Eind 2017 hebben zich weer veel interessante ontwikkelingen voorgedaan op het gebied van privacyrecht. Hieronder zijn enkele van die ontwikkelingen op een rij gezet.
Auteur: Anke van de Laar
Wetsvoorstel Uitvoeringswet AVG naar de Tweede Kamer
Guidelines van de Artikel 29-werkgroep
Meldplicht verwerking persoonsgegevens niet langer gehandhaafd
Op 13 december 2017 is het wetsvoorstel Uitvoeringswet AVG (UAVG) bij de Tweede Kamer ingediend. De AVG is een verordening en heeft rechtstreekse werking. In de UAVG zijn in de eerste plaats regels opgenomen die ervoor zorgen dat de AVG kan worden uitgevoerd. Zo wordt de Autoriteit Persoonsgegevens (AP) aangewezen als toezichthouder. Daarnaast laat de AVG in bepaalde gevallen ruimte voor nationale invulling. Daarvan maakt de UAVG op onderdelen gebruik.
Het is de bedoeling dat de UAVG per 25 mei 2018 in werking treedt, waardoor de huidige Wet bescherming persoonsgegevens (Wbp) wordt ingetrokken. Daarvoor dienen zowel de Tweede als de Eerste Kamer tijdig akkoord gaan met het wetsvoorstel.
Het uitgangspunt van de UAVG is een beleidsneutrale invoering van de AVG. Dat betekent dat daar waar de AVG ruimte laat voor nationale invulling, de eerder gemaakte keuzes uit de Wbp zoveel mogelijk zijn overgenomen. Dit betekent dat de in de Wbp bestaande uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken ook zijn opgenomen in de UAVG. Er zijn wel enkele wijzigingen als gevolg van het feit dat de AVG twee bijzondere categorieën van persoonsgegevens introduceert; genetische gegevens (zoals een analyse van DNA) en biometrische gegevens (zoals vingerafdrukgegevens). Verder is anders dan in de Wbp een Burgerservicenummer (BSN) onder de AVG geen bijzonder persoonsgegeven. Materieel gezien levert dit echter geen wijzigingen op. Het BSN mag alleen worden verwerkt als daarvoor een grondslag is in de wet of in een Algemene Maatregel van Bestuur. Er komt geen ruimte voor een eigen afweging van de verwerkingsverantwoordelijke.
Voor zover op dat punt nog onzekerheden bestonden maakt artikel 18 van het wetsvoorstel UAVG duidelijk dat de AP niet alleen een boete kan opleggen aan een onderneming maar ook aan een overheidsinstantie of een overheidsorgaan. Daarnaast is in artikel 16 van het wetsvoorstel UAVG expliciet bepaald dat de AP een last onder bestuursdwang kan opleggen ter handhaving van de bij of krachtens de verordening of deze wet gestelde verplichtingen. Ook de last onder dwangsom blijft een instrument dat de AP kan gebruiken.
Tot slot wordt nog gewezen op het feit dat de AP zich in haar advies 6 april 2017 over de concepttekst van de UAVG op het standpunt heeft gesteld dat de wetgevingsadviestaak die op grond van de AVG aan de AP is opgedragen, ook betrekking heeft op decentrale regelgeving. In de memorie van toelichting bij het wetsvoorstel UAVG wordt echter gesteld dat anders dan de AP meent, de AVG op dit punt naar het oordeel van de regering niet leidt tot het vragen van advies over alle decentrale regelgeving. De regering legt de wetgevingsadviestaak dan ook beperkter uit dan de AP.
De Europese Toezichthouders op het gebied van privacy zijn verenigd in de zogenaamde Artikel 29-werkgroep (WP29). De WP29 publiceert regelmatig guidelines waarin wordt aangegeven wat het standpunt is van de toezichthouder over bepaalde onderwerpen of over de uitleg van begrippen uit de AVG. Vaak worden deze guidelines eerst in concept gepubliceerd. Dat concept staat dan open voor consultatie. In december 2017 heeft de WP29 concept guidelines gepubliceerd over ‘Transparantie’ en ‘Toestemming’. Deze concept guidelines staan tot en met 23 januari 2018 open voor consultatie.
In oktober 2017 zijn de guidelines over de ‘Meldplicht datalekken’ en over ‘Profiling’ in consultatie gegaan. Die consultaties zijn inmiddels gesloten. Een definitieve versie van deze guidelines is op dit moment nog niet beschikbaar. Van de guidelines on Data Protection Impact Assessment (DPIA) is in oktober 2017 een definitieve versie gepubliceerd. Van deze guidelines is een Nederlandse vertaling beschikbaar. Ook is in oktober 2017 de definitieve versie gepubliceerd van de guidelines on the application and setting of administrative fines (administratieve boetes).
Op grond van artikel 27 van de Wbp bestaat in bepaalde gevallen een meldplicht voor een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. De verantwoordelijke voor de verwerking dient in dat geval een melding te doen bij de AP. Deze meldplicht komt niet terug in de AVG. Vooruitlopend op het van kracht worden van de AVG heeft de AP aangekondigd per 6 november 2017 niet langer te handhaven op deze meldplicht. Dat geldt overigens niet voor de verwerking van persoonsgegevens met een bepaald risico zoals bedoeld in artikel 31 van de Wbp. Dan gaat het om het koppelen van bestanden door het gebruik van BSN, het verwerken van persoonsgegevens uit eigen onderzoek zonder het informeren van de betrokkene daarover en bepaalde verwerkingen van strafrechtelijke gegevens. Op die meldplicht heeft de aankondiging van de AP dan ook geen betrekking.
Dit artikel is ook te vinden in de dossier AVG en Datalek
