Privacywetgeving

Het recht op privacy is een Nederlands grondrecht en een fundamenteel mensenrecht erkend in het Europees Verdrag tot bescherming van de Rechten van de Mens en de Universele Verklaring van de Rechten van de Mens. Privacy is een voorwaarde om te zijn wie je bent en te doen wat je wil. Belangrijk is dus de regie die men over zijn of haar leven moet kunnen hebben.

Het waarborgen van controle over persoonsgegevens is een belangrijk element van het recht op privacy. Het is van groot belang dat persoonsgegevens beschermd worden, zeker in de tijd waarin we nu leven, waarin, door technologische ontwikkelingen die elkaar in rap tempo opvolgen en het gebruik van internet, veel informatie over ons voorhanden lijkt te zijn voor anderen. Op Europees niveau is in dit kader de onder andere de Algemene Verordening Gegevensbescherming van groot belang.

De Algemene Verordening Gegevensbescherming

Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking in Nederland en verving deze de Wet bescherming persoonsgegevens (Wbp). Het feit dat geschillen omtrent privacy en de daarmee samenhangende verwerking van persoonsgegevens vaak grensoverschrijdend zijn, maakte het onder andere van belang dat ook de wetgeving grensoverschrijdend is. Dit is één van de belangrijke veranderingen die de AVG teweeg heeft gebracht: harmonisatie van de privacywetgeving van Europese landen.

De AVG is van toepassing op iedere verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van de verwerkingsverantwoordelijke binnen de Europese Unie, met uitzondering van een viertal in deze verordening neergelegde situaties, waaronder het verwerken van persoonsgegevens bij een persoonlijke of huishoudelijke activiteit, of het verwerken van persoonsgegevens door bevoegde autoriteiten in het kader van voorkoming, onderzoek, opsporing of vervolging van strafbare feiten. De verwerking van persoonsgegevens hoeft niet plaats te vinden in de Europese Unie, om beschermd te worden door de Algemene Verordening Gegevensbescherming.

Persoonsgegevens

Maar wat zijn persoonsgegevens dan precies? Het begrip persoonsgegevens omvat alle informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon. Iemand is geïdentificeerd of identificeerbaar indien hij of zij direct of indirect kan worden geïdentificeerd op basis van (de combinatie van) verschillende gegevens van deze persoon.

Er zijn verschillende soorten persoonsgegevens. Van belang is het verschil tussen persoonsgegevens en bijzondere categorieën van persoonsgegevens, aangezien er aanzienlijk meer waarborgen zijn voor het beschermen van bijzondere categorieën van persoonsgegevens. Onder deze bijzondere categorieën van persoonsgegevens vallen, zoals blijkt uit de AVG, “persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, evenals biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid” 

De AVG stelt dat eigenlijk alles wat met persoonsgegevens gedaan wordt, verwerking van persoonsgegevens inhoudt. Hierdoor is het toepassingsgebied van de AVG erg groot. De verwerking van persoonsgegevens is onderhevig aan een groot aantal voorwaarden en rechtvaardigingsgronden die zijn neergelegd in de AVG.

Rechten van betrokkenen

In de AVG zijn de rechten van degene wiens persoonsgegevens worden verwerkt (de ‘betrokkene’ genoemd) neergelegd. Het aanvullen en versterken van bestaande rechten en het toevoegen van nieuwe rechten is één van de wijzigingen in wetgeving ten opzichte van de Wbp, die grote veranderingen teweeg heeft gebracht voor alle partijen die betrokken zijn bij het verwerken van persoonsgegevens. Van groot belang is het vereiste van toestemming, waaraan in een apart artikel voorwaarden worden gesteld, en het inwerking treden van het recht op vergetelheid en het recht op dataportabiliteit.

Het recht op vergetelheid geeft de betrokkene het recht om een organisatie te verzoeken zijn of haar persoonsgegevens te verwijderen én om van deze organisatie te eisen dat de persoonsgegevens oor worden verwijderd bij derde partijen waaraan de organisatie de persoonsgegevens heeft verstuurd. Het recht op dataportabiliteit houdt in dat men recht heeft om zijn of haar persoonsgegevens van een organisatie te ontvangen en deze, indien gewenst, te versturen aan een organisatie die eenzelfde soort dienst levert. Denk hierbij aan het verplaatsen van de persoonsgegevens van het ene social media platform naar het andere.

Het opstellen van een privacyverklaring is een wettelijke verplichting, die dient tot het informeren van de betrokkene over het doel van de verwerking van zijn of haar persoonsgegevens. Een privacyverklaring kan bijvoorbeeld op de website van een organisatie geplaatst worden, die de persoonsgegevens van de bezoekers van de website verwerkt. Daarnaast bestaat er een interne privacyverklaring, waarin een werkgever zijn of haar werknemers informeert over het al dan niet verwerken van persoonsgegevens, inclusief het doel van de verwerking.

Datalekken

Daar waar mensen werken, worden fouten gemaakt. En hoewel steeds meer activiteiten tegenwoordig worden geautomatiseerd, kan nooit uitgesloten worden dat een fout wordt gemaakt. Een verkeerde verwerking van persoonsgegevens wordt een datalek genoemd. De AVG eist dat een datalek binnen 72 uur na het ontdekken hiervan aan de Autoriteit Persoonsgegevens (AP) wordt gemeld. Tevens is het bijhouden van een register datalekken een verplicht onderdeel van de privacy boekhouding van een organisatie. 

Het naleven van de AVG staat onder toezicht van de AP. Wanneer niet wordt voldaan aan de regels die zijn neergelegd in de AVG, dan kan een forse boete worden opgelegd door de AP. Daarnaast is de AP een belangrijk orgaan van advies aan de regering met betrekking tot vraagstukken omtrent de verwerking van persoonsgegevens.

Andere wetgeving

Naast de zojuist uitvoerig behandelde AVG, is ook andere regelgeving van toepassing op het gebied van privacy en bescherming van persoonsgegevens. Hierbij dient onder andere te worden gedacht aan de Richtlijn betreffende de verwerking van persoonsgegevens door bevoegde politie- en strafrechtautoriteiten (Richtlijn 2016/680) en de e-Privacy Richtlijn, van toepassing op privacy in elektronische communicatie, waarvoor momenteel een voorstel bestaat om deze te vervangen voor de e-Privacy verordening, die gelijk van toepassing zal zijn in de gehele EU. De e-Privacy Richtlijn die momenteel dus nog van kracht is, is in Nederland geïmplementeerd in de Telecommunicatiewet. Hiernaast kunnen vele andere wetten enkele regels bevatten omtrent privacy en gegevensverwerking. Het is hierbij altijd van belang te kijken welke wet prevaleert en dus geldt voor uw situatie.

Contact

In de tekst hierboven is een samenvatting gegeven van de belangrijkste elementen van de AVG en een opsomming van andere wetgeving die op privacy van toepassing is. De veelheid aan regels omtrent privacy en het verwerken van persoonsgegevens, maakt privacy-gerelateerde vraagstukken erg complex. Vraagt u zich af of uw organisatie voldoet aan de privacywetgeving, of wilt u hulp bij het voldoen aan deze belangrijke wetgeving, neem dan contact op met Legal Q. Wij helpen u graag verder!



Specialist privacywetgeving

Vraagstukken omtrent het recht op privacy kunnen erg complex zijn. Onze juridische specialisten helpen u graag op weg!
Innovation / Growth / Commitment

Neem contact op

U kunt contact met ons opnemen door het invullen van ons contactformulier. Wij reageren zo spoedig mogelijk. Natuurlijk kunt u ons ook direct mailen of bellen.