Verplichtingen van de verantwoordelijke

Om transparantie te bereiken moet de verantwoordelijke aan een aantal verplichtingen voldoen voordat persoonsgegevens verwerkt mogen worden. De VZVZ heeft nu de verplichting op grond van de Wbp om privacy verklaringen af te geven en een meldingsplicht van verwerking bij de

toezichthouder.81 _{Dit houdt in dat de verantwoordelijke bijna alles met persoonsgegevens kan}

77 _{Voorstel verordening gegevensbescherming p. 29} 78 _{Voorstel verordening gegevensbescherming p. 29} 79 _{Art. 16 Verordening gegevensbescherming} 80 _{Art. 18 lid 2 Verordening gegevensverwerking} 81 _{Art. 27 Wbp}

31 doen zolang er aangegeven wordt wie de verantwoordelijke is, wat hij doet en waarom hij iets doet met persoonsgegevens.

Als de verordening in werking treedt, vervalt de meldplicht van de verantwoordelijke omdat er geen meldingsplicht in de verordening is opgenomen. Echter de verantwoordings- en openbaarheidsplicht blijven bestaan. Daarnaast moet de verantwoordelijke actief beleid voeren

en maatregelen treffen om een aantal van de verplichtingen van de verordening uit te voeren.82

Artikel 22 van de verordening geeft invulling aan het verantwoordingsbeginsel van art. 5 van de verordening. In de Wbp is geen verplichting tot het maken van beleid in de zin van art. 22 van de verordening opgenomen. Dit betekent dat het LSP beleid zou moeten gaan maken wanneer de verordening in werking treedt.

Op grond van art. 23 van de verordening krijgt de verantwoordelijke de verplichting om privacy by design en privacy by default toe te passen. Privacy by design houdt in dat er bij het ontwikkelen van het systeem, en als dat al gebeurd is zo snel mogelijk daarna, wordt nagedacht over de inrichting van het systeem zodat er zo min mogelijk belasting voor de gegevensverwerking ontstaat. Er moeten passende technische en organisatorische maatregelen worden genomen zodat de verwerking aan de verordening voldoet. Het nadenken over privacy bij het ontwikkelen van het systeem geeft de meeste kans op bescherming van de rechten van de betrokkene. Dit principe is ook opgenomen in de Wbp, maar de verordening legt meer nadruk op de handhaving en uitvoering. Privacy by default heeft een andere strekking. Dit betekent dat, wanneer het systeem al bestaat, het systeem maatregelen moet nemen om privacy te waarborgen via default

settings. De verplichting om gegevens te beveiligen blijft natuurlijk bestaan.83 _{Bij het voldoen aan}

de verplichtingen wordt rekening gehouden met de kosten van de maatregelen en de stand van de techniek.84

De verordening legt de plicht op aan de verantwoordelijke om documenten te bewaren inzake

alle verwerkingen die onder hun verantwoordelijkheid vallen. 85 _{Alle facetten van}

82 _{Art. 22 lid 1 Verordening gegevensbescherming} 83 _{Art. 22 lid 2 sub g Verordening gegevensbescherming} 84 _{de Jong 2015}

32 gegevensverwerking moeten in een document opgenomen worden zoals contactgegevens van de verantwoordelijke, doeleinden van verwerking, ontvangers van persoonsgegevens, categorieën betrokkenen en bijvoorbeeld termijnen waarbinnen gegevens gewist behoren te worden. Deze documenten moeten op verzoek getoond worden aan de toezichthouder. Een andere nieuwe verplichting is de plicht om datalekken te melden bij de toezichthouder. De inbreuk moet binnen 24 uur gemeld worden, daarnaast moet in sommige gevallen de inbreuk ook gemeld worden bij de betrokkene. Een een datalek die mogelijkerwijs negatieve gevolgen heeft voor de privacy van de betrokkene moet gemeld worden bij de betrokkene. Er is sprake van een lek wanneer persoonsgegevens zijn blootgesteld aan de aanmerkelijke kans op verlies of onrechtmatige verwerking. Dit hoeft niet te betekenen dat er te weinig maatregelen zijn genomen om inbreuk te voorkomen omdat er altijd ingebroken kan worden ook al is het systeem voldoende beveiligd. Wanneer er onvoldoende beveiligingsmaatregelen zijn genomen kan dit wel gevolgen hebben voor de verantwoordelijke. De melding van een inbreuk moet een aantal elementen bevatten waardoor de verantwoordelijke in kaart moet kunnen brengen waar de inbreuk zicht bevindt, welke bestanden zijn geraakt en welke betrokkenen geïnformeerd moeten worden. Op 26 mei 2015 is door de Eerste Kamer het wetsvoorstel Meldplicht datalekken en uitbreiding bestuurlijke

boetebevoegdheid aangenomen.86 _{De Wbp zal gewijzigd worden zodat er een meldplicht}

datalekken wordt opgenomen in de Wbp. Het wetsvoorstel is niet volledig toegesneden op de

verordening.87 _{Een datalek moet gemeld worden wanneer de technische en organisatorische}

maatregelen niet hebben gefunctioneerd.88 _{De verordening zal deze plicht daarom uitbreiden.}

Een andere nieuwe plicht die de verantwoordelijke krijgt door de verordening is het uitvoeren

van een privacyeffectbeoordeling.89 _{De privacyeffectbeoordeling moet uitgevoerd worden}

wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico’s voor de rechten en vrijheden van de betrokkenen. In lid 2 worden verwerkingen genoemd die specifieke risico’s inhouden. De privacyeffectbeoordeling bevat een aantal elementen zoals een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico’s van de betrokkene,

86 _{Kamerstukken I, 2014/15, 33 662 A}

87 _{Kamerstukken II, 2012/13 33 662 nr. 3 (MvT) p. 2,3} 88 _{Kamerstukken II, 2012/13 33 662 nr. 3 (MvT) p. 5} 89 _{Art. 33 Verordening gegevensbescherming}

33 beschrijving van de maatregelen om deze risico’s te voorkomen en te waarborgen en daarnaast bevat de beoordeling de beveiligingsmaatregelen en mechanismen die de gegevens beschermen en aantonen dat er aan de verordening is voldaan. Als uit de privacyeffectbeoordeling blijkt dat de verwerking grote risico’s met zich meebrengt moet de verantwoordelijke de toezichthouder raadplegen voordat verwerking plaats vindt. Met het invoeren van de deze beoordeling wordt de

verplichting om gegevensverwerking te melden bij de toezichthouder afgeschaft.90 _Momenteel

behandeld de Raad de aangenomen teksten van de verordening. Een van de artikelen die de Raad

wil veranderen is het artikel over de privacyeffectbeoordeling.91 _{In het artikel wordt opgenomen}

dat er een privacyeffectbeoordeling uitgevoerd moet worden wanneer het verwerken waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van personen zoals onder andere verlies van vertrouwelijkheid van door het beroepsgeheim beschermde gegevens.

Op grond van art. 62 Wbp heeft de verantwoordelijke de mogelijkheid om een functionaris voor de gegevensbescherming in te stellen. Artikel 35 van de aangenomen teksten van de verordening verplicht in bepaalde gevallen het aanstellen van een functionaris. Het aanstellen van een functionaris is bijvoorbeeld verplicht wanneer de verwerking wordt uitgevoerd door een rechtspersoon en betrekking heeft op meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden. Daarnaast breidt de verordening de taken van de functionaris uit.92