+31 (0)20 2060700info@devos.nl
“Uitvoeringswet AVG: Nederlandse implementatie van de regels uit de Europese privacyrichtlijn”

“Uitvoeringswet AVG: Nederlandse implementatie van de regels uit de Europese privacyrichtlijn”

Bij velen zal inmiddels wel bekend zijn dat vanaf eind mei 2018 de nieuweEuropese privacyrichtlijn in werking treedt. Voor degenen die dat nog niet weten; de “Algemene verordening gegevensbescherming” (AVG) beoogt verdergaande harmonisatie van de regels rond de bescherming van persoonsgegevens en de bevordering van vrij verkeer van gegevens binnen de EU. Als gevolg hiervan krijgen ondernemingen die persoonsgegevens verwerken meer verplichtingen. Het is dan ook belangrijk dat ondernemingen zich hiervan bewust zijn en de nodige maatregelen treffen (mede ook gelet op de hogere boetes die gaan gelden bij niet-naleving). Mijn collega Els Doornhein schreef eerder al een nieuwsbrief over de implicaties van de AVG.

In beginsel is de Nederlandse wetgever niet verplicht om de regels uit de AVG te implementeren in nieuwe nationale wetgeving. Het betreft immers een Europese verordening, die directe werking heeft in Nederland. De AVG legt echter wel de verplichting op aan EU lidstaten om bepaalde zaken te regelen (zoals de oprichting van een nationale autoriteit die toezicht houdt), en geeft hen tevens de mogelijkheid om bepaalde normen en regels uit de AVG verder in te vullen. Om die redenen is in Nederland de “Uitvoeringswet Algemene verordening gegevensbescherming” opgesteld, die onlangs is gepubliceerd en bepaalde zaken uit de AVG verder invult en de huidige Nederlandse privacywet (Wbp) zal vervangen.

Hieronder wordt kort stilgestaan bij enkele bepalingen uit de Uitvoeringswet AVG:

  • Toepassingsbereik Uitvoeringswet AVG groter (artikel 3)

De AVG is niet van toepassing op verwerkingen van persoonsgegevens in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen. De Uitvoeringswet AVG gaat een stapje verder, en is ook van toepassing op dergelijke verwerkingen die vallen buiten werkingssfeer AVG. De Uitvoeringswet AVG zal dus al snel van toepassing zijn bij activiteiten die verband houden met de verwerking van persoonsgegevens, ook indien de AVG formeel niet van toepassing lijkt.

  • Bestuurlijke boete aan overheden (artikel 18)

In tegenstelling tot de eerdere concept versie van de Uitvoeringswet AVG, is thans wel opgenomen dat ook aan overheidsinstanties of overheidsorganen een bestuurlijke boete kan worden opgelegd bij overtreding van de AVG. Het lijkt mij ook niet meer dan fair dat naast de private sector ook publieke   instellingen een “prikkel” krijgen om te voldoen aan de AVG.

  • Opschortende werking boete (artikel 38)

Uit artikel 38 AVG volgt dat indien de Nederlandse toezichthouder (de Autoriteit Persoonsgegevens) een boete oplegt, de boete niet geëind wordt zolang een (rechterlijke) procedure loopt. Indien men bezwaar maakt tegen de boete en (nadien) beroep instelt bij de bestuursrechter, hoeft men de boete vooralsnog niet te betalen. Op het eerste gezicht een reden dus om een dergelijk boetebesluit altijd aan te vechten, wat in de praktijk waarschijnlijk ook vaak zal gebeuren gelet op de hoge boetes die kunnen worden opgelegd. Wellicht slechts “uitstel van executie”, en moet men de boete uiteindelijk alsnog betalen. Maar we hebben het hier over nieuwe Europese wetgeving, zodat niet uitgesloten kan worden dat de Autoriteit Persoonsgegevens bepaalde regels uit de AVG verkeerd interpreteert. Om meerdere redenen kan het dus zinvol zijn om een boetebesluit aan te vechten.

  • Verwerking biometrische gegevens (artikel 29)

In de AVG is opgenomen dat dat genetische en biometrische gegevens zijn aan te merken als bijzondere categorieën van persoonsgegevens (indien zij worden verwerkt met het oog op de unieke identificatie van een persoon). DNA is een genetisch gegeven, en bij biometrische gegevens moet men denken aan bijv. vingerafdrukken en irisscans.

