1

‘Gegevensbescherming?Regelhetzelf!’DeAlgemeneVerordeningGegevensbeschermingeninformatiemanagement

‘IndenieuweAlgemeneVerordeningGegevensbescherming(AVG)zijn(overheids)organisatiesveelmeerdanvoorheenzelfverantwoordelijkvoordebeschermingvanpersoonsgegevens,’betoogtPeterBrandineenboeiendartikeloverdeAlgemeneVerordeningGegevensbescherming.doorPeterBrandWekennendeWetbeschermingpersoonsgegevens(Wbp)alsinds2000.Toenwasinternetnogeenbetrekkelijknieuwfenomeenenstondprivacybeschermingnogindekinderschoenen.Momenteelisprivacybescherming‘hot’.Enterecht,wanthetprivacy-landschapstaatdekomendejarengroteveranderingentewachten.Vanaf25mei2018geldtnamelijknogmaaréénprivacywetindeheleEuropeseUnie:deAlgemeneVerordeningGegevensbescherming(AVG).DeAVGzorgtvoorversterkingvandeprivacyrechtenvanburgersendaarmeevoormeerverantwoordelijkhedenvoororganisatiesdiepersoonsgegevensverwerken.PeterBrand,informatieadviseurenjurist,beschrijftinditartikeldeimplicatiesvandeAVGvoorde(overheids)organisatie.VanWbpnaarAVGOpditmomentheeftelkelidstaatbinnendeEuropeseUniezijneigenprivacywet.InNederlandisditdeWetbeschermingpersoonsgegevens(Wbp),eenuitwerkingvande(oude)Europeseprivacyrichtlijnuit1995.DegroeivandeinterneEuropesemarkt,desnelletechnologischeontwikkelingenendeglobaliseringhebbengezorgdvoornieuweuitdagingenronddebeschermingvanpersoonsgegevens.DeEuropeseprivacywetgevingmoestnodigwordenherzien,daarwasiedereenhetovereens.DitheeftgeleidtoteenvoorstelvandeEuropeseCommissie(EC)vooreenAlgemeneVerordeningGegevensbescherming(AVG).Op25mei2016isdezeAVGinwerkinggetreden.OrganisatiesmoetenvanafdiedatumhunbedrijfsvoeringinovereenstemmingbrengenmetdeAVGenhebbendaarvoortweejaardetijd.Indeverordeningisopgenomendatdezepasop25mei2018vankrachtwordt.TotdietijdblijftdehuidigeWbpgelden.Vanaf25mei2018moetiedereorganisatiegeheelcompliantzijnaandeAVG.OmdatdeAVGeenEuropeseverordeningishoeftdeze,andersdaneenrichtlijn,nieteersttewordenomgezetinnationalewetgeving.Zijheeftnamelijkrechtstreekse(directe)werking.

Privacybeschermingiseengrondrecht• Art.10lid1vandeGrondwet,• Art.8vanhetEuropeesVerdragvoorderechtenvandemensEVRM)en• Art.17vanhetInternationaalVerdraginzakeburgerrechtenenpolitiekerechten(IVBPR),

bepalendatdeprivacybeschermingperwetgeregelddienttezijnzodatiedersrechtopprivacyisgewaarborgd.

2

Iederelidstaatheeftdandusdezelfdeprivacyweteniederelidstaatkrijgteentoezichthouder.VoorNederlandisdatdeAutoriteitPersoonsgegevens(AP).Organisatiesdieinmeerderelidstatenopereren,krijgen,omdecommunicatietevergemakkelijken,ééntoezichthouder(ookwelone-stop-shop)toegewezen,.VerwerkenvanpersoonsgegevensVolgensart4lid1AVGiselkgegevenovereengeïdentificeerdeofidentificeerbarenatuurlijkepersooneenpersoonsgegeven.Vaneenpersoonsgegevenissprakealseennaamwordtgebruiktofeenidentificatienummer(zoalseentelefoonnummer,klantnummerofpersoneelsnummer).Daarnaastkunnenooklocatiegegevens(adres,IP-adres,e-mailadres,GPS-coördinatenvaneenmobieletelefoon)totdepersoonsgegevensbehoren.Alheelsnelisdussprakevanpersoonsgegevens.Onderverwerkenvanpersoonsgegevensvallen,volgensart.4lid2AVG,allerleihandelingendieje,aldannietgeautomatiseerd,metdiegegevensverricht,zoalshetverzamelen,vastleggen,ordenen,structureren,opslaan,bijwerken,wijzigen,gebruiken,opvragen,raadplegen,verstrekken,verspreiden,aligneren(combineren),afschermen,wissenofvernietigen.Aanallesheeftdeopstellervandeverordeningblijkbaargedacht.DeAVGisnietvantoepassingalsjepersoonsgegevensuitsluitendverwerktvoorpersoonlijkgebruikofalsopsporingsinstantiesenhetOpenbaarMinisteriepersoonsgegevensgebruikenvoordeopsporingenvervolgingvanstrafbarefeiten.WaarinverschiltdeAVGvandeWbp?DeAVGbrengtheelwatveranderingenmetzichmee.Hieronderdebelangrijkstetienverschillenmethethuidigeprivacyrecht(deWbp):• Accountability.

