AVG

De Algemene Verordening Gegevensbescherming (of in het kort AVG) is recentelijk aangenomen en treedt op 25 mei 2018 in werking. Door de snelle technologische ontwikkelingen zijn er veel veranderingen in de economie en het maatschappelijk leven, die een krachtig en meer coherent kader voor gegevensbescherming vereisen. Ook dienen de strengere regels volgens de Europese wetgever gesteund te worden door strenge handhaving, om zo het vertrouwen te waarborgen dat nodig is voor de ontwikkeling van de interne markt.

In deze blogcyclus zal NORD de veranderingen ten opzichte van het huidige regelgevende kader behandelen. Eerder verscheen:

Wettelijke uitgangspunten

De algemene uitgangspunten van het bestaande privacyregime blijven onveranderd. Dit kader geeft ons, kort samengevat, de volgende uniforme principes:

  1. Wettelijke grondslag: verwerkingen van persoonsgegevens mogen alleen plaatsvinden wanneer daarvoor a) ondubbelzinnige toestemming door betrokkene is verleend, dan wel b) noodzakelijk zijn voor een aantal limitatief opgesomde belangen (waaronder de zeer open norm “gerechtvaardigd belang”).
  2. Doelbinding: persoonsgegevens mogen enkel verwerkt worden voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet zomaar voor andere doeleinden.
  3. Dataminimalisatie: er mogen niet meer persoonsgegevens verwerkt worden dan noodzakelijk.
  4. Passende beveiliging: verwerkers van persoonsgegevens dienen passende technische en organisatorische maatregelen te nemen om de verwerking te beveiligen.

Recht op vergetelheid

Naast de voornoemde uitgangspunten heeft de Europese wetgever de mensen in Europa als betrokkenen ook extra rechten willen geven, waaronder het recht om vergeten te worden of, zoals het in de AVG heet, het recht op vergetelheid (artikel 17 AVG).

Dit recht bouwt voort op de reeds bestaande rechten van betrokkenen om hun persoonsgegevens te laten wissen. Kort gezegd heeft elke betrokkene recht op wissing van zijn persoonsgegevens zonder onredelijke vertraging in een aantal gevallen:

  • de persoonsgegevens zijn niet meer nodig voor de doelen waarvoor deze zijn verzameld of verwerkt;
  • de betrokkene trekt zijn toestemming voor de verwerking in of tekent tegen de vewerking bezwaar aan;
  • de persoonsgegevens zijn onrechtmatig verwerkt;
  • de persoonsgegevens dienen te worden gewist op basis van een regel uit het Unierecht of het nationale recht;
  • de gegevens zijn verwerkt in het kader van leveren van diensten aan kinderen die jonger dan 16 jaar zijn.

Verder brengt het recht op vergetelheid voor verantwoordelijken de extra plichten mee om ervoor te zorgen dat verdere verspreiding van de gegevens plaatsvindt door die derden aan wie de verantwoordelijke de persoonsgegevens heeft verstrekt.

Lobby en afzwakking

In het aanvankelijke voorstel van de AVG werden verwerkingsverantwoordelijken ook daadwerkelijk verantwoordelijk gehouden voor de gevallen waarin een derde alsnog de betreffende persoonsgegevens die betrokkene had willen wissen zou publiceren.

De sterke internationale lobby heeft het scherpe randje er wel afgehaald voor de verwerkingsverantwoordelijken. Wat overblijft is een plicht – rekening houdend met de stand van de techniek – tot het nemen van redelijke maatregelen om die derden op de hoogte te stellen dat de betreffende betrokkene heeft verzocht om ‘iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen’.

De definitieve redactie van het recht op vergetelheid verplicht verantwoordelijken dus tot het nemen van ‘redelijke’ maatregelen en verder ontbreekt in het artikel de consequentie van enige verantwoordelijkheid en daarmee ook directe aansprakelijkheid.

Gevolgen voor de praktijk

De introductie van het recht om vergeten te worden betekent dat de verwerkingsverantwoordelijken en bewerkers van persoonsgegevens hun praktijk hierop dienen aan te passen.

Zelfs in de afgezwakte versie verplicht het artikel verwerkingsverantwoordelijken dus tot het nemen van ‘redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken [de derden aan wie de persoonsgegevens zijn doorgegeven], ervan op de hoogte te stellen dat de betrokkene (…) heeft verzocht (…) die persoonsgegevens te wissen’ en daarbij mag de verantwoordelijke rekening houden met ‘de beschikbare technologie en de uitvoeringskosten’.

Hoewel rechtspraak dit nog zal moeten uitkristalliseren, wat nog jaren kan duren, doen verwerkingsverantwoordelijken er verstandig aan om hun gegevensverwerkende automatisering zo in te richten dat deze:

  • registreert aan wie (aan welke derde verwerkingsverantwoordelijke) persoonsgegevens zijn doorgegeven;
  • bijhoudt welke persoonsgegevens dit betreffen;
  • via een technisch protocol het verzoek tot wissing van de betrokkene doorgeeft aan diegene aan wie de betreffende gegevens zijn verstrekt.

De eerste twee punten dienen onderdeel uit te maken van de privacy-administratie van elke gegevensverantwoordelijke. Verantwoordelijken worden onder het nieuwe recht meer accountable gehouden voor de wijze waarop zij verwerken en dienen overal bewijs van te kunnen aandragen. Het laatste punt van protocollering is iets dat zowel technisch als contractueel met de derde verantwoordelijken dient te worden kortgesloten.

Voorbereiding

Niets doen is geen optie. Organisaties moeten worden voorbereid op de werking van de AVG. De boetes die geriskeerd worden zijn enorm. Een goede voorbereiding begint bij het volgen van deze cyclus over de AVG, waarbij per onderwerp wordt stilgestaan wat dit betekent voor uw organisatie. Uiteraard dient NORD u graag van advies over dit onderwerp, bijvoorbeeld voor het inrichten van een hiervoor genoemde privacy-administratie of het contractueel vormgeven van de protocollering van het recht op vergetelheid met andere verantwoordelijken.

Geplaatst op 24 oktober 2016 door Koen Konings