Nieuwe Wetgeving Over Data Privacy Goedgekeurd door Tweede Kamer
De Tweede Kamer heeft vandaag met grote meerderheid de nieuwe wetgeving op het gebied van data privacy, de Data Privacy Act (DPA), goedgekeurd. De wet, die per 1 januari 2024 in werking treedt, beoogt een strengere bescherming van persoonlijke gegevens van burgers en bedrijven. De wetgeving brengt wijzigingen in de Algemene Verordening Gegevensbescherming (AVG) en maakt een nadere specificatie van de rechten en verantwoordelijkheden van zowel dataverwerkers als verwerkers. De kwestie werd reeds in augustus 2023 aangenomen, na maanden van discussie en amendementen.
Achtergrond
De huidige Algemene Verordening Gegevensbescherming (AVG), aangenomen in 2016, is gebaseerd op een Europese richtlijn en heeft een belangrijke rol gespeeld in het beschermen van de privacy van individuen. Echter, met de exponentiële groei van dataverzameling en -verwerking, is de huidige AVG onder druk komen te staan. De Data Privacy Act is een reactie op deze ontwikkelingen en beoogt de wetgeving te versterken en aan te passen aan de moderne realiteit.
De discussie over de DPA is in volle gang sinds augustus 2023, en is voornamelijk aangedragen door de PvdA en GroenLinks. Deze politieke partijen wijzen op het toenemende aantal datalekken en de zorgen over de manier waarop bedrijven persoonlijke gegevens verzamelen en gebruiken. Volgens de lokale omroep ‘De Stentor’ heeft de PvdA al jarenmaals aangetekend dat de AVG te zwak is. De Tweede Kamer heeft, onder invloed van deze argumenten, een aantal amendementen goedgekeurd om de wetgeving te versterken.
Een belangrijk doel van de nieuwe wet is het versterken van de positie van de Autoriteit Persoonsgegevens (AP), de toezichahierarch die verantwoordelijk is voor de handhaving van de wet. De AP zal met de DPA meer bevoegdheden krijgen om bedrijven en organisaties te controleren en te handhaven. Ook wordt er een 'one-stop-shop' model geïntroduceerd, wat betekent dat bedrijven één aanspreekpunt hebben voor compliance over de gehele Europese Unie. Dit is een belangrijke stap om de complexiteit van de regelgeving rondom data privacy te reduceren.
Belangrijke Ontwikkelingen
De belangrijkste wijzigingen in de Data Privacy Act omvatten een strengere verantwoordelijkheid voor dataverwerkers om de beveiliging van persoonlijke gegevens te waarborgen. Bedrijven moeten aantonen dat zij de juiste maatregelen hebben genomen om datalekken te voorkomen. De Autoriteit Persoonsgegevens zal dit onderzoeken.
Daarnaast wordt de rechten van betrokkenen – de ‘betrokkene’ – aanzienlijk versterkt. Betrokkenen hebben recht op toegang tot hun persoonlijke gegevens, recht op rectificatie, recht op vergetenverwerking ( ‘right to be forgotten’) en recht om bezwaar te maken tegen de verwerking van hun gegevens. Dit zal vooral van invloed zijn op de manier waarop bedrijven advertenties targetten en databases bewerken.
Een ander belangrijk aspect van de DPA is de focus op data minimisatie. Bedrijven moeten alleen de hoeveelheid persoonsgegevens die ze verzamelen en verwerken, beperken tot wat strikt noodzakelijk is voor de beoogde doeleinden. Dit vergt een herziening van de interne processen bij veel organisaties. Volgens de politie, die de DPA heeft beoordeeld, kan de wet bijdragen aan het verminderen van de risico’s van fraude en misbruik van data.
De DPA introduceert ook een nieuwe vorm van verantwoording voor dataverwerkers. Verwerkers moeten een 'privacy by design' en 'privacy by default' benadering hanteren, wat betekent dat privacybescherming vanaf het begin in de ontwerpen van systemen en processen moet worden meegenomen. Dit omvat het gebruik van technieken zoals anonymisering en pseudonimisering om de identiteit van individuen te beschermen. De DPA wordt door de VVD beschouwd als een belangrijke stap in de versterking van de bescherming van de burgerlijke vrijheden.
De volledige implementatie van de Data Privacy Act zal een significante uitdaging vormen voor bedrijven en organisaties in Nederland. Het is essentieel dat bedrijven zich goed voorbereiden op de inwerkingtreding van de wet en hun processen en systemen aanpassen. De Autoriteit Persoonsgegevens zal waarschijnlijk in de komende maanden een aantal richtlijnen en handhavingsmaatregelen bekendmaken.
