De Privacy Baseline/Voorwoord

Uit NORA Online
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Voorwoord

Het kan voor organisaties een uitdaging zijn om op een juiste manier met persoonsgegevens om te gaan. Wat, waar, door wie en op welke wijze zaken geregeld moeten worden om privacy op een juiste wijze te waarborgen is voor (medewerkers van) organisaties niet altijd duidelijk. Dit is waarom de Privacy Baseline is ontwikkeld: de Privacy Baseline geeft organisaties concrete handvatten om persoonsgegevens op een juiste manier te beschermen. In de Privacy Baseline zijn de eisen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen. Het niet naleven van de AVG kan verregaande (negatieve) consequenties hebben; zie hiervoor: Aanvullende informatie: risico's bij niet voldoen aan de AVG.

De samenstellers zijn uitgegaan van wat bij het schrijven van de teksten praktisch en volgens de vigerende inzichten en beschikbare kennisbronnen geacht werd juist te zijn. Zij voelen zich daarbij gesteund door de reviews in het kennisnetwerk van CIP, de Domeingroep Privacy in het bijzonder. Maar let op: in géén geval is de Privacy Baseline een vervanger voor de authentieke bronnen van de privacywetgeving zelf.

Bij deze versie

Het uitgangspunt voor deze Privacy Baseline pagina's is de versie 3.2 van de 'papieren' editie (gepubliceerd in mei 2019). De 3.2 versie is een aanpassing van de voorgaande versie op grond van de in het voorjaar van 2018 van kracht geworden De Uitvoeringswet voor de AVG (UAVG). Omdat de omzetting van de papieren editie naar de wiki anno 2020 ook weer (lichte) redactionele wijzigingen met zich meebrengt, resulteert dat nu in een versie 3.3 voor zowel de wiki als het traditionele document.

Het uitgangspunt van de wetgever voor de UAVG is nadrukkelijk geweest de bestaande Nederlandse wetgeving (de WBP - Wet bescherming persoonsgegevens) zoveel mogelijk 'beleidsneutraal' over te nemen in de UAVG, daar waar de AVG dat toelaat of om 'lidstatelijke' invulling vraagt. Zonder volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. te claimen geven wij hier de volgende voorbeelden:

  • De handhaving van de leeftijdsgrens van 16 jaar voor de verwerking van de persoonsgegevens van kinderen op grond van toestemming, waar de AVG de mogelijkheid van 13 jaar geeft.
  • De handhaving (ex WBP) van enkele specifieke uitzonderingen voor de verwerking van bijzondere gegevens (UAVG art. 22 lid 2, art. 23-29, art. 30 lid 5 & 6). NB: wees erop verdacht dat in Nederland specifieke uitzonderingen kunnen gelden die andere EU-lidstaten niet kennen.
  • De UAVG breidt de reikwijdte van het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van de AVG uit naar (ook) activiteiten die buiten de werkingssfeer van het Unierecht vallen (UAVG art. 3). Dit betekent dat in Nederland de AVG eigenlijk altijd geldt buiten de uitzonderingen die nog overeind zijn gebleven. Alleen gegevensverwerkingen op terreinen die in hun geheel zijn uitgezonderd van de werking van Europees recht, vallen buiten de materiële werkingssfeer van de verordening. Dit zijn uitsluitend verwerkingen in het kader van nationale veiligheid en verwerkingen door de krijgsmacht, en verwerkingen waarop de Gegevensbeschermingsrichtlijn opsporing en vervolging van strafbare feiten van toepassing is.
  • De UAVG (UAVG art. 40) heft het verbod om mensen te onderwerpen aan geautomatiseerde besluitvorming (met aanmerkelijke gevolgen voor betrokkenen) op, indien de wet dat verplicht stelt. De UAVG vult hiermee AVG Art. 22 lid 2b in.
  • Verwerking van biometrische gegevens is toegestaan voor authenticatie en beveiligingsdoeleinden (UAVG art. 29).
  • De uitzondering voor financiële instellingen om een datalek niet te hoeven te melden bij de betrokkene blijft bestaan. Zij moeten het datalek wel melden bij de Autoriteit Persoonsgegevens (AP) en de financiële toezichthouders. De financiële sector heeft eigen wetgeving die de zorgplicht jegens betrokkenen regelt.
  • Ook overheidsorganisaties kunnen boetes krijgen van maximaal 10 respectievelijk 20 miljoen Euro (UAVG art. 18).

Als direct gevolg van de UAVG is ook de Baseline aangepast. Met name het criterium 'U.01 Doelbinding gegevensverwerking' is grondig gereviseerd met betrekking - maar niet beperkt - tot bijzondere categorieën persoonsgegevens (blok /04); waar nodig zijn ook de overeenkomstige toelichtingen bij dit criterium en de indicatoren aangepast.

Veel artikelen in de AVG/UAVG gaan direct of indirect over de Autoriteit Persoonsgegevens. De bevoegdheden van de Nationale toezichthouder - de AP - en de eisen die de wet aan de AP stelt vallen buiten de scope van de Privacy Baseline. Het betreft Hoofdstuk 2 van de UAVG en de hoofdstukken VI en VII, en X en XI van de AVG. De bepalingen in deze hoofdstukken zijn voor de toepassing van de Baseline niet direct van belang. Hoofdstuk VIII en zeker hoofdstuk IX daarentegen ('Beroep, aansprakelijkheid en sancties' resp. 'Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking') kunnen voor organisaties c.q. verwerkingsverantwoordelijke en verwerkers nog wel degelijk relevant zijn. Dat kan ook gelden voor de UAVG Art. 15-20 (waaronder het al genoemde Art. 18: "Bestuurlijke boete aan overheden").

Over de AP nog dit: de AVG spreekt consequent over "de bevoegde toezichthoudende autoriteit". Dat moet, omdat het kan voorkomen dat de toezichthouder die een overtreding behandelt niet altijd de toezichthouder voor het land is waar de overtreding is geconstateerd. Tenzij de context anders vereist spreken wij hierna van 'de AP' als de bevoegde toezichthoudende autoriteit.

Wij verwijzen naar de Uitvoeringswet plus de Memorie van toelichting als: 'de Uitvoeringswet' of: 'de UAVG'. Wanneer we zonder verdere specificatie spreken van 'de AVG' of 'de privacywetgeving', dan bedoelen we daarmee de combinatie van de AVG en de UAVG. De Europese Unie heeft de AVG in verschillende talen (ook in het Nederlands) gepubliceerd op: https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679. Bij onduidelijkheid over de betekenis van de teksten in een andere taal dan het Engels geldt de Engelstalige versie als de maatstaf. De UAVG (BWBR0040940) en de Memorie van toelichting vind je hier: