Privacyboetes in de praktijk: Wanneer raakt de nieuwe privacyregelgeving uw klant?
Naast de meldplicht datalekken is per 1 januari 2016 ook een algemene boetebevoegdheid ingevoerd. De toezichthouder (Autoriteit Persoonsgegevens, afgekort AP) kan voortaan een boete opleggen voor het niet nakomen van nagenoeg álle verplichtingen uit de Wet bescherming persoonsgegevens (Wbp) ‒ dus niet alleen in het geval van (niet melden van) datalekken. De wetswijzigingen hebben nu al gevolgen voor het oordeel over de continuïteit van een gecontroleerde rechtspersoon. Niet alleen als het gaat om het beoordelen van investeringen of getroffen voorzieningen, maar ook als u moet inschatten hoe haalbaar nieuwe businessmodellen, diensten of producten van uw klanten zijn.
Algemene Verordening Gegevensbescherming
De nieuwe Europese Privacy Verordening, de Algemene Verordening Gegevensbescherming (AVG), is een feit. Het Europese Parlement heeft de AVG aangenomen op 14 april 2016. Medio 2018 zal ook in Nederland deze gedetailleerde en vergaande wetgeving rechtstreeks in werking treden. Vooruitlopend op de AVG is in Nederland per 1 januari 2016 een algemene boetebevoegdheid en de meldplicht datalekken ingevoerd.
Voor een goed beeld van de gevolgen voor de accountantspraktijk, bespreken we eerst twee onderwerpen die het risicokader bepalen: de wet en de toezichthouder.
Wanneer is de wet van toepassing?
Zowel de Wbp als straks de AVG werken met definities, waarbij het kernbegrip ‘persoonsgegevens’ is. Een persoonsgegeven is elk gegeven met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Het hoeft dus niet direct duidelijk te zijn om welke persoon het gaat. Als door een combinatie van data of bestanden kan blijken om welke persoon het gaat, is er sprake van persoonsgegevens. Een IP-adres en mac-adressen van een mobiele telefoon (wifi tracking) vormen een persoonsgegeven. Ook al kan degene die deze gegevens heeft alleen in theorie vaststellen bij wie de gegevens horen. Bij pseudonimisering of cryptografie (encryptie en hashing) is vaak nog steeds sprake van een persoonsgegeven. De AP juicht dit toe als beveiligingsmaatregel, maar ziet dit tegelijkertijd als een omkeerbaar proces.
Voor welke klanten geldt de privacywetgeving?
De privacywetgeving geldt voor alle klanten die in het zakelijke verkeer persoonsgegevens geautomatiseerd verwerken. De wet maakt daarbij geen onderscheid in profit, non-profit, overheid, commerciële onderneming of rechtsvorm (BV, NV, stichting of vereniging). De wet maakt ook geen onderscheid naar branches. Het gebruik van persoonsgegevens gaat over het gebruik binnen de organisatie, zoals:
• loonadministraties;
• aantekeningen in een CRM-systeem om salesgesprekken persoonlijker te maken;
• een klanten-, deelnemers- of patiëntendatabase;
• een overzicht van huurders, leerlingen, prospects of sollicitanten;
• een database voor statistiek of onderzoek;
• personeelsvolg- of beloningssystemen;
• in- en uitrijcontrole; of
• cameratoezicht.
Uitwisseling tussen bedrijven
De wet is echter ook van toepassing op de uitwisseling van persoonsgegevens tussen bedrijven. Denk daarbij onder meer aan:
• uitbesteding van de salarisadministratie;
• het laten monitoren of hosten van websites of apps;
• het inschakelen van een pakketbezorgdienst;
• samenwerking met een marketingbureau, digital agency of wervingsbureau bij het benaderen van klanten of prospects;
• het laten verrichten van klanten-/patiëntenonderzoek;
• verrijking van databestanden voor klanten; of
• het aanleveren van profielen of informatie over bezoekers(aantallen) van internetpagina’s of van echte locaties.
Het moet daarbij wel gaan om een geautomatiseerde verwerking. Zodra de gegevens via een ICT-systeem lopen of als bestand zijn opgeslagen, is daar sprake van. Een verwerking is letterlijk elke denkbare handeling met data. Simpel opslaan of opvragen van gegevens is al een verwerking. Kortom, iedere accountant heeft klanten waarbij privacyregelgeving een rol speelt.
