Blog

Privacyconflicten verdienen vaak vertrouwelijke behandeling

Een conflict over het (te weinig) waarborgen van privacy ligt sinds de AVG vaker op de loer. Bedrijven en organisaties zijn sinds 25 mei 2018 verplicht om te voldoen aan de Algemene Verordening Persoonsgegevens (AVG, ook wel bekend als de GDPR (General Data Protection Regulation). De AVG introduceert een groot aantal nieuwe verplichtingen en sancties voor partijen die persoonsgegevens verwerken. Onder meer op het gebied van ICT en beveiliging zijn de verplichtingen aanzienlijk verzwaard. Zo bestaat er nu de verplichting tot ‘privacy by design’ en ‘privacy by default’. Vanwege die verplichtingen moet ICT al bij het ontwerp rekening houden met de AVG-verplichtingen, en moet de bescherming van privacy de standaard zijn. Ook dient ieder bedrijf of organisatie technische en organisatorische beveiligingsmaatregelen te treffen voor de bescherming van persoonsgegevens. Als een ander die persoonsgegevens verwerkt, dan moeten partijen (onder meer) daarover afspraken maken in een zogenaamde verwerkersovereenkomst. Daarin staat ook vaak geregeld wie waarvoor verantwoordelijk is, wie welke garanties biedt, wie waarvoor de ander vrijwaart, en wie waarvoor en in welke mate aansprakelijk is. Een belangrijk document bij (het voorkomen en regelen van) privacyconflicten dus.

Wat als een verwerking tot problemen leidt?

Want wat als een verwerking van persoonsgegevens tot problemen leidt? Wat gebeurt er als de een de beveiliging niet op orde had? Wat als er niet op tijd een melding van een datalek wordt gedaan? Wie is aansprakelijk voor het lekken van persoonsgegevens? En wat als er een boete van een toezichthouder, of een schadevergoedingsclaim van een betrokkene komt? Wie draagt dan de schuld? Kan zo’n boete of schadevergoeding op de andere partij (deels) worden verhaald?

Een goede verwerkersovereenkomst houdt met al deze aspecten rekening (en niet alleen met de wettelijke vereisten)! Uiteraard kunnen deze afspraken zijn geregeld in de betreffende ICT-contracten, offerte-aanvragen of eventuele aanbestedingsstukken. Of in de AVG zelf. Liever regel je het regelen en voorkomen van privacyconflicten goed en duidelijk in een verwerkersovereenkomst.

privacyconflictenPrivacy & Security Kamer SGOA

Zeker in het geval van privacy en security kan het dan gaan om lastige, complexe materie. Het is dan ook nog maar de vraag of je zo’n geschil wil uitvechten bij de overheidsrechter. Mijn ervaring is dat een gespecialiseerde conflictoplosser dan uitkomst kan bieden. In het geval van privacy conflicten heeft de SGOA, de Stichting Geschillenoplossing Automatisering, een heuse “Privacy & Security kamer” opgericht.Deze kamer zal zich bezig houden met het behandelen, oplossen en beslechten van geschillen en conflicten op het gebied van de bescherming van persoonsgegevens en informatiebeveiliging. De SGOA heeft in mijn ervaring veel kennis en expertise op het gebied van privacy- en securitykwesties.

Privacyconflicten managen

De SGOA heeft – naast deskundigheid – als voordeel dat de behandeling van geschillen in vertrouwelijkheid en geheimhouding door middel van de SGOA-reglementen en de wetgeving op het gebied van arbitrage kan worden gewaarborgd. Een behandeling van zo’n geschil is dus nooit publiek, zoals een rechtszaak via de overheidsrechter bijvoorbeeld – in principe – wel het geval is. Ook dat kan dus een reden zijn om conflicten via de SGOA te managen. Check daarom ook hoe jouw verwerkersovereenkomst omgaat met eventuele geschillen. Moet je dan naar de overheidsrechter? Of kies je (bijvoorbeeld) voor arbitrage bij de SGOA? Ik raad vaak aan om een drietrappen-escalatiemodel op te nemen om geschillen te managen. Lukt het zelf niet om het geschil op te lossen (op bestuursniveau)? Dan kan mediation worden geprobeerd. Werkt dat ook niet? Kies dan voor arbitrage, of desnoods de overheidsrechter.

Denk bij de verwerkersovereenkomst bijvoorbeeld aan hoe je de volgende privacy conflicten zou willen managen:

  • Geschillen over de uitvoering van verwerkersovereenkomsten;
  • Geschillen die zich voordoen als organisaties onderling (ad hoc of op grote schaal) persoonsgegevens uitwisselen;
  • Geschillen tussen een Functionaris voor de Gegevensbescherming of een andere privacy professional binnen een organisatie en de (top-)leiding van die organisatie;
  • Geschillen over security-incidenten en datalekken;
  • Geschillen over security bij softwareontwikkeling;
  • Geschillen over specifieke security-maatregelen, zoals penetratietesten en monitoring;
  • Geschillen over privacy- en securitytools;
  • Geschillen over specifieke security-normen, zoals ISO 27001, ISO 27002, NEN 7510, NEN 7512 en NEN 7513.

Alternative dispute resolution

De SGOA behandelt deze soorten conflicten. Dat kan door middel van arbitrage, mediation, bindend advies, Rapid Conflict Resolution en/of deskundigenberichten. Deze procedures heten ook wel alternative dispute resolution – aangezien het een alternatief is op de ‘gewone’ overheidsrechter.

Wij zijn als advocatenkantoor zeer verheugd met de komst van de Privacy & Security Kamer van de SGOA. Privacyrecht is een specialistisch vakgebied, waarbij niet alleen het recht maar ook technische en organisatorische aspecten van groot belang zijn. De juristen en IT’ers die bij de SGOA zijn aangesloten hebben naar onze ervaring veel affiniteit met zaken als deze. Bovendien is vertrouwelijkheid in privacyzaken key. Ook dat is gewaarborgd bij de SGOA. Bovendien leidt het in de regel tot een snelle(re) oplossing.

Let er daarom ook op bij het sluiten van verwerkersovereenkomst of je geschillen wel door de overheidsrechter wil laten beslechten, of dat je kiest voor (bijvoorbeeld) arbitrage via de SGOA. Mocht je dat niet zijn overeengekomen, dan kan dit later soms alsnog worden afgesproken.

Lees hier meer over de ‘Privacy & Security Kamer’ van de SGOA.

Gerelateerde berichten