Uitvoeringswet AVG zet puntjes op de i

Op Internetconsultatie.nl is het wetsvoorstel Uitvoeringswet Algemene Verordening Gegevensbescherming (Uitvoeringswet AVG) in openbare consultatie gegaan. De uitvoeringswet vormt een belangrijk sluitstuk van de AVG. Wij praten u alvast bij over de inhoud van het wetsvoorstel.

De Uitvoeringswet AVG bestaat grosso modo uit twee belangrijke blokken:

  • De instelling en de bevoegdheden van de Autoriteit Persoonsgegevens, en
  • De invulling van de ruimte die de AVG in sommige gevallen biedt om nadere wetgeving te maken op nationaal niveau.

De doelstelling van de wet is om de AVG zo beleidsneutraal mogelijk in te voeren. Dat betekent dat, daar waar de AVG die ruimte aan de Nederlandse wetgever laat, de huidige regels van de Wet bescherming persoonsgegevens (Wbp) zoveel mogelijk overeind blijven. U zult dus een heleboel herkennen in dit wetsvoorstel.

Toepassingsbereik
De Uitvoeringswet is van toepassing op “de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van de verwerkingsverantwoordelijke of verwerker in Nederland”. Daarnaast geldt de wet voor de verwerking van persoonsgegevens van betrokkenen die zich in Nederland bevinden als die gegevens worden verwerkt door een verwerkingsverantwoordelijke van buiten de Europese Economische Ruimte. Het criterium voor deze laatste toepassing is dat de verwerking “verband houdt met het aanbieden van goederen of diensten aan deze betrokkene in Nederland, ongeacht of een betaling door de betrokkene is vereist of het monitoren van hun gedrag, voor zover hun gedrag in Nederland plaatsvindt.”

Dit betekent dus dat alle bedrijven, overheden, instellingen, etc. die zich in Nederland bevinden zich náást de AVG ook aan de Uitvoeringswet AVG moeten houden. U bent er dus zeker niet met alleen de AVG! De Uitvoeringswet is niet van toepassing op de verwerking van persoonsgegevens op basis van de Wet basisregistratie personen (Wet BRP). De AVG is als zodanig echter wel van op de basisregistratie personen van toepassing. Dit vergt mogelijk dus een aanpassing van de Wet BRP. Maar de toepasselijkheid van de AVG wordt juist weer uitgebreid naar de krijgsmacht. Ook de persoonsgegevens van militairen vallen nu onder de AVG, tenzij de Minister van Defensie anders beslist in het kader van de vredestaken.

De Autoriteit Persoonsgegevens
Omdat de Wbp op 25 mei 2018 klokslag 00.00 uur ophoudt te bestaan, houdt formeel ook het College Bescherming Persoonsgegevens (in het maatschappelijk verkeer thans aangeduid met ‘Autoriteit Persoonsgegevens’) formeel op te bestaan. En dus moet de Autoriteit Persoonsgegevens opnieuw worden ingesteld. De artikelen over de AP zijn niet echt verrassend. De Uitvoeringswet volgt min of meer de regeling die reeds bestond in de Wbp. De wijzigingen ten opzichte van de Wbp houden vooral verband met het waarborgen van de onafhankelijkheid van de AP. Zo zijn de ambtenaren voortaan rechtstreeks bij de AP in dienst in plaats van bij het Ministerie van Veiligheid en Justitie. De AP behoudt al zijn bevoegdheden onder de Algemene Wet Bestuursrecht.

Inhoudelijke artikelen
De Uitvoeringswet bevat een aantal artikelen waarmee Nederland de wetgevingsruimte invult die het door de Europese wetgever wordt gegund. De interessantste daarvan zijn de artikelen 22 t/m 31 Uitvoeringswet waarmee de artikelen 17 t/m 22 Wbp terugkomen als uitzondering op het verbod op de verwerking van bijzondere gegevens. Daarmee wordt – overigens net zoals destijds in de Wbp – uitvoering gegeven aan de ruimte die artikel 9(2)(g) AVG biedt aan de Lidstaten om vanwege zwaarwegende redenen van algemeen belang in nationale wetgeving dergelijke uitzonderingen te maken.

Bij de totstandkoming van de Wbp heeft de wetgever er destijds voor gekozen om die uitzonderingen in artikelen 17 t/m 22 Wbp op te nemen. Per type bijzonder gegeven werd aangegeven door wie, voor welk doel en/of onder welke voorwaarden bijzondere gegevens mochten worden verwerkt. Op basis van het uitgangspunt om de AVG beleidsneutraal in te voeren, keren onder artikel 9(2)(g) ook de die specifiek Nederlandse uitzonderingen dus terug. Dat is op zich goed nieuws in het kader van diefstal- en fraudebestrijding en pasfoto’s op toegangspasjes omdat de expliciete toestemming van werknemers lastig ligt vanwege het gebrek aan vrijheid om toestemming te geven. Juist in die gevallen is de beperkte gebruiksruimte onder de in de wet genoemde voorwaarden noodzakelijk.

Daarnaast ondersteunt het wetsvoorstel het Nederlandse stelsel van zorgverzekeringen door de bevoegdheid van verzekeraars om – onder de voorwaarde van de geheimhoudingsplicht – gezondheidsgegevens te verwerken te continueren. Idem dito voor letselschadeverzekeringen en levensverzekeringen (voor die laatste geldt overigens naast de AVG en de Uitvoeringswet ook de privacyregels in de Wet medische keuringen).

Nieuw is artikel 26 Uitvoeringswet (verwerking van biometrische gegevens). Deze gegevens worden in de AVG nu ook als bijzondere gegevens aangemerkt. Overweging 51 van de AVG suggereert dat (pas)foto’s onder omstandigheden ook als biometrische gegevens moeten worden aangemerkt. De uitzondering in de Uitvoeringswet AVG om de verwerking van biometrische gegevens toe te staan indien dit “geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke” is dan ook logisch. Zeker voor de gevallen waarin de expliciete toestemming lastig ligt, zoals bij werknemers in het kader van verzwaarde toegangscontrole tot gebouwen, specifieke ruimtes of informatiesystemen. Daarmee draagt de Uitvoeringswet ook bij aan de beveiliging van de persoonsgegevens die bijvoorbeeld in een datacenter of computer zijn opgeslagen en bijvoorbeeld alleen via biometrische two-factor authentication toegankelijk zijn. Uiteraard geldt hierbij de voorwaarde van artikel 25 AVG om data-protection-by-design maatregelen te nemen, zoals verificatie op basis van biometrische encryptie.

Een van de belangrijkste artikelen van de Uitvoeringswet is artikel 40, waarin voor de financiële sector een uitzondering is geregeld op artikel 34 AVG om de verplichting om een datalek te melden aan de betrokkene. Deze regel staat thans in artikel 34a lid 9 Wbp. Dit is gedaan in het kader van het voorkomen van bankruns, waardoor het hele financiële stelsel in gevaar zou kunnen komen. Banken en verzekeraars moeten echter wel hun datalekken melden bij de Autoriteit Persoonsgegevens. Ten slotte keert in artikel 44 Uitvoeringswet het verbod terug om het Burgerservicenummer te gebruiken zonder wettelijke grondslag.

Naschrift
De Uitvoeringswet AVG vormt een belangrijke toevoeging op de AVG, met name als het gaat om de bijzondere gegevens en de invulling van de onderwerpen van Hoofdstuk 9 AVG. Zij vormen samen het kader voor gegevensverwerking in de Nederland. Daarbij moet u niet uit het oog verliezen dat er wellicht nog sectorale wetgeving is waar specifieke privacyregels in staan. Er loopt thans nog een project onder leiding van het ministerie van Veiligheid en Justitie om ook die sectorale wetgeving in overeenstemming met de AVG te brengen. Deze wijzigingen zullen in een aparte verzamelwet worden gebundeld en in de loop van volgend jaar naar het parlement worden gestuurd.

Meer weten?

1 reactie

  1. Marie-José schreef:

    Hoe zit het met de nadere invulling rondom strafrechtelijke gegevens voor doeleinden buiten de politietaken (WPg)? Ik ben benieuwd welk kader van toepassing wordt voor de zogenaamde Waarschuwingssystemen, waarvoor de AP ettelijke verklaringen voor rechtmatigheid heeft afgegeven. Ik hoor het graag!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *