Samenvatting Europa en privacy
Week 1 Europa en Privacy
H1.1 Ontstaan Europees privacyrecht
Privacyrecht wordt gebruikt als overkoepelende term voor regels die op enigerlei wijze raken aan de persoonlijke levenssfeer van individuen.
Basis voor deze regels is neergelegd in:
- Internationale verdragen;
- Het EU-recht;
- Nederlandse Grondwet
Dit blok gaat over specifiek onderdeel van privacyrecht: de regels over het beschermen van persoonsgegevens zoals zij gelden binnen
Nederland.
Voor de Europese Unie zijn er regels inzake persoonsgegevensbescherming neergelegd in de Algemene Verordening gegevensbescherming
(AVG). Deze verordening biedt ruimte voor nationale invulling.
- Betekent dat landen binnen de EU zelf wetten mogen maken om bepaalde onderwerpen te regelen
- In Nederland geldt daarvoor de Uitvoeringswet Algemene Verordening gegevensbescherming (UAVG).
1.3 t/m 1.5
Overzicht van de belangrijkste ontwikkelingen op privacygebied binnen Europa gedurende de afgelopen decennia
In de EU ontstond de wens om binnen de interne markt het vrije gegevensverkeer te garanderen, waardoor verdere harmonisatie van het
gegevensbeschermingbeleid was vereist. Hiervoor werd Richtlijn 95/46/EG (de Privacyrichtlijn) ontwikkeld:
Overzicht - De Privacyrichtlijn
Datum: 24 oktober 1995
Orgaan: Europees Parlement en Raad van de EU (European Parliament and Council of the EU)
Bindende kracht? Ja, nationaal en via het Hof van Justitie van de Europese Unie (maar de Privacyrichtlijn diende als richtlijn wel te worden
geïmplementeerd in nationale wetgeving).
Doel: om door middel van de verdere waarborging van de persoonlijke levenssfeer zowel de economische als sociale vooruitgang en de
ontwikkeling van het handelsverkeer te bevorderen, alsook het welzijn van individuen.
Bestandscriterium:
De Privacyrichtlijn was ook van toepassing op niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand waren opgenomen
of die bestemd waren om daarin te worden opgenomen. Blz. 27 boek.
Overzicht – EU-Handvest
Datum: 7 december 2000 afgekondigd, maar kreeg pas rechtskracht met het Verdrag van Lissabon
Orgaan: Europees Parlement, Raad van de EU en de Commissie (European Parliament, Council of the EU and the Commision)
Bindende kracht? Ja, nationaal en via het Hof van Justitie van de Europese Unie
Aanleiding voor EU-Handvest was dat het HvJEU in 1996 had geoordeeld dat de Europese Gemeenschap niet bevoegd was om toe te treden tot
het EVRM, aangezien dit haar bevoegdheidsgrenzen zou overschrijden.
Artikelen EU-Handvest:
- Art. 7: bevat artikel over bescherming van privacy. Biedt recht op eerbiediging van iemand privéleven, familie- en gezinsleven, woning en
communicatie. Correspondeert met art. 8 EVRM en heeft dezelfde reikwijdte (art. 52 lid 3 EU-Handvest).
- Art. 8: bevat een apart artikel over persoonsgegevens. Stelt dat eenieder recht heeft op bescherming daarvan.
- Art. 52 lid 1: beidt waarborgen omtrent de mogelijke beperkingen die kunnen gelden voor de in het EU-Handvest gewaarborgde rechten
en beginselen.
o Beperkingen dienen te voldoen aan het evenredigheidscriterium: ze dienen noodzakelijk te zijn en daadwerkelijk te beantwoorden
aan door de EU erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van
anderen.
Overzicht - Verdrag van Lissabon
Het verdrag van Lissabon leidde tot wijzigingen van het Verdrag betreffende de Europese Unie (Verdrag van Maastricht) en het Verdrag tot
oprichting van de Europese Gemeenschap (het Verdrag van Rome).
Datum: ondertekend op 13 december 2007, aangenomen door het Europees Parlement op 19 februari 2008 en in werking sinds 1 december
2009.
Orgaan: ondertekening: alle nationale wetgevers van de EU-lidstaten tezamen.
Bindende kracht? Ja, nationaal en via het HvJEU
Algemene Verordening gegevensbescherming (AVG)
1
,Binnen de EU bestond de wens tot verdergaande harmonisatie ook met oog op technologisch vlak en toenemende mondialisering. Art. 16
VwEU bood hiertoe een grondslag. De Europese Commissie kwam met een voorstel voor een Algemene verordening gegevensbescherming
(AVG), ter vervanging van de Privacyrichtlijn.
Een richtlijn dient te worden geïmplementeerd in het nationale recht (richtlijn wordt omgezet tot nationale wetgeving).
Een verordening hoeft niet te worden omgezet naar nationale wetgeving, maar is rechtstreeks van toepassing binnen alle EU-lidstaten.
De definitieve versie van de AVG werd aangenomen op 27 april 2016 en is op 24 mei 2016 in werking getreden, na 4 jaar onderhandelen en
3999 amendementen. Is pas op 25 mei 2018 van toepassing verklaard. Deze overgangsperiode was bedoeld om overheden en organisaties 2
jaar tijd te geven om hun handelswijze in overeenstemming te brengen met de vereisten van de AVG.
Toepassing van de AVG tussen lidstaten kan ook uiteenlopen bij de verwerking op grond van een wettelijke verplichting, voor de vervulling van
een taak van algemeen belang of in het kader van de uitoefening van openbaar gezag.
Opbouw van de AVG in volgorde:
1. Hoofdstuk I – algemene bepalingen
Definities en regels over materiële en territoriale toepassingsbereik.
2. Hoofdstuk II – beginselen
Beginselen en algemene vereisten voor rechtmatige verwerking van persoonsgegevens.
3. Hoofdstuk III – rechten van de betrokkene
Rechten van betrokkene, komen deels overeen met de rechten van betrokkene Privacyrichtlijn.
4. Hoofdstuk IV – verwerkingsverantwoordelijke en verwerker
Positie van de verwerkingsverantwoordelijke en de verwerker en belangrijke wijzigingen ten opzichte van de privacyrichtlijn.
5. Hoofdstuk V – doorgiften van persoonsgegevens aan derde landen of internationale organisaties
Uitgangspunt: net als onder de Privacyrichtlijn dat persoonsgegevens slechts mogen worden doorgegeven naar landen buiten de Europese
Economische ruimte (EER), wanneer is voldaan aan de in de AVG genoemde voorwaarden.
6. Hoofdstuk VI – onafhankelijke toezichthoudende autoriteiten
De nationale privacy toezichthouders zijn onder de AVG onafhankelijk gepositioneerd van de nationale lidstaten.
7. Hoofdstuk VII – samenwerking en coherentie
Beoogt de voornoemde effectieve samenwerking en een eenduidige interpretatie en toepassing van de regels onder de AVG te
waarborgen. Bevat ook bepalingen over samenwerking, wederzijdse bijstand en gezamenlijke operaties.
8. Hoofdstuk VIII – beroep, aansprakelijkheid en sancties
De AVG bevat uitgebreidere bepalingen dan de Privacyrichtlijn op het gebied van beroep, aansprakelijkheid en sancties.
9. Hoofdstuk IX – bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking
Diverse specifieke situaties zijn hierin geregeld:
1. De verhouding tussen de vrijheid van meningsuiting en de bescherming van persoonsgegevens;
2. Het recht van toegang tot officiële documenten;
3. Verwerking van het nationaal identificatienummer (in NL Burgerservicenummer, BSN);
4. In het kader van arbeidsverhouding;
5. Met het oog op archivering, wetenschappelijk of historisch onderzoek of statische doelen;
6. In geval van een geheimhoudingsplicht;
7. Door kerken en religieuze verenigingen.
10. Hoofdstuk X – gedelegeerde handelingen en uitvoeringshandelingen
De Europese Commissie krijgt6 onder meer op 2 terreinen de bevoegdheid om nadere regels te stellen.
- Vaststelling van informatie-iconen (art. 12 lid 8 AVG);
- Het opstellen van eisen voor certificeringsmechanismen (art. 43 lid 8 AVG).
11. Hoofdstuk XI – slotbepalingen
Bepalingen over de intrekking van de Privacyrichtlijn en over de inwerkingtreding en evaluatie van de AVG.
AVG in relatie tot Liechtenstein, Noorwege, IJsland en Zwitserland
De AVG geldt in eerste plaats voor de EU-landen. Op basis van een besluit van het Gemengd Comité van de EER op 6 juli 2018, wordt de
verwijzing in Bijlage XI over de Overeenkomst betreffende de Europese Economische Ruimte (EER-overeenkomst) naar de Privacyrichtlijn
vervangen door een verwijzing naar de AVG. Hierdoor geldt de AVG, onder enkele aanpassingen met name op het gebied van doorgifte, ook
voor Liechtenstein, Noorwegen en IJsland.
Het besluit van 6 juli regelt verder dat privacytoezichthouders van de Europese Vrijhandelsassociatie (EVA) deelnemen aan het
samenwerkingsverband van Europese privacytoezichthouders.
In makkelijke taal: De AVG geldt vooral voor landen in de EU. Sinds 6 juli 2018 geldt de AVG, met enkele aanpassingen, ook voor Liechtenstein,
Noorwegen en IJsland. Dit komt door een afspraak binnen de Europese Economische Ruimte (EER).
Daarnaast mogen de privacytoezichthouders van deze landen meedoen aan het samenwerkingsverband van Europese privacytoezichthouders.
EU-landen: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, (Zuid)Ierland, Italië, Kroatië,
Letland, Litouwen, Luxemburg, Malta, Nederland, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Spanje, Tsjechië en Zweden.
EER/EEA-landen: Alle EU-landen en Liechtenstein, Noorwegen, IJsland
EVA/EFTA-landen: Alle EU-landen en Liechtenstein, Noorwegen, IJsland en Zwitserland
Ontwikkeling privacyrecht Nederland
2
,In NL is het recht op privéleven als fundamenteel recht terug te vinden in art. 10 Gw. De grondwet gebruikt de term ‘persoonlijke levenssfeer’,
heeft daarbij dezelfde betekenis als de in de verdragen gebezigde term van ‘privéleven’.
Wet persoonsregistraties – blz. 36 boek
Om uitvoering te geven aan art. 10 lid 2 en 3 Gw verscheen in 1988 de Wet persoonsregistraties (Wpr).
- De Wpr bevatte onder meer diverse vereisen voor het aanleggen en houden van persoonsregistraties.
