Zoeken
  1. Home
  2. Kennis
  3. Artikelen
  4. Brengt de privacyverordening werkelijk uniform Europees privacyrecht?

Brengt de privacyverordening werkelijk uniform Europees privacyrecht?

Onlangs is de privacyverordening aangenomen door het Europees Parlement. Het doel van de nieuwe regels is onder meer om te komen tot een meer uniform privacyrecht. Het persbericht spreekt zelfs over een "eenduidig niveau voor gegevensbescherming in de hele EU". Is dit doel ook geslaagd? Een korte analyse.Bestaande situatie privacyrecht is versnipperd en rommeligHet privacyrecht in de Europese Unie is op dit moment nog versnipperd. Er is een Europese privacyrichtlijn. Die richtlijn is omgezet...
Leestijd 
Auteur artikel Mark Jansen
Gepubliceerd 21 april 2016
Laatst gewijzigd 16 april 2018
Onlangs is de privacyverordening aangenomen door het Europees Parlement. Het doel van de nieuwe regels is onder meer om te komen tot een meer uniform privacyrecht. Het persbericht spreekt zelfs over een "eenduidig niveau voor gegevensbescherming in de hele EU". Is dit doel ook geslaagd? Een korte analyse.

Bestaande situatie privacyrecht is versnipperd en rommelig

Het privacyrecht in de Europese Unie is op dit moment nog versnipperd. Er is een Europese privacyrichtlijn. Die richtlijn is omgezet in de wetgeving van de lidstaten van de Europese Unie. Dat betekent dat er op dit moment 28 verschillende privacywetten van kracht zijn. 28 verschillende wetten die bovendien verschillend worden geïnterpreteerd.

Poging tot verbetering middels verordening

De huidige rommelige situatie werd door veel partijen als onwenselijk bestempeld. Vandaar ook dat de Europese Commissie in 2012 een voorstel lanceerde om het privacyrecht te centraliseren. In de overwegingen van het voorstel is onder meer te lezen dat de privacyrichtlijn niet heeft "voorkomen dat persoonsgegevens in de Unie op gefragmenteerde wijze worden beschermd" . Even verderop staat zelf s dat er "sprake is van rechtsonzekerheid".

De wens van de Commissie was dan ook helder: "Het is dan ook tijd om een krachtiger en coherenter kader voor gegevensbescherming in de EU tot stand te brengen en bovendien scherp toe te zien op de handhaving daarvan". Of anders gezegd: geen 28 nationale wetten meer (met evenzoveel interpretaties daarvan), maar één Europese privacywet (formeel: een verordening).

Coherent kader, of compromisproduct?

Na de lancering van het voorstel kwam er een enorm lobbycircus op gang. Dit leidde in het Europees Parlement tot duizenden wijzigingsvoorstellen (amendementen) op de verordening. Deze zijn uiteindelijk gebundeld en in het wetgevingsproces ingebracht. Ook op het niveau van de lidstaten (de Raad) zijn diverse wijzigingen voorgesteld.

Gedurende dit gehele proces is het oorspronkelijke voorstel flink gewijzigd. Veel scherpe randjes zijn van het oorspronkelijke voorstel afgehaald op het terrein van o.m. de grensoverschrijdende bevoegdheid van toezichthouders en de uniforme/centralistische toepassing van het privacyrecht. Op andere terreinen, zoals de boetes zijn, bepalingen juist weer aangescherpt. Het eindresultaat is een tekst die behoorlijk afwijkt van het oorspronkelijke voorstel.

Veel afwijkingen mogelijk in nationaal recht

De komende verordening verwijst op veel punten naar nationaal recht. Ter illustratie, en zonder de pretentie te hebben volledig te zijn, wijs ik op het volgende:

  1. de lidstaten mogen de grondslagen "wettelijke verplichting" en "algemeen belang" nader invullen in eigen wetgeving (artikel 6 lid 2);

  2. nationaal recht kan bepalen dat gegevens voor een ander doel dan het verzameldoel mogen worden verwerkt (artikel 6 lid 4);

  3. de leeftijdsgrens voor toestemming door minderjarigen kan in nationale wetgeving worden verlaagd van 16 jaar naar (minimaal) 13 jaar (artikel 8 lid 1);

  4. nationaal recht kan bepalen dat de betrokkene geen toestemming kan geven voor de verwerking van bepaalde bijzondere persoonsgegevens (artikel 9 lid 2 sub a);

  5. nationaal recht kan bepalen dat de verwerking van bijzondere persoonsgegevens in het kader van arbeidsrecht en sociale zekerheidsrecht is toegestaan (artikel 9 lid 2 sub b);

  6. nationaal recht kan bepalen dat de verwerking van bijzondere persoonsgegevens is toegestaan op grond van een zwaarwegend algemeen belang (artikel 9 lid 2 sub g);

  7. nationaal recht kan bepalen dat de verwerking van bijzondere persoonsgegevens voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten (artikel 9 lid 2 sub h);

  8. nationaal recht kan bepalen dat de verwerking van bijzondere persoonsgegevens is toegestaan om redenen van algemeen belang op het gebied van de volksgezondheid (artikel 9 lid 2 sub i);

  9. nationaal recht kan bepalen dat de verwerking van bijzondere persoonsgegevens is toegestaan vanwege archivering, wetenschappelijk of historisch onderzoek (artikel 9 lid 2 sub j);

