Philip ter Burg
Partner | Advocaat
Stuur mij een e-mail
+31 (0)70 318 4828
Eerder dit jaar is een wetsvoorstel aangenomen op grond waarvan de Wet Bescherming Persoonsgegevens ("WBP") per 1 januari 2016 wordt gewijzigd. De wijzigingen betreffen onder meer een substantiële verhoging en uitbreiding van de boetes die voor schendingen van de WBP kunnen worden opgelegd (tot een maximum van EUR 810.000 of 10% van de jaarlijkse (wereldwijde) omzet van een onderneming) en de introductie van de plicht om datalekken aan het College Bescherming Persoonsgegevens (vanaf 1 januari 2016 genaamd: Autoriteit Persoonsgegevens) en de betrokken personen te melden.
Ondernemingen wordt geadviseerd om vooruitlopend op de verhoging van de boetes en de invoering van de meldplicht voor datalekken na te gaan of zij compliant zijn met de privacyregelgeving.
Verhoging van de boetes
De WBP is van toepassing op persoonsgegevens, waaronder wordt verstaan alle informatie betreffende een geïdentificeerde of identificeerbare (natuurlijke) persoon. De WBP bevat verschillende regelingen met betrekking tot persoonsgegevens, waaronder (onder meer):
De WBP is ook van toepassing op de intra-groep verstrekking en verwerking van persoonsgegevens (bijvoorbeeld voor centrale salarisadministratie en/of groep brede CRM-systemen).
Op dit moment heeft het College Bescherming Persoonsgegevens in geval van overtreding van een beperkt aantal bepalingen van de WBP de bevoegdheid om relatief beperkte boetes (tot EUR 4.500) en/of een last onder dwangsom op te leggen.
Vanaf 1 januari 2016 worden de bevoegdheden van de Autoriteit Persoonsgegevens uitgebreid. Zij is dan bevoegd om boetes op te leggen tot een bedrag van EUR 810.000 of 10% van de jaarlijkse wereldwijde omzet van een onderneming. Ook wordt het aantal overtredingen van de WBP waarvoor een boete kan worden opgelegd uitgebreid. Overigens zal de Autoriteit Persoonsgegevens (behoudens gevallen van grove nalatigheid of opzet) alleen een boete opleggen nadat zij een bindende instructie heeft gegeven die niet (of niet tijdig of volledig) is opgevolgd door de onderneming.
Overigens voorziet de WBP, naast de boetebevoegdheid van de Autoriteit Persoonsgegevens, ook in de mogelijkheid tot het instellen van civiele acties door betrokkenen en bepaalde strafrechtelijke sancties.
Meldplicht datalekken
Vanaf 1 januari 2016 hebben ondernemingen de plicht om de Autoriteit Persoonsgegevens direct op de hoogte te stellen van een datalek dat leidt tot de aanzienlijke kans op ernstige nadelige gevolgen (of ernstige nadelige gevolgen heeft) voor de bescherming van persoonsgegevens. Er kan sprake zijn van een datalek indien wordt ingebroken op de computersystemen van een onderneming, maar bijvoorbeeld ook indien bijvoorbeeld een laptop of USB-stick met persoonsgegevens wordt gestolen. Onder bepaalde omstandigheden dienen ondernemingen ook de betrokken personen te informeren.
Iedere overtreding van de hiervoor genoemde meldplicht kan resulteren in een boete van EUR 810.000 of 10% van de jaarlijkse wereldwijde omzet van de onderneming.
Compliance met de WBP
Ondernemingen wordt geadviseerd om na te gaan of zij compliant zijn met de vereisten van de WBP, zeker in het licht van de substantieel verhoogde boetes. Onder meer is aandacht vereist voor intra-groep verwerking van persoonsgegevens en outsourcing van de verwerking van persoonsgegevens (bijvoorbeeld in verband met SaaS diensten of clouddiensten). Daarnaast dienen bestaande bewerkersovereenkomsten te worden gewijzigd in verband met de meldplicht datalekken.
Indien u vragen heeft over privacy en/of verwerking van persoonsgegevens of nadere toelichting wenst, aarzel dan niet om contact met ons op te nemen.