DeAVGlegtmeernadrukopdeeigenverantwoordelijkheidvandeorganisatieomdeprivacybeschermingnateleven.Deorganisatiemoetkunnenaantonendatzijzichaandewethoudt.IedereorganisatiemoetstrakseenactiefbeleidvoerenwaaruitblijktdatzijdeAVGnaleeft:hetisnietmeervoldoendeomalleen(tamelijkpassief)deburgerofklantteinformerenoverhetdoelendemiddelenvanverwerking.

• Privacybydesignenprivacybydefault.DeAVGverplichtorganisatieshunprocessenensystemenvoorgegevensverwerkingzoweldoorontwerp(privacybydesign)alsdoorstandaardinstellingen(privacybydefault)telatenvoldoenaandeeisenvangegevensbescherming.Iedereorganisatiemoethaarproductenendiensten‘privacyproof’ontwikkelen,bijvoorbeelddoortechniekenalsversleuteling(pseudonimisering)toetepassen.Ookiseenorganisatieverplichtdatzij,alsstandaard,alléénpersoonsgegevensverwerktdienoodzakelijkzijnvoorhetdoeldatzijwilbereiken.

• Transparantie.Iedereorganisatiemoetvolledigtransparantzijnoverdegegevensdiezijdeeltenverwerkt.Ookmoetzijactiefverantwoordingafleggenoverdegegevensverwerkingdiezijtoepast.TransparantieisindeAVGopgenomenalseenapartbeginsel.Hetdientvooreenburgerofklanttransparanttezijndatzijnpersoonsgegevenswordenverzameldenverwerkt(ditkanbijvoorbeelddoordatdeorganisatieeenwebsiteinrichtwaarbijdeburgerwordtgeïnformeerdoverdeverwerkingvanzijnpersoonsgegevensendoorhemdaarbijdemogelijkheidtebiedenomzijnrechtenm.b.t.zijnprivacyuitteoefenen).

3

• Documentatieplicht.JemoetalsorganisatiemetdocumentenkunnenaantonendatjedejuisteorganisatorischeentechnischemaatregelenhebtgenomenomaandeAVGtevoldoen.Onderdeelvandezeverplichtingishetbijhoudenvaneenregisterwaarinjedocumenteertwelkegegevensjeverwerkt,dedoelenvandiegegevensverwerking,welkeinstantiesgegevensvanjouontvangen,welkebeveiligingsmaatregelenjehebtgetroffenenhoelangjedegegevenswiltbewaren.Detoezichthouderkanditregisteropiedergewenstmomenttercontroleopvragen.Overigensbenje,alsjeorganisatieminderdan250medewerkersheeftenjeniet‘stelselmatig’persoonsgegevensverwerkt,vrijgesteldvanhetbijhoudenvaneenregister.

• Geenmeldplichtvoorverwerkingenmaarwelvoordatalekken.Organisatieshoeven(andersdanindeWbp)verwerkingenvanpersoonsgegevensnietmeertemeldenbijdeAutoriteitPersoonsgegevens.Datalekkenmoetenzewelmelden.Ondereendatalekvalt,naasthetsimpelonterechtvrijkomen(lekken)vangegevens,ookonrechtmatigeverwerkingvangegevens.Voorbeeldenvandatalekken:eengestolenlaptop,eenverlorenUSB-stickmetpersoonsgegevens,inbraakineendatabestand(hacking).InNederlandbestaatdemeldplichtdatalekkensinds1januari2016.Diemeldplichtisnubijzonderstrikt:eenvermoedenvaneenlekgeldtalalsdatalek.OnderdeAVGhoefjedetoezichthouderalleenteinformerenalserdaadwerkelijk(aantoonbaar)eenlekisgeweestdateenrisicoisvoordevrijhedenenrechtenvanindividuen.

• Privacyimpactassessment(PIA).Alseenorganisatiepersoonsgegevenswilverwerkenenditlevertwaarschijnlijkeengrootprivacyrisicoopvoorpersonenvanwiedegegevenswordenverwerktdanmoeteersteengegevensbeschermings-effectbeoordelingofPIAwordenuitgevoerd.IndePIAwordtvastgelegdwaarom,opwelkemanierenhoelangpersoonsgegevenswordenverwerkt.Daarbijmoetendeaanwezigerisico’swordengeïnventariseerdenwordenbeoordeeld.DooreenPIAkrijgtdeorganisatieinzichtinwatderisico’szijnenkunnenpassendemaatregelenwordengenomenomdezeteverkleinen.

• Functionarisgegevensbescherming.OnderdeAVGzijnoverheidsinstanties,organisatiesdiestelselmatigopgroteschaalpersonenobserveren(omdaarmeeinformatietevergaren,bijv.d.m.v.‘GPS-tracking’)ofbijzonderepersoonsgegevensverwerken(zoalsziekenhuizen)verplichteenfunctionarisgegevensbeschermingtebenoemen.

• Rechtopvergetelheid.Personenhebbennualhetrechtomeenorganisatietevragenhunpersoonsgegevensteverwijderen.Datblijftzo.Bovendienkunnenze,onderdeAVG,eisendatdeorganisatiedeverwijderingdoorgeeftaanalleandereorganisatiesdiedegegevenshebbenontvangen.

• Rechtopdataportabiliteit.Personenmoetenhunpersoonsgegevenskunnenmeenemenvandeenenaareenandereorganisatie.Zijhebbenhetrechtteeisendatdiegegevensrechtstreeksvandeeneorganisatienaardeanderewordtdoorgezonden.Personenhebbenookhetrechtomhunpersoonsgegevensvandeorganisatieineenstandaardformaatteontvangen.Zokunnenzezelfmakkelijkhungegevensdoorgevenaanderden.

• Hogegeldboetes.Schendingvanhetprivacyrechtkanwordenbestraftmetzeerhogegeldboetes:tot20miljoeneuroofvierprocentvandewereldwijdejaaromzetvandeorganisatie.Ookalsgeensprakeisvanopzetofernstigverwijtbarenalatigheid.BijdeWbpisditnogeenvereisteomeenboetetekunnenopleggen.Bovendienzijndeboeteseenstuklager.

4

Bron:EuropeseUnie,2015

DeAVG:beterebeschermingvanpersoonsgegevens

Gegevensbescherming?Regelhetzelf!Van‘trustme’naar‘showme’.Degrootsteveranderingindenieuweverordeningzithemnietindenieuweregels,maarinhetfeitdatorganisatiesindepraktijknuzelfietsmetdieregelsmoetendoen.DehuidigeWbpwerktvooreengrootdeelopbasisvanvertrouwen.EenorganisatiekanonderhetprivacyregimevandeWbpzichvaakmeteen‘trustme’tegenoverdetoezichthouderverantwoorden.DatisbijdeAVGnietlangermogelijk.DeorganisatiemoetactiefkunnenaantonendathetAVG-compliantis(‘showme’).OnderdeAVGzijn(overheids)organisatiesveelmeerdanvoorheenzelfverantwoordelijkvoordebeschermingvanpersoonsgegevens.Hetkomteropneerdatdeorganisatiemoetlatenziendatzijzelfmiddelseen‘Privacyimpactassessment’(PIA)derisico’sinkaartheeftgebracht,zelfdejuistetegenmaatregelenheeftgetroffenenzelfactiefcontroleertofdemaatregelenbinnendeorganisatiewordennageleefd.Hiervoormoetdeorganisatieduseigenlijkeen‘privacymanagementsysteem’(PMS)inrichten.Hogeboetesvooralomafteschrikken.DeboetebedragenindeAVGzijnnogalfors.Datbetekentnognietdatdezeenormeboetesveelzullenvoorkomen:boetesmoetennamelijkaltijd(onderdeWbpwasditalzo)evenredigzijn.Demaximaleboeteszullendusvooraleenafschrikkendeffecthebben.Bovendienishetopleggenvaneenboeteeen‘criminalcharge’(vervolging)alsbedoeldinartikel6vanhetEuropeesVerdragvoorderechtenvandemens.Datbetekentdatdeonschuldspresumptieuitgangspuntis(deovertrederispasschuldigalshijisveroordeelddoorderechter),debewijslast

