De familie Data Privacy
Het zal duidelijk zijn: als er een familie Data Privacy zou bestaan, dan is de Algemene Verordening Gegevensbescherming (AVG) de moeder. De AVG krijgt steeds meer aandacht met de datum van toepassing (25 mei 2018) in zicht, niet vreemd met nog minder dan 200 dagen te gaan. Zie ook mijn eerdere blog zwanger zijn van de AVG. Hoog tijd om de blik eens te richten op de rest van de familie. De vader en de kinderen verdienen immers ook aandacht, misschien wel meer dan de moeder zelf. Ze krijgen dat alleen haast niet in de media, behalve van Data Privacy professionals.
De e-Privacy verordening is de andere hoeksteen van de familie, de vader. De diverse guidelines en opinies die door de Artikel 29 Werkgroep worden gepubliceerd zijn daarmee de kinderen: de een na de ander wordt geboren, sommige zelfs tegelijkertijd. Tenslotte zijn er nog enkele leden van de familie die wat verder weg wonen, die zien we dan ook (nog) minder vaak.
De grootte van de familie maakt dat menig Data Privacy professional – of publicerend journalist – het overzicht gemakkelijk kwijt kan raken. Het lijkt misschien een gebroken gezin, maar er is een zeer hechte band.
Moeder
Er is en wordt veel gepubliceerd over de AVG, zie ook mijn algemene beschouwing. De AVG zal bestaande sterk verouderde wetgeving vervangen en tegelijkertijd wetgeving in Europa harmoniseren. De basis van de AVG is min of meer hetzelfde als de huidige richtlijn uit 1995. Diverse aanscherpingen en nieuwe uitgangspunten moeten de tand des tijds doorstaan, voor de komende 20 tot 30 jaar.
- Aanscherpingen zijn o.a. de rechten van betrokkenen en verplichtingen van verantwoordelijken.
- Nieuwe uitgangspunten zijn met name de verantwoordingsplicht en transparantie.
- Hoge boetes moeten naleving afdwingen.
Hoe de AVG zal gaan uitpakken is alleen de grote vraag. De discussies die worden gevoerd onder Data Privacy professionals zijn tekenend. De discussies die niet worden gevoerd zeggen misschien nog wel meer. De enige zekerheid is dat de tijd zal leren hoe moet worden omgegaan met de AVG. Jurisprudentie en – daar is hij weer – de Artikel 29 Werkgroep, straks het Europees Comité voor gegevensbescherming, zullen hierbij moeten helpen.
Vader
Het voorstel tot de e-Privacy verordening, oftewel de Verordening Privacy en Elektronische Communicatie 2002/58/EC (pdf), is in januari 2017 aan de wereld gepresenteerd. Het is in feite een zogenaamde Lex Specialis van de AVG. Dit wil zeggen dat het wetgeving is met meer gedetailleerde regels, in vergelijking tot de AVG die meer algemene regels geeft. De afgelopen maanden zijn er vele wijzigingsvoorstellen ingediend en is hierover gestemd in Commissies van het Europees Parlement. Deze zijn grotendeels aan de aandacht van de media ontglipt. De e-Privacy verordening zou ook van toepassing moeten worden op 25 mei 2018. Dit is echter hoogst onzeker. Voorlopig moet het Europese Parlement het voorstel eerst nog goedkeuren.
De e-Privacy verordening wordt populair aangeduid met de cookie verordening. Dat is half juist, want de verordening omvat veel meer dan alleen nieuwe cookie wetgeving. Weer wordt een richtlijn vervangen door een verordening, dus met directe werking in heel Europa, zonder nadere wetgeving. Er gaan al geluiden op dat deze verordening, in de schaduw van de AVG, mogelijk nog meer – en zelfs nog grotere – gevolgen zal hebben. Een selectie:
- De nieuwe regels treffen niet alleen telecom bedrijven, maar ook “nieuwe” leveranciers van elektronische communicatie diensten, zoals WhatsApp, Facebook Messenger, Skype, etc.
- Privacy wordt niet alleen gegarandeerd voor de inhoud van elektronische berichten, maar ook voor de metadata die zich daarin bevindt (zoals tijd en locatie). Beide moeten worden geanonimiseerd of verwijderd als er geen toestemming of noodzaak is om het te bewaren.
- De omgang met cookies wordt gestroomlijnd. Gebruikers zullen meer controle (moeten) krijgen over cookies en gemakkelijker cookies kunnen accepteren of weigeren.
- Er komt meer bescherming tegen spam. Ongewenste elektronische communicatie (email, SMS maar ook telefoon) wordt op elke manier verboden, tenzij er toestemming is. Marketing bedrijven mogen hun telefoonnummer niet meer afschermen.
Er zitten gelukkig ook positieve kanten aan, althans volgens Brussel.
- Er komen nieuwe zakelijke mogelijkheden. Toestemming die is gegeven voor communicatie data mag vervolgens worden gebruikt voor zowel inhoud als metadata. Telecom bedrijven krijgen zo meer mogelijkheden om de data te gebruiken en aanvullende diensten aan te bieden.
- Er zal niet langer toestemming nodig zijn voor cookies die geen inbreuk maken op privacy en alleen dienen om de internet ervaring te verbeteren.
Kinderen
Hoe zit het dan met de kinderen – en wie zijn dat eigenlijk? Hiervoor moeten we eerst kijken naar de Artikel 29 Werkgroep. Het zal geen verrassing zijn dat de naam verwijst naar artikel 29 van de huidige Europese Richtlijn 95/46. De Werkgroep bestaat min of meer uit vertegenwoordigers van de toezichthoudende autoriteiten uit alle lidstaten. De voornaamste taak is het geven van advies en dat doet men regelmatig, helemaal sinds de inwerkingtreding van de AVG. De Artikel 29 Werkgroep zal worden opgeheven door de toepassing van de AVG. Feitelijk wordt de werkgroep echter hernoemd naar het Europees Comité voor gegevensbescherming. De basis hiervan ligt in artikel 68 AVG.
De Artikel 29 Werkgroep heeft sinds eind 2016 een negental guidelines en een opinion aangenomen, als volgt.
- Guidelines Data Portability (december 2016)
- Guidelines Data Protection Officers (december 2016)
- Guidelines Lead Supervisory Authority (december 2016)
- Guidelines Data Protection Impact Assessment (april 2017)
- Opinion on Data Processing at Work (juni 2017)
- Guidelines Administrative Fines (oktober 2017)
- Guidelines Personal Data Breaches (oktober 2017)
- Guidelines Automated Decisions and Profiling (oktober 2017)
- Guidelines on Consent (november 2017)
- Guidelines on Transparency (november 2017)
De Werkgroep geeft al opinions af sinds 1997, de lijst is dus bepaald niet allesomvattend: een compleet overzicht vind u hier. De genoemde guidelines en de opinion zijn echter specifiek geschreven met het oog op de AVG. Nog meer specifiek, alle guidelines en de opinion geven gedetailleerd uitleg over een artikel of meerdere artikelen uit de AVG. Alles bij elkaar zo’n 180 pagina’s. Kennelijk komen er nog guidelines over de onderwerpen internationaal gegevensverkeer en certificering.
Ooms, tantes, neven, nichten, kleinkinderen?
Er zijn natuurlijk ook familieleden met minder autoriteit, of beter gezegd met alleen maar invloed op eigen terrein. Zo is er de ontwerp Uitvoeringswet AVG, die in Nederland nadere invulling moet geven aan de AVG. Hierin wordt o.a. de Autoriteit Persoonsgegevens officieel (opnieuw) ingesteld. De Wet Bescherming Persoonsgegevens wordt immers ingetrokken door de Uitvoeringswet AVG, waardoor de wettelijke grondslag onder de Autoriteit Persoonsgegevens vervalt.
De Raad van State heeft advies uitgebracht over de ontwerp Uitvoeringswet AVG begin oktober 2017. De wet is aangenomen door de Tweede Kamer en zal op 15 mei 2018 als hamerstuk door de Eerste Kamer gaan, waarna deze van kracht zal worden – na bekendmaking.
Verder zijn er vele beleidsregels, uitgegeven door de Autoriteit Persoonsgegevens dan wel door een voorloper daarvan, het College voor Bescherming van Persoonsgegevens (CBP) en de Registratiekamer. Sommige zijn licht gedateerd, maar desondanks nog steeds geldend. Allemaal voer voor discussie.
Een grote gelukkige familie?
De AVG komt, dat is zeker. De e-Privacy verordening, het moet wel. De meeste guidelines zijn er al. Het aantal guidelines zal absoluut toenemen. Dat kan niet anders gezien de vele vragen die leven over de toepassing van de AVG in de praktijk. De familie zal dus verder groeien. Moeder is al op zoek naar een nieuw huis, bij voorkeur in een rustige buitenwijk. Straks wil iedereen immers een eigen kamer.
Laatste update mei 2018