Veel beweging in privacyland

Er gebeurt van alles en nog wat op het gebied van privacy en dit heeft verstrekkende gevolgen voor iedere webwinkel. Een ver-van-je-bed-show? Nou nee! Wist je bijvoorbeeld dat er sinds kort actie ondernomen moet worden om Google Analytics nog legitiem te kunnen gebruiken? En ben je al op de hoogte van de nieuwe meldplicht voor datalekken die per 1 januari 2016 ingaat?

Safe harbor

De safe harbor-principes zijn ontwikkeld door de Amerikaanse overheid. Ze bieden Amerikaanse organisaties de mogelijkheid om zichzelf te certificeren en zo aan Europese partijen aan te geven dat ze voldoende maatregelen treffen ter bescherming van Europese persoonsgegevens. Begin oktober heeft de Europese rechter deze principes echter afgeschoten. Safe harbor bood onvoldoende bescherming tegen het datagraaien van de Amerikaanse overheid.

Wil het afschieten van de safe harbor-principes dan zeggen dat er geen persoonsgegevens meer naar Amerika overgebracht kunnen worden? Nee, dat niet. De Wet bescherming persoonsgegevens biedt namelijk ook andere gronden waarop persoonsgegevens buiten de EU verwerkt mogen worden, bijvoorbeeld met toestemming van de betrokkenen, of wanneer er een modelcontract met de importeur wordt gesloten. Op dit moment wordt er door verschillende instanties nog druk vergaderd over de gevolgen van het wegvallen van safe harbor.

Meldplicht datalekken

Vanaf 1 januari 2016 moet een datalek gemeld worden bij het College bescherming persoonsgegevens (CBP) als er sprake is van een inbreuk op de beveiliging en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Daar komt bij dat je een datalek niet alleen moet melden bij het CBP, maar óók bij de betrokkenen (diegene waar de persoonsgegevens betrekking op hebben) indien het lek nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkenen. Meld je een datalek toch niet, dan kan het CBP een boete opleggen die kan oplopen tot 500.000 euro.

Een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens klinkt behoorlijk vaag. Hiervan is bijvoorbeeld sprake wanneer hackers toegang krijgen tot je database met klantgegevens. Mocht dit het geval zijn, dan dien je dit te melden bij het CBP én bij je klanten. Een melding bij je klanten kun je achterwege laten als de persoonsgegevens in de database niet leesbaar zijn voor de hacker. Daar is bijvoorbeeld sprake van wanneer er een goede vorm van encryptie is toegepast. Hieronder kun je in een schema zien wanneer en aan wie er een melding gedaan moet worden in het geval van een datalek.

Beslisboom meldplicht datalekken

Bekijk de tekstversie van de beslisboom meldplicht datalekken.

Voor meer informatie, download de factsheet: impact van de meldplicht datalekken.