Hoe verhoudt de concept-Verordening bescherming persoonsgegevens zich tot de huidige Nederlandse wet?

januari 2015

Voor bescherming van persoonsgegevens kennen we de huidige Nederlandse Wet bescherming persoonsgegevens maar ook de Europese concept-Verordening bescherming persoonsgegevens. Onze gemeente vraag zich af wat de verhouding is tussen beide. Botst de Europese concept-Verordening mogelijk met de huidige nationale privacy regels? En op welke punten verschillen de Wbp en de concept-Verordening?

Antwoord in het kort

Voordat wij uitgebreider op uw vraag ingaan, lichten we eerst kort iets toe over de huidige en toekomstige wetgeving op het gebied van de bescherming van persoonsgegevens.

Europese regelgeving

Momenteel geldt de Europese Richtlijn 95/46/EG. Die gaat over de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. De concept-Verordening die u noemt gaat de bestaande Europese wetgeving aanvullen en verscherpen. Tegelijkertijd creëert de verordening ook nieuwe regels waar decentrale overheden mee te maken krijgen.

Nederlandse wet

De Nederlandse Wet bescherming persoonsgegevens is deels gebaseerd op de huidige Europese regelgeving. De komst van de nieuwe concept-Verordening zorgt straks dus voor de nodige verandering in de wet- en regelgeving op het gebied van bescherming persoonsgegevens. Dus ook de Wbp zal wijzigingen als gevolg hiervan gaan ondervinden.

Geen botsing

Kort samengevat botsen die regels niet zozeer, maar zorgen onderling vooral voor aanvulling en verscherping.
Hieronder zetten we een aantal verschillen en toevoegingen nader op een rij.

Verhouding Wbp en concept-Verordening

Wbp

De huidige Wet bescherming persoonsgegevens (Wbp) dateert uit 2001. De Wbp implementeert de huidige Europese privacyrichtlijn (Richtlijn 95/46/EG). De huidige Wbp ziet evenals de concept-Verordening Persoonsgegevens onder meer toe op de verwerking van persoonsgegevens door de verantwoordelijke overheden. Men kan hier bijvoorbeeld denken aan taken van decentrale overheden met betrekking tot het beheer van persoonsgegevens in grote databases, als bijvoorbeeld de BPR en de GBA.

Verordening bescherming persoonsgegevens

De concept-Verordening zal de huidige verouderde Europese Richtlijn over gegevensbescherming (Richtlijn 95/46/EG) vervangen (zie artikel 88 van de concept-Verordening).
De concept-Verordening is al aangenomen door het Europese Parlement. Momenteel is het aan de Raad van Ministers om de regelgeving goed te keuren. De Verordening is dus nog niet in werking getreden.

Rechtstreekse werking

Een Europese Verordening werkt na inwerkingtreding rechtstreeks door in alle lidstaten van de EU. Op Europees niveau wordt er voor het instrument van een Verordening gekozen wanneer rechtstreekse werking in alle lidstaten handig is. Na inwerkingtreding van de Verordening geldt daardoor in elke lidstaten dezelfde regelgeving. Nederland zal, zodra deze Verordening in werking treedt, moeten zorgen dat de huidige Wbp in overeenstemming is met de regels uit deze Verordening. Er wordt verwacht dat de Verordening in 2015 inwerking treedt.

Botsende regelgeving?

Zoals vermeld is van een ‘botsing’ tussen de nationale privacy regels en de concept-Verordening geen sprake. De Verordening spreekt de huidige Wbp niet zozeer tegen, maar is een aanvulling op en een verscherping van de huidige privacy regels. De nationale privacy regels zijn al gebaseerd op Europese regelgeving; de Verordening vult aan, verscherpt en creëert nieuwe regels.

De komst van de nieuwe Verordening zorgt straks dus wel voor de nodige verandering in de nationale wet- en regelgeving op het gebied van bescherming persoonsgegevens. Deze wet- en regelgeving moet namelijk ook worden aangepast aan de aanscherpingen. De komst van de nu-nog-concept-Verordening zal ook een grote impact hebben op zowel het bedrijfsleven als op decentrale overheden. Hieronder zullen we de grootste verschillen en toevoegingen op een rijtje zetten.

Wijzigingen in concept-Verordening

In een eerdere praktijkvraag hebben we de verplichtingen uit de concept-Verordening op een rijtje gezet. Ter illustratie van bovenstaand antwoord, gaan we hieronder een aantal wijzigingen vanuit de concept-Verordening ten opzichte van de huidige Wbp bespreken.

–       De informatieverplichting voor verantwoordelijken wordt verduidelijkt en verbreed

Artikel 33 t/m 36 Wbp omvatten regels omtrent de informatieverstrekking. Welke informatie moet een decentrale overheid bijvoorbeeld verstrekken aan de betrokkene bij het verstrekken van persoonsgegevens? Momenteel is de informatieverplichting – moet een betrokkene bijvoorbeeld op zijn/haar rechten gewezen worden – redelijk onduidelijk. De concept-Verordening gaat deze informatieverplichting verduidelijken, maar ook verbreden. Artikel 11 concept-Verordening neemt deze twijfel weg: De betrokkene moet volgens de concept-Verordening gewezen worden op zijn/haar rechten. Artikel 14 concept-Verordening stelt welke informatie verschaft moet worden.

–       Verplichte Benoeming functionaris gegevensbescherming

Artikel 62-64 Wbp noemt momenteel dat een organisatie, zoals een decentrale overheid, een functionaris kan benoemen om de gegevensbescherming te garanderen. Artikel 35 concept-Verordening verplicht een organisatie, zoals een decentrale overheid, in bepaalde omstandigheden om een functionaris gegevensbescherming aan te nemen. Hierover kunt u ook meer lezen in de eerdere praktijkvraag.

–       Strengere sancties

De Wbp geeft het College bescherming persoonsgegevens in artikel 65 t/m 75 het recht om in uitzonderlijke gevallen een bestuurlijke boete op te leggen aan de verantwoordelijke. Bijvoorbeeld wanneer de verwerking van persoonsgegevens niet gemeld wordt aan het College of de functionaris. Artikel 79 van de concept-Verordening legt in detail de administratieve boetes uit die opgelegd kunnen worden ingeval van overtreding van de Verordening. Deze zijn meeromvattend dan de boetes in de Wbp. Een decentrale overheid kan bijvoorbeeld een boete opgelegd krijgen wanneer zij het recht om te worden vergeten of het recht op uitwissing van gegevens niet eerbiedigt.

Door:

Lisanne Vis-Boer en Femke Salverda

Meer informatie:

Informatiemaatschappij, Europa decentraal
Digitale gegevensbescherming, Europa decentraal

MEER WETEN OVER DIT ONDERWERP?

Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal:

STEL UW VRAAG

X