Harmonisatie
Om een effectieve interne markt te creëren is een level playing field van rechtsregels onder de lidstaten nodig. Europa harmoniseert daarom steeds meer regels. Dat wil zeggen dat in steeds grotere mate dezelfde regels in alle lidstaten gelden. Dit doet Europa zowel indirect met richtlijnen (die door de lidstaten in Nationale wetgeving worden omgezet) als – in mindere mate – direct met verordeningen (die rechtstreeks in elke lidstaat gelden). Dit laatste is weliswaar de meest effectieve vorm van wetgeving, maar kan enkel plaatsvinden wanneer de neuzen van alle lidstaten dezelfde kant op staan. Niet bij alle thema’s lukt dat. Eén van de thema’s waarbij dat Europa historisch gezien altijd wat gemakkelijker afging is privacy.
Mr. K. Konings is IT-advocaat bij ZENN Advocatuur te Groningen en tevens docent bij de sectie Recht & ICT van de Groningse rechtenfaculteit. Ook studeerde hij als allereerste af aan de studierichting Recht & ICT.
Privacy
Na de Tweede Wereldoorlog werd Europa gesticht en werden er internationale verdragen gesloten om grondrechten te waarborgen.1 Ook het privacyrecht werd hierin meegenomen. In de jaren ’80 van de vorige eeuw begon automatisering op te komen en werd via de Raad van Europa, niet te verwarren met onderdelen van de Europese Unie, het Databeschermingsverdrag gesloten.2 Dit verdrag stelde de norm dat iedere verdragsluitende staat minimaal een aanvaardbaar beschermingsniveau moet bieden en, vanwege het toenemende gebruik van computers en telecommunicatiemiddelen, stelde het extra eisen aan het exporteren van gegevens naar andere landen.3 Ook de Europese Unie vaardigde een aantal Privacyrichtlijnen uit, waarvan die uit 1995 uitmondde in onze Wet bescherming persoonsgegevens (Wbp).4
Wettelijke uitgangspunten
De hiervoor genoemde regels vormen ons huidige algemene privacyregime. En dit kader geeft ons, kort samengevat, de volgende uniforme principes:
Algemene Verordening Gegevensbescherming
Na lang onderhandelen heeft het Europees Parlement op 27 april 2016 eindelijk de Algemene Verordening Gegevensbescherming (AVG) aangenomen, die op 25 mei 2018 rechtstreeks in werking zal treden in Europa.9 Door de snelle technologische ontwikkelingen zijn er veel veranderingen in de economie en het maatschappelijk leven, die een krachtig en meer coherent kader voor gegevensbescherming vereisen.10 Ook dienen de strengere regels volgens de Europese wetgever gesteund te worden door strenge handhaving, om zo het vertrouwen te waarborgen dat nodig is voor de ontwikkeling van de interne markt.11 Een veel besproken voorbeeld van strengere handhaving is de bevoegdheid van nationale autoriteiten om boetes op te leggen aan grote inbreukmakers op privacyrechten van maar liefst 2% van de totale wereldwijde jaaromzet.12 Deze bepaling lijkt opgesteld te zijn om notoire Amerikaanse giganten, zoals Facebook en Google, daadwerkelijk te kunnen prikkelen. De nationale toezichthouders, zoals onze Nederlandse Autoriteit Persoonsgegevens, krijgen dan eindelijk tandjes.13 Hoewel er voor de betrokkenen, diegenen van wie persoonsgegevens worden verwerkt, er naast het geïntroduceerde ‘recht op vergetelheid’ hier en daar wat extra waarborgen zijn geformuleerd14, zijn de meeste wijzigingen voelbaar aan de kant van diegenen die persoonsgegevens verwerken.
Veranderingen voor verwerkers van persoonsgegevens
Voor de verwerkers van persoonsgegevens verandert er een hoop, hoewel de uitgangspunten van het huidige privacykader worden voortgezet. In de basis vereist de AVG een grotere mate van accountability en is deze meer gericht op de risico’s van gegevensverwerkingen. Op ieder moment moet de verantwoordelijke over de gegevensverwerking kunnen aantonen dat passende maatregelen zijn genomen, dat van tevoren goed is nagedacht over hoe de verwerkingen plaatsvinden en dat er regelmatig controles (audits) worden uitgevoerd.15
Kort samengevat gelden de volgende extra verplichtingen voor de verantwoordelijke:
Veranderingen voor juristen
Al deze extra (administratieve) verplichtingen voor verantwoordelijken gecombineerd met de strengere handhaving creëren de behoefte aan advisering bij de marktpartijen. Juristen, accountants en databeveiligingsbedrijven springen momenteel in dit gat met allerlei diensten en producten die de marktpartijen op dit vlak moeten helpen ‘compliant’ te worden met alle privacyregels. Als er echter een beroepsgroep is die verder kan kijken dan enkel het afwerken van checklists, dan zijn dat bij uitstek die van de jurist. Dit geldt vooral voor die juristen die zich hebben bekwaamd in de Europese regels van het privacyrecht en daarnaast gevoel hebben van de technische werkelijkheid waarin onze maatschappij zich bevindt. Er is dus genoeg te doen voor IT-rechtspecialisten de komende tijd. Bijblijven is steeds een absoluut vereiste.