  10. lidstaten mogen aanvullende regels stellen voor de verwerking van genetische, biometrische of gezondsheidsgegevens stellen (artikel 9 lid 4);

  11. er kunnen nationale regels komen voor de verwerking van strafrechtelijke gegevens (artikel 10);

  12. transparantie is niet noodzakelijk indien nationaal recht een bepaalde verwerking voorschrijft (artikel 14 lid 5 sub c) of wanneer een nationale wet beroepsgeheim voorschrijft (artikel 14 lid 5 sub d);

  13. nationaal recht kan bepalen dat het recht om vergeten te worden hoe dan ook van toepassing is (artikel 17 lid 1 sub e);

  14. het recht om vergeten te worden is niet van toepassing indien dat niet te verenigen is met nationaal recht (artikel 17 lid 3 sub b);

  15. er kunnen uitzonderingen in nationaal recht worden opgenomen voor het recht om een beperkte verwerking van persoonsgegevens af te dwingen (artikel 18 lid 2);

  16. er kunnen nationale regels komen die geautomatiseerde besluitvorming en profilering onder voorwaarden toestaat (artikel 22 lid 1 sub b);

  17. de rechten die de verordening aan de betrokkene geeft kunnen om een behoorlijk diverse set aan redenen, doch mits proportioneel en noodzakelijk, worden beperkt in nationaal recht (artikel 23 lid 1);

  18. een nationale wet kan voorzien in de verdeling van onderlinge verantwoordelijkheden indien meerdere partijen voor een bepaalde gegevensverwerking gezamenlijk verantwoordelijk zijn (artikel 26 lid 1);

  19. nationale wetgeving kan een bewerker verplichten om, in strijd met de instructie van de verantwoordelijke, een gegevensverwerking uit te voeren en kan eveneens verplichten daarover te zwijgen (artikel 28 lid 3 sub a / artikel 29 / artikel 32 lid 4);

  20. nationaal recht kan een bewerker verplichten persoonsgegevens te bewaren na afloop van de bewerkersrelatie (artikel 28 lid 3 sub g);

  21. de bewerker kan zich beroepen op nationaal recht bij de weigering een instructie van de verantwoordelijke op te volgen in het kader van een controle (artikel 28 lid 3 slot);

  22. een gegevensbeschermingseffectbeoordeling is niet noodzakelijk bij verwerkingen die door nationaal recht worden voorgeschreven (artikel 35 lid 10);

  23. nationaal recht kan de verantwoordelijken verplichten om, ongeacht de geconstateerde risico's, altijd de toezichthouder te raadplegen bij verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is (artikel 36 lid 5);

  24. nationaal recht kan de aanstelling van een functionaris voor de gegevensbescherming voorschrijven (artikel 37 lid 4);

  25. doorgifte van persoonsgegevens naar buiten de EU is toegestaan indien dat geschiedt van een bij nationaal recht ingesteld publiek register (artikel 49 lid 1 sub g);

  26. lidstaten kunnen besluiten dat bepaalde gegevens niet mogen worden doorgegeven aan landen buiten de EU waarover geen adequaatheidsbesluit is genomen (artikel 49 lid 5);

  27. de bevoegdheden van de toezichthouders kunnen per land verschillen (artikel 58 lid 6);

  28. lidstaten bepalen zelf of aan overheidsorganen boetes kunnen worden opgelegd (artikel 83 lid 7);

  29. lidstaten bepalen zelf welke sancties er staan op de bepalingen waar de verordening geen sanctie op stelt (artikel 84);

  30. nationaal recht kan bepalen dat persoonsgegevens openbaar worden gemaakt in het kader van openbaarheid van bestuur(artikel 86)

  31. lidstaten kunnen specifieke regels stellen voor de verwerking van een nationaal identificatienummer (artikel 87);

  32. lidstaten mogen nadere regels vaststellen in het kader van de arbeidsverhouding (artikel 88).

  33. lidstaten mogen afwijkingen toepassen op bepaalde rechten in het kader van wetenschappelijk onderzoek (artikel 88 lid 2).


Slotopmerking

Oordeelt u zelf: is er zo straks sprake van uniform Europees privacyrecht of niet? Naar mijn idee moet dat in ieder geval flink gerelativeerd worden.

Om diezelfde reden is het ook thans nog lastig te voorspellen waar het precies naar toe gaat met het privacyrecht. De tekst van de verordening is weliswaar bekend, maar onduidelijk is nog of, en in welke mate, er nationale wetgeving volgt met aanvullende of afwijkende regels.

We blijven het (kritisch) volgen en houden u op de hoogte.

Wilt u in de tussentijd alvast weten wat u nu alvast kunt doen om u voor te bereiden op de komende verordening? Neem dan contact met ons op. Ook maken wij u graag attent op het seminar Actualiteiten Privacyrecht van 20 september a.s., waarvoor u zich nu al kunt inschrijven.
Beoordeel dit artikel
Deel of print
Dirkzwager maakt gebruikt van cookies

Deze website plaatst functionele en analytische cookies, waarmee we onze site gebruiksvriendelijker maken. U blijft anoniem. Cookies van derden plaatsen we niet zonder uw toestemming. Klik op 'voorkeuren instellen' om uw voorkeuren aan te geven.

Prestatiecookies
Mediacookies
Marketingcookies