Rolverdeling in privacybescherming

De wetgever heeft met de betrokkene het oog op een natuurlijke persoon (van vlees en bloed dus), van wie persoonsgegevens worden verwerkt of bewerkt. De betrokkene heeft een aantal rechten, waaronder het recht op bescherming van diens persoonsgegevens. En persoonsgegevens zijn alle gegevens, die te herleiden zijn tot één natuurlijke persoon. Zodra dat niet het geval is, zijn het geen persoonsgegevens meer. De persoon mag zich uiteraard laten vertegenwoordigen door een belangenbehartiger. Met name bij grootschalige schending met relatief kleine schades tot gevolg (zogenaamde strooischade) kan dat leiden tot effectief en doelmatig optreden tegen de schending.

De betrokkene heeft er recht op dat de persoonsgegevens juist en volledig (maar niet bovenmatig!) zijn en kan correctie of vernietiging van bepaalde persoonsgegevens vorderen. Daarnaast heeft de betrokkene recht op een passend beschermingsniveau door middel van technische en organisatorische maatregelen.

De verantwoordelijke is degene die doel en middel van de verwerking van persoonsgegevens bepaalt. De verantwoordelijke is eindverantwoordelijk voor de hele keten bestaande uit bewerkers en subbewerkers die iets doen met de persoonsgegevens. Als er fouten worden gemaakt in de keten, worden die in de regel ook toegerekend aan de verantwoordelijke. De verantwoordelijke is primair verantwoordelijk voor de juiste toepassing van de Wbp (c.q. de AVG) en zal zich niet kunnen verschuilen achter derden, of het nu adviseurs zijn of anderen.

De Functionaris voor de Gegevensbescherming (Privacy Officer)

Met ingang van 25 mei 2018 zal iedere onderneming die stelselmatig persoonsgegevens verwerkt een Functionaris voor de gegevensbescherming (in goed Nederlands: privacy officer) moeten hebben. Deze moet worden aangesteld vanwege zijn (of haar) professionele kwaliteiten en, in het bijzonder, zijn (of haar) deskundigheid op het gebied van de wetgeving en de praktijk van gegevensbescherming. Hierover een volgende keer meer. Deze functionaris hoeft geen werknemer te zijn en, gelet op de eis van onafhankelijkheid, zal de privacy officer beschermd moeten worden tegen wraakoefeningen van zijn werkgever, wanneer hij (of zij) het privacybelang terecht boven het commerciële belang van de organisatie stelt. De Privacy Officer is de spin in het web van de organisatie om er intern op toe te zien dat de organisatie compliant is met de Wbp en de AVG of bijzondere privacywetgeving en dat de relatie met betrokkenen en de Autoriteit Persoonsgegevens goed blijft. Gelet op de zeer hoge boetes die nu al kunnen worden opgelegd (en die nog vele malen hoger worden onder de AVG), is het van belang dat deze persoon toegang heeft tot en passende invloed heeft op de leden van het bestuur. Weet u al wie dit is of wordt binnen uw organisatie? En wat voor type functionaris u nodig heeft? Een kwartiermaker, een pionier of iemand die op de al goed georganiseerde winkel past?

De bewerker (met ingang van 25 mei 2018 de ‘verwerker’) is een partij die in opdracht van een verantwoordelijke de persoonsgegevens (geheel of gedeeltelijk) verwerkt. Dit kan een onafhankelijke derde zijn, maar het kan ook een zuster-, dochter-, moederbedrijf of welke verbonden onderneming ook zijn. Met ingang van 1 januari 2016 is het al verplicht voor iedere (sub-)bewerking een bewerkersovereenkomst te hebben. Inderdaad, een hoop administratie, maar voor de Autoriteit Persoonsgegevens  wel nodig om na te kunnen gaan of de bescherming wel goed geregeld is.

De Autoriteit Persoonsgegevens (voorheen het College bescherming persoonsgegevens; hierna: ‘AP’) is de Nederlandse toezichthouder op het gebied van naleving van de wettelijke privacyregels. De AP zal dat ook na invoering van de AVG op 25 mei 2018 blijven. De AP spoort overtredingen van de Wbp op, onderzoekt deze en legt boetes uit. Daartegen kan de bestrafte persoon in bezwaar (bij de AP zelf) en beroep (bij de rechtbank). Daarnaast legt de AP de wet uit in beleidsregels en richtsnoeren, stelt zij procedures en formulieren vast en verleent zij bepaalde vergunningen of ontheffingen. Daarnaast kan iedere belanghebbende ook klachten indienen bij de AP. In beginsel adviseert de AP niet in concrete gevallen, maar zij kan bij (dreigende) overtredingen wel aanwijzingen geven.

De zogenaamde Artikel 29-werkgroep (genoemd naar artikel 29 van Richtlijn 95/46/EG) is het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders. De Artikel 29-werkgroep bestaat uit de nationale privacytoezichthouders van de lidstaten van de Europese Unie (EU) en de European Data Protection Supervisor (EDPS) en heeft zeer veel invloed.

Groepen van betrokkenen kunnen zich verenigen in belangenclubs. Daarnaast zijn diverse stichtingen en verenigingen actief die (onder meer) de bescherming van privacy van groepen betrokkenen tot doel hebben. Deze belangenbehartigers kunnen zeer invloedrijk zijn en door middel van afspraken met dienstverleners of producenten standaarden zetten als het gaat om bovenmatigheid, een passend beveiligingsniveau of andere relevante onderwerpen. Ook kan het zijn dat zij een collectieve rechtsvordering gelden kunnen maken.

Deze komen op als bospaddestoelen in een zompige herfst om verantwoordelijken en bewerkers uit het moeras en op het droge bospad te houden. Een verstandige adviseur zal de positie en persoonsverwerkingen goed inventariseren en de behoeftes van de cliënt scherp stellen, waarna een advies over het complianceraamwerk kan worden verstrekt en de implementatie daarvan kan worden ondersteund. Maar geen enkele professionele adviseur zal de (civiel- of administratiefrechtelijke) aansprakelijkheid van een verantwoordelijke of bewerker ‘overnemen’.

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.