Wat is gegevensbeschermingsrecht?

In de Algemene Verordening Gegevensbescherming staan regels over het verwerken van persoonsgegevens. Persoonsgegevens zijn kortgezegd gegevens over mensen van vlees en bloed. Dat kan gaan van 'Meneer De Wit heeft een rode stropdas aan' tot 'Mevrouw De Zwart heeft nog maar 3 maanden te leven'.

De regels in de AVG geven aan onder welke voorwaarden je de gegevens mag verwerken. Denk daarbij aan regels over hoe lang je gegevens mag opslaan, voor welke doelen je ze mag gebruiken en hoe je ze moet beveiligen. Ook zijn er diverse rechten van individuen, zoals het recht op bezwaar, recht op inzage en het recht op informatie.

Is gegevensbescherming hetzelfde als privacy?

Vaak wordt gezegd dat het recht op gegevensbescherming onder het recht op privacy valt. Dat klopt echter niet. Privacy en gegevensbescherming zijn in het Handvest van de Grondrechten van de Europese Unie, zeg maar de grondwet van de EU, juist twee aparte rechten.

Privacy gaat om de integriteit van het lichaam, de bescherming van de woning, het briefgeheim, de persoonlijke levenssfeer en over bepaalde data. Het recht op gegevensbescherming gaat alleen om de bescherming van informatie over personen.

Bij het gegevensbeschermingsrecht gaat het om werkelijke alle gegevens over een persoon, ook openbare en ongevoelige gegevens, terwijl onder het recht op privacy alleen gegevens over personen worden beschermd als die iemands persoonlijke leven kunnen raken. De zin 'Kijk, die man heeft groene schoenen aan' valt dus wel onder het recht op gegevensbescherming, maar niet onder privacy.

Wat is een Verordening?

De Algemene Verordening Gegevensbescherming is een 'Verordening'. De vorige regels uit de EU stonden in een 'Richtlijn', namelijk de Richtlijn bescherming persoonsgegevens uit 1995. Die richtlijn was in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens.

Dat is gelijk het belangrijkste verschil tussen een verordening en een richtlijn. Een verordening geldt voor de hele EU en de regels die daarin staan hoeven niet nog eens in een nationale wet te worden aangenomen. Bij een richtlijn moet dat wel.

Het probleem was vroeger dus dat Nederland, Duitsland, Frankrijk en alle andere EU landen een eigen wet hadden. Die was weliswaar gebaseerd op de Richtlijn van de EU, maar er bestonden toch aanzienlijke verschillen. Bij de Algemene Verordening Gegevensbescherming hoeven de regels niet in nationale wetten te worden vastgelegd, waardoor de regels over de hele EU gelijk zullen zijn.

Slechts op een paar kleine punten, waar de AVG expliciet aangeeft dat landen speciale regels mogen aannemen, zullen er nationale wetten komen. Voorbeelden zijn regels over het verwerken van gevoelige persoonsgegevens (over iemands ras, geaardheid, medische gezondheid, etc) en regels over hoe de vrijheid van meningsuiting zich verhoudt tot het recht op gegevensbescherming. In Nederland heet die wet de Uitvoeringswet.

Waarom is het belangrijk om de regels te volgen?

De belangrijkste reden om de regels uit de Algemene Verordening Gegevensbescherming te volgen is, naast het risico op reputatieschade en de mogelijkheid om aansprakelijk te worden gesteld voor eventuele schade, het feit dat er boetes kunnen worden opgelegd.

Ten eerste kunnen de administratieve geldboetes  oplopen tot 10 miljoen euro of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dit cijfer hoger is, kortgezegd als de plichten van de verantwoordelijke niet worden nageleefd.

Ten tweede kunnen de administratieve geldboetes  oplopen tot 20 miljoen euro of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dit cijfer hoger is, kortgezegd als de beginselen van de AVG of de rechten van individuen niet worden gerespecteerd.

Hoe weet je of je aan de AVG voldoet?

In de Algemene Verordening Gegevensbescherming worden veel van de controleverplichtingen opgelegd aan organisaties die persoonsgegevens verwerken zelf.

Je moet nauwgezet bijhouden welke gegevens je verwerkt, waarom en hoe.

Je moet analyseren in hoeverre er risico's zijn te verwachten bij nieuwe projecten en hoe die risico's kunnen worden beperkt.

En je moet een interne functionaris aanstellen die er op toeziet dat alle regels uit de Verordening worden nageleefd binnen de organisatie.

Organisaties die gegevens verwerken moeten dus zelf nagaan of zij aan de AVG voldoen. Houden zij dat niet goed bij, dan kan ook daarvoor een boete worden opgelegd.

Organisaties die andere organisaties inschakelen bij het verwerken van gegevens, bijvoorbeeld een software leverancier of een cloudprovider, zijn ook aansprakelijk als die bedrijven fouten maken. Lekt de Amerikaanse cloudprovider dus klantgegevens van een Nederlands bedrijf, dan is dat Nederlands bedrijf daar vaak voor aansprakelijk.

