De eed van Hippocrates, het briefgeheim, strafbepalingen inzake belediging, smaad en laster, archiefwetgeving en jurisprudentie over onrechtmatige daad bij ontoelaatbare publicaties. Het recht heeft altijd verschillende manieren gekend om het individu te beschermen tegen inbreuken op de persoonlijke levenssfeer. Lange tijd ging het hierbij om gefragmenteerde rechtsmiddelen voor specifieke situaties.

Met de komst van de computer ontstaat de mogelijkheid om grote hoeveelheden persoonsgegevens gemakkelijk op te slaan en te gebruiken. Tegen die achtergrond ontstaat in de jaren zeventig de behoefte aan meer algemene rechtsbescherming tegen privacy-aantasting.

1981: Verdrag over gegevensbescherming

In 1981 komt het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens tot stand. Dit is het eerste juridisch bindende internationale instrument op het gebied van gegevensbescherming.

Het verdrag bestaat uit 27 artikelen. Het kost weinig moeite om in die 27 artikelen de blauwdruk van de huidige AVG te herkennen.

Zo moeten volgens het verdrag persoonsgegevens worden verwerkt op a) eerlijke en rechtmatige wijze, b) voor welbepaalde en legitieme doeleinden, c) op een wijze die toereikend, ter zake dienend en niet overmatig is, d) die nauwkeurig is, e) moeten persoonsgegevens passend beveiligd worden en f) mogen persoonsgegevens niet langer worden bewaard dan nodig. Het verdrag kent verder een verzwaard regime voor zogenaamde bijzondere persoonsgegevens, bevat een regeling voor het overbrengen van persoonsgegevens over de landsgrenzen heen en betrokkenen hebben een informatie-, inzage- en correctierecht.

Het verdrag – dat overigens nog steeds van kracht is – heeft geen rechtstreekse werking. Een burger kan er dus geen beroep op doen. Wel verplichten de deelnemende landen zich om hun wetgeving in overeenstemming met het verdrag te brengen.

1989: Wet persoonsregistraties

Bij de herziening van de Grondwet in 1983 wordt in artikel 10, eerste lid, de bescherming van de persoonlijke levenssfeer uitdrukkelijk als klassiek grondrecht geformuleerd. Daarnaast krijgt in het tweede en derde lid de wetgever de opdracht om regels te stellen voor de bescherming van persoonsgegevens. De Wet persoonsregistraties (WPR) is daarvan het resultaat. De wet treedt op 1 juli 1989 in werking.

De WPR bestaat uit 54 artikelen, een verdubbeling ten opzichte van het verdrag uit 1981. Toch verandert er inhoudelijk niet al te veel.

Nieuw zijn de regels over de aanmeldingsplicht. Private organisaties moeten een persoonsregistratie voortaan aanmelden bij de toezichthouder en zij moeten de registratie bekendmaken en ter inzage leggen. Publieke organisaties moeten een privacyreglement vaststellen en de toezichthouder daarover informeren.

De Registratiekamer zal gaan toezien op naleving van de wet. Zij kan een onderzoek instellen en aanbevelingen doen. De Registratiekamer kan echter geen bestuursdwang toepassen of een boete opleggen.

2001: Wet bescherming persoonsgegevens

In 1995 ondertekenen de voorzitters van het Europees Parlement en de Raad richtlijn 95/46/EG over de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens. De lidstaten zijn nu verplicht om hun privacywetgeving binnen de door de richtlijn aangegeven grenzen te harmoniseren. Nederland implementeert de richtlijn met de Wet bescherming persoonsgegevens (Wbp). De Wbp treedt na een lang wetgevingstraject in 2001 in werking en vervangt dan de WPR.

De Wbp telt maar liefst 83 artikelen. Een aantal definities wordt aangepast, enkele inhoudelijke punten worden aangescherpt (zoals informatieverplichtingen), een enkel recht wordt toegevoegd (het recht om bezwaar te maken) en de aanmeldingsplicht wordt versoepeld.

