Op 28 mei 2018 wordt bijna alles op het gebied van privacybescherming in Europa anders. In Nederland verdwijnt de Wet bescherming persoonsgegevens die – in heel Europa – wordt vervangen door de Algemene Verordening Gegevensbescherming. De tien grootste veranderingen in vogelvlucht.
(Dit is een ultrakorte samenvatting van een artikel van Prof. mr. Gerrit-Jan Zwenne & mr. Laurens Mommers – zie hieronder voor een nette bronvermelding en link naar het hele verhaal).
1. Verordening en geen richtlijn
De oude richtlijn liet ruimte voor verschillen tussen landen: de nieuwe verordening hoeft niet te worden omgezet naar nationale wetgeving maar legt rechtstreekse verplichtingen op aan iedereen die persoonsgegevens verwerkt. Ook worden de rechten van alle betrokkenen gelijk getrokken.
2. Nieuwe begrippen
In de Wet bescherming persoonsgegevens ging het allemaal om de verantwoordelijke en de bewerker. Die begrippen veranderen vanaf 2018 in respectievelijk de ‘verwerkingsverantwoordelijke’ en de ‘verwerker’.
3. Oprekking begrippen
De definitie van ‘persoonsgegevens’ is niet veranderd. Maar privacytoezichthouders hebben de sterke neiging de reikwijdte van de wet op te rekken en de nieuwe verordening biedt daar enige mogelijkheden toe.
4. Uitbreiding terrotorium
Als gegevens buiten de Unie worden verwerkt of als de verantwoordelijke in een land buiten de Unie is gevestigd (bijvoorbeeld een bedrijf dat gegevens in opdracht van een verantwoordelijke in de cloud verwerkt) is de verordening van toepassing. Ook als een buitenlandse onderneming goederen of diensten aanbiedt in de Unie of gedrag (dat in de Unie plaatsvindt) monitort. Dit raakt veel niet-Europese ondernemingen.
5. Uitbreiding verplichtingen verwerkers
In de oude richtlijn moest elk land zelf in de wet vastleggen dat persoonsgegevens conform de richtlijn worden verwerkt en dat er met bewerkers een overeenkomst werd gesloten (onder andere voor geheimhoudingsverplichting). Daar komen nu tien nieuwe verplichtingen bij die rechtstreeks vanuit de verordening gelden voor verwerkers. In het kort: meldplicht van inbreuken, register van alle verwerkingen bijhouden, meewerken aan onderzoek toezichthouder, functionaris voor gegevensverwerking aanstellen. De verantwoordelijke was het aanspreekpunt in het oude systeem: straks kan elke verwerker (wat vroeger dus ‘bewerker’ heette) direct worden aangesproken door betrokkenen en toezichthouders.
6. Uitbreiding rechten betrokkenen
Betrokkenen mogen meer informatie over de verwerking opvragen, onder andere de bewaartermijn, klachtrechten, mogelijkheden tot geautomatiseerde besluitvorming/profilering en doorgifte naar landen buiten de Unie. Verder een recht op ‘vergetelheid’ (wissingsrecht), op overdragen van gegevens naar een andere verantwoordelijke en op ‘beperking’ – een soort opschorten van de verwerking zolang het onderzoek naar de rechtmatigheid loopt.
7. Uitbreiding formaliteiten
Verantwoordelijken en bewerkers (verwerkers in de nieuwe terminologie) moeten meer regelen: gedetailleerdere informatieplicht, vermelden bewaartermijn, betere klachtenprocedures, een register van alle verwerkingen bijhouden en een gegevensfunctionaris aanstellen.
8. Uitbreiding internationale doorgifte
Landen buiten de Europese Economische Ruimte die gegevens niet goed kunnen beschermen, kunnen bij uitzondering toch gegevens krijgen. Daar zijn nationale standaardcontracten, gedragscodes en certificeringen voor.
9. Europees Comite voor Gegevensbescherming
Dit is ‘het Comité’: adviseert, stelt richtsnoeren vast, doet aanbevelingen, laat best practices zien – zowel gevraagd als ongevraagd.
10. Uitbreiding boetes
Twee boetes zijn mogelijk: € 10 miljoen (of 2% van de wereldwijde jaaromzet) of € 20 miljoen (of 4% van de wereldwijde jaaromzet). Wie van de verschillende toezichthouders de boete mag incasseren is niet vastgelegd: dat wordt dus spannend.
BRONVERMELDING
Dit is een – ultrakorte – samenvatting van het geweldige artikel ‘De tien belangrijkste veranderingen die de Algemene Verordening Gegevensbescherming gaat brengen (in minder dan vijfduizend woorden)‘ van Prof. mr. Gerrit-Jan Zwenne & mr. Laurens Mommers. Lees hun hele verhaal hier
Bron: SlimBekeken
Mensen boven Macht – Edwin Tuin
‘We blijven steeds in dezelfde valkuilen vallen’
Toezicht in verbinding – Weinig zon en veel behang? Blog Paul van Dijk
