De nieuwe Zwitserse wet op gegevensbescherming - wat je moet weten
Op 1 september wordt in Zwitserland de nieuwe Wet Bescherming Persoonsgegevens van kracht. Deze is ontworpen om je gegevens beter te beschermen. Ik leg uit wat je kunt verwachten - en wat je zelf verplicht bent om te doen.
Je produceert bijna non-stop gegevens. Als je op weg naar je werk je Swisspass moet laten zien. Als je 's middags in de kantine met je pas betaalt. Wanneer je de slaaptrackerfunctie op je smartwatch activeert, zelfs in je slaap.
Veel van je gegevens worden door bedrijven verwerkt voor allerlei doeleinden. Dit is op zich niet verboden. Maar er zijn duidelijke regels voor welke gegevens voor welk doel mogen worden verwerkt - en welke helemaal niet. Dit is geregeld in de Wet Bescherming Persoonsgegevens. De oorsprong van de huidige Wet Bescherming Persoonsgegevens gaat echter terug tot 1992, nog voordat CERN het World Wide Web openstelde voor het publiek.
Op 25 september 2020 heeft het Parlement de totale herziening van de Wet Bescherming Persoonsgegevens (Wbp) aangenomen. Op 31 augustus 2022 besloot het Parlement om de wet op 1 september 2023 in werking te laten treden - deze lange overgangsperiode moet bedrijven in staat stellen om de nieuwe richtlijnen te implementeren.
Wat zegt de Wet Bescherming Persoonsgegevens?
Ruwweg samengevat staan er drie dingen in de DPA. De rechten die je hebt als iemand je persoonsgegevens verwerkt. De verplichtingen die iemand heeft als hij je persoonsgegevens verwerkt. En de gevolgen voor die persoon als hij zijn verplichtingen niet nakomt - of dat nu expres is of per ongeluk.
De FADP beschermt dus de privacy en de grondrechten van mensen van wie gegevens worden verwerkt.
Waarom hebben we de Data Protection Act nodig?
In Zwitserland heb je het fundamentele recht op "informationele zelfbeschikking". Dit betekent dat je in principe zelf kunt bepalen hoe je gegevens worden gebruikt - in ieder geval de gegevens die specifiek op jou betrekking hebben. Dit is geregeld in de federale grondwet onder artikel 13, lid 2.
Je hebt dit recht met betrekking tot gegevens die de staat of bedrijven over je verzamelen en verwerken. Het waarborgen hiervan is de verantwoordelijkheid van de staat. De nieuwe Wet Bescherming Persoonsgegevens is het instrument waarmee de staat deze taak vervult en ervoor zorgt dat jij je rechten krijgt.
Wat is het doel van de herziening?
De kern van de nieuwe DPA is een betere gegevensbescherming en meer transparantie over wat er met je gegevens gebeurt, vooral digitaal. Je moet weten dat je gegevens veilig zijn en dat derden er niet mee kunnen doen wat ze willen. Je zult ook eenvoudige manieren hebben om in individuele gevallen te controleren wat er met je gegevens gebeurt. Je moet ook weten wie welke gegevens over je heeft en waar ze die vandaan hebben.
Voor organisaties die gegevens verzamelen, wordt aangegeven hoe ze met de gegevens moeten omgaan. Wat ze er wel en niet mee mogen doen. Wat ze moeten doen als er iets gebeurt dat in strijd is met de DPA. Mogelijke sancties worden ook beschreven.
Last but not least gaat het over de rol van de Federal Data Protection Commissioner (FDPIC). De FDPIC krijgt uitbreiding van bevoegdheden en meer autonomie op het gebied van gegevensbescherming.
In de nieuwe wet zal gegevensbescherming over het algemeen veel strenger worden aangepakt en zullen overtredingen zwaarder worden bestraft. Er zijn twee belangrijke redenen voor deze herziening: Ten eerste is de huidige DPA vrij oud. Tegenwoordig zijn er gegevensbeschermingskwesties in de online sector die niet of niet voldoende geregeld waren.
Tweede is de herziening nodig voor de samenwerking met de EU. De totale herziening betekent dat Zwitserland erkend blijft als "derde land met een passend niveau van gegevensbescherming". Dit betekent dat beide partijen zonder beperkingen kunnen blijven samenwerken.
Dit versterkt de samenwerking tussen de EU en Zwitserland.
Dit versterkt de bescherming van jouw privacy voor gegevens in het buitenland en vice versa. Dit is vastgelegd in European Data Protection Convention 108, dat Zwitserland mede heeft ondertekend.