Wat zijn dan de verplichtingen?
De nationale en Europese privacywetgeving bestaat uit open normen. De klant moet dus eerst zelf beoordelen of voldaan wordt aan de Wbp en straks aan de AVG (of in het Engels de GDPR). Er bestaan echter wel een aantal principes in het privacyrecht:
• Transparantie. De betrokkene (degene over wie de gegevens gaan) moet tenminste vooraf weten dát: a) de gegevens worden verzameld; b) waarvoor en door wie dit gebeurt; en c) aan wie de gegevens worden verstrekt. Deze informatie kan staan in een privacyverklaring. Dit is geen standaarddocument. In de AVG worden strenge eisen gesteld aan de informatieverstrekking.
• Doel en doelbinding. Vooraf moet duidelijk besloten zijn voor welk gerechtvaardigd en (in het beleid) omschreven doel de gegevens worden gebruikt. Vervolgens mogen de gegevens niet worden gebruikt voor een ander doel.
• Grondslag. De wet kent slechts 6 toegestane grondslagen. Is er geen grondslag, dan mogen de gegevens niet worden verwerkt. De meest gebruikte grondslagen zijn: uitvoering van een overeenkomst (een adres is nodig om een bestelling te bezorgen), ondubbelzinnige (geïnformeerd, specifieke, in vrijheid gegeven) toestemming en een gerechtvaardigd belang. De laatste grondslag accepteert de AP pas na een zware belangenafweging, waarbij het commerciële bedrijfsbelang meestal niet zwaar genoeg weegt.
• Kwaliteit van de gegevens. Dit impliceert dataminimalisatie en actualisatie. Kortom, geen gegevens verzamelen die niet ter zake doen en verouderde of incomplete gegevens niet bewaren.
• Bewaartermijnen. Bestanden moeten worden opgeschoond. Gegevens mogen niet langer worden bewaard dan nodig voor het doel waarvoor ze zijn verzameld.
• Beveiliging. Beveiliging betekent zowel het treffen van organisatorische maatregelen als technische maatregelen. Elke organisatie zal enige vorm van cryptografie, privacy awareness training voor medewerkers en privacybeleid moeten hebben. De meldplicht datalekken gaat in feite over beveiliging.
• Verbod tot gebruik van bijzondere gegevens. Gegevens over gezondheid, politieke voorkeur, ras, seksuele leven, godsdienst, lidmaatschap vakvereniging of bepaalde strafrechtelijke gegevens mogen níet worden verwerkt, tenzij is voldaan aan specifieke eisen. BSN-nummers mogen in principe níet worden verwerkt. Voor het gebruik van gegevens van kinderen onder de 16 jaar is de toestemming van de ouders nodig.
Gegevens mogen ook niet zomaar worden uitgewisseld met organisaties buiten Europa. Nu de Safe Harbour-route niet is toegestaan en de acceptatie van het EU-US Privacy Shield discutabel is, bestaat hier een risico voor ondernemingen met Amerikaanse vestigingen of Nederlandse organisaties die samenwerken met Amerikaanse partijen.
Nieuwe verplichtingen
De AVG brengt een aantal nieuwe verplichtingen en nieuwe rechten van betrokkenen met zich mee. Hierdoor zijn aanpassing van systemen, werkwijzen en procedures bij veel ondernemingen nodig. Te denken valt aan:
• het aanstellen van een privacy officer;
• het uitvoeren en aantoonbaar vastleggen van privacy audits, privacy impact assessments en privacybeleid;
• het checken en vastleggen van afspraken met bewerkers (partijen die de dataverwerking ondersteunen), klanten en opdrachtgevers in verband met het nieuwe recht op dataportabiliteit en het recht om vergeten te worden, maar ook in verband met nieuwe verplichtingen voor bewerkers.
