Column


Column Friederike van der Jagt

Privacyprioriteiten

En, wat heeft u afgelopen zaterdag gedaan? Hoe heeft u het gevierd? Wat? U bent het vergeten? Nee toch? Nou, alsnog van harte dan met Data Protection Day! Zet maar snel in de agenda voor volgend jaar: op 28 januari 2018 vieren we het weer.

De Autoriteit Persoonsgegevens (AP) grijpt deze dag ieder jaar aan om haar agenda voor het nieuwe toezichtsjaar te presenteren. Omdat deze heugelijke dag dit jaar op een zaterdag viel, werden we getrakteerd op een heuse pre-party: al op vrijdag de 27ste zette de AP de thema’s op een rij, waarop in 2017 de focus van het toezicht ligt. De AP ziet zich genoodzaakt deze focus aan te brengen als gevolg van de beperkte menskracht die zij tot haar beschikking heeft.

Met de bekendmaking van deze thema’s (of speerpunten) beoogt de AP dat bedrijven en overheden deze punten bovenaan hun prioriteitenlijst plaatsen. Zij weten dan immers dat deze specifieke gebieden onder het vergrootglas van de toezichthouder liggen. Dat een bepaald thema niet op de agenda staat, betekent overigens niet dat de AP geen actie mag of zal ondernemen: als een privacyschending in het nieuws is of wanneer de AP veel signalen over een bepaalde partij ontvangt, staat het haar uiteraard vrij om op te treden.

Algemene Verordening Gegevensbescherming
Ik ga er zonder meer vanuit dat de ‘implementatie’ van Europese Privacyverordening binnen uw bedrijf dit jaar de hoogste prioriteit heeft. En dat komt goed uit! Ook de AP heeft dit namelijk tot een van haar prioriteiten voor het komende jaar bestempeld.

Bedrijven moeten nu echt stappen zetten, zodat zij op tijd (vóór 25 mei 2018) klaar zijn voor de nieuwe regels. Goed om daarbij de nagenoeg algemene vuistregel ‘tijd keer twee en kosten keer twee’ in het achterhoofd te houden... Gelukkig biedt de AP wel de helpende hand: op haar website wordt meer en meer informatie geplaatst om u hierbij te helpen.

Big data en profileren
Het volgende thema komt menigeen wellicht bekend voor: stond het vorig jaar nog op de agenda als ‘big data en profilering’, dit jaar komt het terug in een nieuw jasje genaamd ‘van verzamelen tot profileren’. Het idee blijft eigenlijk hetzelfde: juist bij big-dataverzamelingen en profilering moet je transparant zijn. Mensen moeten weten welke gegevens voor welk doel worden verwerkt.

Heikel punt daarbij blijft dat bedrijven om te kunnen innoveren vaak een berg gegevens verzamelen, zonder dat zij van tevoren precies weten wat zij daarmee gaan doen. Het simpelweg vermelden dat een van de doeleinden van de gegevensverwerking ‘innovatie’ is, lijkt mij ook niet de transparantie bieden waar de AP naar op zoek is.…

Bijzondere persoonsgegevens
Ook de laatste twee thema’s zijn oude bekenden: bijzondere persoonsgegevens (zoals gegevens over ras, godsdienst, seksuele voorkeur, en dergelijke) en de beveiliging van persoonsgegevens. In 2016 had de AP het toezicht op medische persoonsgegevens, een vorm van bijzondere persoonsgegevens, op het prioriteitenlijstje staan. Dit jaar is voor een bredere focus gekozen. Het verwerken van bijzondere persoonsgegevens is in beginsel verboden, tenzij de wet hiervoor een uitzondering biedt.

Toezicht op de naleving van dit verbod is volgens de AP van belang, juist omdat deze uiterst gevoelige gegevens steeds vaker worden gebruikt om risicoprofielen op te stellen, die bijvoorbeeld van invloed kunnen zijn op het al dan niet verstrekken van een lening of het verstrekken van een toeslag.

Ten aanzien van de beveiliging van persoonsgegevens wijst de AP op de naleving van de meldplicht datalekken, maar ook op de toegangsbeveiliging van klantportalen. Daarnaast dienen bedrijven zich ervan bewust te zijn dat het gebruik van privacy by design in de ontwerpfase, de beveiliging van producten en diensten ten goede komt.

Uitdagend lijstje
Een uitdagend lijstje voor 2017, niet alleen voor u, maar ook voor de toezichthouder die zich in de tussentijd ook moet bezighouden met de uitvoeringswet die de huidige Wet bescherming persoonsgegevens gaat vervangen... Werk aan de winkel dus!


Lees meer over