Nog 18 maanden tot de nieuwe privacywetgeving

In deze laatste week van 2016 tellen we af naar het nieuwe jaar. Dit betekent ook dat de invoering van de nieuwe privacywetgeving weer een stap dichterbij komt. De maand december stond dan ook voor zowel de Artikel 29-werkgroep (WP29) als de Nederlandse overheid in het teken van de nieuwe Europese privacywetgeving.

WP29

De Europese privacytoezichthouders, verzameld in de WP29, hebben tijdens hun vergadering in Brussel op 12 en 13 december jl. onder meer gesproken over de invoering van de nieuwe Europese privacywetgeving in mei 2018. Zo heeft WP29 een aantal begrippen (het aanstellen van een DPO, het recht op dataportabiliteit en de leidende toezichthouder) uit de Algemene Verordening Gegevensbescherming (AVG) verduidelijkt door middel van richtlijnen en FAQ’s

Data Protection Officer

Onder de nieuwe privacywetgeving worden sommige organisaties verplicht om een Data Protection Officer (DPO) aan te stellen. De richtlijnen geven meer duidelijk in welke gevallen een DPO verplicht is en wat de rol van een DPO dan moet zijn (taken, functie etc.). Lees hier meer over dit onderwerp.

Recht op dataportabiliteit

De AVG geeft degenen van wie persoonsgegevens worden gebruik het (nieuwe) recht op dataportabiliteit. Dit betekent dat een betrokkene het recht heeft om gegevens die organisaties van hem heeft, op te vragen en zelf op te slaan voor (her)gebruik. Ook kunnen de gegevens worden doorgegeven aan derden. In de richtlijnen wordt meer duidelijkheid gegeven over het proces van dataportabiliteit en welke persoonsgegevens organisaties moeten verstrekken.

Leidende toezichthouder

Onder de nieuwe privacywet komt er 1 leidende toezichthouder. De hoofdregel is dat de toezichthouder van de Lidstaat waar de hoofdvestiging van de verantwoordelijke is gevestigd, de leiding neemt. Deze autoriteit wordt dan de leidende toezichthouder. Hij stemt zijn optreden af met toezichthouders in de andere Europese landen waar de overtreding effect heeft. De richtlijnen geven meer duidelijkheid over dit systeem hoe te bepalen welke autoriteit de leidend toezichthouder wordt.

De richtlijnen zijn nog niet definitief. Dit betekent dat nog feedback gegeven kan worden tot en met 31 januari 2017. Ook de toezichthouders kunnen de richtlijnen nog aanvullen om deze zo praktisch mogelijk te laten zijn.

Uitvoeringswet Algemene verordening gegevensbescherming

Naast de richtlijnen en FAQ’s van WP29 heeft de Nederlandse overheid ook niet stil gezeten. Op 9 december jl. is de conceptversie van de Uitvoeringswet Algemene verordening gegevensbescherming gepubliceerd. Deze wet strekt tot uitvoering en aanvulling van de AVG en intrekking van de huidige privacywet, de Wet bescherming persoonsgegevens (Wbp).

De AVG zal directe werking in Nederland hebben, echter de Verordening biedt de Europese lidstaten wel ruimte om bepaalde regels en onderwerpen nationaal uit te werken. De Nederlandse overheid heeft deze ruimte, zo blijkt uit de conceptversie van de Uitvoeringswet, ingevuld. Er is daarbij gekozen voor een beleidsneutrale uitvoering. Dat wil zeggen dat de bestaande wetgeving zoveel mogelijk gehandhaafd zal worden tenzij dit niet kan op basis van de AVG. Met name de ten aanzien van de beperking op het verbod van verwerking van bijzondere gegevens heeft de overheid invulling gegeven. Nieuw in de Uitvoeringswet zijn de uitzonderingen op basis waarvan het mogelijk is om biometrische gegevens te verwerken. Dit mag als de verwerking geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is.

De Uitvoeringswet is nog niet definitief. Op dit moment vindt er een consultatieronde plaats. Burgers, bedrijven en instellingen kunnen tot 20 januari 2017 reageren op het wetsvoorstel en de toelichting.

In het kader van de nieuwe privacywetgeving zal ik een lezing geven tijdens de Webwinkel Vakdagen op 19 januari 2017. Klik hier voor meer informatie.

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.