Een eerste indruk van de Algemene Verordening Gegevensbescherming (AVG)

Blogartikel verzorgd door Jan-Jan Lowijs, manager Deloitte Risk Services B.V

Langverwachte Europese wetgeving rondom bescherming van persoonsgegevens gepubliceerd. Na bijna vier jaar onderhandelen is de Algemene Verordening Gegevensbescherming (AVG) gereed. Ons waren nieuwe regels omtrent de bescherming van persoonsgegevens beloofd die administratieve lasten voor organisaties zouden verminderen, maar tegelijk ook de bescherming van de privacy van individuen zouden verbeteren. Op 17 december 2015 is de AVG eindelijk gepubliceerd. Wat is onze eerste indruk?

Wat is de AVG?

Sinds halverwege de jaren ‘90 is wetgeving die de informationele privacy van individuen beschermt binnen de Europese Unie (EU) gebaseerd op EU Richtlijn 95/46/EG: de richtlijn rondom de bescherming van persoonsgegevens. Deze Richtlijn vormt de basis voor de primaire regelgeving rondom de bescherming van persoonsgegevens binnen Europa. Elk land binnen Europa gebruikt deze basis en baseert daarop haar eigen, lokale wetgeving voor de bescherming van persoonsgegevens. De Wet bescherming persoonsgegevens (Wbp) binnen Nederland is een voorbeeld van zo’n lokale interpretatie.

Omdat deze richtlijn niet is aangepast sinds 1995 en alle wetgevingen gebaseerd op deze richtlijn enkel gewijzigd zijn, besloten de Europese Commissie en het Europees Parlement dat de wetgeving niet langer aansloot op onze moderne privacybehoeftes en -zorgen. De richtlijn werd als verouderd bestempeld, en vijf jaar geleden werd begonnen met het opstellen van vervangende regelgeving. Het doel was om een Europese regelgeving te creëren voor de bescherming van persoonsgegevens die aansluit op de huidige digitale wereld en die de privacy van individuen in die wereld zo goed mogelijk beschermt.

Een eerste voorstel voor deze nieuwe regelgeving werd op 25 januari 2012 gepubliceerd door de Europese Commissie. Het voorstel kreeg de naam “Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)”; afgekort: AVG.

Sinds januari 2012 heeft dit voorstel voor een Verordening alle processen in de totstandkoming van EU regelgeving doorlopen. In eerste instantie kwam het Europese Parlement met een aangepast voorstel, waarin zij haar visie gaf over de inrichting en de toekomst van de bescherming van persoonsgegevens in de EU (Er wordt gezegd dat de AVG de meest geamendeerde en ‘be-lobbyde’ stuk regelgeving is in de geschiedenis van het Europese Parlement, met meer dan 4000 voorgestelde wijzigingen). Vervolgens was het aan de Raad van de Europese Unie, waarin de 28 regeringen van de EU lidstaten vertegenwoordigd zijn, om ook met een aangepast voorstel te komen.

Gezien het belang van de wetgeving, de variërende voorstellen en het aantal aanpassingen, is begrijpelijk dat het Parlement en de Raad het afgelopen jaar druk doende zijn geweest met onderhandelingen om tot een uiteindelijke versie van deze regelgeving te komen. Die uiteindelijke versie van de AVG werd op 17 december 2015 gepresenteerd. Over ongeveer twee jaar, wanneer deze regelgeving ingaat, zal het de belangrijkste wet zijn op het gebied van de bescherming van persoonsgegevens binnen heel de EU.

Een eerste blik op de nieuwe voorzieningen

Het ligt in de verwachting dat de AVG de regelgeving gaat zijn voor de bescherming van persoonsgegevens binnen de EU voor de komende paar decennia. Daarmee zal zij een grote invloed hebben op organisaties die persoonsgegevens verwerken.

Vanwege het belang van de AVG en de grote invloed die zij zal hebben, werpen we een eerste blik op enkele verwachte en onverwachte voorzieningen die zijn opgenomen of juist weggelaten:

  • Interessant is de territoriale werking van de AVG. Het is eerder nooit zo gedefinieerd, maar in de AVG (en dus in de Europese wetgeving voor de bescherming van persoonsgegevens) staat dat zij ook geldt voor organisaties die niet in de EU gebaseerd zijn, maar wel diensten of producten aanbieden binnen de EU óf gedrag van individuen binnen de EU monitoren. Met andere woorden, alle organisaties die online actief zijn en zich richten op EU inwoners, moeten zich houden aan de Europese wetgeving rondom persoonsgegevens, ook al bevinden zijn zich zelf niet in de EU.
  • Inderdaad lijkt een deel van de administratieve lasten voor organisaties verminderd: de verplichting om verwerkingen van persoonsgegevens aan te melden bij de lokale toezichthouders is verdwenen. Die regel heeft lange tijd voor een significante administratieve lasten gezorgd, met name voor bedrijven die internationaal opereren. In de plaats is een regel gekomen waar in staat dat organisaties zelf een overzicht moeten bijhouden van al hun verwerkingen van persoonsgegevens. Kortom, zij dienen op elk moment een courante inventaris van verwerkingen te hebben.
  • Gegevensbescherming by design en by default zijn beide opgenomen in de AVG. Dit betekent twee dingen. Ten eerste zal het, bij het ontwerpen van een nieuwe verwerking van persoonsgegevens, verplicht zijn om bescherming van persoonsgegevens vanaf het begin in het ontwerpproces mee te nemen. Vervolgens moeten organisaties ook achteraf aan kunnen tonen dat ze dit inderdaad hebben gedaan. Ten tweede moet de verwerking, als deze de gebruiker opties biedt over de hoeveelheid informatie die hij wil delen, als standaardinstelling hebben dat privacy zoveel mogelijk gewaarborgd wordt. De standaard wordt dus: niet delen. En dit kan ook inhouden dat dataminimalisering principes moeten worden toegepast.
  • Ook het ‘recht om vergeten te worden’, oftewel het recht van een betrokkene om zijn persoonsgegevens te laten verwijderen, is in de AVG opgenomen. In de AVG staat dat alle organisaties die persoonsgegevens verwerken, deze op verzoek moeten verwijderen indien aan bepaalde voorwaarden wordt voldaan. Enkele van deze voorwaarden zijn bijvoorbeeld dat persoonsgegevens die onrechtmatig verwerkt zijn verwijderd moeten worden, of dat persoonsgegevens verwijderd moeten worden als een toestemming tot verwerking ingetrokken wordt.
  • Het is van belang om aan te stippen dat de AVG een EU verordening is, en geen EU richtlijn. Waar richtlijn 95/46/EG omgezet moest worden naar lokale wetten per Europees land, is de AVG rechtstreeks geldig. Dit zal gunstig zijn voor organisaties die in meerdere landen opereren. Waar deze eerder nog in elk land aan een net iets andere wet moesten voldoen, is de regelgeving nu dus overal gelijk. Hierbij moet echter wel opgemerkt worden dat de AVG aan lokale overheden nog steeds de kans biedt om wetgeving aan te passen aan de eigen behoeftes omtrent de bescherming van persoonsgegevens. Inzichten in hoe de bescherming van persoonsgegevens moet worden vormgegeven zijn diep geworteld in lokale cultuur, en zelfs binnen de EU bestaan daar verschillende en uiteenlopende meningen over. De kans is dus groot dat veel overheden aanpassingen zullen doen aan de AVG die in lijn zijn met lokale gebruiken en meningen.

Gedetailleerde analyse volgt

De AVG is, in de vorm zoals nu gepubliceerd, meer dan tweehonderd pagina’s lang. Zoals met elke nieuwe wet is het belangrijk om alle overwegingen en artikelen goed te lezen en begrijpen. In dit geval is het naast het begrijpen van de AVG ook belangrijk om te zien hoe deze verschilt van Richtlijn 95/46/EG, om de impact in te kunnen schatten.
Dit gezegd hebbende zal het niemand verbazen dat de lengte en complexiteit van de AVG betekent dat het de nodig tijd zal kosten om het geheel te lezen en de verschillen te begrijpen. Hoewel er al eerdere officiële en gelekte versies beschikbaar waren, is alleen deze versie de authentieke versie. Wees dus voorzichtig met analyses gebaseerd op die vorige versies; beslissingen zullen gebaseerd moeten worden op de huidige AVG.

Aftiteling

Congres Data Protectie

Jan-Jan Lowijs (Deloitte Risk Services B.V.) gaat tijdens het congres Data Protectie verder in op de ontwikkelingen rondom gegevensbescherming en privacy. Meer informatie vindt u op de website van het Data Protectie Congres.

Over euroforum

Euroforum is marktleider op het gebied van congressen, opleidingen en trainingen voor professionals en managers bij bedrijven, overheden en non-profit organisaties

Bekijk ook

Big data-analyse en de rol van AI

Auteur: Tony De Jonker Met een razend tempo krijgen we te maken met de komst …

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *