IT en privacy: Ondanks de nieuwe EU-verordening in 2014 of 2015 nu al nadenken!

justus-lipsiusDe basis van de huidige Europese wetgeving op het gebied van persoonsbescherming (Richtlijn 95/46/EG) is alweer 18 jaar oud.  De Europese Commissie is al lang van mening deze richtlijn niet meer past bij de (digitale) samenleving van vandaag en zij is dan ook al sinds 2009 aan de slag met nieuwe wetgeving op het gebied van persoonsbescherming.

Niet alleen de inhoud van de “oude” richtlijn wordt in de voorstellen stevig op de schop genomen, ook het karakter verandert stevig: de richtlijn wordt een verordening! (“Algemene Verordening Gegevensbescherming”). Hierdoor worden  aan de burgers van de Unie rechtstreekse rechten verleend of worden verplichtingen opgelegd.

Dit in tegenstelling tot een richtlijn waarin lidstaten verplicht worden hun nationale wetgeving aan de communautaire bepalingen aan te passen.Het voorstel voor de verordening is op 21 oktober door het Comité Burgerlijke Vrijheden van het Europese Parlement aangenomen, zij het met meer dan drieduizend mandementen. Indien het volledige Europees Parlement vervolgens akkoord gaat kunnen de Europese Commissie en de Europese Raad (de betrokken ministers van de lidstaten) de verordening vaststellen.

Het plan is om de verordening voor de verkiezingen voor het Europees Parlement van 2014 van kracht te laten worden, maar of dat geen 2015 wordt is maar de vraag! Doel van de verordening is dat persoonsgegevens rechtmatig, eerlijk en transparant worden verwerkt. Wat betekent dit straks in de praktijk? Een aantal belangrijke zaken uit de verordening worden hieronder kort besproken.

Burgers (en dus ook leerlingen of hun wettelijk vertegenwoordigers) moeten door verwerkers van persoonsgegevens na een verzoek hierom geïnformeerd worden over het wat (welke gegevens) en het waarom (met welk doel) van de verwerking. Is het verzoek elektronisch gedaan, dan moet er ook elektronisch geantwoord worden.

Burgers hebben verder onder meer recht op

  • rectificatie respectievelijk completering van hun onjuiste respectievelijk onvolledige persoonsgegevens.
  • vernietiging van hun persoonsgegevens en voorkomen van verdere verspreiding van dergelijke gegevens als de verwerking ervan niet meer rechtmatig, eerlijk of transparant plaats vindt.
  • een kopie van de gegevens die worden verwerkt in een elektronisch en gestructureerd formaat dat algemeen wordt gebruikt.

Ook verwerkers van persoonsgegevens en voor de verwerking van persoonsgegevens verantwoordelijken krijgen met de nieuwe verordening te maken:

  • Verwerkers van persoonsgegevens moeten (voor zo ver dat niet algemeen bekend is) op een eenvoudige en toegankelijke wijze bekend maken welke persoonsgegevens waarvoor en op welke wijze worden verwerkt.
  • Verwerkers mogen geen persoonsgegevens aan landen buiten de EU doorgeven als de Europese Commissi niet heeft vastgesteld dat het betreffende derde land een “passend beschermingsniveau” kent. Wat “passend” in deze betekent wordt bepaald aan de hand van het karakter van de rechtsstaat, het functioneren van toezichthouders en het al dan niet voldoen aan internationale berdragen.
  • Verwerkers in de zin van overheidsorganisaties en ondernemingen met meer dan 250 werknemers moeten een “functionaris voor de gegevensbescherming” aanwijzen

Natuurlijk is in veel gevallen de verwerking van persoonsgegevens gewoon rechtmatig aangezien overheden en onderwijsinstellingen aan hun wettelijke plichten voldoen, maar of het eerlijk en transparant gebeurt is vaak nog maar de vraag. Hoe gaat u bijvoorbeeld om met (persoons)gegevens van oud-leerlingen en de persoonsgegevens die verwerkt worden in het kader van samenwerking met derden?

En als u besluit om uw gegevens bij een IT-dienstverlener onder te brengen, heeft u dan onderzocht of deze de opslag ervan wel rechtmatig uitvoert en of hij er niet stiekem iets ander mee doet? Regel het dus nu al goed in de overeenkomste(n) die u sluit!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *