Privacybescherming in Nederland: van Koopmans naar AVG dr. Jan Holvast 1
Overzicht presentatie Even voorstellen Kort overzicht ontwikkeling Nederland Gemeenschappelijke kenmerken AVG: van verwachting naar daad uitgangspunten oplossing uitwerking (vergeleken met Wbp) Conclusies 2
Jan Holvast 3
Ontwikkeling nationaal 1970/71: Volkstelling 1972-1976: Staatscommissie Koopmans 1976-1981: Wetsontwerp Koopmans 1981-1985: Ontwerp WoPR: vergunning 1985 1989: Ontwerp WPR: zelfregulering 1989-2001: WPR 2001 2018: WBP Zomer 2018: AVG 4
Gemeenschappelijke kenmerken door de jaren heen Plichten van de verantwoordelijke Rechten betrokkene Onafhankelijk toezicht 5
Stand van zaken 25 januari 2012: Europese Commissie 11 juni 2015: Raad van Europa 9 september 2015: Europees parlement 15 december 2015: trialoog bereikt compromis 27 april 2016: publicatieblad EU In werking: 25 mei 2016 Van toepassing: 25 mei 2018 6
Uitgangspunten Verwerking ten dienste van de mens Vrije verkeer gegevens vergemakkelijken Vertrouwen herstellen ten behoeve van digitale economie Beeld wegnemen dat online activiteiten risico s mee brengen Controle over de eigen gegevens 7
Oplossingen Harmonisering wetgeving Versterking rechten betrokkene Aanscherping plichten verantwoordelijke Strengere handhaving Versterking positie kinderen 8
Reikwijdte Verantwoordelijken en verwerkers in de Unie Aanbieders van goederen en diensten Monitoren van gedrag (profilering) Uitgezonderd: politie (nieuwe richtlijn) openbare veiligheid persoonlijk en huishoudelijk gebruik 9
Begripsbepalingen Hoofdlijnen gelijk gebleven: persoonsgegevens, verwerking, verwerkingsverantwoordelijke, etc. Veel nieuwe begrippen: profilering, inbreuk, pseudonimisering, onderneming. 10
Beginselen Rechtmatigheid, behoorlijkheid, transparantie Doelbinding Minimale gegevensverwerking Juistheid Opslagbeperking (bewaartermijnen) Integriteit en vertrouwelijkheid 11
Rechtmatigheid Toestemming Overeenkomst Wettelijke verplichting Vitaal belang Algemeen belang of openbaar gezag Gerechtvaardigd belang 12
Verenigbaar gebruik Verwantschap van doelen Wijze van verwerking Mogelijke gevolgen Aard van de gegevens Passende waarborgen Wetenschappelijk onderzoek en statistiek 13
Bijzondere gegevens Vergelijkbaar met artikel 16 Wbp en de artikelen 17 tot en met 24 Uitzondering: strafrechtelijke veroordeling of strafbare feiten: alleen onder toezicht overheid toegestaan lidstaatrechtelijke bepaling Verschil met strafrechtelijke gegevens 14
Informatieplicht Verzameld bij betrokkene Verzameld bij anderen Behoorlijk uitgebreid Jip en Janneke taal Tenzij men over de informatie beschikt i.p.v. tenzij men op de hoogte is 15
Rechten betrokken Recht van inzage (gratis) + meer gegevens Recht op rectificatie Recht op gegevenswissing (recht op vergetelheid) Recht van verzet (relatief en absoluut) Verbod uitsluitend geautomatiseerd besluit, tenzij toestemming overeenkomst 16
Recht op vergetelheid Recht op wissing van gegevens (recht op vergetelheid) indien: de gegevens niet meer nodig zijn voor het doel toestemming is ingetrokken en geen ander rechtsgrond is recht relatief of absoluut verzet is toegekend de verwerking onrechtmatig is er geen wettelijke verplichting meer is aanbod diensten betreft (alleen voor kinderen) 17
Recht op vergetelheid Bestaat nu ook al met uitzondering van aanbod diensten (kind) Opgeklopt recht als verkoopargument Controle alleen door inzage Bij constatering van overtreding: geen gebruik maken om te wissen strijd met de beginselen: administratieve boete 18
Nieuwe rechten betrokkene Recht op beperking van de verwerking, wanneer het in het belang van de betrokkene is (zie zaak Chantal, Werkendam) Recht op overdraagbaarheid van de gegevens (gegevensportabiliteit) 19
Uitzonderingen beperkingen Nationale veiligheid Landsverdediging Openbare veiligheid Voorkoming en opsporing strafbare feiten Economische en financiële belangen Onafhankelijkheid van de rechter Schending beroepscodes Rechten en vrijheden van anderen Inning van civielrechtelijke vorderingen 20
Verantwoordelijke Aantonen overeenstemming Verordening (passende maatregelen) Bijhouden register eigen meldingsplicht, indien: onderneming met meer dan 250 werknemers risico voor rechten en vrijheden verwerking niet incidenteel verwerking bijzondere gegevens 21
Verantwoordelijke Privacy by design: verantwoordelijke is verplicht de verwerking in overeenstemming te brengen met de Verordening (passende maatregelen) Privacy by default: de gegevens zo weinig mogelijk toegankelijk maken voor anderen en alleen gebruiken voor het aangegeven doel 22
Voorafgaand onderzoek Gegevensbeschermingseffectbeoordeling wanneer verwerking een hoog risico inhoudt Indien resultaat is hoog risico en er worden geen maatregelen genomen, dan.. toezichthouder raadplegen (dus alsnog voorafgaand onderzoek) 23
Zelfregulering Gedragscodes (overleg met betrokkenen) Certificering Zegels Aansluiting is teken van accountability 24
Internationaal Door commissie vastgestelde landen Indien er passende waarborgen zijn De bekende voorwaarden van artikel 77 Wbp 25
Onafhankelijk toezicht (1) Toezichthoudende autoriteit: Veel taken en bevoegdheden Nadruk op naleving, maar ook advies en voorlichting (scholen) Meer repressief dan preventief Hoge boetes (doeltreffend, evenredig en afschrikwekkend) 26
Onafhankelijk toezicht (2) Functionaris voor de gegevensbescherming: overheid regelmatig en stelselmatig observatie op grote schaal hoofdzakelijk grootschalige verwerking bijzondere gegevens 27
Conclusie (1) Plichten iets aangescherpt, bewijslast ligt bij de verantwoordelijke Meer nadruk op risico en PIA Rechten: weinig veranderd Toezicht: aangescherpt Boetes fors gestegen Melding datalekken 28
Conclusie (2) Harmonisering wetgeving (+/-) Versterking rechten betrokkene (+/-) Aanscherping plichten verantwoordelijke (+) Controle over de eigen gegevens (-) Strengere handhaving (+) Versterking positie kinderen (?) 29
Conclusie (3) Na veel ophef, verkooppraatjes en valse beloftes tussen 2012 en 1016 zijn we terug bij de richtlijn 95/46/ EG, maar wel met veel onduidelijkheden Teleurstellend na een theoretische discussie van 4 jaar 30