Digital

In deze digitale wereld worden bij instanties veel (persoons)gegevens geregistreerd. Daarnaast worden tussen personen en instanties gegevens uitgewisseld. Het is de vraag welke regels gelden voor de uitwisseling van digitale (persoons)gegevens en wat u als ondernemer kan en moet doen om in overeenstemming met die regels te handelen.

De Wet bescherming persoonsgegevens
Bonaire is een onderdeel van het Koninkrijk der Nederlanden en hier geldt dan ook de Grondwet. Onderdeel van de Grondwet is de eerbiediging van de persoonlijke levenssfeer.

Daarnaast gelden op Bonaire de regels van het Dataverdrag van Straatsburg (en het daarbij behorende aanvullend protocol). Op basis van de Grondwet en het verdrag is op 10 oktober 2020 de   (Wbp) ingevoerd.

Onderdeel van de Wbp is de instelling van een College Bescherming Persoonsgegevens (CBP) dat ondermeer toezicht houdt op de naleving van de Wbp. Het CBP is daarnaast ook beschikbaar voor advies.

De reden voor de invoering van de Wbp was om een ieder een zogenaamd ‘adequaat beschermingsniveau’ te bieden. Bij de recente evaluatie van de Wbp blijkt dat tussen de verschillende BES-eilanden, maar ook in de verschillende bedrijfssectoren sectoren onderscheidt bestaat hoe de Wbp wordt toegepast. Je zou daaruit af kunnen leiden dat nog niet helemaal duidelijk is hoe dat ‘adequaat beschermingsniveau’ eruit ziet en welke maatregelen u als ondernemer moet nemen om daaraan te voldoen. Ontwikkelingen in Europa bieden daarbij de helpende hand. 

De Algemene Verordening Gegevensbescherming
In de Europese Unie is in mei 2018 de Algemene Verordening Gegevensbeschermign (AVG) ingevoerd. Dit is een Europese Verordening die door alle lidstaten (dus ook door Europees Nederland) moet worden geïmplementeerd. Let op dat Bonaire geen onderdeel is van de Europese Unie en wordt aangemerkt als een LGO (Landen en Gebiedsdelen Overzee). Daardoor is de AVG niet op Bonaire van toepassing.

In de AVG is echter opgenomen dat bedrijven en instellingen die wel onder de werking van de AVG vallen, geen persoonsgegevens mogen uitwisselen met bedrijven en instellingen die geen ‘adequaat beschermingsniveau’ bieden volgens de normen in de AVG (tenzij er een ontheffing wordt verleend, maar daarvan is nog geen sprake).

Als gevolg van deze regel worden ondernemers op Bonaire indirect geconfronteerd met de eisen van de AVG als ze internationaal zaken doen. Immers, een bedrijf dat de AVG in acht moet nemen, zal van zijn Bonairiaanse zakenpartner (moeten) vragen om het ‘adequaat beschermingsniveau’ in acht te nemen, anders kunnen geen persoonsgegevens worden uitgewisseld. Aan veel (juridische) dienstverleners wordt dan ook de vraag gesteld hoe lokale bedrijven aan de normen van de AVG moeten voldoen.

Normen van de AVG
Hoewel ook de AVG niet exact voorschrijft wat moet worden verstaan onder een ‘adequaat beschermingsniveau’, ontstaat daarover meer en meer duidelijkheid in jurisprudentie en door publicaties van handboeken en handleidingen.

Een uitgebreid handboek is de Handleiding Algemene Verordening Gegevensbescherming (https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming) die uitgebreid aangeeft welke maatregelen kunnen en moeten worden genomen en welke afwegingen daarbij moeten worden gemaakt. Zo bepaalt de Handleiding onder andere dat bij de beveiliging van persoonsgegevens de volgende eisen gelden:

• pseudonimisering en versleuteling van de persoonsgegevens;

• het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te aranderen;

• het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

• een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

 Kort gezegd, een bedrijf dient ervoor te zorgen dat gegevens versleuteld worden en dat procedures geleden om na te gaan of de gegevens beschikbaar zijn en bij incidenten weer toegankelijk worden gemaakt. De Handleiding biedt daarvoor zelfs concrete suggesties.

Wat moet ik doen?
Indien uw bedrijf of instelling persoonsgegevens verwerkt is het aan te bevelen om te overwegen om die verwerking vorm te geven conform de uitgangspunten van de AVG. Dat heeft als voordeel dat u gereed bent om internationaal zaken te doen.