Privacyrecht: wetgeving, regelgeving, richtsnoeren EDPB, beleid AP, etc.

Als je aan het nadenken bent over privacy dan zijn de grenzen die het recht stelt niet onbelangrijk. Maar hoe zit het privacyrecht nu precies in elkaar? Dat is nog best een lastige en veelomvattende vraag om te beantwoorden. En al een site op zich waard.

Om je toch op pad te helpen, vind je op deze pagina een overzicht van de belangrijkste / meest terugkerende regelingen, richtlijnen, beleidsregels e.d. Dit als startpunt. Ben ik dus volledig? Zeker niet. Mis je echter een belangrijk of interessant document dat hier ook geplaatst moet worden, dan hoor ik het graag.

Verdragen

• Universele Verklaring van de Rechten van de Mens (met name artikelen 12, 19 en 29, lid 2) 
• Internationaal Verdrag inzake burgerrechten en politieke rechten (met name artikel 17) 
• Handvest van de grondrechten van de Europese Unie (met name artikel 8)
  
• Grondwet (met name artikel 10) 
  

 

Wet- en regelgeving

Startpunt: de Europese verordening die rechtstreeks van toepassing is in Nederland

• AVG: De Algemene Verordening Gegevensbescherming
  
• Officiële vindplaats Nederlandse versie: EUR-LEX: AVG
  
• Toegankelijke variant Nederlandse versie: AVGB.NL
• Officiële vindplaats Engelstalige versie: EUR-LEX: GDPR
  
• Toegankelijke variant Engelstalige versie: GDPR

Nederland: de AVG laat ruimte voor landen om op bepaalde onderwerpen een eigen, nationale invulling te geven. Deze vind je hier:

• Uitvoeringswet Algemene Verordening gegevensbescherming 
• wetsgeschiedenis: Kamerstukken: dossiernummer 34851
  
• Gedelegeerde regelgeving AVG / uAVG
• Boetebeleidsregels Autoriteit Persoonsgegevens 2019
• Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is

 
Overige wetten voor specifieke gegevensverwerking:

• Wet justitiële en strafvorderlijke gegevens: deze wet regelt de verwerking door Justitie van justitiële gegevens in persoonsdossiers, de VOG en van strafvorderlijke gegevens.
• Wet basisregistratie personen: deze wet regelt hoe onder meer hoe gemeenten persoonsgegevens moeten verwerken in de basisregistratie personen (BRP)
  
• Burgerlijk Wetboek, boek 7, artikel 459: het recht op privacy bij uitvoering geneeskundige behandelovereenkomst
  
• Wet op de medische keuringen, artikel 3: het recht op privacy bij medische keuringen
  

Indirect:

• Algemene wet bestuursrecht (Awb): van toepassing op besluiten van de AP

Nog niet van kracht:

• Wet gegevensverwerking door samenwerkingsverbanden
• Kamerstukken: dossiernummer 35447
  
• wetgevingskalender
  
• stand van zaken: Eerste Kamer
  

Guidelines European Data Protection Board (EDPB)

In de EDPB zijn de Europese toezichthouders - waaronder onze Autoriteit Persoonsgegeven - verenigd. Een van de taken die ze verrichten is het geven van helderheid over hoe aan bepaalde onderwerpen inhoud wordt gegeven. Hiertoe geven zij in de vorm van guidelines (richtsnoeren) aanbevelingen uit (ook relevant voor het CIPP/E-examen). Dit om de AVG op punten te verduidelijken en hiermee het gemeenschappelijk begrip van de EU-gegevensbeschermingswetten te bevorderen.

Op deze pagina vind je alle EDPB-richtsnoeren.

 

Oude richtlijnen Artikel 29 werkgroep

De voorloper - voor 25 mei 2018 - van de EDPB was de Artikel 29 werkgroep. Ook deze werkgroep - ook wel de Groep Gegevensbescherming Artikel 29 genoemd - gaf als onafhankelijke werkgroep aan bepaalde onderwerpen meer duidelijkheid door het uitdoen van richtlijnen. Ondanks de komst van de AVG zijn een groot aantal hiervan nog steeds relevant voor onder de AVG (een aantal zijn opnieuw uitgegeven als EDPB richtsnoer).

Alle gearchiveerde stukken van de Artikel 29 Werkgroep kunnen hier gevonden worden. 

De belangrijkste richtlijnen:

• WP 242 rev.01 Richtlijnen inzake het recht op gegevensoverdraagbaarheid
• WP 243 rev.01 Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO)
• WP 244 rev.01 Richtlijnen voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker
• WP 248 rev.01 Richtlijnen voor gegevensbeschermingseffectbeoordelingen (DPIA) en bepaling of een verwerking "waarschijnlijk een hoog risico inhoudt"
• WP 250 rev.01 Richtlijnen voor de melding van inbreuken in verband met persoonsgegevens
• WP 259 rev.01 Richtlijnen inzake toestemming
• WP 260 rev.01 Richtlijnen inzake transparantie

Beleidsregels Autoriteit Persoonsgegevens

Omdat het niet altijd duidelijk is hoe je bepaalde begrippen moet uitleggen of toepassen, heeft de AP over bepaalde onderwerpen beleidsregels gepubliceerd. Daarvoor werden dit richtsnoeren genoemd. Deze beleidsregels kunnen organisaties helpen om aan de wet te voldoen. Maar let op: deze beleidsregels zijn niet bindend. Daarnaast kunnen ontwikkelingen (denk aan de komst van de AVG, rechterlijke uitspraken, technologische ontwikkelingen, e.d.) de beleidsregels deels achterhaald maken.

• 07/2017 - Werken met patientgegevens in de cloud
• 12/2016 - Machtigingsvereiste zorgpolis
• 04/2016 - De zieke werknemer
• 01/2016 - Cameratoezicht
• 12/2015 - Meldplicht datalekken (maar zie voor actuele informatie de meldplicht datalekken Meldplicht datalekken
• 02/2013 - Beveiliging van persoonsgegevens
• 07/2012 - Kopie identiteitsbewijs
• 08/2009 - Openbaarmaking van overheidsinformatie
• 07/2009 - Toepassing van ANPR door de politie
• 07/2009 - Informatieplicht basisscholen onderwijskundig rapport
• 12/2007 - Publicatie van persoonsgegevens op internet
  
  

ISO en andere (soms) relevante normen

• ISO/IEC 27001 - Informatiebeveiliging, cybersecurity en bescherming van de privacy – Managementsysteem voor informatiebeveiliging – Eisen
• ISO/DIS 31700 Consumer protection — Privacy by design for consumer goods and services
• NEN-EN 17529 - Data protection and privacy by design and by default
• ISO 15489 Informatie en documentatie - Informatie- en archiefmanagement - Deel 1: Concepten en uitgangspunten
• ISO/IEC 25012 - Software engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Data quality model
  
  

Jurisprudentie

Ook jurisprudentie - uitspraken van rechters - kan tot slot relevant zijn. Rechtspraak.nl geeft toegang hiertoe (of als je hier rechten voor hebt via bijvoorbeeld Kluwer Navigator of Legal Intelligence). Je kunt denken aan een uitspraak als:

- ECLI:NL:GHAMS:2020:3252 - Noodzaak tot het raadplegen van de basisregistratie prevaleert in dit geval boven belanghebbendes recht op privacy.