Article

De huidige Europese Privacyrichtlijn en de Wet bescherming persoonsgegevens

To be or not to be… compliant?

Wilt u meer weten over de huidige privacy wetgeving die in Nederland van kracht is? Annika Sponselee, werkzaam bij het Privacy team van Deloitte, legt u uit waar de richtlijnen vandaan komen en welke verplichtingen deze organisaties geeft.

Privacyrichtlijn

In 1995 kwam de Europese Privacyrichtlijn tot stand. De noodzaak van een Richtlijn kwam voort uit een toename van wereldwijde communicatie, onder meer gedreven door de informatie- en communicatietechnologie en door investeringen en internationale handel. Hierdoor namen ook de wereldwijde onderlinge stromen van persoonsgegevens tussen internationale concerns, banken, reisorganisaties en andere wereldwijde organisaties toe.

De Privacyrichtlijn heeft tot doel om de rechten en vrijheden van personen te beschermen bij de verwerking van persoonsgegevens en zorg te dragen voor vrij verkeer van persoonsgegevens tussen de Lidstaten. De implementatie van de Europese Privacyrichtlijn in de Nederlandse wetgeving heeft geresulteerd in de Wet bescherming persoonsgegevens (Wbp). Opgemerkt dient te worden dat de implementatievrijheid die de Privacyrichtlijn de Lidstaten op bepaalde punten biedt en de open formulering van bepaalde begrippen ertoe hebben geleid dat van gehele harmonisatie van de privacywetgeving in de Lidstaten geen sprake is. Er bestaan nog steeds verschillen tussen de wetgeving van de Lidstaten, de vraag is hoe lang deze verschillen blijven bestaan.

 

Wet bescherming persoonsgegevens (Wbp)

De Wbp is op 1 september 2001 in werking getreden en de handhaving van de Wbp ligt in handen van het College Bescherming Persoonsgegevens (CBP). Diens taken en verantwoordelijkheden zijn direct in de Wbp neergelegd. De Wbp ziet op de geautomatiseerde verwerking van persoonsgegevens (bijvoorbeeld een CRM  database met gegevens over klanten), alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn of worden opgenomen (bijvoorbeeld een kast met personeelsdossiers). Voor de duidelijkheid, persoonsgegevens zijn alle gegevens die herleidbaar zijn naar een persoon. Dit betekent dat de combinatie van bepaalde gegevens ook een persoonsgegeven kan opleveren. De combinatie van bijvoorbeeld een geboortedatum, dorp, beroep en geslacht kan in sommige gevallen ook een persoon identificeren. Sommige gegevens hebben vanwege hun gevoeligheid een aparte status en deze mogen slechts onder bepaalde voorwaarden worden verwerkt. Een voorbeeld hiervan is bijvoorbeeld medische gegevens.

Wie dient de bepalingen in de Wbp na te komen? De hoofdtaak ligt bij de verantwoordelijke, oftewel de natuurlijk- of rechtspersoon die bepaalt wat er met de persoonsgegevens gebeurt en hoe dit gebeurt. Voorbeelden hiervan zijn een werkgever die verantwoordelijk is voor zijn werknemersgegevens of een winkelhouder die verantwoordelijk is voor zijn klantgegevens. Voor de toepasselijkheid van de Wbp is met name de vestigingsplaats (het land) van de verantwoordelijke van belang. Ook dient er ten aanzien van de beoordeling van de mogelijke verplichtingen onder de Wbp rekening te worden gehouden met eventuele derde partijen die betrokken zijn en die in opdracht van de verantwoordelijke persoonsgegevens verwerken (bewerkers).

 

Verplichtingen uit de Wet bescherming persoonsgegevens

Op basis van de Wbp mogen Nederlandse organisaties en overheden binnen Europa persoonsgegevens uitwisselen zonder aan aanvullende vereisten te moeten voldoen. Wel zal de verwerking en doorgifte van persoonsgegevens aan de materiële en procedurele eisen van de Wbp moeten voldoen. Te denken valt aan de algemene beginselen van gegevensverwerking zoals onder meer de kwaliteitseisen, doelbinding, juridische grondslag voor verwerking, maar ook de meldplicht bij het CBP, de informatieverplichting aan betrokkenen, etc.

 

Doorgifte van persoonsgegevens

Een verwerking van persoonsgegevens die speciale aandacht behoeft, is de doorgifte van persoonsgegevens. Zodra het gegevensverkeer naar landen buiten de Europese Unie en de Europese Economische Ruimte betreft, welke landen niet voorzien in een bepaald beschermingsniveau, zijn de voorwaarden waar aan voldaan moet worden zwaarder. Doorgifte van persoonsgegevens is namelijk in principe verboden, tenzij er in overeenstemming met de Privacyrichtlijn (en de Wbp) kan worden voldaan aan één van de voorwaarden in de volgende drietrapsraket. Dit betekent dat:

  • doorgifte alleen is toegestaan als een derde land voorziet in een 'passend beschermingsniveau'
  • als er geen passend beschermingniveau is, dan dient er een uitzondering van toepassing te zijn zoals opgenomen in de Wbp
  • als er geen passend beschermingsniveau of wettelijke uitzondering van toepassing is, dan kan op basis van de Privacyrichtlijn een Lidstaat 'toestemming' worden gevraagd voor doorgifte indien de voor verwerking verantwoordelijke voldoende waarborgen biedt. Dit kan per Lidstaat verschillend geregeld zijn. De Wbp voorziet in verschillende mogelijkheden voor deze waarborgen en voor de vereisten voor 'toestemming'

 

Privacy wet- en regelgeving

In het kader van privacy compliance dient een organisatie niet alleen rekening te houden met de Wbp, maar ook met onder meer de richtlijnen van het CBP en artikel 29 Werkgroep, diverse gedragscodes, sector afhankelijke bepalingen, wetgeving in het kader van arbeidsrechtelijke verhoudingen, de Telecommunicatiewet, et cetera.

Organisaties dienen duidelijk in kaart te brengen welke persoonsgegevens zij verwerken en welke (wettelijke) bepalingen en regels op hun verwerkingen van toepassing zijn. Hiermee worden niet alleen boetes voorkomen, maar ook reputatieschade en het verlies van vertrouwen in de organisatie.

Vond u dit nuttig?

Gerelateerde onderwerpen