Met de AVG loopt Europa fors vooruit op de andere landen in de wereld

Met de AVG loopt Europa fors vooruit op de andere landen in de wereld
11 april 2018 11425 keer bekeken

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Daarmee geldt in de gehele Europese Unie dezelfde wetgeving om persoonsgegevens te beschermen. Daarmee vervalt ook de Wet bescherming persoonsgegevens (Wbp). Voor Sdu aanleiding om een nieuw Commentaar bescherming persoonsgegevens uit te brengen. Een gesprek met auteurs Theo Hooghiemstra en Sjaak Nouwt.

De Algemene verordening gegevensbescherming, in het Engels bekend onder de naam General Data Protection Regulation (GDPR), trad in 2016 al in werking, maar had een overgangsperiode van twee jaar. Op die manier konden organisaties en detoezichthouder Autoriteit Persoonsgegevens (AP) zich goed voorbereiden op de AVG. “Een groot deel van de wetgeving volgens de Wbp geldt nog steeds, eenklein, maar belangrijk deel is nieuw. Daarnaast is de AVG actueler gemaakt, meer uniform binnen de EU en effectiever wat handhaving betreft. Een belangrijke verandering is dat de eerdere richtlijn nu een verordening met een aantoonplicht is: je moet nu werkelijk kunnen aantonen wat je met al die verzamelde persoonsgegevens doet en hoe je die beschermt”, zegt Theo Hooghiemstra, bestuurskundige, jurist en specialist op het gebied van privacy en bescherming van persoonsgegevens (zie ook kader onderaan deze bijdrage).

Strengere sancties, hogere boetes

In de overgangsperiode kwam de AP ook al bij bedrijven en overheden langs om te zien hoe het op dit vlak verliep. Niet helemaal naar wens? Dan hadden de organisaties de gelegenheid zich te beteren. “Nu niet meer. De sancties zijn strenger, de boetes hoger. Nu is het menens! De capaciteit van de Autoriteit Persoonsgegevens wordt in de komende periode verdrievoudigd. We krijgen dus nu een grotere toezichthouder, met meer bevoegdheden die steviger kan handhaven”, aldus Hooghiemstra.

Eerder hadden organisaties en overheden de gelegenheid zich te beteren. Nu niet meer, nu is het menens!

Meer regelen, meer bewijzen

Het nieuwe Sdu Commentaar Algemene verordening gegevensbescherming bevat veel jurisprudentie; het laat zien wat rechters en toezichthouders in de gehele EU tot op heden over de bescherming van persoonsgegevens hebben gezegd. Maar ook wat bedrijven en overheden voor die bescherming van burgers en consumenten moeten doen. “Organisaties moeten onder meer kunnen bewijzen dat zij een geldige grondslag hebben om gegevens te verwerken, zoals bijvoorbeeld toestemming. En in het geval van toestemming moeten mensen ook gemakkelijker hun toestemming weer kunnen intrekken. Bovendien moet je beleid hebben rond de bescherming van persoonsgegevens, moet je een register bijhouden met alle verwerkingen en moet er (digitale) beveiliging zijn, om maar iets te noemen”, vult medeauteur Sjaak Nouwt aan. Nouwt is als privacyadviseur verbonden aan artsenorganisatie KNMG en doceerde eerder (privacy)recht en informatietechnologie aan de Universiteit van Tilburg (zie ook kader onderaan deze bijdrage).

Veelomvattend begrip

“Sta je er even bij stil, dan is het begrip persoonsgegevens zeer omvangrijk”, zegt Hooghiemstra. “Het zijn alle gegevens waarmee je een persoon kunt identificeren. Van het rijgedrag in je auto tot het surfen op websites. Naast je gewone NAW-gegevens ook bijzonder gevoelige gegevens over je gezondheid, religie, ras, politieke voorkeur, seksuele leven, reizen, lidmaatschap vakbond en ga zo maar door. Voor al die gegevens moet je dus nu aantonen dat je ze mag verwerken, en dat je ze zorgvuldig behandelt en beschermt. Dat geldt overigens ook voor de landen buiten de EU die met de Europese Unie handelen of met burgers van de EU te maken hebben.”

Bescherming vanaf prille begin

Met deze verordening loopt Europa fors vooruit op de andere landen in de wereld. “Zelfs al bij de ontwikkeling van producten en diensten moet je ervoor zorgen dat je persoonsgegevens goed beschermt: privacy by design. Daarnaast kent de AVG ook privacy by default: je moet technische en organisatorische maatregelen nemen om ervoor te zorgen dat je alleen die persoonsgegevens verwerkt die je werkelijk nodig hebt”, zegt Nouwt. “Wil iemand zich op jouw nieuwsbrief abonneren, dan mag je niet meer gegevens vragen dan nodig is. Of als iemand jouw app gebruikt, dan mag je niet de locatie van de gebruiker registreren als die voor de app niet nodig is.” Wat moet je als jurist of advocaat nu weten? “Eigenlijk alles al. Daar waren immers die twee overgangsjaren voor bedoeld. Je ziet nu dat ook de klanten van juristen het belangrijker gaan vinden. Ze moeten wel. Er is veel vraag naar informatie rond deze regeling, vooral over de manier waarop zij compliant kunnen zijn aan de AVG”, aldus beide auteurs.

Zelfs al bij de ontwikkeling van producten en diensten moet je ervoor zorgen dat je persoonsgegevens goed beschermt.

Al vanaf 2001 schrijven Hooghiemstra en Nouwt jaarlijks een actueel Commentaar rond de bescherming van persoonsgegevens. Het nieuwe Sdu Commentaar Algemene verordening gegevensbescherming verschijnt in mei 2018.

Schrijf u hier in voor het nieuwe Sdu Commentaar AVG

Wie zijn Theo Hooghiemstra en Sjaak Nouwt?

Foto gezicht

Mr. drs. Theo Hooghiemstra is bestuurskundige, jurist en principal consultant bij PBLQ. Hij specialiseerde zich op het gebied van bescherming van persoonsgegevens, privacy en informationele zelfbeschikking, alsmede gezondheidsrecht. Hij publiceerde diverse artikelen op het gebied van privacy en bescherming persoonsgegevens. Evenals Sjaak Nouwt is het mede-redacteur van het blad JBP, Jurisprudentie bescherming persoonsgevens.


Foto gezicht

Mr. dr. Sjaak Nouwt is privacyadviseur en werkt ook als adviseur gezondheidsrecht bij artsenfederatie KNMG. Eerder werkte hij jarenlang als universitair docent op het terrein van (privacy)recht en informatietechnologie bij de Universiteit van Tilburg. Aan deze universiteit studeerde hij Nederlands Recht en promoveerde hij in mei 1997 op het proefschrift ‘Zorg voor privacy’. Nouwt heeft diverse publicaties in de vorm van boeken, tijdschriftartikelen en bijdragen aan boeken en losbladige uitgaven op zijn naam staan. Samen met Theo Hooghiemstra is hij ook auteur van het Sdu Commentaar Wet bescherming persoonsgegevens.

Sdu Privacyrecht

Opmerkingen