5

volledigbijdetoezichthouderligtenderechterhetbewijsenderedelijkheidvandeboetevolledigkantoetsen.Totslot,watbetekentdeAVGvoorrecordmanagement?Mogenpersoonsgegevensbewaardworden?Persoonsgegevensmogennietlangerbewaardwordendannodigis.MaarmetbetrekkingtotdearchiefbescheidenvanoverheidsorganisatieskandeArchiefwetbepalendateendeel(lang)bewaardmoetworden.HoeverhoudtzichhierdeArchiefwettotdeAVG?Persoonsgegevensmogenalleenvoorbepaaldeengerechtvaardigdedoeleindenwordenverzameldennietwordenverwerktvooranderedaarmeeonverenigbaredoeleinden(doelbindingsbeginsel,art.5lid1b).Inbepaaldegevallenmogenpersoonsgegevenslangerbewaardworden.Ditishetgevalalsaandepersoonsgegevenseenandere,nieuwebestemmingwordtgegevenendaarmeeeenanderedoelbinding.VolgensdeAVGwordtverwerkingvanpersoonsgegevensinhetkadervanarchivering,wetenschappelijkofhistorischonderzoekofstatistischedoeleinden,alseenmetdeaanvankelijkedoeleindenverenigbarerechtmatigeverwerkingbeschouwd.Naasteenbevoegdheidompersoonsgegevenstebewaren,ishetinbepaaldegevallenookverplicht(art.6lid1cvandeAVG).Ditartikelbepaaltdatpersoonsgegevensalleenmogenwordenverwerkt,als(ondermeer)degegevensverwerkingnoodzakelijkisomeenwettelijkeverplichtingnatekomenwaaraandeorganisatieonderworpenis.ZokanookopgrondvandeArchiefweteenbewaarplichtbestaanvoorpersoonsgegevens,namelijkindiendezepersoonsgegevensineenselectielijstals‘tebewaren’archiefbescheidenvoorkomen.Deoverheidsorganisatiemoetvoorpersoonsgegevensmeteenarchiefbestemmingweleenaantaltechnischeenorganisatorischemaatregelentreffenomtezorgendatdebetreffendegegevensuitsluitendvoordatnieuwedoeleindewordengebruikt(art.89AVG).Zomoetendegegevensbeperkttoegankelijkwordengemaakt.Stemafmeteigenregelgeving:Eenoverheidsorganisatiekanineenarchiefverordening,besluitarchiefbeheerofinhaararchiefbeheersregelshetbeheervanpersoonsgegevensregelen.Dezeregelingenmoetendanwelgoedwordenafgestemdopdeprivacyregelsdieeenoverheidsorganisatievoorhetverwerkenvanpersoonsgegevensbinnenzijnorganisatieopstelt(bijv.ineenprivacyprotocol).

6

BelangrijksteartikelenuitdeAVG(Bijlage)

Artikel Onderwerp Toelichting

Art.4 Definities Watzijnpersoonsgegevens,watisverwerking,watisprofilering,watispseudonimisering,etc.

Art.5 Beginseleninzakedeverwerkingvanpersoonsgegevens(lid1a)

Persoonsgegevensmoetenopeentransparantewijzewordenverwerkt,moetentoereikendzijn,juistzijn,etc.

Art.6 Rechtmatigheidvanverwerking Verwerkingvanpersoonsgegevensisrechtmatigindienenvoorzoverdebetrokkenetoestemmingheeftgegevenvoordeverwerkingvanzijnpersoonsgegevensvooreenofmeerspecifiekedoeleinden.Verwerkenvanpersoonsgegevenszondertoestemmingismogelijk,alsereendringendenoodzaakvooris(bijv.opbasisvaneenwettelijkeplicht).

Art.9 Verwerkingvanbijzonderecategorieënvanpersoonsgegevens

Verwerkenvanpersoonsgegevenswaaruitrasofetnischeafkomst,politiekeopvattingen,religieuzeoflevensbeschouwelijkeovertuigingenblijkenofgegevensovergezondheid,etc.zijnverbodentenzijaanbepaaldevoorwaardenwordtvoldaan.

Art.15 Rechtopinzagevanpersoonsgegevens

Betrokkeneheefthetrechtomvandeorganisatieuitsluitselteverkrijgenoverhetaldannietverwerkenvanzijnpersoonsgegevensenominzageteverkrijgenvandiegegevens.

Art.17 Rechtopvergetelheid Betrokkenenhebbenhetrechtom‘vergeten’teworden,d.w.z.zehebbenhetrechtzichtelatenverwijderenuitdatabases,tenzijlegitiemewettelijkevereistenditvoorkomen.

Art.20 Persoonsgegevensinstandaardformaat

Betrokkeneheefthetrechtomzijnpersoonsgegevensineengestructureerde,gangbareenmachine-leesbarevormteverkrijgen.Hijheefthetrechteenkopieteontvangenvandepersoonsgegevensdieoverhemzijnverzameld.

Art.20 Rechtopdataportabiliteit Betrokkenemoetzijndatakunnenmeenemennaareenanderedienst.Debetrokkeneheefthetrechtdatdepersoonsgegevens(indiendittechnischmogelijkis)rechtstreeksvandeenenaardeanderedienstwordendoorgezonden.

Art.22 Profilering Betrokkenenhebbenhetrechtniettewordenonderworpenaaneenlouteropgeautomatiseerdeverwerking,waaronderprofilering,gebaseerdbesluit(bijv.dataanalytics,bigdata).

Art.24 Accountability OrganisatiesmoeteneenactiefbeleidvoerenenmaatregelentreffenwaaruitblijktdatdeAVGwordtnageleefd.

Art.30 Registervanverwerkingsactiviteiten(documentatieplicht)

Deorganisatiehoudteenregisterbijvanverwerkingsactiviteiten.Hetregisterbevatindienmogelijkookeenalgemenebeschrijvingvandetechnischeenorganisatorischebeveiligingsmaatregelenalsbedoeldinartikel32,lid1

Art.33 Datalekken(meldplichtinbreukpersoonsgegevens)

Deorganisatiedocumenteertalleinbreukenm.b.t.persoonsgegevens,metinbegripvandefeitenomtrentdeinbreuk,degevolgendaarvanendegenomencorrigerendemaatregelen.Diedocumentatiesteltdetoezichthoudendeautoriteitinstaatdenalevingvanditartikeltecontroleren.

Art.35 Privacyimpactassessment(PIA) SituatieswaarineenGegevensbeschermingseffectbeoordelingofPIAverplichtisvoorgeschreven.Zielid1enlid3AVG.

Art.37 Functionarisgegevensbescherming(FG)

AanwijzingvaneenFGisverplichtvoororganisatiesdieveelpersoonsgegevensverwerken(bijv.overheden).DeFGisondermeerverantwoordelijkvoorhetnalevenvandeAVG.Ermagookéénfunctionariswordenaangewezenvoormeerdanéénorganisatie.Gemeentenkunnenerbijv.voorkiezengezamenlijkeenfunctionarisaantewijzen.

Art.42 Certificering DeEuropeseprivacywetgevingstimuleertorganisatiesomeencertificeringophetgebiedvanprivacytehalen.

Art.83 Maximumgeldboetes(lid4,5,6) Max.€10.000.000,-of2%wereldwijdejaaromzetvoorschendingvandeverplichtingendieveelalmeerprocedureelvanaardzijn.Max.€20.000.000,-of4%vandewereldwijdejaaromzetvoorschendingvandeverplichtingendieveelalmeerinhoudelijkvanaardzijnofdeprivacyvandebetrokkenendirecterraken.Max.€20.000.000,-of4%vandewereldwijdejaaromzetvoorhetnietopvolgenvaneenbevelvaneentoezichthouder.

7

Art89 Waarborgenbijtebewarenpersoonsgegevens(archivering)

Waarborgeni.v.m.verwerkingpersoonsgegevensinhetkadervanarchivering,wetenschappelijkofhistorischonderzoekofstatistischedoeleinden.