AVGB-update: Overzicht

Vanaf vandaag, 25 mei 2018, is de AVGB van toepassing. Deze AVGB-update is de laatste update in deze reeks. Gedurende de afgelopen zestien maanden hebben wij verschillende, belangrijke onderwerpen besproken met betrekking tot de AVGB. Onderaan deze update is hiervan een overzicht opgenomen.

In de maatschappij is veel te doen (geweest) omtrent de implementatie van deze nieuwe privacywetgeving. De afkorting 'AVG', de datum 25 mei 2018 en het vooruitzicht van €20 miljoen aan bestuurlijke boetes hebben veel media-aandacht gekregen. Dit heeft geleid tot een zekere mate van onrust binnen veel organisaties, van wereldwijd opererende ondernemingen tot lokale sportverenigingen.

WG29 publicaties

Niet alleen wij hebben regelmatig gepubliceerd over de AVGB, ook de Artikel 29 Werkgroep (de WG29) heeft niet stilgezeten in de afgelopen maanden. De WG29 is een overkoepelend orgaan dat bestaat uit vertegenwoordigers van lokale privacy toezichthouders. Zij publiceert regelmatig richtlijnen en opinies over (de uitleg van) diverse onderwerpen op het gebied van gegevensbescherming. Hoewel deze documenten juridisch niet-bindend zijn, geven zij nuttige inzichten in de wijze waarop de toezichthoudende autoriteiten belangrijke bepalingen en beginselen van de AVGB interpreteren.

De WG29 heeft richtlijnen gepubliceerd over toestemming, transparantie, datalekken, functionarissen voor gegevensbescherming (DPO's), de leidende toezichthoudende autoriteit, gegevensbeschermingseffectbeoordelingen (PIA's), het recht op overdraagbaarheid van gegevens, profilering en geautomatiseerde-besluitvorming, en de toepassing en vaststelling van administratieve geldboeten. (Aan richtlijnen met betrekking tot de territoriale reikwijdte van de AVGB wordt gewerkt, hoewel een eerdere publicatie hiervan welkom zou zijn geweest.)

In de richtlijnen over transparantie behandelt de WG29 de inhoud van privacyverklaringen en geeft zij inkleuring aan de vereisten van de artikelen 13 en 14 AVGB. Daarnaast bespreekt de WG29 de manier waarop en de vorm waarin de betrokkenen geïnformeerd moeten worden over de inhoud van deze verklaringen. Wij adviseren organisaties deze richtlijnen te raadplegen bij het opstellen van privacyverklaringen in overeenstemming met de AVGB. Verder schrijven de transparantierichtlijnen voor dat betrokkenen actief geïnformeerd moeten worden over aanpassingen van de privacyverklaring, waaronder aanpassingen die in verband met de AVGB zijn gemaakt, evenals verdere materiële wijzigingen. Organisaties kunnen betrokkenen op verschillende manieren 'actief informeren', bijvoorbeeld door het sturen van een e-mail, het verstrekken van een papieren versie van de privacyverklaring of het tonen van een pop-up op de website met daarin de laatste wijzigingen opgenomen. De transparantierichtlijnen vermelden expliciet dat het enkel publiceren van een nieuwe versie van de privacyverklaring op een website onvoldoende is.

Bij het lezen van de richtlijnen over toestemming wordt al snel duidelijk dat verantwoordelijken, waar mogelijk, gegevensverwerkingen zo min mogelijk op de wettelijke grondslag van toestemming moeten baseren, omdat het verkrijgen van geldige toestemming niet eenvoudig is. De definitie van toestemming bestaat uit een aantal criteria waaraan de verantwoordelijke moet voldoen. De WG29 benoemt expliciet dat met name in de werkgever-werknemer-sfeer het verwerken op basis van toestemming moet worden vermeden. (Wij begrijpen echter dat bepaalde EU-lidstaten juist van werkgevers vereisen dat zij toestemming vragen voor de verwerking van persoonsgegevens van de werknemer, hetgeen een geharmoniseerde aanpak in de EU niet bevordert).