Door de ontwikkelingen op Europees vlak diende de Wpr te worden vervangen. De privacyrichtlijn bevatte een privacyregime dat door de EU-
lidstaten in nationaal recht diende te worden geïmplementeerd. De Wpr was niet in lijn met de Privacyrichtlijn. Hiervoor werd een nieuwe wet
ontwikkeld: de Wet bescherming persoonsgegevens.
Wet bescherming persoonsgegevens – blz 37 boek
Op 1 sep 2001 werd de Wpr vervangen door de Wet bescherming persoonsgegevens (Wbp). De Wbp vormde de implementatie van de
Privacyrichtlijn voor Nederland. De regels zagen niet langer op ‘persoonsregistratie’, maar op ‘verwerking van persoonsgegevens’.
- Bepaalde onderdelen uit de Wpr werden in de Wbp afgezwakt of weggelaten. Zo werd de aanmeldingsplicht versoepeld. Verder werd het
regime voor risicoaansprakelijkheid voor onrechtmatige gegevensverwerking afgezwakt.
Naamgeving privacytoezichthouder in Nederland
Onder de Wpr (1988-2001: Registratiekamer
Onder de Wbp (2001-2018): College Bescherming Persoonsgegevens (CBP)
Onder de UAVG (2018-heden): Autoriteit Persoonsgegevens (AP)
De AVG laat als verordening met rechtstreekse werking geen ruimte voor volledige implementatie, zoals de Wbp. Er was een nieuwe wet nodig:
de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).
Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)
Op 25 mei 2018 werd de Wbp vervangen door de UAVG. Dit in aansluiting op de AVG die vanaf dat moment van toepassing was, i.p.v. de
Privacyrichtlijn. Voor het ontwerp van de UAVG is gekozen voor een beleidsneutrale aanpak. Dit houdt in dat bij het invullen van de nationale
keuzeruimte die de AVG biedt de regels zoals die op dat moment golden in Nederland zijn gehandhaafd.
Indeling UAVG:
1. Hoofdstuk 1 – Algemene bepalingen. Definities en regels over de materiële en territoriale reikwijdte, en over toestemming van een
wettelijke vertegenwoordiger.
2. Hoofdstuk 2 – over de aangewezen toezichthouder: de Autoriteit Persoonsgegevens. Bevat bepalingen over de privacytoezichthouder,
samenstelling, organisatie, taken en bevoegdheden.
3. Hoofdstuk 3 – bepalingen over de uitvoering van de AVG. Bevat artikelen over bijzondere categorieën van persoonsgegevens,
strafrechtelijke gegevens, rechtsbescherming en de geheimhoudingsplicht van de functionaris gegevensbescherming.
4. Hoofdstuk 4 – uitzonderingen en beperkingen, zoals de diverse uitzonderingen op rechten en plichten onder de AVG.
5. Hoofdstuk 5 – bepalingen over het overgangsrecht, de intrekking van de Wbp, de inwerktreding van de UAVG, en de periodieke evaluatie
daarvan.
Bescherming van iemand privacy kan botsen met andere grondrechten. Er bestaat geen hiërarchie tussen grondrechten: per geval moet een
belangenafweging worden gemaakt en moet worden beoordeeld welk grondrecht prevaleert, waarbij rekening moet worden gehouden met
alle omstandigheden van het geval.
In dit kader bevat de AVG een specifieke opdracht aan de EU-lidstaten om het recht op bescherming van persoonsgegevens wettelijk in
overeenstemming te brengen met het recht op vrijheid van meningsuiting en van informatie (art. 85 AVG).
Bij beperking op grondrechten zoals het privacyrecht spelen het proportionaliteits- en subsidiariteitsbeginsel zoals uitgelegd door het EVRM
een belangrijke rol.
- Het proportionaliteitsbeginsel (ook wel evenredigheidstoetsing) houdt daarbij in dat een inbreuk op de belangen van de betrokkene niet
onevenredig mag zijn in verhouding tot het verwerkingsdoel.
- Het subsidiariteitsbeginsel houdt in dat het verwerkingsdoel in redelijkheid niet op een andere manier kan worden verwezenlijkt die
minder impact heeft op de privacy van betrokkene.
H2 – basisbegrippen persoonsgegevensbescherming
Het begrip persoonsgegevens omvat: (1) Alle informatie (2) over (3) een geïdentificeerde of identificeerbare (4) natuurlijke persoon.
- Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct kan worden geïdentificeerd, maar ook als dit indirect kan.
Om te bepalen of iemand identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs kan worden verwacht
dat ze gebruikt worden om een persoon direct of indirect te identificeren.
De definitie van persoonsgegevens bevat diverse bouwstenen:
1. Alle informatie: welke informatie dan ook;
Zowel objectieve (Jan is 1,80 m) als subjectieve (Jan is aardig) gegevens vallen onder het begrip. Het maakt niet uit of de gegevens juist of
bewezen zijn (Jan is eigenlijk 1,90 m). Ook de context en vorm van de informatie maakt niet uit.
2. De persoonsgegevens moeten over een individu gaan;
3
, De Europese privacytoezichthouders geven aan dat om te bepalen of informatie over iemand gaat, er sprake moet zijn van een van de drie
elementen: (1) inhoud, (2) doel of (3) resultaat. De inhoud ziet op de informatie die direct op iemand betrekking heeft, zoals de resultaten van
een medisch onderzoek.
