Waarom de AVG?

De Europese Unie spant zich al enkele jaren sterk in om gegevensbescherming in Europa te verbeteren. Er is daarvoor diverse wetgeving aangenomen, waaronder de AVG. Voorheen werd de bescherming van persoonsgegevens geregeld door de Richtlijn bescherming van persoonsgegevens. De regels uit de AVG zijn echter beter afgestemd op gegevensuitwisseling binnen de huidige technologische ontwikkelingen. De AVG creëert een gelijk speelveld voor alle ondernemingen die op de markt actief zijn en zorgt voor het vrije verkeer van gegevens binnen de EU. Hierdoor dragen de regels bij aan een grotere mate van vertrouwen en veiligheid op de Europese digitale interne markt.

Betekenis voor decentrale overheden

Decentrale overheden die voor de verwerking van persoonsgegevens verantwoordelijk zijn, kunnen worden aangemerkt als verwerkingsverantwoordelijke. In dat geval gelden er volgens de AVG enkele verplichtingen. U kunt hierbij denken aan het verplicht aanstellen van een Functionaris voor Gegevensbescherming, het uitvoeren van een gegevensbeschermingseffectbeoordeling of opvolging geven aan de uitoefening van de rechten van betrokkenen, zoals het recht op inzage of verwijdering van gegevens.

Een decentrale overheid die zich niet aan de regels van de AVG houdt, loopt het risico om een boete te krijgen van de Autoriteit Persoonsgegevens (AP). Dat is in Nederland de aangewezen autoriteit die toeziet op juiste naleving van de AVG en sancties kan uitdelen. Op de website van de AP is te lezen dat er tot eind 2020 er in totaal twaalf boetes zijn opgelegd. Daarnaast zijn er de afgelopen drie jaar ruim 64.000 datalekmeldingen gedaan. De invoering van de AVG heeft ook gezorgd voor een toegenomen bewustzijn over privacy bij burgers.

Kennissessie: Even opfrissen… de AVG

De AVG is dus niet nieuw meer. Toch blijkt dat er, ook drie jaar na de inwerkingtreding, bij veel decentrale overheden nog vragen leven. Mede hierdoor worden de regels niet altijd even goed gewaarborgd. Daarom organiseert Europa decentraal op dinsdag 8 juni een online kennissessie over de AVG. In deze kennissessie wordt ingegaan op de meest relevante onderwerpen, van het inrichten van het verwerkingsregister en het opstellen van een privacybeleid tot het melden van datalekken. Het betreft zowel een introductie- als opfriscursus. Via deze webpagina kunt u zich aanmelden voor deze kennissessie.

Meer informatie

Informatiemaatschappij, Kenniscentrum Europa Decentraal
Verplichtingen verwerkingsverantwoordelijke, Kenniscentrum Europa Decentraal
Kennissessie AVG, Kenniscentrum Europa Decentraal
Feiten en cijfers over de AP, Autoriteit Persoonsgegevens

Omdat de persoonsgegevens die onder de werkingssfeer van de Richtlijn vallen gebruikt kunnen worden voor juridische onderzoeken of strafrechtelijke vervolging, kunnen lidstaten er voor kiezen om het inzagerecht van personen te beperken. Dit dient tot  het beschermen van de openbare veiligheid en om de rechten en vrijheden van derden, zo vloeit voort uit artikel 15 van de Richtlijn. Tegelijkertijd benadrukt de Richtlijn ook het belang van het recht op inzage van de gegevens door de rechthebbende, in artikel 14, en het recht op rectificatie of het wissen van persoonsgegevens, in artikel 16.

Om deze rechten te realiseren, dienen lidstaten maatregelen te treffen waarmee personen zich met een verzoek om inzage, correctie of verwijdering van gegevens kunnen wenden tot toezichthouders, zo is bepaald in artikel 17 van de Richtlijn. De toezichthouder oefent dan de rechten van een persoon uit en brengen daarover verslag uit aan de verzoeker. Maar leiden de acties van de toezichthouder dan tot een juridisch bindend besluit? En wat nou als de rechthebbende het niet eens is met die acties, staat er dan een rechtsgang open voor de verzoeker?

Zaak

HvJ EU 16 november 2023, C-333/22, ECLI:EU:2023:874, Ligue des droits humains (Controle door de toezichthoudende autoriteit op de gegevensverwerking)

Beleidsdossier en thematiek

EU Algemeen

Digitale Overheid

Privacy

Feiten

In deze zaak staat de particulier onder acroniem ‘BA’ samen met de Belgische mensenrechtenorganisatie Ligue des droits humains tegenover de Belgische toezichthouder Controleorgaan op de politionele informatie (hierna: het Controleorgaan).

De situatie

In 2016 heeft BA een veiligheidsattest aangevraagd, dat was vereist voor een tijdelijke baan. Een veiligheidsattest wordt in België verleend door de Belgische Nationale Veiligheidsoverheid en geeft aan dat iemand vertrouwd kan worden met het omgaan met vertrouwelijke informatie. Het is daarmee enigszins vergelijkbaar met een Verklaring Omtrent het Gedrag in Nederland. De Belgische Nationale Veiligheidsoverheid heeft in hetzelfde jaar, 2016, het verzoek van BA om een attest af te geven afgewezen.

In 2020 is vervolgens door de raadsman van BA een verzoek ingediend bij het Controleorgaan om inzicht te krijgen in de persoonsgegevens van BA en in welke databank die aanwezig waren en om de verantwoordelijken voor de betrokken verwerking van persoonsgegevens te identificeren.

In reactie op dit verzoek, heeft het Controleorgaan aangegeven dat inzage alleen indirect mogelijk was. De reden hiervoor is niet gecommuniceerd naar de betrokkene. Vervolgens heeft het Controleorgaan dat het zelf zou nagaan bij de bevoegde instantie (de Algemene Nationale Gegevensbank) of de eventuele verwerking van de gegevens van BA rechtmatig was en dat het BA zou informeren over eventuele wijzigingen of verwijdering hiervan.

Als toezichthouder is het Controleorgaan in staat om, waar nodig, de politie opdracht te geven om gegevens te verwijderen of aan te passen. Na de aanvraag heeft het Controleorgaan de persoonsgegevens van BA  en de eventuele verwerking daarvan gecontroleerd bij de Algemene Nationale Gegevensbank, die door alle Belgische nationale politiediensten wordt gebruikt. Waar toepasselijk zijn deze gegevens vervolgens gewijzigd of verwijderd zo geeft het Controleorgaan aan. Het heeft BA hier ook van op de hoogte gesteld.

De Rechtzaak

Na de kennisgeving van het Controleorgaan heeft BA samen met de Ligue des droits humans een kort geding aangespannen bij de Tribunal de première instance francophone de Bruxelles, oftewel de Franstalige Rechtbank van eerste aanleg te Brussel.

Hierbij wordt een beroep gedaan op artikel 8, lid 3, en op artikel 47 van het Handvest van de grondrechten van de Europese Unie (hierna: het Handvest). Deze bepalen respectievelijk dat onafhankelijke autoriteiten dienen te controleren of de regels rondom het verwerken van persoonsgegevens nageleefd worden en dat iedereen recht heeft op een eerlijke en openbare behandeling van een aanklacht wegens (mogelijk) geschonden rechten en vrijheden.

BA en de Ligue des droits humans vragen zich af of de bevoegdheden van de in deze zaak betrokken toezichthouders, vastgelegd in artikel 47 van Richtlijn 2016/680, toereikend zijn om de bovengenoemde grondrechten te realiseren.

De Brusselse Rechtbank van eerste aanleg heeft zichzelf ‘onbevoegd’ verklaard om van dit verzoek in kort geding kennis te nemen. BA en de Ligue des droits human hebben vervolgens de zaak in hoger beroep ingesteld bij het Cour d’appel de Bruxelles. In de procedure voor dat rechtscollege wijst dat college er op dat het recht om in beroep te gaan tegen een juridisch bindend besluit, vastgelegd in artikel 53 van Richtlijn 2016/680, mogelijk niet correct uitgevoerd kunnen worden als dat niet door de persoon zelf uitgeoefend kan worden.

In de hier voorliggende situatie zou dat recht alleen  jegens de verwerkende instantie uitgeoefend kunnen worden, maar niet jegens de toezichthouder. Verder wijst de verwijzende rechter nog op de beperkte informatie die de toezichthouder heeft gegeven over de acties die zijn verricht naar aanleiding van het verzoek, waardoor het onduidelijk blijft of de rechten van BA  daarbij toereikend zijn nageleefd.

Aangezien deze problematiek voortvloeit uit een mogelijke interne tegenstelling in het Europees recht, heeft de Cour d’appel de Bruxelles zich ter zake onbevoegd verklaart en de zaak doorverwezen naar het Hof van Justitie van de Europese Unie (HvJ EU; hierna: het Hof).

Rechtsvragen

De Cour d’appel de Bruxelles verzoekt het Hof om de volgende twee prejudiciële vragen te beantwoorden:

1. Kan een persoon bezwaar maken op het besluit van de toezichthouder wanneer deze de rechten van de betrokkene jegens de dataverwerker uitoefent?
2. Voldoet artikel 17 van Richtlijn 2016/680, betreffende het uitoefenen van rechten van een betrokkene door een toezichthouder, aan artikelen 8, lid 3, en 47 van het Handvest, in dat het de toezichthouder enkel verplicht om de betrokkene te informeren over het plaatsvinden van controles en evaluaties en over het recht om hierover in beroep te gaan bij de rechter?

Uitspraak van het Hof

Eerste prejudiciële vraag

In zijn antwoord op de eerste prejudiciële vraag wijst het Hof er op dat het antwoord afhangt van de taken en bevoegdheden die artikel 17 van Richtlijn 2016/680 aan de toezichthouder toekent. In artikel 53, lid 1, van de Richtlijn is bepaald dat de lidstaten personen het recht moeten toekennen om bezwaar te maken tegen juridisch bindende besluiten van een aangewezen toezichthoudende instantie. De vraag die hier uitvloeit is of een toezichthouder een juridisch bindend besluit neemt (of moet nemen) bij het uitvoeren van artikel 17 van de Richtlijn.

Het Hof legt uit dat op grond van artikel 17, lid 1, van de Richtlijn toezichthouders verplicht zijn maatregelen te treffen om de rechten van natuurlijke personen te garanderen waar zij deze zelf niet uit kunnen oefenen. Om dit te kunnen realiseren, schrijft artikel 47 van de Richtlijn voor dat een toezichthouder niet alleen onderzoeksbevoegdheden heeft, maar ook ‘effectieve bevoegdheden tot het treffen van corrigerende maatregelen’.

Daaruit volgt dat een toezichthouder in staat moet zijn om een volledig controleproces uit te voeren. Wanneer deze de betrokkene informeert over genomen acties en het beëindigen van dit proces, heeft dit immers gevolgen voor de rechtspositie van de betrokkene. Om deze reden stelt het Hof dat het uitvoeren van het controleproces, inclusief het informeren van de betrokkene, een juridisch bindend besluit moet zijn.

Gebaseerd op deze conclusie, verwijst het Hof wederom naar artikel 53 van Richtlijn 2016/680. Deze bepaling bevat het recht om bezwaar te maken tegen het juridisch bindende besluit van een toezichthouder.

Het moet op grond daarvan dus mogelijk zijn voor een persoon om bezwaar te maken op het besluit van de toezichthouder wanneer die de rechten van de betrokkene jegens de dataverwerker uitoefent.

Tweede prejudiciële vraag

De tweede prejudiciële vraag betreft de kwestie of het informeren van een betrokkene dat de noodzakelijke controles en eventuele rectificaties van persoonsgegevens door een toezichthouder, zoals bepaald in artikel 17, lid 3, toereikend zijn om de rechten die vastgelegd zijn in artikel 8, lid 3, en artikel 47 van het Handvest te realiseren. Dit zijn respectievelijk het recht dat een onafhankelijke autoriteit er op toeziet dat de regels rondom het beschermen van persoonsgegevens nageleefd worden en het recht om in beroep te gaan bij een rechter om een betrokkene de kans te geven zijn rechten zo goed mogelijk te verzekeren.

Artikel 17, lid 3, van de Richtlijn verplicht de toezichthouder om de betrokkene op de hoogte te stellen dat de noodzakelijke controles en rectificaties hebben plaatsgevonden. De toezichthouder hoeft daarbij aan de betrokkene in principe geen inhoudelijke informatie te geven. Immers, Richtlijn 2016/680 draait om gevoelige gegevens in de context van juridische opsporing en vervolging. Vanwege de gevoelige aard van deze informatie, die ook impact kan hebben op de openbare veiligheid of de rechten en vrijheden van derden, is de kennisgevingplicht van de toezichthouder beperkt.

Dit roept echter de vraag op of, met de beperkt verkregen informatie, een betrokkene in staat is zijn rechten zo goed mogelijk te beschermen, conform artikel 47 van het Handvest. Immers, zonder volledige kennis van zaken is het moeilijk te beslissen of de betrokkene er baat bij heeft om zich tot de bevoegde rechter te wenden. Daarnaast is het ook de vraag of de rechter met de beperkte informatie instaat is om de het juridisch bindend besluit van de toezichthouder te toetsen.

Als antwoord hierop, wijst het Hof naar artikel 52, lid 1, van het Handvest. Hierin staat dat beperkingen aan artikel 47 gesteld kunnen worden, indien zij noodzakelijk zijn om door de Europese Unie erkende doelstellingen van algemeen belang te realiseren of om de rechten en vrijheden van derden te beschermen.

Het Hof legt daarbij uit dat de in artikel 17, lid 3, van Richtlijn 2016/680 bepaalde plicht van kennisgeving door de toezichthouder voorbij de minimale verstrekking van informatie kan gaan. Daarbij dienen lidstaten dan ook voor te schrijven dat toezichthouders deze informatie verstrekken, indien het niet in strijd is met doelstellingen van algemeen belang of de rechten en vrijheden van derden.

In het geval dat de doelstellingen van algemeen belang of de rechten en vrijheden van derden wel in het geding komen, bevestigt het Hof dat de toezichthouder de verstrekte informatie moet beperken. Wel blijft het daarbij mogelijk voor de betrokkene om zich tot de rechter te wenden.

Om de toetsing van  het controleproces van toezichthouders door een rechtelijke instantie mogelijk te maken, dienen de lidstaten wettelijke regelingen tot stand te brengen waarbij een bevoegde rechter wordt aangewezen die er op toe kan zien dat het recht op inzage van de betrokkene wordt nageleefd. Daarbij  kan  de rechter controleren of de toezichthouder zijn taak betrekking tot het controleren en mogelijk corrigeren en verwijderen persoonsgegevens van de betrokkene correct heeft uitgevoerd. Daarnaast kan de rechter onderzoeken  of de toezichthouder inderdaad het recht had om de informatie die het daarbij aan te betrokkene geeft te beperken.

Het Hof leidt hieraan af dat de mogelijkheden voor controle op de toezichthouder en evenredigheid waarmee informatieverstrekking beperkt wordt, toereikend zijn om te concluderen dat artikel 17 van Richtlijn 2016/680 niet in strijd is me artikelen 8, lid 3, en artikel 47 van het Handvest.

Decentrale relevantie

Ook decentrale overheden beschikken over informatie die valt of kan vallen onder de werkingssfeer van Richtlijn 2016/680. Denk aan informatie die kan worden gebruikt voor beoordeling in het licht van de Wet BIBOB. Bij besluitvorming over verzoeken om inzage, correctie of verwijdering van informatie moeten decentrale overheden juridisch bindende besluiten nemen naar aanleiding van verzoeken van betrokkenen. Betrokkenen hebben immers een recht om bezwaar en beroep in te stellen tegen  besluiten die worden genomen naar aanleiding van dergelijke verzoeken.

Meer Informatie

Het persbericht van het Hof.

Het Hof van Justitie van de EU heeft zich in juni 2018 uitgesproken over de verantwoordelijkheid van beheerders van een Facebookpagina ten aanzien van persoonsgegevensbeheer. Uit het arrest blijkt dat zowel de beheerder van de Facebookpagina als Facebook zelf ervoor moet zorgen dat de persoonsgegevens die via de pagina worden verzameld volgens de Europese privacyregels worden verwerkt. Een decentrale overheid kan haar social media-activiteiten voortzetten, mits daarbij de regels van de AVG in acht worden genomen.

De Algemene verordening gegevensbescherming

Sinds 25 mei 2018 moeten decentrale overheidsorganisaties voldoen aan de regels van de Algemene verordening gegevensbescherming (AVG) wanneer zij persoonsgegevens verwerken. Dit houdt onder meer in dat zij voor elke verwerking een grondslag moeten hebben. Het verrichten van de verwerking kan bijvoorbeeld noodzakelijk zijn om een wettelijke plicht uit te voeren, of er is toestemming gegeven door de betrokkene. Ook moeten betrokkenen worden geïnformeerd over het feit dat hun persoonsgegevens worden verwerkt. Over de verschillende verplichtingen kunt u op onze website meer lezen.

 De meeste verplichtingen van de AVG liggen bij de verwerkingsverantwoordelijke. Dit is volgens artikel 4 lid 7 van de Verordening degene die het doel en de middelen van de verwerking bepaalt. Wanneer een decentrale overheid verwerkingsverantwoordelijke is, moet deze ervoor zorgen dat de persoonsgegevens verwerkt worden volgens de vereisten van de AVG. Is dit niet het geval, dan riskeert de organisatie een fikse boete.

Zonder toegang tot persoonsgegevens toch verwerkingsverantwoordelijke?

Overheidsorganisaties komen op verschillende manieren met persoonsgegevens in aanraking. Vaak is duidelijk dat de overheidsorganisatie daarbij de verwerkingsverantwoordelijke is, bijvoorbeeld wanneer de organisatie persoonsgegevens verwerkt omdat dit noodzakelijk is voor het uitvoeren van een publieke taak. Denk bijvoorbeeld aan het verwerken van persoonsgegevens in het kader van het uitgeven van identiteitskaarten of het uitvoeren van jeugdzorg.

Ook wanneer een gemeente de persoonsgegevens verwerkt van Facebookgebruikers die op hun gemeentelijke pagina actief zijn, door bijvoorbeeld hun profielen te analyseren, is de decentrale overheid de verwerkingsverantwoordelijke en moet hij zich daarbij aan de regels van de AVG houden.

Een organisatie kan echter ook verwerkingsverantwoordelijke zijn wanneer hij zelf geen toegang heeft tot persoonsgegevens die worden verwerkt. Dit bleek uit de zaak C-210/16 ULD vs Wirtschaftsakademie van juni 2018. Het Europese Hof van Justitie boog zich hier over de vraag of de beheerder van een Facebookpagina een ‘verwerkingsverantwoordelijke’ in de zin van de AVG is. Voor decentrale overheden die een Facebookpagina beheren, heeft de uitspraak enkele gevolgen.

Om welke persoonsgegevens gaat het?

Facebook biedt de beheerders van Facebookpagina’s de mogelijkheid om gebruikersstatistieken te bekijken. Deze gegevens worden voor zulke pagina’s standaard verzameld door Facebook, middels cookies die op de computers van bezoekers worden geplaatst. Er wordt in dit geval geen onderscheid gemaakt tussen bezoekers van de pagina’s met of zonder een eigen Facebook-account. Facebook vormt de persoonsgegevens die het op de pagina verzamelt om naar anonieme statistieken. De beheerder van de Facebookpagina kan zelf door middel van filters aangeven welke statistieken hij zou willen zien, maar krijgt zelf geen toegang tot de persoonsgegevens.

Wie is de verwerkingsverantwoordelijke?

Voor het Hof stond vast dat het bedrijf Facebook een verwerkingsverantwoordelijke is. Deze verzamelt immers de persoonsgegevens om de statistieken aan de beheerders aan te bieden en doet dit niet in opdracht van de beheerder van de pagina. Facebook bepaalt het doel en de middelen van de verwerking. De gemeente die de Facebookpagina beheert, verwerkt de persoonsgegevens niet zelf en heeft ook geen inzage in de persoonsgegevens. Het Hof ziet echter verschillende manieren waarop een beheerder van de Facebookpagina wel bijdraagt aan de vaststelling van het doel en de middelen van verwerking door Facebook.

• De beheerder van de Facebookpagina geeft door het aanmaken van de pagina Facebook de mogelijkheid om persoonsgegevens te verzamelen.
• Daarnaast stelt de beheerder parameters op bij het aanmaken van de pagina, die invloed hebben op welke persoonsgegevens Facebook wel of niet verzamelt.

Hieruit blijkt dat, ondanks dat een beheerder van een Facebookpagina zelf geen toegang heeft tot de persoonsgegevens die worden verzameld, een decentrale overheid toch samen met het bedrijf Facebook de verwerkingsverantwoordelijke over deze persoonsgegevens kan zijn. Er is namelijk wel sprake van een zekere mate van invloed op het vaststellen van het doel en de middelen waarop deze persoonsgegevens door Facebook worden verkregen en verwerkt.

Wat betekent dit voor decentrale overheden?

Deze uitspraak maakt duidelijk dat een gemeente die een Facebookpagina beheert samen met Facebook verwerkingsverantwoordelijk is voor de verwerking van persoonsgegevens ten behoeve van de Facebookpagina. Dit heeft twee voorname gevolgen voor decentrale overheden die gebruikmaken van een Facebookpagina.

Transparantie

Ten eerste zijn overheidsorganisaties als verwerkingsverantwoordelijke in principe verplicht zorg te dragen dat de persoonsgegevens die via hun Facebookpagina worden verzameld, verwerkt worden volgens de regels van de AVG. Het Hof maakt hierbij wel een belangrijke kanttekening. Het erkent dat beide partijen in verschillende stadia en verschillende mate bij de verwerking betrokken zijn. Gezamenlijke verantwoordelijkheid betekent niet ook gelijke verantwoordelijkheid. Het niveau van verantwoordelijkheid voor een specifieke verwerking moet daarom worden beoordeeld in het licht van alle relevante omstandigheden van het specifieke geval.

In de zaak ULD vs Wirtschaftsakademie oordeelde het Hof dat de beheerder van de Facebookpagina niet transparant was richting de bezoekers van de pagina over zijn rol bij het bepalen van het doel en de middelen van de verwerking. In de praktijk betekent dit dat – naast Facebook zelf – ook een gemeente die een Facebookpagina beheert de bezoekers van de pagina moet informeren over de verwerking.

Facebook zelf heeft in een reactie op de uitspraak aangegeven de nodige maatregelen te nemen om ervoor te zorgen dat zowel Facebook zelf als de beheerders van Facebookpagina’s aan de regels van de AVG voldoen. Facebook werkt hiervoor onder andere zijn voorwaarden bij. Tot die tijd zou een decentrale overheid kunnen overwegen ook op haar Facebookpagina te verwijzen naar het gemeentelijke privacy statement op de eigen website.

Onderlinge regeling

Ten tweede heeft de uitspraak gevolgen voor de relatie tussen de decentrale overheid als beheerder van een Facebookpagina en Facebook zelf. Volgens de AVG dienen gezamenlijke verwerkingsverantwoordelijken hun verplichtingen vast te leggen in een onderlinge regeling (artikel 26). Net als vaak het geval is bij het afsluiten van verwerkersovereenkomsten met grote bedrijven als Facebook, zijn overheidsorganisaties in de praktijk grotendeels afhankelijk van het initiatief van Facebook om dit document aan te bieden. Het is nog onduidelijk hoe Facebook het vastleggen van de onderlinge verplichtingen verder gaat vormgeven.

Bron

C-210/16 ULD vs Wirtschaftsakademie, Europees Hof van Justitie

Meer informatie

Algemene verordening gegevensbescherming, Kenniscentrum Europa decentraal
Persoonsgegevens op internet, Autoriteit Persoonsgegevens
Kunnen decentrale overheden beboet worden voor een onvolledige privacyverklaring op de website? Kenniscentrum Europa decentraal
Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, Artikel 29-Werkgroep
AVG Deel III: Verwerker, Verwerkingsverantwoordelijke en verwerkersovereenkomst, Kenniscentrum Europa decentraal

Ja, het is mogelijk dat een gemeente verplicht een zogenoemde ‘gegevensbeschermingseffectbeoordeling’ moet uitvoeren. Deze moet uitgevoerd worden wanneer de verwerking van persoonsgegevens gepaard gaat met hoge risico’s in verband met de rechten en vrijheden van natuurlijke personen. In de praktijk wordt dit ook wel een Data Protection Impact Assessment (DPIA) genoemd.

(Decentrale) overheden moeten zich vanaf 25 mei 2018 volledig aan de Algemene verordening gegevensbescherming (AVG) houden. De AVG verplicht de verwerkingsverantwoordelijke en/of verwerker van persoonsgegevens om in bepaalde situaties een DPIA uit te voeren. Een DPIA moet worden uitgevoerd om de oorsprong, de aard, het specifieke karakter en de ernst van het risico te evalueren. Zo kunnen passende maatregelen genomen worden om de Algemene verordening gegevensbescherming (AVG) na te leven.

Gegevensbeschermingseffectbeoordeling

Lid 1 van artikel 35 AVG stelt wanneer in het algemeen een DPIA moet worden uitgevoerd. Bij de verwerking van persoonsgegevens, en in het bijzonder een waarbij nieuwe technologieën gebruikt worden, en die gelet op de aard, omvang context en doeleinden waarschijnlijk een (hoog) risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet een DPIA uitgevoerd worden. U moet dan voorafgaand aan de verwerking een inschatting doen van de gevolgen met betrekking tot privacy. Wat is de impact van de verwerking, wat zijn de risico’s en is er een aanpak die minder gevolgen heeft voor de privacy van de betrokkenen?

Uit lid 1 blijkt dat een nieuwe technologie voor het verwerken van persoonsgegevens een risico zou kunnen inhouden voor de rechten en vrijheden van natuurlijke personen. Echter, de AVG noemt maar drie voorbeelden van verwerkingen waarbij het uitvoeren van een DPIA verplicht is:

• Wanneer er een grootschalige verwerking van bijzondere categorieën van persoonsgegevens plaats gaat vinden, zoals bedoeld in artikel 9 lid 1 of artikel 10 AVG. Art. 9 lid 1 gaat over de verwerking van bijzondere categorieën van persoonsgegevens en artikel 10 gaat over de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. Op deze pagina kunt u meer informatie over bijzondere categorieën van persoonsgegevens vinden.
• Wanneer er stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten plaatsvindt;
• Wanneer er een verwerking plaats gaat vinden waar een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen plaatsvindt. Deze beoordeling moet dan gebaseerd zijn op geautomatiseerde verwerking, waaronder profilering en waarop besluiten worden gebaseerd waaraan voor natuurlijke personen rechtsgevolgen zijn verbonden of die deze natuurlijke personen op een vergelijkbare wijze treffen (artikel 4 lid 4 AVG geeft de definitie van profilering).

Wat onder ‘grootschalig’ wordt verstaan blijkt niet duidelijk uit de AVG. De Autoriteit Persoonsgegevens (AP) heeft aangegeven dat hierbij gekeken kan worden naar de volgende criteria: het aantal betrokkenen; de hoeveelheid gegevens; de duur van de verwerking; de geografische reikwijdte van de verwerking. Als voorbeeld van een grootschalige verwerking noemen zij onder andere een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.

Het uitvoeren van een DPIA is momenteel al verplicht bij de ontwikkeling van nieuwe ICT-systemen of de aanleg van grote databestanden door de Rijksoverheid.

Lijst verplichte DPIA Autoriteit Persoonsgegevens

De toezichthoudende autoriteit, in Nederland de Autoriteit Persoonsgegevens, heeft het recht om een lijst op te stellen van het soort verwerkingen waarvoor een DPIA verplicht is. Daarnaast kan de AP ook een lijst opstellen van het soort verwerkingen waarvoor geen DPIA vereist is.

Negen toetsingscriteria

Alle Europese toezichthouders, verenigd in de Artikel 29-Werkgroep, hebben richtsnoeren opgesteld over het bepalen van een hoog risico van een verwerking. Hierin noemen zij negen criteria om te toetsen of er een DPIA moet worden uitgevoerd.

• Beoordelen van mensen op basis van persoonskenmerken
• Geautomatiseerde beslissingen
• Stelselmatige en grootschalige monitoring
• Gevoelige gegevens
• Grootschalige gegevensverwerkingen
• Gekoppelde databases
• Gegevens over kwetsbare personen
• Gebruik van nieuwe technologieën
• Blokkering van een recht, dienst of contract

Wanneer een verwerking aan twee van deze criteria voldoet, moet er waarschijnlijk een DPIA worden uitgevoerd. Ook als de verwerking slechts aan een criteria voldoet kan het risico voor de rechten en vrijheden van de betrokkenen zo hoog zijn, dat er een DPIA uit moet worden gevoerd. Dit kan per verwerking verschillen. Het is altijd aan te raden goed te onderbouwen waarom u er voor kiest geen DPIA uit te voeren, zelfs als uw verwerking slechts aan een van deze criteria voldoet.

Eenzelfde PIA voor vergelijkbare projecten 

Wanneer projecten voor het verwerken van persoonsgegevens op elkaar lijken, is het niet nodig om voor elk project een nieuwe DPIA uit te voeren. Eenzelfde DPIA mag gebruikt worden voor verwerkingen die vergelijkbare hoge risico’s tot het schenden van de rechten en vrijheden van de verwerker met zich mee brengen.

Wanneer bijvoorbeeld meerdere overheidsinstanties een applicatie- of verwerkingsplatform willen opzetten, of wanneer meerdere overheidsinstanties van plan zijn om een gemeenschappelijke verwerkingsomgeving in te voeren voor bijvoorbeeld één afdeling, dan kan er ook één DPIA uitgevoerd worden.

Verandering bestaande verwerking

Ook voor bestaande verwerkingen kan een DPIA moeten worden uitgevoerd. Dit is het geval wanneer er iets verandert aan het risico van de gegevensverwerking, en de gegevensverwerking vervolgens een hoog risico oplevert voor de rechten en vrijheden van de betrokkenen. Door technologische ontwikkelingen kan bijvoorbeeld een onderdeel van het verwerkingsproces wijzigen.

De Autoriteit Persoonsgegevens raadt hierdoor aan om periodiek een DPIA uit te voeren, bijvoorbeeld elke drie jaar.

Wat moet er in een PIA staan?

Er moet bij elk geval van verwerking apart gekeken worden of en hoe een DPIA moet worden uitgevoerd. De AVG stelt in artikel 35 lid 7 AVG dat een PIA ten minste onderstaande informatie moet bevatten:

• Een systematische beschrijving van de beoogde verwerkingen en de doeleinden;
• Beoordeling van de noodzaak en de evenredigheid;
• Beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
• Beoogde maatregelen om deze risico’s aan te pakken.

Functionaris Gegevensbescherming

Artikel 37 AVG stelt dat overheidsinstanties en overheidsorganen verplicht een Functionaris voor Gegevensbescherming (FG) moeten aanwijzen. U kunt daar hier meer over lezen. Bij het uitvoeren van een DPIA moet de verwerkingsverantwoordelijke ook advies inwinnen van de FG (artikel 35 lid 2).

Wat te doen bij een hoog risico

De AP moet voorafgaand aan de verwerking geraadpleegd worden, wanneer uit de DPIA blijkt dat de verwerking een hoog risico oplevert wanneer geen maatregelen genomen worden om dit risico in te perken. De verwerkingsverantwoordelijke moet dan onder andere de DPIA toesturen evenals de maatregelen die worden geboden ter bescherming van de rechten en vrijheden van de betrokkene (artikel 36 AVG).

Wanneer de verplichting tot het niet uitvoeren van een DPIA niet wordt nageleefd, kan een boete gegeven worden van maximaal €10.000.000,- of 2% van de wereldwijde omzet (art. 83 lid 4 sub a AVG).

Meer informatie

Privacy: de Algemene verordening gegevensbescherming, Kenniscentrum Europa decentraal
Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een
verwerking “waarschijnlijk een hoog risico inhoudt” in de zin van Verordening 2016/679, Artikel 29-Werkgroep
Data Protection Impact Assessment (DPIA), Autoriteit Persoonsgegevens
Procedures van Autoriteit Persoonsgegevens aangepast, Kenniscentrum Europa decentraal
Functionaris voor Gegevensbescherming, Kenniscentrum Europa decentraal

Nee, dat klopt niet. Het Europees recht biedt wel ruimte om kosten hiervoor in rekening te brengen. Wat niet is toegestaan is dat de kosten voor de verstrekking van persoonsgegevens uit de GBA bovenmatig zijn. Dit heeft het Europees Hof onlangs in een uitspraak aangegeven. Dit houdt in dat de kosten niet hoger mogen zijn dan de kostprijs van de verstrekking van die gegevens. Hieronder gaan we nader in op de Nederlandse zaak waarin het Europese Hof uiteindelijk tot deze uitspraak is gekomen.

Hoofdgeding gerechtshof ’s-Hertogenbosch

Aan de uitspraak van het Europees Hof ging een geding bij het gerechtshof ’s-Hertogenbosch vooraf. Dit ging als volgt:

Beschikking

In het kader van een procedure tegen een beschikking waarbij een geldboete was opgelegd wegens overtreding van de verkeersvoorschriften, heeft persoon X geprobeerd aan te tonen dat de incassoberichten betreffende die geldboete niet bij haar zijn aangekomen omdat zij niet naar het juiste adres waren gezonden.

Verstrekking persoonsgegevens

Met dat doel heeft X de gemeente van haar woonplaats verzocht om verstrekking van haar persoonsgegevens, met name haar achtereenvolgende adressen. Hierop heeft de gemeente op grond van artikel 79 lid 3 van de Wet GBA een gewaarmerkt afschrift van de betrokken persoonsgegevens verstrekt en als tegenprestatie betaling van 12,80 euro aan leges gevraagd.

Richtlijn 95/46/EG

De verwijzende rechter heeft bij de vraag of het toegestaan is om legeskosten te vragen voor het verstrekken van persoonsgegevens gekeken naar artikel 12a van de Europese richtlijn 95/46/EG. Deze richtlijn gaat over de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Artikel 12 a waarborgt het recht van de betrokkene dat vrijelijk en zonder beperking, met redelijke tussenpozen en zonder bovenmatige vertraging of kosten, een verstrekking mogelijk is, in begrijpelijke vorm, van de persoonsgegevens die zijn verwerkt, alsmede van de beschikbare informatie over de oorsprong van die gegevens.

Lezing van de richtlijn

De verwijzende rechter meent dat deze zin op twee manieren kan worden gelezen:

-verstrekking van persoonsgegevens dient plaats te vinden zonder bovenmatige (vertraging of) kosten, of
-verstrekking van persoonsgegevens dient plaats te vinden zonder (bovenmatige vertraging of) kosten.

Niet bovenmatig

In het eerste geval zou de heffing van leges toegestaan zijn mits het bedrag ervan niet bovenmatig is. In het tweede geval zouden helemaal geen leges mogen worden geheven.

Het Gerechtshof te ’s-Hertogenbosch vraagt het Europese Hof, kort gezegd, of voor de verstrekking van persoonsgegevens door een overheidsinstantie kosten in rekening mogen worden gebracht. En zo ja, hoe bepaald kan worden wanneer de kosten bovenmatig zijn.

Beantwoording van de prejudiciële vragen

Voor de beantwoording van de vraag beroept het Europese Hof zich op andere taalversies van (artikel 12a van) richtlijn 95/46/EG. Deze andere taalversies bevatten geen aanwijzingen op basis waarvan kan worden vastgesteld dat de lidstaten verplicht zouden zijn de in die bepaling bedoelde gegevens gratis te verstrekken. Het staat dus vrij aan de lidstaten om te bepalen of de verstrekking van de in artikel 12a bedoelde gegevens tot betaling van kosten moet leiden en om in voorkomend geval het bedrag daarvan zodanig vast te stellen dat dit niet bovenmatig is.

Recht van toegang

Het Europese Hof stelt vervolgens vast dat gelet op het belang van de persoonlijke levenssfeer de kosten van het verstrekken van persoonsgegevens niet mogen worden vastgesteld op een niveau dat een obstakel kan vormen voor de uitoefening van het door artikel 12a van richtlijn 95/46/EG gewaarborgde recht van toegang. Wanneer een nationale overheidsinstantie kosten in rekening brengt als tegenprestatie voor het verstrekken van gegevens mag het bedrag van die kosten niet uitgaan boven de kostprijs van de verstrekking van die gegevens. Het is vervolgens aan de nationale rechter om na te gaan of de in casu gehanteerde 12,80 euro een bovenmatige prijs is.

Meer informatie

Informatiemaatschappij, Kenniscentrum Europa decentraal
Vrij verkeer, Kenniscentrum Europa decentraal
Arrest van het Hof van 12 december 2013, zaak C—486/12
Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens
Nieuwsbericht ECER, opvragen persoonsgegevens niet gratis, 12 december 2013
Nieuwsbericht VNG, Europees Hof: leges voor GBA-verstrekking mag, 13 december 2013
Nieuwsbericht Europa decentraal, Kosten voor GBA mogelijk in strijd met Europees recht, oktober 2012

Publicatieplicht

Het verlenen van staatssteun is in beginsel op grond van artikel 107 VWEU verboden en moet door de steunverlener worden aangemeld bij de Europese Commissie ter goedkeuring. Er bestaan echter verschillende mogelijkheden om staatssteun zogezegd ‘staatssteunproof’ te verlenen. Zo heeft de Commissie een aantal vrijstellingsverordeningen ontworpen, zoals de Algemene Groepsvrijstellingsverordening (AGVV) of de Landbouwvrijstellingsverordening (LVV). Op basis van deze verordeningen kunnen decentrale overheden steun verlenen voor bepaalde beleidsdoelen, zonder dat een formele aanmeldingsprocedure nodig is. Dan volstaat een lichtere procedure: het doen van een zogenaamde kennisgeving van de steun door de steun verlenende overheid bij de Commissie.

Een decentrale overheid die staatssteun verleent op grond van de AGVV of de LVV dient daarbij aan een aantal voorwaarden te voldoen. Eén daarvan is dat bepaalde informatie over de steunmaatregel openbaar moet worden gepubliceerd (artikelen 9 AGVV en LVV). Het gaat dan bijvoorbeeld om de volledige tekst van de steunmaatregel en de datum van de toekenning van de steun, maar ook om de naam van de begunstigde van de steun.

Algemene verordening gegevensbescherming

Sinds 25 mei 2018 moeten organisaties die persoonsgegevens verwerken voldoen aan de regels van de Algemene verordening gegevensbescherming (AVG). Een ‘persoonsgegeven’ betreft alle informatie over een direct of indirect identificeerbaar natuurlijk persoon. Het begrip ‘verwerken’ is heel breed: naast het opslaan of doorsturen van persoonsgegevens valt hier ook alleen al het inzien van persoonsgegevens onder. Wanneer decentrale overheden op grond van de staatssteunregels een beschikking publiceren waar persoonsgegevens in staan, moeten zij zich dus houden aan de regels van de AVG.

Wat zijn persoonsgegevens?

Niet alle gegevens zijn te kwalificeren als persoonsgegevens (artikel 4 lid 1 AVG). Alleen gegevens waarmee iemand direct te identificeren valt, of indirect, door bijvoorbeeld verschillende gegevens aan elkaar te koppelen, zijn persoonsgegevens in de zin van de AVG. Voorbeelden van persoonsgegevens zijn: iemands naam, (email)adres, burgerservicenummer of een vingerafdruk. Gegevens die niet gekoppeld kunnen worden aan een natuurlijk persoon zijn geen persoonsgegevens. Dat is bijvoorbeeld het geval bij gegevens over een bedrijf, zoals het bedrijfsadres, algemene bedrijfstelefoonnummer of -mailadres.

Het kan echter het geval zijn dat een bedrijf zo verbonden is met een natuurlijk persoon, dat de bedrijfsgegevens toch als persoonsgegevens kunnen worden gezien, bijvoorbeeld bij een ZZP’er of eenmanszaak. Dit kan per geval verschillen: een adres of bedrijfsnaam die alleen of in combinatie met andere gegevens dermate uniek is dat een natuurlijk persoon geïdentificeerd kan worden. Het zou dus kunnen dat het bedrijf van de agrariër zo vereenzelvigd is met zijn natuurlijk persoon dat de gegevens zoals bedrijfsnaam en adres persoonsgegevens in de zin van de AVG zijn.

Nadat een decentrale overheid heeft vastgesteld of het gaat om persoonsgegevens, kan worden gekeken of er een grondslag bestaat om de persoonsgegevens rechtmatig te verwerken en dus te publiceren.

Wanneer mogen persoonsgegevens gepubliceerd worden?

De publicatie van persoonsgegevens valt onder ‘verwerken’ in de zin van de AVG. Dat is namelijk alles wat met persoonsgegevens gedaan wordt, blijkt uit de definitie van artikel 4 lid 2 AVG. Wanneer persoonsgegevens verwerkt worden, moet dit voldoen aan de regels van de AVG. Dit houdt bijvoorbeeld in dat er een grondslag moet zijn voor de verwerking, en dat de verwerking niet verder mag gaan dan noodzakelijk om de doelen van de verwerking te bereiken.

In artikel 6 lid 1 AVG staan zes grondslagen waarop persoonsgegevens verwerkt mogen worden. Een van deze grondslagen is een wettelijke plicht: wanneer het verwerken van persoonsgegevens noodzakelijk is om een wettelijke plicht die op de overheidsorganisatie ligt uit te voeren, is het verwerken toegestaan (sub c). Het publiceren van een beschikking wegens het verlenen van staatssteun volgt uit de publicatieplicht van de AGVV en de LVV, dus op grond van een wettelijke plicht. Artikel 9 AGVV en LVV is dan de grondslag waarop een decentrale overheid bepaalde persoonsgegevens op de beschikking mag publiceren.

Echter, na het kijken of er een grondslag is voor de verwerking moet de decentrale overheid ook nog een noodzakelijkheidstoets doen. Het verwerken van persoonsgegevens moet namelijk ook beperkt blijven tot dat wat noodzakelijk is om aan de wettelijke plicht te voldoen. Op een staatssteunbeschikking kunnen ook persoonsgegevens staan die niet noodzakelijk zijn om te voldoen aan de publicatieplicht.

Publiceren beschikkingen – wat is noodzakelijk?

In een staatssteunbeschikking van een steunverlener kunnen verschillende persoonsgegevens vermeld staan. Denk bijvoorbeeld aan de naam van een begunstigde als deze te herleiden is tot een natuurlijk persoon, of de naam van de behandelend ambtenaar van de beschikking. Zoals eerder aangegeven volgt de publicatieplicht op de decentrale overheid uit artikel 9 van de LVV of AGVV. Welke gegevens gepubliceerd moeten worden om te voldoen aan de publicatieplicht staat verder uitgelegd in de bijlage III AGVV en bijlage II LVV. Alleen als persoonsgegevens in deze bijlagen staan, kan gezegd worden dat publicatie hiervan noodzakelijk is om te voldoen aan de wettelijke plicht.

De gegevens uit bijlage III van de AGVV en bijlage II van de LVV die gepubliceerd moeten worden op de openbare website, zijn de volgende:

• Naam van de begunstigde
• De soort onderneming
• Regio waar de begunstigde is gevestigd
• Steunelement
• Steuninstrument
• Datum van de toekenning van de steun
• Doel van de steun
• Steunverlenende autoriteit

Tevens geldt voor beschikkingen verleend onder de AGVV dat ook de economische sector waarin de begunstigde actief is (op NACE-groepsniveau), de naam van de met het beheer belaste entiteit en de namen van de geselecteerde financiële intermediairs (voor regelingen op grond van artikel 16 en artikel 21 AGVV) en de referentie van de steunmaatregel gepubliceerd mogen worden.

Voor beschikkingen verleend onder de LVV geldt tevens dat de referentie van het identificatienummer van de steun vermeld mag worden op de publieke website, evenals de activiteitensector op NACE-groepsniveau.

Publiceren in overeenstemming met de AVG

Indien de hiervoor genoemde verplichte gegevens direct of indirect herleidbaar zijn tot een natuurlijk persoon, zal de decentrale overheid verplicht zijn om persoonsgegevens op de beschikking te publiceren. Dit zou bijvoorbeeld het geval kunnen zijn wanneer de begunstigde een eenmanszaak is en zijn bedrijf onder zijn eigen naam opereert. Wanneer de naam van de begunstigde van de steun dus een persoonsgegeven in de zin van de AVG betreft, biedt bijlage II/III die behoort bij artikel 9 een grondslag voor verwerking (en dus publicatie) door de steunverlenende overheid. Dit artikel legt namelijk de wettelijke plicht op om de naam van de begunstigde van de steun te publiceren.

Persoonsgegevens op de beschikking die niet terug te leiden zijn tot artikel 9 AGVV of LVV en waar voor de publicatie hiervan ook geen andere grondslag uit artikel 6 AVG voor kan worden gevonden, kunnen daarom op de beschikking worden weggelakt alvorens deze gepubliceerd wordt op de openbare website. Dit kan bijvoorbeeld het geval zijn wanneer de naam van de behandelend ambtenaar of de contactpersoon van een bedrijf op de beschikking staat. In Bijlage II en III van zowel de LVV als de AGVV wordt niet vereist dat deze persoonsgegevens gepubliceerd worden.

Voorbeelden van beschikkingen die zowel aan de staatssteunregels als aan de AVG voldoen zijn bijvoorbeeld onderstaande beschikkingen.

• Provincie Gelderland Project: Boert Bewust – deelproject Gelderland 2018-2020
• Provincie Gelderland Stichting Erfgoed Gelderland
• Provincie Gelderland Stichting Cultuurmij Oost

Werkt u voor een (de)centrale overheid en heeft u naar aanleiding van deze praktijkvraag vragen over de toepassing van staatssteunregels of de AVG in de decentrale praktijk? Neem dan contact op met onze helpdesk.

Meer informatie:

Staatssteun, Kenniscentrum Europa Decentraal
Algemene Groepsvrijstellingsverordening, Kenniscentrum Europa Decentraal
Landbouwvrijstellingsverordening, Kenniscentrum Europa Decentraal
AGVV/LVV Algemene Voorwaarden, Kenniscentrum Europa Decentraal
De nieuwe privacywet: de Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal
AVG Deel I: Persoonsgegevens en verwerken, Kenniscentrum Europa Decentraal
AVG Deel II: Wanneer mogen persoonsgegevens verwerkt worden? Verwerkingsbeginselen en grondslagen voor verwerking, Kenniscentrum Europa Decentraal
Privacy: Kan het publiceren van een bedrijfsnaam in strijd zijn met de AVG?, Praktijkvraag Kenniscentrum Europa Decentraal

De Algemene verordening gegevensbescherming (AVG) bevat regels over een zogenaamde ‘inbreuk in verband met persoonsgegevens’, ook wel een datalek genoemd. Bij een hack met gijzelsoftware kan inderdaad sprake zijn van een datalek en moeten decentrale overheden handelen volgens de AVG. Het datalek moet in bepaalde gevallen gemeld worden aan de toezichthouder, de Autoriteit Persoonsgegevens (AP). Ook kan het verplicht zijn de betrokken personen op de hoogte te stellen van een datalek. Daarnaast moet een datalek altijd geregistreerd worden in het interne datalekkenregister van de organisatie.

Datalek bij een hack

De AVG bevat regels over een zogenaamde ‘inbreuk in verband met persoonsgegevens’. We noemen zo’n inbreuk meestal een datalek. In grote lijnen zijn er drie categorieën datalekken te onderscheiden:

• Inbreuk op de vertrouwelijkheid: onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
• Inbreuk op de integriteit: onbevoegde of onopzettelijke wijziging van persoonsgegevens.
• Inbreuk op de beschikbaarheid: onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

Een datalek kan meer omvatten dan alleen het verliezen van persoonsgegevens bij een cyberaanval of het per ongeluk openbaar maken van de administratie op internet. Het omvat ook gevallen waarbij bijvoorbeeld een gemeentelijk netwerk wordt gehackt en gijzelsoftware wordt geïnstalleerd. Hackers eisen dan losgeld voor het vrijgeven van het netwerk of toegang tot belangrijke bestanden. De gegevens zijn dan niet verloren, maar zijn wel tijdelijk onbereikbaar voor de gemeentelijke organisatie. Als er persoonsgegevens in het spel zijn kan ook dat een datalek vormen.

Boetes en aansprakelijkheid

Een datalek kan ernstige gevolgen hebben voor decentrale overheden, zoals imagoschade, politieke schade en financiële schade. De AP heeft de bevoegdheid om boetes op te leggen aan decentrale overheden, bijvoorbeeld omdat er geen adequate en passende informatiebeveiligingsmaatregelen zijn genomen (artikel 32 AVG) of omdat niet is voldaan aan de meldplicht uit de AVG (zie hieronder). Daarnaast kunnen de mensen die schade hebben ondervonden van dit datalek, bijvoorbeeld door identiteitsfraude, de organisatie daarvoor aansprakelijk stellen en schadevergoeding eisen. Als veel benadeelden een schadevergoeding toegekend krijgen kan de totale vergoeding flink oplopen.

Wat te doen bij een datalek?

De AP heeft een aantal stappen opgesteld die genomen moeten worden in geval van een datalek:

1. Zorg voor overzicht op de situatie.
2. Neem onmiddellijk maatregelen om de schade te beperken en schat de risico’s in.
3. Bepaal of u het datalek wel of niet moet melden aan de AP. Zo ja, doe dit onmiddellijk.
4. Bepaal of u het datalek wel of niet moet melden aan de betrokken personen. Zo ja, doe dit zo snel mogelijk.
5. Registreer het datalek in uw datalekregister.

Stappen 3 (meldplicht aan AP), 4 (meldplicht aan betrokkenen) en 5 (datalekkenregister) worden hieronder kort toegelicht.

Meldplicht aan Autoriteit Persoonsgegevens en aan betrokkenen

Artikel 33 AVG bevat een meldplicht aan de AP. Een datalek moet zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat er kennis van is genomen, aan de AP worden gemeld. Deze verplichting geldt tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.

Artikel 34 AVG bevat een meldplicht aan de betrokkenen: de personen over wie de gegevens gaan die zijn gelekt. De betrokkenen moeten alleen geïnformeerd worden als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Denk daarbij aan fysieke, materiële of immateriële schade, bijvoorbeeld discriminatie, (identiteits-)fraude, financiële schade of reputatieschade. De lat voor het melden aan betrokkenen ligt daarmee iets hoger dan voor een melding aan de AP.

Afweging meldplicht: hoe maak je een risico inschatting in de praktijk?

In beide gevallen moet in ieder geval een risico-inschatting worden gemaakt, waarbij de uitkomst (wel/niet melden) sterk afhankelijk is van de omstandigheden van het geval. Hieronder geven wij enkele voorbeelden van (potentiële) datalekken met daarbij de afweging om wel/niet te melden aan AP of betrokkenen.

Hack met ransomware

Hoewel dit van geval tot geval beoordeeld moet worden is de kans groot dat bij een hack met gijzelsoftware, de AP op de hoogte moet worden gesteld. Waarschijnlijk heeft de hack gevolgen voor personen, zeker wanneer geen back-ups beschikbaar zijn en de gegevens niet hersteld kunnen worden. Betrokkenen moeten worden geïnformeerd, afhankelijk van de aard van de betrokken persoonsgegevens (eerder bij gevoelige gegevens, zoals gezondheidsgegevens en financiële gegevens) en andere mogelijke gevolgen. Als er geen permanent verlies van beschikbaarheid of vertrouwelijkheid is geweest, omdat de organisatie wel back-ups heeft en de gegevens tijdig konden worden hersteld, kan de afweging anders uitvallen. Houd bij een hack met ransomware wel in het achterhoofd dat de hacker misschien een kopie van bestanden heeft gemaakt en dat op basis van die omstandigheid een melding aan de AP en/of betrokkenen in de rede ligt.

Verlies mobiele telefoon

Als een medewerker een werktelefoon verliest kan dit mogelijk een datalek zijn. Een mobiele telefoon geeft immers toegang tot verschillende databestanden, waarbij ook persoonsgegevens in het spel zijn. Denk niet alleen aan contacten en e-mail, maar ook aan andere werkgerelateerde applicaties. Van belang bij de afweging om wel/niet te melden, is hoe de telefoon is beveiligd. Wanneer bijvoorbeeld de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn gemaakt door encryptie, is het soms niet nodig om de AP en/of betrokkenen op de hoogte te stellen, omdat het risico dan meevalt. Als de mobiel op afstand ‘leeggetrokken’ kan worden, kan dit zelfs betekenen dat er eigenlijk geen sprake is van een datalek en dat er zodoende niet gemeld hoeft te worden aan de AP of betrokkenen.

Brief of e-mail naar foutief adres

Of het naar een foutief adres versturen van een brief of e-mail meldenswaardig is, hangt onder meer af van de inhoud van het bericht (de ‘soort’ gegevens) en de hoeveelheid berichten (één fout geadresseerde brief of berichten naar een mailinglijst met duizenden personen). Het kan verplicht zijn deze inbreuk te melden aan de AP als een groot aantal personen erdoor getroffen is, als er gevoelige gegevens zijn onthuld (bijvoorbeeld een lijst met mensen die financiële steun krijgen van de gemeente) of als andere factoren zorgen voor een hoog risico (bijvoorbeeld als de mail wachtwoorden bevat). Betrokkenen moeten worden geïnformeerd, afhankelijk van de omvang en het type persoonsgegevens en de ernst van de mogelijke gevolgen. Als de uitnodiging voor de nieuwjaarsreceptie per ongeluk naar het oude adres van betrokkene is gestuurd, is het niet nodig een melding te doen aan betrokkene (overigens ook niet aan de AP). Dit ligt anders als iemand anders dan de betrokkene een brief ontvangt met daarin gevoelige gegevens, bijvoorbeeld met medische details.

Op de website van de AP vindt u meer informatie in welke gevallen er wel of geen melding gedaan moet worden aan de toezichthouder en aan betrokkenen. Hier is ook een uitgebreide Voorbeeldlijst wel/niet melden datalek te vinden.

