Wat verplicht de toekomstige Verordening bescherming persoonsgegevens decentrale overheden?

september 2014

Enige tijd geleden heb ik gelezen over een nieuwe Verordening bescherming persoonsgegevens. Is die inmiddels in werking getreden? En wat voor verplichtingen gaat deze Verordening mijn gemeente opleggen?

Antwoord in het kort

Nee, de Verordening is nog niet in werking getreden. Doordat niet alle lidstaten zich kunnen vinden in de ontwerp-Verordening, is het nog onzeker wanneer de uiteindelijke Verordening bescherming persoonsgegevens van kracht wordt. De bedoeling is echter dat dit ergens in 2015 gebeurt.

Decentrale verplichtingen

Op basis van de ontwerp-Verordening kan al wel gezegd worden dat deze Verordening verschillende verplichtingen op gaat leggen aan uw gemeente en andere decentrale overheden betreffende de bescherming van persoonsgegevens. Deze verplichtingen zijn waarschijnlijk strenger dan de verplichtingen die gelden op basis van de huidige Richtlijn gegevensbescherming (Richtlijn 95/46/EG). U kunt ook denken aan de verplichting om toestemming te vragen voor het gebruiken van data, wanneer er geen legale basis is.

Nadere uitleg

Na enige nadere toelichting over de richtlijn, de decentrale relevantie en de doelstellingen van de nieuwe richtlijn, beschrijven we verder de belangrijkste verplichtingen uit de ontwerp-Verordening voor decentrale overheden.

Vervanging verouderde Richtlijn

De ontwerp-Verordening zal de huidige verouderde Europese Richtlijn over gegevens bescherming (Richtlijn 95/46/EG) vervangen. Doordat steeds meer online geregeld wordt, is bescherming van persoonsgegevens steeds belangrijker. Daarom heeft de Commissie het noodzakelijk geacht een nieuwe Verordening vast te stellen. Inmiddels is de ontwerp-Verordening op 12 maart 2014 met veel amendementen aangenomen door het Europese Parlement. Het is nu aan de Raad van Ministers om de regelgeving goed te keuren. De Verordening is dus nog niet in werking getreden.

Decentrale relevantie

Europese regelgeving op het gebied van bescherming persoonsgegevens is van groot belang voor decentrale overheden. Provincies, gemeenten en waterschappen beheren veel persoonsgegevens in grote databases. Zo beheren gemeenten de Basisregistratie Personen (BPR) en de Gemeentelijke Basisadministratie voor persoonsgegevens (GBA). Door de decentralisatie op het gebied van welzijn worden gemeenten ook verantwoordelijk voor het beheer van gevoelige gegevens bijvoorbeeld in het kader van jeugdzorg. Grote uitvoeringsinstanties als de Kamer van Koophandel, RDW, UVW en DUO beheren omvangrijke databases met persoonsgegevens.

Doelstellingen nieuwe Verordening

In artikel 1 van de ontwerp-Verordening worden de doelstellingen van de nieuwe Verordening genoemd. Het doel van de Verordening is het beschermen van de grondrechten en de fundamentele vrijheden van natuurlijke personen en dus burgers. De nieuwe verplichtingen voor decentrale overheden tot het beschermen van de persoonsgegevens raakt voornamelijk de uitvoering van dit belang.

Verplichtingen voor decentrale overheden:

In de ontwerp-Verordening zijn de volgende verplichtingen opgenomen, die ook voor decentrale overheden zullen gelden:

Rechtmatig verwerken van gegevens
Artikel 6 en 7 van de ontwerp-Verordening stellen dat enkel persoonsgegevens verwerkt mogen worden wanneer de betrokkene daarvoor toestemming heeft gegeven. Uitzonderingen op deze regel zijn het verwerken van persoonsgegevens wanneer deze noodzakelijk zijn voor het algemeen belang, verwerking van persoonsgegevens wanneer deze noodzakelijk zijn om de vitale belangen van de betrokkene te beschermen. Ook hoeft geen toestemming gegeven worden wanneer het verwerken van persoonsgegevens wettelijk is vastgesteld. Men moet hier denken aan de verwerking van gegevens in het medische dossier, welke noodzakelijk kunnen zijn voor de bescherming van een betrokkene. Ook kan gedacht worden aan het opslaan van gegevens in het GBA, wat wettelijk is vastgelegd.

Recht om vergeten te worden
Artikel 17 van de ontwerp-Verordening geeft burgers het recht om te vragen hun gegevens te wissen uit databases en verdere verspreiding te voorkomen. Echter, door decentrale overheden hoeft geen gehoor gegeven te worden aan deze verplichting wanneer bijvoorbeeld redenen van algemeen belang op het gebied van volksgezondheid dit vergen of wanneer historische, statistische of wetenschappelijke doeleinden van toepassing zijn en hierom vragen.

Privacy by design en by default
Artikel 23 past de begrippen ‘privacy by design’ en ‘privacy by default’ toe op bescherming van persoonsgegevens. Dit wil zeggen dat overheden technische en organisatorische maatregelen moeten nemen om ervoor te zorgen dat bij de verwerking van gegevens de Verordening wordt nageleefd, maar ook dat de grondrechten van de betrokkenen worden gerespecteerd.

Functionaris van gegevensbescherming
Wanneer overheidsinstanties persoonsgegevens verwerken moeten zij op grond van artikel 35 van de Verordening een functionaris voor gegevensbescherming aanstellen, die onder meer onafhankelijk toezicht houdt op de uitvoering van het beleid met betrekking tot de bescherming van persoonsgegevens en op de uitvoering van de Verordening.

Andere verplichtingen van decentraal belang
Minder bekende, maar toch verplichtende voorwaarden die deze ontwerp-Verordening aan decentrale overheden oplegt, hebben bijvoorbeeld betrekking op:

Meer informatie:

Digitale gegevensbescherming, informatiemaatschappij, Europa decentraal
Wet-en regelgeving, Digitale gegevensbescherming, Europa decentraal
Nieuws, Digitale gegevensbescherming, Europa decentraal
‘Wanneer wordt de Verordening Bescherming Persoonsgegevens van Kracht’, Praktijkvraag maart 2013, Europa decentraal
Ontwerp-Verordening bescherming persoonsgegevens, Europees Parlement en Europese Raad
Nieuwsbericht ‘EU Verordening dwingt tot nieuwe aanpak bescherming persoonsgegevens, Binnenlands Bestuur.

MEER WETEN OVER DIT ONDERWERP?

Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal:

STEL UW VRAAG

X