Het doel gaat erom of de informatie wordt gebruikt om iemand te beïnvloeden, beoordelen of anderszins op een bepaalde wijze te
behandelen. Bij de beoordeling van het resultaat gaat het erom of het gebruik van de gegevens naar verwachting gevolgen zal hebben voor
iemands belang of rechten.
3. Het begrip geïdentificeerd of identificeerbaar;
Op grond van iemands naam is iemand vaak direct identificeerbaar. Het is niet vereist dat gegevens herleidbaar zijn tot iemands naam.
Vereist is dat iemand ‘individualiseerbaar’ is en kan worden onderscheiden van anderen.
4. Het begrip natuurlijk persoon.
De AVG beoogt niet het concept van een natuurlijk persoon te definiëren: dit wordt overgelaten aan de lidstaten. Het moet wel gaan om
gegevens over een levende natuurlijke persoon. Gegevens over ondernemingen zelf vallen niet onder de definitie, tenzij eenmanszaken.
- Persoonsgegevens gaan per definitie over levende personen. Gegevens over overleden personen zijn geen persoonsgegevens ten aanzien
van de overledenen, maar kunnen wel persoonsgegevens zijn ten aanzien van anderen.
Pseudonimisering
Om persoonsgegevens minder makkelijk herleidbaar te laten zijn tot iemand, kunnen zij gepseudonimiseerd worden (art. 4 en 5 AVG).
Pseudonimiseren: gegevens worden op zodanige wijze verwerkt, dat zij niet meer aan een specifieke betrokkene kunnen worden gekoppeld
zonder aanvullende gegevens. Het zijn dan pseudonieme persoonsgegevens.
Voorbeeld pseudonimisering: in een onderzoeksdatabase worden de NAW-gegevens van patiënten vervangen door een uniek patiëntnummer.
Voor buitenstaanders die de database zouden raadplegen is niet zichtbaar aan wie de medische gegevens refereren.
Pseudonimisering maakt de herleidbaarheid naar een betrokkene moeilijker. Het zijn nog steeds persoonsgegevens, aangezien ook
gepseudonimiseerde gegevens alsnog tot een persoon kunnen worden herleid.
Het toepassen van pseudonimisering kan een beveiligingsmaatregel vormen om te voldoen aan art. 32 AVG dat gaat over de beveiliging van de
verwerking. Het kan een nuttige beveiligingsmaatregel zijn, maar het is geen anonimisering.
Anonieme gegevens
Anonieme gegevens zijn gegevens die niet direct of indirect herleidbaar zijn tot een levend persoon. De gegevens zijn dan geheel niet (meer)
tot iemand herleidbaar. De privacyregels zijn niet van toepassing op dergelijke anonieme of geanonimiseerde gegevens.
Privacyregels zijn wel van toepassing op de verwerkingshandeling. Pas vanaf het moment dat de gegevens anoniem zijn, zijn de privacyregels
niet langer van toepassing.
Onderscheid anonieme en geanonimiseerde gegevens
- Anonieme gegevens zijn gegevens die nooit persoonsgegevens zijn geweest.
- Geanonimiseerde gegevens zijn gegevens die voorheen persoonsgegevens waren. Betreft persoonsgegevens die zo zijn bewerkt, dat zij
niet meer betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. De betrokkene zijn niet meer direct of
indirect identificeerbaar.
Bijv. een oud klantnummer dat ook door de organisatie zelf niet meer kan worden herleid naar een specifieke klant, omdat alle gegevens over
deze klant zijn verwijderd.
Volgens Europese toezichthouders is niet snel sprake van geanonimiseerde persoonsgegevens. Van anonimisering is pas sprake als de
toegepaste techniek de volgende 3 soorten risico’s uitsluit:
1. Herleidbaarheid: de mogelijkheid om een persoon te individualiseren (singling out);
2. Koppelbaarheid: de mogelijkheid om records in verband te brengen met een persoon;
3. Deduceerbaarheid: de mogelijkheid om persoonsgebonden informatie af te leiden.
Persoonsgegevens: Geen persoonsgegevens;
Privacyregels zijn van toepassing Privacyregels zijn niet van toepassing
Direct herleidbare Indirect herleidbare persoonsgegevens Geanonimiseerde Anonieme gegevens
persoonsgegevens Persoonsgegevens die anders Gepseudonimiseerde persoonsgegevens die nooit
dan door pseudonimisering persoonsgegevens. persoonsgegevens
Bijv. naam niet direct herleidbaar zijn. Persoonsgegevens die zo zijn geweest.
Bijv. administratienummer zijn bewerkt dat zij niet
Bijv. administratienummer waarbij de sleutel persoon- langer herleidbaar zijn tot Bijv. naam van een
zonder dat sleutel persoon- nummer apart is opgeslagen een persoon multinational zonder
nummer apart is opgeslagen en alleen toegankelijk is voor dat dit in relatie staat
de systeembeheerder. tot een persoon.
Bijzondere persoonsgegevens
Van bepaalde persoonsgegeven wordt aangenomen dat de verwerking ervan een grotere impact op iemands privacy kan hebben, omdat zij
bijzonder gevoelig zijn wat betreft iemands grondrechten en fundamentele vrijheden.
Art. 9 AVG zet uiteen welke bijzondere categorieën persoonsgegevens worden onderscheiden:
Bijzondere categorieën persoonsgegeven zijn gegevens over:
- Gezondheid;
4 - Seksueel gedrag of seksuele gerichtheid;
- Genetische gegevens;
- Biometrische gegevens met het oog op de
unieke identificatie van een persoon.
Week 1 Europa en Privacy
H1.1 Ontstaan Europees privacyrecht
Privacyrecht wordt gebruikt als overkoepelende term voor regels die op enigerlei wijze raken aan de persoonlijke levenssfeer van individuen.
Basis voor deze regels is neergelegd in:
- Internationale verdragen;
- Het EU-recht;
- Nederlandse Grondwet
Dit blok gaat over specifiek onderdeel van privacyrecht: de regels over het beschermen van persoonsgegevens zoals zij gelden binnen
Nederland.
Voor de Europese Unie zijn er regels inzake persoonsgegevensbescherming neergelegd in de Algemene Verordening gegevensbescherming
(AVG). Deze verordening biedt ruimte voor nationale invulling.
- Betekent dat landen binnen de EU zelf wetten mogen maken om bepaalde onderwerpen te regelen
- In Nederland geldt daarvoor de Uitvoeringswet Algemene Verordening gegevensbescherming (UAVG).
1.3 t/m 1.5
Overzicht van de belangrijkste ontwikkelingen op privacygebied binnen Europa gedurende de afgelopen decennia
In de EU ontstond de wens om binnen de interne markt het vrije gegevensverkeer te garanderen, waardoor verdere harmonisatie van het
gegevensbeschermingbeleid was vereist. Hiervoor werd Richtlijn 95/46/EG (de Privacyrichtlijn) ontwikkeld:
Overzicht - De Privacyrichtlijn
Datum: 24 oktober 1995
Orgaan: Europees Parlement en Raad van de EU (European Parliament and Council of the EU)
Bindende kracht? Ja, nationaal en via het Hof van Justitie van de Europese Unie (maar de Privacyrichtlijn diende als richtlijn wel te worden
geïmplementeerd in nationale wetgeving).
Doel: om door middel van de verdere waarborging van de persoonlijke levenssfeer zowel de economische als sociale vooruitgang en de
ontwikkeling van het handelsverkeer te bevorderen, alsook het welzijn van individuen.
Bestandscriterium:
De Privacyrichtlijn was ook van toepassing op niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand waren opgenomen
of die bestemd waren om daarin te worden opgenomen. Blz. 27 boek.
Overzicht – EU-Handvest
Datum: 7 december 2000 afgekondigd, maar kreeg pas rechtskracht met het Verdrag van Lissabon
Orgaan: Europees Parlement, Raad van de EU en de Commissie (European Parliament, Council of the EU and the Commision)
Bindende kracht? Ja, nationaal en via het Hof van Justitie van de Europese Unie
Aanleiding voor EU-Handvest was dat het HvJEU in 1996 had geoordeeld dat de Europese Gemeenschap niet bevoegd was om toe te treden tot
het EVRM, aangezien dit haar bevoegdheidsgrenzen zou overschrijden.
Artikelen EU-Handvest:
- Art. 7: bevat artikel over bescherming van privacy. Biedt recht op eerbiediging van iemand privéleven, familie- en gezinsleven, woning en
communicatie. Correspondeert met art. 8 EVRM en heeft dezelfde reikwijdte (art. 52 lid 3 EU-Handvest).
- Art. 8: bevat een apart artikel over persoonsgegevens. Stelt dat eenieder recht heeft op bescherming daarvan.
- Art. 52 lid 1: beidt waarborgen omtrent de mogelijke beperkingen die kunnen gelden voor de in het EU-Handvest gewaarborgde rechten
en beginselen.
o Beperkingen dienen te voldoen aan het evenredigheidscriterium: ze dienen noodzakelijk te zijn en daadwerkelijk te beantwoorden
aan door de EU erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van
anderen.
Overzicht - Verdrag van Lissabon
Het verdrag van Lissabon leidde tot wijzigingen van het Verdrag betreffende de Europese Unie (Verdrag van Maastricht) en het Verdrag tot
oprichting van de Europese Gemeenschap (het Verdrag van Rome).
Datum: ondertekend op 13 december 2007, aangenomen door het Europees Parlement op 19 februari 2008 en in werking sinds 1 december
2009.
Orgaan: ondertekening: alle nationale wetgevers van de EU-lidstaten tezamen.
Bindende kracht? Ja, nationaal en via het HvJEU
Algemene Verordening gegevensbescherming (AVG)
1
,Binnen de EU bestond de wens tot verdergaande harmonisatie ook met oog op technologisch vlak en toenemende mondialisering. Art. 16
VwEU bood hiertoe een grondslag. De Europese Commissie kwam met een voorstel voor een Algemene verordening gegevensbescherming
(AVG), ter vervanging van de Privacyrichtlijn.
Een richtlijn dient te worden geïmplementeerd in het nationale recht (richtlijn wordt omgezet tot nationale wetgeving).
Een verordening hoeft niet te worden omgezet naar nationale wetgeving, maar is rechtstreeks van toepassing binnen alle EU-lidstaten.
De definitieve versie van de AVG werd aangenomen op 27 april 2016 en is op 24 mei 2016 in werking getreden, na 4 jaar onderhandelen en
3999 amendementen. Is pas op 25 mei 2018 van toepassing verklaard. Deze overgangsperiode was bedoeld om overheden en organisaties 2
jaar tijd te geven om hun handelswijze in overeenstemming te brengen met de vereisten van de AVG.
