Eind oktober heeft Minister Dekker voor Rechtsbescherming de Kamer geïnformeerd over te volgen aanpassingen aan de Uitvoeringswet van de Algemene verordening gegevensbescherming. Voor sommige verwerkingen van persoonsgegevens is een wetswijziging nodig om een sterkere grondslag vast te leggen. Ook geeft de Minister aan voor welke andere punten er nog overlegd wordt of een wetswijziging noodzakelijk is, of dat er een andere oplossing voorhanden is.
Wat is de Uitvoeringswet?
De Algemene verordening gegevensbescherming (AVG) is een Europese verordening. Dit betekent dat decentrale overheden en betrokkenen rechtstreeks aan de regels gebonden zijn en zich ook direct op de bepalingen kunnen beroepen. In tegenstelling tot een richtlijn hoeft een verordening niet te worden omgezet in nationale wetgeving. De AVG biedt, net als de meeste Europese verordeningen, de lidstaten echter nog wel ruimte om bepaalde keuzes te maken. In Nederland zijn deze uitgewerkt in de Uitvoeringswet AVG.
Eerste ervaringen
Om ervoor te zorgen dat de Uitvoeringswet tijdig kon worden aangenomen, heeft de regering destijds gekozen voor een beleidsneutrale implementatie. Dit houdt in dat waar de AVG ruimte liet voor nationale keuzes, het toenmalige beschermingsniveau van de Wbp is gehandhaafd. Het is echter goed mogelijk dat de Uitvoeringswet op bepaalde punten verbeterd kan worden ten opzichte van de Wbp. Om deze reden heeft de regering destijds een motie van Tweede Kamerleden overgenomen. Daarmee is beloofd dat de regering binnen een half jaar na inwerkingtreding van de AVG en Uitvoeringswet de Tweede Kamer zal berichten over de uitwerking van de wetgeving ten opzichte van in elk geval elf punten. Dat is in april van dit jaar gebeurd. Hieruit kwam naar voren dat er sprake is van ‘achterstallig onderhoudʼ van administratieve lasten en dat meer voorlichting gewenst is, voornamelijk voor kleine maatschappelijke organisaties.
In de recente kamerbrief benadrukt Minister Dekker het belang van deze voorlichting. Er zijn echter ook een aantal punten geïdentificeerd waar meer actie voor nodig is, bijvoorbeeld door een wetswijziging van de Uitvoeringswet.
Welke aanpassingen worden er gedaan?
Na verschillende signalen uit de praktijk en gesprekken met belangenorganisaties en de Europese Commissie heeft de regering besloten voor vier verwerkingen de Uitvoeringswet aan te passen. Hiermee worden de grondslagen voor verwerking van de persoonsgegevens versterkt of gecreëerd. Het gaat om:
- de verwerking van bijzondere categorieën persoonsgegevens door accountants ter uitvoering van hun wettelijke controletaken;
- toepassing van biometrie voor de identificatie van personen in het belang van een rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten;
- verwerking van bijzondere categorieën van persoonsgegevens door het Huis voor klokkenluiders ter uitvoering van de wettelijke advies- en onderzoekstaken, zoals gegevens over discriminatie en achterstelling of benadeling wegens afkomst, religie of seksuele geaardheid, en
- verwerking van gezondheidsgegevens door patiëntenverenigingen voor intern gebruik in bijvoorbeeld hun ledenbestand.
Daarnaast zijn er zeven andere knelpunten geïdentificeerd waarvoor nog wordt gekeken of er een aanpassing van de wetgeving noodzakelijk is.
