Invoering nieuwe privacywet: geeft EU teveel speelruimte?

invoering nieuwe privacywet

Over minder dan een jaar wordt de GDPR ofwel de Algemene Verordening Gegevensbescherming (‘de Verordening’) effectief in de Europese Unie en daarbuiten. Het verwerken van persoonsgegevens van EU-burgers wordt vanaf dat moment aan nieuwere, strengere regels gebonden. Niet alleen organisaties moeten zich hierop voorbereiden, maar ook de EU-lidstaten zelf. Dat gaat echter niet zonder slag of stoot. Geeft de EU teveel speelruimte bij invoering nieuwe privacywet?

Vanaf 25 mei 2018 gaat de nieuwe wetgeving gelden voor alle EU-lidstaten en voor alle organisaties die werken met persoonsgegevens van EU-ingezetenen. De Europese Commissie heeft recent een verklaring uitgegeven waarin dit feit nog eens onder de aandacht wordt gebracht.

De Verordening verbetert de rechtspositie van de Europese burgers, houdt beter rekening met technologische uitdagingen en bevordert het vrij verkeer van gegevens binnen de EU alsmede de totstandkoming van een Digital Single Market.

Een minstens zo belangrijk doel van de Verordening is de harmonisatie van de privacywetgeving in alle lidstaten van de EU. Dit maakt een einde aan de huidige versnippering in wet- en regelgeving op het gebied van privacy en databescherming.

In tegenstelling tot wat veel mensen denken, wordt de Verordening niet uniform ingevoerd. De lidstaten hebben de nodige manoeuvreerruimte bedongen om op een eigen manier invulling te kunnen geven aan bepaalde regels en onderwerpen, met name op het gebied van omgaan met bijzondere gegevens. De wijze van invulling, wordt per lidstaat vastgelegd in een aparte uitvoeringswet, die naast de Verordening zal bestaan en zal worden gehandhaafd.

Op dit moment zijn veel EU-lidstaten aan het nadenken hoe zij de Verordening in gaan bedden in de nationale wet- en regelgeving. Nederland en Duitsland hebben inmiddels belangrijke stappen gezet om te komen tot een nationale uitvoeringswet.

Nederland kiest voor een zogenaamde beleidsneutrale uitvoering van de Verordening. Dat wil zeggen dat dat het bestaande recht over de verschillende bepalingen zoveel mogelijk wordt gehandhaafd, tenzij dit door de Verordening niet mogelijk is. Daarnaast maakt Nederland gebruik van de extra ruimte die de Verordening biedt, in de vorm van een aanvullende uitvoeringswet.

De belangrijkste uitzondering in de uitvoeringswet geldt het verbod van verwerking van bijzondere persoonsgegevens, zoals biometrische (genetische) gegevens. De Nederlandse overheid behoudt zich het recht voor om in specifieke situaties af te wijken van dit verbod. Verder zijn er vooral aanvullende bepalingen opgenomen in de uitvoeringswet, bv. over de taken en bevoegdheden van de nationale toezichthouder en op het gebied van de verwerking van persoonsgegevens voor journalistieke doeleinden, in de arbeidsrelatie en voor wetenschappelijk onderzoek.

Het publiceren van de uitvoeringswet lijkt in Nederland een formaliteit. In Duitsland is het echter een ander verhaal. Daar heeft onlangs het nieuwe Bundesdatenschutzgesetz (BDSG) dat naast de Verordening zal bestaan, veel stof doen opwaaien. Zelfs de Duitse privacytoezichthouder is in het geweer gekomen tegen de nieuwe wet en stelt dat Duitsland de maximale speelruimte die de Verordening aan lidstaten biedt, veel te veel oprekt. Hierdoor kunnen potentieel conflicten ontstaan ten opzichte van de Verordening, wat voor burgers en bedrijven tot rechtsonzekerheid kan leiden. Het is zonder meer denkbaar dat rechters zullen constateren dat onderdelen van de nieuwe BDSG in tegenspraak zijn met de Verordening en dat ze vervolgens zullen weigeren om deze toe te passen: Germany Enacts GDPR Implementation Bill.

Al met al is dit een opmerkelijke ontwikkeling. Onze oosterburen zijn immers altijd het braafste jongetje in de klas als het om de bescherming van hun privacy gaat. Zo hebben ze zich met succes verzet tegen de toepassing van Google Street View in Duitsland. Het lijkt er nu echter op dat de aanpassingen in het BDSG de beoogde harmonisatie in wetgeving eerder zullen saboteren dan versterken.

Op Europees niveau doen instituties als de Europese Commissie, de EDPS (de onafhankelijke Europese privacy-toezichthouder) en de Article 29 Data Protection Working Party (Europees samenwerkingsverband van nationale privacytoezichthouders) hun uiterste best om ervoor te zorgen dat de lidstaten in hun interpretatie van de Verordening niet te veel van elkaar gaan afwijken. Niet toevallig staat dit onderwerp hoog op de agenda van de bijeenkomst van de Article 29 Working Party op 7 en 8 juni 2017 in Brussel.

Het valt beslist te hopen dat er op dit vlak voldoende tegenkrachten zullen ontstaan, om te voorkomen dat de EU zichzelf in de voet schiet. Nationale uitvoeringswetten die te veel afwijken van de Algemene Verordening maken het werkveld nodeloos complex, hollen de effectiviteit en legitimiteit van de privacywetgeving uit en ondermijnen uiteindelijk de waarden en principes die eraan ten grondslag liggen.

Delen:

Anita Vocht

Anita Vocht is Data Privacy Specialist bij Oelan en helpt organisaties om privacy op de kaart te zetten en te voldoen aan de eisen die voortkomen uit de privacywetgeving. Zij heeft meer dan 20 jaar ervaring in IT en is gecertificeerd privacy professional.
Bekijk de LinkedIn pagina van Anita Vocht