Samenvatting Europa en privacy
Week: Europa en Privacy Leerdoelen
Week 1 Privacyrecht begrepen, Hst 1.1, 1.3, -1.5, Hst. 2 en Hst 3 De basisbegrippen van het privacyrecht
Data, en wat het verschil tussen data en informatie
is
De verschillende soorten persoonsgegevens
Waarom privacyrecht op Europees niveau is
geregeld
Reikwijdte van de AVG en UAVG
Week 2 Privacyrecht begrepen Hst. 4 en Hst. 5 Beginselen voor gegevensbescherming
Grondslagen voor verwerking
Week 3 Privacyrecht begrepen DPIA
Hst. 6.1-6.3.1 en 6.6, Hst. 7.3 en Hst. 9 Rechtsmiddelen
Meldingsplicht
Toezicht (de AP en haar taken en bevoegdheden)
Klachtprocedure
Sancties
Week 4 Europees recht Hst 2 en 3 De fundamentele rechtsbeginselen van de EU
De instellingen van de EU
De besluitvorming in de EU
De rechtspraak van de EU
Week 5 Europees recht Hst 1 par. 1.7, Hst 4 par. 4.1 en 4.2, Hst. 5 Primair en secundair EU-recht
Directe werking – hoe kun je beroep doen op de
HvJEU 15 juli 1964, Zaak 6/64, Costa/ENEL Europese wetgeving?
HvJ 5 februari 1963, zaak C-26/62 Van Gend & Loos
HvJ 14 juli 1994, zaak C-91/92, Facini Dori
HvJ 19 november 1991, gevoegde zaken C-6/90 en C-9/90,
Francovich en Bonifaci
Week 6 Europees recht hst. 6 par. 6.1, 6.2, 6.5, 6.13-6.15 en 6.17, Europese bescherming van mensenrechten
Hst 7, Hst 8 en Hst 11 par 11.3 en 11.4 Categorieën van mensenrechten
Interne markt
Vrij verkeer van goederen, diensten en data
Week 7 • Herhaling week 1 tot en met 6
1
,Week 1 Europa en Privacy
H1.1 Ontstaan Europees privacyrecht
Privacyrecht wordt gebruikt als overkoepelende term voor regels die op enigerlei wijze raken aan de persoonlijke levenssfeer van individuen.
Basis voor deze regels is neergelegd in:
- Internationale verdragen;
- Het EU-recht;
- Nederlandse Grondwet
Dit blok gaat over specifiek onderdeel van privacyrecht: de regels over het beschermen van persoonsgegevens zoals zij gelden binnen
Nederland.
Voor de Europese Unie zijn er regels inzake persoonsgegevensbescherming neergelegd in de Algemene Verordening gegevensbescherming
(AVG). Deze verordening biedt ruimte voor nationale invulling.
- Betekent dat landen binnen de EU zelf wetten mogen maken om bepaalde onderwerpen te regelen
- In Nederland geldt daarvoor de Uitvoeringswet Algemene Verordening gegevensbescherming (UAVG).
1.3 t/m 1.5
Overzicht van de belangrijkste ontwikkelingen op privacygebied binnen Europa gedurende de afgelopen decennia
In de EU ontstond de wens om binnen de interne markt het vrije gegevensverkeer te garanderen, waardoor verdere harmonisatie van het
gegevensbeschermingbeleid was vereist. Hiervoor werd Richtlijn 95/46/EG (de Privacyrichtlijn) ontwikkeld:
Overzicht - De Privacyrichtlijn
Datum: 24 oktober 1995
Orgaan: Europees Parlement en Raad van de EU (European Parliament and Council of the EU)
Bindende kracht? Ja, nationaal en via het Hof van Justitie van de Europese Unie (maar de Privacyrichtlijn diende als richtlijn wel te worden
geïmplementeerd in nationale wetgeving).
Doel: om door middel van de verdere waarborging van de persoonlijke levenssfeer zowel de economische als sociale vooruitgang en de
ontwikkeling van het handelsverkeer te bevorderen, alsook het welzijn van individuen.
Bestandscriterium:
De Privacyrichtlijn was ook van toepassing op niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand waren opgenomen
of die bestemd waren om daarin te worden opgenomen. Blz. 27 boek.
Overzicht – EU-Handvest
Datum: 7 december 2000 afgekondigd, maar kreeg pas rechtskracht met het Verdrag van Lissabon
Orgaan: Europees Parlement, Raad van de EU en de Commissie (European Parliament, Council of the EU and the Commision)
Bindende kracht? Ja, nationaal en via het Hof van Justitie van de Europese Unie
Aanleiding voor EU-Handvest was dat het HvJEU in 1996 had geoordeeld dat de Europese Gemeenschap niet bevoegd was om toe te treden tot
het EVRM, aangezien dit haar bevoegdheidsgrenzen zou overschrijden.
Artikelen EU-Handvest:
- Art. 7: bevat artikel over bescherming van privacy. Biedt recht op eerbiediging van iemand privéleven, familie- en gezinsleven, woning en
communicatie. Correspondeert met art. 8 EVRM en heeft dezelfde reikwijdte (art. 52 lid 3 EU-Handvest).
- Art. 8: bevat een apart artikel over persoonsgegevens. Stelt dat eenieder recht heeft op bescherming daarvan.
- Art. 52 lid 1: beidt waarborgen omtrent de mogelijke beperkingen die kunnen gelden voor de in het EU-Handvest gewaarborgde rechten
en beginselen.
o Beperkingen dienen te voldoen aan het evenredigheidscriterium: ze dienen noodzakelijk te zijn en daadwerkelijk te beantwoorden
aan door de EU erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van
anderen.
Overzicht - Verdrag van Lissabon
Het verdrag van Lissabon leidde tot wijzigingen van het Verdrag betreffende de Europese Unie (Verdrag van Maastricht) en het Verdrag tot
oprichting van de Europese Gemeenschap (het Verdrag van Rome).
Datum: ondertekend op 13 december 2007, aangenomen door het Europees Parlement op 19 februari 2008 en in werking sinds 1 december
2009.
Orgaan: ondertekening: alle nationale wetgevers van de EU-lidstaten tezamen.
Bindende kracht? Ja, nationaal en via het HvJEU
Algemene Verordening gegevensbescherming (AVG)
2
,Binnen de EU bestond de wens tot verdergaande harmonisatie ook met oog op technologisch vlak en toenemende mondialisering. Art. 16
VwEU bood hiertoe een grondslag. De Europese Commissie kwam met een voorstel voor een Algemene verordening gegevensbescherming
(AVG), ter vervanging van de Privacyrichtlijn.
Een richtlijn dient te worden geïmplementeerd in het nationale recht (richtlijn wordt omgezet tot nationale wetgeving).
Een verordening hoeft niet te worden omgezet naar nationale wetgeving, maar is rechtstreeks van toepassing binnen alle EU-lidstaten.
De definitieve versie van de AVG werd aangenomen op 27 april 2016 en is op 24 mei 2016 in werking getreden, na 4 jaar onderhandelen en
3999 amendementen. Is pas op 25 mei 2018 van toepassing verklaard. Deze overgangsperiode was bedoeld om overheden en organisaties 2
jaar tijd te geven om hun handelswijze in overeenstemming te brengen met de vereisten van de AVG.
Toepassing van de AVG tussen lidstaten kan ook uiteenlopen bij de verwerking op grond van een wettelijke verplichting, voor de vervulling van
een taak van algemeen belang of in het kader van de uitoefening van openbaar gezag.
Opbouw van de AVG in volgorde:
1. Hoofdstuk I – algemene bepalingen
Definities en regels over materiële en territoriale toepassingsbereik.
2. Hoofdstuk II – beginselen
Beginselen en algemene vereisten voor rechtmatige verwerking van persoonsgegevens.
3. Hoofdstuk III – rechten van de betrokkene
Rechten van betrokkene, komen deels overeen met de rechten van betrokkene Privacyrichtlijn.
4. Hoofdstuk IV – verwerkingsverantwoordelijke en verwerker
Positie van de verwerkingsverantwoordelijke en de verwerker en belangrijke wijzigingen ten opzichte van de privacyrichtlijn.
5. Hoofdstuk V – doorgiften van persoonsgegevens aan derde landen of internationale organisaties
Uitgangspunt: net als onder de Privacyrichtlijn dat persoonsgegevens slechts mogen worden doorgegeven naar landen buiten de Europese
Economische ruimte (EER), wanneer is voldaan aan de in de AVG genoemde voorwaarden.
6. Hoofdstuk VI – onafhankelijke toezichthoudende autoriteiten
De nationale privacy toezichthouders zijn onder de AVG onafhankelijk gepositioneerd van de nationale lidstaten.
7. Hoofdstuk VII – samenwerking en coherentie
Beoogt de voornoemde effectieve samenwerking en een eenduidige interpretatie en toepassing van de regels onder de AVG te
waarborgen. Bevat ook bepalingen over samenwerking, wederzijdse bijstand en gezamenlijke operaties.
8. Hoofdstuk VIII – beroep, aansprakelijkheid en sancties
De AVG bevat uitgebreidere bepalingen dan de Privacyrichtlijn op het gebied van beroep, aansprakelijkheid en sancties.
9. Hoofdstuk IX – bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking
Diverse specifieke situaties zijn hierin geregeld:
1. De verhouding tussen de vrijheid van meningsuiting en de bescherming van persoonsgegevens;
2. Het recht van toegang tot officiële documenten;
3. Verwerking van het nationaal identificatienummer (in NL Burgerservicenummer, BSN);
4. In het kader van arbeidsverhouding;
5. Met het oog op archivering, wetenschappelijk of historisch onderzoek of statische doelen;
6. In geval van een geheimhoudingsplicht;
7. Door kerken en religieuze verenigingen.
10. Hoofdstuk X – gedelegeerde handelingen en uitvoeringshandelingen
De Europese Commissie krijgt6 onder meer op 2 terreinen de bevoegdheid om nadere regels te stellen.
- Vaststelling van informatie-iconen (art. 12 lid 8 AVG);
- Het opstellen van eisen voor certificeringsmechanismen (art. 43 lid 8 AVG).
11. Hoofdstuk XI – slotbepalingen
Bepalingen over de intrekking van de Privacyrichtlijn en over de inwerkingtreding en evaluatie van de AVG.
AVG in relatie tot Liechtenstein, Noorwege, IJsland en Zwitserland
De AVG geldt in eerste plaats voor de EU-landen. Op basis van een besluit van het Gemengd Comité van de EER op 6 juli 2018, wordt de
verwijzing in Bijlage XI over de Overeenkomst betreffende de Europese Economische Ruimte (EER-overeenkomst) naar de Privacyrichtlijn
vervangen door een verwijzing naar de AVG. Hierdoor geldt de AVG, onder enkele aanpassingen met name op het gebied van doorgifte, ook
voor Liechtenstein, Noorwegen en IJsland.
Het besluit van 6 juli regelt verder dat privacytoezichthouders van de Europese Vrijhandelsassociatie (EVA) deelnemen aan het
samenwerkingsverband van Europese privacytoezichthouders.
In makkelijke taal: De AVG geldt vooral voor landen in de EU. Sinds 6 juli 2018 geldt de AVG, met enkele aanpassingen, ook voor Liechtenstein,
Noorwegen en IJsland. Dit komt door een afspraak binnen de Europese Economische Ruimte (EER).
Daarnaast mogen de privacytoezichthouders van deze landen meedoen aan het samenwerkingsverband van Europese privacytoezichthouders.
EU-landen: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, (Zuid)Ierland, Italië, Kroatië,
Letland, Litouwen, Luxemburg, Malta, Nederland, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Spanje, Tsjechië en Zweden.
EER/EEA-landen: Alle EU-landen en Liechtenstein, Noorwegen, IJsland
EVA/EFTA-landen: Alle EU-landen en Liechtenstein, Noorwegen, IJsland en Zwitserland
Ontwikkeling privacyrecht Nederland
3
, In NL is het recht op privéleven als fundamenteel recht terug te vinden in art. 10 Gw. De grondwet gebruikt de term ‘persoonlijke levenssfeer’,
heeft daarbij dezelfde betekenis als de in de verdragen gebezigde term van ‘privéleven’.
Wet persoonsregistraties – blz. 36 boek
Om uitvoering te geven aan art. 10 lid 2 en 3 Gw verscheen in 1988 de Wet persoonsregistraties (Wpr).
- De Wpr bevatte onder meer diverse vereisen voor het aanleggen en houden van persoonsregistraties.
Door de ontwikkelingen op Europees vlak diende de Wpr te worden vervangen. De privacyrichtlijn bevatte een privacyregime dat door de EU-
lidstaten in nationaal recht diende te worden geïmplementeerd. De Wpr was niet in lijn met de Privacyrichtlijn. Hiervoor werd een nieuwe wet
ontwikkeld: de Wet bescherming persoonsgegevens.
Wet bescherming persoonsgegevens – blz 37 boek
Op 1 sep 2001 werd de Wpr vervangen door de Wet bescherming persoonsgegevens (Wbp). De Wbp vormde de implementatie van de
Privacyrichtlijn voor Nederland. De regels zagen niet langer op ‘persoonsregistratie’, maar op ‘verwerking van persoonsgegevens’.
- Bepaalde onderdelen uit de Wpr werden in de Wbp afgezwakt of weggelaten. Zo werd de aanmeldingsplicht versoepeld. Verder werd het
regime voor risicoaansprakelijkheid voor onrechtmatige gegevensverwerking afgezwakt.
Naamgeving privacytoezichthouder in Nederland
Onder de Wpr (1988-2001: Registratiekamer
Onder de Wbp (2001-2018): College Bescherming Persoonsgegevens (CBP)
Onder de UAVG (2018-heden): Autoriteit Persoonsgegevens (AP)
De AVG laat als verordening met rechtstreekse werking geen ruimte voor volledige implementatie, zoals de Wbp. Er was een nieuwe wet nodig:
de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).
Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)
Op 25 mei 2018 werd de Wbp vervangen door de UAVG. Dit in aansluiting op de AVG die vanaf dat moment van toepassing was, i.p.v. de
Privacyrichtlijn. Voor het ontwerp van de UAVG is gekozen voor een beleidsneutrale aanpak. Dit houdt in dat bij het invullen van de nationale
keuzeruimte die de AVG biedt de regels zoals die op dat moment golden in Nederland zijn gehandhaafd.
Indeling UAVG:
1. Hoofdstuk 1 – Algemene bepalingen. Definities en regels over de materiële en territoriale reikwijdte, en over toestemming van een
wettelijke vertegenwoordiger.
2. Hoofdstuk 2 – over de aangewezen toezichthouder: de Autoriteit Persoonsgegevens. Bevat bepalingen over de privacytoezichthouder,
samenstelling, organisatie, taken en bevoegdheden.
3. Hoofdstuk 3 – bepalingen over de uitvoering van de AVG. Bevat artikelen over bijzondere categorieën van persoonsgegevens,
strafrechtelijke gegevens, rechtsbescherming en de geheimhoudingsplicht van de functionaris gegevensbescherming.
4. Hoofdstuk 4 – uitzonderingen en beperkingen, zoals de diverse uitzonderingen op rechten en plichten onder de AVG.
5. Hoofdstuk 5 – bepalingen over het overgangsrecht, de intrekking van de Wbp, de inwerktreding van de UAVG, en de periodieke evaluatie
daarvan.
Bescherming van iemand privacy kan botsen met andere grondrechten. Er bestaat geen hiërarchie tussen grondrechten: per geval moet een
belangenafweging worden gemaakt en moet worden beoordeeld welk grondrecht prevaleert, waarbij rekening moet worden gehouden met
alle omstandigheden van het geval.
In dit kader bevat de AVG een specifieke opdracht aan de EU-lidstaten om het recht op bescherming van persoonsgegevens wettelijk in
overeenstemming te brengen met het recht op vrijheid van meningsuiting en van informatie (art. 85 AVG).
Bij beperking op grondrechten zoals het privacyrecht spelen het proportionaliteits- en subsidiariteitsbeginsel zoals uitgelegd door het EVRM
een belangrijke rol.
- Het proportionaliteitsbeginsel (ook wel evenredigheidstoetsing) houdt daarbij in dat een inbreuk op de belangen van de betrokkene niet
onevenredig mag zijn in verhouding tot het verwerkingsdoel.
- Het subsidiariteitsbeginsel houdt in dat het verwerkingsdoel in redelijkheid niet op een andere manier kan worden verwezenlijkt die
minder impact heeft op de privacy van betrokkene.
H2 – basisbegrippen persoonsgegevensbescherming
Het begrip persoonsgegevens omvat: (1) Alle informatie (2) over (3) een geïdentificeerde of identificeerbare (4) natuurlijke persoon.
- Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct kan worden geïdentificeerd, maar ook als dit indirect kan.
Om te bepalen of iemand identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs kan worden verwacht
dat ze gebruikt worden om een persoon direct of indirect te identificeren.
De definitie van persoonsgegevens bevat diverse bouwstenen:
1. Alle informatie: welke informatie dan ook;
Zowel objectieve (Jan is 1,80 m) als subjectieve (Jan is aardig) gegevens vallen onder het begrip. Het maakt niet uit of de gegevens juist of
bewezen zijn (Jan is eigenlijk 1,90 m). Ook de context en vorm van de informatie maakt niet uit.
