Den Haag – De wet van minister Dekker (voor Rechtsbescherming) die uitvoering geeft aan de Algemene verordening gegevensbescherming is vandaag bij de Tweede Kamer ingediend. Doel van de Europese verordening is verdergaande harmonisatie van de regels rond de bescherming van persoonsgegevens en de bevordering van vrij verkeer van gegevens binnen de Unie. De verordening treedt op 25 mei 2018 in werking. Op hetzelfde tijdstip zal de Uitvoeringswet in werking moeten treden. De huidige Wet bescherming persoongegevens (Wbp) zal dan worden ingetrokken.
Uitvoeringswet noodzakelijk
Nieuwe regels zijn noodzakelijk, omdat de uitwisseling van persoonsgegevens overal in de Europese Unie is toegenomen. Gegevensuitwisseling houdt niet op bij de landsgrenzen. Bovendien kunnen overheid en bedrijfsleven, dankzij nieuwe technologie, bij hun activiteiten meer dan ooit gebruik maken van persoonsgegevens. Minister Dekker: ‘Mensen moeten er op kunnen vertrouwen dat bedrijven en overheden netjes met hun persoonsgegevens omgaan. Met de nieuwe regels ontstaat in de gehele Europese Unie een gelijk niveau van bescherming.’
Ruimte voor nationale keuzes
De Uitvoeringswet is beleidsneutraal. Dat wil zeggen dat daar waar de verordening ruimte laat voor nationale keuzes, de bestaande regels die gelden op grond van de Wbp, zoveel mogelijk ongewijzigd worden overgenomen. Dat is bijvoorbeeld het geval bij de verwerking van bijzondere categorieën van persoonsgegevens zoals gegevens over geloof, over gezondheid of over etnische afkomst. Alle bestaande uitzonderingen op het verbod van verwerking van deze gegevens zijn immers om zwaarwegende maatschappelijke belangen opgenomen in de Wbp. Er is geen reden om daarvan af te wijken. Ook om de oude naar de nieuwe situatie zo soepel mogelijk te laten verlopen, is het aansluiten bij de huidige Wbp een voordeel. Hoe kleiner de verschillen, des te makkelijker de overgang.
Recht om ‘vergeten te worden’
Alle veranderingen in rechten en verplichtingen vloeien dus direct voort uit de verordening. Zo worden de rechten van burgers op het gebied van privacy versterkt door bijvoorbeeld het vastleggen van het recht om ‘vergeten te worden’ en het recht van burgers om van de overheid of een bedrijf hun persoonsgegevens in een standaardformaat te verkrijgen (dataportabiliteit).
Strengere verplichtingen
Daarnaast moeten organisaties die persoonsgegevens verwerken rekening houden met nieuwe, strengere verplichtingen. Er wordt meer transparantie en verantwoording gevraagd. De verwerkingsverantwoordelijke moet aantonen dat hij in overeenstemming met de verordening handelt (verantwoordingsplicht) en moet een register bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Ook verplicht de verordening in meer gevallen een functionaris voor gegevensbescherming aan te wijzen. Het toezicht op de naleving van de verordening en de Uitvoeringswet is belegd bij de Autoriteit persoonsgegevens. In de uitoefening van het toezicht is de Autoriteit strikt onafhankelijk.
Niet alleen de Autoriteit Persoonsgegevens, de Europese commissie en het ministerie van Justitie en Veiligheid, maar ook organisaties als VNO-NCW en de VNG zijn allerlei voorlichtingsactiviteiten gestart om verantwoordelijken wegwijs te maken in de nieuwe regels. Zo publiceert het ministerie binnenkort ook een uitgebreide ‘Handleiding AVG’ voor bedrijven, overheden en organisaties die persoonsgegevens verwerken