Europese privacywetgeving

Uit Handje Wiki
Naar navigatie springen Naar zoeken springen

De geschiedenis van de Europese privacywetgeving

De Algemene Verordening Gegevensbescherming (AVG), of in het Engels de General Data Protection Regulation (GDPR), is een uitgebreide Europese wet die regelt hoe organisaties met jouw persoonsgegevens moeten omgaan. Maar hoe zijn we bij de AVG gekomen? Hiervoor maken we een reis door de geschiedenis van de Europese privacywetgeving.

Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (1981)

In 1981 kwam het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens tot stand. Dit is het eerste juridisch bindende internationale instrument op het gebied van gegevensbescherming. Het verdrag bestaat uit 27 artikelen. Het kost weinig moeite om in die 27 artikelen de blauwdruk van de huidige Europese privacywetgeving te herkennen. Het verdrag zorgde er namelijk voor dat:

  • Gegevens eerlijk en volgens de wet gebruikt moesten worden;
  • Er een duidelijk doel moest zijn voor het gebruik van persoonsgegevens;
  • Er niet te veel persoonsgegevens verzameld mochten worden;
  • De gegevens juist moesten zijn;
  • De gegevens goed beschermd moesten worden;
  • Gegevens niet te lang bewaard mochten worden.

Tot slot kregen burgers het recht om informatie te krijgen over het gebruik van hun persoonsgegevens, deze gegevens in te zien en fouten te laten verbeteren.

Wet persoonsregistraties (1989)

Bij de herziening van de Nederlandse Grondwet in 1983 werd de bescherming van de persoonlijke levenssfeer uitdrukkelijk als een 'klassiek' grondrecht opgenomen. Daarnaast kreeg de wetgever de verplichting opgelegd om regels op te stellen voor de bescherming van persoonsgegevens. De Wet persoonsregistraties (WPR) is daarvan het resultaat. Deze wet trad op 1 juli 1989 in werking, maar inhoudelijk veranderde er eigenlijk niet al te veel.

Nieuw waren de regels over de aanmeldingsplicht. Bedrijven moeten zich voortaan bij de toezichthouder melden als er persoonsgegevens worden verzameld en zij moeten hierbij de registratie bekendmaken en inzage bieden. Publieke organisaties moeten een privacyreglement vaststellen en dit melden bij de toezichthouder. De WPR bracht tevens de Registratiekamer in leven. De Registratiekamer ziet toe op de naleving van de wet. Zij kan een onderzoek instellen en aanbevelingen doen, maar heeft niet de bevoegdheid om sancties op te leggen.

Wet bescherming persoonsgegevens (2001)

In 1995 ondertekenen de voorzitters van het Europees Parlement een nieuwe richtlijn over de bescherming van burgers in verband met de verwerking van hun persoonsgegevens. De lidstaten werden verplicht om hun wetgevingen te wijzigen binnen de grenzen van deze richtlijn. Nederland implementeert de richtlijn, na een lang wetgevingstraject, in 2001 met de Wet bescherming persoonsgegevens (Wbp). Een aantal definities werd aangepast, enkele inhoudelijke punten zoals de informatieverplichtingen werden aangescherpt, het recht om bezwaar te maken werd geïntroduceerd en de aanmeldingsplicht wordt versoepeld.

De Wbp bracht de functionaris gegevensbescherming (FG) tot leven. De FG heeft tot taak om op onafhankelijke wijze toezicht uit te oefenen op de toepassing van de Wbp binnen een organisatie. De benoeming van een FG is echter niet verplicht. De Registratiekamer veranderde in het College bescherming persoonsgegevens (Cbp). Het Cbp kreeg meer bevoegdheden, zoals de bevoegdheid om nader onderzoek te doen naar verwerkingen met bijzondere risico's en de bevoegdheid om sancties op te leggen aan organisaties. Hier tegenover stond dat de rechtsbescherming tegen beslissingen van het Cbp werd verbeterd. Er kon bezwaar en beroep worden aangetekend tegen beslissingen genomen door het Cbp.

Begin 2016 voegde de wetgever de meldplicht datalekken toe aan de Wbp. De toezichthouder verandert wederom van naam en gaat nu Autoriteit Persoonsgegevens (AP) heten. De AP krijgt meer bevoegdheden en kan nu zelfs boetes opleggen tot €820.000.

Algemene verordening gegevensbescherming (2018)

In 2016 namen de Europese wetgevers de Verordening de Algemene verordening gegevensbescherming (AVG) aan. De AVG is vanaf 25 mei 2018 rechtstreeks van toepassing in de rechtsorde van de lidstaten. Omzetting van deze wet naar nationale wetten is dus niet nodig.

Nieuw in de AVG is vooral de verantwoordingsplicht. Organisaties hoeven gegevensverwerkingen niet meer aan te melden bij de toezichthouder. Wel krijgen zij er flink wat administratielast bij. Zij moeten vanaf nu namelijk kunnen aantonen dat zij aan de nieuwe wet voldoen. Hiervoor moeten zij onder andere een verwerkingsregister hebben, een datalek-register en onder omstandigheden ook een privacybeleid. Wanneer persoonsgegevens worden verwerkt op basis van toestemming moeten zij ook kunnen aantonen dat die toestemming daadwerkelijk is gegeven.

Betrokkenen krijgen er weer een recht bij: het recht op overdraagbaarheid van gegevens. Onder omstandigheden is het aanstellen van een FG voortaan verplicht. Tot slot worden de boetes die door de AP kunnen worden opgelegd weer verhoogd, tot een bedrag van 20 miljoen euro of 4% van de wereldwijde jaaromzet aan toe.

Overgenomen van "https://www.nietsaanhethandje.nl/index.php?title=Europese_privacywetgeving&oldid=324"