Wet bescherming persoonsgegevens

Wat verandert er per 1 januari m.b.t. data-privacy van klantgegevens? Wat betekent dit voor de onderzoeksbureaus?

Per 1 januari 2016 wordt de Wet bescherming persoonsgegevens gewijzigd. De volgende twee wijzigingen worden dan doorgevoerd:

1. verplichting om data lekken te melden (data lekken);
2. boete bevoegdheid van het Cbp – zie MOAflash Oktober 2015

Wat is een datalek?

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.
Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder de gangbare definitie van datalek.

Opgeslagen identificerende gegevens, die zijn gaan lekken worden beschouwd als een datalek. Dat betekent dat als persoonsgegevens verder niet meer relevant zijn voor het onderzoek je deze beter ook niet meer kunt opslaan. Dit is in feite een tikkende tijdbom wanner deze gaat lekken. Bij een data lek moet het Cbp (toekomst AP) geinformeerd worden en indien er sprake is van een ernstig data lek ook alle betrokkenen. Maar let op dat moet de verantwoordelijke doen en niet het marktonderzoekbureau als bewerker voor de opdrachtgever en verantwoordelijke. Door persoonsgegevens te de-identificeren is de regelgeving niet van toepassing. Overigens is deze regelgeving voor de marktonderzoeksector niet nieuw. In de gedragscode (uit 2010) artikel 5 komen deze bepalingen al voor:

1. Er worden niet meer Persoonsgegevens verzameld bij het uitvoeren van Onderzoek dan noodzakelijk voor het Onderzoek.

2. Persoonsgegevens worden niet langer dan noodzakelijk is in identificeerbare vorm verwerkt voor het Onderzoek.

Wanneer marktonderzoeksbureaus de Gedragscode, dan met name artikel 5.2 naleven, en tijdig persoonsgegevens verwijderen blijft een lek uiteraard vervelend maar staan er geen persoonsgegevens op het spel.

Wat moet het onderszoekbureau en/of de onderzoekorganisatie doen:


1. treffen van adequate beveiligingsmaatregelen (data collectie alleen over httpS verbindingen)
2. artikel 5.1 uit de gedragscode naleven: wat je niet vastlegt, hoeft niet te worden beveiligd en kan niet lekken
3. artikel 5.2 uit de gedragscode : persoonsgegevens zo snel mogelijk niet identificeerbaar maken (dan val je buiten de scope van de data lekken regelgeving)
4. stel een procedure op om data lekken op te sporen en hoe daarmee om te gaan, escalatie in eigen organisatie, informeren opdrachtgever etc etc.

Maximum boete overtreding privacy wetgeving

Het College bescherming persoonsgegevens (CBP) heeft de conceptbeleidsregels voor het opleggen van een bestuurlijke boete door de Autoriteit Persoonsgegevens gepubliceerd. Per 1 januari 2016 krijgt het CBP (per 1 januari 2016 'Autoriteit Persoonsgegevens') de bevoegdheid om boetes op te leggen als organisaties de Wet bescherming persoonsgegevens overtreden.
Met de boetebeleidsregels beoogt het CBP inzicht te geven in hoe de hoogte van een bestuurlijke boete zal worden bepaald. De maximale boete is 810.000 euro. De wetgever heeft besloten de sanctiemogelijkheden van het CBP te versterken om zo de naleving van de Wbp te bevorderen.
Belanghebbenden kunnen gedurende 4 weken reageren op deze conceptversie van de boetebeleidsregels. Reacties op de boetebeleidsregels kunnen worden ingezonden via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Bron: mr Alexander J.J.T. Singewald, november 2015

Meer MOA


Kennispartners van Clou

MOA is een

CRKBO Instelling CMYK

Contact

MOA, Expertise Center voor Marketing-insights, Onderzoek & Analytics

Kingsfordweg 151, 1043 GR, Amsterdam
+31 20 5810710
Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.