De Wbp introduceert de functionaris voor de gegevensbescherming (FG). De FG heeft tot taak om op onafhankelijke wijze toezicht uit te oefenen op de toepassing van de Wbp binnen een organisatie. De benoeming van een FG is niet verplicht.

De Registratiekamer verandert van naam en heet voortaan College bescherming persoonsgegevens (Cpb). Het Cbp krijgt meer bevoegdheden. Zo krijgt het Cbp de bevoegdheid om nader onderzoek te doen naar verwerkingen met bijzondere risico’s. Ook kan het Cbp voortaan bestuursdwang toepassen en een bestuurlijke boete opleggen. Tegenover die uitbreiding van bevoegdheden staat dat de rechtsbescherming tegen beslissingen van het Cbp wordt verbeterd. Besluiten genomen door het Cbp worden aangemerkt als besluiten in de zin van de Awb, waartegen bezwaar en beroep kan worden aangetekend.

Begin 2016 voegt de wetgever de meldplicht datalekken toe aan de Wbp. De toezichthouder verandert wederom van naam en gaat nu Autoriteit Persoonsgegevens (AP) heten. De AP krijgt meer bevoegdheden en kan nu boetes opleggen tot EUR 820.000.

2018: Algemene verordening gegevensbescherming

In 2016 nemen het Europees Parlement en de Raad verordening (EU) 2016/679 aan over de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens, beter bekend als de AVG.

De AVG telt 99 artikelen en is vanaf 25 mei 2018 rechtstreeks van toepassing in de rechtsorden van de lidstaten. Omzetting is dus niet nodig.

Nieuw in de AVG is vooral de verantwoordingsplicht. Organisaties hoeven gegevensverwerkingen niet meer aan te melden bij de toezichthouder. Wel krijgen zij er flink wat verplicht papierwerk bij. Zij moeten namelijk kunnen aantonen dat zij aan de nieuwe wet voldoen. Hiervoor moeten zij o.a. een verwerkingsregister hebben, een datalek-register en onder omstandigheden ook een privacybeleid. Wanneer persoonsgegevens worden verwerkt op basis van toestemming moeten zij ook kunnen aantonen dat die toestemming daadwerkelijk is gegeven.

Verder worden veel verplichtingen nauwkeuriger beschreven en betrokkenen krijgen er weer een recht bij (het recht op overdraagbaarheid van gegevens). Onder omstandigheden is het aanstellen van een FG voortaan verplicht. Tot slot worden de boetes weer hoger, tot een astronomische EUR 20 miljoen of 4% van de wereldwijde jaaromzet aan toe.

Vooruitblik

In een kleine veertig jaar zijn we van 27 naar 99 artikelen gegaan en van een verdrag dat alleen de Nederlandse staat bindt naar een Europese verordening waar iedere Europese burger direct een beroep op kan doen.

De inhoud is slechts in beperkte mate veranderd. Op punten is de wetgeving gedetailleerder geworden en er zijn onderwerpen bijgekomen, maar in de kern is de AVG nog steeds dezelfde principles-based wetgeving.

Het handhavingskader is wel enorm veranderd. De aanmeldingsplicht is geïntroduceerd en vervolgens vervangen door een verantwoordingsplicht. De FG is geïntroduceerd als optionele functionaris en vervolgens onder omstandigheden verplicht gesteld. De toezichthouders hebben meer bevoegdheden gekregen en kunnen vooral hogere boetes opleggen.

De grote uitdaging voor de toekomst is de handhaving van de wet. Hoe moet een wet met zoveel open normen en zo’n breed toepassingsbereik effectief gehandhaafd gaan worden? De FG is daarop één antwoord. Namelijk de weg van de bewustwording, de cultuurverandering en de zelfregulering. Het is alleen de vraag of dat voldoende is. De hogere boetes zijn het andere antwoord. Juist in die boetes schuilt een uitdaging met zoveel (nog altijd) open normen. Want het opleggen van boetes mag uiteraard geen willekeurige exercitie worden.

Het wordt daarom interessant om te zien voor welke overtredingen de AP de eerste boetes zal gaan opleggen – en om vervolgens te zien of die boetes ook voor de bestuursrechter overeind zullen blijven.

Vragen?

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.