Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Als het gaat om de verwerking van persoonsgegevens hebben we vanaf dat moment niet meer te maken met de Wet bescherming persoonsgegevens, maar met nieuwe regels die in de hele Europese Unie gelijk zijn. Wat betekent dat?
Dit betreft het eerste deel van een tweeluik waarin ik in ga op de tien belangrijkste veranderingen die de verordening gaat brengen:
1. Een verordening in plaats van een richtlijn
In Europa vinden we op dit moment de regels voor de verwerking van persoonsgegevens in de nationale privacywetten waarmee lidstaten de Privacyrichtlijn 95/46/EG van 24 oktober 1995 hebben omgezet. Deze Privacyrichtlijn verlangt van lidstaten dat zij ervoor zorgen dat hun wetgeving waarborgen bevat ‘in verband met de verwerking van persoonsgegevens’ en dat dit gebeurt ‘overeenkomstig de bepalingen van de richtlijn’.
In Nederland is dat gebeurd in de Wet bescherming persoonsgegevens (Wbp) en ook wel in andere wetten, zoals de Wet basisregistratie personen. In België is dat gedaan in de Wet verwerking persoonsgegevens, in Frankrijk in de Loi informatique et libertés, in het Verenigd Koninkrijk in de UK Data Protection Act 1998 en in Zweden in de Personuppgiftslagen. Enzovoorts. En al deze wetten wijken op onderdelen van elkaar af. Er is daardoor sprake van fragmentatie en dat is om allerlei redenen onwenselijk. De verordening wil daaraan wat doen door alle nationale privacywetten te vervangen door een verordening, die rechtstreeks verplichtingen oplegt aan degenen die persoonsgegevens verwerken.
Wat betekent dat? Een set van regels betekent veel meer consistentie in Europa, en daarmee meer rechtszekerheid. Toch moet ermee rekening worden rekening gehouden dat de toepassing van de regels in verschillende lidstaten uiteen kan lopen. Dit enerzijds doordat de verordening lidstaten bij sociale zekerheid, arbeid en zorg toch nog veel ruimte geeft om eigen regels vast te stellen. En anderzijds doordat de verordening, zoals alle privacywetgeving, zich kenmerkt door veel open begrippen en vage normen, die op nationaal niveau worden ingevuld.
2. Enkele nieuwe begrippen
De verordening introduceert enkele nieuwe begrippen. Soms gaat het om nieuwe aanduidingen voor inhoudelijk ongewijzigde begrippen. Enkele andere begrippen waren nog niet in de richtlijn opgenomen, maar werden al wel gebruikt. En weer enkele andere begrippen zijn helemaal nieuw, in zoverre dat daarvoor in de verordening een nieuwe begripsomschrijving wordt gegeven.
Zo gaan de ‘verantwoordelijke’ voortaan aanduiden als ‘verwerkingsverantwoordelijke’ en de bewerker als ‘verwerker’. We zullen er wel aan wennen, zoals we ook wel gewoon zullen worden met ‘bindende bedrijfsvoorschriften’ en de ‘gegevensbeschermingseffectbeoordeling’. Verder is betrekkelijk nieuw begrippen als ‘profilering’ (art. 4(4) AVG), ‘pseudonimisering’, alsmede ‘genetische gegevens’ en ‘biometrische gegevens’ Allemaal begrippen die in de verordening eigen specifieke regelingen hebben gekregen.
3. Vergrote materiële werkingssfeer (?)
De materiële werkingssfeer van de nieuwe regels komt overeen met die van de huidige regels. De verordening is, evenals de richtlijn, van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand (‘een gestructureerd geheel van persoonsgegevens’) zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Evenals in de richtlijn voorziet de verordening in een handvol uitzonderingen. Zo zijn de regels niet van toepassing op de gegevensverwerkingen op activiteiten betreffende de openbare veiligheid, defensie, de staatsveiligheid en dergelijke. En evenmin op verwerkingen door politie en justitie met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. En ten slotte ook niet op verwerkingen door natuurlijke personen bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit.
In zoverre niets nieuws dus. Echter, in het wetgevingsproces zijn wel voorstellen gedaan die beoogden de werkingssfeer van de regels op te rekken door de definitie van wat persoonsgegevens zijn uit te breiden tot de gegevens betreffende natuurlijke personen die kunnen worden onderscheiden van anderen (in het Engels: singled-out). Uiteindelijk is het niet zo ver gekomen. Uit de preambule van de verordening kan worden opgemaakt dat er géén sprake van persoonsgegevens als het gaat om gegevens die betrekking hebben op iemand waarvan de identiteit niet zonder onevenredige inspanning kan worden achterhaald. Ook niet als die persoon bijvoorbeeld met behulp van een IP-adres of andere apparaat-identifier kan worden onderscheiden van anderen. Van belang is wel dat toezichthouders er moeite mee hebben dit te accepteren en nog steeds al heel snel geneigd zijn om gegevens al snel op te vatten als persoonsgegevens, al was het maar omdat zij alleen dan bevoegd kunnen zijn om op te treden…
4. Uitbreiding territoriale werkingssfeer
Wanneer zijn de nieuwe regels van toepassing als persoonsgegevens niet in Europa worden verwerkt? Onder de huidige regels geldt daarvoor een betrekkelijk ingewikkelde regeling, waarbij wordt gekeken naar de activiteiten van de vestiging van de verwerkingsverantwoordelijke. Deze regeling blijft, zij het in iets gewijzigde vorm, en in zoverre verandert er dus niet heel veel.
Er wordt wel een gemakkelijk te begrijpen regeling aan toegevoegd, op grond waarvan de nieuwe regels ook van toepassing gaan zijn als een verantwoordelijke van buiten Europa zich richt op individuen in de Europa. Het is daarmee zonder meer duidelijk dat onze privacyregels van toepassing zijn op Google, Facebook of Whatsapp — iets wat onder de huidige regels vaak nog tot discussie kon leiden.
5. Meer verplichtingen voor verwerkers
Een typisch voorbeeld van een bewerker of verwerker is Workday of Salesforce. Een verwerker verwerkt persoonsgegevens ten behoeve van een verantwoordelijke, die de zeggenschap heeft over de gegevens. Onder de nieuwe regels krijgen verwerkers te maken met veel meer verplichtingen. Het onder meer om verplichtingen
- met betrekking tot het gebruik van sub-verwerkers;
- het informeren van de verantwoordelijke over datalekken;
- documentatie van gegevensverwerkingen (data-mapping);
- om een functionaris voor de gegevensverwerking aan te stellen;
- met betrekking tot gegevensdoorgiften naar landen buiten de unie.
Deze nieuwe verplichtingen maken het mogelijk dat toezichthouders en betrokkenen zo nodig ook een verwerker kunnen aanspreken als er iets mis is gegaan met de door hen verrichte gegevensverwerkingen. Onder de huidige regels konden ze vaak alleen de verantwoordelijke aanspreken.
Geschreven door prof. mr. Gerrit-Jan Zwenne, tevens hoofddocent van de opleiding De nieuwe AVG/WBP.
Op deze tekst is een Creative Commons Licentie (CC by-nc-nd 3.0) van toepassing. Zie http://creativecommons.nl
Interessante events, opleidingen en cursussen op het gebied van data:
- Opleiding Informatie-uitwisseling en privacy in de veiligheidsketen
- Congres Cybersecurity Event
- Cursus De nieuwe AVG/WBP
- Opleiding Data protection officer
- Congres Dataprotectie & Privacy
- Congres Toekomst van de digitale identiteit
- Cursus Privacy en informatie-uitwisseling in zorg en sociaal domein
- Congres (Big) Data in de Financiële Sector
- Risk Forum voor Banken
- Risk Forum voor de Pensioensector
- Opleiding Data Protection voor Financials
2 Reacties
Pingback: 10 belangrijke veranderingen die de AVG gaat brengen | VL Nieuws
Pingback: 10 belangrijke veranderingen die de AVG gaat brengen – deel 2 - Euroforum Blog