- gebruik van het BIG-nummer buiten de Wet BIG ten behoeve van bijvoorbeeld na- en bijscholing;
- een adequate grondslag voor profilering door banken ter voorkoming van witwassen en fraude;
- een verplichting voor uitleners van personeel of onderaannemers om aan de opdrachtgever de gegevens te verstrekken die noodzakelijk zijn om gebruik te kunnen maken van vrijwarende betaling via een zogenoemde g-rekening;
- cross-sectorale gegevensdeling te behoeve van de bestrijding van fraude;
- uitbreiding van de uitzonderingen die gelden voor archiefbewaarplaatsen met betrekking tot bepaalde verplichtingen uit de AVG tot ook andere maatschappelijk relevante archieven;
- delen van gegevens over verkeersboetes ten behoeve van het verhalen van deze boetes op de berijder door autoleasemaatschappijen e.a., en
- gebruik van het BSN-nummer door ondernemers, meer in het bijzonder door banken e.a. voor het uitoefenen van de poortwachtersfunctie bij het voorkomen van witwassen.
Knelpunten met een andere oplossing
Als laatste heeft de regering bij vijf onderwerpen vastgesteld dat er inderdaad een knelpunt ontstaat bij het verwerken van persoonsgegevens, maar dat de oplossing hiervan op een andere manier dan via een wetswijziging moet worden bereikt. Het gaat om:
- registratie van zorgen over de (geestelijke) gezondheidstoestand door financiële instellingen in het kader van de op hen rustende zorgplicht voor kwetsbare groepen;
- de aansprakelijkheid voor aan privacy gerelateerde schade en het doorbelasten van boetes aan verwerkers opgelegd door de AP;
- wetenschappelijk onderzoek waarbij gebruik wordt gemaakt van grote al bestaande datasets, in relatie tot het toestemmingsvereiste;
- meer duidelijkheid en rechtszekerheid bij relatief eenvoudige “standaardverwerkingen” voor kleinere verwerkingsverantwoordelijken, en
- verduidelijking van de verhouding van de Archiefwet tot de AVG.
Europese evaluatie AVG
Daarnaast geeft de minister aan dat Nederland een aantal punten op Europees niveau heeft aangedragen. De Europese Commissie moet namelijk voor 25 mei 2020 een evaluatieverslag aanbieden aan het Europees Parlement en de Raad over de evaluatie en toetsing van de AVG. Nederland zet zich in voor:
- verlichting van de registerplicht voor kleine bedrijven om de lasten voor deze bedrijven te verminderen;
- vermijden van extraterritoriale werking van nationale uitvoeringswetten om te voorkomen dat voor internationaal werkende ondernemingen opnieuw een lappendeken van wetgeving ontstaat;
- uniformering van de leeftijdsgrens waarop kinderen binnen de EU toestemming voor het verwerking van hun persoonsgegevens kunnen geven teneinde in deze wereld van grensoverschrijdend dataverkeer de complexiteit voor zowel bedrijven als voor ouders en kinderen te verminderen;
- onderzoek naar mogelijkheden om de datamacht van grote techbedrijven via de AVG verder te beteugelen door bijvoorbeeld uitbreiding van de mogelijkheden van dataportabiliteit en eventuele introductie van nieuwe instrumenten voor toezicht door de Autoriteit persoonsgegevens;
- explicitering van het facultatieve karakter van een toezichthouder bij gebruik van een gedragscode;
- bevorderen dat certificering waar mogelijk op het niveau van de EU plaatsvindt en certificering op nationaal niveau alleen als dat daadwerkelijk meerwaarde heeft, en
- bevorderen dat er één uniform formulier wordt ontwikkeld ten behoeve van het melden van datalekken bij de verschillende toezichthoudende autoriteiten van de lidstaten.
Meer informatie
Kamerbrief over aanpassingen UAVG en evaluatie AVG, Minister Dekker
Algemene verordening gegevensbescherming, Kenniscentrum Europa Decentraal
Kabinet deelt eerste ervaringen met uitvoeringswet AVG, nieuwsbericht Kenniscentrum Europa Decentraal
Een jaar AVG: Europese Commissie brengt bewustwording in kaart, nieuwsbericht Kenniscentrum Europa Decentraal