Je leest het overal. “De Algemene Verordening Gegevensbescherming (AVG) treedt op 25 mei 2018 in werking”. Dat klopt niet. De AVG is al in werking getreden. En wel op 25 mei 2016. 20 dagen na publicatie in het Publicatieblad van de Europese Unie. De AVG wordt echter pas toegepast vanaf 25 mei 2018. What’s the difference?
Even ter achtergrondinformatie: de AVG is een verordening. Zijn voorganger was een richtlijn. Waar een richtlijn eerst door de lidstaten moet worden geïmplementeerd in nationale wetgeving, heeft een verordening directe werking. Waar volgens de AVG ruimte is voor afwijking of aanvulling, kan Nederlandse wetgever in de Uitvoeringswet AVG daaraan uitvoering geven. Zoals bijvoorbeeld over bijzondere persoonsgegevens en de beperkingen van de rechten van betrokkene. De definitieve versie van de Uitvoeringswet moeten we binnen enkele maanden tegemoet kunnen zien.
Het laatste artikel van de AVG (art. 99) gaat over de inwerkingtreding (“enter into force”) en de toepassing (“apply”). Uit het eerste lid van dat artikel volgt dat de AVG in werking treedt op de twintigste dag na bekendmaking in het Publicatieblad van de EU. Dat was dus 25 mei 2016. Vanaf die datum zijn de (‘nieuwe’ – veel blijft ook hetzelfde) privacynormen vastgesteld. Ook al zijn deze normen soms nog open en zullen deze door de Europese privacytoezichthouders – en uiteindelijk de rechter – verder moeten worden ingevuld.
Dat betekent dat organisaties nu al moeten anticiperen op deze privacynormen. Dit kan bijvoorbeeld met de (recente) invulling die de Europese toezichthouders en rechters daaraan geven. Zodat alle processen met die normen gestroomlijnd worden. Met als doel om op 25 mei 2018 helemaal klaar te zijn. Compliant met de privacynormen van de AVG.
Ook kan de rechter al anticiperen op deze privacynormen. Dat dit al gebeurt, blijkt uit een recent oordeel van de Voorzieningenrechter van de Rechtbank Midden-Nederland. In deze zaak deden wij – met succes – een beroep op privacynormen en uitleg daarbij, die in de AVG zijn verankerd. Zo ging de Voorzieningenrechter na of met informatie op individueel niveau een patiënt kon worden geïdentificeerd. In zijn beoordeling anticipeerde de Voorzieningenrechter daarbij op (de uitleg van) het begrip ‘identificeerbaarheid’ uit de AVG (waarin dit overigens geen anders – laat staan een nieuwe – ingevulde norm is). Een uitleg, waarmee de Voorzieningenrechter al voorsorteerde op de toepassing van de AVG. Alsof deze al van toepassing is dus.
Oké, de AVG is dus al in werking getreden, waarmee de ‘nieuwe’ privacynormen zijn vastgesteld. Maar hoe zit het dan met de toepassing en handhaving door bijvoorbeeld de Autoriteit Persoonsgegevens? Daarover zegt het tweede lid van art. 99 dat de AVG van toepassing is met ingang van 25 mei 2018. Organisaties zijn vanaf dat moment direct aanspreekbaar op naleving. De Autoriteit Persoonsgegevens kan dus vanaf dat moment de AVG daadwerkelijk handhaven. Zo kunnen organisaties worden aangesproken wanneer zij ten onrechte geen Data Protection Officer hebben aangesteld.
Doe nu onze zelftest of uw organisatie een Data Protection Officer nodig heeft.
Kortom, er is dus slechts een termijn gegeven om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Vergelijk het met de voorbereiding op een examen. Daar begin je idealiter ook niet een dag van tevoren mee.
Het is 5 voor 12. Organisaties moeten echt aan de slag. Of liever: al aan de slag zijn.
Robbert Santifort, advocaat privacyrecht
Bron: Misverstand. De AVG is al in werking getreden – Actueel – Kneppelhout & Korthals Advocaten
