Privacy compliance
Eén van de specialismen van NORD is compliance. Dit betreft de adviespraktijk van NORD om bedrijven te laten voldoen aan de wettelijke eisen omtrent privacy en informatiebeveiliging. Dit onderwerp zal vaker terugkomen op het blog en op de website van NORD, omdat het in het alledaagse en bedrijfsleven van groot belang is. De informatiemaatschappij bracht ons ‘big data’, ‘cloud computing’ en geautomatiseerde gegevensverwerking. Met name de informationele privacy, daar waar persoonsgegevens worden verwerkt, speelt vaak een belangrijke maar beperkende rol bij bedrijfsprocessen zoals deze op wereldwijde schaal voorkomen bij de meeste ondernemingen.
Compliance met het privacyrecht
Privacy is ieders grondrecht om hun privéleven van derden af te schermen. In de moderne informatiemaatschappij zijn vooral de (digitale) persoonsgegevens onderwerp van discussie. Steeds moet het individuele privacyrecht worden afgewogen tegen (commerciële) belangen van dienstverleners, websitebeheerders en andere verwerkers van persoonsgegevens. Het uitgangspunt is dat iedereen een zekere mate van controle moet houden over zijn eigen persoonsgegevens. Medische persoonsgegevens worden daarbij als extra gevoelig beschouwd, zodat spelers in de eHealth-sector grotere aansprakelijkheidsrisico’s lopen.
Internationaal en Europees recht
Sinds de Tweede Wereldoorlog is de discussie over grondrechten in Europa goed op gang gekomen, waarbij ook het privacyrecht tot ontwikkeling is gekomen. Diverse Europese richtlijnen hebben het privacyrecht op de maatschappelijke en technische ontwikkelingen aangepast. Het Nederlandse uitvloeisel van privacyrichtlijnen is de Wet bescherming persoonsgegevens (Wbp) met als toezichthouder het College bescherming persoonsgegevens (Cbp). Ook zijn er privacyregels terug te vinden in onze Telecommunicatiewet (Tw), waaronder regels over spam en cookies.
Omdat vrijwel iedere onderneming persoonsgegevens verwerkt, is het privacyrecht zeer belangrijk. Het lastige is dat de regels vaak complex zijn, terwijl voor het niet correct verwerken van persoonsgegevens boetes kunnen worden opgelegd. Bij het aanbieden van diensten, al dan niet in de cloud of via derden, moeten de verplichtingen en verantwoordelijkheden voor een correcte verwerking van persoonsgegevens contractueel en technisch goed worden vastgelegd. Denkt u hierbij niet alleen aan een bewerkersovereenkomst, maar ook bijvoorbeeld aan sluitende afspraken om de informatiebeveiliging te laten voldoen aan ISO-norm 27001:2013 of NEN 7510 voor medische gegevens. Vaak zal al in het functioneel ontwerp van een proces of software de wijze van verwerking van persoonsgegevens in lijn met de regels moeten worden gemaakt (‘privacy by design’). Hoe er met persoonsgegevens moet worden omgegaan is zeer afhankelijk van de sector en van welke gegevens worden verwerkt.
Vanaf 1 januari 2016 is de wettelijke plicht voor het melden van datalekken een feit. Ook de aanstaande Europese privacyverordening zorgt voor een nadere aanscherping van de regels, waar marktpartijen zich op moeten voorbereiden.
De rol van NORD als advocaat bij compliance
Juist omdat de regels zo complex zijn en de verwerking veel technische componenten heeft, zijn compliance en het privacyrecht bij uitstek een vakgebied voor specialisten. Bij het bouwen van software en applicaties, maar ook bij het inrichten van bedrijfsprocessen zal de wijze van verwerking van persoonsgegevens in lijn met de regels moeten worden gemaakt. Hoe er met persoonsgegevens moet worden omgegaan is zeer afhankelijk van de sector en van welke gegevens worden verwerkt. Koen Konings van NORD helpt u als gespecialiseerd advocaat graag bij advisering of bij procedures.