Vorige maand is de definitieve versie van de Algemene Verordening Gegevensverwerking gepubliceerd door de EU. Deze treedt in werking op 25 mei 2018. Hoewel de basisprincipes niet veel anders zijn dan de huidige Wet bescherming persoonsgegevens, zijn er toch een aantal wijzigingen die ingrijpende gevolgen zullen hebben.
(dit artikel is eerder in Automatiseringgids verschenen)
Hoewel de Algemene Verordening Gegevensverwerking (AVG) een stuk uitgebreider is dan de voorganger, de Richtlijn Bescherming Persoonsgegevens, waar onze Wbp een implementatie van is, is het bouwwerk in grote lijnen in stand gebleven. Wat is toegevoegd is deels codificatie van elementen die al uit de oude Richtlijn voortvloeien, maar vooral ook aanvullende handhavingsmogelijkheden. Nieuw zijn onder meer:
- De uitbreiding van de categorieën van zogenaamde
‘bijzondere persoonsgegevens’. - Het met meer waarborgen omkleed zijn van de toestemming voor verwerking van persoonsgegevens.
- Het verplicht worden van een functionaris gegevensbescherming (Data Privacy Officer) in een groot aantal gevallen (zie kader).
- Het verplicht worden van Privacy Impact Assessments (PIAs) bij verwerkingen van persoonsgegevens waarvan voorzienbaar is dat ze risico’s opleveren (zie kader).
- Uniformering van sancties en handhaving.
Wanneer is de DPO verplicht?
Een Data Protection Officer (DPO) wordt verplicht voor:
- overheden, met uitzondering van de rechterlijke macht.
- organisaties die als kernactiviteit processen uitvoeren die naar hun aard, omvang of doelen grootschalige verwerking van persoonsgegevens vereisen.
- organisaties die als kernactiviteit de grootschalige verwerking van bijzondere persoonsgegevens hebben.
Wat het criterium voor ‘grootschalig’ is, moet in de praktijk nog blijken, maar het is geen vreemde gedachte om ervan uit te gaan dat naast de overheid zowel de zorg- als de onderwijssectoren en grote delen van de telecommunicatie- en automatiseringsbranches een DPO zullen moeten aanstellen.
1. Uitbreiding van bijzondere persoonsgegevens
Onder de Richtlijn (en dus de Wbp) kenden we al een aantal bijzondere categorieën van persoonsgegevens, onder andere gezondheidsgegevens, gegevens over etniciteit en strafrechtelijke gegevens.
Voor deze categorieën geldt dat de verwerking daarvan verboden is, tenzij er sprake is van een (in de nu nog Wbp) erkende grondslag voor verwerking. Hoewel van DNA al vrij algemeen werd aangenomen dat die onder de bijzondere categorieën van persoonsgegevens viel, is dit nu expliciet in de AVG opgenomen. Echt nieuw is dat biometrische gegevens ook in deze categorie zijn ondergebracht, maar dan alleen voor zover zij voor het doel van het uniek identificeren van een natuurlijk persoon verwerkt worden. Dat iemand blauwe ogen heeft is wel een biometrisch gegeven, maar maakt nog geen unieke identificatie mogelijk in de meeste gevallen. Een vingerafdruk of een irisscan is dat wel, net als pasfoto’s.
2. Toestemmingsbegrip verder uitgewerkt
Toestemming voor het verwerken van iemands persoonsgegevens vereist ‘informed consent’, wat forse gevolgen heeft. Want hier wordt onder verstaan dat:
- aangetoond kan worden dat er toestemming is verleend.
- als de toestemming schriftelijk wordt gegeven en de schriftelijke verklaring waar de toestemming op toeziet ook op andere zaken betrekking heeft dan de toestemming, dan moet ‘het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig worden gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.’
- de betrokkene zijn toestemming altijd in kan trekken.
Daar komt nog bij dat als de vraag rijst of de toestemming uit vrije wil is gegeven dit mede afhangt van ‘de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.’
Vooral die inkleuring van de vrije wil gaat nog interessante discussies opleveren, samen met de intrekkingsbevoegdheid. Want die zal verdienmodellen waarbij (deels) ‘betaald’ wordt met persoonsgegevens toch in een ander daglicht kunnen stellen. Maar ook de gebruiksvoorwaarden van veel (online) diensten en producten zullen op de schop moeten, momenteel zijn ze zelfs voor juristen vaak al slecht leesbaar of door hun lengte ontoegankelijk.
3. De Functionaris Gegevensbescherming (DPO) verplicht
In onze Wbp kennen we de figuur van de DPO al, maar deze was niet verplicht in Nederland. Per 25 mei 2018 moet deze onder bepaalde omstandigheden (zie kader) aangesteld zijn. De DPO krijgt onder meer de taak om binnen een organisatietoe te zien op de naleving van de AVG, het zijn van adviseur op het terrein van privacy (inclusief uit te voeren PIAs) en contactpersoon te zijn voor privacytoezichthouders. Daarbij moet de DPO een onafhankelijke rol vervullen en krijgt hij een aanvullende ontslagbescherming.
Waar het nu nog veel voorkomt dat de security officer van een organisatie ook DPO is, is het maar de vraag of dit onder de AVG nog kan; de security officer heeft nu eenmaal een andere rol en bevoegdheden dan de DPO.
