De Algemene Verordening Gegevensbescherming: een nieuwe kijk op privacy

Introductie

Op 25 mei 2016 is binnen de hele Europese Unie de Algemene Verordening Gegevensbescherming (“AVG”) in werking getreden. 2 jaar later, op 25 mei 2018, zal de transitiefase, waarin lidstaten voorbereidingen dienen te treffen om hun privacywet- en regelgeving in overeenstemming met de verordening te krijgen, aflopen en is de AVG rechtstreeks van toepassing in alle lidstaten.

De Nederlandse omzetting van de huidige Privacyrichtlijn (95/46/EG), de Wet bescherming Persoonsgegevens (“Wbp”), zal in zijn geheel komen te vervallen en in plaats daarvan zal er een nieuw regime omtrent privacywetgeving gelden. De AVG, door sommigen aangekondigd als belangrijkste wetgeving van de 21^e eeuw, heeft al veel stof doen opwaaien. Vooral de aangescherpte regels omtrent het melden van datalekken en de daarbij horende hoge boetes bij niet-naleving hebben al veel pennen in beweging gekregen. In een eerder blogbericht van oktober 2015 is hier al over bericht. In deze blog zal nader ingegaan worden op de overige, mogelijk net zo impactvolle, wijzigingen die de AVG t.o.v. de Wbp meebrengt.

De belangrijkste wijzigingen in vergelijking met de Wbp

De belangrijkste wijzigingen voor het Nederlandse bedrijfsleven die met de AVG zijn geïntroduceerd, worden hieronder puntsgewijs toegelicht. Tevens zal nader ingegaan worden op eventuele vereiste acties die binnen grote organisaties (op korte termijn) zullen moeten worden doorgevoerd om overtreding van de wet te voorkomen.

• Notificatieplicht bij datalekken: Nederland heeft zoals aangestipt alvast een voorschot genomen op de notificatieplicht bij datalekken uit artt. 33 jo. 34 AVG door in januari 2016 de Wet meldingsplicht datalekken in te voeren. Buiten de eerder aangestipte mogelijkheid voor de Autoriteit Persoonsgegevens om (vele) hogere boetes op te leggen, verandert na invoering van de AVG eveneens het “moment van actie” bij datalekken. Daar waar onder het regime van de Wbp en de Wet meldingsplicht datalekken slechts ‘ernstige’ lekken gemeld dienden te worden (niet melden, tenzij..), moet onder de AVG elk lek worden gemeld, tenzij het niet waarschijnlijk is dat de inbreuk risico’s met zich mee brengt voor de rechten en vrijheden van natuurlijke personen (melden, tenzij..). Er ontstaat dus een positieve verplichting tot melden van datalekken waar bedrijven alert op moeten zijn.
• Functionaris gegevensbescherming: De functionaris voor de gegevensbescherming (“FG”) an sich is als intern controleorgaan dat toeziet op de gegevensverwerking van persoonsgegevens en de naleving van de gestelde voorschriften bij deze verwerkingen niet nieuw en bestond al onder de Wbp. Wel nieuw is dat de AVG ex art. 37 AVG het aanstellen van een FG verplicht voor overheidsinstanties en bedrijven die hoofdzakelijk zijn belast met verwerkingen die vanwege hun aard, omvang en doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen of grootschalige verwerkingen van bijzondere categorieën van persoonsgegevens (zie art. 9 AVG; ras, etnische afkomst, politieke opvattingen, religieuze overtuigingen, gezondheid, seksueel gedrag etc.). In de ontwerpverordening van de Europese Commissie werd een FG voor alle particuliere bedrijven met meer dan 250 werknemers verplicht gesteld. Dit heeft de definitieve tekst van de AVG weliswaar niet gehaald, toch betreft de wijziging een verstrenging van het regime, omdat het aanstellen van een FG onder de Wbp nog volledig facultatief is. Bedrijven die in eerdergenoemde categorieën vallen, dienen zich er dus bewust van te zijn dat zij tijdig een FG aanstellen.
• ‘Privacy by design’ en ‘privacy by default’: De beginselen ‘privacy by design’ en ‘privacy by default’ zijn reeds als soft law onder de Privacyrichtlijn in gebruik. Zij zijn onder het regime van de AVG wettelijk uitgewerkt en wel in art. 25 AVG. ‘Privacy by design’ vereist dat al in een vroeg stadium, bij het ontwerpen van ICT-systemen, rekening wordt gehouden met de stand van techniek, uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking van de persoonsgegevens. De principes en verplichtingen horende bij gegevensbescherming dienen dus vanaf het moment van inrichten van de ICT-systemen nageleefd worden. Volgens het ‘privacy by default’-principe dienen de gebruikte ICT-systemen bij wijze van uitgangspunt zo te zijn ingesteld dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Dit geldt bijvoorbeeld voor de hoeveelheid verzamelde persoonsgegevens, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid hiervan. In tegenstelling tot het aanstellen van een FG, zien deze verplichtingen op élk bedrijf dat gebruik maakt van persoonsgegevens. Het is zaak dat bedrijven zich bewust zijn van deze vergaande verplichting, daar dit mee kan brengen dat ICT-systemen volledig opnieuw ingericht dienen te worden.
• Data Protection Impact Assessment: Een Data Protection Impact Assessment (“DPIA”) , ofwel een gegevensbeschermingseffectbeoordeling, is een gestructureerde manier om voor alle essentiële componenten van een verwerking stap voor stap te beoordelen welke risico’s er voor betrokkenen aan een gegevensverwerking verbonden zijn en, daar waar nodig, preventief in te kunnen grijpen. Het doel is dat naleving van de AVG beter zal worden gewaarborgd, omdat er kritischer naar een verwerking zal worden gekeken als er sprake is van een hoog risico. Art. 35 AVG stelt deze DPIA’s verplicht bij verwerkingen die, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico voor rechten en vrijheden van natuurlijke personen inhouden, in het bijzonder wanneer er nieuwe technologieën bij de verwerking worden gebruikt. Dit is een tamelijk vage omschrijving. Het Europees Comité voor gegevensbescherming zal samen met de nationale toezichthouders een lijst opstellen waarop verwerkingen worden genoemd waarvoor in ieder geval een DPIA dient te worden uitgevoerd. Indien uit de DPIA blijkt dat er sprake is van hoge risico’s die door de gegevensverwerker niet redelijkerwijs weggenomen kunnen worden, dient deze voorafgaand aan de verwerking de nationale toezichthouder te raadplegen. Het louter uitvoeren van de DPIA’s is voor een organisatie dus niet altijd voldoende om aan de wettelijke plicht van art. 35 AVG te voldoen!

Tot slot

Naast de hiervoor genoemde wijzigingen, brengt de invoer van de AVG nog meer veranderingen met zich mee voor de geldende privacywetgeving in Nederland. De volledige wettekst van de AVG is te vinden op de website van EUR-Lex.