Print:

Hello AVG, goodbye Wbp

Lynsey Dubbeld, Contentstrateeg

LinkedIn profiel

Met de komst van de Algemene verordening gegevensbescherming (AVG) komt een einde aan een tijdperk: de zeventien jaar waarin de Wet bescherming persoonsgegevens (Wbp) van toepassing was. Maar hoe revolutionair is de komst van de nieuwe Europese privacywet eigenlijk precies?

De AVG markeert een aardverschuiving in de bescherming van persoonsgegevens in de Europese Unie. Dat is de boodschap die rondzingt sinds het Europese Parlement in 2016 instemde met de General Data Protection Regulation (GDPR). Al in 2017 maakte FD melding van “privacypaniek”: bedrijven zouden de grootste moeite hebben om te voldoen aan de nieuwe privacyregels. De krant beschreef de AVG als “het Europese beest dat het bedrijfsleven moet temmen.”

Toch is de komst van de nieuwe privacywet niet de radicale omwenteling die we misschien verwachten op grond van alle mediaberichtgeving over de AVG. De AVG versterkt de privacyrechten van betrokkenen en vergroot de verantwoordelijkheden van verwerkers. Maar de beginselen van de wet liggen in belangrijke mate in het verlengde van de uitgangspunten, normen en principes van de Wbp.

Er zijn zeker drie manieren waarop de AVG voortborduurt op de Wbp.

Grondslagen voor gegevensverwerkingen

Eén van de basisbeginselen van de Wbp is dat persoonsgegevens alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier mogen worden verwerkt. De wet noemt hiervoor (in artikel 8) zes grondslagen.

De AVG kent óók een artikel met zes grondslagen (artikel 6), die opvallend veel overeenkomsten vertonen met de grondslagen uit de Wbp. Denk aan beginselen zoals de toestemming van de betrokkene, de uitvoering van een overeenkomst, de nakoming van een wettelijke verplichting en de bescherming van vitale belangen.

Als het gaat om grondslagen voor gegevensverwerkingen brengt de AVG overigens wel een aantal aandachtspunten mee. Bijvoorbeeld als het gaat om de toestemming van betrokkenen. Rechtsgeldige toestemming moet voldoen aan zes eisen. Een van de eisen is dat toestemming vrijelijk wordt gegeven. Omdat in relaties tussen bijvoorbeeld werkgevers en werknemers en burgers en overheid doorgaans sprake is van een ongelijke machtsverhouding, kunnen gegevensverwerkingen in die contexten doorgaans niet (meer) op het toestemmingsartikel uit de AVG gebaseerd zijn. Een kwestie om goed naar te kijken, bijvoorbeeld aan de hand van de kennisbank van IIR. Maar het is ook geen revolutie om slapeloze nachten van te hebben, toch?

Beveiliging

Het was bij de introductie van de Wbp een veelbesproken issue: de techniekonafhankelijkheid van de vervanger van de Wet persoonsregistraties (Wpr). De Wbp werd – in tegenstelling tot de Wpr – van toepassing op alle vormen van verwerking van persoonsgegevens: in papieren dossiers, maar ook via digitale of elektronische bestanden. Dit zou als voordeel hebben dat de wetgeving minder snel achterhaald raakt door technologische ontwikkelingen. Tegelijkertijd betekent de techniek-onafhankelijkheid dat de wettelijke normen relatief abstract zijn geformuleerd. In de Wbp is dit fenomeen bijvoorbeeld zichtbaar in de verplichting tot technische en organisatorische maatregelen voor beveiliging van persoonsgegevens (artikel 13). De wet zegt niets over het type maatregelen dat genomen dient te worden om het vereiste passende niveau van gegevensbeveiliging te garanderen.

De AVG verandert aan deze situatie relatief weinig. Want ook de AVG kunnen we als techniek-onafhankelijk typeren. En ook in de AVG is een heel algemene verplichting opgenomen om een beveiligingsniveau in te voeren dat rekening houdt met de specifieke risico’s die gegevensverwerkingen meebrengen.

Een AVG-proof standaardpakket voor beveiligingsmaatregelen is er dus niet. Wel geeft de Autoriteit Persoonsgegevens voorbeelden van maatregelen die in aanmerking komen. De IIR-praktijkcursus Security voor privacyprofessionals geeft alle informatie om daar handen en voeten aan te geven.

De FG

De Wbp introduceerde (in artikelen 62, 63 en 64) de Functionaris voor de gegevensbescherming (FG), een interne toezichthouder die organisaties op eigen initiatief kunnen aanstellen. Bij organisaties met een FG stelt de Autoriteit Persoonsgegevens zich terughoudend op als toezichthouder.

De FG heeft in de AVG een nadrukkelijkere rol gekregen. De aanstelling van een FG is op grond van artikel 37 voor een aantal organisaties, waaronder overheidsinstanties, verplicht. Bovendien beschrijven de wet en de bijbehorende richtlijnen uitvoerig de positie en taken van de FG, en de randvoorwaarden voor de juiste invulling van diens functie. Wat moet een FG allemaal weten en kunnen? Hoe kan de FG onafhankelijk werken? Wat moet er geregeld worden als het gaat om bijvoorbeeld praktische ondersteuning en scholing?

De AVG zet de FG en diens rollen, taken en verantwoordelijkheden stevig neer. Maar de functionaris zoals we die kennen uit de Wbp is zeker nog herkenbaar. De honderden FG’s die al jarenlang in Nederland actief zijn, hebben met hun ervaring en deskundigheid dan ook een flinke voorsprong op de nieuwe data protection officers die met de komst van de AVG aan de slag gaan.

Tip: de praktijkcursus Functionaris Gegevensbescherming in de publieke sector van IIR behandelt in slechts 4 compacte dagen de kennis en vaardigheden die (aanstaande) FG’s moeten beheersen.

Van Wbp-proof naar AVG-compliant

Volgens een artikel in FD klagen talloze bedrijven dat ze de handen vol hebben aan de voorbereidingen op de AVG. Jean Paul van Schoonhoven, eigenaar van Legal2Practice en docent van diverse IIR-trainingen op het gebied van dataprotectie en privacy, stelde naar aanleiding van het bericht dat de drukte die organisaties nu ervaren rond de AVG heel goed te maken zou kunnen hebben met achterstallig onderhoud dat is ontstaan in het tijdperk van de Wbp. Volgens Van Schoonhoven is zo’n tachtig procent van de verplichtingen uit de AVG namelijk al in de Wbp te vinden.

De overeenkomsten tussen de AVG en haar voorganger zijn goed nieuws voor iedereen die Wbp-proof werkt: met de juiste kennis en focus hoeft de overgang naar de AVG dan echt geen uitputtende krachtmeting te zijn.

Op zoek naar een AVG training?

Laat uw e-mail achter en ontvang de gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten