Wetsvoorstel Uitvoeringswet AVG: de belangrijkste punten

Op 13 december is het wetsvoorstel Uitvoeringswet AVG (UAVG) ingediend. Het wetsvoorstel kent geen grote verrassingen in vergelijking met de consultatieversie. Klik hier om de Uitvoeringswet Algemene Verordening Gegevensbescherming te downloaden, of hier voor de bijbehorende Memorie van Toelichting.

De belangrijkste punten voor u op een rijtje:

  • Het wetsvoorstel implementeert de AVG op een ‘beleidsneutrale’ wijze, dat wil zeggen dat waar mogelijk binnen de kaders van de AVG enkele bestaande regels uit de Wet bescherming persoonsgegevens (Wbp) gehandhaafd blijven.
  • Onderdeel van de beleidsneutrale implementatie is de handhaving van de leeftijdsgrens van 16 jaar voor de verwerking van de persoonsgegevens van kinderen op basis van toestemming. De regering heeft er dus niet voor gekozen om de leeftijdsgrens te verlagen naar 13 jaar (wat op basis van de AVG wel mogelijk was).
  • Ook onderdeel van de beleidsneutrale implementatie is de handhaving van enkele specifieke uitzonderingen voor de verwerking van bijzondere gegevens (ras/etniciteit, geloof, gezondheid, politieke opvattingen, vakbondsmaatschap, seksueel leven, etc). Dat betekent dat naast de uitzonderingen op basis van artikel 9(2) AVG, herhaald in de UAVG, in Nederland ook specifieke uitzonderingen bestaan die mogelijk in andere landen niet voorkomen.
  • De UAVG bevat een specifieke regeling voor de verwerking van biometrische gegevens (onder de AVG ook een bijzonder gegeven). De verwerking van biometrische gegevens is toegestaan voor authenticatie en beveiligingsdoeleinden. Dit is goed omdat de Europese wetgever glad vergeten was om een uitzondering voor deze nieuwe categorie van bijzondere gegevens te formuleren.
  • De verwerking van het Burger Service Nummer (BSN) blijft verboden, tenzij er sprake is van een grondslag op grond van de wet of een Algemene Maatregel van Bestuur (AMvB).
  • Het is verboden om betrokkenen te profileren (met rechtsgevolgen of andere zwaarwichtige gevolgen voor de betrokkene) op grond van de uitvoering van een wettelijke verplichting of een publieke taak. Het nemen van geautomatiseerde besluiten met dergelijke gevolgen voor de betrokkene is wel toegestaan. Dat betekent dat de overheid geen risicoprofilering mag toepassen, tenzij er een (expliciete) wettelijke basis voor bestaat.
  • De uitzondering voor financiële instellingen om een datalek te melden bij de betrokkene blijft bestaan. De logica daarachter is dat financiële instellingen kwetsbaar worden als een datalek bekend wordt. Zij moeten het datalek wel melden bij de Autoriteit Persoonsgegevens (AP) en de financiële toezichthouders.
  • De Functionaris Gegevensbescherming (FG)/ Data Protection Officer (DPO) heeft een geheimhoudingsplicht met betrekking tot alles wat hem/haar in het kader van zijn/haar taak bekend is geworden. Helaas zwijgt de wet over de vraag of dit ook geldt jegens de AP en/of de rechter. Het is dus onduidelijk of de geheimhoudingsplicht ook een verschoningsrecht voor de FG inhoudt, wat gelet op de taken en bevoegdheden van de FG wel logisch zou zijn om te voorkomen dat de AP in geval van een onderzoek haar pijlen richt op de FG en zijn/haar kennis van de verwerking.
  • De AP mag behalve een boete ook een last onder bestuursdwang opleggen. Dat betekent dat de AP zelf feitelijk een einde mag maken aan de overtreding (bestuursdwang) of een last onder dwangsom mag opleggen om de verwerkingsverantwoordelijke te dwingen de overtreding te beëindigen.
  • De AP mag een boete opleggen van max. 20 miljoen euro of 4% van de wereldwijde jaaromzet van de onderneming voor overtreding van de regels in de AVG en de UAVG inzake de verwerking van gegevens van strafrechtelijke aard. Dat ontbrak – raar maar waar – in de AVG (waarschijnlijk omdat strafrechtelijke gegevens in de uiteindelijke versie van de AVG hun eigen artikel hebben gekregen). Dit wordt hier dus gerepareerd.
  • Er schijnt binnen de overheid rond te zingen dat een overheidsinstantie geen boete kan krijgen voor overtreding van de AVG. Uit art. 18 UAVG blijkt dat dit een mythe is. Ook overheidsinstanties kunnen boetes krijgen van maximaal 10 respectievelijk 20 miljoen euro.
  • De AP mag een besluit van de Europese Commissie dat een land een passend beschermingsniveau waarborgt ter toetsing voorleggen aan de Raad van State als zij na onderzoek van mening is dat dat niet langer het geval is. De Raad van State kan zich dan wenden tot de Europese rechter.
  • De reactie van een bestuursorgaan op een verzoek van de betrokkene (inzage, correctie, verwijdering, etc) geldt als een besluit in de zin van de Algemene Wet Bestuursrecht. Dat betekent dat tegen zo’n besluit binnen 6 weken bezwaar en beroep openstaat. Het is overigens wel opmerkelijk dat artikel 22 AVG in dit artikel is opgenomen. Artikel 22 moet immers gelezen worden als een verbod (zie ook de Artikel 29 Werkgroep in haar opinie WP251). Er is in dat geval dus geen verzoek van de betrokkene waarop de overheid kan reageren. Het lijkt mij logisch dat dit middels een Nota van Wijziging wordt gerepareerd.
  • Bestaande besluiten van het College Bescherming Persoonsgegevens, worden geacht besluiten van de AP te zijn.

Tot slot, met de publicatie van de UAVG is ook het advies van de Raad van State openbaar geworden. Het opmerkelijkste commentaar van de Raad van State gaat over de transparantie en de maatschappelijke verantwoording van de European Data Protection Board. De Raad van State maakt zich ook zorgen over de vraag hoe betrokkenen bij de besluitvorming van de EDPB worden betrokken. Het lijkt erop dat de Raad van State – terecht – wijst op het democratisch gat dat met de komst van de EDPB is ontstaan in de vormgeving van het Europees gegevensbeschermingsrecht.

Wij informeren u via onze blogs en nieuwsbrief over alle ontwikkelingen rond de Algemene Verordening Gegevensbescherming. Neem contact met ons op als u wilt weten wat de AVG voor uw organisatie betekent. Privacy Management Partners biedt op verschillende manieren ondersteuning bij het juist en praktisch implementeren van de AVG.

4 reacties

  1. “De uitzondering voor financiële instellingen om een datalek te melden bij de betrokkene blijft bestaan. De logica daarachter is dat financiële instellingen kwetsbaar worden als een datalek bekend wordt. Zij moeten het datalek wel melden bij de Autoriteit Persoonsgegevens (AP) en de financiële toezichthouders.”
    Jeroen, kun je aangeven waar ik terug kan vinden dat deze uitzondering van kracht is?
    Ik kan het niet vinden. Ook niet op: https://autoriteitpersoonsgegevens.nl/nl/publicaties/wetgevingsadviezen?f%5B0%5D=cbp_sections%3A1456&f%5B1%5D=cbp_type%3APublication

  2. Sander van de Molen schreef:

    Hallo Erik, je kunt dit eenvoudig terugvinden in artikel 42 van de UAVG. Dit artikel geeft aan dat art. 42 van de AVG niet van toepassing is op financiële ondernemingen zoals bedoeld in de Wft.
    Overigens behoeft dit ook enige nuance, omdat er vanuit de financiële wetgeving natuurlijk ook een verplichting is om bij incidenten i.v.m. de zorgplicht een melding te doen richting betrokkene. Dit betekent dat in sommige situaties wel degelijk gemeld moet worden richting betrokkene(n).

  3. Nadine Bouwman schreef:

    Ik heb toch wel een hele belangrijke vraag. Hierbij rekening houdende dat we handelen vanuit de positie van de volmachtnemer bij inkomensverzekeringen (verzuimverzekering, arbeidsongeschiktheidsverzekering). Bij inkomensverzekeringen worden bijzondere persoonsgegevens (medische, gezondheids) verwerkt.
    Gelet op artikel 30 lid 3 sub b van de uitvoeringswet:

    3. Gelet op artikel 9, tweede lid, onderdeel h, van de verordening, is het verbod om gegevens over gezondheid te verwerken niet van toepassing indien de verwerking geschiedt door:
    (…)
    b. verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht of financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voor zover de verwerking noodzakelijk is voor:
    1°. de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt; of
    2°. de uitvoering van de overeenkomst van verzekering dan wel het assisteren bij het beheer en de uitvoering van de verzekering.

    In dit artikel lijkt het alsof ook de volmachtnemers (de financiële dienstverleners die bemiddelen in verzekeringen) deze gezondheidsgegevens mogen verwerken. Echter, als je de Memorie van Toelichting erbij pakt dan staat hierin (geldend voor dit artikel) het volgende:

    ‘Uit de verwijzingen naar artikel 1:1 van de Wft volgt dat het in dit onderdeel uitsluitend gaat om herverzekeringen, levensverzekeringen, natura-uitvaartverzekeringen en schadeverzekeringen. Voorbeelden van schadeverzekeringen zijn de zorgverzekering en de ongevallenverzekering.’

    In mijn optiek gaat het hier dus NIET om inkomensverzekeringen. Oftewel: er is wel sprake van een verbod om gezondheidsgegevens te verwerken in dat kader!! Lees ik dit, als juriste zijnde, goed??

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *