De huidige privacywetgeving is veranderd, maar wat is nou eigenlijk de impact van de nieuwe privacywet? Deze vraag stelde wij aan Gerrit-Jan Zwenne, hoogleraar recht en de informatiemaatschappij, Universiteit Leiden en advocaat te Amsterdam.
De belangrijkste veranderingen
De nieuwe privacywet is een aanmerkelijke uitbreiding en verfijning van de huidige wetgeving. De wetgeving is veel gedetailleerder en verlangt dat er meer wordt gedocumenteerd. En daarbij kunnen er onder de nieuwe wetgeving heel substantiële boetes worden opgelegd voor overtredingen. Organisaties die persoonsgegevens verwerken — en welke organisatie doet dat nou niet? — moeten dus precies gaan vastleggen welke gegevens ze verwerken, voor welke doeleinden, aan wie die worden verstrekt en van welke anderen organisaties daarbij gebruik wordt gemaakt. Er worden veel nieuwe eisen gesteld aan de inhoud van het privacy statement. Daarin moeten bijvoorbeeld straks ook de verschillende bewaartermijnen worden opgenomen.
Tot slot moeten heel veel organisaties bij zowel de overheid als het bedrijfsleven een functionaris voor gegevensbescherming (FG) benoemen. En die persoon (m/v) gaat zich ook bemoeien met allerlei zaken met betrekking tot de wijze waarop wordt omgegaan met persoonsgegevens. Dat is haar of zijn taak. Op allerlei niveaus moet worden voorzien in procedures om de wetgeving na te leven. We spreken dan van accountability.
Impact voor de financiële sector
De financiële sector is al zwaar gereguleerd, met krachtige toezichthouders als AFM en DNB. Financiële instellingen zijn bijna per definitie gegevensintensieve organisaties, die de beschikken over veel vaak betrekkelijk gevoelige gegevens die al snel kwalificeren als persoonsgegevens. Het gaat bij banken om transactie- en betaalgegevens en bij verzekeraars om gegevens over de woonsituatie of de wijze waarop gebruik wordt gemaakt van motorvoertuigen. Of gegevens over de gezondheid als het gaat om zorgverzekeraars. De komst van PSD2 gaat weer nieuwe extra dimensies brengen.
In dezelfde periode waarin de nieuwe privacywetgeving gaat gelden krijgt PSD2 betekenis. Nieuwe aanbieders, met nieuwe diensten en producten, gaan met toestemming van de rekeninghouder gebruik maken van betaalgegevens. Uiteraard moeten ook deze aanbieders voldoen aan de privacywet. Ook kunnen we verwachten dat de banken die de betaalgegevens verstrekken ervoor zorgdragen dat dit op een goede en zorgvuldige wijze gebeurt.
Advies aan organisaties:
Alles begint met bewustwording of ‘awareness’. Er moet het besef zijn dat deze wetgeving er is en betekenis heeft. En dan volgt, als het goed is, de rest. Dat zal niet vanzelf gaan. Waar ik veel van verwacht is de benoeming van een FG. Dat is bij uitstek de persoon die eraan kan bijdragen dat op een behoorlijke en zorgvuldige wijze wordt omgegaan met persoonsgegevens.
Congres Customer Experience & Data Driven Innovation
Op 27 maart 2018 hoort u tijdens het congres Next in Finance: Customer Experience & Data Driven Innovation hoe u de klant écht centraal stelt en hoe u uw organisatie hierop inricht. Het congres brengt veel inzichten, inspiratie en handvatten om met dit thema aan de slag te gaan. Zorg dat u er bij bent! Meer informatie?
Bezoek de website