Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (de “AVG”) in werking getreden. Deze Europese verordening beoogt persoonsgegevens zoals naam- en adresgegevens, financiële gegevens en BSN-nummers beter te beschermen. Organisaties worden met een aantal nieuwe verplichtingen geconfronteerd en bestaande verplichtingen worden uitgebreid. Hierna wordt kort ingegaan op de AVG en de bijbehorende Nederlandse Uitvoeringswet AVG die is aangenomen in de Tweede Kamer op 18 maart 2018 (de “Uitvoeringswet AVG”). Er wordt aandacht besteed aan de bijzondere privacyregels die gelden voor journalisten, de regels omtrent biometrische gegevens en toegangscontrole (bijvoorbeeld een vingerafdrukscan), BSN-nummers en het verwerken van persoonsgegevens van minderjarigen.

 

Directe werking van de AVG

De AVG is een Europese verordening die directe werking heeft in Nederland en de andere lidstaten van de Europese Unie. Dit betekent onder meer dat burgers een direct beroep op de AVG kunnen doen en dat organisaties aan de verplichtingen uit de AVG moeten voldoen. Omzetting in nationale regelgeving is daarvoor niet nodig. De Autoriteit Persoonsgegevens houdt toezicht op de uitvoering van de AVG. Bedrijven moeten kunnen aantonen dat zij aan de verplichtingen uit de AVG voldoen. De Autoriteit Persoonsgegevens kan boetes tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet opleggen als niet wordt voldaan aan de AVG.

 

Uitvoeringswet AVG

De regels uit de AVG zijn voor iedereen bindend. Wel geeft de AVG lidstaten de mogelijkheid om een aantal normen uit de AVG nader aan te vullen of hiervan af te wijken. Nederland maakt van deze mogelijkheid gebruik via de Uitvoeringswet AVG. Nederland kiest in de Uitvoeringswet AVG voor een beleidsneutrale benadering, dat betekent dat de bepalingen uit de huidige wet bescherming persoonsgegevens (de “Wbp”) zoveel mogelijk worden overgenomen. De Wbp wordt overigens per 25 mei 2018 ingetrokken.

 

Uitzonderingen m.b.t. journalistieke doeleinden

Het recht op vrijheid van meningsuiting en het recht op bescherming van persoonsgegevens zijn beide grondrechten. Artikel 85 lid 2 AVG verplicht lidstaten om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met het recht op vrijheid van meningsuiting. Journalisten zijn ook gebonden aan de verplichtingen van de AVG, zo dient een journalist te zorgen voor een adequate bescherming van persoonsgegevens en kan een journalist alleen persoonsgegevens verwerken als hiervoor een geldige grondslag bestaat.

De AVG kan echter ook een barrière opwerpen voor journalisten. Denk bijvoorbeeld aan de situatie dat een persoon een negatieve publicatie kan frustreren door zich te verzetten tegen de verwerking van zijn persoonsgegevens. De persvrijheid kan in het gedrang komen als hierdoor niet gepubliceerd kan worden over een nieuwswaardig feit.

Artikel 43 van de Uitvoeringswet AVG bepaalt dat verschillende hoofdstukken van de AVG niet van toepassing zijn op verwerkingen van persoonsgegevens in het kader van journalistieke doeleinden. Een eerste belangrijke afwijking van de AVG is dat een betrokkene zijn/haar toestemming niet kan intrekken wanneer een journalist persoonsgegevens op basis van die toestemming verwerkt (artikel 7 lid 1 AVG jo. 43 lid 2 sub a Uitvoeringswet AVG). Eenmaal verkregen toestemming, bijvoorbeeld voor het uitzenden van een interview, kan niet meer ongedaan worden gemaakt. Ten tweede kunnen betrokkenen de hun toekomende rechten uit de AVG jegens een journalist niet laten gelden. Er kan dus niet van een journalist gevraagd worden om bepaalde gegevens over een persoon te verwijderen of een opgave te geven van welke persoonsgegevens een journalist verwerkt van een betrokkene.

Bijzondere persoonsgegevens zoals bijvoorbeeld politieke opvattingen, religieuze overtuiging of seksuele geaardheid mogen ook door journalisten worden verwerkt wanneer dit noodzakelijk is voor journalistieke doeleinden (artikel 43 lid 3 Uitvoeringswet AVG). Hetzelfde geldt voor persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. Feitelijk is dit een continuering van het huidige regime onder de Wbp (artikel 3 lid 2 Wbp). Met de Uitvoeringswet AVG wordt de positie van journalisten dan ook niet aangetast.

 

Persoonsgegevens van minderjarigen

Volgens artikel 8 AVG moeten ouders toestemming geven voor de verwerking van gegevens van minderjarigen onder de 16. Lidstaten mogen deze leeftijd verlagen naar 13 jaar. Nederland maakt van deze optie geen gebruik (evenals bijvoorbeeld Duitsland). Andere lidstaten zullen wel gebruik maken van de mogelijkheid om deze leeftijd te verlagen. Zo hanteren Spanje, het Verenigd Koninkrijk, Zweden en Denemarken een leeftijdsgrens van 13 jaar. Oostenrijk kiest voor een leeftijdsgrens van 14 jaar. Bij exploitatie van een website die zich (onder meer) op minderjarigen richt in verschillende lidstaten is het van belang om van de verschillende leeftijdsgrenzen op de hoogte te zijn en hiermee rekening te houden.

 

Biometrische toegangscontrole

Biometrische gegevens waarmee het mogelijk is iemands identiteit vast te stellen (vingerafdrukscan, irisscan) zijn ook bijzondere persoonsgegevens (artikel 9 AVG). Het verwerken van dit soort gegevens is in principe verboden, maar artikel 29 van de Uitvoeringswet AVG maakt hierop een uitzondering. Dit artikel bepaalt dat de verwerking van biometrische gegevens wel is toegestaan wanneer dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

 

Verwerking van BSN-nummers

Het BSN-nummer is een gevoelig persoonsgegeven waar makkelijk misbruik mee kan worden gemaakt, zoals bijvoorbeeld identiteitsfraude. In afwijking van de AVG mogen BSN-nummers (en andere identificatienummers) alleen worden verwerkt voor zover dat bij wet is bepaald. Deze regels veranderen niet ten opzichte van het huidige regime onder de Wbp. Een voorbeeld waarbij het BSN nummer volgens de wet wel mag worden verwerkt, is bij een arbeidsrelatie. Een werkgever moet een kopie van het paspoort van zijn werknemers in zijn administratie opnemen.