Register datalekken

Decentrale overheden moeten, net als andere organisaties die verwerkingsverantwoordelijke zijn in de zin van de AVG, een datalekkenregister bijhouden. Dit register bevat niet alleen de datalekken die aan de AP zijn gemeld, maar ook alle andere datalekken (hoe klein ook). Ook potentiële datalekken of andere beveiligingsincidenten worden voor de zekerheid vaak opgenomen in dit register.

De AP geeft hier tien praktische tips voor een betere registratie van datalekken.

Meer informatie

Digitale Overheid, Kenniscentrum Europa Decentraal
Meldplicht datalekken, Kenniscentrum Europa Decentraal
Meldplicht datalekken, Autoriteit Persoonsgegevens
Factsheet meldplicht datalekken, Informatiebeveiligingsdienst VNG

Nederlandse inbreng bij het Europese Hof

In het jaarbericht worden de werkzaamheden van de Nederlandse procesvertegenwoordiging en de inbreng van de Nederlandse regering in zaken voor het Europese Hof in 2020 uiteengezet. Zo zijn er 19 prejudiciële uitspraken geweest naar aanleiding van vragen van Nederlandse rechters. In tien rechtstreekse zaken heeft de Nederlandse regering geïntervenieerd om één van de hoofdpartijen te ondersteunen.

Belang van Europese rechtspraak

Uitspraken van de Europese hoven dragen bij aan de rechtsontwikkeling binnen de EU en leiden soms tot aanpassingen van Nederlandse wetgeving of de uitvoeringspraktijk. Door actief haar mening uit te brengen in zaken bij de Europese hoven kan de Nederlandse regering invloed uitoefenen op de Europese rechtsontwikkeling. Decentrale overheden moeten met Europese wet- en regelgeving op dezelfde manier omgaan als met nationale wet- en regelgeving. Zij zijn zelf verantwoordelijk voor de juiste naleving van het Europees recht.

Een aantal zaken van het Europese Hof in 2020 waarbij Nederland een inbreng heeft geleverd wordt hieronder kort toegelicht. De rechtsregels die volgen uit deze zaken zijn ook van toepassing op decentrale overheden en komen vaak terug in hun dagelijkse praktijk.

Dienstenrichtlijn

Arrest van het Hof (Grote Kamer) van 22 september 2020, gevoegde zaken C-724/18 en C-727/18, Cali Apartments e.a. (Frankrijk)

In september 2020 deed het Hof uitspraak over de vergunningsplicht voor verhuurders met betrekking tot kortstondige verhuur. Deze uitspraak vormt een bevestiging van het strenger wordende regime omtrent verhuur van woningen via constructies als Airbnb. Op basis van deze uitspraak kunnen overheden ervoor kiezen om een nationale regeling in te stellen die een vergunning vereist voor de herhaalde kortstondige verhuur van woonruimte aan incidentele klanten die daar niet hun woonplaats kiezen. Als voorwaarde hiervoor geldt wel dat er sprake moet zijn van krapte op de woningmarkt. Europa Decentraal schreef hier eerder al een nieuwsbericht en een EUrrest over.

Arrest van het Hof van 3 december 2020, zaak C-62/19, Star Taxi App (Roemenië)

Het Europese Hof van Justitie beantwoordde in deze zaak meerdere vragen van een Roemeense rechter over de verenigbaarheid van lokale regelingen met de Richtlijn inzake elektronische handel en de Dienstenrichtlijn. Zo geeft het Hof onder andere antwoord op de vraag of een dienst die eruit bestaat dat taxigebruikers door middel van een elektronische applicatie rechtstreeks in contact worden gebracht met taxichauffeurs, kan worden beschouwd als een “dienst van de informatiemaatschappij”. Tevens kijkt de Europese rechter naar de toepassing van de Dienstenrichtlijn in dit verband, namelijk of die Richtlijn zich verzet tegen het toepasselijke vergunningstelsel in deze casus.

In Nederland is de sector taxivervoer geregeld door de Wet personenvervoer (Wp2000). Gemeenten kunnen additionele kwaliteitseisen stellen aan taxivervoer. Volgens de huidige Wp2000 is het verboden om taxivervoer te verrichten zonder een daartoe door de minister verleende vergunning. Deze vergunningsplicht geldt echter uitdrukkelijk niet voor bemiddelingsdiensten voor taxivervoer. Dit arrest schept meer duidelijkheid over de toepassing van de Wp2000 voor diensten zoals Star Taxi App, de mogelijkheid voor decentrale overheden om deze diensten te reguleren en de verplichting hun regulering te melden bij de Europese Commissie. Kenniscentrum Europa Decentraal schreef al eerder een EUrrest over deze zaak.

Bescherming van persoonsgegevens

Arrest van het Hof van 16 juli 2020, zaak C-311/18, Facebook (Ierland)

De eiser in deze zaak, een Oostenrijkse staatsburger, dient een klacht in bij een Ierse toezichthoudende autoriteit omdat de persoonsgegevens van Facebook-gebruikers worden doorgegeven aan servers van Facebook in de Verenigde Staten. Deze gegevens zouden volgens de eiser vervolgens in de Verenigde Staten onvoldoende worden beschermd. In de Algemene Verordening Gegevensbescherming (Verordening 2016/679) is bepaald dat persoonsgegevens slechts aan een derde land kunnen worden doorgegeven indien het derde land een passend beschermingsniveau waarborgt. Het zogenoemde EU-VS-privacyschild wordt vervolgens in deze zaak ongeldig verklaard door het Hof, omdat de toegang tot doorgegeven persoonsgegevens onvoldoende is afgebakend en de betrokkenen geen adequate rechtsbescherming wordt geboden. Persoonsgegevens van Europese Facebook-gebruikers kunnen hierdoor niet meer zomaar doorgegeven worden.

Ook decentrale overheden kunnen daardoor niet langer aan organisaties in de Verenigde Staten persoonsgegevens doorgeven op basis van het EU-VS-privacyschild. Kenniscentrum Europa Decentraal schreef hier eerder een EUrrest over.

Milieu

Arrest van het Hof van 3 september 2020, zaak C-817/18P, Natuurmonumenten

In dit arrest verwerpt het Europese Hof de hogere voorziening van Natuurmonumenten tegen het arrest van het Gerecht in zaak T-79/16. Nederland heeft in deze zaak geïntervenieerd aan de zijde van Natuurmonumenten. Over de uitspraak van het Gerecht schreef Kenniscentrum Europa decentraal al eerder dit EUrrest.

In de uitspraak van 3 september 2020 sluit het Hof zich aan bij het oordeel van het Gerecht. De uitkomst van het arrest van het Hof was dat de Europese Commissie opnieuw moest gaan beoordelen of Nederlandse subsidie aan particuliere terreinbeherende natuurorganisaties op basis van de PNB-regeling ongeoorloofde staatssteun is. De PNB-regeling, die van kracht was tussen 1993 en 2012, was bedoeld voor het beschermen van biodiversiteit. Op basis van de regeling kregen 13 terreinbeherende organisaties (TBO’s) subsidie om natuurterreinen aan te kopen, of ze kregen de natuurterreinen kosteloos ter beschikking. Kenniscentrum Europa decentraal schreef dit nieuwsbericht naar aanleiding van het arrest van het Hof.

Bron

Jaarbericht 2020 Procesvertegenwoordiging Hof van Justitie van de EU, Ministerie van Buitenlandse Zaken

Meer informatie

• Dienstenrichtlijn, Kenniscentrum Europa Decentraal
• Milieu, Kenniscentrum Europa Decentraal
• Informatiemaatschappij, Kenniscentrum Europa Decentraal
• Hoe werken de staatssteunregels bij de financiering van natuurbeheerders?, praktijkvraag Kenniscentrum Europa Decentraal
• Is een decentrale overheid aansprakelijk voor de verwerking van persoonsgegevens op haar Facebookpagina?, praktijkvraag Kenniscentrum Europa Decentraal
• Het ter beschikking stellen van natuurterreinen aan natuurorganisaties en staatssteunregels, EUrrest Kenniscentrum Europa Decentraal

De initiatieven uit het werkprogramma voor 2020 konden vanwege de coronavirus uitbraak niet allemaal verwezenlijkt worden. De Commissie presenteerde daarom in mei 2020 een aangepast werkprogramma. Hierin is prioriteit gegeven aan initiatieven die direct verband houden met de coronacrisis en economisch herstel. Een aantal andere initiatieven is verschoven naar 2021, zoals de nieuwe EU bosstrategie en wetgevingsvoorstellen in het kader van de White Paper over AI.

Werkprogramma 2021 – Van strategie tot uitvoering

In het werkprogramma voor 2021 wil de Commissie zo veel mogelijk eerder vastgestelde strategieën en plannen realiseren. Passend in de zes beleidslijnen wordt nieuwe wetgeving voorgesteld en worden evaluaties en herzieningen van bestaande wetgeving aangekondigd. Ook bevat het werkprogramma een overzicht van wetgevingsvoorstellen die het komend jaar prioriteit krijgen, en voorstellen die juist worden ingetrokken.

