August 17, 2025
3 min read
De herziene Federale Wet op de Gegevensbescherming (FADP), die op 1 september 2023 van kracht is geworden, vormt een belangrijke evolutie in de Zwitserse wetgeving inzake gegevensbescherming, waardoor deze nauwer aansluit bij de Europese Algemene Verordening Gegevensbescherming (GDPR). De volgende bespreking vat de belangrijkste wijzigingen en hun implicaties samen voor organisaties die persoonsgegevens verwerken in of met gevolgen voor Zwitserland.
Toepassingsgebied van de bescherming:
De nFADP beperkt haar dekking uitsluitend tot de persoonsgegevens van natuurlijke personen, en sluit gegevens met betrekking tot rechtspersonen expliciet uit (Art. 2 nFADP). Deze verschuiving beperkt het toepassingsgebied van de wet in vergelijking met de vorige versie, waardoor de regelgevende inspanningen gericht worden op de privacy van individuen.
Extraterritoriale toepassing:
De wet is van toepassing op alle verwerkingen van persoonsgegevens die “effect hebben” in Zwitserland, ongeacht waar de verwerking fysiek plaatsvindt. Deze “effectenleer” weerspiegelt de extraterritorialiteit van de GDPR en garandeert bescherming voor Zwitserse ingezetenen, zelfs wanneer hun gegevens in het buitenland worden verwerkt (Bühler & Pärli, 2023).
Transparantieverplichtingen:
Verwerkingsverantwoordelijken moeten uitgebreide privacyverklaringen verstrekken aan betrokkenen, waarin de aard en het doel van de verwerking, de ontvangers van de gegevens en de grensoverschrijdende doorgifte worden uiteengezet (Art. 19 nFADP). Deze vereiste verhoogt de administratieve lasten voor organisaties, terwijl het bewustzijn en de controle van individuen over hun gegevens worden vergroot.
Privacy by Design en by Default:
De wet introduceert formeel de principes van privacy by design en privacy by default (Art. 7 nFADP). Organisaties zijn nu wettelijk verplicht om gegevensbescherming vanaf het begin te integreren in verwerkingsactiviteiten en IT-systemen, en om ervoor te zorgen dat standaard alleen de noodzakelijke persoonsgegevens worden verwerkt.
Gegevensbeschermingseffectbeoordeling (DPIA):
DPIA's worden verplicht wanneer een beoogde verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen (Art. 22 nFADP). Dit weerspiegelt artikel 35 van de GDPR en heeft tot doel proactief risico's te identificeren en te beperken.
Geautomatiseerde besluitvorming:
Indien besluiten uitsluitend op basis van geautomatiseerde verwerking worden genomen, moeten de betrokkenen worden geïnformeerd en de gelegenheid krijgen hun standpunt kenbaar te maken of het besluit aan te vechten (Art. 21 nFADP). Deze bepaling versterkt de individuele rechten in de context van algoritmische en AI-gestuurde besluitvorming.
De nFADP brengt de Zwitserse wetgeving inzake gegevensbescherming dus dichter bij de Europese normen, met name de GDPR, terwijl er tegelijkertijd bepaalde specifieke, op de Zwitserse context afgestemde kenmerken worden geïntroduceerd. De vereisten ervan leggen de lat voor compliance voor organisaties hoger en vergroten de rechtszekerheid voor grensoverschrijdende gegevensoverdrachten, wat essentieel is voor het behoud van de adequaatheidsstatus van Zwitserland met de EU (Europese Commissie, 2023).
