Achtergronden van de Algemene Verondening Gegevensbescherming, AVG. 

‘Van oorsprong tot effectuering in 25-5-2018, een bijzondere geschiedenis.’

 

De AVG is op 25 mei 2018 van kracht geworden. De AVG (GDPR in het Engels) heeft grote impact op het Europese bedrijfsleven, maar ook op bedrijvigheid in landen buiten de EU. Wat is nu eigenlijk de achtergrond van de AVG, en hoe oud zijn de principes die in deze wet staan?

• Op zoek naar AVG advies of een AVG training? Neem dan contact met ons op.

1880 – Het begin van Privacyrecht

 

Hoewel al in de Talmoed wordt beschreven hoe tenten moeten worden geplaatst om de persoonlijke levenssfeer te beschermen, en Hippocrates in zijn eed ook al enige privacy afdwong, duurde het tot 1880 voor het recht op privacy in de rechtspraak doordrong. Dit gebeurde door een technologische ontwikkeling: de ontwikkeling van het fotorolletje.

Tot die tijd werden foto’s alleen maar gemaakt met toestemming van de gefotografeerde persoon. Niet omdat dit expliciet op papier werd gezet, maar omdat je een tijdlang doodstil moest blijven zitten om de foto te laten slagen.

Met de ontwikkeling van het fotorolletje bleek je opeens foto’s te kunnen maken zónder toestemming… waar de dochter van een bekendheid tot haar schrik achter kwam, toen bleek dat ze op een feestje was gefotografeerd in een situatie waarin ze niet op beeld gezet had willen worden. Met deze actie is het recht op privacy voor het eerst de rechtspraak ingekomen.

 

 

1948 – Universele Verklaring van de Rechten van de Mens

 

Met het opstellen van de Universele Verklaring van de Rechten van de Mens (ook wel: Universal Declaration of Human Rights, of: Human Rights Declaration) legde de Algemene Vergadering van de Verenigde Naties op 10 december 1948 de basis voor latere regelingen en wetten op het gebied van privacy en gegevensbescherming.

In Artikel 12 van de Human Rights Declaration wordt het recht op een privéleven en bijbehorende vrijheden vastgelegd. “Niemand mag onderworpen worden aan willekeurige inmenging met zijn privacy, familie, thuis of correspondentie, noch aan aanvallen op zijn eer en reputatie”.

In Artikel 19 van deze zelfde verklaring staat dat iedereen recht heeft op vrijheid van mening en meningsuiting. Dit recht kan natuurlijk in botsing komen met het eerder genoemde recht op privacy. In artikel 29 wordt dan ook gezegd, dat er een balans moet zijn tussen deze twee rechten. De rechten van anderen en de maatschappij in zijn algemeen kunnen individuele rechten inperken.

 

 

1953 – Europese Conventie over Mensenrechten

 

Op 3 september 1953 werd de Europese Conventie over Mensenrechten (ook wel: European Convention on Human Rights, of: ECHR) van kracht. De Raad van Europa bouwde met deze Conventie verder op de Human Rights Declaration van de Verenigde Naties, en gold voor alle deelnemende partijen.

Alle leden van de Raad van Europa onderschrijven deze Conventie, en van nieuwe leden wordt verwacht dat zij deze conventie ook zo snel mogelijk in hun wetten opnemen.

In de ECHR worden veel mensenrechten benoemd en beschermd.Net als bij de Human Rights Declaration erkent de ECHR dat mensenrechten moeten worden afgewogen, zodra er meerdere rechten met elkaar in strijd komen.

Wat de ECHR zo krachtig maakt, is dat er een middel is om het respecteren van de Conventie af te dwingen. In Strasbourg is het Europese Hof voor de Rechten van de Mens, dat het mogelijke overtredingen van de ECHR kan onderzoeken, en landen kan dwingen om te voldoen aan de ECHR. Uitspraken van dit hof zijn bindend en kunnen zorgen voor aanpassing van een nationale wet.

 

 

Voortschrijdende automatisering stimuleert privacyrecht

 

Door de voortschrijdende automatisering nam de verwerking van persoonsgegevens toe. Tussen 1960 en 1980 namen diverse landen in Europa wetgeving aan, die gericht was op het beheersen van het gebruik van persoonsgegevens door de overheid en grote bedrijven.

De Raad van Europa besloot een raamwerk op te zetten met principes en richtlijnen om het verzamelen en verwerken van persoonsgegevens te reguleren. De zorg was, dat de nationale wetgeving onvoldoende de mensenrechten, zoals benoemd in de ECHR, kon beschermen tegen de voortschrijdende automatisering.