Er is een verbod op het verwerken van dergelijke bijzondere persoonsgegevens, tenzij aan bepaalde (strikte) uitzonderingen wordt voldaan (er is bijv. uitdrukkelijk toestemming gegeven door de betrokkenen zelf of verwerking geschiedt in het kader van een zwaarwegend algemeen belang). De AVG laat wel ruimte aan de lidstaten om bijkomende voorwaarden (waaronder beperkingen) te stellen voor de verwerking van genetische of biometrische gegevens. Daarvan heeft Nederland gebruik gemaakt, door in artikel 29 Uitvoeringswet AVG te bepalen dat verwerking van biometrische gegevens is toegestaan indien “noodzakelijk” voor “authenticatie of beveiligingsdoeleinden”. Daarvan zal in de praktijk denk ik snel sprake zijn, dus het verbod op gebruik van biometrische gegevens lijkt te zijn versoepeld. Het biedt (ook) de Nederlandse overheid meer ruimte om dergelijke gegevens zelf te gaan gebruiken.

  • Uitzondering op geautomatiseerde individuele besluitvorming (artikel 40)

In de AVG is opgenomen dat personen (in beginsel) niet mogen worden onderworpen aan “een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit”. Het gebruik van “big data”, onder meer voor profilering, is dus niet toegestaan. Dit is slechts anders indien – kort gezegd – verwerking noodzakelijk is ter uitvoering overeenkomst, voorzien bij wet en/of geschiedt met uitdrukkelijke toestemming van de betrokkene. Bij bijzondere persoonsgegevens gelden nog strengere eisen.

De Nederlandse wetgever heeft ervoor gekozen om te bepalen dat het gebruik van big data (ook) mogelijk is indien dat noodzakelijk is om te voldoen aan een wettelijke verplichting of noodzakelijk is voor de vervulling van een taak van algemeen belang (artikel 40 Uitvoeringswet AVG). Vrij algemeen geformuleerd, en laat de Nederlandse overheid (dus) relatief veel ruimte om het gebruik van big data toe te staan (ook daar haarzelf!).

Tot slot:

het zal interessant worden op welke wijze de diverse EU landen de regels uit de AVG uitleggen in hun eigen uitvoeringswetten, en hoe de diverse toezichthoudende autoriteiten in elk land deze vervolgens naleven. Dit zal er ongetwijfeld toe leiden dat sommige EU lidstaten een “soepeler” privacy-beleid zullen hanteren. Het valt dan ook niet uit te sluiten dat enkele (grote) ondernemingen die op grote schaal persoonsgegevens verwerken (bijv. Facebook, Uber, Airbnb), wellicht geneigd zijn om hun (hoofd)vestiging te verplaatsen naar een ander EU land indien blijkt dat de AVG regels aldaar soepeler worden toegepast.

Jasper Hulsebosch

De Vos & Partners Advocaten helpt u graag met de voorbereiding op de AVG en de nodige overeenkomsten. Voor meer informatie, waaronder voor ons stappenplan om AVG proof te worden kijkt u op: https://www.devos.nl/rechtsgebieden/privacy. Voor het maken van een afspraak of voor advies kunt u contact opnemen met onze privacy experts Els Doornhein (edoornhein@devos.nl / 020-2060717) en Jasper Hulsebosch (jhulsebosch@devos.nl / 0202060734).

Geschreven door

Els Doornhein

Partner

 
Maak een afspraak

Jasper Hulsebosch

Advocaat

 
Maak een afspraak

Deel dit bericht



Laatste nieuws

15-02-2019 - door

Doorstart in faillissement B.V. Hotel Operational Services

Ons kantoor is trots dat in het faillissement van B.V. Hotel... Lees meer

04-02-2019 - door

Els Doornhein bij Kassa in de tv uitzending over de klachttermijn voor consumenten

In de tv uitzending van Kassa d.d. 2 februari 2019 kwam Els ... Lees meer

Copyright/Disclaimer © 2017 by De Vos & Partners N.V., Amsterdam, Nederland. All rights reserved. Created by Supreme being 21.3