Gastschrijver: Koen Konings

AVG: wat moeten we ermee?

Een eerste blik op de Algemene Verordening Gegevensbescherming.

Lees verder

Harmonisatie
Om een effectieve interne markt te creëren is een level playing field van rechtsregels onder de lidstaten nodig. Europa harmoniseert daarom steeds meer regels. Dat wil zeggen dat in steeds grotere mate dezelfde regels in alle lidstaten gelden. Dit doet Europa zowel indirect met richtlijnen (die door de lidstaten in Nationale wetgeving worden omgezet) als – in mindere mate – direct met verordeningen (die rechtstreeks in elke lidstaat gelden). Dit laatste is weliswaar de meest effectieve vorm van wetgeving, maar kan enkel plaatsvinden wanneer de neuzen van alle lidstaten dezelfde kant op staan. Niet bij alle thema’s lukt dat. Eén van de thema’s waarbij dat Europa historisch gezien altijd wat gemakkelijker afging is privacy.

Mr. K. Konings is IT-advocaat bij ZENN Advocatuur te Groningen en tevens docent bij de sectie Recht & ICT van de Groningse rechtenfaculteit. Ook studeerde hij als allereerste af aan de studierichting Recht & ICT.

Privacy
Na de Tweede Wereldoorlog werd Europa gesticht en werden er internationale verdragen gesloten om grondrechten te waarborgen.1 Ook het privacyrecht werd hierin meegenomen. In de jaren ’80 van de vorige eeuw begon automatisering op te komen en werd via de Raad van Europa, niet te verwarren met onderdelen van de Europese Unie, het Databeschermingsverdrag gesloten.2 Dit verdrag stelde de norm dat iedere verdragsluitende staat minimaal een aanvaardbaar beschermingsniveau moet bieden en, vanwege het toenemende gebruik van computers en telecommunicatiemiddelen, stelde het extra eisen aan het exporteren van gegevens naar andere landen.3 Ook de Europese Unie vaardigde een aantal Privacyrichtlijnen uit, waarvan die uit 1995 uitmondde in onze Wet bescherming persoonsgegevens (Wbp).4

Wettelijke uitgangspunten
De hiervoor genoemde regels vormen ons huidige algemene privacyregime. En dit kader geeft ons, kort samengevat, de volgende uniforme principes:

  1. Wettelijke grondslag: verwerkingen van persoonsgegevens mogen alleen plaatsvinden wanneer daarvoor a) ondubbelzinnige toestemming door betrokkene is verleend, dan wel b) noodzakelijk zijn voor een aantal limitatief opgesomde belangen (waaronder de zeer open norm ‘gerechtvaardigd belang’).5
  2. Doelbinding: persoonsgegevens mogen enkel verwerkt worden voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet zomaar voor andere doeleinden.6
  3. Dataminimalisatie: er mogen niet meer persoonsgegevens verwerkt worden dan noodzakelijk.7
  4. Passende beveiliging: verwerkers van persoonsgegevens dienen passende technische en organisatorische maatregelen te nemen om de verwerking te beveiligen.8

Algemene Verordening Gegevensbescherming
Na lang onderhandelen heeft het Europees Parlement op 27 april 2016 eindelijk de Algemene Verordening Gegevensbescherming (AVG) aangenomen, die op 25 mei 2018 rechtstreeks in werking zal treden in Europa.9 Door de snelle technologische ontwikkelingen zijn er veel veranderingen in de economie en het maatschappelijk leven, die een krachtig en meer coherent kader voor gegevensbescherming vereisen.10 Ook dienen de strengere regels volgens de Europese wetgever gesteund te worden door strenge handhaving, om zo het vertrouwen te waarborgen dat nodig is voor de ontwikkeling van de interne markt.11 Een veel besproken voorbeeld van strengere handhaving is de bevoegdheid van nationale autoriteiten om boetes op te leggen aan grote inbreukmakers op privacyrechten van maar liefst 2% van de totale wereldwijde jaaromzet.12 Deze bepaling lijkt opgesteld te zijn om notoire Amerikaanse giganten, zoals Facebook en Google, daadwerkelijk te kunnen prikkelen. De nationale toezichthouders, zoals onze Nederlandse Autoriteit Persoonsgegevens, krijgen dan eindelijk tandjes.13 Hoewel er voor de betrokkenen, diegenen van wie persoonsgegevens worden verwerkt, er naast het geïntroduceerde ‘recht op vergetelheid’ hier en daar wat extra waarborgen zijn geformuleerd14, zijn de meeste wijzigingen voelbaar aan de kant van diegenen die persoonsgegevens verwerken.

Veranderingen voor verwerkers van persoonsgegevens
Voor de verwerkers van persoonsgegevens verandert er een hoop, hoewel de uitgangspunten van het huidige privacykader worden voortgezet. In de basis vereist de AVG een grotere mate van accountability en is deze meer gericht op de risico’s van gegevensverwerkingen. Op ieder moment moet de verantwoordelijke over de gegevensverwerking kunnen aantonen dat passende maatregelen zijn genomen, dat van tevoren goed is nagedacht over hoe de verwerkingen plaatsvinden en dat er regelmatig controles (audits) worden uitgevoerd.15

Kort samengevat gelden de volgende extra verplichtingen voor de verantwoordelijke:

  • Het bepalen van de aard, de omvang, de context en het doel van de verwerkingen alsmede van de gevoeligheid van de persoonsgegevens die worden verwerkt, om op basis daarvan passende maatregelen te nemen;16
  • ‘Privacy by design’ oftewel diensten, producten en standaardinstellingen vormgeven aan de hand van risico’s die verwerkingen met zich meebrengen met adequate technische en organisatorische maatregelen;17
  • In situaties met meerder verantwoordelijken het van tevoren bepalen van de onderlinge verantwoordelijkheden;18
  • Het kiezen van een adequate bewerker (of verwerker) van persoonsgegevens voor processen die aan derden worden uitbesteed, inclusief het sluiten van een goede bewerkersovereenkomst met die partij;19
  • Het kunnen aantonen van het voldoen aan de regels, wat een speciale privacy-administratie vergt voor aan privacy gerelateerde zaken, waaronder datalekken en dergelijke;20
  • Het moeten melden van datalekken aan de autoriteiten (en in sommige gevallen aan de betrokkenen zelf) binnen 72 uur;21
  • Het doen van ‘privacy impact assessments’ (of privacyeffectrapportage’s) voor verwerkingen met een hoog risico met de plicht de functionaris voor gegevensbescherming (ook wel ‘FG’) hierbij te betrekken;22
  • Het in een aantal bijzondere gevallen aanwijzen van een functionaris voor gegevensbescherming die rapporteert aan het hoogste managementniveau van de verantwoordelijke, waaronder wanneer het een overheidsinstantie betreft;23 en
  • Het garanderen van een adequaat niveau van gegevensbeveiliging, wat bewezen dient te kunnen worden (bijvoorbeeld met een gedragscode of een certificaat).24

Veranderingen voor juristen
Al deze extra (administratieve) verplichtingen voor verantwoordelijken gecombineerd met de strengere handhaving creëren de behoefte aan advisering bij de marktpartijen. Juristen, accountants en databeveiligingsbedrijven springen momenteel in dit gat met allerlei diensten en producten die de marktpartijen op dit vlak moeten helpen ‘compliant’ te worden met alle privacyregels. Als er echter een beroepsgroep is die verder kan kijken dan enkel het afwerken van checklists, dan zijn dat bij uitstek die van de jurist. Dit geldt vooral voor die juristen die zich hebben bekwaamd in de Europese regels van het privacyrecht en daarnaast gevoel hebben van de technische werkelijkheid waarin onze maatschappij zich bevindt. Er is dus genoeg te doen voor IT-rechtspecialisten de komende tijd. Bijblijven is steeds een absoluut vereiste.

Voetnoten

1. Universele verklaring van de rechten van de mens (UVRM, 1948), Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, Verdrag van 4 november 1950, Trb. 1951, 154 (Rectificatie Trb. 1961, 8 en 1979, 150), laatstelijk gewijzigd 11 mei 1994, Trb. 1994, 165, Internationaal verdrag inzake burgerrechten en politieke rechten (IVBPR, 1966).
2. Verdrag ter bescherming van individuen met betrekking tot automatische verwerking van persoonlijke gegevens (1981).
3. Explanatory report convention for the Protection of Individuals with regard to Automatic Processing of Personal Data p.4, CETS 108, 1981.

4. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbEG 1995, L 281 en Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), PbEG 2002, L 201.
5.
Art. 7 Richtlijn 95/46/EG en art. 8 Wbp.
6. Art. 6 Richtlijn 95/46/EG en art. 7 jo. 9 Wbp.
7. Art. 6 Richtlijn 95/46/EG en art. 11 Wbp.8. Art. 17 Richtlijn 95/46/EG en art. 13 Wbp.
9. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), PbEU 2016, L 119/1 (AVG).

10. Overweging 6 AVG.
11.
Overweging 7 AVG.
12.
Art. 83 AVG.
13.
Autoriteit Persoonsgegevens is sinds 1 januari 2016 de nieuwe naam ‘in het maatschappelijke verkeer’ voor het College Bescherming Persoonsgegevens, art.51 lid 4 Wbp.
14.
Art. 17 AVG.
15.
De ‘verantwoordelijke’ is diegene die het doel en de middelen van de betreffende verwerking(en) bepaalt, art. 2 sub d Richtlijn 95/46/EG jo. art. 1 sub d Wbp.
16. Art. 24 AVG.
17. Art. 25 AVG.18. Art. 26 AVG.
19. Art. 27 AVG.
20. Art. 30 AVG.
21. Art. 33 AVG, maar zie ook de in Nederland sinds 1 januari 2016 geldende bepaling van art. 34a Wbp.
22. Art. 35 AVG.
23. Art. 37 t/m 39 AVG.
24. Art. 40 t/m 43 AVG.

Video
Delen

Uw naam

E-mail

Naam ontvanger

E-mail adres ontvanger

Uw bericht

Verstuur

Share

E-mail

Facebook

LinkedIn

Contact

Verstuur

Aanmelden

Meld aan