Marte van Graafeiland en Nina Bontje, advocaten privacyrecht bij Pels Rijcken, gaven tijdens het congres Inzicht in Digitalisering een workshop over de juridische consequenties die de Algemene Verordening Gegevensbescherming (AVG) heeft voor nieuwe technologische ontwikkelingen en innovaties. De AVG is sinds 25 mei 2018 van toepassing en heeft als voornaamste doel om de regels over de bescherming van persoonsgegevens van de Europese lidstaten verder te harmoniseren. Hierbij wordt aan de lidstaten ruimte geboden om bepaalde onderdelen zelf te regelen, wat in Nederland heeft geresulteerd in de Uitvoeringswet AVG.

Het persoonsgegevensbegrip is zeer ruim, waardoor de AVG en Uitvoeringswet snel van toepassing zullen zijn op verwerkingen in het kader van innovaties. Het publiek van de workshop was dan ook afkomstig uit zowel het private als het publieke domein. Van Graafeiland en Bontje bespraken allereerst kort de materiële principes van gegevensverwerking. Deze principes zijn onder de AVG grotendeels hetzelfde als onder de eerdere Wet bescherming persoonsgegevens (Wbp). Van belang is om de principes altijd in acht te nemen bij de verwerking van persoonsgegevens. Alleen indien aan de principes wordt voldaan, kan compliant met de regelgeving uit de AVG worden gehandeld.

Transparantie binnen de AVG

Er werd stilgestaan bij het principe van transparantie, omdat de AVG nieuwe verplichtingen schept voor de verwerkingsverantwoordelijke en de verwerker, en uitgebreidere rechten creëert voor de betrokkene. Zo moeten de verwerkingsverantwoordelijke en de verwerker van de persoonsgegevens een verwerkingsregister bijhouden, waarin informatie over alle verwerkingsactiviteiten moet worden opgenomen. De gedachte achter deze verplichting is dat organisaties voor zichzelf inzichtelijk moeten maken hoe gegevensverwerkingen intern zijn geregeld, zodat zelf kan worden nagegaan of de organisatie compliant is met de AVG. Ook kan de toezichthouder, in Nederland de Autoriteit Persoonsgegevens, naar dit verwerkingsregister vragen. Daarnaast moeten de verwerkingsverantwoordelijke en de verwerker de betrokkenen informeren over onder meer wat er met de persoonsgegevens gebeurt en hoelang deze worden bewaard. Dit kan gebeuren in een privacyverklaring. Verder heeft de betrokkene in beginsel recht op inzage in de persoonsgegevens die over hem of haar worden verwerkt, al gelden op dit recht wel enkele uitzonderingen. Zo bevat de AVG een antimisbruikbepaling. De gedachte achter het inzagerecht is onder meer dat de betrokkene kan zien of persoonsgegevens wel juist zijn of relevant voor de specifieke verwerking. Hierbij sluit ook aan dat de betrokkene onder de AVG een correctie-, verwijderings- en beperkingsrecht heeft. Die rechten kunnen met behulp van het inzagerecht worden geëffectueerd. De artikel 29-werkgroep van Europese toezichthouders heeft onlangs nog een publicatie uitgebracht over hoe te voldoen aan het transparantieprincipe (Guidelines on transparency under Regulation 2016/679, WP260).

Aan de hand van een aantal specifieke innovatieve praktijkvoorbeelden werd verder ingegaan op de eis van transparantie. Zo loopt in opdracht van de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en Economische Zaken en Klimaat het programma ‘Regie op Gegevens’, waarin de vraag speelt hoe de burger centraal kan staan bij gegevensverwerking en controle kan uitoefenen over de eigen gegevens. Een ander voorbeeld is Mijn Zorg Log, waar de zorgbehoevende via een blockchain inzage krijgt in zijn zorgadministratie en in welke persoonsgegevens daarbij worden verwerkt en wie die kunnen inzien. De zorgbehoevende kan de autorisaties zelf aanpassen. Deze toepassing van privacy by design sluit goed aan bij de waarborgen die de AVG op het gebied van transparantie beoogt te bieden.

Specifieke juridische AVG-eisen voor innovaties

Bij de ontwikkeling van nieuwe technologieën zal veelal een Private Impact Assessment (PIA) moeten worden uitgevoerd. Een PIA is verplicht bij zogenoemde risicoverwerkingen. Bij een PIA wordt een beschrijving  gegeven van de kenmerken van de gegevensverwerkingen, waarna de verwerkingen achtereenvolgens op de rechtmatigheid en de risico’s worden beoordeeld. Het doel van een PIA is om maatregelen te nemen om de risico’s te mitigeren. In de workshop kwam vanuit het publiek naar voren dat het soms lastig kan zijn op een specifiek moment een PIA uit te voeren, omdat innovatie vaak een proces is. Zou het niet beter zijn om PIA’s in de processen te verwerken? Van Graafeiland en Bontje benadrukken dat, ook in het licht van privacy by design and default, inderdaad steeds (aan de voorkant) moet worden nagedacht over maatregelen om de privacyrisico’s te verkleinen. Ook de PIA is hier een goed middel voor.

Vervolgens gaan Van Graafeiland en Bontje in op de juridische eisen die de AVG stelt aan innovaties waarbij gebruik wordt gemaakt van geautomatiseerde individuele besluitvorming (GIB). GIB met rechtsgevolgen of aanmerkelijke gevolgen voor een betrokkene is niet toegestaan, tenzij sprake is van een uitzonderingsgrond. De aanwezigen gaven vele voorbeelden van GIB-gebruik uit de praktijk, zoals profiling, bepaalde vormen van smart contracts, maar ook nieuwe ontwikkelingen in de pensioen- en verzekeringsbranche en op het gebied van het toekennen van toeslagen. De discussie onder de aanwezigen ging met name over de vraag wanneer en op welke wijze menselijke tussenkomst moet worden ingebouwd om te zorgen dat geen sprake meer is van geautomatiseerde besluitvorming (met rechts- of aanmerkelijke gevolgen). Van Graafeiland en Bontje benadrukken nog eens hoe belangrijk het is dat juristen en techneuten samen al in de beginfase, dus bij de ontwikkeling van een innovatie of nieuwe technologie, over dit soort vragen nadenken, zodat een innovatie compliant met de AVG kan worden ontwikkeld. Zo wordt ook voorkomen dat de jurist aan het einde van het traject, als aanpassingen al niet goed meer mogelijk zijn, een showstopper wordt.

Ten slotte werd stilgestaan bij de verhouding tussen WiFi-tracking en privacy: bij WiFi-tracking worden meestal persoonsgegevens verwerkt. Dat betekent bijvoorbeeld dat een grondslag nodig is, de noodzaak goed moet kunnen worden gemotiveerd, betrokkenen over WiFi-tracking moeten worden geïnformeerd en voor deugdelijke privacywaarborgen moet worden gezorgd. De Autoriteit Persoonsgegevens en de artikel 29-werkgroep van Europese toezichthouders bieden hiervoor verschillende handvaten (Brief Autoriteit Persoonsgegevens 15 juni 2016 aan de VNG, kenmerk z2016-00087, Opinion 01/2017 4 april 2017 on the Privacy Regulation van artikel 29-werkgroep).

Uit de discussies tijdens de workshop kwam naar voren dat de AVG een goede ontwikkeling is, omdat mede daardoor ook aandacht wordt besteed aan de bescherming van de privacybelangen van betrokkenen. Van Graafeiland en Bontje benadrukken dat het bij innovatie gaat om creativiteit, die door de AVG op zichzelf niet beperkt wordt. De kunst is, als gezegd, om aan de voorkant na te denken over hoe de juridische AVG-eisen in een nieuwe techniek kunnen worden geïntegreerd. Daarvoor is samenwerking tussen de techneuten en de juristen van groot belang.

Meer weten?

Schrijf je in op onze nieuwsbrief of volg onze LinkedIn Showcase-pagina om op de hoogte te blijven van onze overige evenementen, white papers, artikelen, etc.

Share This