VERDIEPINGSARTIKEL

Van WBP naar AVG

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze verordening heeft grote impact op uw organisatie. Bent u gewapend tegen de risico’s?


13 augustus 2019 9 minuten Door redactie


Vóór de invoering van de AVG had elke lidstaat binnen de EU nog een eigen wet voor de bescherming van persoonsgegevens. Deze privacywetten waren wel allemaal gebaseerd op een Europese richtlijn uit 1995. In Nederland was de nationale uitvoering van deze richtlijn de Wet bescherming persoonsgegevens (WBP). Dit is veranderd met de AVG. Deze heeft de regelgeving op dit gebied binnen de gehele EU geharmoniseerd.

Wat is de AVG?

De opvolger van de Europese privacyrichtlijn is de General Data Protection Regulation (GDPR). De Nederlandse vertaling van GDPR is 'Algemene verordening gegevensbescherming'. Met de invoering van de AVG op 25 mei 2018 is de WBP komen te vervallen.

Een belangrijk juridisch verschil tussen de AVG en zijn Europese voorganger uit 1995, is dat de AVG geen richtlijn meer is, maar een verordening. Het verschil tussen deze twee is dat lidstaten een EU-richtlijn naar eigen inzicht mogen invoeren, terwijl ze een EU-verordening één-op-één moeten vertalen nationale wetgeving.

Hoewel de AVG sinds 25 mei 2018 van toepassing is, trad de verordening al op 25 mei 2016 in werking. Uw organisatie kreeg daarmee twee jaar de tijd om zich voor te bereiden op deze verordening (in de tussentijd bleef de WBP gelden). De meeste verplichtingen uit de AVG golden ook al onder de WBP, maar veel organisaties moesten een flinke inhaalslag maken.

Concreet ziet de Nederlandse overheid sinds 25 mei 2018 er op toe dat de regels uit de AVG nageleefd worden. Dat betekent dat de toezichthouder, de Autoriteit Persoonsgegevens (AP), boetes kan opleggen voor alle overtredingen die organisaties na deze datum begaan.

Doel van de AVG

De AVG is opgesteld voor twee specifieke doeleinden:

  1. Het regelen van de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.
  2. Het regelen van het vrije verkeer van persoonsgegevens.

Anders gezegd:

  1. Mensen hebben een fundamenteel recht op bescherming van hun persoonsgegevens.
  2. Landsgrenzen binnen de EU mogen geen belemmering vormen voor het uitwisselen van persoonsgegevens en overal binnen de EU moeten persoonsgegevens op dezelfde manier beschermd zijn. Voor uitwisseling buiten de EU worden voorwaarden gesteld.

Het uitwisselen van persoonsgegevens is dus niet verboden, maar het moet wel goed geregeld worden, of het nu gaat om nationale of internationale uitwisseling.

Het belang van de AVG

De Europese privacyrichtlijn uit 1995 was verouderd. Zo heeft het internet heeft de afgelopen jaren een enorme ontwikkeling doorgemaakt – mede dankzij de groei aan mobiele apparaten – en op die technologische ontwikkelingen speelde de oude richtlijnen in. Dit maakte het nodig om de Europese privacywetgeving te herzien. Het resultaat is de AVG.

Digitalisering

De AVG is met name belangrijk omdat er veel meer wordt gedigitaliseerd vergeleken met de periode waarin de WBP geschreven werd. Er is een ongelooflijke hoeveelheid online data ontstaan, waarbij het voor een groot gedeelte ook om persoonsgegevens gaat. Denk alleen al aan de gigantische hoeveelheden data die techno-reuzen als Google en Facebook verzamelen.

Data worden ook opgeslagen in de cloud, waarbij de mensen van wie de persoonsgegevens zijn niet meer weten waar hun gegevens zich feitelijk bevinden. De opkomst van (mobiel) internet, de cloud en social media dragen dus bij aan de verzameling van allerlei data. Daarbij worden de persoonsgegevens lang niet altijd meer in één land verwerkt.

Eén van de doelen van de AVG is om betrokkenen meer regie te geven over hun eigen persoonsgegevens. Organisaties die persoonsgegevens verwerken moeten daarom kunnen laten zien dat zij voldoen aan de nieuwe bepalingen uit de AVG.

Internationalisering

Daarnaast speelt doorde groeiende internationalisering een andere ontwikkeling: er vinden steeds meer grensoverschrijdende samenwerkingen vindt plaats, ook op het gebied van gegevensverwerking. De AVG wil dit niet verbieden, maar wel in goede banen leiden. Als er meer uniformiteit is op het gebied van informatiebeveiliging, in ieder geval binnen de EU, kan dit de economische bedrijvigheid ten goede komen.

Verschillen AVG en WBP

De WBP heeft dus plaats gemaakt voor de AVG. De oude privacyregels zijn daarmee niet verdwenen. Wel heeft u nu met nieuwe en aangescherpte regels te maken.