Toepassing van de AVG tussen lidstaten kan ook uiteenlopen bij de verwerking op grond van een wettelijke verplichting, voor de vervulling van
een taak van algemeen belang of in het kader van de uitoefening van openbaar gezag.
Opbouw van de AVG in volgorde:
1. Hoofdstuk I – algemene bepalingen
Definities en regels over materiële en territoriale toepassingsbereik.
2. Hoofdstuk II – beginselen
Beginselen en algemene vereisten voor rechtmatige verwerking van persoonsgegevens.
3. Hoofdstuk III – rechten van de betrokkene
Rechten van betrokkene, komen deels overeen met de rechten van betrokkene Privacyrichtlijn.
4. Hoofdstuk IV – verwerkingsverantwoordelijke en verwerker
Positie van de verwerkingsverantwoordelijke en de verwerker en belangrijke wijzigingen ten opzichte van de privacyrichtlijn.
5. Hoofdstuk V – doorgiften van persoonsgegevens aan derde landen of internationale organisaties
Uitgangspunt: net als onder de Privacyrichtlijn dat persoonsgegevens slechts mogen worden doorgegeven naar landen buiten de Europese
Economische ruimte (EER), wanneer is voldaan aan de in de AVG genoemde voorwaarden.
6. Hoofdstuk VI – onafhankelijke toezichthoudende autoriteiten
De nationale privacy toezichthouders zijn onder de AVG onafhankelijk gepositioneerd van de nationale lidstaten.
7. Hoofdstuk VII – samenwerking en coherentie
Beoogt de voornoemde effectieve samenwerking en een eenduidige interpretatie en toepassing van de regels onder de AVG te
waarborgen. Bevat ook bepalingen over samenwerking, wederzijdse bijstand en gezamenlijke operaties.
8. Hoofdstuk VIII – beroep, aansprakelijkheid en sancties
De AVG bevat uitgebreidere bepalingen dan de Privacyrichtlijn op het gebied van beroep, aansprakelijkheid en sancties.
9. Hoofdstuk IX – bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking
Diverse specifieke situaties zijn hierin geregeld:
1. De verhouding tussen de vrijheid van meningsuiting en de bescherming van persoonsgegevens;
2. Het recht van toegang tot officiële documenten;
3. Verwerking van het nationaal identificatienummer (in NL Burgerservicenummer, BSN);
4. In het kader van arbeidsverhouding;
5. Met het oog op archivering, wetenschappelijk of historisch onderzoek of statische doelen;
6. In geval van een geheimhoudingsplicht;
7. Door kerken en religieuze verenigingen.
10. Hoofdstuk X – gedelegeerde handelingen en uitvoeringshandelingen
De Europese Commissie krijgt6 onder meer op 2 terreinen de bevoegdheid om nadere regels te stellen.
- Vaststelling van informatie-iconen (art. 12 lid 8 AVG);
- Het opstellen van eisen voor certificeringsmechanismen (art. 43 lid 8 AVG).
11. Hoofdstuk XI – slotbepalingen
Bepalingen over de intrekking van de Privacyrichtlijn en over de inwerkingtreding en evaluatie van de AVG.
AVG in relatie tot Liechtenstein, Noorwege, IJsland en Zwitserland
De AVG geldt in eerste plaats voor de EU-landen. Op basis van een besluit van het Gemengd Comité van de EER op 6 juli 2018, wordt de
verwijzing in Bijlage XI over de Overeenkomst betreffende de Europese Economische Ruimte (EER-overeenkomst) naar de Privacyrichtlijn
vervangen door een verwijzing naar de AVG. Hierdoor geldt de AVG, onder enkele aanpassingen met name op het gebied van doorgifte, ook
voor Liechtenstein, Noorwegen en IJsland.
Het besluit van 6 juli regelt verder dat privacytoezichthouders van de Europese Vrijhandelsassociatie (EVA) deelnemen aan het
samenwerkingsverband van Europese privacytoezichthouders.
In makkelijke taal: De AVG geldt vooral voor landen in de EU. Sinds 6 juli 2018 geldt de AVG, met enkele aanpassingen, ook voor Liechtenstein,
Noorwegen en IJsland. Dit komt door een afspraak binnen de Europese Economische Ruimte (EER).
Daarnaast mogen de privacytoezichthouders van deze landen meedoen aan het samenwerkingsverband van Europese privacytoezichthouders.
EU-landen: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, (Zuid)Ierland, Italië, Kroatië,
Letland, Litouwen, Luxemburg, Malta, Nederland, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Spanje, Tsjechië en Zweden.
EER/EEA-landen: Alle EU-landen en Liechtenstein, Noorwegen, IJsland
EVA/EFTA-landen: Alle EU-landen en Liechtenstein, Noorwegen, IJsland en Zwitserland
Ontwikkeling privacyrecht Nederland
2
,In NL is het recht op privéleven als fundamenteel recht terug te vinden in art. 10 Gw. De grondwet gebruikt de term ‘persoonlijke levenssfeer’,
heeft daarbij dezelfde betekenis als de in de verdragen gebezigde term van ‘privéleven’.
Wet persoonsregistraties – blz. 36 boek
Om uitvoering te geven aan art. 10 lid 2 en 3 Gw verscheen in 1988 de Wet persoonsregistraties (Wpr).
- De Wpr bevatte onder meer diverse vereisen voor het aanleggen en houden van persoonsregistraties.
