De WBP GDPR-proof implementeren

Stel, je werkt voor een Nederlands bedrijf en je hebt de opdracht om je organisatie privacy-compliant te maken. Op dit moment is de Wet Bescherming Persoonsgegevens (WBP) dan je belangrijkste inspiratiebron. Maar hoe ga je om met de inmiddels goedgekeurde GDPR/EPV? Hoe sorteer je hier op voor?

De komende twee jaar zijn meerdere wetswijzigingen te verwachten

De GDPR (General Data Protection Regulation), ofwel EPV (Europese Privacy Verordening), is onlangs gepubliceerd. Anders dan het huidige Europese privacyraamwerk (de Data Protection Directive) waarop onze WBP is gebaseerd, is de GDPR een WET en geen RICHTLIJN.

De GDPR zal begin 2018 direct als wetgeving van kracht zijn in alle lidstaten van de Europese Unie. Deze dwingende Europese wetgeving gaat voorlopig niet meer wijzigen. Dat houdt niet in dat de EU-lidstaten nu geen actie hoeven te ondernemen. Zij hebben de komende twee jaar de tijd om hun Nationale wetgeving pas te maken op de GDPR. Ook in Nederland zal dus de komende twee jaar de wetgeving die de WBP raakt, gaan wijzigen. Ga je het privacy-raamwerk in je organisatie opbouwen vanuit de WBP, dan mag je verwachten dat je de komende twee jaar onderhoudswerk gaat krijgen.

De GDPR is WBP-proof!

Het goede nieuws is dat de GDPR en de DPD (en daarmee de WBP) precies dezelfde basis hebben. Begrippen als Proportionaliteit, Subsidiariteit en Doelbinding blijven onverminderd centraal staan. Hoewel de GDPR dus in 2018 uniform in alle EU-landen gaat gelden en in veel opzichten strenger en uitgebreider is dan de DPD, is het geen breuk met de huidige privacy-praktijk. In de gepubliceerde GDPR wordt zelfs per artikel aangegeven waar de afwijkingen met de DPD precies zitten. Nog meer goed nieuws: er zijn geen* voorzieningen in de WBP die niet gedekt worden door de GDPR.

Conclusie: denk andersom….

Met andere woorden: als je niet de WBP maar de GDPR als basis neemt voor het privacy-compliant maken van je organisatie, sla je twee vliegen in één klap:

  • je hebt de komende twee jaar minder onderhoud aan de te verwachten Nationale wetswijzigingen en
  • je bent direct “klaar” voor 2018.

Uiteraard is het wel handig om, bij de maatregelen die je vanuit de GDPR implementeert, de WBP er op na te slaan om er zeker van te zijn dat jouw vertaling ook hiermee matcht. De bekende lijstjes met opsommingen waar de nieuwe wetgeving afwijkt van de huidige, kun je gebruiken bij het faseren van de in te voeren privacy-maatregelen.

 

(* NB: de WBP is wel strenger in het melden van gegevensverwerkingen aan de Autoriteit Persoonsgegevens. Op dit moment dienen alle verwerkingen waarvoor geen vrijstelling is, gemeld te worden. Onder de GDPR hoeft dat alleen nog voor risicovolle bewerkingen.)

Over de auteur

Boudewijn de Graaf
Docent studierichting Business & IT Management Hogeschool Rotterdam. Gastspreker. Eigenaar van Kronenbeeck.nl, adviesbureau voor het optimaliseren van organisaties. Brede veranderkundige, bestuurskundige, organisatiekundige en ICT achtergrond. Specialisaties: organisatieontwikkeling, privacy management, risk management.