Vijf aandachtspunten bij de implementatie van de nieuwe privacywet
In 2018 wordt onze huidige Wet bescherming persoonsgegevens (Wbp) vervangen door een nieuwe Europese privacywet: de Algemene verordening gegevensbescherming (Avg). De regels uit de Avg zullen rechtstreeks (zonder tussenkomst van de Nederlandse wetgever) van toepassing zijn in Nederland. Een van de doelen van de Avg is dan ook Europese harmonisatie van wetgeving. Toch is er op een aantal punten nog wat maatwerk mogelijk. Wij lieten daarom via een openbare consultatie weten waar voor de ICT-sector nog aandachtspunten zitten in de uitvoering van de wet.
Lees onze complete inbreng op de consultatie hier.
1. De rol van de verwerker
Veel ICT-bedrijven regelen voor hun klanten de opslag en verwerking van data. Dat maakt deze bedrijven in juridische termen een verwerker van persoonsgegevens (in de huidige Wet bescherming persoonsgegevens heet dat bewerker). De klant wiens gegevens worden verwerkt heet de verantwoordelijke. Vaak weet de verwerker niet precies wat voor persoonsgegevens er worden verwerkt en wat de klant daarmee doet. Dat is ook niet nodig of in veel gevallen zelfs niet wenselijk. Het is dan ook aan de verantwoordelijke – de naam zegt het al – om te ervoor te zorgen dat de privacy is gewaarborgd. We zien in de nationale implementatie dat er een verruiming van de aansprakelijkheid voor de verwerker is opgenomen ten opzichte van de Europese tekst. Dat is wat ons betreft niet wenselijk zowel voor de verwerker als verantwoordelijke.
2. ICT-vertegenwoordiging bij de Autoriteit Persoonsgegevens
De nieuwe wet zal straks gehandhaafd worden door de Autoriteit Persoonsgegevens (AP). We vinden het belangrijk dat in een tijdperk van verregaande digitalisering en elektronische communicatie voldoende kennis van digitale technologie aanwezig is bij de AP. Daarom pleiten we voor een standaardzetel in het college voor iemand met affiniteit met de digitale economie.
3. Harmonisering
Een belangrijk onderdeel van de Avg is Europese harmonisering van regels en een ‘one-stop-shop-mechanisme’ voor bedrijven die in meerdere landen opereren. Zij kunnen voortaan bij één toezichthouder terecht voor al hun activiteiten in Europa. We vinden het belangrijk dat dit punt in de praktijk goed uit de verf komt. Bedrijven en gebruikers moeten kunnen rekenen op één procedure met één uitkomst. We vragen het ministerie van Veiligheid en Justitie om hierop toe te zien.
4. Leeftijd
De Avg biedt ruimte ten aanzien van de leeftijd van kinderen waarop ouders toestemming moeten geven om gegevens te verwerken. Wij pleiten voor Europese harmonisatie van deze leeftijd voor zover mogelijk. Dit maakt het makkelijker voor bedrijven één product aan te bieden. Daarnaast moeten we goed kijken naar de aard van de dienst om de leeftijd te bepalen.
5. Ruimte voor innovatie en toekomstige ontwikkelingen
Van sommige punten uit de Avg is het nog onduidelijk hoe die in de praktijk zullen uitpakken. Bijvoorbeeld op het gebied van big data, of geautomatiseerde persoonlijke beslissingen op basis van data. We vragen de regering daarom in de nationale implementatie ruimte te laten voor toekomstige ontwikkelingen, zodat innovaties niet in de knop worden gebroken door te starre regels.
Meer informatie over bovenstaande punten lees je in onze complete inbreng op de consultatie. De komende maanden zullen we de inhoud van de Avg en de gevolgen hiervan voor ICT-bedrijven verder beschrijven. Ook zullen we een aantal workshops geven. Houd daarvoor het dossier Algemene verordening gegevensbescherming in de gaten, of meld je aan voor onze nieuwsbrief op dit dossier.
