Print:

Europese opinies en uitvoeringswetten gaan voor verrassingen zorgen

Ferry Waterkamp , Journalist

LinkedIn profiel

Hoewel de AVG al in april 2016 is gepubliceerd, hebben de gezamenlijke Europese privacytoezichthouders pas onlangs de eerste opinies uitgevaardigd over de begrippen die nieuw zijn en uitleg behoeven. Er staan nog meer opinies op stapel en de verwachting is niet dat die allemaal voor mei 2018 klaar zullen zijn. Daarnaast zijn er onderwerpen waar de lidstaten eigen of strengere regels in kunnen voeren. “Ik verwacht daarom nog wel enkele verrassingen”, waarschuwt de vooraanstaande privacyadvocaat Lokke Moerel.

Een groot deel van de Algemene Verordening Gegevensbescherming (AVG) is helemaal niet verrassend, vindt Moerel, in het dagelijkse leven professor Global ICT Law aan Tilburg University en Senior Of Counsel bij de Amerikaanse advocatenfirma Morrison & Foerster. “De AVG is voor een belangrijk deel een ‘codificatie’ van bekende beginselen uit de huidige privacyrichtlijn en de opinies die in de loop der jaren daarover zijn uitgevaardigd door de Artikel 29-werkgroep.” De ‘WP29’ is het onafhankelijke Europese adviesorgaan op het gebied van privacy waarin de voorzitters van de privacytoezichthouders van de lidstaten zitting hebben.

“Maar er zitten in de AVG ook een aantal nieuwe concepten waarvoor de WP29 en soms ook de nationale privacytoezichthouders nu richtsnoeren opstellen”, vervolgt Moerel. “Die richtsnoeren gaan bijvoorbeeld in op vragen als ‘Wanneer moet een bedrijf een Data Protection Officer (DPO) aanstellen?’, ‘Wat houdt het recht op dataportabiliteit nou precies in?’, ‘Wanneer moet je een Data Protection Impact Assessment (DPIA) doen?’ en ‘Hoe doe je dat?’.”

DPIA vaker nodig?

Het zijn volgens Moerel deze richtlijnen die de komende tijd voor verrassingen gaan zorgen en ook niet altijd volledige duidelijkheid bieden. Zo verplicht de AVG de nationale toezichthouders een lijst op te stellen van verwerkingen die volgens hen een hoog risico met zich meebrengen voor de privacy van individuen en waarvoor een DPIA verplicht is. De Belgische toezichthouder is de eerste die een voorlopige lijst heeft gepubliceerd en nu een consultatie daarover is gestart.

“De AVG verplicht verantwoordelijken een DPIA te doen voor verwerkingen die een hoog privacyrisico hebben, waarbij expliciet is bepaald dat een DPIA in ieder geval is vereist bij systematische en uitgebreide profilering voor geautomatiseerde individuele besluitvorming en grootschalige verwerking van bijzondere gegevens”, legt Moerel uit. “Dit zijn voorbeelden waarbij de hoogste privacyrisico’s bestaan. Dat geeft de indruk dat alleen in uitzonderingsgevallen een DPIA zal zijn vereist.”

“Als ik nu de voorlopige richtlijn zie die de Belgische toezichthouder heeft opgesteld, dan is ook een DPIA nodig voor verwerkingen die ik niet als een hoog privacyrisico zou inschatten”, vervolgt Moerel. “Als elke lidstaat een dergelijke lijst gaat publiceren, dan zullen veel meer DPIA’s moeten worden uitgevoerd dan verwacht. Veel bedrijven hebben nog niet door dat het uitvoeren van een DPIA veel tijd en menskracht kost.”

De DPIA is volgens Moerel een extra last bovenop de registerplicht waar bedrijven mee te maken krijgen. Artikel 30 van de AVG verplicht organisaties om de belangrijkste eigenschappen van hun verwerkingen van persoonsgegevens te documenteren. “Heel veel bedrijven hebben al moeite om deze registratie voor elkaar te krijgen, en daar komt dan nog eens bij dat in veel meer gevallen een DPIA zal moeten worden gedaan.”