De AVG kent een aantal basisbeginselen:

  • Behoorlijkheid: de verwerking van persoonsgegevens moet ‘behoorlijk’ gebeuren. De andere beginselen zijn feitelijk een uitwerking van dit vage begrip.
  • Rechtmatig: de verwerking moet verlopen volgens de regels die gelden voor het verwerken van persoonsgegevens.
  • Transparantie: de persoon van wie de gegevens verwerkt worden (ook wel de betrokkene) is ervan op de hoogte en kent zijn rechten;
  • Doelbinding: de persoonsgegevens worden voor een bepaald doel verwerkt en mogen niet zomaar voor een ander doel worden verwerkt;
  • Dataminimalisatie: alleen de gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld;
  • Juistheid: de persoonsgegevens moeten correct zijn en kloppend blijven;
  • Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor het doel;
  • Integriteit en vertrouwelijkheid: de persoonsgegevens moeten worden beschermd tegen inzage door onbevoegden, verlies of vernietiging;
  • Verantwoording: de verantwoordelijke moet kunnen aantonen dat wordt voldaan aan de bepalingen uit de AVG.

Gevestigd in het buitenland

Een grote verandering is dat de AVG ook geldt voor organisaties die persoonsgegevens verwerken van EU-burgers, maar zelf buiten de EU gevestigd zijn. Een mooi voorbeeld dat de impact van deze maatregel verduidelijkt, is LinkedIn. Waarschijnlijk heeft u net als zo veel Nederlandse professionals een LinkedIn-account. U heeft dan persoonlijke gegevens afgestaan aan de Amerikaanse netwerksite. Onder de nieuwe wetgeving moet LinkedIn de Europese regels voor het verwerken van persoonsgegevens wel volgen. Dat was voorheen niet het geval.

Is uw organisatie in meerdere EU-landen actief, dan heeft dit als voordeel dat u onder de AVG in al deze verschillende landen te maken heeft met dezelfde privacyregels. Daarnaast heeft u nog maar te maken met één toezichthouder (de zogeheten leidende toezichthouder). Dit is de toezichthouder van het EU-land waar de hoofdvestiging van uw organisatie gevestigd is. In Nederland is dat de Autoriteit Persoonsgegevens.

Registratieplicht

Ook nieuw is de registratieplicht. Sinds 25 mei 2018 zijn vrijwel alle organisaties verplicht om alle verwerkingen van persoonsgegevens die zij uitvoeren bij te houden in een register.

Hoewel de AVG een uitzondering lijkt te maken voor kleinere organisaties, is er in de praktijk zelden sprake van dat deze uitzondering van toepassing is. Alleen als een organisatie maar heel af en toe persoonsgegevens verwerkt óf als er geen risico is voor de betrokken personen, dan is het bijhouden van het register niet verplicht. Toch komt dat in de praktijk (vrijwel) nooit voor: nagenoeg alle organisaties verwerken structureel persoonsgegevens waardoor slechts een enkele organisatie niet onder de verplichting valt.

De registratieplicht schrijft voor dat u een overzicht opstelt waarin u alle verwerkingen van persoonsgegevens inzichtelijk maakt en bijhoudt (inclusief het doel, de grondslag en de beveiligingsmaatregelen). Positief bericht is dat tegenover deze registratieplicht staat dat u niet langer verplicht bent om verwerkingen van persoonsgegevens te melden bij de Autoriteit Persoonsgegevens.

Functionaris voor de gegevensbescherming

De kans bestaat dat uw organisatie onder de AVG een functionaris voor de gegevensbescherming (FG) hebben. Dit is voor uw organisatie onder meer een verplichting als u op grote schaal bijzondere persoonsgegevens verwerkt. Denk bijvoorbeeld aan een ziekenhuis dat veel patiëntgegevens verwerkt.

FG: een mens van vlees en bloed
De FG moet een natuurlijk persoon zijn. Het is dus niet mogelijk om bijvoorbeeld een commissie of (compliance)afdeling aan te wijzen. Om de onafhankelijkheid van de functionaris te garanderen, mag hij ook geen instructies krijgen over de manier waarop hij zijn taak uitvoert. Daarnaast kunt u een functionaris niet ontslaan om een reden die samenhangt met de uitoefening van zijn functionaristaken.

Privacy by design
Met de intrede van de AVG moet alle software die uw organisatie gebruikt om persoonsgegevens te verwerken voldoen aan het ‘privacy by design’-vereiste. Bij het ontwikkelen van nieuwe informatiesystemen moeten onderwerpen als het inbouwen van een rechtenstructuur, versleuteling van gegevens en back-ups mee worden genomen in het ontwerp. Vanaf het begin moet rekening gehouden worden met de privacybescherming.

Privacy by default
Een ander principe dat de AVG vereist is dat van Privacy by Default: Als er een keuze geboden wordt aan een betrokkene tussen méér of minder privacy, dan moet standaard de optie die méér privacy biedt, worden ingeschakeld. Dit betekent bijvoorbeeld dat een aankruishokje voor inschrijving in een nieuwsbrief niet standaard aangekruist mag zijn.

Rechten van betrokkenen
De AVG introduceert een aantal rechten voor burgers, die de WBP nog niet kende of die aangepast zijn. Het gaat om:

  • het recht op vergetelheid;
  • het recht op dataportabiliteit;
  • het recht om de verwerking te beperken;
  • het recht om bezwaar te maken tegen verwerkingen.