Wat is het verschil met de GDPR?
De General Data Protection Regulation is de gegevensbeschermingswet van de Europese Unie. In zekere zin is het het equivalent van de Zwitserse federale wet op gegevensbescherming (FADP).
Zwitserse bedrijven moeten onder bepaalde omstandigheden ook voldoen aan de GDPR. Bijvoorbeeld Galaxus, omdat we goederen verkopen in de EU. En omdat we persoonsgegevens verwerken in de EU. Je vindt alle details over de GDPR hier.
Welke gegevens worden beschermd en hoe?
Zogenaamde persoonlijke gegevens worden beschermd. Bijvoorbeeld uw naam, huisadres of e-mailadres, telefoonnummer en andere informatie die specifiek over u gaat (DSG Art. 5).
Bescherming wordt geboden door de regels die zijn vastgelegd in de DPA. Deze kunnen grofweg in twee delen worden verdeeld: Enerzijds de regels waaraan een bedrijf zich moet houden bij het verkrijgen en verwerken van je gegevens. Anderzijds de technische en organisatorische eisen waaraan het moet voldoen.
Welke beschermende maatregelen zijn er al
Sommige aspecten met betrekking tot het verkrijgen en verwerken van gegevens waren al opgenomen in de oude DPA. Bijvoorbeeld de proportionaliteit en doelbinding bij het verkrijgen van gegevens. Ik geef je een voorbeeld voor een beter begrip:
- FADP art. 6 lid 2: Je gegevens mogen door een bedrijf alleen "proportioneel" worden verwerkt. Als je bijvoorbeeld online een pizza bestelt, mag de koerier natuurlijk om je naam en adres vragen omdat ze de pizza moeten bezorgen. Maar ze hebben je woonplaats of geboortedatum niet nodig.
- DSG art. 6 lid 3 stelt dat "persoonsgegevens alleen mogen worden verkregen voor een bepaald, voor de betrokkene herkenbaar doel". Laten we aannemen dat je de koerier leuk vindt. Dus als ze je belt (ze neemt het nummer van de pizzabestelling) en je mee uit vraagt, is dat een strafbaar feit. Je kunt meer details vinden op de betreffende website.
Welke beschermingsmaatregelen zijn nieuw?
Er zijn in de herziening een aantal maatregelen toegevoegd die de huidige situatie weerspiegelen. Ik zal de belangrijkste hier noemen - als je alle details wilt weten, raad ik je de F.A.Q pagina van de FDPIC aan:
De principes van "privacy by design" en "privacy by default" zijn van toepassing op software, hardware en alle diensten. "By design" betekent dat de vereisten voor gegevensbescherming al tijdens de ontwikkeling van een systeem geïntegreerd moeten zijn. Met andere woorden, zaken als twee-factor authenticatie, versleutelde transmissie, gecontroleerde toegang enzovoort. "By default" moet ervoor zorgen dat de aanbieder alle nodige maatregelen neemt om gegevensbescherming en beperkingen op het gebruik van gegevens te garanderen. Zelfs voordat het product of de dienst wordt aangeboden.
De informatieplicht is uitgebreid (FADP, Art. 19). Dit betekent dat een bedrijf je altijd vooraf moet informeren als het gegevens over je verkrijgt. Je moet ook geïnformeerd worden wie jouw gegevens verwerkt en met welk doel. Je krijgt ook een persoon met wie je contact kunt opnemen. In de praktijk staat dit vaak in de algemene voorwaarden van een bestelproces.
De bedrijven hebben een informatieplicht (DSG art. 25). Dit betekent dat je kunt vragen waar een bedrijf je gegevens vandaan heeft, welke gegevens ze hebben en voor hoe lang. Als je bijvoorbeeld reclamefolders ontvangt van een bedrijf dat je niet kent, kun je vragen waar ze het adres vandaan hebben. Of als een bedrijf je geen artikelen op rekening laat bestellen omdat je niet kredietwaardig bent. Dan kun je vragen waarom ze denken dat je dat bent en waar ze deze informatie vandaan hebben. De FDPIC heeft samengevat hoe je dit formeel hier.
Effectbeoordeling gegevensbescherming: Stel dat een bedrijf van plan is om gegevens van jou te verwerken die bijzonder beschermenswaardig zijn. Dan moet het een gegevensbeschermingseffectbeoordeling (DPA Art. 22) opstellen. Het moet beschrijven hoe deze verwerking zal plaatsvinden en welke beschermingsmaatregelen het van plan is te nemen. Het moet ook beoordelen of er een risico is voor je privacy of je grondrechten. Als het bedrijf de laatste vraag bevestigend beantwoordt, moet het eerst een advies van de FDPIC inwinnen over de vraag of dit haalbaar is.
Verwerkingsregister (DSG Art. 12): Het is nu verplicht voor bedrijven om een zogenaamd "record van verwerkingsactiviteiten" bij te houden. Dit is min of meer een logboek met alle gegevensverwerkingsactiviteiten. Dit geldt echter alleen voor bedrijven met meer dan 250 medewerkers - en alleen als er gevoelige gegevens worden verwerkt.
Meldplicht datalekken (DSG art. 24): Stel dat een ziekenhuis wordt gehackt. Dan moet het actie ondernemen. De verantwoordelijken moeten onmiddellijk vaststellen welke gegevens getroffen zijn door de hack. Als ze zich realiseren dat de gehackte gegevens gevoelig zijn in termen van privacy of grondrechten - bijvoorbeeld medische dossiers - moeten ze de FDPIC zo snel mogelijk informeren.
Hogere boetes (DSG art. 60): Als een bedrijf de informatie-, openbaarmakings- of medewerkingsplicht in het kader van de FADP overtreedt, moet het een boete verwachten. Dit was al eerder het geval. De maximaal mogelijke boete is echter verhoogd naar frank 250.000,-. Voorheen was dat slechts 10.000 frank. Voor een bedrijf is dat "Wägelimünz", zoals mijn opa altijd zei. Met andere woorden, een belachelijk laag bedrag. De hogere boetes zijn bedoeld om de naleving van de wet te verbeteren.
Wat zijn "bijzonder gevoelige" gegevens?
"Bijzonder gevoelige gegevens" (DSG art. 5c) zijn gegevens over jou die bijzonder gevoelig zijn. Bijvoorbeeld over je gezondheid, uitkeringen en strafblad - maar ook over je religieuze of etnische achtergrond en je politieke mening.
Als een bedrijf van plan is om dergelijke gegevens over jou te verzamelen en te verwerken, dan moet het je vooraf expliciet om toestemming vragen. Je alleen informeren is - net als bij de andere gegevens - niet voldoende.
Websites voor organisaties - wat moet je doen?
Als particulier heb je nauwelijks verplichtingen onder de nieuwe DPA. Je profiteert alleen van moderne gegevensbeschermingsmaatregelen, wat betekent dat je voordelen geniet. De situatie is anders als je bijvoorbeeld in je vrije tijd de website van een vereniging beheert. Dit komt omdat een vereniging ook verplichtingen heeft op het gebied van gegevensbescherming - bijvoorbeeld als het gaat om de persoonlijke gegevens van haar leden. Naast de verplichtingen die je al eerder had, zijn er nu nog twee belangrijke verplichtingen.
Ten eerste moet je een privacybeleid op je website hebben. Daarin moet je uitleggen wie de gegevens die je verzamelt te zien krijgt en wat ermee wordt gedaan. Dit geldt ook voor het digitale formulier waarmee iemand zich inschrijft voor de barbecueavond van de bowlingclub. Ook hier ontvang je gegevens. Ook als je gebruik maakt van andere externe diensten - zoals nieuwsbrieftools - moet dit worden opgenomen. Het verspreiden van gegevens via social media of het gebruik van cookies moet ook worden verduidelijkt in het privacybeleid. Je kunt het beste contact opnemen met je hostingprovider en om advies vragen. Anders kun je hier een voorbeeld van een privacybeleid vinden.
Tweede: als je gegevens van leden wilt doorgeven aan externe derden, moet je daar expliciet toestemming voor vragen. De FIFA wil bijvoorbeeld altijd een volledige lijst van mensen als je met de club het FIFA-museum in Zürich wilt bezoeken. Je moet dan expliciet toestemming hebben van elk lid.
Verder details worden optioneel verstrekt. De FDPIC heeft een goede overzichtspagina gemaakt.
Afbeelding omslag: ShutterstockSinds ik ontdekt heb hoe ik beide telefoonkanalen op de ISDN kaart kan activeren voor meer bandbreedte, ben ik aan het knutselen met digitale netwerken. Ik knutsel al met analoge netwerken sinds ik kan praten. Winterthur door keuze met een rood-blauw hart. En koffie - voor, na, tussendoor en tijdens.