4. Privacy Impact Assessments (PIAs) worden verplicht
Met een PIA, in de Nederlandse versie van de AVG met de term ‘gegevensbeschermingseffectbeoordeling’ aangeduid, wordt een voorafgaand onderzoek naar de mogelijke risico’s van een verwerking van persoonsgegevens bedoeld. Een PIA moet schriftelijk worden vastgelegd en in ieder geval de volgende elementen bevatten:
- Een systematische beschrijving van de verwerkingen en hun doelen.
- Een beoordeling van de proportionaliteit van de verwerkingen.
- Een inventarisatie van de risico’s voor betrokkenen.
- Een opsomming van de genomen maatregelen om de geconstateerde risico’s te mitigeren.
En als de rechtvaardigingsgrond voor de verwerking de uitzonderingsgrond van ‘het gerechtvaardigd belang van de verantwoordelijke’ is, dan moet ook vastgelegd worden hoe deze belangenafweging heeft plaatsgevonden. Interessant daarbij is dat de AVG geen overgangsregime bevat voor al bestaande verwerkingen. Het is daarom niet onverstandig om nu al aan de slag te gaan met PIAs om de deadline van 25 mei 2018 te kunnen halen.
Wanneer is de PIA verplicht?
In zijn algemeenheid is een Privacy Impact Assessment (PIA) verplicht als er sprake is van een waarschijnlijk hoog risico voor de betrokkenen van wie de persoonsgegevens verwerkt worden. Dit in het licht van de aard van de gegevens, de context, de doelen en de omvang. Dit geldt in het bijzonder voor de inzet van nieuwe technologieën. Daarnaast gaan de toezichthouders in iedere lidstaat lijsten publiceren van situaties waarin een PIA verplicht is. Bij voorbaat is een PIA ook verplicht als er sprake is van:
- beslissingsondersteunende systemen die gebaseerd zijn op uitgebreide persoonsprofielen.
- grootschalige verwerking van bijzondere gegevenscategorieën.
- telselmatige en grootschalige monitoringvan openbaar toegankelijke ruimten.
Bij die laatste categorie moet uiteraard aan cameratoezicht worden gedacht, maar het is ook goed voorstelbaar dat bijvoorbeeld kentekenplaatscanners (bij parkeertoezicht), trajectcontroles en bijvoorbeeld de OVchipkaart hieronder vallen.
5. Uniformering handhaving
Het grote voordeel van een Europese Verordening boven een Europese Richtlijn is dat een verordening directe werking in de hele Europese Economische Ruimte heeft. In de huidige situatie heeft iedere Europese lidstaat (en de EER-landen: Noorwegen, IJsland, Liechtenstein en Andorra) toch een eigen inkleuring in de vorm van eigen wet- en regelgeving aan de Richtlijn gegeven, wat in de praktijk tot problemen leidt. Zo is er een variëteit aan meldplichten bij datalekken ontstaan, wat nu gelijkgetrokken wordt in heel Europa. Ook de boetes die bijvoorbeeld Nederland nog dit jaar heeft ingevoerd gaan weer veranderen.
Voor Nederland geldt nu een maximale boete van 816.000 euro of 10 procent van de omzet bij een aantal schendingen van de Wbp. Onder de AVG gaat voor sommige overtredingen nu een maximale boete van 20 miljoen euro gelden die in het geval van bedrijven, als dat hoger is, gemaximeerd kan worden tot 4 procent van de wereldwijde omzet. Lidstaten zijn wel bevoegd om die boetebevoegdheid in te perken daar waar die overheden kan raken.
Helaas is er voor gekozen om niet één Europese toezichthouder in te voeren. Dat betekent in de praktijk dat er naast 28 landelijke toezichthouders er nog een toezichthouder is voor de Europese instituties en in Duitsland, naast de federale toezichthouder, er nog zestien toezichthouders zijn voor de Bundesländer. Al die toezichthouders worden geacht onafhankelijk te zijn en met in totaal 45 mogelijke interpretaties van toezichthouders wordt een uniform toezicht een uitdaging. Toch brengt de AVG op dit terrein een aantal verbeteringen. Als eerste is er een ‘one-stop-shop’ ingevoerd: bedrijven die in meerdere Europese landen actief zijn kunnen er voor kiezen om de toezichthouder in één specifieke lidstaat als ‘hun’ toezichthouder aan te wijzen. Deze wordt de ‘lead supervisory authority’ genoemd. Ook voor burgers verbetert de situatie. Nu is het zo dat zij bij de toezichthouder in het land van vestiging van een ‘verantwoordelijke’ moeten klagen, wat tot de situatie heeft geleid dat Oostenrijkers in Ierland over Facebook moesten klagen. Onder de AVG kunnen ze altijd bij de toezichthouder in hun eigen land klagen, die dan ook bevoegd is om op te treden, maar in coördinatie met de ‘lead supervisory authority’. Die laatste is ook bevoegd om de behandeling van een klacht naar zich toe te trekken. Op papier klinkt dat mooi, het is alleen maar de vraag of de toezichthouders niet zullen bezwijken onder de druk van de onderlinge coördinatie. Niet vergeten moet worden dat bijvoorbeeld bij de Nederlandse Autoriteit Persoonsgegevens zo’n tachtig mensen werken en Nederland daarmee een relatief grote toezichthouder op dit terrein heeft. Toezichthouders in landen als Ierland en Luxemburg, waar veel spelers uit Silicon Valley hun Europese hoofdkantoren hebben, hebben veel minder menskracht.