De 10 belangrijkste veranderingen die de algemene verordening gegevensbescherming gaat brengen

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. Als het gaat om de verwerking van persoonsgegevens hebben we vanaf dat moment niet meer te maken met de Wet bescherming persoonsgegevens, maar met nieuwe regels die in de hele Europese Unie gelijk zijn. Wat betekent dat?

Dit betreft het eerste deel van een tweeluik waarin ik inga op de tien belangrijkste veranderingen die de verordening gaat brengen, zijnde (1) het verschil tussen een verordening en een richtlijn, (2) nieuwe begrippen, (3) de materiele reikwijdte en (4) de territoriale werkingssfeer van de nieuwe regels, (5) de verplichtingen voor verwerkers, (6) de rechten van betrokkenen, (7) nieuwe formaliteiten, (8) internationale gegevensdoorgifte, (9) het Comité en ten slotte (10) de verhoogde boetes.

Auteur: Gerrit-Jan Zwenne, hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden en als partner verbonden aan Brinkhof, gespecialiseerd in privacy-, telecom- en internetrecht.

1. Een verordening in plaats van een richtlijn

In Europa vinden we op dit moment de regels voor de verwerking van persoonsgegevens in de nationale privacywetten waarmee lidstaten de Privacyrichtlijn 95/46/EG van 24 oktober 1995 hebben omgezet. Deze Privacyrichtlijn verlangt van lidstaten dat zij ervoor zorgen dat hun wetgeving waarborgen bevat ‘in verband met de verwerking van persoonsgegevens’ en dat dit gebeurt ‘overeenkomstig de bepalingen van de richtlijn’.

In Nederland is dat gebeurd in de Wet bescherming persoonsgegevens (Wbp) en ook wel in andere wetten, zoals de Wet basisregistratie personen. In België is dat gedaan in de Wet verwerking persoonsgegevens, in Frankrijk in de Loi informatique et libertés, in het Verenigd Koninkrijk in de UK Data Protection Act 1998 en in Zweden in de Personuppgiftslagen. Enzovoorts. En al deze wetten wijken op onderdelen van elkaar af. Er is daardoor sprake van fragmentatie en dat is om allerlei redenen onwenselijk. De verordening wil daaraan wat doen door alle nationale privacywetten te vervangen door een verordening, die rechtstreeks verplichtingen oplegt aan degenen die persoonsgegevens verwerken.

Wat betekent dat? Een set van regels betekent veel meer consistentie in Europa, en daarmee meer rechtszekerheid. Toch moet ermee rekening worden rekening gehouden dat de toepassing van de regels in verschillende lidstaten uiteen kan lopen. Dit enerzijds doordat de verordening lidstaten bij sociale zekerheid, arbeid en zorg toch nog veel ruimte geeft om eigen regels vast te stellen. En anderzijds doordat de verordening, zoals alle privacywetgeving, zich kenmerkt door veel open begrippen en vage normen, die op nationaal niveau worden ingevuld.

2. Enkele nieuwe begrippen

De verordening introduceert enkele nieuwe begrippen. Soms gaat het om nieuwe aanduidingen voor inhoudelijk ongewijzigde begrippen. Enkele andere begrippen waren nog niet in de richtlijn opgenomen, maar werden al wel gebruikt. En weer enkele andere begrippen zijn helemaal nieuw, in zoverre dat daarvoor in de verordening een nieuwe begripsomschrijving wordt gegeven.

Zo gaan de ‘verantwoordelijke’ voortaan aanduiden als ‘verwerkingsverantwoordelijke’ en de bewerker als ‘verwerker’. We zullen er wel aan wennen, zoals we ook wel gewoon zullen worden met ‘bindende bedrijfsvoorschriften’ en de ‘gegevensbeschermingseffectbeoordeling’. Verder is betrekkelijk nieuw zijn begrippen als ‘profilering’ (art. 4(4) AVG), ‘pseudonimisering’, alsmede ‘genetische gegevens’ en ‘biometrische gegevens’ Allemaal begrippen die in de verordening eigen specifieke regelingen hebben gekregen.

3. Vergrote materiële werkingssfeer (?)

De materiële werkingssfeer van de nieuwe regels komt overeen met die van de huidige regels. De verordening is, evenals de richtlijn, van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand (‘een gestructureerd geheel een persoonsgegevens’) zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Evenals in de richtlijn voorziet de verordening in een handvol uitzonderingen. Zo zijn de regels niet van toepassing op de gegevensverwerkingen op activiteiten betreffende de openbare veiligheid, defensie, de staatsveiligheid en dergelijke. En evenmin op verwerkingen door politie en justitie met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. En ten slotte ook niet op verwerkingen door natuurlijke personen bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit.

