De Europese privacy verordening; wat gaat er veranderen?

Op het gebied van privacy regulering geldt op dit moment in Nederland nog de Wet Bescherming Persoonsgegeven (WBP) en de daarop gebaseerde Meldplicht Datalekken (deze laatste sinds 1 januari 2016). Deze wet is een uitwerking van de huidige Europese Richtlijn Bescherming Persoonsgegevens. Zoals velen bekend en reeds lang aangekondigd treedt vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze Europese Verordening heeft zogenaamde ‘directe werking’ in de lidstaten van de Europese Unie en treedt in de plaats van de Europese Richtlijn Bescherming Persoonsgegevens en dus ook de Nederlandse WBP. Over de AVG doen vele verhalen de ronde en lijkt veel onduidelijkheid te bestaan. Beide regelingen stellen regels voor bedrijven die “persoonsgegevens verwerken”.

‘Verwerken persoonsgegevens’
De definitie van ‘verwerking van persoonsgegevens’ blijft in de AVG ten opzichte van in de huidige wetgeving gelijk. ‘Persoonsgegevens’ zijn gegevens waaruit iemands identiteit direct of zonder onevenredige inspanning vastgesteld kan worden. ‘Verwerking’ van persoonsgegevens zijn alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. ‘Verwerking van persoonsgegevens’ is dus een dermate ruim begrip dat hier al snel (al dan niet bedoeld) sprake van is.

Ook de nu al geldende algemene uitgangspunten bij gegevensverwerking, namelijk de beginselen van rechtmatigheid, behoorlijkheid, transparantie, vertrouwelijkheid en doelmatigheid, blijven onder de AVG in stand. Daarnaast blijft gelden dat persoonsgegevens alleen dan mogen worden verwerkt voor zover zij toereikend en nuttig zijn. Bovendien mogen niet méér persoonsgegevens worden verwerkt dan noodzakelijk is én mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk voor de doeleinden van verwerking.

Geoorloofde verwerking van persoonsgegevens
De in de WBP opgenomen limitatieve lijst met omstandigheden waaronder persoonsgegevens mogen worden verwerkt blijft eveneens in stand. Voorbeelden van dergelijke omstandigheden zijn:

  • de betrokkene (degene wiens persoonsgegevens worden verwerkt) heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden;
  • de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  • de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; of
  • de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

Tot zover lijkt er dus weinig te gaan veranderen. Wat verandert er nu wel door de inwerkingtreding van de AVG? Hierna zet ik de belangrijkste veranderingen kort op een rij.

(i) Uitbreiding toepassingsgebied
Op dit moment vallen alleen Nederlandse ondernemingen onder het bereik van de WBP. Vanaf de inwerkingtreding van de AVG op 25 mei 2018 zullen ook niet-Europese ondernemingen die goederen of diensten aanbieden aan personen binnen Europa onder de Europese regels voor privacybescherming vallen. Dit betekent een aanzienlijke uitbreiding van het toepassingsbereik van deze regels.

(ii) Datalekken
De nu al in Nederland geldende Meldplicht Datalekken is gebaseerd op de WBP maar vloeit niet voort uit de Europese Richtlijn Bescherming Persoonsgegevens. In de AVG is een vergelijkbare meldplicht opgenomen, op basis waarvan binnen 72 uur na constatering van een datalek een melding aan de bevoegde autoriteit (in Nederland de Autoriteit Persoonsgegevens) moet worden gedaan, tenzij het datalek naar alle waarschijnlijkheid geen risico oplevert voor de rechten en vrijheden van personen.

(iii) Rechten van betrokkenen
Degenen wiens persoonsgegevens zijn en/of worden verwerkt, krijgen onder de AVG – in vergelijking met de WBP – aanvullende rechten. Zo moet het (onder meer) even gemakkelijk zijn om de toestemming voor gegevensverwerking in te trekken, als dat het was om de toestemming voor de gegevensverwerking te geven. Daarnaast wordt het recht op zogenaamde “data-portabiliteit” geïntroduceerd. Dit houdt in dat personen het recht hebben om (onder bepaalde voorwaarden) de door een organisatie over hen verzamelde persoonsgegevens in een standaardformaat te ontvangen, zodat zij dit eenvoudig aan andere instanties kunnen doorgeven. Tot slot wordt onder meer het recht om te worden vergeten in de AVG steviger verankerd. Het recht om vergeten te worden houdt in dat elke betrokkene recht heeft op verwijdering van zijn persoonsgegevens zodra deze niet meer nodig zijn voor de doelen waarvoor zij zijn verzameld, de betrokkene zijn toestemming voor de verwerking heeft ingetrokken of bezwaar aantekent tegen de verwerking van zijn persoonsgegevens, de persoonsgegevens onrechtmatig zijn verwerkt (bijvoorbeeld in strijd met geldende regelgeving) of de gegevens zijn verwerkt bij het leveren van diensten aan kinderen jonger dan 16 jaar. 

(iv) Data Protection Impact Assessment (DPIA), Privacy by Design en Privacy by Default
In geval van verwerking van persoonsgegevens via risicovolle(re) media, wordt het voor verwerkingsverantwoordelijken verplicht om een zogenaamd “impact assessment” uit te voeren. Als uit deze assessment blijkt dat er risico’s bestaan voor de bescherming van de privacy, dan moeten er passende maatregelen worden genomen om deze risico’s te ondervangen en moet actief worden gecontroleerd of deze maatregelen worden nageleefd. Volgens de in de AVG geïntroduceerde concepten “Privacy by Design” en “Privacy by Default” moeten organisaties zó worden georganiseerd dat privacyaspecten een essentieel onderdeel uitmaken van de structuur van de organisatie. Gebeurt dit niet, dan is de organisatie daarvoor aansprakelijk en riskeert zij zeer hoge boetes. Onderdeel van deze concepten is daarnaast de verplichting om een register bij te houden waarin wordt gedocumenteerd welke persoonsgegevens de organisatie verwerkt, de doelen van die gegevensverwerking, welke instanties persoonsgegevens van de organisatie ontvangen, welke beveiligingsmaatregelen de organisatie heeft getroffen en hoe lang de organisatie de gegevens wil bewaren(1). Dit register zal ieder moment door de Autoriteit Persoonsgegevens kunnen worden opgevraagd.

Concluderend
De meest in het oog springende wijziging die de AVG doorvoert is de wijziging van het nu geldende uitgangspunt van vertrouwen dat de privacyregels worden nageleefd, naar de verplichting voor organisaties om steeds daadwerkelijk te kunnen aantonen dat zij aan die verplichtingen hebben voldaan. Kan een organisatie dat niet (voldoende)? Dan riskeert de organisatie een boete die kan oplopen tot € 20 miljoen of 4 procent van de wereldwijde omzet (net wat hoger is). Gelet op deze risico’s is het dus van groot belang dat voorafgaand aan 25 mei 2018 de privacy huishouding van uw organisatie op orde is.

(1) Als de organisatie minder dan 250 medewerkers heeft en niet ‘stelselmatig’ persoonsgegevens verwerkt, dan is de organisatie vrijgesteld van het bijhouden van een register.

Als u naar aanleiding van dit artikel vragen hebt, kunt u contact opnemen met Mr M.A. (Michel) T Schroots.