Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

Wat iedereen moet weten voor 25 mei 2018 over de Wbp, AVG en Uitvoeringswet.

Als de Algemene Verordening Gegevensbescherming (AVG) van toepassing wordt op 25 mei 2018, dan vervangt de AVG de huidige Wet bescherming persoonsgegevens (Wbp). De AVG biedt de EU-lidstaten op verschillende punten de ruimte zelf een nadere invulling te geven aan hetgeen is geregeld in de AVG. De Nederlandse wetgever heeft ter invulling van deze ruimte de Uitvoeringswet Algemene verordening gegevensbescherming (Uitvoeringswet) in het leven geroepen. Bij het opstellen van de Uitvoeringswet is gekozen voor een beleidsneutrale invulling die de AVG de Lidstaten biedt. Met andere woorden, de Uitvoeringswet sluit zoveel mogelijk aan bij de Wbp.

Dit heeft tot gevolg dat de gevolgen van de inwerkingtreding van de AVG minder groot zijn dan in eerste instantie gedacht. Maar er verandert wel degelijk wat. In drie artikelen nemen we je mee in de gevolgen van de komst van de AVG en de Uitvoeringswet. In de eerste twee artikelen lees je wat relevante veranderingen zijn ten opzichte van de huidige wet- en regelgeving (de Wbp). In het laatste artikel besteden we aandacht besteden aan de vraag wat deze veranderingen betekenen voor de praktijk en hoe je de organisatie op deze veranderingen voorbereidt.

Part 1: Een eerste kennismaking

In dit artikel bespreken we de openbaarmaking door de Autoriteit Persoonsgegevens (AP), de boete mogelijkheden van de AP en de vervangende toestemming voor verwerking van persoonsgegevens.

Openbaarmaking door de AP

Voor de reputatie van je organisatie is het van belang om je bewust te zijn van de bevoegdheid van de AP. Deze bevoegdheid volgt uit artikel 20 Uitvoeringswet die vermeldt dat de AP bevindingen van een onderzoek of opgelegde corrigerende maatregelen mag publiceren. De AP is niet verplicht om van deze bevoegdheid gebruik te maken.

Deze bevoegdheid had de AP ook onder het regime van de Wbp, waar het was opgenomen in de Beleidsregels ‘Openbaarmaking door de Autoriteit Persoonsgegevens’. En, belangrijk om te weten: de AP maakt ook al gebruik van deze mogelijkheid.

In de Memorie van Toelichting bij de Uitvoeringswet, staat dat het doel van de opname van artikel 20 Uitvoeringswet is te voorkomen dat er een discussie ontstaat over de openbaarmaking van de uitkomsten van onderzoeken door de AP en de als gevolg daarvan opgelegde maatregelen. Vaak wil een organisatie niet dat de AP de uitkomsten van een onderzoek en de eventueel opgelegde maatregelen publiceert, omdat publicatie van het onderzoek nadelig kan zijn voor de reputatie van een organisatie. Artikel 20 Uitvoeringswet geeft de AP de bevoegdheid om dit wel te doen ten einde discussie met organisaties te voorkomen.

Wij verwachten dat de AP haar beleid rond het publiceren van de uitkomsten van de door haar uitgevoerde onderzoeken niet veel zal wijzigen. Juist omdat uit de Memorie van Toelichting blijkt dat de opname van dit artikel vooral is gelegen in het voorkomen van een eventuele discussie omtrent een eventuele publicatie. Er worden hierbij in principe geen nieuwe bevoegdheden aan de AP toegekend. De verwachting is dan ook dat met de komst van de AVG en de Uitvoeringswet de reeds bestaande ‘Beleidsregels openbaarmaking door de Autoriteit Persoonsgegevens’ (grotendeels) gehandhaafd zal worden.

Desondanks is het wel van belang je op grond van artikel 20 te beseffen dat de AP deze bevoegdheid heeft en dat de openbaarmaking van de uitkomsten van de onderzoeken en de opgelegde maatregelen (nadelige) effecten kan hebben voor de reputatie van je organisatie.