Meldplicht datalekken
Net als de WBP kent de AVG een meldingsplicht bij datalekken. Van een datalek is volgens de AVG sprake bij iedere inbreuk op de beveiliging van persoonsgegevens die leidt tot ongeoorloofde verwerking (zoals verlies en vernietiging) daarvan. Als de systemen van uw organisatie bijvoorbeeld zijn gehackt, waardoor de hacker toegang heeft gekregen tot gevoelige persoonsgegevens, zult u hiervan binnen 72 uur melding moeten doen bij de Autoriteit Persoonsgegevens.

Afhankelijk van de omstandigheden, moet u het datalek ook melden aan de personen van wie de persoonsgegevens zijn gelekt. Zorg dat uw organisatie een procedure opstelt waarin zij duidelijk in kaart brengt welke stappen zij moet nemen als er een mogelijk datalek ontstaat.

Profilering
De AVG geeft iedereen het recht om niet te worden onderworpen aan profilering. De wet definieert profilering als volgt: elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van die gegevens bepaalde data worden verzameld. Het gaat bij profilering met name om inzicht in beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen.

Bewerker transformeert naar verwerker
Waar de WBP nog sprak van ‘bewerker’ heeft de AVG het over ‘verwerker’. Een verwerker is een partij, die ‘namens, en in opdracht van’, een andere partij persoonsgegevens verwerkt. Deze andere partij wordt de verwerkingsverantwoordelijke genoemd.

Een verwerker is nog steeds verantwoordelijk voor de beveiliging van de persoonsgegevens. Maar de verwerker mag niet bepalen voor welk doel en op welke manier de gegevens worden verwerkt. Omdat de verwerker namelijk ‘namens de verwerkingsverantwoordelijke’ de gegevens verwerkt, is dit een taak van deze laatste partij.

In een verwerkersovereenkomst regelt de verwerkingsverantwoordelijke met de verwerker welke gegevens worden verwerkt, voor welk doel en op welke manier. Ook de beveiliging wordt hierin afgesproken.

De wet stelt dat in elk geval de volgende onderwerpen moeten terugkomen in een verwerkersovereenkomst:

  • de aard en het doel van de verwerking;
  • het onderwerp en de duur van de verwerking;
  • het soort persoonsgegevens dat wordt verwerkt;
  • de categorieën van betrokkenen;
  • wat de rechten en verplichtingen zijn van beide partijen.

Privacy Impact Assessment

Een ‘gegevensbeschermingseffectbeoordeling’, vrij vertaald naar het Engels is een Privacy Impact Assessment. Deze zogenoemde PIA is een risicoanalyse om het effect van een toekomstige verwerking van persoonsgegevens op de bescherming van die gegevens in kaart te brengen.

Als een verwerking – met name een verwerking via nieuwe technologieën – waarschijnlijk een hoog risico heeft voor de rechten en vrijheden van de personen om wie het gaat, voert de organisatie vóór de verwerking een PIA uit. Eén PIA kan een reeks vergelijkbare verwerkingen bestrijken die ongeveer even hoge risico’s inhouden.

Inbreuk flinke aanval op de portemonnee
Inbreuken op de verplichtingen uit de AVG kunnen administratieve geldboetes tot gevolg hebben. In sommige situaties gaat het om bedragen tot € 10 miljoen of tot 2% van de totale wereldwijde jaaromzet. Dit kan gebeuren bij inbreuk op bepalingen rond het register van verwerkingsactiviteiten en beveiliging van de verwerking.

In andere situaties kunnen de boetes oplopen tot € 20 miljoen of tot 4% van de totale wereldwijde jaaromzet. Hierbij moet u denken aan het in strijd handelen met de beginselen van de AVG, zoals de regels rond toestemming vragen en de rechten van betrokkenen.

In de praktijk krijgt u niet snel een (maximale) boete, maar toch is het goed om bewust te zijn van het boeterisico. In 2019 is de eerste AVG-boete uitgedeeld aan het Haga Ziekenhuis. De boete voor het niet op orde hebben van de gegevensbescherming werd vastgesteld op € 460.000.

Ook is er inmiddels een rechtszaak gewonnen door een burger, die vond dat zijn rechten niet goed werden beschermd. De rechter stelde hem in het gelijk, en kende een schadevergoeding van € 500 toe.

Wat is nu eigenlijk een persoonsgegeven?

De AVG gaat over het beschermen en verwerken van persoonsgegevens. Maar wat is dat nu eigenlijk, een persoonsgegeven? Dit is elke informatiesoort over een natuurlijk (levende) persoon die identificeerbaar of geïdentificeerd is.

De gegevens van een overledene vallen buiten de AVG. Dat geldt bovendien ook voor de gegevens van een Besloten Vennootschap. De bedrijfsgegevens van een zzp’er vallen overigens wél onder de AVG, omdat deze zijn te herleiden tot een natuurlijk persoon.

Sommige gegevens zijn lastiger te herkennen als persoonsgegeven dan andere, zoals een kenteken, een IP-adres of een opmerking op een contactformulier.