (Digitale Maatschappij) heeft zich uitgesproken voor zo'n Europese aanbieder. Als de VS de Europeanen niet tegemoet willen komen, dan kan er zomaar een heus digitaal handelsconflict ontstaan... met alle gevolgen van dien. CIO's doen er dus goed aan om in de eerste helft van 2014 hun cloudstrategie eens kritisch tegen het licht te houden en zich voor te bereiden op een back-up plan voor het geval in de zomer de stekker uit Safe Harbor wordt getrokken.

4. Europese Verordening Bescherming Persoonsgegevens

De onderhandelingen over een nieuwe Europese Verordening Bescherming Persoonsgegevens, die vanaf 2016 de WBP moet gaan vervangen, naderen hun eindfase. Er liggen nog wel een paar politieke knopen op tafel die lastig door te hakken zijn en het is twijfelachtig of dat gaat lukken vóór de Europese Verkiezingen in juni. Maar over de grote lijnen is men het in Brussel wel eens: meer verantwoordelijkheid voor bedrijven en instellingen (vooral op het gebied van privacymanagement), meer rechten voor consumenten (vooral op internet), verplichte privacy-by-design en privacy impact assessments bij introductie van nieuwe systemen en veranderingen in bedrijfsprocessen,omzetgerelateerde boetes (als het aan het Parlement ligt tot 5% van de wereldwijde jaaromzet of 100 miljoen euro) en restricties aan de uitwisseling van persoonsgegevens met buitenlandse overheden. Er wordt voorzien in een overgangstermijn van twee jaar. Dat lijkt lang, maar voor veel bedrijven en instellingen zal blijken dat die twee jaar veel te kort is om alle systemen, bedrijfsprocessen en bewerkers door te lichten en waar nodig aanpassingen door te voeren. In 2014 beginnen met een implementatieplan voor de Verordening is zeker geen overbodige luxe.

5. De Data Protection Officer (DPO)

Ik voorspel dat 2014 ook hét jaar van de DPO wordt. Veel bedrijven, overheden en andere instellingen gaan dit jaar op zoek naar een DPO. Of misschien wel naar een CPO (Chief Privacy Officer, een DPO op executive niveau). De DPO wordt voor alle overheden, instellingen in de gezondheidszorg en veel bedrijven verplicht als de Europese Verordening van kracht wordt. Maar als je als organisatie dan nog op zoek moet naar een DPO, ben je waarschijnlijk te laat. Niet alleen zijn goed gekwalificeerde DPO's uiterst dun gezaaid, de DPO is ook de spil van het privacycomplianceprogramma van de organisatie. En dat programma moet op poten staan als de Verordening in werking treedt. Men doet er dus goed aan om de DPO of de CPO al in 2014 aan te stellen, zodat men niet alleen op tijd klaar is voor de Europese Verordening, maar zodat hij/zij dit jaar ook kan gebruiken om alvast de ergste rotzooi op te ruimen voordat de wetsvoorstellen inzake de boetebevoegdheid van het CBP en de meldplicht datalekken in werking treden. Overigens is het goed om te weten dat de DPO ook extern mag worden ingehuurd. Enerzijds geeft dat flexibiliteit (een DPO heeft immers ontslagbescherming), anderzijds verzekert men zich daarmee van deskundigheid op hoog niveau. Vanwege het brede scala aan competenties die een DPO moet hebben gelet op zijn/haar wettelijke takenpakket, is het vaak niet verstandig om morgen zomaar een medewerker die al in dienst is tot DPO te bombarderen. Hij/zij moet immers nog worden opgeleid en dan is 2014 voorbij voordat zo'n DPO goed en wel heeft uitgevogeld wat er allemaal moet gebeuren.

6. Cookiewetgeving

Ten slotte lijkt het erop dat in 2014 ook de cookiewet zal worden aangepast. Straks is er geen toestemming meer nodig voor analytics cookies (hoewel we nog even moeten afwachten of de ACM daar ook de cookies van marktleider Google Analytics onder laat vallen). Tegelijkertijd zou het mij niet verbazen als de ACM de handhaving van de cookiewet gaat opvoeren en de eerste boetes gaat uitdelen voor overtreding daarvan. Tot nu toe ging de ACM vooral voor de handhaving van de informatieplicht. In 2014 zou daar zomaar ook de handhaving van het toestemmingsvereiste bij kunnen komen. En als we het CBP mogen geloven schort het daar nog vaak aan. Het CBP heeft tracking cookies hoog op haar prioriteitenlijstje staan. Deze worden immers geacht persoonsgegevens te zijn als zij het gedrag van de gebruiker over meerdere websites volgen. In 2013 heeft het CBP in een aantal zaken al wat piketpaaltjes geslagen. 2014 zou dus zomaar ook het jaar kunnen worden waarin de cookiewet serieus zal worden gehandhaafd. 

Ik wens u een voorspoedig en datalek-vrij 2014 !!

Dit artikel is eerder verschenen op de site van PrivaSense en is met toestemming gepubliceerd.