Aanpak toezichthouder
De AP kan zowel uit eigen beweging als naar aanleiding van een (enkele!) melding een onderzoek starten. De AP heeft een handhavingsbeleid en publiceert jaarlijks een toezichtagenda. Hieruit volgt dat de AP bij ambtshalve onderzoek prioriteit geeft aan zaken waarbij sprake is van ernstige overtredingen, die structureel van aard zijn en veel mensen treffen. Het betreft zaken waarbij de AP met handhavingsinstrumenten effectief het verschil kan maken en waarbij de overtreding valt binnen de jaarlijkse aandachtspunten van de AP. Voor 2016 staan op de jaaragenda:
• beveiliging persoonsgegevens;
• big data & profiling;
• medische gegevens;
• persoonsgegevens bij de overheid;
• persoonsgegevens in de arbeidsrelatie.
Meldingen
Meldingen zijn enerzijds de signaleringen die burgers doen bij de AP. In de praktijk kwam het echter voor dat de AP al een onderzoek startte na 1 klacht van een consument tegen een grote verzekeraar en ook na 2 klachten van ontevreden werknemers tegen de werkgever. Een melding kan ook een melding van een datalek zijn. De AP ontvangt ongeveer 300 meldingen per maand. De AP heeft in maart 2016 gesteld dat er 40 onderzoeken zijn gestart naar aanleiding van meldingen over datalekken.
De AP constateert nagenoeg altijd een overtreding. Het conceptrapport wordt eerst toegestuurd, waarna een zienswijze mag worden gegeven. Het definitieve rapport wordt gepubliceerd.
Wie krijgt een boete van de AP en wanneer?
De AP kon al een last onder dwangsom opleggen. Nieuw is de boetebevoegdheid. Een boete wordt alleen direct bij de constatering van een overtreding opgelegd als sprake is van opzettelijk handelen, voorwaardelijk opzet of ernstig verwijtbare nalatigheid. Dit zijn gevallen waarin bewust, opzettelijk of ernstig onzorgvuldig met gegevens wordt omgegaan. De AP geeft zelf als voorbeeld de situatie waarin een tv-maker op de Eerste Hulp van een ziekenhuis filmde. In alle andere gevallen moet de AP eerst een bindende aanwijzing geven.
Een punt van aandacht is dat de AP, net als de ACM en AFM, een bestuursorgaan is. De boete is een administratieve boete in de zin van de Algemene Wet Bestuursrecht. Dit betekent dat de AP niet alleen de overtreder zélf een boete mag opleggen, maar ook de ‘functionele dader’, de ‘feitelijk leidinggevende’ en de ‘medepleger’. In de praktijk kan dit betekenen dat een directeur of bestuurder naast de rechtspersoon een boete kan krijgen. Ook is het mogelijk dat de partij die in nauwe samenwerking ondersteuning biedt bij de dataverwerking, een boete krijgt. Dit speelt bijvoorbeeld bij het bouwen van een app of webshop met dienstverlening na oplevering of het hosten en monitoren van systemen.
Hoogte boetes
De boetebedragen zijn ingedeeld in 3 bandbreedtes. De hoogste categorie bedraagt € 350.000 tot € 820.000 pér overtreding. Boetebedragen kunnen cumuleren. De AP kan ook besluiten om een boete gelijk aan 10% van de netto-omzet van de overtreder op te leggen. In 2018 wordt de maximale boete € 20 miljoen of 4% van de wereldwijde jaaromzet van de overtreder. De AP neemt alle omstandigheden van het geval mee in haar boeteoplegging.
Risicogroepen
Privacy is voor ondernemers en accountants geen gemakkelijk ‒ maar wel een noodzakelijk ‒ onderwerp om rekening mee te houden. Vooral de grotere (belangen)verenigingen en stichtingen behoren tot de risicogroepen, omdat deze per definitie veel persoonsgegevens gebruiken en omdat hier vaak sprake is van bijzondere of gevoelige gegevens. Ook organisaties in de zorg, (basis)onderwijs, detachering, marketing, social en digital media, personeelsdiensten, payrolling, organisaties die actief zijn op medisch gebied en organisaties die zich met innovatieve tools of apps richten op consumenten of gegevens gebruiken over personen (bijvoorbeeld bezoekersaantallen), behoren tot de risicogroepen. Daarnaast bestaat er bij elke onderneming met veel of ontevreden medewerkers een potentieel boeterisico.