Boetemogelijkheden AP

Onder de Wbp kan de AP enkel direct een boete opleggen indien er sprake is van een opzettelijke overtreding of van een overtreding die het gevolg is van een ernstig verwijtbare nalatigheid. Voor alle andere overtredingen geldt dat de AP de overtreder eerst een bindende aanwijzing moet geven. Met andere woorden, eerst een waarschuwing en dan pas volgt er straf.

Deze verplichting staat niet meer in de AVG en de Uitvoeringswet. De AP is niet langer verplicht de overtreder te waarschuwen alvorens een boete op te leggen. Het is wel de vraag of de AP, indien er geen sprake is van opzet of ernstige nalatigheid, direct zal overgaan tot sanctionering. De AP benadrukt regelmatig dat hun toezicht en handhaving vooral toeziet op naleving van de wet en herstel van de gewenste situatie. Het bewind van de AP onder de Wbp was hiermee dan ook in lijn.

Daarbij komt dat de AVG en de Uitvoeringswet veel open normen bevatten, zoals ‘voldoende beveiliging’ en ‘ernstig risico’. Op grond van het legaliteitsbeginsel (de verplichte kenbaarheid van wat wel en niet mag alvorens het overtreden hiervan te sanctioneren) moet de AP eerst haar interpretatie van zo’n open norm geven, voordat zij een boete opleggen wegens het overtreden van deze norm. Waar het gaat om open normen in de AVG vraagt de interpretatie daarvan veel tijd, aangezien dit afgestemd moet worden met alle lidstaten. 

Wij verwachten op basis van bovenstaande dat de AP ook na de invoering van de AVG en de Uitvoeringswet de lijn van ‘eerst waarschuwen, dan handhaven’ voortzet. In het licht van de proportionaliteit is het aannemelijk dat de AP enkel in die gevallen waarin sprake is van een opzettelijke overtreding of van een overtreding die het gevolg is van een ernstig verwijtbare nalatigheid, direct een boete zal opleggen. In de overige gevallen biedt de AP waarschijnlijk de overtreder eerst de kans de overtreding te herstellen en pas bij nalaten daarvan een boete opleggen.

Toestemming namens een ander

Wanneer een verwerking plaatsvindt op basis van toestemming ben je in sommige gevallen verplicht toestemming te vragen van een andere persoon dan de betrokkene. Denk hierbij aan toestemming door de ouder(s)/verzorger(s) van een minderjarige. Of aan toestemming van een curator of mentor wanneer een meerderjarige niet goed voor zichzelf kan zorgen op financieel of  persoonlijk gebied. Zoals bijvoorbeeld in geval van dementerende of psychiatrische patiënten of verslaafden.

De Wbp schrijft voor dat in geval van een persoon die onder curatele gesteld is of als er sprake is van mentorschap, toestemming van de wettelijke vertegenwoordiger vereist is. In de AVG is slechts een regeling opgenomen over toestemming door minderjarigen. Vervangende toestemming is nodig tot een leeftijd van 16 jaar. Lidstaten kunnen een lagere leeftijd aanhouden, mits deze niet lager is dan 13 jaar. Overige gevallen ten aanzien van vervangende toestemming worden in de AVG niet besproken.

De Uitvoeringswet volgt hierin artikel 5 Wbp. Dit betekent dat er in de situatie van een minderjarige, onder curatelestelling of mentorschap, altijd vervangende toestemming van ouder(s)/verzorgers(s) dan wel curator of mentor nodig is. Daarbij houdt Nederland de leeftijdsgrens aan van 16 jaar.

Wijzigingen in de details

De eerste opmerkingen zijn nu geplaatst. Zoals wij in het begin van dit artikel benoemden, sluit de Uitvoeringswet zoveel mogelijk aan op de Wpb. De wijzigingen zitten dan ook vooral in de details van de Uitvoeringswet. Welke dit zijn en wat dit voor iedereen betekent, lees je in ons tweede artikel van deze reeks.

Over de auteur

"Wie het ooit heeft gedaan kan het beamen, werken is het leukste samen."

Neem contact op Linda Willems Legal professional
06 1214 85 66

Lees ook:

Dit is het eerste artikel uit de reeks Privacywetgeving?! Lees ook de andere artikelen:

Gerelateerde artikelen
Alle artikelen