Door de ontwikkelingen op Europees vlak diende de Wpr te worden vervangen. De privacyrichtlijn bevatte een privacyregime dat door de EU-
lidstaten in nationaal recht diende te worden geïmplementeerd. De Wpr was niet in lijn met de Privacyrichtlijn. Hiervoor werd een nieuwe wet
ontwikkeld: de Wet bescherming persoonsgegevens.
Wet bescherming persoonsgegevens – blz 37 boek
Op 1 sep 2001 werd de Wpr vervangen door de Wet bescherming persoonsgegevens (Wbp). De Wbp vormde de implementatie van de
Privacyrichtlijn voor Nederland. De regels zagen niet langer op ‘persoonsregistratie’, maar op ‘verwerking van persoonsgegevens’.
- Bepaalde onderdelen uit de Wpr werden in de Wbp afgezwakt of weggelaten. Zo werd de aanmeldingsplicht versoepeld. Verder werd het
regime voor risicoaansprakelijkheid voor onrechtmatige gegevensverwerking afgezwakt.
Naamgeving privacytoezichthouder in Nederland
Onder de Wpr (1988-2001: Registratiekamer
Onder de Wbp (2001-2018): College Bescherming Persoonsgegevens (CBP)
Onder de UAVG (2018-heden): Autoriteit Persoonsgegevens (AP)
De AVG laat als verordening met rechtstreekse werking geen ruimte voor volledige implementatie, zoals de Wbp. Er was een nieuwe wet nodig:
de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).
Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)
Op 25 mei 2018 werd de Wbp vervangen door de UAVG. Dit in aansluiting op de AVG die vanaf dat moment van toepassing was, i.p.v. de
Privacyrichtlijn. Voor het ontwerp van de UAVG is gekozen voor een beleidsneutrale aanpak. Dit houdt in dat bij het invullen van de nationale
keuzeruimte die de AVG biedt de regels zoals die op dat moment golden in Nederland zijn gehandhaafd.
Indeling UAVG:
1. Hoofdstuk 1 – Algemene bepalingen. Definities en regels over de materiële en territoriale reikwijdte, en over toestemming van een
wettelijke vertegenwoordiger.
2. Hoofdstuk 2 – over de aangewezen toezichthouder: de Autoriteit Persoonsgegevens. Bevat bepalingen over de privacytoezichthouder,
samenstelling, organisatie, taken en bevoegdheden.
3. Hoofdstuk 3 – bepalingen over de uitvoering van de AVG. Bevat artikelen over bijzondere categorieën van persoonsgegevens,
strafrechtelijke gegevens, rechtsbescherming en de geheimhoudingsplicht van de functionaris gegevensbescherming.
4. Hoofdstuk 4 – uitzonderingen en beperkingen, zoals de diverse uitzonderingen op rechten en plichten onder de AVG.
5. Hoofdstuk 5 – bepalingen over het overgangsrecht, de intrekking van de Wbp, de inwerktreding van de UAVG, en de periodieke evaluatie
daarvan.
Bescherming van iemand privacy kan botsen met andere grondrechten. Er bestaat geen hiërarchie tussen grondrechten: per geval moet een
belangenafweging worden gemaakt en moet worden beoordeeld welk grondrecht prevaleert, waarbij rekening moet worden gehouden met
alle omstandigheden van het geval.
In dit kader bevat de AVG een specifieke opdracht aan de EU-lidstaten om het recht op bescherming van persoonsgegevens wettelijk in
overeenstemming te brengen met het recht op vrijheid van meningsuiting en van informatie (art. 85 AVG).
Bij beperking op grondrechten zoals het privacyrecht spelen het proportionaliteits- en subsidiariteitsbeginsel zoals uitgelegd door het EVRM
een belangrijke rol.
- Het proportionaliteitsbeginsel (ook wel evenredigheidstoetsing) houdt daarbij in dat een inbreuk op de belangen van de betrokkene niet
onevenredig mag zijn in verhouding tot het verwerkingsdoel.
- Het subsidiariteitsbeginsel houdt in dat het verwerkingsdoel in redelijkheid niet op een andere manier kan worden verwezenlijkt die
minder impact heeft op de privacy van betrokkene.
H2 – basisbegrippen persoonsgegevensbescherming
Het begrip persoonsgegevens omvat: (1) Alle informatie (2) over (3) een geïdentificeerde of identificeerbare (4) natuurlijke persoon.
- Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct kan worden geïdentificeerd, maar ook als dit indirect kan.
Om te bepalen of iemand identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs kan worden verwacht
dat ze gebruikt worden om een persoon direct of indirect te identificeren.
De definitie van persoonsgegevens bevat diverse bouwstenen:
1. Alle informatie: welke informatie dan ook;
Zowel objectieve (Jan is 1,80 m) als subjectieve (Jan is aardig) gegevens vallen onder het begrip. Het maakt niet uit of de gegevens juist of
bewezen zijn (Jan is eigenlijk 1,90 m). Ook de context en vorm van de informatie maakt niet uit.
2. De persoonsgegevens moeten over een individu gaan;
3
, De Europese privacytoezichthouders geven aan dat om te bepalen of informatie over iemand gaat, er sprake moet zijn van een van de drie
elementen: (1) inhoud, (2) doel of (3) resultaat. De inhoud ziet op de informatie die direct op iemand betrekking heeft, zoals de resultaten van
een medisch onderzoek.
