Een eerste blik op de Algemene Verordening Gegevensbescherming

Europa introduceerde in het voorjaar van 2016 strengere regels en hogere boetes om de privacy van haar onderdanen beter te beschermen. Door bedrijven die werken met persoonsgegevens, en dat zijn vrijwel alle bedrijven, wordt de toenemende regeldruk op het gebied van privacy gevoeld. Zo werden dit jaar de meldplicht datalekken geïntroduceerd met verhoogde boetes. Op 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) gaan werken en daarmee ook de verzwaarde documentatieverplichting, die een enorme impact op de bedrijfsvoering zal hebben. 

Harmonisatie

Om een effectieve interne markt te creëren is een level playing field van rechtsregels onder de lidstaten nodig. Europa harmoniseert daarom steeds meer regels. Dat wil zeggen dat in steeds grotere mate dezelfde regels in alle lidstaten gelden. Dit doet Europa zowel indirect met richtlijnen (die door de lidstaten in Nationale wetgeving worden omgezet) als – in mindere mate – direct met verordeningen (die rechtstreeks in elke lidstaat gelden). Dit laatste is weliswaar de meest effectieve vorm van wetgeving, maar kan enkel plaatsvinden wanneer de neuzen van alle lidstaten dezelfde kant op staan. Niet bij alle thema’s lukt dat. Eén van de thema’s waarbij dat Europa historisch gezien altijd wat gemakkelijker afging is privacy.

Privacy

Na de Tweede Wereldoorlog werd Europa gesticht en werden er internationale verdragen gesloten om grondrechten te waarborgen. Ook het privacy recht werd hierin meegenomen. In de jaren ’80 van de vorige eeuw begon automatisering op te komen en werd via de Raad van Europa, niet te verwarren met onderdelen van de Europese Unie, het Databeschermingsverdrag gesloten. Dit verdrag stelde de norm dat iedere verdragsluitende staat minimaal een aanvaardbaar beschermingsniveau moet bieden en, vanwege het toenemende gebruik van computers en telecommunicatiemiddelen, stelde het extra eisen aan het exporteren van gegevens naar andere landen. Ook de Europese Unie vaardigde een aantal Privacyrichtlijnen uit, waarvan die uit 1995 uitmondde in onze Wet bescherming persoonsgegevens (Wbp).

Wettelijke uitgangspunten

De hiervoor genoemde regels vormen ons huidige algemene privacy regime. En dit kader geeft ons, kort samengevat, de volgende uniforme principes:

1. Wettelijke grondslag: verwerkingen van persoonsgegevens mogen alleen plaatsvinden wanneer daarvoor a) ondubbelzinnige toestemming door betrokkene is verleend, dan wel b) noodzakelijk zijn voor een aantal limitatief opgesomde belangen (waaronder de zeer open norm “gerechtvaardigd belang”).
2. Doelbinding: persoonsgegevens mogen enkel verwerkt worden voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet zomaar voor andere doeleinden.
3. Dataminimalisatie: er mogen niet meer persoonsgegevens verwerkt worden dan noodzakelijk.
4. Passende beveiliging: verwerkers van persoonsgegevens dienen passende technische en organisatorische maatregelen te nemen om de verwerking te beveiligen.

Algemene Verordening Gegevensbescherming

Na lang onderhandelen heeft het Europees Parlement op 27 april 2016 eindelijk de AVG aangenomen, die op 25 mei 2018 rechtstreeks in werking zal treden in Europa. Door de snelle technologische ontwikkelingen zijn er veel veranderingen in de economie en het maatschappelijk leven, die een krachtig en meer coherent kader voor gegevensbescherming vereisen. Ook dienen de strengere regels volgens de Europese wetgever gesteund te worden door strenge handhaving, om zo het vertrouwen te waarborgen dat nodig is voor de ontwikkeling van de interne markt.

Een veel besproken voorbeeld van strengere handhaving is de bevoegdheid van nationale autoriteiten om boetes op te leggen aan grote inbreukmakers op privacy rechten van maar liefst 2% van de totale wereldwijde jaaromzet. Deze bepaling lijkt opgesteld te zijn om notoire Amerikaanse giganten, zoals Facebook en Google, daadwerkelijk te kunnen prikkelen. De nationale toezichthouders, zoals onze Nederlandse Autoriteit Persoonsgegevens, krijgen dan eindelijk tandjes.

Hoewel er voor de betrokkenen, diegenen van wie persoonsgegevens worden verwerkt, er naast het geïntroduceerde ‘recht op vergetelheid’ hier en daar wat extra waarborgen zijn geformuleerd, zijn de meeste wijzigingen voelbaar aan de kant van diegenen die persoonsgegevens verwerken. Met name omdat de verwerkers voortaan hun afwegingen, procedures en aan privacy gerelateerde zaken dienen te documenteren. Voor het overige blijven de hiervoor geformuleerde uitgangspunten uit het huidige privacy kader overeind.

Niets doen is geen optie

De extra (administratieve) verplichtingen voor verantwoordelijken gecombineerd met nieuwe regels en de strengere handhaving creëren de behoefte aan advisering bij de marktpartijen. Vooral omdat risico’s op hoge boetes vermeden dienen te worden. Het naleven van de privacyregels hoort nu eenmaal bij het leven en werken in een rechtsstaat. Uiteindelijk kan men bij privacy compliance ook het uitgangspunt nemen van het benutten van kansen, om zo juist profijt uit de privacyregels te trekken.