Blogbijdrage: ‘Privacyschild’ nieuwe basis gegevensoverdracht EU-VS? - door Sofie van der Meulen
Vorige week schreef ik dat er nog geen akkoord was omtrent een nieuw regime voor de uitwisseling van persoonsgegevens tussen de VS en de EU. Tijdens de bijeenkomst van de Artikel 29-werkgroep begin februari zijn de gevolgen besproken van de ‘Schrems-uitspraak’ van het Europese Hof besproken en is er een nieuw akkoord geïntroduceerd: het ‘EU-VS privacyschild’.
Of dit akkoord een einde maakt aan de bestaande onzekerheid en voldoet aan de eisen van het Europese Hof is nog niet duidelijk. Binnen een paar weken ontvangen de Europese toezichthouders een conceptbesluit met documenten. Op basis hiervan zal het nieuwe akkoord beoordeeld worden en volgt er een advies aan de Europese Commissie. Lees hier het statement van de Artikel 29-werkgroep en het nieuwsbericht op de website van de Autoriteit Persoonsgegevens (voorheen het College bescherming persoonsgegevens). Voorlopig kunnen de Standard Contractual Clauses en Binding Corporate Rules gebruikt worden als grondslag voor de overdracht van persoonsgegevens tussen de EU en de VS.
Meer nieuws: toezichtsagenda Autoriteit Persoonsgegevens
Op de Internationale Dag van de Privacy (28 januari) presenteerde de Autoriteit Persoonsgegevens de toezichtsagenda voor 2016. Dit jaar staan de volgende vijf onderwerpen centraal: beveiliging van persoonsgegevens, big data & profiling, medische gegevens, persoonsgegevens bij de (digitale) overheid en persoonsgegevens in de arbeidsrelatie.
Medische gegevens worden niet alleen verzameld via zorgaanbieders en patiënten, maar ook via gezondheids- en lifestyle apps. Steeds meer persoonsgegevens kwalificeren als ‘gegevens betreffende iemands gezondheid’ welke alleen onder strikte voorwaarden mogen worden verzameld, bewaard en gebruikt. Dit werd recent nog eens duidelijk uit een onderzoek van de Autoriteit Persoonsgegevens naar de Nike+ Running app. Lees hier een artikel over dit onderzoek.
Verzamelde gegevens worden daarnaast steeds vaker in de cloud geplaatst. Het voordeel hiervan is dat gegevens snel gedeeld kunnen worden. De Autoriteit Persoonsgegevens noemt echter ook het risico op datalekken. Een datalek is een inbreuk op de beveiliging van persoonsgegevens en zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. Per 1 januari 2016 is de meldplicht datalekken in werking getreden waardoor ernstige datalekken gemeld moeten worden bij de Autoriteit Persoonsgegevens en soms ook aan de betrokkenen. Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Het toezicht op de naleving van deze wet staat hoog op de agenda van de Autoriteit Persoonsgegevens en er kan een boete van maximaal € 820.000,- opgelegd worden in geval van niet naleving van de meldplicht.
Als een derde partij in opdracht van uw organisatie persoonsgegevens verwerkt is het belangrijk in de bewerkersovereenkomst (verplicht tussen ‘verantwoordelijke’ en ‘bewerker’) specifiek aandacht te besteden aan de meldplicht datalekken.
Sofie van der Meulen is advocaat bij Axon advocaten.
Bent u werkzaam in de gezondheidszorg en heeft u een scherpe pen? Dan zij wij op zoek naar u! Kijk hier voor meer informatie.