Privacyverordening: nieuwe eisen verwerking persoonsgegevens

De Europese wetgeving op het gebied van privacy en verwerking van persoonsgegevens gaat rigoureus op de schop. Nadat het Europese kader voor dit rechtsgebied twee decennia geleden is geschept door de Privacyrichtlijn 95/46/EG (de “Privacyrichtlijn”), hebben het Europese Parlement en de Raad van de Europese Unie op 27 april 2016 ingestemd met de Algemene Verordening Gegevensbescherming (de “Privacyverordening”). De Privacyverordening is op 25 mei 2016 in werking getreden, en zal vanaf 25 mei 2018 de verwerking van persoonsgegevens binnen de Europese Unie regelen. Dat betekent dat ondernemingen tot dan de tijd hebben om aan de eisen van de Privacyverordening te voldoen. Hieronder worden die eisen toegelicht.

Het huidige regime: de Privacyrichtlijn

In 1995 werd de Privacyrichtlijn aangenomen. Een richtlijn heeft geen rechtstreekse werking maar schrijft lidstaten voor waar de nationale regels aan moeten voldoen. In Nederland is de Privacyrichtlijn geïmplementeerd in (onder meer) de Wet bescherming persoonsgegevens (de “Wbp”). Het voordeel van de bandbreedte die de Privacyrichtlijn geeft, is dat lidstaten een zekere bewegingsvrijheid is toegekend; het nadeel is echter dat binnen de EU verschillen bestaan in de wetgeving op het gebied van privacy en verwerking van persoonsgegevens.

Vanaf mei 2018: de Privacyverordening

In 2012 kondigde de Europese Commissie aan dat zij door middel van een verordening het privacyrecht binnen de Europese Unie verder wilde harmoniseren. Een verordening is namelijk – anders dan een richtlijn – rechtstreeks van toepassing in alle lidstaten. In december 2015 hebben de lidstaten overeenstemming bereikt over de tekst van de Verordening. In april 2016 hebben het Europese Parlement en de Raad van de Europese Unie ingestemd met de Privacyverordening. De Privacyverordening is vervolgens op 25 mei 2016 in werking getreden. Om alle betrokken partijen de kans te geven om aan de nieuwe regels te voldoen, geldt een transitieperiode van twee jaar. Het wettelijk regime van de Privacyverordening is met ingang van 25 mei 2018 van toepassing. Er geldt vanaf die datum dus nog maar één privacywet in de hele EU, in plaats van 28 verschillende nationale wetten. Tot die tijd geldt in Nederland nog steeds de Wbp.

De Nederlandse uitvoeringswet

De Privacyverordening biedt lidstaten op een aantal belangrijke onderwerpen toch nog de ruimte om eigen regels vast te stellen. Bovendien staat in de verordening veel open begrippen en normen die in de praktijk moeten worden ingevuld en geconcretiseerd. Daarvoor moet er ook nationale wetgeving komen. In dit kader heeft het ministerie van Veiligheid en Justitie op 9 december 2016 de Uitvoeringswet Algemene verordening gegevensbescherming beschikbaar gemaakt voor internetconsultatie. Doel van de consultatie is burgers, bedrijven en instellingen te informeren over de voorbereiding van de uitvoeringswet en hen gelegenheid te bieden om op het wetsvoorstel te reageren. Reactie is mogelijk tot 20 januari 2017; daarna zal de uitvoeringswet door de Tweede en Eerste kamer moeten worden behandeld.

Het belang van de (concept) uitvoeringswet is dat deze laat zien hoe de Nederlandse wetgever van plan is om met de Privacyverordening om te gaan. In de toelichting op de uitvoeringswet staat dat deze met name dient om (i) de uitvoering van de bepalingen inzake de Autoriteit Persoonsgegevens te regelen; en (ii) de ruimte te benutten die de Privacyverordening de individuele lidstaten laat om een eigen invulling te geven aan de Verordening. Daarbij wordt opgemerkt dat het wetsvoorstel uitgaat van zogenoemde ‘beleidsneutraliteit’. Dit houdt in dat de bestaande wetgeving zoveel mogelijk behouden zal blijven, behalve wanneer dit in strijd is met de Privacyverordening.

De uitvoeringswet telt 48 bepalingen. Een groot deel van die bepalingen ziet op de inrichting van de Autoriteit Persoonsgegevens. Ook wordt veel aandacht besteed aan “bijzondere persoonsgegevens”. Zodra de tekst van de uitvoeringswet definitief is, zal Ovidius daarover een update geven.