De juridisch niet-bindende richtlijnen en opinies van de WG29 staan soms ver af van de praktijk. Bovendien zijn deze op sommige punten strikter dan de bewoordingen van de AVGB. Onze ervaring is echter dat toezichthouders deze richtlijnen nauwgezet volgen. Ook blijkt uit jurisprudentie over gegevensbeschermingskwesties (onder de EU Privacy Richtlijn) dat ook de Nederlandse rechters belang hechten aan de richtlijnen en adviezen van de WG29.

Handhavingsactiviteiten toezichthoudende autoriteiten

Een groot deel van de bovengenoemde maatschappelijke onrust ziet op de eventuele handhaving van de toezichthouders. Organisaties lijken grote vrees te hebben om beboet te worden, wat gepaard gaat met het risico op negatieve publiciteit.

Deze vrees voor boetes wordt versterkt door het feit dat de Autoriteit Persoonsgegevens (en andere lokale toezichthouders) opvallend stil is over de voorgenomen handhavingsactiviteiten. Tot op heden heeft de Autoriteit Persoonsgegevens geen beleid gepubliceerd omtrent de handhaving van de AVGB en het opleggen van bestuurlijke boetes in Nederland.

Cliënten vragen ons geregeld of de toezichthouders na 25 mei onmiddellijk organisaties die niet 'compliant' zijn, zullen beboeten. Zoals besproken in onze AVGB-update over sancties, verwachten wij dat dit niet het geval zal zijn. Organisaties die momenteel goed op weg zijn met de implementatie van de AVGB, zullen waarschijnlijk eerst met andere corrigerende maatregelen geconfronteerd worden. Echter, de toezichthouders hebben nu eenmaal de bevoegdheid om zonder waarschuwing bestuurlijke boetes op te leggen, en zij hebben deze mogelijkheid duidelijk opengelaten.

Laatste opmerkingen

Het implementeren van de AVGB vergt de nodige creativiteit. Er bestaat maar weinig duiding over de manier waarop verschillende, nieuw geïntroduceerde vereisten en begrippen in de praktijk toepassing zouden moeten vinden. Duiding is te vinden in de overwegingen bij de AVGB, de WG29 richtlijnen en opinies, huidige beleidsdocumenten en richtlijnen van toezichthouders en parlementaire stukken.

Handhavingsactiviteiten en bindende besluiten van toezichthouders zullen de komende periode extra inzicht bieden in de interpretatie en implementatie van de AVGB.

Wij zullen regelmatig blijven publiceren over de AVGB en de wijze waarop deze wordt gehandhaafd, en andere relevante onderwerpen op het gebied van bescherming van persoonsgegevens (bijvoorbeeld de concept e-Privacy Verordening).

Klik hier om u aan te melden voor deze nieuwsbrief

Overzicht van te behandelen onderwerpen

Januari 2017 Territoriale reikwijdte van de AVGB
Februari 2017 Het concept van toestemming
Maart 2017 Bijzondere persoonsgegevens
April 2017 'Accountability', 'Privacy by Design' en 'Privacy by Default'
Mei 2017 Rechten van betrokkenen (informatievoorziening)
Juni 2017 Rechten van betrokkenen (inzage, correctie en overdraagbaarheid)
Juli 2017 Rechten van betrokkenen (wissing, beperking, bezwaar en geautomatiseerde besluitvorming)
Augustus 2017 Verwerkers
September 2017 Datalekken en meldplichten
Oktober 2017 Functionaris voor de Gegevensbescherming
November 2017 Doorgifte van persoonsgegevens (buiten de EER)
December 2017 Toezichthouders (competenties, taken en bevoegdheden)
Januari 2018 One Stop Shop
Februari 2018 Sancties
Maart 2018 Verwerkingen van persoonsgegevens in arbeidsverhoudingen
April 2018 Profiliering en Retail
Mei 2018 Overview

Dentons is the world's first polycentric global law firm. A top 20 firm on the Acritas 2015 Global Elite Brand Index, the Firm is committed to challenging the status quo in delivering consistent and uncompromising quality and value in new and inventive ways. Driven to provide clients a competitive edge, and connected to the communities where its clients want to do business, Dentons knows that understanding local cultures is crucial to successfully completing a deal, resolving a dispute or solving a business challenge. Now the world's largest law firm, Dentons' global team builds agile, tailored solutions to meet the local, national and global needs of private and public clients of any size in more than 125 locations serving 50-plus countries. www.dentons.com.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.