2. De persoonsgegevens moeten over een individu gaan;
4
Week: Europa en Privacy Leerdoelen
Week 1 Privacyrecht begrepen, Hst 1.1, 1.3, -1.5, Hst. 2 en Hst 3 De basisbegrippen van het privacyrecht
Data, en wat het verschil tussen data en informatie
is
De verschillende soorten persoonsgegevens
Waarom privacyrecht op Europees niveau is
geregeld
Reikwijdte van de AVG en UAVG
Week 2 Privacyrecht begrepen Hst. 4 en Hst. 5 Beginselen voor gegevensbescherming
Grondslagen voor verwerking
Week 3 Privacyrecht begrepen DPIA
Hst. 6.1-6.3.1 en 6.6, Hst. 7.3 en Hst. 9 Rechtsmiddelen
Meldingsplicht
Toezicht (de AP en haar taken en bevoegdheden)
Klachtprocedure
Sancties
Week 4 Europees recht Hst 2 en 3 De fundamentele rechtsbeginselen van de EU
De instellingen van de EU
De besluitvorming in de EU
De rechtspraak van de EU
Week 5 Europees recht Hst 1 par. 1.7, Hst 4 par. 4.1 en 4.2, Hst. 5 Primair en secundair EU-recht
Directe werking – hoe kun je beroep doen op de
HvJEU 15 juli 1964, Zaak 6/64, Costa/ENEL Europese wetgeving?
HvJ 5 februari 1963, zaak C-26/62 Van Gend & Loos
HvJ 14 juli 1994, zaak C-91/92, Facini Dori
HvJ 19 november 1991, gevoegde zaken C-6/90 en C-9/90,
Francovich en Bonifaci
Week 6 Europees recht hst. 6 par. 6.1, 6.2, 6.5, 6.13-6.15 en 6.17, Europese bescherming van mensenrechten
Hst 7, Hst 8 en Hst 11 par 11.3 en 11.4 Categorieën van mensenrechten
Interne markt
Vrij verkeer van goederen, diensten en data
Week 7 • Herhaling week 1 tot en met 6
1
,Week 1 Europa en Privacy
H1.1 Ontstaan Europees privacyrecht
Privacyrecht wordt gebruikt als overkoepelende term voor regels die op enigerlei wijze raken aan de persoonlijke levenssfeer van individuen.
Basis voor deze regels is neergelegd in:
- Internationale verdragen;
- Het EU-recht;
- Nederlandse Grondwet
Dit blok gaat over specifiek onderdeel van privacyrecht: de regels over het beschermen van persoonsgegevens zoals zij gelden binnen
Nederland.
Voor de Europese Unie zijn er regels inzake persoonsgegevensbescherming neergelegd in de Algemene Verordening gegevensbescherming
(AVG). Deze verordening biedt ruimte voor nationale invulling.
- Betekent dat landen binnen de EU zelf wetten mogen maken om bepaalde onderwerpen te regelen
- In Nederland geldt daarvoor de Uitvoeringswet Algemene Verordening gegevensbescherming (UAVG).
1.3 t/m 1.5
Overzicht van de belangrijkste ontwikkelingen op privacygebied binnen Europa gedurende de afgelopen decennia
In de EU ontstond de wens om binnen de interne markt het vrije gegevensverkeer te garanderen, waardoor verdere harmonisatie van het
gegevensbeschermingbeleid was vereist. Hiervoor werd Richtlijn 95/46/EG (de Privacyrichtlijn) ontwikkeld:
Overzicht - De Privacyrichtlijn
Datum: 24 oktober 1995
Orgaan: Europees Parlement en Raad van de EU (European Parliament and Council of the EU)
Bindende kracht? Ja, nationaal en via het Hof van Justitie van de Europese Unie (maar de Privacyrichtlijn diende als richtlijn wel te worden
geïmplementeerd in nationale wetgeving).
Doel: om door middel van de verdere waarborging van de persoonlijke levenssfeer zowel de economische als sociale vooruitgang en de
ontwikkeling van het handelsverkeer te bevorderen, alsook het welzijn van individuen.
Bestandscriterium:
De Privacyrichtlijn was ook van toepassing op niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand waren opgenomen
of die bestemd waren om daarin te worden opgenomen. Blz. 27 boek.
Overzicht – EU-Handvest
Datum: 7 december 2000 afgekondigd, maar kreeg pas rechtskracht met het Verdrag van Lissabon
Orgaan: Europees Parlement, Raad van de EU en de Commissie (European Parliament, Council of the EU and the Commision)
Bindende kracht? Ja, nationaal en via het Hof van Justitie van de Europese Unie
Aanleiding voor EU-Handvest was dat het HvJEU in 1996 had geoordeeld dat de Europese Gemeenschap niet bevoegd was om toe te treden tot
het EVRM, aangezien dit haar bevoegdheidsgrenzen zou overschrijden.
Artikelen EU-Handvest:
- Art. 7: bevat artikel over bescherming van privacy. Biedt recht op eerbiediging van iemand privéleven, familie- en gezinsleven, woning en
communicatie. Correspondeert met art. 8 EVRM en heeft dezelfde reikwijdte (art. 52 lid 3 EU-Handvest).
- Art. 8: bevat een apart artikel over persoonsgegevens. Stelt dat eenieder recht heeft op bescherming daarvan.
- Art. 52 lid 1: beidt waarborgen omtrent de mogelijke beperkingen die kunnen gelden voor de in het EU-Handvest gewaarborgde rechten
en beginselen.
o Beperkingen dienen te voldoen aan het evenredigheidscriterium: ze dienen noodzakelijk te zijn en daadwerkelijk te beantwoorden
aan door de EU erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van
anderen.
Overzicht - Verdrag van Lissabon
Het verdrag van Lissabon leidde tot wijzigingen van het Verdrag betreffende de Europese Unie (Verdrag van Maastricht) en het Verdrag tot
oprichting van de Europese Gemeenschap (het Verdrag van Rome).
Datum: ondertekend op 13 december 2007, aangenomen door het Europees Parlement op 19 februari 2008 en in werking sinds 1 december
2009.
Orgaan: ondertekening: alle nationale wetgevers van de EU-lidstaten tezamen.
Bindende kracht? Ja, nationaal en via het HvJEU
Algemene Verordening gegevensbescherming (AVG)
2
,Binnen de EU bestond de wens tot verdergaande harmonisatie ook met oog op technologisch vlak en toenemende mondialisering. Art. 16
VwEU bood hiertoe een grondslag. De Europese Commissie kwam met een voorstel voor een Algemene verordening gegevensbescherming
(AVG), ter vervanging van de Privacyrichtlijn.
Een richtlijn dient te worden geïmplementeerd in het nationale recht (richtlijn wordt omgezet tot nationale wetgeving).
Een verordening hoeft niet te worden omgezet naar nationale wetgeving, maar is rechtstreeks van toepassing binnen alle EU-lidstaten.
De definitieve versie van de AVG werd aangenomen op 27 april 2016 en is op 24 mei 2016 in werking getreden, na 4 jaar onderhandelen en
3999 amendementen. Is pas op 25 mei 2018 van toepassing verklaard. Deze overgangsperiode was bedoeld om overheden en organisaties 2
jaar tijd te geven om hun handelswijze in overeenstemming te brengen met de vereisten van de AVG.
Toepassing van de AVG tussen lidstaten kan ook uiteenlopen bij de verwerking op grond van een wettelijke verplichting, voor de vervulling van
een taak van algemeen belang of in het kader van de uitoefening van openbaar gezag.
Opbouw van de AVG in volgorde:
1. Hoofdstuk I – algemene bepalingen
Definities en regels over materiële en territoriale toepassingsbereik.
2. Hoofdstuk II – beginselen
Beginselen en algemene vereisten voor rechtmatige verwerking van persoonsgegevens.
3. Hoofdstuk III – rechten van de betrokkene
Rechten van betrokkene, komen deels overeen met de rechten van betrokkene Privacyrichtlijn.
4. Hoofdstuk IV – verwerkingsverantwoordelijke en verwerker
Positie van de verwerkingsverantwoordelijke en de verwerker en belangrijke wijzigingen ten opzichte van de privacyrichtlijn.
5. Hoofdstuk V – doorgiften van persoonsgegevens aan derde landen of internationale organisaties
Uitgangspunt: net als onder de Privacyrichtlijn dat persoonsgegevens slechts mogen worden doorgegeven naar landen buiten de Europese
Economische ruimte (EER), wanneer is voldaan aan de in de AVG genoemde voorwaarden.
6. Hoofdstuk VI – onafhankelijke toezichthoudende autoriteiten
De nationale privacy toezichthouders zijn onder de AVG onafhankelijk gepositioneerd van de nationale lidstaten.
7. Hoofdstuk VII – samenwerking en coherentie
Beoogt de voornoemde effectieve samenwerking en een eenduidige interpretatie en toepassing van de regels onder de AVG te
waarborgen. Bevat ook bepalingen over samenwerking, wederzijdse bijstand en gezamenlijke operaties.
8. Hoofdstuk VIII – beroep, aansprakelijkheid en sancties
De AVG bevat uitgebreidere bepalingen dan de Privacyrichtlijn op het gebied van beroep, aansprakelijkheid en sancties.
9. Hoofdstuk IX – bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking
Diverse specifieke situaties zijn hierin geregeld:
1. De verhouding tussen de vrijheid van meningsuiting en de bescherming van persoonsgegevens;
2. Het recht van toegang tot officiële documenten;
3. Verwerking van het nationaal identificatienummer (in NL Burgerservicenummer, BSN);
4. In het kader van arbeidsverhouding;
5. Met het oog op archivering, wetenschappelijk of historisch onderzoek of statische doelen;
6. In geval van een geheimhoudingsplicht;
7. Door kerken en religieuze verenigingen.
10. Hoofdstuk X – gedelegeerde handelingen en uitvoeringshandelingen
De Europese Commissie krijgt6 onder meer op 2 terreinen de bevoegdheid om nadere regels te stellen.
- Vaststelling van informatie-iconen (art. 12 lid 8 AVG);
- Het opstellen van eisen voor certificeringsmechanismen (art. 43 lid 8 AVG).
11. Hoofdstuk XI – slotbepalingen
Bepalingen over de intrekking van de Privacyrichtlijn en over de inwerkingtreding en evaluatie van de AVG.
AVG in relatie tot Liechtenstein, Noorwege, IJsland en Zwitserland
De AVG geldt in eerste plaats voor de EU-landen. Op basis van een besluit van het Gemengd Comité van de EER op 6 juli 2018, wordt de
verwijzing in Bijlage XI over de Overeenkomst betreffende de Europese Economische Ruimte (EER-overeenkomst) naar de Privacyrichtlijn
vervangen door een verwijzing naar de AVG. Hierdoor geldt de AVG, onder enkele aanpassingen met name op het gebied van doorgifte, ook
voor Liechtenstein, Noorwegen en IJsland.
Het besluit van 6 juli regelt verder dat privacytoezichthouders van de Europese Vrijhandelsassociatie (EVA) deelnemen aan het
samenwerkingsverband van Europese privacytoezichthouders.
In makkelijke taal: De AVG geldt vooral voor landen in de EU. Sinds 6 juli 2018 geldt de AVG, met enkele aanpassingen, ook voor Liechtenstein,
Noorwegen en IJsland. Dit komt door een afspraak binnen de Europese Economische Ruimte (EER).
Daarnaast mogen de privacytoezichthouders van deze landen meedoen aan het samenwerkingsverband van Europese privacytoezichthouders.
EU-landen: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, (Zuid)Ierland, Italië, Kroatië,
Letland, Litouwen, Luxemburg, Malta, Nederland, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Spanje, Tsjechië en Zweden.
EER/EEA-landen: Alle EU-landen en Liechtenstein, Noorwegen, IJsland
EVA/EFTA-landen: Alle EU-landen en Liechtenstein, Noorwegen, IJsland en Zwitserland
Ontwikkeling privacyrecht Nederland
3
, In NL is het recht op privéleven als fundamenteel recht terug te vinden in art. 10 Gw. De grondwet gebruikt de term ‘persoonlijke levenssfeer’,
heeft daarbij dezelfde betekenis als de in de verdragen gebezigde term van ‘privéleven’.
Wet persoonsregistraties – blz. 36 boek
Om uitvoering te geven aan art. 10 lid 2 en 3 Gw verscheen in 1988 de Wet persoonsregistraties (Wpr).
- De Wpr bevatte onder meer diverse vereisen voor het aanleggen en houden van persoonsregistraties.
Door de ontwikkelingen op Europees vlak diende de Wpr te worden vervangen. De privacyrichtlijn bevatte een privacyregime dat door de EU-
lidstaten in nationaal recht diende te worden geïmplementeerd. De Wpr was niet in lijn met de Privacyrichtlijn. Hiervoor werd een nieuwe wet
ontwikkeld: de Wet bescherming persoonsgegevens.
Wet bescherming persoonsgegevens – blz 37 boek
Op 1 sep 2001 werd de Wpr vervangen door de Wet bescherming persoonsgegevens (Wbp). De Wbp vormde de implementatie van de
Privacyrichtlijn voor Nederland. De regels zagen niet langer op ‘persoonsregistratie’, maar op ‘verwerking van persoonsgegevens’.
- Bepaalde onderdelen uit de Wpr werden in de Wbp afgezwakt of weggelaten. Zo werd de aanmeldingsplicht versoepeld. Verder werd het
regime voor risicoaansprakelijkheid voor onrechtmatige gegevensverwerking afgezwakt.
Naamgeving privacytoezichthouder in Nederland
Onder de Wpr (1988-2001: Registratiekamer
Onder de Wbp (2001-2018): College Bescherming Persoonsgegevens (CBP)
Onder de UAVG (2018-heden): Autoriteit Persoonsgegevens (AP)
De AVG laat als verordening met rechtstreekse werking geen ruimte voor volledige implementatie, zoals de Wbp. Er was een nieuwe wet nodig:
de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).
Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)
Op 25 mei 2018 werd de Wbp vervangen door de UAVG. Dit in aansluiting op de AVG die vanaf dat moment van toepassing was, i.p.v. de
Privacyrichtlijn. Voor het ontwerp van de UAVG is gekozen voor een beleidsneutrale aanpak. Dit houdt in dat bij het invullen van de nationale
keuzeruimte die de AVG biedt de regels zoals die op dat moment golden in Nederland zijn gehandhaafd.
Indeling UAVG:
1. Hoofdstuk 1 – Algemene bepalingen. Definities en regels over de materiële en territoriale reikwijdte, en over toestemming van een
wettelijke vertegenwoordiger.
2. Hoofdstuk 2 – over de aangewezen toezichthouder: de Autoriteit Persoonsgegevens. Bevat bepalingen over de privacytoezichthouder,
samenstelling, organisatie, taken en bevoegdheden.
3. Hoofdstuk 3 – bepalingen over de uitvoering van de AVG. Bevat artikelen over bijzondere categorieën van persoonsgegevens,
strafrechtelijke gegevens, rechtsbescherming en de geheimhoudingsplicht van de functionaris gegevensbescherming.
4. Hoofdstuk 4 – uitzonderingen en beperkingen, zoals de diverse uitzonderingen op rechten en plichten onder de AVG.
5. Hoofdstuk 5 – bepalingen over het overgangsrecht, de intrekking van de Wbp, de inwerktreding van de UAVG, en de periodieke evaluatie
daarvan.
Bescherming van iemand privacy kan botsen met andere grondrechten. Er bestaat geen hiërarchie tussen grondrechten: per geval moet een
belangenafweging worden gemaakt en moet worden beoordeeld welk grondrecht prevaleert, waarbij rekening moet worden gehouden met
alle omstandigheden van het geval.
In dit kader bevat de AVG een specifieke opdracht aan de EU-lidstaten om het recht op bescherming van persoonsgegevens wettelijk in
overeenstemming te brengen met het recht op vrijheid van meningsuiting en van informatie (art. 85 AVG).
Bij beperking op grondrechten zoals het privacyrecht spelen het proportionaliteits- en subsidiariteitsbeginsel zoals uitgelegd door het EVRM
een belangrijke rol.
- Het proportionaliteitsbeginsel (ook wel evenredigheidstoetsing) houdt daarbij in dat een inbreuk op de belangen van de betrokkene niet
onevenredig mag zijn in verhouding tot het verwerkingsdoel.
- Het subsidiariteitsbeginsel houdt in dat het verwerkingsdoel in redelijkheid niet op een andere manier kan worden verwezenlijkt die
minder impact heeft op de privacy van betrokkene.
H2 – basisbegrippen persoonsgegevensbescherming
Het begrip persoonsgegevens omvat: (1) Alle informatie (2) over (3) een geïdentificeerde of identificeerbare (4) natuurlijke persoon.
- Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct kan worden geïdentificeerd, maar ook als dit indirect kan.
Om te bepalen of iemand identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs kan worden verwacht
dat ze gebruikt worden om een persoon direct of indirect te identificeren.
De definitie van persoonsgegevens bevat diverse bouwstenen:
1. Alle informatie: welke informatie dan ook;
Zowel objectieve (Jan is 1,80 m) als subjectieve (Jan is aardig) gegevens vallen onder het begrip. Het maakt niet uit of de gegevens juist of
bewezen zijn (Jan is eigenlijk 1,90 m). Ook de context en vorm van de informatie maakt niet uit.
2. De persoonsgegevens moeten over een individu gaan;
4
