Misverstanden
Nog acht maanden, en dan moeten alle organisaties voldoen aan de Europese privacyverordening. Volgens Ad van Loon van Digital Me zijn er echter nog veel misverstanden rondom de Algemene Verordening Gegevensbescherming. Hij zet er voor SecurityVandaag tien op een rij, en wel in twee delen. Vandaag de nummers 6 tot en met 10.
6. De AVG schrijft voor dat ik een ‘functionaris voor de gegevensbescherming’ moet aanstellen.
Organisaties die op grootschalige wijze bijzondere categorieën van gegevens verwerken (persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid) zijn verplicht een functionaris voor de gegevensbescherming aan te wijzen. Dat moet gebeuren op grond van zijn/haar professionele kwaliteiten en, in het bijzonder, zijn/haar deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn/haar vermogen zijn/haartaken te vervullen. De positie en de taken van de functionaris voor de gegevensbescherming zijn wettelijk vastgelegd in de AVG.
Er hoeft echter niemand voor in dienst te worden genomen. Een organisatie kan er ook voor kiezen de rol van functionaris voor de gegevensbescherming in te kopen als een dienst. Dit heeft het grote voordeel dat de rol kan worden losgekoppeld van de persoon en daardoor wordt het mogelijk dat bepaalde aspecten door een jurist worden ingevuld en andere aspecten door een technicus, programmeur, bedrijfskundige of econoom.
7. De AVG eist dat ik mijn producten ontwikkel op basis van ‘Privacy by Design’.
In de AVG wordt nergens gesproken over ‘Privacy by Design’. In de Engelse versie wordt gesproken over ‘Data Protection by Design’ en in de Nederlandse versie over ‘Gegevensbescherming door ontwerp’.
De AVG eist dat organisaties die persoonsgegevens verwerken (en organisaties die voor die verwerking verantwoordelijke zijn) zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen treffen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de AVG en ter bescherming van de rechten van de betrokkenen.
8. Uit de AVG volgt dat ik een bewerkersovereenkomst moet sluiten met de ‘hostingproviders’ waarbij ik gegevens opsla.
Wat nu nog een ‘bewerkersovereenkomst’ heet, heet straks een ‘verwerkingsovereenkomst’. ‘Bewerkers’ worden ‘verwerkers’. Externe providers van hostingdiensten zijn niet altijd verwerkers in de zin van de AVG. Wellicht kunnen zij als ‘hostingprovider’ worden aangemerkt in de zin van de richtlijn ‘Elektronische handel’. Deze richtlijn regelt de aansprakelijkheid van hostingproviders. Op grond daarvan is een hostingprovider, wanneer diens dienst bestaat uit de opslag van de door een afnemer van de dienst verstrekte informatie, niet aansprakelijk voor de op verzoek van de afnemer van de dienst opgeslagen informatie, op voorwaarde dat:
- de dienstverlener niet daadwerkelijk kennis heeft van de onwettige activiteit of informatie en, wanneer het een schadevergoedingsvordering betreft, geen kennis heeft van feiten of omstandigheden waaruit het onwettige karakter van de activiteiten of informatie duidelijk blijkt, of
- de dienstverlener, zodra hij van het bovenbedoelde daadwerkelijk kennis heeft of besef krijgt, prompt handelt om de informatie te verwijderen of de toegang daartoe onmogelijk te maken.
De AVG bepaalt expliciet dat zij de aansprakelijkheidsbepalingen van de richtlijn elektronische handel onverlet laat.
Sommige juristen stellen zich op het standpunt dat een provider van hostingdiensten toch als een verwerker moet worden aangemerkt in de zin van de AVG, wanneer deze provider persoonsgegevens verwerkt. Aanbieders van hostingdiensten die willen voorkomen als verwerker in de zin van de AVG te worden aangemerkt, zouden dit naar mijn mening kunnen doen door hun klanten ertoe te verplichten persoonsgegevens uitsluitend versleuteld op te slaan, waarbij de klanten zelf de sleutels behouden.
Waar persoonsgegevens extern worden gehost, is het in ieder geval aan te raden met deze bedrijven afspraken maakt over de beveiliging, back up, beheer back ups en dergelijke.
9. De AVG verplicht mij om persoonsgegevens binnen de EU op te slaan.
Persoonsgegevens mogen overal ter wereld worden opgeslagen of anderszins worden verwerkt. Voorwaarde is wel dat in het land van opslag dezelfde bescherming wordt geboden als in de EU. Dit kan blijken uit een zogenaamd ‘adequaatheidsbesluit’ van de Europese Commissie; dit is een besluit waarbij de Europese Commissie heeft vastgesteld dat de bescherming in een bepaald land buiten de EU (of binnen een bepaalde economische sector in zo’n land) voldoende adequaat is (een voorbeeld hiervan is de ‘Privacy Shield’-overeenkomst tussen de EU en de VS). Een adequate bescherming kan ook worden aangetoond doordat bijvoorbeeld door de Europese Commissie of een nationale toezichthouder opgestelde of goedgekeurde contractbepalingen worden gehanteerd in de af te sluiten verwerkingsovereenkomst.
10. De AVG treedt op 25 mei 2018 in werking.
De AVG is al in werking getreden; namelijk op 24 mei 2016. De AVG bepaalt echter zelf dat zij van toepassing is met ingang van 25 mei 2018. Tegelijkertijd bepaalt zij ook dat elke betrokkene, naast de mogelijkheid tot het indienen van een klacht bij de toezichthouder, het recht heeft ‘een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet’.
Ik ben van mening dat wanneer iemand op grond hiervan een civiele procedure start met als argument dat zijn of haar rechten uit hoofde van de AVG geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan de AVG voldoet, de rechter zijn of haar oordeel zal baseren op de AVG. Immers, de rechter wordt geconfronteerd met een Europese wet die rechtstreekse werking heeft in de Nederlandse rechtsorde (en die dus niet, zoals bij een EU-richtlijn het geval is, eerst in Nederlandse wetgeving moet worden omgezet) en hij of zij zal die Europese wet dan ook gewoon toepassen; althans zeker als het gaat om bepalingen die het individu bepaalde rechten toekennen en die voldoende duidelijk zijn. Dit zijn namelijk de criteria die in de rechtspraak zijn ontwikkeld ten aanzien van bepalingen uit EU-richtlijnen die niet vóór de in de richtlijn opgenomen deadline in nationale wetgeving zijn omgezet. Helaas is er echter nog geen jurisprudentie over de toepassing van bepalingen uit verordeningen die bepalen dat deze wel in werking treden, maar nog niet zullen worden toegepast.
Ad van Loon is Senior Legal Counsel bij Digital Me B.V.