Data Privacy: new legislation as of May 25, 2018

please scroll down for the version in English

Data Privacy: Algemene Verordening Gegevensbescherming in een nutshell

Terwijl in China de privacy van Chinezen niet het grootste goed is en niet iedere onderneming in de Verenigde Staten voldoet aan de Europese standaarden voor bescherming van data van burgers, introduceren de lidstaten van de EU hun privacy-bijbel. Op 25 mei 2018 is het zover: de Algemene Verordening Gegevensbescherming (hierna: de “Verordening”) zal dan van toepassing zijn in alle lidstaten van de Europese Unie. Dit betekent dat als een onderneming gevestigd is in een lidstaat van de Europese Unie en persoonsgegevens verwerkt van een natuurlijke persoon (in de Verordening een “betrokkene” genoemd), de Verordening van toepassing is. Ook is de Verordening van toepassing wanneer niet de onderneming is gevestigd in de EU, maar de betrokkene waarvan persoonsgegevens worden verwerkt in een lidstaat van de EU woont.

In Nederland golden al langer regels die vergelijkbaar zijn met de regels in de Verordening, dus geheel nieuw is dit niet voor ons. Door de doorwerking van de Verordening overal in de EU met haar hoge boetes, wordt het belang ervan wel nogmaals benadrukt. Net als dat een onderneming een degelijke financiële administratie moet voeren, moet de data-administratie met betrekking tot (potentiële) klanten op orde zijn. Dit bevordert de professionaliteit van een bedrijf en zijn dienstverlening.

Doel van de Verordening is het waarborgen van de privacy van mensen én het zorgen dat vrij verkeer van persoonsgegevens binnen de EU mogelijk blijft. Zoals hiervoor aangegeven geldt de Verordening binnen de Europese Unie. Naast deze geografische eis zullen we hierna de volgende eisen en onderdelen van de Verordening kort behandelen:

a.    verwerking;

b.   persoonsgegevens;

c.    gerechtvaardigd verwerkingsdoel;

d.   beveiliging en vertrouwelijkheid;

e.    verantwoordelijke;

f.     verwerker;

g.    functionaris voor gegevensbescherming;

h.   informatieplicht;

i.     rechten van betrokkenen;

j.     gegevensbeschermingseffectbeoordeling;

k.    datalek: meldingsplicht;

l.     pseudonimisering;

m.  boete;

n.   gedragscode;

o.   digitaal dossier; en

p.   doorsturen gegevens naar niet-EU-land.

 

a.    Verwerking

De Verordening is van toepassing als een onderneming of natuurlijke persoon persoonsgegevens verwerkt en de verwerking geheel of gedeeltelijk geautomatiseerd is.

De Verordening is ook van toepassing als het gaat om handmatig verwerkte gegevens die zijn opgenomen in een bestand of waarvoor het doel bestaat ze in een bestand op te nemen (bijvoorbeeld een gestructureerde archiefkast). Onder verwerken valt onder andere het: verzamelen, vastleggen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, wissen, vernietigen, combineren en doorzenden van persoonsgegevens. Een onderneming dient een register van verwerkingsactiviteiten bij te houden waarin onder meer wordt opgenomen van welke betrokkenen welke gegevens worden verwerkt, voor welke doeleinden en de beoogde termijnen waarbinnen de gegevens moeten worden gewist (gegevens mogen niet langer bewaard worden dan noodzakelijk voor het doel van de verwerking; daarna moeten ze worden gewist). Een onderneming met minder dan 250 werknemers hoeft onder bepaalde voorwaarden niet aan deze registerplicht te voldoen.

b.   Persoonsgegevens

Persoonsgegevens zijn gegevens waarmee je een natuurlijke persoon kunt identificeren, bijvoorbeeld (een combinatie van): naam, leeftijd, adres, Burgerservicenummer, kentekenplaatnummer, IP-adres, etc. De persoon moet uniek te onderscheiden zijn binnen een groep. Dataprivacy is dus niet van toepassing op anonieme gegevens. Om te achterhalen of een natuurlijke persoon identificeerbaar is, moet je kijken naar de vraag of het redelijkerwijs te verwachten is dat middelen zullen worden gebruikt om een natuurlijke persoon te identificeren. Met andere woorden: is identificatie zonder onevenredige inspanning mogelijk? Daarbij wordt rekening gehouden met factoren als kosten, tijd, beschikbare technologie, tijdstip van de verwerking en technologische ontwikkelingen.