In 1968 werd “Aanbeveling 509 betreffende mensenrechten en moderne wetenschappelijke en technologische ontwikkelingen” uitgegeven. Enkele jaren later werd hierop voort gebouwd met Resoluties 73/22 en 74/29, met principes voor het beschermen van persoonsgegevens in geautomatiseerde databanken in de publieke en private sector. Het idee was om richting te geven aan nationale wetgeving, omdat reeds bestaande wetgeving van de diverse Europese landen uit elkaar aan het groeien was.

 

 

1980 – OECD Richtlijnen

 

Van grote invloed was verder de ontwikkeling van de OECD richtlijnen. De OECD (Organisation for Economic Co-operation and Development, ook wel vertaald: OESO) bracht samen met de Raad van Europa de OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data uit.

Deze OECD richtlijnen legden regels vast over grensoverschrijdende datastromen en de bescherming van persoonlijke gegevens en privacy. De opzet was om, net als de eerder genoemde Resoluties, eenheid te bevorderen in de nationale wetten op dit gebied.

De principes uit de OECD Richtlijnen zijn van grote invloed geweest, en zijn nog steeds terug te vinden in de AVG. De belangrijkste principes zijn:

• Persoonsgegevens moeten worden verzameld op behoorlijke en rechtmatige wijze, en voorzover mogelijk met kennis of toestemming van de betrokkene
• Verwerking van persoonsgegevens mag alleen voor van te voren vastgestelde doelen
• Verwerking moet in alle openheid plaatsvinden. De betrokkene moet weten wie er achter een bepaalde verwerking van persoonsgegevens zit
• Er mag niet meer data worden verwerkt dan nodig voor het doel
• Verzamelde persoonsgegevens moeten relevant, accuraat, actueel en compleet zijn.

 

1981 – Convention 108

 

In 1981 vond opnieuw een grote stap plaats met de Convention 108 van de Raad van Europa. In deze Conventie, die ook door landen buiten Europa kan worden ondertekend, leggen de aangesloten landen zich vast om de principes van de Convention in hun eigen, nationale wetgeving op te nemen. Deze principes zijn erg vergelijkbaar met die van de OECD Richtlijnen.

 

 

1995 – Data Protection Directive

 

In 1995 nam de Europese Commissie de Data Protection Directive aan. Hierin werden de principes van Convention 108 gebruikt als richtlijnen voor een set aanwijzingen betreffende de bescherming van zowel geautomatiseerde als niet-geautomatiseerde persoonsgegevens, zowel voor de publieke als private sector.

Dit waren echter geen bindende aanwijzingen, zodat de lidstaten de aanwijzingen op hun eigen manier hebben doorgevoerd in nationale wetten.  Soms waren de aanwijzingen zelfs zo verkeerd uitgelegd, dat de nationale wet moest worden aangepast.

Met andere woorden… het werd tijd voor één algemeen geldende Europese wet.

 

 

2016 – General Data Protection Regulation – AVG

 

Vanaf 2009 werd er gekeken naar oplossingen voor de wildgroei aan nationale regelgeving op het gebied van de bescherming van persoonsgegevens en het vrije verkeer daarvan tussen landen.

In 2012 is er een voorstel gepresenteerd door de Europese Commissie voor de General Data Protection Regulation, de Algemene Verordening Gegevensbescherming. Hiermee wordt er één enkele set regels vastgesteld voor de hele Europese Unie. De principes van de GDPR zijn terug te vinden in die van Convention 108 en de OECD Guidelines. Waaruit duidelijk wordt dat de principes van de AVG zeker niet nieuw zijn, maar een voorlopige slotfase zijn van een lange reeks internationale ontwikkelingen op dit gebied.

Het heeft even geduurd voor de tekst van de GDPR klaar was. Maar uiteindelijk werd de regeling van kracht in mei 2016, met een in werkingtreding op 25 mei 2018.

Regulations van de Europese Unie zijn bindende regelgeving. Dit betekent dat de GDPR bóven de oude nationale wetten gaat. De Wet Bescherming Persoonsgegevens werd dan ook buiten werking gesteld op dezelfde dag als de GDPR, of de AVG, in ging in Nederland.

Met de AVG gelden er in de hele Europese Unie dezelfde regels voor de bescherming van persoonsgegevens en het uitwisselen van deze gegevens met het buitenland. Nou ja, bijna dezelfde regels. Op een enkel punt mag een nationale wetgever kleine vrijheden zelf invullen, zoals bijvoorbeeld de leeftijd waarop iemand zelf toestemming kan geven.