Toepassingsgebied Privacyverordening

Het territoriale toepassingsgebied van de Privacyverordening is groter dan dat van de Privacyrichtlijn. Nieuw is dat de territoriale reikwijdte van de Verordening wordt uitgebreid tot buiten het grondgebied van de EU, en dat de werking ervan ook wordt uitgebreid tot bewerkers. De Privacyverordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging in de EU van een verwerkingsverantwoordelijke (nu nog: “verantwoordelijke”) of een verwerker (nu nog: “bewerker”); ongeacht of de verwerking zelf ook plaatsvindt in de EU. Ook zal de Privacyverordening van toepassing zijn op de verwerking van persoonsgegevens van betrokkenen die zich in de EU bevinden, indien hun gegevens worden verwerkt door een verantwoordelijke of bewerker die niet in de EU is gevestigd, en de verwerking verband houdt met (i) het aanbieden van goederen of diensten aan die betrokkenen in de EU, ongeacht of de betrokkene betaalt voor die goederen of diensten; of (ii) het monitoren van hun gedrag, voor zover dat gedrag in de EU plaatsvindt. Tenslotte zal de Privacyverordening van toepassing zijn indien op basis van internationaal publiekrecht het recht van een lidstaat van toepassing is op een niet in de EU gevestigde verantwoordelijke.

Het gevolg van het uitgebreide toepassingsgebied is dat ondernemingen eerder onder de Privacyverordening zullen vallen, met alle gevolgen van dien. Met name ondernemingen op wie de Privacyrichtlijn eerder niet van toepassing is, zullen daarom goed na moeten gaan of zij ook buiten het bereik van de Verordening vallen.

De materiële werkingssfeer van de nieuwe Privacyverordening komt overeen met de materiële werkingssfeer van de Privacyrichtlijn. Evenals de Privacyrichtlijn, is de Privacyverordening van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, en op de niet‑geautomatiseerde verwerking van gegevens die zijn opgenomen in een bestand of in een bestand zullen worden opgenomen. De Privacyverordening is bijvoorbeeld van toepassing op bedrijven die onderling persoonsgegevens uitwisselen in het kader van de outsourcing van salarisadministratie, een extern gehoste dataopslag (iCloud, Dropbox, etc.) of e-mailoplossing.

Net als de Privacyrichtlijn, voorziet de Privacyverordening in een aantal uitzonderingen op haar werkingssfeer. De Privacyverordening is bijvoorbeeld niet van toepassing op gegevensverwerkingen die door een natuurlijk persoon worden verricht voor activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden. Een andere uitzondering is bijvoorbeeld een verwerking die plaatsvindt in het belang van de nationale veiligheid.

Wat vraagt de Privacyverordening van u?

Er wordt in de Privacyverordening meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (‘accountability’). De Privacyverordening schrijft in dit verband een aantal dwingende maatregelen voor die ondernemingen (als verwerkingsverantwoordelijken) moeten implementeren. Enkele belangrijke vereisten zijn:

  • Documentatie- en registerplicht: Vanaf 25 mei 2018 zijn ondernemingen niet langer verplicht om de verwerking van persoonsgegevens te melden bij de nationale toezichthouder. In plaats daarvan komt de documentatieplicht: iedere onderneming moet kunnen aantonen dat alle vereiste organisatorische en technische maatregelen zijn genomen om aan de Privacyverordening te voldoen. De onderneming moet bovendien een register opstellen met de persoonsgegevens die worden verwerkt, én dit register bijhouden. In dit register wordt onder meer het doel en de bewaartermijn van die verwerking vastgelegd.
  • Toestemming: Voor de verwerking van persoonsgegevens is in bepaalde gevallen toestemming vereist van de betrokkene. De regels omtrent toestemming worden onder de Privacyverordening verzwaard. Zo moet een onderneming bijvoorbeeld kunnen aantonen dat de toestemming geldig is verleend. Bovendien moet het net zo makkelijk zijn om die toestemming in te trekken, als het is om toestemming te verlenen.
  • Functionaris gegevensbescherming: Onder de Richtlijn was het al mogelijk om een functionaris aan te stellen die toezicht houdt op de verwerking van persoonsgegevens. Deze persoon is onder meer verantwoordelijk voor de inventarisatie van gegevensverwerking en voor het bijhouden van meldingen van gegevensverwerkingen. Bovendien geldt de functionaris als aanspreekpunt voor klachten en vragen binnen en buiten de organisatie. Onder de Privacyverordening wordt het voor sommige ondernemingen zelfs verplicht om een functionaris gegevensbescherming aan te stellen. Dit geldt onder meer voor ondernemingen die op grote schaal bijzondere persoonsgegevens (zoals medische gegevens) verwerken.
  • Privacy Impact Assessment (PIA): Als een onderneming van plan is om een bepaald soort verwerking toe te passen (waarbij nieuwe technologieën worden gebruikt), dan kan deze verplicht zijn om eerst een ‘privacy impact assessment’ (‘PIA’), uit te voeren. Dit is het geval wanneer zich bij de verwerking een groot privacy-risico voordoet voor de mensen waarop de gegevens zien. Daarbij moet gekeken worden naar de impact van het geplande project, de mogelijke risico’s die daarmee samenhangen, en of er een minder risicovol alternatief bestaat waarmee hetzelfde resultaat kan worden bereikt.
  • Uitgebreide privacyverklaring: Een onderneming is verplicht om een privacyverklaring te publiceren. De Privacyverordening stelt eisen aan de inhoud, en aan de vorm van die verklaring. Een vereiste is dat de verklaring in begrijpelijke taal wordt opgesteld.

Bent u voorbereid?

Het is van belang dat uw onderneming is voorbereid op de verplichtingen die de Privacyverordening met zich meebrengt. Ovidius helpt u daar graag bij!