Voor decentrale overheden zijn de plannen uit de volgende beleidslijnen relevant:

Europese Green Deal

De Europese Green Deal blijft ook in het werkprogramma voor 2021 een van de grootste prioriteiten. De Commissie is van plan een ‘Fit for 55’-pakket voor te stellen. Dit pakket van energie en klimaatmaatregelen moet bijdragen aan de vermindering van de uitstoot van broeikasgassen in 2030 met ten minste 55%. Het bestaat uit initiatieven op het gebied van energieprestatie van gebouwen, hernieuwbare energie, landgebruik en energiebelasting.

Naast het ‘Fit for 55’-pakket wil de Commissie verdere maatregelen voorstellen voor uitvoering van eerder vastgestelde actieplannen. Het gaat om het Europees actieplan voor de circulaire economie, de EU-biodiversiteitsstrategie en de ‘Farm to Fork’-strategie.

Een Europa dat klaar is voor het digitale tijdperk

De Commissie stelt in 2021 een routekaart op met digitale doelstellingen voor 2030, gericht op connectiviteit, vaardigheden en digitale overheidsdiensten. Bij de uitwerking daarvan wordt rekening gehouden met de kernwaarden van de Unie op het gebied van privacy en vrijheid van meningsuiting, vrij verkeer van gegevens en cyberveiligheid.

Ook komt er komend jaar wetgeving op het gebied van kunstmatige intelligentie, aangezien deze prioriteit in 2020 is verschoven vanwege de coronavirus uitbraak. Net als vorig jaar staat afronding van de ePrivacy-verordening dit jaar weer op de prioriteitenlijst. Ook staat er een ‘Data Act’ op de planning voor het derde kwartaal van 2021. Dit voorstel moet zorgen voor betere voorwaarden en controle bij verwerking van onder andere persoonsgegevens. Verder is de Commissie van plan om begin 2021 een nieuw Europees e-ID voor te stellen, waarmee EU burgers makkelijker toegang krijgen tot digitale diensten binnen de hele EU.

De Commissie blijft zich richten op de actualisatie van de mededingingsregels, waaronder verschillende richtsnoeren en vrijstellingsverordeningen op het gebied van staatssteun. De AGVV en de de-minimisverordening liepen eigenlijk eind dit jaar af en werden daarom verlengd, inclusief een kleine aanpassing wegens de corona-gevolgen. Bij de verdere aanpassingen van het staatssteunkader wordt ook rekening gehouden met de Green Deal, waar KED eerder dit artikel over schreef. Hiernaast wordt ook de industriële strategie, gericht op ondersteuning van kmo’s en het versterken van de interne markt, herzien in het licht van de coronacrisis.

Een nieuwe impuls voor de Europese democratie

In 2021 voert de Commissie een analyse uit van de huidige sociale en economische zaken in de regio’s. Er wordt een langetermijnvisie voor plattelandsgebieden opgesteld, met maatregelen om het potentieel van die regio’s ten volle te benutten. Ook zal in dit kader aandacht besteed worden aan betere regelgeving. De Commissie is van plan een Mededeling over betere regelgeving op te stellen die gericht is op het vereenvoudigen van regelgeving en verminderen van administratieve lasten voor burgers en bedrijven. Experts en vertegenwoordigers van deze groep zullen hierbij ondersteunen via het ‘Fit for Future’-platform, een opvolging van het REFIT platform.

Nauwe samenhang herstelplan Europa

Het werkprogramma voor 2021 hangt vanwege de coronavirus uitbraak nauw samen met het herstelplan voor Europa, het herstelinstrument NextGenerationEU en de versterkte EU-begroting voor de periode 2021-2027. De Europese Commissie ziet herstel na de coronacrisis in 2021 als prioriteit die terug te vinden is in alle zes beleidslijnen. Met het werkprogramma probeert de Commissie een balans te vinden tussen enerzijds het beheersen van de crisis en herstel en anderzijds het bereiken van de toekomstambities door duurzame investeringen en hervormingen. Voor de financiering van de fondsen van NextGenerationEU zal de Commissie ook voorstellen doen om meer eigen kapitaal bijeen te brengen. Er wordt gedacht aan herziening van het emissiehandelssysteem, CO2-grensbelasting en belastingheffing in de digitale sector.

Bron

2021 Commissie werkprogramma – key documents , Europese Commissie

Meer informatie

Green Deal, Kenniscentrum Europa Decentraal
Betere regelgeving, Kenniscentrum Europa Decentraal

Verwerkingsverantwoordelijken en verwerkers
Voor de toepassing van de AVG is het belangrijk om te bepalen of er sprake is van een verwerkingsverantwoordelijke of verwerker. De verwerkingsverantwoordelijke blijft altijd verantwoordelijk voor de gegevens die zijn verwerkt. Ook als de verwerking is uitbesteed aan een verwerker. Het kan echter lastig zijn om te bepalen welk van de twee begrippen van toepassing is en welke verplichtingen hieruit voortvloeien. Het EDPB heeft de begrippen daarom verduidelijkt in de richtsnoeren.

Verwerkingsverantwoordelijke

Volgens de AVG is een verwerkingsverantwoordelijke de entiteit die het doel en de middelen van verwerking van persoonsgegevens bepaalt. Dit kan individueel of in samenwerking met andere entiteiten. In de richtsnoeren staat dat het concept van verantwoordelijke breed geïnterpreteerd moet worden. Dit houdt onder meer in dat de verwerkingsverantwoordelijke niet per se toegang hoeft te hebben tot de verwerkte persoonsgegevens. Daarnaast benadrukt het EDPB in de richtsnoeren dat de verwerkingsverantwoordelijke zowel het doel als de middelen van verwerking moet bepalen.

Gezamenlijk verantwoordelijken

Het kan zijn dat meer entiteiten betrokken zijn bij de verwerking van bepaalde gegevens. Dit gebeurt wanneer twee of meer entiteiten deelnemen in het bepalen van het doel en de middelen van de verwerking. Verder kan een gezamenlijke verantwoordelijkheid ontstaan wanneer partijen nauw verweven doelstellingen nastreven bij een verwerking. Een voorbeeld hiervan is een wederzijds (financieel) voordeel dat ontstaat uit de verwerking van de persoonsgegevens. Voor gezamenlijk verantwoordelijken gelden afwijkende verplichtingen bij de verwerking van persoonsgegevens.

Verwerker

Een verwerker wordt in de AVG omschreven als een entiteit die namens een verantwoordelijke persoonsgegevens verwerkt. In de richtsnoeren staat dat de verwerker een beperkte keuzevrijheid heeft bij verwerking. Hij moet zich houden aan de instructies van de verwerkingsverantwoordelijke om schending van de AVG te voorkomen. De verwerker kan vooraf bepalen hoe zijn dienstverlening eruit gaat zien maar de verantwoordelijke heeft het laatste woord bij het bepalen van het doel van het verwerkingsproces. De verwerkingsverantwoordelijke blijft bovendien bevoegd om in een later stadium verandering van de verwerkingswijze te eisen.

Verplichtingen

Uit de richtsnoeren blijkt dat verwerkingsverantwoordelijken enkel verwerkers mogen inzetten die voldoende technische en organisatorische waarborgen bieden. De verwerkingsverantwoordelijke moet bij het kiezen van een verwerker letten op onder meer de expertise, betrouwbaarheid en financiële middelen van de verwerker. Daarnaast staat in de richtsnoeren dat bepaalde waarborgen en regels moeten worden opgenomen in de verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker. Het is bijvoorbeeld niet voldoende om enkel bepalingen uit de AVG over te nemen ter bescherming van gegevens. De richtsnoeren eisen specifiekere en concretere informatie over de toepassing van de betreffende AVG-bepalingen in de praktijk.
Voor gezamenlijk verantwoordelijken gelden nog een aantal extra verplichtingen. Het EDPB raadt in de richtsnoeren aan om de gezamenlijke verantwoordelijkheid vast te leggen in een bindende overeenkomst. Deze overeenkomst moet bepaalde verplichtingen uit de AVG bevatten, bijvoorbeeld het toepassen van de fundamentele principes van gegevensbescherming. Daarnaast moet ook de taakverdeling van de verantwoordelijken in de overeenkomst worden opgenomen. Tot slot moeten de gezamenlijk verantwoordelijken de ‘essentie van de overeenkomst’ ter beschikking stellen aan personen wiens gegevens worden verwerkt. In de richtsnoeren wordt nader toegelicht wat er wordt bedoeld met essentie van de overeenkomst.

Decentrale relevantie

De richtsnoeren van het EDPB kunnen decentrale overheden helpen bij het bepalen van de toepasselijkheid van de AVG. Ook verduidelijken deze richtsnoeren de verplichtingen die decentrale overheden hebben wanneer zij gekwalificeerd worden als (gezamenlijk) verwerkingsverantwoordelijke.

Meer informatie

De Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal
Verwerkingsverantwoordelijke en verwerker, Kenniscentrum Europa Decentraal
Europese toezichthouders publiceren nieuwe AVG-richtlijnen, Kenniscentrum Europa Decentraal
AVG-guidelines, Autoriteit Persoonsgegevens
Verwerkers, Autoriteit Persoonsgegevens