1. Wat is de nieuwe Europese privacywet?

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (hierna: de AVG) in de gehele Europese Unie (EU) van toepassing. De AVG brengt grote wijzigingen aan in het Europese privacyrecht. Voor de inwerkingtreding van de AVG hanteerde elk land zijn eigen privacywetgeving. De AVG treedt in de plaats van de Europese Privacyrichtlijn 1995 en de daarop gebaseerde Nederlandse Wet Bescherming Persoonsgegevens (Wpb). De verordening heeft anders dan de Privacyrichtlijn rechtstreekse werking in alle lidstaten. Hiermee lost de nieuwe regelgeving grotendeels de fragmentatie van de Europese privacywetgeving op. Sommige bepalingen uit de AVG moeten wel in nationale regelgeving nader worden uitgewerkt, zoals die omtrent de nationale toezichthouder.

2. Waarop ziet de nieuwe wetgeving?

Onderwerp van de Algemene Verordening Gegevensbescherming is de verwerking van persoonsgegevens. Art. 4 onderdeel 1 AVG verstaat hieronder ‘alle informatie over een geïdentificeerde of identificeerbare persoon’. Daaronder vallen allerlei soorten informatie, bijvoorbeeld omtrent verblijfplaats, vingerafdruk en pasfoto, maar ook arbeidsverleden en het bezoek van websites. Op de verwerking van bijzondere persoonsgegevens, zoals bepaalde medische informatie en informatie omtrent ras, politieke overtuiging of religie (art. 9 lid 1 AVG), is strengere regelgeving van toepassing. ‘Verwerking’ omvat alle handelingen die worden uitgevoerd met persoonsgegevens, zoals opslaan, gebruik en doorzenden.

Volgens de AVG is de ‘verantwoordelijke’ de partij die het doel en de middelen voor de verwerking van de persoonsgegevens bepaalt (art. 4 onderdeel 7 AVG). Dat is meestal de gemeente. Onder ‘betrokkene’ vallen meestal de burger en ambtenaren. Als ‘verwerker’ kwalificeert doorgaans de partij die de gemeente inschakelt om persoonsgegevens te verwerken. Toezicht op de naleving van de AVG is de taak van de Autoriteit Persoonsgegevens (AP).

3. Welke verplichtingen legt de AVG op?

Volgens art. 5 lid 1 AVG zijn de basisbeginselen van de verordening ‘doelbinding’, ‘minimale gegevensverwerking’, ‘juistheid’, ‘opslagbeperking’ en ‘integriteit en vertrouwelijkheid’. Nieuw ten opzichte van de Wpb is de ‘verantwoordingsplicht’; ingevolge art. 5 lid 2 AVG moeten gemeenten kunnen aantonen dat zij de beginselen naleven. Op grond van art. 30 lid 1 AVG dienen gemeenten ook hun verwerkingsactiviteiten bij te houden, dit is de zogenaamde ‘documentatieplicht’. Bij de uitvoering van de verordening moeten de gemeenten uitgaan van ‘privacy-by-design’ en privacy-by-default’ (art. 25 AVG), wat betekent dat ze bij het opstellen van nieuw beleid vanaf het begin af aan privacy meewegen.

Alle verwerkingen moeten voldoen aan tenminste één van de zes in art. 6 AVG genoemde voorwaarden. Hoewel deze grotendeels overeenkomen met die in de Wpb, bevatten ze enkele zwaardere restricties op gegevensverwerking door gemeenten. Zo kan de verwerking van gegevens van een burger door de gemeente niet gebaseerd worden op toestemming. Ook bevat de AVG in art. 13 en 14 AVG een uitgebreide verplichting van de verantwoordelijken om informatie te verstrekken aan betrokkenen. Die informatie bevat onder andere de contactgegevens van de gemeente, het doel en de grondslag van de verwerking en rechten van de betrokkene ten opzichte van de gemeente. Art. 12 en 13 AVG vullen de technische details van de informatieplicht nader in. Een gemeente die samenwerkt met andere gemeenten of private instellingen bij het verwerken van gegevens dient met die partijen een overeenkomst te sluiten die inhoudelijk voldoet aan de voorwaarden van art. 26 AVG.

Ingevolge de AVG dient in sommige situaties een zogenaamde ‘gegevensbeschermingseffectenbeoordeling’ uitgevoerd te worden. Dit heet ook wel een Privacy Impact Assessment (PIA). Deze moet onder andere plaatsvinden in het geval van grootschalige gegevensverwerking en stelselmatige monitoring van publieke ruimte (art. 35 lid 4 AVG).

4. Wat zijn de rechten van betrokkenen?

De AVG geeft aan betrokkenen bepaalde rechten ten opzichte van gemeenten. Hieronder vallen onder andere het recht van inzage (art. 15 AVG) en het recht van bezwaar (art. 21 AVG). Nieuw vergeleken met de Wpb is het recht op gegevensopenbaarheid (art. 20 AVG). De betrokkene heeft het recht om zijn eigen persoonsgegevens te verkrijgen van de gegevensverwerker, zodat hij deze kan overdragen aan een andere partij. Ook het recht op beperking van de verwerking (art. 18 AVG) is nieuw  ten opzichte van de Wpb.

5. Hoe werkt de beveiliging en de meldplicht datalekken?

Gemeenten dienen op grond van art. 32 lid 1 AVG een op het risico afgestemd beveiligingsniveau te waarborgen. Daaronder vallen bijvoorbeeld maatregelen als het pseudonimiseren van persoonsgegevens en het gebruik van gebruikersaccounts en wachtwoorden. Bij de beoordeling van het beveiligingsniveau moet de gemeente rekening houden met risico’s als gevolg van vernietiging, wijziging en ongeoorloofde toegang tot gegevens (art. 32 lid 2 AVG). Uit onderzoek blijkt dat datalekken veel voorkomen bij gemeenten. Datalekken moeten worden gemeld aan de AP en in ernstige gevallen ook aan betrokkenen (art. 33 en 34 AVG).

6. Wie is de functionaris voor gegevensbescherming?

Art. 37 lid 1 AVG verplicht gemeenten om een functionaris voor gegevensbescherming (FG) in te stellen. Deze functionaris moet deskundig zijn op het gebied van privacywetgeving en –praktijk (lid 5). Daarnaast moet hij of zij op grond van de Europese Art 29-werkgroep WP29 ook goede kennis hebben van de administratie en procedure van de betreffende organisatie. De taken van de functionaris staan opgesomd in art. 39 AVG. De WP29 adviseert dat overheidsinstanties alle gegevensverwerkingen onder de verantwoordelijkheid van de FG plaatsen. Op grond van art. 38 AVG moet de gemeente de functionaris faciliteren in de onafhankelijke uitvoering van diens taak.

7. Hoe moet worden omgegaan met bijzondere persoonsgegevens?

Art. 9 lid 1 AVG verbiedt de verwerking van bijzondere persoonsgegevens, tenzij er sprake is van een uitzondering. De lijst met uitzonderingen moet nog door de wetgever in de Uitvoeringswet AVG worden opgemaakt.

8. Hoe ver strekt de boetebevoegdheid van de AP?

De AP kan een hoge geldboete opleggen, namelijk tot een maximum van 20 miljoen euro (art. 83 lid 6 AVG). Ondernemingen kunnen een nog hogere boete ontvangen door een bijtelling tot 4% van de totale wereldwijde jaaromzet. De AVG geeft ruimte aan lidstaten om hiervan af te wijken. De Nederlandse wetgever heeft nog geen duidelijkheid gegeven over of zij wel of niet van deze mogelijkheid gebruik zal maken.