De uitvoeringswet AVG: Haastige spoed!
Hoffmr. behandelt juridische zaken uit de dagelijkse praktijk en geeft tips die wellicht nog eens van pas komen.
Het kan u niet zijn ontgaan: op 25 mei 2018 ging de Algemene Verordening Gegevensbescherming (AVG) definitief van kracht. Internationaal gezien bekend als de GDPR, the General Data Protection Regulation. Het is een Europese verordening en heeft om die reden rechtstreekse werking. Dat betekent dat een persoon of organisatie binnen een EU-lidstaat zich bij de rechter rechtstreeks kan beroepen op een bepaling uit de verordening. Dit wordt ook wel de horizontale werking van een verordening genoemd. Een vrij unieke vorm van internationale samenwerking dus.
Nederland hoeft de verordening dan ook niet per se om te zetten in nationale wetgeving maar handig is dat in dit geval wel. Hier hebben we namelijk te maken met de Wet Bescherming Persoonsgegevens, oftewel de Wbp. Sommige bepalingen uit de Wbp zijn in strijd met de AVG en die betreffende bepalingen moeten per 25 mei 2018 buiten beschouwing worden gelaten.
Boetes
Het meest in het oog springende verschil tussen de Wbp en de AVG is de bepaling omtrent de hoogte van de boetes die de Autoriteit Persoonsgegevens (AP) kan opleggen. Onder de Wbp mogen er boetes tot € 820.000 op worden gelegd wegens opzettelijk handelen in strijd met de Wbp.
Met de komst van de AVG vervalt het opzetvereiste en is de hoogte van de boete op maximaal 20mio - of 4% van de wereldwijde jaaromzet – gezet.
Reden voor veel bedrijven om de bescherming van persoonsgegevens (nu ineens wel?) serieus te nemen.
Nederlandse implementatie
Om burgers niet zelf te laten zoeken in het woud der regelgeving is besloten een uitvoeringswet op te stellen die gelijk de gehele Wbp vervangt en de AVG implementeert. Eind februari 2018 presenteerde de Europese Commissie de stand van zaken omtrent de implementatie van de GDPR in de lidstaten. Hieruit bleek dat op dat moment in nog maar twee lidstaten de relevante nationale wetgeving was aangenomen. Dit nationaal wettelijk kader moet in orde zijn sinds 25 mei 2018.
Updates
Vanwege de beperkte tijd die de Nederlandse wetgever had is ervoor gekozen de Uitvoeringswet beleidsneutraal op te stellen. Dat betekent wel, dat er daarom nog bepaalde onderwerpen zijn waar langer over gediscussieerd kan worden. Direct na afronding van het wetsvoorstel zal dan ook alweer worden begonnen met het ‘updaten’ van de Uitvoeringswet. Ik vermoed overigens dat we niet het enige land zijn dat zal gaan updaten. Zoals met veel nieuwe regelgeving het geval is, zijn er altijd vraagstukken die niet worden beantwoord door de wet zelf. Vaak bepalen rechters achteraf hoe bepaalde artikelen moeten worden uitgelegd en waar de nuances komen te liggen.
Accountability
Hoe hoog de boetes ook zijn, de bewijslast ligt altijd bij degene die de boete mag opleggen. De AP zal alleen daarom al niet snel overgaan tot het opleggen van boetes en al zeker niet zulke hoge boetes. In de eerste plaats niet omdat de AP naar mijn mening niet beschikt over genoeg mankracht om alles en iedereen grondig te controleren en het bewijs sluitend te krijgen. In de tweede plaats zou het zwaartepunt volgens mij moeten liggen op het creëren van een internationaal bewustzijn over hoe men om moet gaan met eigen of andermans persoonsgegevens. Het zou dan ook niet moeten gaan om het opleggen van boetes aan personen of bedrijven die bijvoorbeeld cv’s van sollicitanten ongevraagd blijven bewaren of details over ziekteverzuim verzamelen maar om het laten inzien van het feit dat het een schending is van iemands privacy als je dat soort dingen doet. Een waarschuwing of een last onder dwangsom passen prima bij personen of bedrijven bij wie dit bewustzijn er nog niet helemaal is. Pas als de intentie kwaadwillend is zouden boetes wellicht kunnen helpen.
