Wetgeving

Trias Politica

De Privacywetgeving waar wij in Nederland direct mee te maken hebben, heeft zowel een Europese als een Nederlandse dimensie. In beide dimensies is een scheiding der machten, ofwel de “Trias Politica”, te herkennen. Hierbij zijn grofweg wetgeving, uitvoering (handhaving) en rechtspraak bij onderling onafhankelijke partijen belegd die elkaar in evenwicht houden. Hiermee wordt voorkomen dat één belanghebber de macht naar zich toe kan trekken en dat haar belang gaat overheersen.

Europa

Op Europees niveau werkt de Trias Politica globaal als volgt:

De Europese Unie bestaat uit 28 lidstaten. Er zijn binnen de Unie meerdere organen die in dit verband een rol hebben:

  • de Europese Commissie (EC), het op voordracht van de ER door het EP geïnstalleerde “dagelijks bestuur” en uitvoerend orgaan van de EU, die bestaat uit 28 commissarissen en wekelijks bijeen komt. De EC mag als enige wetsvoorstellen indienen en controleert de lidstaten op een juiste uitvoering van de wetten. De EC werkt met voorbereidende werkgroepen. Voor privacy belangrijke werkgroepen zijnde Working Party on Fundamental Rights, Citizen Rights en Free Movement of Persons (FREMP), de Working Party on Information Exchange and Data Protection (DAPIX) en de Working Party on Telecom and Information Society (TIS).
  • het Europees Parlement (EP), dat bestaat uit 751 democratisch gekozen volksvertegenwoordigers, verdeeld in fracties. Een volksvertegenwoordiger kan namens zijn fractie deelnemen aan één van de 20 gespecialiseerde commissies. In een commissie worden voorstellen van de EC en RvdEU besproken als ook eventuele wijzigingen op wetsvoorstellen, om zo plenaire EP-vergaderingen voor te bereiden. Voor privacy is het Comittee on Civil Liberties, Justice and Home Affairs (LIBE) een belangrijk commissie;
  • de Raad van de Europese Unie (RvdEU), die de regeringen van de 28 lidstaten vertegenwoordigt. De door een land afgevaardigde minister die aanschuift kan per onderwerp wisselen. In de praktijk is er qua samenstelling sprake van tien verschillende raden. Voor privacy is een belangrijke raad de Justice en Home Affairs Counsil (JHA);
  • de Europese Raad (ER), de vergadering van Regeringsleiders van de lidstaten die de strategische hoofdlijnen uitzet (NB: niet te verwarren met de Raad van Europa, dat geen onderdeel is van de EU);
  • het Europese Hof van Justitie, dat toeziet toe op de de eerbiediging en de toepassing van de regelgeving en de oprichtingsverdragen van de Europese Unie. Het Hof doet uitspraak in geschillen tussen lidstaten, EU-instellingen bedrijven en individuen waarbij EU-wetgeving aan de orde is. Belanghebbenden kunnen zich tot het Hof wenden als Europese regels worden overtreden.
  • De 29 Privacy Autoriteiten (PA’s); één voor ieder van de 28 lidstaten en één specifiek voor toezicht op de EU-organen, aangesteld volgens de Richtlijn 95/46/EG.
  • De Werkgroep artikel 29 (WG29) voor bescherming van de persoonsgegevens, een onafhankelijk orgaan waarin de PA’s vertegenwoordigd zijn evenals 1 EC-lid. Zij is opgericht volgens de richtlijn 95/46/EG. De WG29 heeft als doel de toepassing van de privacywetgeving binnen de EU te harmoniseren, de EC te adviseren en een (niet bindende) visie te geven op de uitleg van de wetgeving met betrekking tot nieuwe ontwikkelingen.

Bij de wetgeving in Europa zijn de EC, het EP en de RvdEU betrokken. Het beleid voor privacy wordt volgens de gewone wetgevingsprocedure gerealiseerd. Dat betekent dat de EC initiatieven neemt voor Europese wet- en regelgeving; het EP debatteert hierover en kan wijzigingen voorstellen, waarna het EP en de RvdEU gezamenlijk beslissen. De WG29 vult de wetgeving aan met beschouwingen, tips en inzichten.

De handhaving van de Europese privacy-wetgeving wordt uitgevoerd door de PA’s op basis van de desbetreffende nationale wetgevingen. (NB: de EC controleert of de lidstaten hun nationale wetgeving conform de Europese afspraken vormgeven, maar handhaaft de nationale privacy-wetgevingen niet).

De rechtspraak is belegd bij het Europese Hof van Justitie. Zij bewaakt de Europese wet- en regelgeving waarbij uitspraken van dit Hof voorrang hebben boven het recht van de lidstaten.

Nederland

Op nationaal niveau werkt de Trias Politica globaal als volgt:

Bij de wetgeving zijn de Ministerraad, Tweede Kamer, Raad van State en de Eerste Kamer betrokken. Voor wat beteft Privacywetgeving moet dit voldoen aan de Europese eisen en randvoorwaarden (zie vorige paragraaf).

De handhaving van de privacywetgeving geschiedt door de Nederlandse Privacy Autoriteit, het College Bescherming Persoonsgegevens (CBP). Dit orgaan heet overigens per 1 januari 2016 de Autoriteit Persoonsgegevens. Specifiek houdt zij toezicht op de Wet Bescherming Persoonsgegevens (WBP), de Wet Politiegegevens (WPG), de wet Basisregistratie Personen en wet Justitiële en Strafvorderlijke Gegevens (Wjsg). Daarnaast houden het Agentschap Telecom en de Autoriteit Consument en Markt toezicht op de naleving van de Telecomwet (aftappen, data-retentie, maling, spam, cookies).

De rechtspraak geschiedt door de Rechtbanken, Gerechtshoven en de Hoge Raad in Nederland. Het Europese Hof van Justitie heeft, wat Privacy betreft, het allerlaatste woord.

Uitgangspunten

Privacywetgeving is vrij complex. Omdat de relevante regelgeving ook afhankelijk is van de kenmerken van je organisatie (branche, vestigingsplaatsen) is het belangrijk om uitvoerig na te gaan met welke regelgeving je precies te maken hebt. De volgende algemene uitgangspunten kunnen je helpen bij deze zoektocht:

  • Privacy is een grondrecht (artikel 10 van de Nederlandse grondwet), (Artikel 8 van het Europees Verdrag van de Rechten van de Mens) en (Artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten)
  • De belangrijkste Europese richtlijnen en aanvullingen zijn de Data Protection Directive (Richtlijn 95/46/EG) en de ePrivacy Directive (Richtlijn 2002/58/EG). Een leesbare samenvatting van deze richtlijnen met aanvullingen vind je hier. Let op: dit zijn richtlijnen bedoeld om de nationale wetgevingen binnen Europa op elkaar af te stemmen. Er wordt op dit moment gewerkt aan de General Data Protection Regulation (GDPR). Dit wordt een Europese wet. Deze Europese wet gaat dus, anders dan de huidige richtlijnen, de diverse nationale wetten (ook de WBP) echt vervangen. Vooralsnog is de planning dat de GDPR eind 2015/begin 2016 wordt aangenomen en in 2018 van kracht zal zijn.
  • Relevante Nederlandse wetten en artikelen zijn de Wet Bescherming Persoonsgegevens (WBP); de Wet Politiegegevens (WPG); de Wet Basisregistratie Personen; de wet Justitiële en Strafvorderlijke Gegevens (Wjsg); Artikel 7:457 BW (medisch beroepsgeheim); hfdst 11,13 en art 18.13 van de Telecomwet; de Gemeentewet 151c (cameratoezicht); de Algemene Wet inzake Rijksbelastingen (AWR); art. 7 Wet Geneeskundge Behandelings Overeenkomst (WGBO); art. 272&273 Wetboek van Strafrecht en tk 255443 van de Grondwet (vertrouwelijke communicatie). De WBP is van toepassing op organisaties die gevestigd zijn in Nederland en/of verwerkingen – meer dan verzenden – uitvoeren met apparatuur op Nederlands grondgebied.
  • Persoonlijke informatie (PI) is alle informatie die te herleiden is naar een persoon. [(Haarkleur: “rood”)] is dus geen PI, [(ID: “Jan_id19953021”; Haarkleur: “rood”)] wel.
  • Verwerking van PI wordt zo breed opgevat dat nagenoeg alles wat je met data kunt doen hieronder valt. Het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens valt allemaal onder “verwerken”. Verwerken is bovendien niet beperkt tot “geautomatiseerde verwerking”.
  • Verwerking van PI door een organisatie mag niet, tenzij je kunt aantonen dat het wettelijk is toegestaan (de “Verwerkingsgrondslag”). Dat wil zeggen dat er ergens in een wet een regel is opgenomen dat je dit gegeven WEL mag verwerken, bijvoorbeeld omdat je een expliciete toestemming hebt van de betrokkene. De gebruikte grondslag hoeft niet vastgelegd te zijn voordat je aan verwerking begint, maar als het CBP vragen stelt moet je hier wel een goed antwoord op hebben. Slim is dus om dit wel vooraf vast te leggen.
  • Verwerking van PI door een organisatie moet altijd aan het CBP gemeld worden, tenzij er sprake is van een vrijstelling om te melden. Het CBP biedt een handig hulpmiddel om te bepalen of melden nodig is.
  • Bijzondere Persoonlijke informatie is informatie over iemands ras, geloof, gezondheid, strafrechtelijk verleden, lidmaatschap van een vakbond, seksuele geaardheid. Voor de verwerking hiervan gelden strengere eisen. Over het algemeen is verwerking alleen toegestaan voor organisaties die bewust geformeerd zijn rond zo’n gegeven, zoals kerken, vakbonden, hulpverleners, et cetera. Het grootste deel van de organisaties mag dit dus NIET verwerken.
  • Bij verwerking van PI worden de volgende rollen onderkend: Data Subject (“Betrokkene”, degene van wie gegevens worden bijgehouden), Data Controller (“Verantwoordelijke”, degene die bepaalt of er gegevens worden verwerkt, welke gegevens er worden verwerkt, welke verwerking wordt toegepast, op welke wijze dat gebeurt en voor welk doel) en Data Processor (“Bewerker”, degene die gegevens verwerkt ten behoeve van de verantwoordelijke, dat wil zeggen overeenkomstig diens instructies en onder diens verantwoordelijkheid).
  • De Data Controller blijft altijd eindverantwoordelijk voor de verwerking van gegevens en dient waarborgen in te bouwen om te garanderen dat verwerking aan de wettelijke eisen voldoet. Hieronder valt ook het invulling geven aan het begrip “Transparantie”, waardoor Betrokkene weet DAT de Verwerker gegevens verwerkt, WELKE gegevens het betreft, WAAROM ze worden verwerkt, HOE ze worden verwerkt, HOELANG gegevens bewaard blijven, aan WIE de gegevens ter beschikking worden gesteld en HOE Betrokkene de opgeslagen gegevens kan nakijken en zo nodig verbeteren.
  • Drie belangrijke pijlers waarop een rechtmatige verwerking gebaseerd is zijn Proportionaliteit, Doelbinding en Subsidiariteit. Hoofdregel is dat persoonsgegevens alleen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Daarnaast mogen persoonsgegevens slechts worden verzameld als daarvoor een precieze doelomschrijving wordt gegeven, en die gegevens mogen dan ook alleen en uitsluitend daarvoor worden gebruikt (“Doelbinding”). Bovendien bepaalt de wet dat persoonsgegevens slechts mogen worden verwerkt voor zover zij toereikend, ter zake dienend en niet bovenmatig zijn en de privacyinbreuk niet onevenredig is ten opzichte van het doel van de verwerking (“Proportionaliteit”). De verwerking mag ook alleen als hetzelfde doel niet op een minder belastende wijze kan worden bereikt (“Subsidiariteit”).
  • Een organisatie kan haar Privacy Officer officieel bij het CBP aanmelden als Functionaris Gegevensbescherming. Voordeel is dan dat deze FG taken kan overnemen van het CBP, min of meer vergelijkbaar met de rol die een interne Auditor aanneemt ten opzichte van een Externe Auditor. Het CBP kan dan iets meer op afstand opereren, en de organisatie zelf heeft meer zekerheid dat de verwerking rechtmatig is.
  • Export van gegevens buiten de EU is alleen toegestaan als de Verantwoordelijke kan garanderen dat dat land een passend niveau van gegevensbescherming waarborgt. Hier is, zelfs als je uitsluitend nationaal werkt, specifieke aandacht voor nodig, omdat bijvoorbeeld cloud-aanbieders hun servers buiten de EU kunnen hebben staan. Export van PI naar de VS is vanwege het ongeldig verklaren van het Safe Harbour Agreement op dit moment (eind 2015) erg problematisch. Volg hierover het meest recente nieuws.
  • Via de Patriot Act meende de USA alle gegevens van (ook) Europese burgers te kunnen opvragen bij elke organisatie die een (neven)vestiging heeft in de USA. Ook als de hoofdvestiging van de Verwerker Europees is, de Betrokkene Europees is en de PI is verwerkt voor puur Europese doelen op Europees grondgebied. Vergelijk dit met uw buurman die in uw tuin uw appels staat te plukken en, als u hem aanspreekt, stelt: “Er hing 1 tak van deze boom een stukje over in mijn tuin, dus nu mag ik al jouw appels van jouw boom plukken”. Overigens kan een Amerikaan wel in Europa procederen tegen een vermeende privacy-inbreuk, maar een Europeaan (nog) niet in de USA. Halverwege 2015 is de patriot act door de Snowden openbaringen afgezwakt, maar er is al weer nieuwe wetgeving in de maak. Volg ook hier het meest recente nieuws. Tot slot een beetje off-topic, maar toch: neem je als organisatie een dienst af van een bedrijf met een (neven)vestiging in de USA, dan moet je je er van bewust zijn dat die gegevens opgevraagd en gebruikt kunnen (en volgens Snowden zullen) worden voor de bescherming van de veiligheid en de economische belangen van de USA. Dat nieuwe idee, of die geplande overname, blijkt dan misschien ineens niet zo’n verrassing meer voor de (Amerikaanse) concurrent.

Laat commentaar achter