TK 2017/18, 34 851 Uitvoeringswet AVG

Wetsvoorstel (12-12-2017) met Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoons-gegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevens­bescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming)

—De verordening en de Uitvoeringswet vervangen de bestaande Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Over het voorstel voor de verordening van de Commissie van 25 januari 2012 is ruim vier jaar onderhandeld door de 28 lidstaten. In die tijd is door het Europees Parlement een recordaantal van 3.999 amendementen ingediend. Het resultaat van een dergelijk langdurig en gecompliceerd onderhandelingsproces bevat onontkoombaar compromissen wat ertoe heeft geleid dat er nog maar beperkt ruimte is voor de nationale wetgever om op het terrein van de verwerking van persoonsgegevens zelf iets (afwijkends) te regelen. Daar waar de verordening nog wel ruimte laat voor nationale keuzes, of met het oog op een nadere invulling van regels, is er uitdrukkelijk voor gekozen om in de Uitvoeringswet voort te bouwen op het huidige normenkader uit Richtlijn 95/46/EG en de Wbp. Enerzijds omdat als gevolg van de inwerkingtreding van de verordening op 25 mei 2018 de tijd ontbreekt om op dit moment een geheel nieuw kader te ontwikkelen. Anderzijds om de overgang van de oude naar de nieuwe situatie zo soepel mogelijk te laten verlopen.

De materiële normen waaraan de verwerking van persoonsgegevens onder het regime van de verordening moet voldoen, zijn in grote lijnen gelijk gebleven aan die uit Richtlijn 95/46/EG en de Wbp. Er zijn in de verordening zelfs bepaalde elementen uit de Wbp overgenomen zoals de aspecten die relevant zijn bij de beoordeling of het doel van een verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens oorspronkelijk verzameld zijn. Bovendien is er op een enkel punt ook sprake van een verruiming van de mogelijkheden om persoonsgegevens te verwerken. De belangrijkste verschillen zien vooral op de rechten van betrokkenen, die versterkt worden, en op de daarmee samenhangende verplichtingen van de verwerkingsverantwoordelijken, die strenger worden. Alle nieuwe rechten en verplichtingen vloeien direct voort uit de verordening. Zo is voor de betrokkene het (in de jurisprudentie ontwikkelde) recht op vergetelheid vastgelegd en het recht op dataportabiliteit. Aan de verwerkingsverantwoordelijke wordt meer transparantie en verantwoording gevraagd dan onder het huidige regime. De verwerkingsverantwoordelijke moet voortaan kunnen aantonen dat hij in overeenstemming met de verordening handelt. Dat vergt dat informatiestromen in kaart worden gebracht en verwerkingen van persoonsgegevens worden bijgehouden. Voordat hij begint met het verwerken van persoonsgegevens die een hoog risico met zich meebrengen moet hij een gegevensbeschermingseffectbeoordeling uitvoeren. Ook moet de verwerkingsverantwoordelijke reeds bij de bouw en het ontwerp van een gegevensverwerkingssysteem rekening houden met de eisen die de verordening stelt. Verder stelt de verordening nieuwe eisen aan de relatie tussen de verwerkingsverantwoordelijke en degene die ten behoeve van hem eventueel persoonsgegevens verwerkt (de verwerker). Ook verplicht de verordening in meer gevallen tot het aanwijzen van een functionaris voor gegevensbescherming.

Naast de verordening is op 27 april 2016 ook de Richtlijn gegevensbescherming opsporing en vervolging (PbEU 2016, L 119) vastgesteld. Deze richtlijn staat los van de verordening en wordt in een separaat wetsvoorstel geïmplementeerd dat op een later tijdstip zal worden ingediend. In de Memorie van Toelichting wordt nader ingegaan op de verhouding tussen de verordening en deze richtlijn. Ook is een Aanpassingswet AVG in voorbereiding. In deze wet worden bestaande wetten en eventueel aanhangige wetsvoorstellen aangepast aan de terminologie van de verordening en het wegvallen van de Wbp als de algemene wet voor bescherming van persoonsgegevens.


De verordening in vogelvlucht

De verordening bestaat uit elf hoofdstukken. Hoofdstuk I bevat de algemene bepalingen. De belangrijkste definities blijven gelijk ten opzichte van Richtlijn 95/46/EG. Ook het materiële toepassingsbereik blijft gelijk. Verandering is er in het territoriale toepassingsbereik: de verordening is ook van toepassing op een niet in de Unie gevestigde verantwoordelijke, wanneer de verwerking van persoonsgegevens betrekking heeft op het aanbieden van goederen of diensten aan betrokkenen in de Unie of voor het observeren van het gedrag van betrokkenen, voor zover dit gedrag in de EU plaatsvindt.

Hoofdstuk II ziet op de beginselen van de verwerking van persoonsgegevens. In hoofdlijnen komt de verordening hierin overeen met Richtlijn 95/46/EG. Op detailpunten zijn er wel verschillen. Zo is transparantie als beginsel gecodificeerd en is de regeling over bijzondere categorieën van persoonsgegevens uitgewerkt.

In hoofdstuk III zijn de rechten van de betrokkene neergelegd die deels overeenkomen met Richtlijn 95/46/EG, maar die ook op een aantal punten zijn uitgebreid. Nieuw zijn het recht om te worden vergeten en het recht om gegevens mee te nemen (gegevensoverdraagbaarheid). Deels nieuw is voorts het recht om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming, waaronder profilering.

