Implementatie van de Algemene Verordening Gegevensbescherming – observaties over toekomstig van toepassing zijnde regelgeving over de verwerking van persoonsgegevens
Deel I: “gerechtvaardigd belang” als grondslag voor de verwerking van persoonsgegevens
Op 14 april 2016 heeft het Europees Parlement plenair ingestemd met de nieuwe Algemene Verordening Gegevensbescherming (AVG).[1] De verordening is op 4 mei 2016 gepubliceerd in het EU publicatieblad, zal op 25 mei 2016 in werking treden en zal per 25 mei 2018 in elke lidstaat van de EU direct van toepassing zijn. Op 25 mei 2018 is de huidige Nederlandse Wet bescherming persoonsgegevens (Wpb) dus vervangen door de AVG. Hoewel er nog een twee jaar implementatietermijn geldt, tot 25 mei 2018, is het noodzakelijk om nu al te kijken welke gevolgen en wijzigingen de AVG met zich meebrengt om over twee jaar te kunnen voldoen aan deze nieuwe wetgeving.
De regels van de AVG omvatten onder meer:[2]
- “duidelijke toestemming vooraf” van betrokkenen voor het gebruik van persoonlijke data, of verwerking op basis van een wettelijke grondslag;
- het recht van betrokkene om te weten of gegevens zijn gehackt;
- garanties voor heldere uitleg van privacybeleid;
- betere handhaving en boetes tot 4% van de wereldwijde omzet in het geval van overtreding.
De verordening omvat veel pagina’s. Er volgen nog nadere uitwerkingen ervan in de vorm van lagere regelgeving, zoals door de toezichthoudende autoriteit opgestelde nadere ‘invullingen’ of door gedragscodes.
AVG – beginselen van verwerking van persoonsgegevens
De AVG beschrijft de beginselen van verwerking[3] van persoonsgegevens. Onder meer geldt dat persoonsgegevens[4] moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (“rechtmatigheid, behoorlijkheid en transparatie”).[5]
De ‘verwerkingsverantwoordelijke’ (in de Wbp soortgelijk aangeduid als: ‘verantwoordelijke’) is verantwoordelijk voor de naleving van deze beginselen en moet dit ook kunnen aantonen (‘verantwoordingsplicht’).
Rechtmatigheid van verwerking van persoonsgegevens
Voor wat betreft de rechtmatigheid van de verwerking geldt dat de verwerking alleen rechtmatig is, indien en voor zover aan ten minste één van de onderstaande voorwaarden is voldaan:
- de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; of
- de verwerking is noodzakelijk:
- voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
- om te voldoen aan een wettelijke verplichting die op de verwerkings-verantwoordelijke (in de huidige Wbp genaamd: verantwoordelijke) rust;
- om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
- voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen; of
- voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Voorgaande geldt overigens niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.
Voornoemde gronden komen min of meer ook voor in de huidig geldende, Nederlandse Wet bescherming persoonsgegevens (Wbp). Elk van de nu geldende Wbp gronden is (in de loop van de tijd) nader uitgekristalliseerd, zodat is verduidelijkt wat onder de individuele rechtsgronden voor verwerking van persoonsgegevens wordt verstaan en wanneer ze mogen worden toegepast.
Gerechtvaardigd belang
Bijvoorbeeld wordt onder de Wbp een “gerechtvaardigd belang” aanwezig geacht in het geval dat de betreffende verwerking nodig is om reguliere bedrijfsactiviteiten te verrichten. Het toepassen van deze grondslag vereist een concrete, op de omstandigheden van het geval, toegespitste belangenafweging (belang van “verantwoordelijke” of derde afgezet tegen het belang van de “betrokkene”). Ook geldt dat de betrokkene achteraf in elk geval het recht heeft om zich bij de “verantwoordelijke” te verzetten tegen gegevensverwerking die betrekking heeft op deze rechtsgrondslag.
Deze laatst genoemde rechtsgrond wordt onder de huidige Wbp door verantwoordelijken ook wel benut als grondslag om zich zonodig ook pas nadat de verwerking van persoonsgegevens al heeft plaatsgevonden (en na de noodzakelijke belangenafweging e.d. die nodig is om te bepalen of deze grondslag geldt) op te beroepen. Dit in het geval dat deze ‘restcategorie’ ingeroepen kan worden omdat er bijvoorbeeld ook verder geen andere rechtsgrond was waar men een beroep kon doen om rechtmatig gegevens te verwerken.
