De regels rondom verwerking van persoonsgegevens en privacy gaan met de implementatie van de nieuwe Europese regelgeving sterk veranderen. Welke maatregelen moeten gemeenten treffen met het oog op de nieuwe regelgeving? Wat betekent dit voor de gegevensverwerking door een buitengewoon opsporingsambtenaar (hierna: boa) van de gemeente? In dit artikel informeren wij u hierover.
Achtergrond
Elke lidstaat heeft zijn eigen nationale privacy wetgeving. Deze wetgeving is grotendeels gebaseerd op een Europese richtlijn uit 1995. Internet was toen net in opkomst. Er bestond behoefte aan nieuwe Europese regelgeving die hier beter rekening mee houdt. Tevens was er behoefte aan een betere interstatelijke samenwerking. Dit heeft ertoe geleid dat door de Europese Unie een richtlijn en een verordening is opgesteld.
Richtlijn gegevensbescherming opsporing en vervolging
In richtlijn 2016/280 zijn de regels opgenomen met betrekking tot de verwerking van persoonsgegevens van natuurlijke personen door opsporingsdiensten. De belangrijkste wijziging voor gemeenten is dat de verwerking van persoonsgegevens door boa’s gedeeltelijk onder de Wet politiegegevens komt te vallen. Voorheen was dit niet het geval. De regels gelden wanneer er sprake is van de verwerking van persoonsgegevens in het kader van:
- opsporing van strafbare feiten waarvoor de boa is aangewezen.
- uitvaardiging van een bestuurlijke strafbeschikking.
De persoonsgegevens die een boa verwerkt in het kader van andere taken vallen niet onder deze richtlijn. Hierop is de Algemene verordening gegevensbescherming van toepassing. Gemeenten zullen hun gegevensverwerkingssystemen zodanig moeten aanpassen dat er een duidelijk onderscheid gemaakt kan worden tussen de verwerking van persoonsgegevens in het kader van opsporing en in het kader van overige taken. Gemeenten moeten ter controle op de rechtmatigheid van de verwerking ook gegevens gaan loggen.
Algemene Verordening gegevensbescherming (AVG)
In verordening 2016/279 worden de rechten van burgers worden versterkt en uitgebreid. Er is meer aandacht voor verantwoording en transparantie en de toezichthouder op het gebied van privacy heeft meer bevoegdheden.
Enkele maatregelen die gemeenten moeten treffen zijn:
- het aanstellen van een Functionaris Gegevensbescherming.
- het opstellen en bijhouden van een register met verwerkingen van persoonsgegevens.
- het verplicht melden van datalekken aan de Autoriteit Persoonsgegevens
Een verordening werkt in principe rechtstreeks en hoeft niet omgezet te worden naar nationale wetgeving. Daar waar er behoefte bestond aan aanvullende regels, of daar waar in de verordening ruimte is gelaten voor interpretatie, heeft Nederland regels vastgelegd in een zogenoemde ‘uitvoeringswet’. Deze uitvoeringswet met toelichting leest u hier.
De Vereniging Nederlandse Gemeenten (VNG) heeft een stappenplan opgesteld die gemeenten kunnen gebruiken bij de voorbereiding op de nieuwe wetgeving.
Wanneer gaat de nieuwe regelgeving in?
Op 6 mei dienen alle lidstaten de richtlijn geïmplementeerd te hebben in nationale wetgeving. Voor Nederland betekent dit dat de Wet politiegegevens (Wpg) en het Besluit politiegegevens (Bpg) aangepast zullen worden. Het wetsvoorstel leest u hier. De AVG treedt op 25 mei 2018 in werking. De Wet bescherming persoonsgegevens (Wbp) komt met de invoering van de verordening te vervallen. Vanaf 28 mei 2018 gelden in de hele Unie dezelfde regels omtrent privacy en gegevensbescherming.