De Verordening maakt onderscheid tussen “normale” persoonsgegevens en “bijzondere” categorieën van persoonsgegevens. Denk bij “bijzondere” gegevens aan gegevens waaruit ras, etnische afkomst, religieuze overtuiging, politieke opvatting, seksueel gedrag of gezondheid blijkt. Deze “bijzondere” gegevens en gegevens met betrekking tot de locatie van een persoon, zijn of haar financiën en de strafbare feiten die hij of zij gepleegd heeft, zijn extra gevoelige gegevens. Dergelijke gegevens mogen niet worden verwerkt, tenzij hiervoor een uitzondering is geschapen in de Verordening.

c.    Gerechtvaardigd verwerkingsdoel

Als een onderneming persoonsgegevens gaat verwerken, moet het doel waarvoor zij die gegevens gaat verwerken gerechtvaardigd zijn; de verwerking moet gebaseerd zijn op een van de zes rechtsgrondslagen die limitatief in de wet zijn opgesomd:

  1. Toestemming van betrokkene; op voorwaarde dat de toestemming ondubbelzinnig, specifiek, vrij en op goed geïnformeerde basis is gegeven.
  2. Noodzakelijk ter uitvoering van een overeenkomst. Als een consument bijvoorbeeld via de webwinkel van een onderneming een product bestelt, mag de onderneming de NAW-gegevens van de consument verwerken, omdat zij het bestelde product naar de consument moet sturen. Vóór het sluiten van een overeenkomst mogen persoonsgegevens ook verwerkt worden als dit noodzakelijk is. Een bank heeft bijvoorbeeld persoonsgegevens nodig om het maximale leenbedrag van een te verlenen hypotheek vast te stellen. 
  3. Wettelijke plicht. Bijvoorbeeld: op grond van de Wet op de loonbelasting heeft een werkgever de plicht om een kopie van het identiteitsbewijs van zijn werknemer in de loonadministratie op te nemen.
  4. Bescherming vitale belangen van de betrokkene of anderen. Bijvoorbeeld: ter verlening van acute en noodzakelijke medische hulp aan een bewusteloos persoon.
  5. Vervulling van taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag. Bijvoorbeeld: kinderbescherming door de Raad voor de Kinderbescherming.
  6. Gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde; tenzij de belangen, rechten en vrijheden van de betrokkene zwaarder wegen. De verwerking van persoonsgegevens ten behoeve van direct marketing of ter voorkoming van fraude valt bijvoorbeeld onder dit rechtsgrondslag, tenzij de belangen van de betrokkene om zijn of haar gegevens niet te verwerken zwaarder wegen.

Het verzamelen van persoonsgegevens moet beperkt blijven tot die gegevens die daadwerkelijk nodig zijn om het oorspronkelijke doel te bereiken waarvoor de gegevens zijn vergaard.

d.   Beveiliging en vertrouwelijkheid

Persoonsgegevens moeten dermate worden beschermd, dat ze niet ongeoorloofd of onrechtmatig verwerkt worden en niet verloren gaan, vernietigd worden of beschadigd raken.

e.   Verantwoordelijke

Als je het doel en de middelen voor de verwerking van persoonsgegevens vaststelt, ben je als onderneming of natuurlijke persoon verwerkingsverantwoordelijke en zijn de verplichtingen uit de Verordening op jou van toepassing.

f.     Verwerker

Wanneer je verwerker bent en dus ten behoeve van een verwerkingsverantwoordelijke en naar diens instructies gegevens verwerkt, zonder aan diens rechtstreekse gezag onderworpen te zijn, heb je ook verplichtingen. De verplichtingen van de verwerker zijn echter aanzienlijk beperkt. Daartegenover staat dat een verwerker alleen mag handelen in opdracht van de verwerkingsverantwoordelijke, een overzicht dient bij te houden van de categorieën persoonsgegevens die hij verwerkt en passende technische en organisatorische beveiligingsmaatregelen moet nemen die een adequaat beschermingsniveau bieden. In bepaalde gevallen moet een verwerker een functionaris voor gegevensbescherming aanstellen.

De verwerking wordt geregeld in een overeenkomst; het maken van afspraken over een aantal zaken is verplicht. In de overeenkomst worden onder andere het onderwerp, de duur, de aard en het doel van de verwerking vermeld. Ook de soorten persoonsgegevens en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden daarin opgenomen.

Een voorbeeld van een verwerker is een administratiekantoor dat namens een bedrijf de salarisadministratie voert. De opdracht aan het administratiekantoor is het uitvoeren van de salarisadministratie, wat neerkomt op het verwerken van persoonsgegevens van werknemers. Een ander voorbeeld van een verwerker is een aanbieder van clouddiensten, die alleen gegevens opslaat.

g.   Functionaris voor gegevensbescherming

Onder bepaalde omstandigheden moet een onderneming (een verwerkingsverantwoordelijke of een verwerker) een functionaris voor gegevensbescherming of Data Protection Officer (DPO) aanstellen. Deze functionaris houdt intern toezicht, adviseert over de toepassing en naleving van de Verordening en is aanspreekpunt voor de betrokkene. Een onderneming is verplicht om een functionaris voor gegevensbescherming aan te stellen als haar kernactiviteit bestaat uit het op regelmatige basis stelselmatig observeren van betrokkenen op grote schaal. Hieronder valt bijvoorbeeld: verwerking van klantgegevens door verzekeringsmaatschappijen, het verwerken van zoekgegevens door een zoekmachine-aanbieder, verwerking van patiëntgegevens in een ziekenhuis en reisgegevens die worden bijgehouden door een openbare vervoersorganisatie.

h.   Informatieplicht

Als verwerkingsverantwoordelijke heb je een informatieplicht richting de betrokkenen. Je moet de natuurlijke persoon informeren over de verwerking van zijn of haar persoonsgegevens. Dit doe je, als je de persoonsgegevens van de betrokkene zelf hebt ontvangen, op het moment van verkrijging.

 i.     Rechten van betrokkenen

De persoon van wie de gegevens worden verwerkt, heeft de volgende rechten:

  • recht van inzage van zijn of haar verwerkte persoonsgegevens en daarmee verband houdende informatie;
  • recht van rectificatie van onjuiste persoonsgegevens en recht op het wissen van zijn of haar gegevens (“recht op vergetelheid”);
  • recht om in bepaalde gevallen de gegevensverwerking te beperken;
  • recht om de gegevens die hij of zij heeft verstrekt in een gestructureerde, gangbare en machine leesbare vorm te krijgen en ze in bepaalde gevallen over te dragen aan een andere partij; en
  • recht om bezwaar te maken tegen de gegevensverwerking.

j.     Gegevensbeschermingseffectbeoordeling

Voorafgaand aan verwerkingsactiviteiten met een “hoog risico” voor de rechten en vrijheden van mensen moet een gegevensbeschermingseffectbeoordeling uitgevoerd worden. Van een “hoog risico” is sprake:

  • als geautomatiseerd systematisch en uitgebreid persoonlijke aspecten worden geëvalueerd, zoals bij profilering, en op basis daarvan besluiten worden genomen die de betrokkene in aanzienlijke mate treffen;
  • als op grote schaal bijzondere categorieën of strafrechtelijke persoonsgegevens worden verwerkt; of
  • wanneer grootschalig en stelselmatig mensen gevolgd worden in openbare toegankelijke ruimtes, bijvoorbeeld bij cameratoezicht.

