De uitvoering van de nieuwe Europese wet voor gegevensbescherming die in mei 2018 ingaat, de Algemene Verordening Gegevensbescherming (AVG), laat ruimte voor nationale keuzes. Dat meldt minister Dekker van Rechtsbescherming (ministerie Justitie & Veiligheid) in een toelichting op de uitvoeringswet van de AVG die op 13 december 2017 naar de Tweede Kamer is gestuurd.
Hij benadrukt verder dat organisaties die persoonsgegevens verwerken rekening moeten houden met strengere verplichtingen. Bovendien komt het ministerie binnenkort met een handleiding omtrent AVG.
In een toelichting op de uitvoeringswet schrijft de minister: ‘De Uitvoeringswet is beleidsneutraal. Dat wil zeggen dat daar waar de verordening ruimte laat voor nationale keuzes, de bestaande regels die gelden op grond van de Wbp (de huidige Wet bescherming persoonsgegevens red.), zoveel mogelijk ongewijzigd worden overgenomen. Dat is bijvoorbeeld het geval bij de verwerking van bijzondere categorieën van persoonsgegevens zoals gegevens over geloof, over gezondheid of over etnische afkomst.’
De VVD’er stelt dat alle bestaande uitzonderingen op het verbod van verwerking van die gegevens om zwaarwegende maatschappelijke belangen waren opgenomen in de Wbp en er geen reden is om daarvan af te wijken. ‘Ook om de oude naar de nieuwe situatie zo soepel mogelijk te laten verlopen, is het aansluiten bij de huidige Wbp een voordeel. Hoe kleiner de verschillen, des te makkelijker de overgang’, aldus de minister.
Volgens Dekker vloeien alle veranderingen in rechten en verplichtingen direct voort uit de verordening. ‘Zo worden de rechten van burgers op het gebied van privacy versterkt door bijvoorbeeld het vastleggen van het recht om ‘vergeten te worden’ en het recht van burgers om van de overheid of een bedrijf hun persoonsgegevens in een standaardformaat te verkrijgen met het oog op dataportabiliteit.’
Strengere verplichtingen
De minister wijst erop dat organisaties die persoonsgegevens verwerken daarnaast rekening moeten houden met nieuwe, strengere verplichtingen. ‘Er wordt meer transparantie en verantwoording gevraagd. De verwerkingsverantwoordelijke moet aantonen dat hij in overeenstemming met de verordening handelt (verantwoordingsplicht) en moet een register bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden.’
Hij schetst: ‘Ook verplicht de verordening in meer gevallen een functionaris voor gegevensbescherming aan te wijzen. Het toezicht op de naleving van de verordening en de Uitvoeringswet is belegd bij de Autoriteit Persoonsgegevens. In de uitoefening van het toezicht is de Autoriteit strikt onafhankelijk.’
Om bedrijven en organisaties te onderstenen, publiceert het ministerie binnenkort ook een uitgebreide ‘Handleiding AVG’ voor bedrijven, overheden en organisaties die persoonsgegevens verwerken. Dat sluit aan op initiatieven van toezichthouder Autoriteit Persoonsgegevens, de Europese commissie en organisaties als werkgeversorganisatie VNO-NCW en de VNG (Verenging Nederlandse gemeenten) die allerlei voorlichtingsinitiatieven zijn gestart.
Wbp wordt AVG
Minister Dekker (Rechtsbescherming) diende op 13 december 2017 de uitvoeringswet voor de Algemene Verordening Gegevensbescherming in bij de Tweede Kamer. Het ministerie: ‘Doel van de Europese verordening is verdergaande harmonisatie van de regels rond de bescherming van persoonsgegevens en de bevordering van vrij verkeer van gegevens binnen de Unie. De verordening treedt op 25 mei 2018 in werking. Op hetzelfde tijdstip zal de Uitvoeringswet in werking moeten treden. De huidige Wet bescherming persoongegevens (Wbp) zal dan worden ingetrokken.’
Volgens het ministerie van Justitie & Veiligheid zijn nieuwe regels noodzakelijk, omdat de uitwisseling van persoonsgegevens overal in de Europese Unie is toegenomen. ‘Gegevensuitwisseling houdt niet op bij de landsgrenzen. Bovendien kunnen overheid en bedrijfsleven, dankzij nieuwe technologie, bij hun activiteiten meer dan ooit gebruik maken van persoonsgegevens.’
Minister Dekker: ‘Mensen moeten er op kunnen vertrouwen dat bedrijven en overheden netjes met hun persoonsgegevens omgaan. Met de nieuwe regels ontstaat in de gehele Europese Unie een gelijk niveau van bescherming.’