Op welke landen is de AVG van toepassing?

De Algemene Verordening Gegevensbescherming is een wet van de Europese Unie. Alle landen van de EU zijn dus gebonden aan de regels uit de AVG.

Momenteel zijn er 27 landen lid van de Europese Unie: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, Italië, Kroatië, Letland, Litouwen, Luxemburg, Malta, Koninkrijk der Nederlanden, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Slowakije, Spanje, Tsjechië en Zweden.

Het Verenigd Koninkrijk is uitgetreden; de juridische status op het punt van gegevensbeschermingsrecht is nog niet duidelijk. Daarnaast is de AVG van toepassing op Noorwegen, IJsland en Lichtenstein.

Wat staat er in de AVG?

Er staan globaal vier soorten regels in de AVG:

(1) Wanneer de AVG van toepassing is

(2) Wat de basisprincipes van de AVG zijn

(3) Welke plichten dataverwerkers hebben

(4) Welke rechten individuen kunnen inroepen

Waarom is er een Verordening?

Vaak wordt gezegd dat de Algemene Verordening Gegevensbescherming is aangenomen met het oog op de nieuwe technologische ontwikkelingen. De oude regels kwamen immers uit 1995, het pre-internet en pre-Big Data tijdperk.

Dat klopt echter niet. De regels uit de richtlijn en de verordening zijn in wezen hetzelfde, al zijn ze hier en daar wat meer verduidelijkt.

Het belangrijkste probleem met de regels uit de Richtlijn bescherming persoonsgegevens en de Wet bescherming persoonsgegevens was simpelweg dat ze niet werden nageleefd en beperkt werden gehandhaafd. Omdat verschillende landen verschillende regels hadden, vestigden bedrijven zich vaak in de landen met de laagste wettelijke vereisten.

Ook waren er weinig handhavingsmogelijkheden voor de overheid om de regels af te dwingen. De pakkans bij een overtreding van de regels was klein en de boetes die er op volgden bedroegen vaak slechts een paar duizend euro.

Nu is dat veranderd. De Verordening trekt de regels voor de hele EU gelijk, geeft meer mogelijkheden voor handhavingsorganisaties om samen te werken en geeft hun meer middelen en mogelijkheden om op te treden bij een geconstateerde overtreding. Boetes kunnen aanzienlijk zijn.

Wie is wie in de AVG?

De Autoriteit Persoonsgegevens (AP): is de handhavingsorganisatie van de overheid op het gebied van het gegevensbeschermingsrecht.

De leidende autoriteit: als een organisatie in meer dan één EU land zaken doet, dan kan de handhavende organisatie uit één van die landen de leiding krijgen en die organisatie integraal doorlichten.

De Europese Commissie (EC): De Commissie is zeg maar de regering van de EU en mag bijzondere regels aannemen over het gegevensbeschermingsrecht

De European Data Protection Board, ofwel het Europees Comité voor Gegevensbescherming: is het adviesorgaan van de EU op het gebied van het gegevensbeschermingsrecht. Daarin zitten alle nationale handhavingsorganisaties van de EU, zoals de Nederlandse Autoriteit Persoonsgegevens.

Het datasubject of de betrokkene: is de persoon over wie gegevens worden verwerkt. In de zin 'Piet houdt van de Italiaanse keuken' is Piet het datasubject. Als er gegevens over Piet worden verwerkt, dan kan hij tal van rechten inroepen.

De verantwoordelijke: is de organisatie of persoon die de gegevens over anderen verzamelt of gebruikt of daartoe opdracht geeft. De verantwoordelijke moet zorgen dat in het hele proces de beginselen en de plichten uit de AVG worden gerespecteerd.

De verwerker: is degene die in opdracht van de verantwoordelijke gegevens verwerkt.

De vertegenwoordiger: als een organisatie buiten de EU is gevestigd, maar toch gegevens verwerkt over EU burgers, dan moet die organisatie een persoon aanstellen die binnen de EU als aanspreekpunt kan dienen, bijvoorbeeld voor klachten of voor onderzoek.

Het Hof van Justitie (HvJ): de hoogste rechter van de EU. Het HvJ gaat uiteindelijk over de interpretatie van de Algemene Verordening Gegevensbescherming. De regels van de EU gaan ook boven de Nederlandse wetten en zelfs boven de Nederlandse Grondwet.

Het Europees Hof voor de Rechten van de Mens (EHRM): de hoogste rechter van de Raad van Europa. Alle landen van de EU zijn ook lid van de Raad van Europa. De Raad van Europa heeft het Europees Verdrag voor de Rechten van de Mens (EVRM) aangenomen. Hierin staat niet het recht op gegevensbescherming, maar wel het recht op privacy. De uitspraken over privacy van het EHRM zijn erg invloedrijk, ook binnen de Europese Unie.