Het doel gaat erom of de informatie wordt gebruikt om iemand te beïnvloeden, beoordelen of anderszins op een bepaalde wijze te
behandelen. Bij de beoordeling van het resultaat gaat het erom of het gebruik van de gegevens naar verwachting gevolgen zal hebben voor
iemands belang of rechten.
3. Het begrip geïdentificeerd of identificeerbaar;
Op grond van iemands naam is iemand vaak direct identificeerbaar. Het is niet vereist dat gegevens herleidbaar zijn tot iemands naam.
Vereist is dat iemand ‘individualiseerbaar’ is en kan worden onderscheiden van anderen.
4. Het begrip natuurlijk persoon.
De AVG beoogt niet het concept van een natuurlijk persoon te definiëren: dit wordt overgelaten aan de lidstaten. Het moet wel gaan om
gegevens over een levende natuurlijke persoon. Gegevens over ondernemingen zelf vallen niet onder de definitie, tenzij eenmanszaken.
- Persoonsgegevens gaan per definitie over levende personen. Gegevens over overleden personen zijn geen persoonsgegevens ten aanzien
van de overledenen, maar kunnen wel persoonsgegevens zijn ten aanzien van anderen.
Pseudonimisering
Om persoonsgegevens minder makkelijk herleidbaar te laten zijn tot iemand, kunnen zij gepseudonimiseerd worden (art. 4 en 5 AVG).
Pseudonimiseren: gegevens worden op zodanige wijze verwerkt, dat zij niet meer aan een specifieke betrokkene kunnen worden gekoppeld
zonder aanvullende gegevens. Het zijn dan pseudonieme persoonsgegevens.
Voorbeeld pseudonimisering: in een onderzoeksdatabase worden de NAW-gegevens van patiënten vervangen door een uniek patiëntnummer.
Voor buitenstaanders die de database zouden raadplegen is niet zichtbaar aan wie de medische gegevens refereren.
Pseudonimisering maakt de herleidbaarheid naar een betrokkene moeilijker. Het zijn nog steeds persoonsgegevens, aangezien ook
gepseudonimiseerde gegevens alsnog tot een persoon kunnen worden herleid.
Het toepassen van pseudonimisering kan een beveiligingsmaatregel vormen om te voldoen aan art. 32 AVG dat gaat over de beveiliging van de
verwerking. Het kan een nuttige beveiligingsmaatregel zijn, maar het is geen anonimisering.
Anonieme gegevens
Anonieme gegevens zijn gegevens die niet direct of indirect herleidbaar zijn tot een levend persoon. De gegevens zijn dan geheel niet (meer)
tot iemand herleidbaar. De privacyregels zijn niet van toepassing op dergelijke anonieme of geanonimiseerde gegevens.
Privacyregels zijn wel van toepassing op de verwerkingshandeling. Pas vanaf het moment dat de gegevens anoniem zijn, zijn de privacyregels
niet langer van toepassing.
Onderscheid anonieme en geanonimiseerde gegevens
- Anonieme gegevens zijn gegevens die nooit persoonsgegevens zijn geweest.
- Geanonimiseerde gegevens zijn gegevens die voorheen persoonsgegevens waren. Betreft persoonsgegevens die zo zijn bewerkt, dat zij
niet meer betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. De betrokkene zijn niet meer direct of
indirect identificeerbaar.
Bijv. een oud klantnummer dat ook door de organisatie zelf niet meer kan worden herleid naar een specifieke klant, omdat alle gegevens over
deze klant zijn verwijderd.
Volgens Europese toezichthouders is niet snel sprake van geanonimiseerde persoonsgegevens. Van anonimisering is pas sprake als de
toegepaste techniek de volgende 3 soorten risico’s uitsluit:
1. Herleidbaarheid: de mogelijkheid om een persoon te individualiseren (singling out);
2. Koppelbaarheid: de mogelijkheid om records in verband te brengen met een persoon;
3. Deduceerbaarheid: de mogelijkheid om persoonsgebonden informatie af te leiden.
Persoonsgegevens: Geen persoonsgegevens;
Privacyregels zijn van toepassing Privacyregels zijn niet van toepassing
Direct herleidbare Indirect herleidbare persoonsgegevens Geanonimiseerde Anonieme gegevens
persoonsgegevens Persoonsgegevens die anders Gepseudonimiseerde persoonsgegevens die nooit
dan door pseudonimisering persoonsgegevens. persoonsgegevens
Bijv. naam niet direct herleidbaar zijn. Persoonsgegevens die zo zijn geweest.
Bijv. administratienummer zijn bewerkt dat zij niet
Bijv. administratienummer waarbij de sleutel persoon- langer herleidbaar zijn tot Bijv. naam van een
zonder dat sleutel persoon- nummer apart is opgeslagen een persoon multinational zonder
nummer apart is opgeslagen en alleen toegankelijk is voor dat dit in relatie staat
de systeembeheerder. tot een persoon.
Bijzondere persoonsgegevens
Van bepaalde persoonsgegeven wordt aangenomen dat de verwerking ervan een grotere impact op iemands privacy kan hebben, omdat zij
bijzonder gevoelig zijn wat betreft iemands grondrechten en fundamentele vrijheden.
Art. 9 AVG zet uiteen welke bijzondere categorieën persoonsgegevens worden onderscheiden:
Bijzondere categorieën persoonsgegeven zijn gegevens over:
- Gezondheid;
4 - Seksueel gedrag of seksuele gerichtheid;
- Genetische gegevens;
- Biometrische gegevens met het oog op de
unieke identificatie van een persoon.