Je moet onder de AVG dan ook vooral kunnen aantonen dat je voldoet aan de regelgeving. Dit wordt accountability genoemd. Dat aantonen is wel een dingetje. Het vergt veel inspanningen van bedrijven om bijvoorbeeld een register van alle persoonsgegevens die er binnen het bedrijf worden verwerkt op te stellen en bij te houden. Tegelijkertijd is het een investering waarmee je gelijk het doel van de AVG al nastreeft: je maakt mensen bewust van wat ze aan het doen zijn. Door het opstellen van een register zijn mensen bezig met het verzamelen van informatie over wat er eigenlijk allemaal wordt gebruikt aan persoonsgegevens. Ook moet iedereen zichzelf de vraag stellen of alle persoonsgegevens die worden gebruikt, ook echt noodzakelijk zijn voor het doel waarvoor ze worden gebruikt.
Proportionaliteit
Onder de AVG moet er een wettelijke grondslag zijn voor het verwerken van persoonsgegevens. Ontbreekt de wettelijke grondslag, dan ben je per definitie in overtreding. Een notaris is bijvoorbeeld verplicht iemands identiteit te controleren en mag om die reden een kopie maken van je ID. Voor het opstellen van een koopcontract voor een woning is echter een kopie van een identiteitsbewijs niet nodig. Die mag om die reden dus ook niet worden gevraagd. De identiteit wordt immers bij de leveringsakte door de notaris geverifieerd. Het zou natuurlijk wel heel handig zijn om alvast iemands ID als kopie te hechten bij het koopcontract maar het feit dat het handig kan zijn, maakt nog niet dat het daarom wettelijk is toegestaan. Op ieder ID-bewijs staat namelijk een BSN-nummer. De risico’s van het verwerken van een BSN-nummer zijn groot en dat maakt het BSN-nummer extra gevoelig voor schending van de privacy.
Voor diegenen die het nog steeds vooral handig vinden om toch niet te voldoen aan de AVG, som ik graag enkele vaak gehoorde opmerkingen op. Ik voorzie ze meteen van een persoonlijke noot:
Pffff moet dat nou allemaal?
- Heel hard blijven roepen dat het allemaal zo overdreven is lost niets op. Gewoon aan beginnen! Dan merk je vanzelf dat het best nuttig is om inzicht te krijgen in wat je eigenlijk allemaal aan persoonsgegevens verwerkt. Draai het ook eens om. Wat als het over jouw persoonsgegevens gaat? Wat als jij ineens 12 telefoonabonnementen op je naam hebt staan waar je niet vanaf kunt komen. Hoe zou jij je dan voelen?
- Is het echt zoveel moeite om iemand per e-mail te vragen om toestemming en uit te leggen waarom je zijn of haar gegevens bijvoorbeeld wil bewaren?
Ik heb daar toch allemaal geen tijd voor?
- Dat kan ik me voorstellen, maar - heel eerlijk – de wetgeving is voor ons niet helemaal nieuw. Onder de Wbp mochten we eigenlijk ook al niet zomaar persoonsgegevens verwerken. Investering is noodzakelijk als je er nooit eerder mee bezig bent geweest. Het feit dat we nu wakker zijn laat zien dat van uitstel niet altijd afstel komt.
- Heb je straks wel tijd om aan te tonen dat je voldoet aan de AVG?
Zijn mijn gegevens nu gegarandeerd overal veilig?
- Nee, en dat kan ook niet. Ze proberen het in ieder geval wel zo veilig en vertrouwd mogelijk te laten zijn. Het gaat er vooral om dat je zelf ook bewust wordt (gemaakt) van wat je zelf aan persoonsgegevens afgeeft aan derden en vice versa: het moet makkelijker worden voor mensen om te zien wat er wordt gedaan met hun gegevens. En vooral waarom de gegevens nodig zijn en wat er met de gegevens gebeurt. Met een simpele druk op de knop of verzoek per e-mail moeten je gegevens ook weer overal verwijderd kunnen worden. Je krijgt het recht om bewust vergeten te worden.
- Het verwerken van gegevens blijft mensenwerk. Er is altijd iemand nodig die persoonsgegevens ergens invult, ergens opslaat of een apparaat bedient dat ermee aan de slag gaat. Of het dan gegarandeerd veilig is, daar kan ik geen antwoord op geven. Het zou in ieder geval veiliger moeten zijn.
Aan de slag?
Moet iedereen nu massaal aan de slag om de verwerking van persoonsgegevens op orde te krijgen? Ja. Sterker nog, als je nu nog niet bent begonnen ben je eigenlijk te laat. De wet is van kracht en ja, waar mensen zijn worden fouten gemaakt. Maar zolang de intentie goed is, ben ik benieuwd of - en zo ja, voor welk bedrag - er daadwerkelijk boetes worden opgelegd in Nederland. De tijd zal het leren!