Ieder mens heeft recht op privacy. Mensen moeten de regie houden op hun eigen gegevens. Daarom is de Algemene Verordening sinds 25 mei 2018 van kracht. Door de invoering van de AVG is de bescherming van persoonsgegevens veel beter geregeld. Ook voor decentrale overheden behoort de bescherming van persoonsgegevens bij de dagelijkse praktijk. In het kader van het vijfjarig jubileum van de invoering van de Algemene Verordening Gegevensbescherming (AVG) helderen we graag het een en ander op en bespreken we een aantal relevante ontwikkelingen.
Algemeen AVG
Op 25 mei 2023 bestond de AVG vijf jaar. De AVG is mede ingevoerd als gevolg van de digitalisering van de samenleving. De digitalisering zorgde voor meer dataverkeer en het ontstaan van nieuwe technologieën. Dit leidde tot een toename van het verzamelen en delen van gegevens, een vergroot risico op cybercrime en een groeiende vraag van de gewone burger wat er met zijn of haar persoonsgegevens wordt gedaan. Onder een persoonsgegeven wordt verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’ (artikel 4 lid 1 AVG). Een persoon kan direct en indirect geïdentificeerd worden. Lees hier meer over persoonsgegevens.
De AVG betreft een Europese verordening. Dit betekent dat deze regels een directe werking hebben. Wel laat de AVG ruimte aan de lidstaten om zelf bepaalde keuzes te maken. Deze keuzes zijn in Nederland uitgewerkt in de Uitvoeringswet AVG.
Ook decentrale overheden moeten de regels van de AVG toepassen wanneer zij persoonsgegevens verwerken. Zij worden namelijk aangemerkt als verwerkingsverantwoordelijke en in dat geval gelden er enkele verplichtingen. Hierbij kan gedacht worden aan het aanstellen van een Functionaris voor Gegevensbescherming, het uitvoeren van een gegevensbeschermingseffectbeoordeling of opvolging geven aan de uitoefening van de rechten van betrokkenen, zoals het recht op inzage of verwijdering van gegevens. Een decentrale overheid die zich niet aan de regels van de AVG houdt, loopt het risico om een boete te krijgen van de Autoriteit Persoonsgegevens (AP).
Ontwikkelingen van de laatste vijf jaar
Datalekken melden
Om schade, zoals identiteitsfraude, voor slachtoffers te beperken moeten organisaties een datalek zo snel mogelijk melden (artikel 32 AVG). In Nederland moet een datalek gemeld worden bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’. Zo werden er in 2021 24.866 datalekken gemeld bij de AP. Dit volgt uit de Datalekkenrapportage 2021. Dat is een stijging van 4% ten opzichte van 2020. Het aantal meldingen van cyberaanvallen steeg met 88% procent ten opzichte van 2020. De Datalekkenrapportage van 2022 is op 6 juni 2023 gepubliceerd.
Doorgifte van persoonsgegevens naar derde landen
Voor de doorgifte van persoonsgegevens naar landen buiten de EU (derde landen) gelden op grond van de AVG aparte regels. Persoonsgegevens mogen alleen doorgegeven worden naar derde landen met een passend beschermingsniveau, zo volgt uit artikel 45 lid 3 AVG. Is dit er niet, dan kan de doorgifte alleen plaatsvinden op grond van een wettelijke bepaling uit de AVG. De AVG noemt een aantal mogelijkheden om dit te bewerkstelligen, bijvoorbeeld op basis van een adequaatheidsbesluit.
De Verenigde Staten is een van de landen die geen passend beschermingsniveau heeft. Voorheen konden persoonsgegevens doorgegeven worden op grond van het EU-VS Privacy Shield. Deze werd in 2020 door het Hof van Justitie van de Europese Unie ongeldig verklaard. Op dit moment werkt de Europese Commissie aan een nieuw adequaatheidsbesluit: het EU-US Data Privacy Framework (DPF).
Digitaal toezicht
De laatste jaren ontwikkelt de digitale technologie zich ook op andere vlakken, zoals bij Artificial Intelligence, cybersecurity en digitale diensten. Dit heeft invloed op de bescherming van persoonsgegevens. Decentrale overheden hebben regelmatig met deze onderwerpen te maken, bijvoorbeeld wanneer bepaalde beslissingen met Artificial Intelligence worden geautomatiseerd. Het is daarom van belang dat hier goed toezicht op wordt gehouden. De AP is aangewezen als toezichthouder voor de AVG, maar is ook verantwoordelijk voor digitaal toezicht wanneer het bijvoorbeeld gaat om online platforms of kunstmatige intelligentie. Daarom is de AP in 2021 samen met de Autoriteit Consument & Markt, de Autoriteit Financiële Markten en het Commissariaat voor de Media het Samenwerkingsplatform Digitale Toezichthouders gestart. Onlangs is deze samenwerking uitgebreid, om te zorgen voor een nog betere bescherming van de digitale samenleving.
Meer informatie
Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal
Rapportages datalekken, Autoriteit Persoonsgegevens
Doorgifte binnen en buiten de EER, Autoriteit Persoonsgegevens
Samenwerkingsplatform Digitale Toezichthouders (SDT), Autoriteit Consument & Markt