Wanneer is een DPO verplicht?

Een opinie van de WP29 die volgens Moerel nog steeds voor ruis kan zorgen, is de richtsnoer over wanneer bedrijven een DPO moeten aanstellen. De AVG stelt bijvoorbeeld een DPO verplicht voor organisaties die systematische monitoring van personen op grote schaal als kernactiviteit hebben. “Maar wanneer heb je ‘systematische monitoring’ nu als kernactiviteit en wat is grote schaal?” Volgens Moerel blijft een dichtgetimmerd antwoord op deze vragen vooralsnog uit.

Wel is volgens de privacyadvocaat duidelijk dat een DPO vaker verplicht is dan oorspronkelijk gedacht. “Uit de opinie van de WP29 volgt dat onder systematisch monitoren alle vormen van online profileren en tracking vallen, waaronder voor ‘behavioural advertising’-doeleinden. Ik vind het toepassen van online profileren op een eigen website, om zo de content en advertising of de site aan te passen aan de voorkeuren van de bezoekers, geen kernactiviteit van een bedrijf. De WP29 lijkt daar echter anders over te denken.”

“De websites van veel mkb-bedrijven hebben deze functionaliteit al, dus dan wordt de vraag erg belangrijk wanneer sprak is van grote schaal”, vervolgt Moerel. “Ook die vraag is niet beantwoord. De WP29 noemt een aantal gevallen die duidelijk grote schaal betreffen en dan als voorbeeld voor een benedengrens de verwerking door een individuele advocaat van strafrechtelijke gegevens van zijn cliënt. Nou, dat voegt weinig toe. Ik denk niet dat iemand zal denken dat een dergelijke verwerking als grootschalig wordt aangemerkt. Dit geeft dus geen richting.”

Lokale variaties

Toch denkt Moerel niet dat voor grote, internationaal opererende bedrijven de pijn zit bij de vraag of ze wel of niet een DPO moeten aanstellen. “Voor deze bedrijven is al lang duidelijk dat voor hen een DPO verplicht is, en vaak hebben ze ook nu al een privacy-officer in dienst.”

“Wel zie ik dat de stap naar AVG-compliance groot is voor bedrijven die nu ook al niet compliant zijn met de huidige privacyrichtlijn”, vervolgt Moerel. Een extra complicerende factor is volgens de professor hoe de EU-lidstaten in hun nationale uitvoeringswetten invulling gaan geven aan de bepalingen waar de AVG ruimte laat aan de lidstaten. “De AVG geldt overal, maar bepaalt ook dat er voor bijvoorbeeld het verwerken van strafrechtelijke gegevens een grondslag moet zijn in de nationale wetten. Daardoor komen er toch weer variaties.”

Ook op een gedetailleerder niveau treden er verschillen op. Moerel: “De Franse toezichthouder heeft bijvoorbeeld onlangs richtlijnen voor wachtwoordbeveiliging uitgevaardigd. Die zijn echt heel gedetailleerd, en wijken weer af van de voorschriften in Spanje. Dat maakt het voor internationaal opererende bedrijven allemaal wel erg lastig.”

Wacht niet

Volgens Moerel zullen op 25 mei 2018, de dag waarop de AVG van kracht wordt, nog lang niet in alle lidstaten de nationale uitvoeringswetten en richtsnoeren gereed zijn. “Als bedrijf moet je goed na gaan denken: welke keuzes maak ik nu, zodat ik het best gepositioneerd ben mocht er straks op lokaal niveau nog iets anders gebeuren? Je kunt niet wachten totdat alle guidance er is.”

AVG IIR

Meer weten over hoe u zich voorbereidt op de AVG? Bezoek dan op 16 mei het IIR-congres ‘Voorbereidingen Algemene Verordening Gegevensbescherming’. Privacyadvocaat Lokke Moerel verzorgt op deze dag een keynote met als titel ‘Update AVG, WP29 en waar staan we?’.