Steeds meer invulling van de AVG
Nieuwe richtsnoeren voor de AVG en publicatie UAVG
Ontwikkelingen
In de afgelopen paar weken is er weer veel gebeurd op het terrein van de Algemene Verordening Gegevensbescherming (AVG). Zo is het wetsvoorstel voor de Uitvoeringswet AVG (UAVG) gepubliceerd en heeft de Artikel 29 werkgroep twee nieuwe richtsnoeren gepubliceerd voor publieke consultatie.
De uitvoeringswet
De AVG is een verordening en werkt als Europese wetgeving rechtstreeks door. Het omzetten naar nationale wetgeving is hierbij niet nodig. Er is echter gekozen voor een bijbehorende Nederlandse wet, de uitvoeringswet, om zo de positie van de Autoriteit Persoonsgegevens te regelen, de Wbp in te trekken en een aantal keuzemogelijkheden binnen de AVG te kunnen invullen. Zo mag bijvoorbeeld op grond van art. 46 UAVG, het Burger Service Nummer (BSN) net als onder de Wbp alleen worden verwerkt binnen de kaders van de wet. Een ander voorbeeld waarin gebruik is gemaakt van een keuzevrijheid is art. 18 UAVG waarin is bepaald dat ook een overheidsinstantie of een overheidsorgaan een bestuurlijke boete kan worden opgelegd.
Twee nieuwe richtsnoeren
De Artikel 29 werkgroep is een onafhankelijk advies- en overlegorgaan van Europese toezichthouders. Ter verduidelijking van de AVG beginselen inzake “toestemming” en “transparantie” heeft deze werkgroep op 28 november jl. hieromtrent twee richtsnoeren (guidelines) gepubliceerd ter consultatie. Deze guidelines staan nu open voor feedback. De consultatie heeft als doel om de documenten waar nodig aan te vullen en te verrijken om deze zo praktisch mogelijk te laten zijn.
Toestemming
In art. 4 lid 11 geeft de AVG een definitie van “toestemming”: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt. De werkgroep gaat hierbij onder andere in op de vraag wanneer er sprake is van “vrije” toestemming rekening houdend met de mogelijke onbalans van macht tussen de betrokkene en de verwerkingsverantwoordelijke zoals de overheid of een werkgever. De werkgroep wijst hiervoor naar art. 7 lid 4. “Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst”. Dit artikel, zo stelt de werkgroep, is niet limitatief opgesteld hetgeen betekent dat er een reeks andere situaties kan zijn die onder deze bepaling vallen. In algemene bewoordingen kan elk element van ongepaste druk of invloed op de betrokkene (die zich op veel verschillende manieren kan manifesteren) waardoor een betrokkene zijn vrije wil niet kan uitoefenen, de toestemming ongeldig maken.
Transparantie
De werkgroep noemt, waar het gaat om transparantie, onder meer dat een verwerkingsverantwoordelijke moet kunnen aantonen dat zij op een transparante wijze persoonsgegevens verwerkt. Op grond van art. 12 AVG moet de betrokkene “informatie in verband met gegevensverwerking” ontvangen in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal. Het begrip transparantie in de AVG niet is gedefinieerd. De werkgroep voegt hieraan toe dat informatie met betrekking tot gegevensverwerking op een duidelijke wijze apart moet worden behandeld van niet-privacy gerelateerde onderwerpen. Ook worden er voorbeelden genoemd van onderdelen in privacy statements die onvoldoende duidelijk zijn om aan het transparantiebeginsel te kunnen voldoen en worden er voorbeelden aangedragen om dit te verbeteren Zo wordt er bijvoorbeeld geadviseerd om met gelaagde privacy statements te gaan werken zodat de betrokkene niet direct met een enorme hoeveelheid aan informatie wordt geconfronteerd op basis waarvan hij moet kiezen om wel of niet akkoord te gaan, maar stap voor stap keuzes kan maken.
Eventuele reacties op deze richtsnoeren over toestemming en transparantie kunnen worden ingediend tot en met 23 januari 2018.