De gegevensbeschermingseffectbeoordeling of Data Protection Impact Assessment (DPIA) moet een inschatting geven van de privacy gevolgen die kleven aan de geplande gegevensverwerking. Op basis van een DPIA worden vervolgens maatregelen getroffen om de privacy gevolgen te voorkomen of te verkleinen.

k.    Datalek: meldingsplicht

In geval van een datalek moet de verwerkingsverantwoordelijke zonder onredelijke vertraging melding doen bij de Autoriteit Persoonsgegevens. Als het datalek een hoog risico voor de rechten en vrijheden van betrokkenen inhoudt, moet het datalek ook aan hen worden gemeld.

In bepaalde gevallen waarin gegevens op straat komen te liggen die goed beveiligd zijn omdat ze niet gelijk terug te voeren zijn op een natuurlijke persoon, kan het toch zo zijn dat het datalek gemeld moet worden. Stel bijvoorbeeld dat een laptop met versleutelde of gepseudonimiseerde gezondheidsgegevens verloren gaat en een back-up ontbreekt. Dit kan vergaande gevolgen hebben voor de betrokkenen; de mensen waar de gegevens over gaan, kunnen misschien niet meer goed behandeld worden door hun arts. In die gevallen moet het datalek ook worden gemeld.

l.     Pseudonimisering

Het doel van pseudonimisering is het verhullen van iemands identiteit voor derden. Bij pseudonimisering worden identificerende gegevens gescheiden van niet-identificerende gegevens en vervangen door letter- of cijfercombinaties. Een voorbeeld hiervan is het vervangen van NAW-gegevens van een patiënt in een database door een uniek patiëntennummer. De medische gegevens worden dan gekoppeld aan het patiëntennummer in plaats van aan de NAW-gegevens. Hierdoor is het voor derden niet zichtbaar wie de persoon is achter de medische gegevens.

Omdat er een koppeling tot stand kan worden gebracht tussen de gepseudonimiseerde gegevens en identificerende gegevens zijn gepseudonimiseerde gegevens ook persoonsgegevens en geen anonieme gegevens. De Verordening is daarom ook van toepassing op gepseudonimiseerde gegevens. Wel verdient het geven van een schuilnaam overweging bij het treffen van passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens, omdat het een beveiligingsmaatregel is.

 m.  Boete

Niet voldoen aan de nieuwe privacywetgeving kan een fikse boete opleveren met sancties tot 20 miljoen euro of, in geval van een onderneming, 4% van haar wereldwijde omzet. De Nederlandse Autoriteit Persoonsgegevens houdt toezicht op naleving van de Verordening en heeft boetebevoegdheid. Zij kan inlichtingen vorderen en plaatsen betreden.

 n.   Gedragscode

Ondernemingen kunnen een gedragscode opstellen die bijdraagt aan de juiste toepassing van de Verordening. De gedragscode moet ter beoordeling worden voorgelegd aan de Autoriteit Persoonsgegevens. Die zal de gedragscode goedkeuren als het voldoende “passende waarborgen biedt” en strookt met de Verordening.

o.   Digitaal dossier

Een onderneming moet per betrokkene een digitaal dossier bijhouden om aan de eis van “dataportabiliteit” van artikel 20 van de Verordening te voldoen. Deze eis houdt in dat betrokkenen een kopie van hun verwerkte persoonsgegevens moeten kunnen opvragen. Betrokkenen moeten de opgevraagde gegevens in een gangbare en machine leesbare vorm ontvangen. 

p.   Doorsturen gegevens naar niet-EU-land

Wanneer persoonsgegevens naar een land buiten de EU worden gestuurd of een onderneming een niet-EU-land toegang biedt tot persoonsgegevens, vindt uiteraard ook verwerking plaats en moet daarom ook worden voldaan aan de Verordening (verwerkingsregister bijhouden, betrokkene informeren, gegevens goed beveiligen, etc.). Daarnaast moet specifiek nog aan één van de volgende eisen worden voldaan:

  1. het niet-EU-land moet een adequaat niveau van gegevensbescherming kennen (zie de lijst van landen met een adequaatheidsbeslissing van de Europese Commissie);
  2. de onderneming die de gegevens doorgeeft, moet aanvullende waarborgen bieden (middels bijvoorbeeld standaardcontractbepalingen, goedgekeurde gedragscodes of bindende bedrijfsvoorschriften); of
  3. een in de Verordening genoemde situatie moet zich voordoen, bijvoorbeeld uitdrukkelijke toestemming of een bepaalde noodzakelijkheid. In dit geval moeten de Autoriteit Persoonsgegevens en de betrokkene geïnformeerd worden.

Voor een quick scan van uw organisatie op het gebied van privacybescherming of vragen naar aanleiding van dit memo, kunt u contact met ons opnemen:

Stefano Francovich: s.francovich@meritadvocaten.com, +31 (0)20 310 99 83

Mareille Tol: m.tol@meritadvocaten.com, +31 (0)20 310 99 82

 

Data Privacy: changes to the General Data Protection Regulation in a nutshell

While in China the privacy of Chinese is not the greatest good and not every company in the United States meets the European standards for the protection of data of their citizens, EU member states have introduced their “privacy bible”. On May 25, 2018, the General Data Protection Regulation (hereafter: the “Regulation”) will apply in all member states of the European Union. This means that if a company is established in a Member State of the European Union and if it processes personal data of an individual (referred to in the Regulation as a “data subject”), the Regulation applies. The Regulation also applies when the company is not located in the EU, but the data subject whose personal data is processed, lives in a member state of the EU.

In the Netherlands, privacy rules that are similar to the rules in the Regulation have been in force for some time, so the Regulation is not entirely new to us. However, due to the effect of the Regulation throughout the EU and its high penalties that may be invoked, its importance is emphasized again. Just like the requirement that a company must have a solid financial administration, the data administration of a company must be in order too. This promotes the professionalism (of the services) of a company.

The purpose of the Regulation is to guarantee the privacy of people and to ensure that free movement of personal data remains possible within the EU. As stated above, the Regulation applies within the European Union. In addition to this geographical requirement, we will briefly discuss the following requirements and topics of the Regulation:

a.    processing;

b.   personal data;

c.    legitimate processing purpose;

d.   security and confidentiality;

e.    controller;

f.     processor;

g.    data protection officer;

h.   duty to inform;

i.     rights of data subjects;

j.     data protection impact assessment;

k.    data leak: duty to notify;

l.     pseudonymization;

m.  fine;

n.   code of conduct;

o.   digital file; and

p.   transfer of data to non-EU-country.

a.    Processing

The Regulation applies if a company or an individual processes personal data and this processing is fully or partially automated. The Regulation also applies if the processing is manually executed and the processed data is (to be) stored in a file (for example, a structured filing cabinet). Processing includes the collection, recording, storage, modification, retrieval, consultation, use, provision, deletion, destruction, combining and forwarding of personal data. An enterprise must maintain a register of processing activities which includes among others the names of the data subjects, the processed data of such data subjects, the purposes of processing and the intended date of deletion (data may not be kept longer than necessary for the purpose of processing). Under certain conditions, an enterprise with fewer than 250 employees does not have this registration obligation.

b.   Personal data

Personal data is information that can identify a natural person. For instance (a combination of): name, age, address, social security number, license plate number, IP address, etc. On the basis of the personal data it must be possible to identify a unique person within a group of people. Data privacy is therefore not applicable to anonymous data. To find out whether a natural person is identifiable, the question should be answered whether it is reasonably to be expected that resources will be used to identify a natural person. In other words, is identification possible without disproportionate effort? Factors such as costs, time, available technology, time of processing and technological developments should be taken into account.

The Regulation distinguishes between "normal" personal data and "special" categories of personal data. “Special” data is, for example, data that shows race, ethnic origin, religious belief, political opinion, sexual behavior or health. "Special" data and information relating to the location of a person, his or her finances and the offenses he or she has committed, are extra sensitive data. Such data may not be processed, unless an exception listed in the Regulation applies.

 c.    Legitimate processing purpose

If an enterprise processes personal data, the purpose for which it will process the data must be legitimate; processing must be based on one of the six legal basis which are exhaustively listed in the Regulation:

  1. Consent of data subject; provided that the consent has been given unequivocally, specifically, freely and on an informed basis.
  2. Necessary for the performance of a contract. For example, if a consumer orders a product via the web store of a company, the company is allowed to process the consumer's name and address to send the ordered product to such consumer. Personal details may also be processed prior to the conclusion of an agreement if necessary. For example, a bank needs to process personal data in order to determine the maximum loan amount of a mortgage.
  3. Legal obligation. For example: under the Dutch Wage Tax Act (Wet op de Loonbelasting), an employer has the obligation to include a copy of his employee's identity document in the payroll administration.
  4. Protection of vital interests of data subject or another natural person. For example: to provide acute and necessary medical assistance to an unconscious person.
  5. Performance of a task carried out in the public interest or in the exercise of official authority. For example: child protection by the Dutch Council for Child Protection (Raad voor de Kinderbescherming).
  6. Legitimate interests pursued by the controller or by a third party; unless the interests, rights and freedoms of the data subject concerned outweigh the interests pursued by the controller or a third party. For example, the processing of personal data for the purpose of direct marketing or the prevention of fraud falls under this legal basis, unless the interests of the data subject outweigh related interests.

The collection of personal data must be limited to data that is necessary to achieve the original purpose of gathering the data.

d.   Security and confidentiality

Personal data must be protected so that they are not processed unauthorized or unlawfully and so that they will not be lost, destroyed or get damaged.

e.   Controller

If you are the person who determines the purpose and means of processing of personal data, you are the controller of the personal data and consequently the obligations under the Regulation will apply to you. 

f.     Processor

A processor processes personal data for and to the instructions of a controller without being subject to the direct authority of the controller. A processor also has obligations under the Regulation. However, the processor's obligations are considerably limited compared to those of the controller. In return, a processor may only act on behalf of the controller. Furthermore, a processor has to register the categories of personal data which it processes and must provide for appropriate technical and organizational security measures which guaranty an adequate protection level. In some cases, the processor has to appoint a Data Protection Officer.

The processing of personal data by the processor, on behalf of the controller, should be arranged in a contract between the controller and the processor; it is mandatory to agree on certain subjects. Among others, the contract has to stipulate the subject, the duration, the nature and the purpose of processing. The types of personal data and the rights and obligations of the controller must also be included.

An example of a processor is a (payroll) provider that conducts payroll administration services on behalf of a company. The assignment to the provider is to carry out payroll administration, which amounts to processing of employees' personal data. Another example of a processor is a provider of cloud services, which only stores data on behalf of a company or natural person.

g.   Data protection officer

An enterprise is obliged to appoint a Data Protection Officer (DPO) if its core activity is to systematically observe data subjects on a regular basis and on large scale. This includes for example: processing of customer data by insurance companies, processing of search data by a search engine provider, processing of patient data in a hospital and processing of traveling data maintained by a public transportation organization. A Data Protection Officer (DPO) supervises internally, advises on the application and compliance with the Regulation and is the contact person for the data subjects concerned.

h.   Duty to inform

As from the moment of acquisition of personal data, a controller is obliged to inform data subjects about the processing of their personal data.

i.     Rights of data subject

The person whose data is being processed has the following rights:

  • right to access his or her processed personal data and related information;
  • right of rectification of inaccurate personal data and right to erase personal data concerning him or her ("right to be forgotten");
  • right to – under certain circumstances – restrict the procession of personal data;
  • right to receive the personal data concerning him or her in a structured, commonly used and machine-readable format and under certain circumstances the right to transfer or to have such data transferred to another controller; and
  • right to object to processing of personal data concerning him or her.

j.     Data protection impact assessment

Prior to processing activities with a "high risk" for the rights and freedoms of people, a data protection impact assessment (DPIA) must be carried out. A "high risk" exists:

  • if automated systematic and extensive personal aspects are evaluated, such as profiling, and if on the basis of such evaluation(s) decisions are made that affect the data subjects considerably;
  • if special categories of data or criminal data are processed on a large scale; or
  • when people are monitored frequently and on a large scale in public accessible spaces, for example by means of camera supervision.

The data protection impact assessment should give an estimation of the privacy consequences deriving from the planned data processing. Based on a DPIA, measures have then to be taken to prevent or reduce the privacy consequences.

k.    Data leak: duty to notify

In the event of a data leak, the controller must report such leak to the Dutch Data Protection Authority (Autoriteit Persoonsgegevens) without undue delay. Should the data leak represent a high risk for the rights and freedoms of data subjects, then the controller must also report the data leak to the data subjects concerned.

In some cases of data leakage concerning well protected data which cannot be traced back to a natural person, an obligation to report such leakage may still exist. If a laptop with encrypted or pseudonymous health data gets lost and there is no backup of such data, this may have far-reaching consequences for the data subjects. The data subjects may no longer be properly treated by their doctor. In such case, the data leakage must also be reported.

l.     Pseudonymization

The purpose of pseudonymization is to conceal someone's identity for third parties. Identifying data is separated from non-identifying data and replaced with letter or number combinations. An example of this is the replacement of name and address of a patient in a database by a unique patient number. The medical data is then linked to the patient number instead of to the name and address of the data subject. Consequently, third parties cannot see who the person is behind the medical data.

Because a link can be established between the pseudonymized data and identifying data, pseudonymized data is also considered personal data; it is no anonymous data. The Regulation therefore also applies to pseudonymized data. However, when taking appropriate technical and organizational measures to protect personal data, pseudonymization should be considered since it is a security measure.

m.  Fine

Not complying with the new privacy legislation can be subject to a hefty administrative fine up to 20 million euros or, in case of a company, 4% of the total worldwide annual turnover of the preceding financial year. The Dutch Data Protection Authority supervises compliance with the Regulation and has the power to sanction noncompliance with the Regulation. The Dutch Data Protection Authority can request for information and is able to enter places in order to carry out her task.

 n.   Code of conduct

Companies can draw up a code of conduct that contributes to the correct application of the Regulation. The concept code of conduct must be submitted to the Data Protection Authority, which will approve the draft code if it finds that it provides sufficient appropriate safeguards and complies with the Regulation.

o.   Digital file

A company needs to keep a digital file for each data subject to meet the requirement of "data portability" of article 20 of the Regulation. This requirement means that data subjects must be able to request a copy of their processed personal data. The data subjects must receive the requested data in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided initially. 

p.   Transfer of data to non-EU-country

When personal data is sent to a country outside of the EU or if a controller provides access to personal data to a company which is not located in the EU, data is also processed and should and consequently the Regulation should be complied with (e.g. registration of processions, information to data subjects, data should be properly secured, etc.). In addition, one of the following requirements must specifically be met:

  1. the non-EU country must have an adequate level of data protection (see the list of countries with an adequacy decision of the European Commission);
  2. the company that passes on the data must offer additional safeguards (e.g. standard contract provisions, approved code of conduct or binding corporate rules); or
  3. a situation mentioned in the Regulation must occur, for example express consent or existence of a certain necessity. In this case, the Dutch Data Protection Authority and the data subject must be informed.

For a quick scan of your organization in the field of privacy protection or questions related to this memo, please contact us:

 

Stefano Francovich: s.francovich@meritadvocaten.com, +31 (0)20 310 99 83

Mareille Tol: m.tol@meritadvocaten.com, +31 (0)20 310 99 82

Although Merit Attorneys & Advisors observe great care in compiling and maintaining this memorandum, using sources that are considered reliable, this memorandum is not intended to serve as legal advise. Merit Attorneys & Advisors cannot guarantee the correctness, completeness and topicality of the information provided and reject any liability with regard to the information provided.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Hoewel Merit Advocaten & Adviseurs zorgvuldigheid in acht nemen bij het samenstellen en onderhouden van dit memorandum en daarbij gebruik maakt van bronnen die betrouwbaar geacht worden, is dit memorandum niet bedoeld als juridisch advies en kunnen wij niet instaan voor de juistheid, volledigheid en actualiteit van de geboden informatie. Merit Advocaten & Adviseurs wijzen iedere aansprakelijkheid ten aanzien van de juistheid, volledigheid en actualiteit van de geboden informatie van de hand.