Vanaf 25 mei 2018 geldt er in de Europese Unie (EU) dezelfde privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). Deze komt in de plaats van de huidige Wet bescherming persoonsgegevens. Met de AVG ontstaat binnen de EU een gelijk speelveld voor organisaties die persoonsgegevens verwerken. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), licht de effecten van de AVG toe.
De invoering van de AVG bepaalt in belangrijke mate de agenda van de AP voor dit jaar. ‘Want de veranderingen die daarmee gepaard gaan zijn ingrijpend en omvangrijk’, stelt Aleid Wolfsen. ‘En ze gaan snel!’
Samengevat zijn de belangrijkste effecten van de AVG:
- Privacyrechten van burgers bij de verwerking van hun gegevens worden versterkt
Organisaties moeten bewijzen dat wanneer om toestemming gevraagd wordt zij ook geldige toestemming van de consument hebben gekregen om hun persoonsgegevens te verwerken. Ook moet het voor mensen net zo gemakkelijk zijn om hun toestemming in te trekken als om deze te geven. Mensen hebben nu al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij ook eisen dat de organisatie deze verwijdering doorgeeft aan alle andere organisaties die deze gegevens hebben gekregen of gekocht.
- Verantwoordelijkheid van organisaties die gegevens verwerken, wordt aangescherpt
De nadruk komt – meer dan nu – te liggen op de verantwoordelijkheid van organisaties zélf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability). Organisaties moeten dit jaar aan de bak om hun processen door te lichten en eventueel aan te passen.
- Bevoegdheden van de AP en haar Europese collegae worden aanzienlijk verstevigd
De bevoegdheid om boetes op te leggen bijvoorbeeld. Nu kan een boete worden opgelegd van maximaal 820.000 euro. Vanaf mei 2018 kan dat oplopen tot maximaal twintig miljoen euro, of vier procent van de wereldwijde omzet.
De totstandkoming van de AVG heeft een aantal jaren in beslag genomen. ‘Het eerste concept van de verordening is al in 2012 door de Eurocommissaris gepresenteerd’, herinnert Wolfsen zich. ‘Dit wetgevingstraject heeft een enorme lobby gekend en er is zelfs een amendementenrecord gebroken. Meer dan vierduizend amendementen zijn er ingediend, dat is heel veel.’
Uiteindelijk overwon het besef dat de bestaande wetgeving verouderd was; niet technologieneutraal genoeg en onvoldoende toekomstbestendig.
Informeren en adviseren
De AP zal dit jaar overheidsinstellingen, bedrijven en burgers voorlichten over de implicaties van de AVG. De boodschap: ‘Wees voorbereid op ingrijpende veranderingen, want het is menens met de privacy.’
Wolfsen: ‘We maken met de andere privacytoezichthouders in de EU gezamenlijke afspraken over de uitleg van de nieuwe normen en taken. Hiermee geven we guidance aan organisaties. We informeren mensen over de nieuwe wetgeving, zodat zij zich bewust zijn van hun rechten. We adviseren publieke en private organisaties die gegevens verwerken hun verantwoordelijkheid te nemen en zich nu voorbereiden om straks de AVG na te leven.’
Deze verantwoordelijkheid bestaat onder meer uit het kunnen aantonen dat zij persoonsgegevens zorgvuldig verwerken en zich daarbij aan de wet houden. Dat moeten ze kunnen aantonen. Aan ons, maar ook burgers en consumenten. Daarnaast zijn organisaties die van plan zijn persoonsgegevens met een hoog privacyrisico te gaan verwerken, verplicht om een privacy impact assessment (PIA) uit te voeren.
Voor alle overheids- en publieke organisaties geldt dat zij een functionaris voor de gegevensbescherming aan moeten stellen, benadrukt Wolfsen. Maar ook alle organisaties die bijvoorbeeld vanuit hun kernactiviteit aan ‘profiling’ doen zijn dit verplicht.’ Tegenwoordig is er bijna geen maatschappelijke verandering of innovatie zonder ICT of zonder dataverwerking. Die functionaris heeft een cruciale functie, die moet goed opgeleid en op zijn taak berekend zijn.’
Bedrijven met vestigingen in meerdere EU-lidstaten krijgen straks te maken met nog maar één privacytoezichthouder (het onestopshop-mechanisme). Dit zal in de regel de toezichthouder zijn van het land waar de hoofdvestiging van het bedrijf is gevestigd. Voor ingezeten geldt het recht op dataportabiliteit (overdraagbaarheid van persoonsgegevens). Dit is het recht om de persoonsgegevens te ontvangen die een organisatie van hen heeft, om deze vervolgens ook weer aan een andere organisatie door te geven als men dat wil.
