Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Als het gaat om de verwerking van persoonsgegevens hebben we vanaf dat moment niet meer te maken met de Wet bescherming persoonsgegevens, maar met nieuwe regels die in de hele Europese Unie gelijk zijn. Wat betekent dat?
Dit artikel betreft het tweede deel van een tweeluik over de Algemene Verordening Gegevensbescherming (AVG), waarin wordt ingegaan op de tien belangrijkste veranderingen die de verordening gaat brengen. Het eerste deel nog niet gelezen? Lees hier het artikel. In dit tweede deel staan de volgende onderwerpen centraal: 6. de rechten van betrokkenen, 7. nieuwe formaliteiten, 8. internationale gegevensdoorgifte, 9. het Comité en ten slotte 10. de verhoogde boetes.
6. Meer (en meer gedetailleerde) rechten voor betrokkenen
Op dit moment hebben betrokkenen allerlei rechten die zij tegenover de verantwoordelijke kunnen inroepen. Het gaat dan om inzage en verbeterings- of verwijderingsrechten, en het daaruit afgeleide vergeetrecht, alsmede verzetsrechten met betrekking tot geautomatiseerde besluitvorming of direct marketing.
In de verordening zien we al deze rechten in meer uitgewerkte en gedetailleerde vorm terug. Onder de nieuwe regels moet er veel meer informatie aan betrokkenen worden verstrekt, onder andere over bewaartermijnen, klachtrechten en -procedures, gegevensdoorgiften naar landen buiten de unie en de in dat verband getroffen waarborgen, en het bestaan van de mogelijkheid dat er geautomatiseerde besluitvorming en profilering plaatsvindt.
Verder voorziet de verordening in een aantal heel nieuwe rechten voor betrokkenen. Wat daarvan vooral opvalt zijn het gegevenswissingsrecht (‘recht op vergetelheid’) en het recht op gegevensoverdraagbaarheid, dat de betrokkene het recht geeft om in bepaalde gevallen de gegevens die hij heeft verstrekt aan de éne verwerkingsverantwoordelijke te doen overdragen naar de andere.
7. En nogal wat formaliteiten
De verordening voorziet in nogal wat verplichtingen die ik gemakshalve maar samenvat onder de noemer ‘formaliteiten’, zonder dat ik daarmee de suggestie willen wekken dat deze geen of weinig waarde hebben. Het zijn de verplichtingen die verband houden accountability, het kunnen aantonen dat er is voldaan aan de wettelijke vereisten. Er kan worden gedacht aan de verplichtingen om een register van verwerkingsactiviteiten bij te houdenof om een gegevensbeschermingseffectbeoordeling te doen. Ook de verplichting om een functionaris voor de gegevensbescherming aan te stellen, kent nogal wat formele vereisten, bijvoorbeeld met betrekking tot zijn of haar rechtspositie, takenpakket en verantwoording.
Een risico van dit soort formaliteiten is dat deze bijdragen aan een bedrijfscultuur waarin erop wordt vertrouwd dat het met de gegevensbescherming wel goed zit als in de privacyverklaring alle verplichte onderwerpen zijn benoemd, zolang de vragenlijsten van de gegevensbeschermingseffectbeoordelingen netjes zijn ingevuld, zolang er iemand is met op haar visitekaartje de titel DPO. Enzovoorts
8. Ook meer instrumenten voor internationale doorgifte
De verordening bevat, evenals de richtlijn, een verbod op de doorgifte van persoonsgegevens naar landen buiten de Europese Unie, of eigenlijk de Europese Economische Ruimte (EER), die geen passend beschermingsniveau bieden. Wat dat betreft verandert de verordening niet veel aan de situatie onder de richtlijn. Wel voorziet de verordening in meer instrumenten die het mogelijk maken om persoonsgegevens door te geven naar landen die geen passend beschermingsniveau bieden. In aanvulling op de al bekende modelcontracten en binding corporate rules (‘bindende bedrijfsvoorschriften’) kan onder de nieuwe regels ook gebruik worden gemaakt van gedragscodes en certificeringsmechanismes.
In de verordening wordt vervolgens nog wel een nieuwe uitzondering op het doorgifteverbod geïntroduceerd. In uitzonderlijke gevallen kan een doorgifte ook zijn toegestaan zijn als is voldaan aan de volgende, tamelijk strenge voorwaarden: (i) de doorgifte mag niet repetitief zijn en (ii) het aantal betrokkenen moet beperkt zijn; (iii) de doorgifte moet nodig zijn voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene; (iv) en de verwerkingsverantwoordelijke moet alle omstandigheden in verband met de gegevensdoorgifte hebben beoordeeld en op basis daarvan passende waarborgen voor de bescherming van persoonsgegevens hebben geboden. Als gebruik wordt gemaakt van deze uitzondering moet de verwerkingsverantwoordelijke ten slotte ook de nationale toezichthouder en de betrokkenen daarover informeren.
9. Het Europees Comité voor Gegevensbescherming
De Art. 29 Werkgroep bestaat uit vertegenwoordigers van de nationale toezichthouders in de verschillende lidstaten en van de Commissie en andere EU-instellingen. De werkgroep wordt geacht onafhankelijk te zijn en raadgevend van aard, en is vooral bekend van de adviezen of opinies die het publiceert over de uitleg van begrippen uit de richtlijn.
In de verordening wordt de werkgroep het Europees Comité voor Gegevensbescherming en krijgt het meer taken en bevoegdheden. Zo kan het Comité richtsnoeren vaststellen en aanbevelingen doen, beste praktijken (bedoeld zijn best practices) opstellen, en dat allemaal gevraagd en ongevraagd. Wat nieuw is, althans onder de richtlijn niet uit de verf is gekomen, is dat het Comité gaat bevorderen dat er gedragscodes tot stand komen. Ook is nieuw dat het zich gaat bezighouden met accreditatie van certificeringsorganen en van de periodieke evaluatie ervan.
10. En ten slotte substantiële boetes
Er is betrekkelijk veel aandacht voor de boetes die nationale toezichthouder onder de verordening kunnen gaan opleggen aan verwerkingsverantwoordelijken en verwerkers voor overtredingen van de bepalingen uit de verordening. Dat is wellicht terecht. Als sluitstuk op de handhaving zijn deze boetes waarschijnlijk bepalend voor de naleving van de verordening. Er zijn twee boetecategorieën:
- Er zijn boetes van ten hoogste €10 miljoen of 2 procent van de wereldwijde omzet van de verwerkingsverantwoordelijke of verwerker.
- En er zijn boetes van ten hoogste €20 miljoen of 4 procent van de wereldwijde omzet.
Geschreven door: Gerrit-Jan Zwenne. Gerrit-Jan Zwenne is hoogleraar Recht en de informatiemaatschappij aan de Universiteit Leiden en advocaat bij Brinkhof in Amsterdam. Op deze tekst is een Creative Commons Licentie (CC by-nc-nd 3.0) van toepassing. Zie: http://creativecommons.nl
Interessante events, opleidingen en cursussen op het gebied van data:
- Opleiding Informatie-uitwisseling en privacy in de veiligheidsketen
- Congres Cybersecurity Event
- Cursus De nieuwe AVG/WBP
- Opleiding Data protection officer
- Congres Dataprotectie & Privacy
- e-identity congres (Toekomst van de digitale identiteit)
- Cursus Privacy en informatie-uitwisseling in zorg en sociaal domein
- Congres (Big) Data in de Financiële Sector
- Risk Forum voor Banken
- Risk Forum voor de Pensioensector
- Opleiding Data Protection voor Financials