Echter, met de AVG[6] is het, ook in geval deze grondslag wordt benut, noodzakelijk van tevoren een gedocumenteerde belangafweging te hebben gemaakt, om je op deze grondslag te kunnen beroepen.
Vooraf gemaakte belangenafwegingen t.b.v. informatieplichten
Op basis van de AVG geldt er een informatieplicht van de verwerkingsverantwoordelijke richting de betrokkene op het moment dat de verwerkingsverantwoordelijke persoonsgegevens bij de betrokkene verzamelt en van de betrokkene verkrijgt.[7] Daarbij moet aan de betrokkene bijvoorbeeld onder meer worden gemeld:
- de identiteit van de verwerkingsverantwoordelijke;
- de verwerkingsdoeleinden waarvoor persoonsgegevens zijn bestemd alsmede de rechtsgrond voor verwerking inclusief de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking is gebaseerd op deze voornoemde rechtsgrond van de AVG.
Daarnaast gelden ook andere informatieplichten, zoals het voornemen om persoonsgegevens door te geven aan een derde land of internationale organisatie, en het verschaffen van informatie aan betrokkene over de mogelijkheid van betrokkene om te verzoeken om inzage van – en rectificatie, of wissen van persoonsgegevens, of beperking van de hem betreffende verwerking.
Ook indien persoonsgegevens niet van de betrokkene wordt verkregen maar wel verwerkt, moet soortgelijke informatie aan de betrokkene worden verstrekt als hierboven genoemd.
De informatieplichten onder de AVG zijn uitgebreider dan onder de nu geldende Wbp.
Vooraf maken van data protection impact assessment
Naast voornoemde informatieplichten, die een van tevoren te maken belangenafweging impliceren om te bepalen of en hoe gegevens verwerkt mogen worden, geldt ook dat soms een zgn. “data protection impact assessment” (PIA)[8] vereist kan zijn. Een dergelijke PIA moet worden gehouden als een soort verwerking van persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
De PIA moet gehouden worden vóór de verwerking plaats vindt en houdt in dat het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens wordt beoordeeld. De AVG geeft nadere toelichting over de beoordeling. De AVG geeft bijvoorbeeld aan wat de beoordeling “tenminste” dient te bevatten. Onder meer is dit: een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd.[9]
Conclusie
De AVG brengt met zich mee dat organisaties zelf, van tevoren moeten zijn nagaan welke verwerkingen van persoonsgegevens er zijn, wat voor persoonsgegevens het zijn, wat de grondslag is die de verwerking rechtvaardigt, en of er bijvoorbeeld gerechtvaardigde belangen zijn die dergelijke verwerking rechtvaardigen, en of er al dan niet een PIA moet plaatsvinden. Dit moet van tevoren, binnen de onderneming al zijn bekeken en gedocumenteerd, bijvoorbeeld ten behoeve van communicatie naar ‘buiten’ (zoals naar betrokkenen).
Noten:
[1] Verordening EU (2016/679) van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
[2] Zie ook: http://www.europarl.europa.eu/news/nl/news-room/20160407IPR21776/Regels-gegevensbescherming-aangepast-aan-digitale-tijdperk
[3] “verwerking” zoals gedefinieerd in artikel 4 sub 2 AVG: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
[4] “persoonsgegevens” zoals gedefinieerd in artikel 4, sub 1 AVG: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
[5] Daarnaast gelden (zie artikel 5 lid 1 AVG) als beginselen voor de verwerking van persoonsgegevens: zgn. ‘doelbinding’, ‘minimale gegevensverwerking’, ‘juistheid’, ‘opslagbeperking’ en ‘integriteit en vertrouwelijkheid’.
[6] Zie rechtsoverweging 47 van de AVG waarin een toelichting wordt gegeven op ‘gerechtvaardigd belang’.
[7] Zie artikel 13 AVG.
[8] De Nederlandse vertaling in de AVG van “data protection impact assessment” is: “Gegevensbeschermingseffectbeoordeling” (art. 35 AVG).
[9] Zie artikel 35 lid 7 sub a AVG.