Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Vanaf die datum geldt in de hele Europese Unie dezelfde privacywetgeving, aangevuld of gewijzigd door nationale wetgeving. Bedrijven en instellingen moeten hierdoor aan een uitgebreide set regels voldoen. Waar staan de verschillende branches inmiddels en welke onduidelijkheden zijn er nog? Vier specialisten van het Privacyteam lichten een en ander toe.
"Door alle combinaties aan regels blijft de uitvoering van de AVG spannend, ook één jaar na dato," zegt privacyspecialist Mark Jansen. "Organisaties hebben waanzinnig veel privacygegevens en het is moeilijk om daarin overzicht te houden. We zijn volop bezig met adviseren over de AVG en de bijbehorende Nederlandse wetgeving UAVG."
Compleet advies
Omdat de privacywet vele factoren van een bedrijfsvoering raakt, is het team van Dirkzwager multidisciplinair. Jansen: "Organisaties zijn zich door de aanscherping veel bewuster van de kwetsbaarheid van persoonsgegevens. Binnen privacyvraagstukken heb je vaak te maken met verschillende soorten wetgeving en culturen, dus het is heel waardevol om een ander specialisme erbij te kunnen vragen. Er gelden in diverse branches specifieke regels of aandachtspunten, maar er zijn ook overlappingen. We weten elkaar als Privacyteam goed te vinden bij bijzondere zaken. Dat is leerzaam en het resultaat is dat we door de intensieve samenwerking onze cliënten een compleet beeld en advies kunnen geven."
"Organisaties hebben waanzinnig veel privacy-gegevens en het is moeilijk om daarin overzicht te houden."
Botsende wetgeving
Sommige bedrijven zijn nog met de basis bezig. Zij lopen bijvoorbeeld aan tegen de vraag tot wiens takenpakket privacy behoort. Andere zijn al verder op de rit en stuiten op complexe vragen of botsende wetgeving. Financiële instellingen moeten bijvoorbeeld van de AFM (Autoriteit Financiële Markten) een uitgebreid klantdossier opbouwen en de privacywetgeving staat dan soms in de weg. Of bijvoorbeeld het recht op vergetelheid, wat inhoudt dat je het recht hebt je persoonsgegevens te laten verwijderen. Dit kan haaks staan op de administratieplicht of het recht je te kunnen verdedigen in een rechtszaak. Bij dit soort rafelranden van de AVG denken wij na over het doel van de contrasterende regels en maken we steeds opnieuw risicoafwegingen."
Controle door de AP
Ook de eis tot compliance - aantonen dat je aan de regels voldoet - houdt veel bedrijven bezig. "Soms is het lastig om daarin zelf keuzes te maken vanwege de vele open normen. Op den duur zal hopelijk duidelijkheid ontstaan nadat de rechter erover heeft geoordeeld. Dat gebeurt als een bedrijf een beslissing van de Autoriteit Persoonsgegevens aanvecht.
De Autoriteit Persoonsgegevens (AP) controleert of bedrijven voldoen aan de vereisten van de AVG. De AP is niet meteen na 25 mei 2018 heel streng gaan controleren. Je ziet nu wel dat de AP steekproeven begint te nemen en steeds meer de eigen visie op de wetgeving geeft. De komende één à twee jaar zijn bepalend: gaat de AP de duimschroeven aandraaien en fikse boetes opleggen, of blijft ze zich relatief mild opstellen?"
Intellectueel Eigendom & IT recht
Het Privacyteam buigt zich over sectieoverstijgende vraagstukken van het privacyrecht. Zo werd in verschillende sectoren wel anders geoordeeld over het inzagerecht. Meest recent lijkt de Hoge Raad besloten te hebben dat de betrokkene alleen recht heeft op de persoonsgegevens en niet de onderliggende stukken. Dit kan een wereld van verschil betekenen. Soms zijn er echter aanvullende regels die maken dat je de stukken wel moet verstrekken. Ook vragen over cloud computing komen veel voor. Mark Jansen: "De AVG bepaalt dat persoonsgegevens in beginsel binnen de EU bewaard moeten worden. Clouds kennen echter geen grenzen. En in de VS gelden weer andere wetten waardoor men verplicht is data af te geven, soms zelfs als die in de EU worden bewaard. Hoe kies je als bedrijf dan een goede leverancier, wat spreek je contractueel af en wat gebeurt er bij datalekken? Dat zijn allemaal actuele vraagstukken die voor meerdere branches gelden."
Aansprakelijkheid, schade en verzekeringsrecht
"Verzekeraars hebben veel gegevens nodig van hun cliënten, maar door de AVG zijn bedrijven huiverig om alles te delen. Zonder volledige informatie is het moeilijk om claims te beoordelen," vertelt Nynke Brouwer, advocaat bij de sectie ASV. "In praktijk zie je dat partijen door de AVG meer aandacht besteden aan de contractering. Als daarover dan meningsverschillen ontstaan, kan dat de gang van zaken behoorlijk blokkeren." Aan de voorkant van het proces van risicomanagement adviseren Nynke Brouwer en haar collega’s veelvuldig over de verwerkingsovereenkomsten, joint controller agreements en privacystatements. En over het omgaan met verzoeken van betrokkenen tot inzage of verwijdering van gegevens. Aan de achterkant van het risicomanagement gaat het om incident respons bij beveiligingsincidenten en datalekken. Snelle actie is dan vereist, maar het is niet altijd duidelijk wanneer er een meldingsplicht geldt.
Op het Privacy Evenement van 21 mei behandelt Nynke Brouwer samen met Eva Traag onder andere het snijvlak tussen verzekeringsrecht en arbeidsrecht.
Gezondheidsrecht
Binnen de gezondheidszorg geldt van oudsher het medisch beroepsgeheim en is er veel aandacht voor de privacy van patiënten en de bescherming van hun persoonsgegevens. Toch zijn er ook binnen deze sector nog onduidelijkheden over de AVG, vertelt Luuk Arends, advocaat bij de sectie Gezondheidszorg. "Vanaf 1 juli 2020 zal bovendien op grond van de Wet aanvullende bepalingen gegevensverwerking in de zorg het toestemmingsvereiste voor het uitwisselen van patiëntgegevens via een elektronisch uitwisselingssysteem worden aangescherpt. Vanaf dat moment moet de zorgaanbieder toestemming aan de patiënt vragen welke patiëntgegevens hij voor welke andere zorgverleners raadpleegbaar mag maken.
Deze aanscherping roept ook weer vragen op: hoe maken we een dergelijke specifieke toestemming technisch mogelijk, en strookt het geven van een specifieke toestemming wel altijd met een optimale behandeling? Sinds de komst van de AVG, is de bewustwording binnen de zorg alleen maar verder toegenomen, zegt Arends. "Dit zien we onder meer terug aan het toegenomen aantal meldingen van datalekken. Men is veel meer bereid om daar melding van te maken, al is het maar uit voorzorg."
Luuk Arends gaat tijdens het evenement van 21 mei samen met ‘technology-advocaat’ Ernst-Jan van de Pas in op het gebruik van big data binnen de zorg.
Arbeidsrecht
De AVG heeft voor werkgevers niet direct veel veranderd. Veel verplichtingen uit de AVG en de UAVG waren ook al geregeld in de oude Wet bescherming persoonsgegevens. Wél heeft de AVG gezorgd voor meer bewustwording. Eva Traag, advocaat arbeidsrecht: "Werkgevers moeten zorgvuldig omgaan met persoonsgegevens van werknemers. Dat vraagt om transparantie. Werknemers moeten vooraf geïnformeerd worden - bijvoorbeeld door middel van een privacy statement - over welke persoonsgegevens worden verwerkt en waarom. Ook mensen die niet op basis van een arbeidsovereenkomst werkzaam zijn - bijvoorbeeld zzp-ers, stagiairs en vrijwilligers - moet je informeren. Werknemers kunnen zich beroepen op het inzagerecht. Het is daarom van belang bewust bezig te zijn met wat mag er worden vastgelegd, wat is waardevol voor dossiervorming en welke bewaartermijn moet je hanteren? Uitgangspunt is dat persoonsgegevens mogen worden bewaard zolang als nodig is. Dat is een open norm die werkgevers zelf zullen moeten invullen."
Een andere hoofdbreker die botsende belangen met zich meebrengt, is privacy van zieke werknemers. "In feite mag een werkgever over arbeidsongeschiktheid van werknemers heel weinig vastleggen. De AP legt hier de grenzen wel erg strikt vast," vindt Eva Traag. "Zonder tussenkomst van de bedrijfsarts of een casemanager mag er zeer weinig. Het is voor werkgevers lastig navigeren, omdat vanuit het arbeidsrecht juist ook veel verplichtingen gelden ten aanzien van zieke werknemers. Daarnaast hebben werkgevers vaak ook gewoon goede intenties, ze willen verzuim voorkomen of een zieke werknemer er zo snel mogelijk weer bovenop helpen. Het zou interessant zijn als zo’n casus eens voor de bestuursrechter zou komen, die kan mogelijk meer helderheid bieden." Tijdens het Privacy Evenement van 21 mei behandelt Eva Traag samen met Nynke Brouwer onder andere de vraag welke gezondheidsgegevens werkgevers aan verzekeraars mogen doorgeven.
Privacy Evenement 21 mei 2019
Waar staan we na één jaar AVG en welke rafelranden en onduidelijkheden zijn er nog? Op 21 mei organiseert het Privacyteam van Dirkzwager legal & tax hierover een gratis Privacy Evenement in het Van der Valk Hotel Nijmegen-Lent. Een interessante bijeenkomst voor iedereen die te maken heeft met privacy in de breedste zin van het woord. Tijdens het Evenement is er voldoende kans om de experts van Dirkzwager te spreken en vragen voor te leggen. Aanmelden is mogelijk via www.dirkzwager.nl/events.
Dirkzwager Privacycheck
Voldoet uw organisatie in hoofdlijnen aan de AVG en UAVG? Doe de gratis privacycheck via www.dirkzwager.nl/privacycheck