Privacy op de werkvloer: de AVG
Op 24 mei 2016 is de Algemene Verordening Gegevensbescherming (afgekort de AVG) in werking getreden. De AVG is vervolgens van toepassing sinds 25 mei 2018. De AVG wordt in het Engels de General Data Protection Regulation genoemd (afgekort GDPR).
De AVG is een Europese verordening die de regels voor de verwerking van persoonsgegevens door bedrijven en overheidsinstanties in de hele Europese Unie standaardiseert. De AVG is de opvolger en vervanger van de Wet bescherming persoonsgegevens (de Wbp) die in Nederland was geïmplementeerd naar aanleiding van de Europese richtlijn bescherming persoonsgegevens uit 1995 (95/46/EG).
De AVG heeft veel van de normen uit de oude Wbp overgenomen, maar de AVG kent ook belangrijke verschillen met de Wbp. De eisen die in de AVG worden gesteld aan de verwerking van persoonsgegevens zijn in de AVG bijvoorbeeld aanmerkelijk verzwaard. Verder is de AVG van toepassing in de hele Europese Unie en is daarmee het territoriale bereik veel groter.
Wat zijn de doelstelling van de AVG?
Zoals aangegeven zijn de vereisten van een rechtmatige verwerking van persoonsgegevens aanmerkelijk verzwaard in vergelijking met de Wbp. Verder zijn de rechten van personen, waaronder dus werknemers, van wie persoonsgegevens worden verwerkt, aanzienlijk verruimd en hebben toezichthouders meer middelen om te controleren en sancties op te leggen aan bedrijven en organisaties die persoonsgegevens verwerken.
Voor deze verscherpte regelgeving bestonden twee aanleidingen:
- enerzijds de explosieve ontwikkelingen op het gebied van (informatie)technologie, op basis waarvan er op veel grotere schaal, veel meer persoonsgegevens worden verzameld en gedeeld; en
- anderzijds dat er in de Europese Unie geen uniform beleid was om de privacy van personen te beschermen en er dus in verschillende lidstaten andere niveaus van bescherming golden.
De Europese wetgever heeft met de AVG dus een krachtig en eenduidig raamwerk van regels willen geven om personen en hun persoonsgegevens binnen de hele Europese Unie te beschermen.
Reikwijdte van de AVG
De AVG is rechtstreeks van toepassing. Dit houdt in dat burgers zich rechtstreeks kunnen beroepen op de beschermingsmaatregelen en de rechten die de AVG biedt. De AVG roept spiegelbeeldig rechtstreekse verplichtingen in het leven voor bedrijven en organisaties die persoonsgegevens verwerken.
Materiële reikwijdte
De AVG is op basis van artikel 2 lid 1 AVG van toepassing op de “geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de [dus niet-geautomatiseerde] verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”.
Artikel 4 lid 6 AVG definieert een ‘bestand’ als een “gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid”.
Dit betekent dat de term ‘bestand’ gezien moet worden als een verzameling van gegevens die relatief eenvoudig doorzocht kan worden en niet alleen als digitaal (computer)bestand.
Overigens zijn verwerkingen van persoonsgegevens door een privépersoon volledig persoonlijke of huishoudelijke activiteiten uitgesloten van de werking van de AVG (artikel 2 lid 2 sub c AVG). Deze privépersoon moet de door hem of haar verzamelde persoonsgegevens dan enkel voor privédoeleinden gebruiken en deze verwerkingen mogen geen verband houden met zakelijke werkzaamheden. Ik geef twee voorbeelden van tegenovergestelde situaties:
- De AVG is niet van toepassing op privépersonen die thuis een adressenlijst bijhouden met de contactgegevens van familie en vrienden;
- De AVG is daarentegen wél van toepassing als deze personen een bedrijf runnen en thuis een adressenbestand bijhouden met zakelijke klanten. Dit betreft immers een zakelijke activiteit waarvoor persoonsgegevens worden verwerkt.
Territoriale reikwijdte
De AVG is van toepassing in de hele Europese Unie, maar is óók van toepassing op de verwerking van persoonsgegevens door bedrijven en organisaties die geen vestiging hebben binnen de Europese Unie. Deze bedrijven en organisaties moeten dan goederen of diensten binnen lidstaten van de Europese Unie aanbieden (artikel 3 AVG). Wederom een voorbeeld:
Een Chinese onderneming heeft weliswaar geen vestiging in de Europese Unie, maar levert wel via internet goederen aan personen op de Europese markt. Dit Chinese bedrijf moet dan toch aan de AVG voldoen.
Specifieke Nederlandse invulling van voorwaarden: de UAVG
Hoewel de AVG een rechtstreekse werking heeft, heeft de Europese wetgever wel ruimte gegeven aan de verschillende lidstaten om op een aantal onderdelen eigen keuzes te maken. Voor Nederland zijn deze keuzes neergelegd in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). Daarmee heeft de Nederlandse wetgever een nadere invulling gegeven aan de AVG waar dat mogelijk is. De UAVG is bovendien de wettelijke grondslag voor de Autoriteit Persoonsgegevens (de AP), de toezichthouder op de correcte naleving van de AVG en de UAVG in Nederland.
De Nederlandse wetgever heeft in het bijzonder uitzonderingen gemaakt voor verwerkingen van persoonsgegevens voor:
• uitsluitend journalistieke doeleinden; en
• uitsluitend academische, artistieke of literaire uitdrukkingsvormen.
Europees comité van toezichthouders (EDPB)
Het Europees Comité voor gegevensbescherming (European Data Protection Board, afgekort EDPB) is een Europese instantie waarin alle individuele toezichthouders van de diverse lidstaten zijn verzameld en vertegenwoordigd, waaronder de Autoriteit Persoonsgegevens. De hoofdtaak van het EDPB is het stimuleren en controleren van de uniforme uitleg en toepassing van de AVG. De EDPB stelt daarvoor aanwijzingen en richtsnoeren op.
Yves Janssen