Bevoegdheden worden verstevigd
Met de intrede van de AVG op 25 mei volgend jaar wordt ook de European Data Protection Board geïnstalleerd. Wolfsen spreekt van een ‘Europese bank-achtige structuur’ en hij zal zelf deel uit maken van de board, evenals zijn Europese vakbroeders. ‘De board maakt beleid en fungeert ook als een soort rechter als er tussen twee landen discussie is. Wij kunnen dat agenderen en een besluit erover nemen. De Europeanisering van de AVG is daarmee een feit.’
Tegelijk worden de bevoegdheden van de nationale autoriteiten verstevigd. ‘We kunnen meer, we mogen meer en we moeten meer. We krijgen een Ombudsman-achtige functie en onze wetgevingsadvisering blijft. Onze correctiemogelijkheden worden bijna draconisch verhoogd. Op lichte overtredingen, die overigens niet vaak voorkomen, staat straks een boete van tussen nul en tien miljoen euro (of maximaal twee procent van de wereldwijde omzet). Voor een zware overtreding, zoals illegale verwerkingen, geldt een boete van tussen nul en twintig miljoen euro, of vier procent van de wereldwijde omzet.’
Privacy is een groot recht
Sinds de komst van het Centraal Meldpunt Identiteitsfraude en –fouten (mei 2016) toont het aantal meldingen een stijgende lijn (in 2015 805 meldingen, in 2016 1.724). ‘Privacy is natuurlijk een groot recht in een vrij land. Dat is geborgd in onze grondwet, maar ook in de Europese regelgeving en het Europese verdrag van de rechten van de mens. Ik vind het verwonderlijk dat ik een dokter moet uitleggen dat het medisch beroepsgeheim niet het geheim van de dokter is, maar mijn geheim dat ik deel met de dokter. Voor die dokter geldt een zwijgplicht en een verschoningsrecht, dat hij mijn geheim niet met anderen deelt. Als ik tegen mijn dokter zeg: ‘ik wil mijn geheim terug’, dan moet hij dat teruggeven. Want het is mijn geheim.’
‘Weinigen zijn zich ervan bewust dat data een betaalmiddel zijn geworden. Er bestaan heel veel driehoeksverhoudingen. Jij neemt een dienst af van een zoekmachine of een app en je denkt: dat is gratis. Maar dat is niet gratis, want je betaalt met je data. Hoe meer data je afgeeft, hoe meer je je zelf blootgeeft en hoe meer je data waard zijn. Want die gegevens worden verkocht. Daar is niets mis mee als je dat bewust en vrijwillig doet. Maar ‘toestemming’ is daarbij het sleutelwoord en dat weegt onder de AVG zwaarder dan het nu is. Wij gaan er als toezichthouder ook strenger op letten of er écht met toestemming is gewerkt. Dit wordt een groot thema, in de medische wereld dus, maar ook in de financiële wereld. Er komen veel nieuwe financiële diensten bij en de aanbieders daarvan mogen onder voorwaarden bij banken gegevens van klanten opvragen, mits daar toestemming voor is gegeven.’
Vier criteria voor toestemming
Voor ‘toestemming’ gelden vier criteria, licht Wolfsen toe: ‘Vrij, specifiek, geïnformeerd – dat je weet waar je ‘ja’ tegen zegt – en ondubbelzinnig. Als iemand bij ons een klacht indient en aangeeft dat er op onrechtmatige wijze persoonsgegevens worden verwerkt, nemen we contact op met het desbetreffende bedrijf en dat moet dan aantonen hoe het proces van toestemming is verlopen. En als dat niet op orde is, dan leggen we een boete op.’
Wolfsen refereert aan de vier fundamenten van de Nederlandse rechtsorde: gelijkheid, solidariteit, democratie en vrijheid. ‘Het klinkt misschien wat zwaar, maar als toezichthouder helpen wij de Nederlandse rechtsorde te bewaken. Privacy behoort tot de vrijheidsrechten, net zoals vrijheid van geloof en vrijheid van meningsuiting. Wanneer je als overheid niet de privacyrechten van mensen waarborgt, dan kan er gehandeld worden in strijd met de fundamenten van de rechtstaat. Dus het gaat wel ergens over.’
Profiel
Aleid Wolfsen is sinds 1 augustus 2016 voorzitter van de Autoriteit Persoonsgegevens. Deze ZBO houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving. Wolfsen was eerder Tweede Kamerlid voor de PvdA (2002-2008) en burgemeester van Utrecht (2008-2013).
Dit artikel is ook te lezen in GOV magazine nummer 12 van Atos.