Komende privacyverordening
Onlangs is de privacyverordening vastgesteld. Deze nieuwe privacywetgeving vervangt de bestaande privacywetgeving voor een groot deel. De nieuwe wetgeving is vanaf 25 mei 2018 van kracht.
De nieuwe wetgeving is veel uitgebreider dan het bestaande wettelijke kader. De komende tijd gaan we in verschillende berichten in op enkele veranderingen die er aan komen.
Verplichte gegevensbeschermingseffectbeoordeling
In artikel 35 van de privacyverordening staan de regels over de gegevensbeschermingseffectbeoordeling. Het artikel beschrijft o.a. wat een gegevensbeschermingseffectbeoordeling inhoudt, wanneer deze verplicht is en welke stappen moeten worden gezet.
Wat is een gegevensbeschermingseffectbeoordeling?
De beoordeling wordt in lid 1 omschreven als een "beoordeling (...) van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens". Het gaat met andere woorden om een voorafgaande inschatting van de privacygevolgen van een bepaalde verwerking van persoonsgegevens.
Wanneer is een gegevensbeschermingseffectbeoordeling verplicht?
De privacyverordening geeft een algemene regel en drie voorbeelden van situaties wanneer een gegevensbeschermingseffectbeoordeling verplicht is.
De hoofdregel is dat wanneer een voorgenomen verwerking van persoonsgegevens "gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen", er een voorafgaande gegevensbeschermingseffectbeoordeling vereist is.
Het gebruik van nieuwe technologieën wordt door de verordening aangemerkt als een aanwijzing dat er wel eens sprake zou kunnen zijn van een dergelijk hoog risico.
Zowel de hoofdregel als die extra aanwijzing, zijn al met al nog niet echt heel richtinggevend. In lid 5 van het artikel staat dat de toezichthouder een lijst kan opstellen van situaties waarvoor geen voorafgaande beoordeling verplicht is. Die uitzonderingen zullen richtinggevend gaan werken. Het is voor internationale concerns wel te hopen dat er niet wederom nationale verschillen gaan ontstaan.
In lid3 van artikel 35 staan drie voorbeelden van situaties waarin in ieder geval een beoordeling verplicht is. Het betreft de volgende situaties:
- een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
- grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of
- stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Hier is natuurlijk o.m. de vraag wat er onder "grootschalig" is te verstaan. Als die drempel laag komt te liggen moet straks ieder ziekenhuis periodiek een beoordeling maken, als die drempel hoog komt te liggen is een beoordeling niet zo vaak vereist.
In overweging 91 is hierover het volgende te lezen:
Dit dient met name te gelden voor grootschalige verwerkingen die bedoeld zijn voor de verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden en die bijvoorbeeld vanwege hun gevoelige aard een hoog risico met zich kunnen brengen, wanneer conform het bereikte niveau van technologische kennis een nieuwe technologie op grote schaal wordt gebruikt, alsmede voor andere verwerkingen die een groot risico voor de rechten en vrijheden van de betrokkenen inhouden, met name wanneer betrokkenen als gevolg van die verwerkingen hun rechten moeilijker kunnen uitoefenen. Een gegevensbeschermingseffectbeoordeling dient ook te worden gemaakt wanneer persoonsgegevens worden verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de profilering van deze gegevens, of na de verwerking van bijzondere categorieën van persoonsgegevens, biometrische gegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen. Een gegevensbeschermingseffectbeoordeling is tevens nodig voor de grootschalige bewaking van openbaar toegankelijke ruimten, met name wanneer optisch-elektronische apparatuur wordt gebruikt, of voor alle andere verwerkingen wanneer de bevoegde toezichthoudende autoriteit oordeelt dat zij waarschijnlijk een groot risico inhouden voor de rechten en vrijheden van betrokkenen, met name omdat betrokkenen als gevolg van deze verwerkingen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst, of omdat deze verwerkingen systematisch op grote schaal worden uitgevoerd. De verwerking van persoonsgegevens mag niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat. In die gevallen mag een gegevensbeschermingseffectbeoordeling niet verplicht worden gesteld.
De woorden "regionaal, nationaal of supranationaal niveau" in deze overweging wijzen voorzichtig in de richting dat een beoordeling niet al te snel verplicht is. Het is echter afwachten wat het Europees Comité voor gegevensbescherming (de opvolger van de artikel 29 werkgroep) er in richtsnoeren van maakt. De huidige artikel 29 werkgroep staat in ieder geval niet bekend om haar enge (terughoudende) interpretaties van de regelgeving, dus het zou me niets verbazen als de drempel feitelijk niet al te hoog komt te liggen straks.
Als de verwerking van persoonsgegevens wettelijk is voorgeschreven, is geen voorafgaande toets vereist, zo bepaalt lid 10. Het lastige is alleen wel dat lid 10 ook vereist dat er (door de wetgever) "reeds (...) een gegevensbeschermingseffectbeoordeling is uitgevoerd". Het is onduidelijk of dit betekent dat steeds moet worden onderzocht of de wetgever die toets inderdaad heeft uitgevoerd, of dat deze bepaling eerder als opdracht aan de wetgever moet worden gelezen. Artikel 36 lid 4 bepaalt in ieder geval dat nationale wetgevers steeds de toezichthouder moeten raadplegen voorafgaand aan wetgevingsplannen.
Als uitzondering op die uitzondering bepaalt artikel 35 lid 6 vervolgens dat in nationale wetgeving een gegevensbeschermingseffectbeoordeling verplicht kan worden gesteld, onder meer bij verwerkingen op het gebied van sociale bescherming en volksgezondheid.
Wat moet er minimaal worden gedaan?
De privacyverordening schrijft niet tot in de puntjes voor hoe een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd. Dat zal ook van geval tot geval verschillen.
Wel staat in lid 7 van artikel 35 van de verordening wat er minimaal in de beoordeling aan de orde moet komen. Het betreft de volgende aspecten:
- een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
- een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
- een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van betrokkenen; en
- de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
Verder staat in lid 8 dat als er gedragscodes worden onderschreven, deze bij de beoordeling in acht moeten worden genomen.
In lid 9 staat dat "in voorkomend geval" ook de mening aan de betrokkene of diens vertegenwoordigers moet worden gevraagd.
Wat moet er vervolgens gebeuren?
In artikel 36 staat dat wanneer uit een gegevensbeschermingseffectbeoordeling volgt dat er sprake is van een "hoog risico", dat dan de toezichthouder moet worden geraadpleegd.
De toezichthouder moet volgens lid 2 van artikel 36 binnen 8 weken reageren. Die termijn kan eventueel met nog 6 weken worden verlengd. Ook kan de termijn worden opgeschort als de toezichthouder om informatie heeft gevraagd en deze niet (tijdig) wordt verstrekt.
In de reactie kan de toezichthouder advies geven over de voorgenomen verwerking. Ook kan de toezichthouder eventueel handhavend optreden.
Het ligt voor de hand dat de toezichthouder een aanmelding grondig zal willen onderzoeken en dus eerst om nadere informatie zal vragen (en de termijnen zal schorsen). Het ligt ook voor de hand dat de toezichthouder wel iets zal vinden van het voornemen en bepaalde adviezen zal uitbrengen. En het ligt verder voor de hand dat indien die aanwijzingen niet worden opgevolgd, de toezichthouder een last onder dwangsom zal opleggen om dat alsnog af te dwingen (vgl. artikel 58 lid 2 sub d verordening).
Wat als het niet gebeurt?
Op het niet naleven van de verplichting tot het uitvoeren van een gegevensbeschermingseffectbeoordeling staat een boete van maximaal 10.000.000 euro of 2% van de wereldwijde omzet (artikel 83 lid 4 sub a).
Heeft u vragen?
Neem gerust contact met ons op wanneer u vragen heeft over het voorgaande.
