Volgend jaar treedt de Europese privacyverordening in werking. De wet is verre van perfect. Niettemin moeten bedrijven die persoonsgegevens beheren aan de slag.
Door Bendert Zevenbergen
De waarschuwingen voor de Algemene Verordening Gegevensbescherming (AVG) zijn niet van de lucht. Menig bedrijf zou zijn zaken nog niet op orde hebben als de wet volgend jaar mei van kracht wordt. De tijd begint te dringen.
De opwinding is begrijpelijk. Voor alle instellingen die systematisch persoonsgegevens verzamelen en verwerken, betekent de AVG een nieuwe aanscherping van de nu geldende eisen. Het onderwerp ligt bovendien gevoelig. Overtreding van de voorschriften kan een deuk geven in de reputatie. Daarnaast kunnen er onder de AVG hoge boetes worden uitgedeeld.
De AVG vervangt de Wet bescherming persoonsgegevens (Wbp), die is gebaseerd op de Europese Privacyrichtlijn van 1995. De huidige en komende privacywetgeving regelt kort samengevat dat verwerking van persoonsgegevens alleen onder voorwaarden mag. Een van die voorwaarden is dat steeds sprake moet zijn van een grondslag voor verwerking. Daar is aan voldaan wanneer de betrokkene toestemming geeft, wanneer de gegevens noodzakelijk zijn voor het uitvoeren van een overeenkomst of wettelijke plicht, of als de verwerking noodzakelijk is voor het uitvoeren van een publiekrechtelijke taak of een gerechtvaardigd belang dient. Andere principes zijn doelbinding, borgen van kwaliteit en relevantie van gegevens, geheimhouding, beveiliging en transparantie.
Verzamelen en verwerking van gegevens die betrekking hebben op zaken als godsdienst, ras, seksuele geaardheid en gezondheid – de ‘bijzondere persoonsgegevens’ – zijn in beginsel verboden.
Overtrokken
Mark Jansen (34), privacy-advocaat bij Dirkzwager in Arnhem, ziet geen reden voor ophef. ‘Als je als instelling in paniek raakt over de nieuwe Verordening, dan heb je kennelijk je zaakjes onder de huidige wetgeving nog niet op orde.’
Inhoudelijk verschillen de AVG en de Wbp volgens Jansen voor wat betreft de vraag wat er wel of juist niet met persoonsgegevens mag gebeuren niet veel van elkaar. ‘De zorg draait kennelijk om de nieuwe bijkomende verplichtingen die aan instellingen worden gesteld, de zogenoemde compliance-eisen.’
Op grond van deze eisen moet een bedrijf vooraf inzichtelijk maken hoe het omgaat met verwerking van persoonsgegevens. Daarbij moeten vragen worden beantwoord als voor welke doelen persoonsgegevens worden verwerkt, hoelang gegevens worden bewaard en met welke derde partijen gegevens worden uitgewisseld. Alle partijen moeten daarover transparant zijn richting betrokkenen. De grotere bedrijven (meer dan 250 personeelsleden) en bedrijven die gevoelige gegevens verwerken, moeten bovendien een intern register bijhouden van alle verwerkingsactiviteiten. ‘Er wordt gevreesd voor veel papierwerk en hoge kosten. In veel gevallen gaat het echter om een eenmalige inspanning, daarna is het een zaak van bijhouden.’
Jansen noemt de uitgebreide verantwoordingsplicht juist een goede uitbreiding van de AVG. ‘Als je als instelling de privacy van je klanten serieus neemt, zijn het goed organiseren en documenteren van je processen een noodzakelijke voorwaarde.’
Wat volgens Jansen wel in de papieren kan lopen, is het aanstellen van de functionaris voor de gegevensbescherming (FG) die verplicht wordt voor grote instellingen die persoonsgegevens verwerken, of kleinere die zich met bijzondere persoonsgegevens bezighouden. Deze functionaris moet de betreffende instelling onafhankelijk adviseren en informeren over de wettelijke plichten, toezien op de naleving ervan en samenwerken met de toezichthouder. ‘Er zijn op dit moment al een paar honderd FG’s onder de Wbp, maar slechts een handjevol doet het fulltime. Onder de AVG wordt er meer van FG’s verwacht. Dit wordt vermoedelijk de grootste kostenpost voor instellingen.’
Werk
Ook Gerrit-Jan Zwenne (50) moet weinig van de paniek hebben. De advocaat bij Brinkhof in Amsterdam en hoogleraar Recht en de informatiemaatschappij aan de Universiteit Leiden ziet dat adviseurs soms ‘heftige gevoelens’ hebben bij privacy. ‘Je moet niet vanuit de onderbuik reageren. Als advocaat moet je naar de regels kijken. Ook in het geval van de AVG zijn er allerlei verfijningen en nuanceringen die de wetgeving minder heftig maken dan op het eerste gezicht soms lijkt.’
Zwenne houdt zich als privacy-advocaat vooral bezig met advisering, net als zijn naar schatting zeshonderd collega’s in Nederland. Klanten zijn vooral banken, ziekenhuizen, online-dienstverleners, telecombedrijven en overheidsinstellingen – partijen die doorgaans intensief persoonsgegevens verzamelen en verwerken. Degene die beschermd moet worden, de burger, roept sporadisch juridische hulp in.
Zwenne juicht het net als Jansen toe dat bedrijven en overheden zich uitgebreider moeten verantwoorden over de verwerking van persoonsgegevens. Hij denkt echter dat dit voor de meeste bedrijven geen grote schok zal zijn. ‘In bijvoorbeeld de banken- en telecomsector hebben bedrijven zich nu al aan strenge regelgeving te houden. Die zijn gewend om hun processen te documenteren en zich over hun beleid te verantwoorden.’
Toch verwacht Zwenne net als zijn collega’s dat de vraag naar zijn adviesdiensten verder toeneemt. ‘Dat zagen we al in 2016, toen er werd geëist dat datalekken binnen bepaalde tijd aan de toezichthouder en de betrokkenen worden gemeld en er voor het eerst boetes konden worden opgelegd bij het niet-naleven van de wettelijke voorschriften. De komst van de AVG zal nog meer werk geven.’
Technologische ontwikkeling
Het is volgens Zwenne vooral de snelle technologische ontwikkeling die de wetgever en de betrokken instellingen voor uitdagingen plaatst.
‘Het moeilijke is dat we de ontwikkelingen op het gebied van privacy en persoonsgegevens vaak nog niet zo goed begrijpen, maar dat er wel de behoefte is om er iets aan te doen. Alleen al tijdens het wetgevingstraject van de AVG tussen 2012 en 2016 is er veel gebeurd, al is het maar de toegenomen intensiteit waarmee data worden verwerkt en verstuurd. Ik wil niet zeggen dat de wet niet goed is, maar die sluit wellicht niet altijd aan.’
Zo zal het volgens Zwenne pas over tien of vijftien jaar juridisch duidelijk worden wat sociale media als Facebook of Tinder in combinatie met een steeds hogere datasnelheid voor invloed hebben op onze privacy.
Hij geeft ter illustratie de compacte fotocamera waarmee Kodak in 1890 op de markt kwam. ‘Dat was in combinatie met snellere distributie van kranten een revolutie. Je kon ineens een foto maken van iemand in een restaurant met een vrouw die niet de zijne was en deze snel en op grote schaal verspreiden. Niemand realiseerde zich op dat moment dat dit enorme gevolgen had op de privacy van mensen. Het duurde decennia voordat het recht enigszins was uitgekristalliseerd over hoe hiermee om te gaan.’
De advocaat denkt dat de verwachtingen over de huidige privacywetgeving daarom niet te hoog moeten zijn. ‘Het is een gegeven dat er bij de voortdurende technische ontwikkeling veel rechtsonzekerheid is. Over vijf jaar zal het in elk geval wat beter zijn als de AVG jurisprudentie heeft opgeleverd. In de tussentijd moet je je realiseren dat de nieuwe wet niet perfect is.’
Compromis
Advocaat Hester de Vries (54) van Kennedy Van der Laan acht privacywetgeving vanwege de snelle ontwikkelingen van groot belang. ‘Door de technologische ontwikkeling worden persoonsgegevens op steeds nieuwe manieren verzameld en gecombineerd. Vervolgens worden er voor mensen allerlei beslissingen genomen waar ze zich niet of onvoldoende bewust van zijn. Met de nieuwe wetgeving wil de Europese Commissie de privacy van de burger beter beschermen en het vertrouwen in de digitale economie vergroten. Ik steun dit streven, maar het is de vraag of het ook gelukt is.’
De Vries, ook voorzitter van de Vereniging Privacyrecht, betreurt de moeizame totstandkoming van de AVG. ‘Er wordt gezegd dat de AVG het meest gelobbyde stuk is uit de geschiedenis van het Europees Parlement. Het gaat om negentig artikelen. Er waren meer dan vijfduizend amendementen. Uiteindelijk kwam er een tekst waarvan de bepalingen soms onderling niet stroken of niet aansluiten bij de overwegingen uit de preambule. Dat klemt. Ook omdat de parlementaire toelichting waar we zo gewend aan zijn, ontbreekt.’
Volgens Jansen is de AVG ‘kapotgelobbyd’. ‘De ambitie om tot echte Europese harmonisatie te komen, is niet waargemaakt. De AVG is op onderdelen nog meer versnipperd dan de Richtlijn. Dat is vooral verwarrend voor bedrijven die internationaal werken.’
Ook is het volgens Jansen niet gelukt dat bedrijven die in verschillende Europese lidstaten actief zijn, met slechts één toezichthouder te maken krijgen – de zogenoemde one stop shop. ‘Dit kwam er politiek niet door. Nu is de toezichthouder in de hoofdvestiging van de instelling weliswaar de coördinerend toezichthouder, maar ook andere toezichthouders hebben wat te zeggen. In zijn algemeenheid is de AVG een compromisproduct. De belangrijkste ambities zijn niet gehaald.’
Hoge boetes – op papier
Onder de nieuwe Verordening worden de boetes die aan instellingen kunnen worden uitgedeeld aanzienlijk verhoogd. Onder de Wbp bedraagt de maximale boete 820.000 euro. Wordt een van de beginselen van de AVG overtreden, dan kan de boete tot 20 miljoen euro oplopen, of vier procent van de wereldwijde omzet als dat bedrag hoger uitkomt.
In Nederland ziet de Autoriteit Persoonsgegevens (AP) toe op naleving van de wet. Sinds 2016 kan de AP boetes geven, maar deed dit tot dusver niet.
Zou de AP op dit moment toch een instelling willen bestraffen, dan moet het wel eerst een bindende aanwijzing geven, behalve in het geval van opzettelijke of ernstig verwijtbare nalatigheid. ‘Dit was het gevolg van kritiek van de Raad van State op het geven van boetes door de AP,’ zegt De Vries. ‘Het geven van boetes zou volgens de Raad in strijd zijn met het lex certa-beginsel, omdat de voorschriften in de privacywetgeving voor een belangrijk deel zijn gebaseerd op open normen.’
Welke middelen de AP onder de nieuwe Verordening krijgt, is nog onduidelijk. De Nederlandse wetgever werkt nog aan de uitvoeringswet voor het handelen van de toezichthouder onder de AVG. Dat wetsvoorstel is er alleen nog in conceptvorm en het wordt spannend of deze wet het Staatsblad haalt voor de AVG in mei 2018 van kracht is geworden. ‘Voorlopig is de drempel van de bindende aanwijzing niet opgenomen,’ zegt De Vries. ‘Dat geeft extra onzekerheid, omdat bedrijven gezien de open formulering van materiële voorschriften niet altijd weten waar ze aan toe zijn. En de AP blijkt tot nu niet bereid om vooraf sturing te geven in concrete situaties, ook al bel je ze en leg je een zaak aan ze voor.’
De Universiteit Leiden organiseert op 24 november in Amsterdam voor de achtste keer het Nationale Privacycongres. Deelname levert 5 PO-punten op. Inschrijven kan via de website.
Dit artikel is verschenen in het Advocatenblad van oktober 2017. De hele editie is hier te lezen.