De vier belangrijkste veranderingen van de privacyverordening

Het zal de privacyliefhebbers niet zijn ontgaan: afgelopen donderdag heeft het Europees Parlement met grote meerderheid ingestemd met de Europese Privacy Verordening (EPV). Na publicatie in het Publicatieblad van de EU zal een overgangstermijn van twee jaar gelden. Ik verwacht dat de EPV vanaf mei 2018 echt in werking treedt.

De EPV borduurt voort op het bestaande wettelijk kader. De kernbeginselen als doelbinding, data-minimalisatie en de verwerkingsgrondslagen blijven onveranderd. De belangrijkste veranderingen zitten in het organisatorische vlak, zoals het op juiste wijze inrichten van werkprocessen waarbij persoonsgegevens een rol spelen, in de risico’s die organisaties lopen en in het verscherpte toezicht.

Organisaties hebben nog twee jaar de tijd om hun werkprocessen EPV-proof te krijgen. Maar wat zijn nu de belangrijkste veranderingen (behalve de al bekende hoge boetes)? Ik zet ze even op een rij.

1: Het accountability principe. Alle organisaties moeten kunnen laten zien dat zij aan de privacywetgeving voldoen. Dit betekent dat je als organisatie een Privacy Management Programma moet opzetten. Hoe doe je dat? Ik ben daar ook nog naar op zoek. Er is nog geen kant en klare werkwijze waarmee je dit organiseert. Wat mij betreft begint het met een privacybeleidsplan en het gestructureerd in kaart brengen van alle verwerkingen, het databeheer en het inzichtelijk maken waar en op welke wijze de data ligt opgeslagen. Vergeet hierbij ook niet alle bewerkersovereenkomsten en convenanten in beeld te krijgen. Deze stappen heb ik al gezet. Ik ben nu bezig een plan te ontwikkelen om op deze processen grip te houden en daarbij op eenvoudige wijze management informatie en rapportages te kunnen opleveren. Wat hierbij kan helpen is het volgende punt.

2: Een verplicht Privacy Impact Assessment voor ‘high risk’ verwerkingen van persoonsgegevens, bijvoorbeeld bij de verwerking van bijzondere persoonsgegevens. Het consequent afnemen van PIA, kan ook helpen bij het stroomlijnen van je Privacy Management Programma.

3: Voor overheidsorganisaties wordt het verplicht een Data Protection Officer aan te stellen, vergelijkbaar met de huidige Functionaris Gegevensbescherming. Er worden zeer hoge eisen gesteld aan een dergelijke DPO, waar ik in een afzonderlijke column nog een keer op zal ingaan.

4: Meer rechten voor betrokkenen: naast het reeds bestaande recht op voorafgaande informatie en inzage, heeft een betrokkene straks onder andere het recht om ‘vergeten te worden’. Hoe gaat dat recht zich verhouden tot de wellicht tegen die tijd geldende Wet open overheid?, vroeg een Wob collega mij laatst…ik heb geen idee. De tijd zal het leren.

Ik heb de wat mij betreft belangrijkste en meest in het oog springende veranderingen op een rij gezet. De tijd is nu echt aangebroken om hiermee aan de slag te gaan!

Wolfje Mijnders
Meer columns van wolfje Mijnders leest u hier.