In zoverre niets nieuws dus. Echter, in het wetgevingsproces zijn wel voorstellen gedaan die beoogden de werkingssfeer van de regels op te rekken door de definitie van wat persoonsgegevens zijn uit te breidentot de gegevens betreffende natuurlijke personen die kunnen worden onderscheiden van anderen (in het Engels: singled-out). Uiteindelijk is het niet zo ver gekomen. Uit de preambule van de verodrening kan worden opgemaakt dat er géén sprake van persoonsgegevens als het gaat om gegevens die betrekking hebben op iemand waarvan de identiteit niet zonder onevenredige inspanning kan worden achterhaald. Ook niet als die persoon bijvoorbeeld met behulp van een IP-adres of andere apparaat-identifier kan worden onderscheiden van anderen. Van belang is wel dat toezichthouders er moeite mee hebben dit te accepteren en nog steeds al heel snel geneigd zijn om gegevens al snel op te vatten als persoonsgegevens, al was het maar omdat zij alleen dan bevoegd kunnen zijn om op te treden…

4. Uitbreiding territoriale werkingssfeer

Wanneer zijn de nieuwe regels van toepassing als persoonsgegevens niet in Europa worden verwerkt? Onder de huidige regels geldt daarvoor een betrekkelijk ingewikkelde regeling, waarbij wordt gekeken naar de activiteiten van de vestiging van de verwerkingsverantwoordelijke. Deze regeling blijft, zij het in iets gewijzigde vorm, en in zoverre verandert er dus niet heel veel.

Er wordt wel een gemakkelijk te begrijpen regeling aan toegevoegd, op grond waarvan de nieuwe regels ook van toepassing gaan zijn als een verantwoordelijke van buiten Europa zich richt op individuen in de Europa. Het is daarmee zonder meer duidelijk dat onze privacyregels van toepassing zijn op Google, Facebook of Whatsapp — iets wat onder de huidige regels vaak nog tot discussie kon leiden.

5. Meer verplichtingen voor verwerkers

Een typisch voorbeeld van een bewerker of verwerker is Workday of Salesforce. Een verwerker verwerkt persoonsgegevens ten behoeve van een verantwoordelijke, die de zeggenschap heeft over de gegevens. Onder de nieuwe regels krijgen verwerkers te maken met veel meer verplichtingen. Het onder meer om verplichtingen

• met betrekking tot het gebruik van sub-verwerkers;
• het informeren van de verantwoordelijke over datalekken;
• documentatie van gegevensverwerkingen (data-mapping);
• om een functionaris voor de gegevensverwerking aan te stellen;
• met betrekking tot gegevensdoorgiften naar landen buiten de unie.

Deze nieuwe verplichtingen maken het mogelijk dat toezichthouders en betrokkenen zo nodig ook een verwerker kunnen aanspreken als er iets mis is gegaan met de door hen verrichte gegevensverwerkingen. Onder de huidige regels konden ze vaak alleen de verantwoordelijke aanspreken.

6. Meer (en meer gedetailleerde) rechten voor betrokkenen

Op dit moment hebben betrokkenen allerlei rechten die zij tegenover de verantwoordelijke kunnen inroepen. Het gaat dan om inzage en verbeterings- of verwijderingsrechten, en het daaruit afgeleide vergeetrecht, alsmede verzetsrechten met betrekking tot geautomatiseerde besluitvorming of direct marketing. In de verordening zien we al deze rechten in meer uitgewerkte en gedetailleerde vorm terug. Onder de nieuwe regels moet er veel meer informatie aan betrokkenen worden verstrekt, onder andere over bewaartermijnen, klachtrechten en -procedures, gegevensdoorgiften naar landen buiten de unie en de in dat verband getroffen waarborgen, en het bestaan van de mogelijkheid dat er geautomatiseerde besluitvorming en profilering plaatsvindt.

Verder voorziet de verordening in een aantal heel nieuwe rechten voor betrokkenen. Wat daarvan vooral opvalt zijn het gegevenswissingsrecht (‘recht op vergetelheid’) en het recht op gegevensoverdraagbaarheid, dat de betrokkene het recht geeft om in bepaalde gevallen de gegevens  die hij heeft verstrekt aan de éne verwerkingsverantwoordelijke te doen overdragen naar de andere.

7. En nogal wat formaliteiten

De verordening voorziet in nogal wat verplichtingen die ik gemakshalve maar samenvat onder de noemer ‘formaliteiten’, zonder dat ik daarmee de suggestie willen wekken dat deze geen of weinig waarde hebben. Het zijn de verplichtingen die verband houden accountability, het kunnen aantonen dat er is voldaan aan de wettelijke vereisten. Er kan worden gedacht aan de verplichtingen om een register van verwerkingsactiviteiten bij te houden of om een gegevensbeschermingseffectbeoordeling te doen. Ook de verplichting om een functionaris voor de gegevensbescherming aan te stellen, kent nogal wat formele vereisten, bijvoorbeeld met betrekking tot zijn of haar rechtspositie, takenpakket en verantwoording.

Een risico van dit soort formaliteiten is dat deze bijdragen aan een bedrijfscultuur waarin erop wordt vertrouwd dat het met de gegevensbescherming wel goed zit als in de privacyverklaring alle verplichte onderwerpen zijn benoemd, zolang de vragenlijsten van de gegevensbeschermingseffectbeoordelingen netjes zijn ingevuld, zolang er iemand is met op haar visitekaartje de titel DPO. Enzovoorts.

8. Ook meer instrumenten voor internationale doorgifte

De verordening bevat, evenals de richtlijn, een verbod op de doorgifte van persoonsgegevens naar landen buiten de Europese Unie, of eigenlijk de Europese Economische Ruimte (EER), die geen passend beschermingsniveau bieden. Wat dat betreft verandert de verordening niet veel aan de situatie onder de richtlijn. Wel voorziet de verordening in meer instrumenten die het mogelijk maken om persoonsgegevens door te geven naar landen die geen passend beschermingsniveau bieden. In aanvulling op de al bekende modelcontracten en binding corporate rules (‘bindende bedrijfsvoorschriften’) kan onder de nieuwe regels ook gebruik worden gemaakt van gedragscodes en certificeringsmechanismes.

In de verordening wordt vervolgens nog wel een nieuwe uitzondering op het doorgifteverbod geïntroduceerd. In uitzonderlijke gevallen kan een doorgifte ook zijn toegestaan zijn als is voldaan aan de volgende, tamelijk strenge voorwaarden: (i) de doorgifte mag niet repetitief zijn en (ii) het aantal betrokkenen moet beperkt zijn; (iii) de doorgifte moet nodig zijn voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene; (iv) en de verwerkingsverantwoordelijke moet alle omstandigheden in verband met de gegevensdoorgifte hebben beoordeeld en op basis daarvan passende waarborgen voor de bescherming van persoonsgegevens hebben geboden. Als gebruik wordt gemaakt van deze uitzondering moet de verwerkingsverantwoordelijke ten slotte ook de nationale toezichthouder en de betrokkenen daarover informeren.

9. Het Europees Comité voor Gegevensbescherming

De Art. 29 Werkgroep bestaat uit vertegenwoordigers van de nationale toezichthouders in de verschillende lidstaten en van de Commissie en andere EU-instellingen. De werkgroep wordt geacht onafhankelijk te zijn en raadgevend van aard, en is vooral bekend van de adviezen of opinies die het publiceert over de uitleg van begrippen uit de richtlijn.

In de verordening wordt de werkgroep het Europees Comité voor Gegevensbescherming en krijgt het meer taken en bevoegdheden. Zo kan het Comité richtsnoeren vaststellen en aanbevelingen doen, beste praktijken (bedoeld zijn best practices) opstellen, en dat allemaal gevraagd en ongevraagd. Wat nieuw is, althans onder de richtlijn niet uit de verf is gekomen, is dat het Comité gaat bevorderen dat er gedragscodes tot stand komen. Ook is nieuw dat het zich gaat bezighouden met accreditatie van certificeringsorganen en van de periodieke evaluatie ervan.

10. En ten slotte substantiële boetes

Er is betrekkelijk veel aandacht voor de boetes die nationale toezichthouder onder de verordening kunnen gaan opleggen aan verwerkingsverantwoordelijken en verwerkers voor overtredingen van de bepalingen uit de verordening. Dat is wellicht terecht. Als sluitstuk op de handhaving zijn deze boetes waarschijnlijk bepalend voor de naleving van de verordening.

Er zijn twee boetecategorieën. Er zijn boetes van ten hoogste €10 miljoen of 2 procent van de wereldwijde omzet van de verwerkingsverantwoordelijke of verwerker. En er zijn boetes van ten hoogste €20 miljoen of 4 procent van de wereldwijde omzet.

Over Gerrit-Jan Zwenne;
Gerrit-Jan Zwenne is hoogleraar Recht en de informatiemaatschappij aan de Universiteit Leiden en advocaat bij Brinkhof in Amsterdam. Dit tweeluik is gebaseerd op een omvangrijkere bijdrage aan het Tijdschrift voor Compliance 2016/4