Hoofdstuk IV ziet op de positie van de verwerkingsverantwoordelijke en de verwerker. Hier vinden grote wijzigingen plaats. Allereerst wordt het toepassingsbereik van de verplichtingen uitgebreid: ook verwerkers dienen te voldoen aan de verplichtingen van de verordening. Daarnaast veranderen ook de materiële verplichtingen van de verwerkingsverantwoordelijke en verwerker. Zo verdwijnt de voorafgaande meldingsplicht bij alle gegevensverwerkingen die wordt vervangen door een aantal verplichtingen die rechtstreeks werken voor de verwerkingsverantwoordelijke. Het gaat hier om gegevensbescherming door ontwerp en door gebruik van standaardinstellingen (privacy by design and by default), het in bepaalde gevallen uitvoeren van een privacy impact assessment (PIA) voorafgaand aan de verwerking en het bijhouden van een register van verwerkingsactiviteiten. De verordening bevat voorts specifieke normen voor beveiliging van de verwerking en een regeling voor het melden van datalekken aan de toezichthoudende autoriteit en de betrokkene. Het aanstellen van een functionaris gegevensbescherming (FG) is verplicht in een aantal gevallen, onder andere bij verwerking door een overheidsinstantie en wanneer de verwerker hoofdzakelijk is belast met verwerkingen op grote schaal. Daarnaast bevat de verordening specifieke regels voor de positie, taken en geschiktheid van de FG.

Hoofdstuk V ziet op doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Het uitgangspunt van de verordening is, evenals onder Richtlijn 95/46/EG, dat persoonsgegevens slechts mogen worden doorgegeven wanneer is voldaan aan in de verordening genoemde voorwaarden. De mogelijkheden voor doorgifte van data worden in de verordening helder onderscheiden. Doorgifte van gegevens is mogelijk:

  • bij zogenaamde ‘adequaatheidsbesluiten’ van de Europese Commissie;
  • bij passende waarborgen die voldoen aan de vereisten van de verordening, bijvoorbeeld juridisch bindende en afdwingbare instrumenten tussen overheidsinstanties; of
  • op basis van bindende bedrijfsvoorschriften die voldoen aan de vereisten van de verordening.

Hoofdstuk VI ziet op de rol van de onafhankelijke toezichthoudende autoriteiten. Ook op dit punt verandert het bestaande landschap aanzienlijk. In de kern komt het er op neer dat de nationale toezichthoudende autoriteit onder de verordening onafhankelijk van de nationale lidstaat wordt gepositioneerd en wordt ingebed in een vrij complexe Europese overlegstructuur onder het Europees Comité voor gegevensbescherming om een zo eenduidig mogelijke uitleg van de verordening te bewerkstelligen (samenwerking en conformiteit).

In hoofdstuk VII wordt de genoemde samenwerking en conformiteit geregeld. Het hoofdstuk bevat bepalingen over samenwerking, wederzijdse bijstand en gezamenlijke operaties. Daarnaast is een procedure opgenomen om te komen tot een conforme uitleg van de verordening, waarbij het Europees Comité voor gegevensbescherming een centrale rol heeft. Ook in de oprichting van dit Comité is voorzien, dat bestaat uit een voorzitter en de nationale toezichthoudende autoriteiten. Hierbij zijn ook voorschriften opgenomen over de onafhankelijkheid en de taken van het Comité en de positie van de voorzitter en het secretariaat. De bestaande ‘Artikel 29-werkgroep’, bestaande uit alle nationale toezichthoudende autoriteiten voor de bescherming van persoonsgegevens, komt onder de verordening te vervallen.

Hoofdstuk VIII ziet op beroep, aansprakelijkheid en sancties. Ook dit hoofdstuk verschilt substantieel ten opzichte van Richtlijn 95/46/EG die slechts enkele algemene bepalingen over dit onderwerp bevat. De verordening bevat daarentegen een aantal uitgebreide bepalingen hierover. De meest in het oog springende hiervan is een uitgebreide bepaling over sancties, waarin de basis wordt gelegd om administratieve geldboetes op te leggen, oplopend tot € 20 miljoen of 4% van de wereldwijde omzet in het voorgaande boekjaar.

Hoofdstuk IX bevat enkele bepalingen in verband met specifieke situaties zoals de verhouding tussen vrijheid van meningsuiting en van informatie in verhouding tot bescherming van persoonsgegevens, het recht van toegang tot officiële documenten, verwerking van het nationaal identificatienummer, verwerking in het kader van de arbeidsverhouding, waarborgen en afwijkingen voor de verwerking van persoonsgegevens met het oog op archivering, wetenschappelijk, historisch of statistisch onderzoek, gegevensbescherming wanneer sprake is van een geheimhoudingsplicht en gegevensverwerking door kerken en religieuze verenigingen.

Hoofdstuk X bevat bepalingen over gedelegeerde handelingen en uitvoeringshandelingen.

Hoofdstuk XI bevat de slotbepalingen. Hierin is onder andere voorzien in de intrekking van Richtlijn 95/46/EG, een evaluatie en de inwerkingtreding van de verordening.


Uitvoeringswet

Een eerste onderdeel van de Uitvoeringswet bestaat uit de oprichting en inrichting van de nationale toezichthoudende autoriteit, die aangewezen zal zijn om het toezicht op naleving van de verordening te houden. De Autoriteit persoonsgegevens wordt aangewezen als enige toezichthoudende autoriteit in de zin van de Verordening. Voor een belangrijk deel worden de taken en bevoegdheden van de toezichthoudende autoriteit bepaald door de verordening. Een substantieel deel van deze taken en bevoegdheden betreft handhaving; dat wil zeggen toezicht op de naleving van wettelijke voorschriften en het sanctioneren van daarbij geconstateerde overtredingen. Op besluiten die (het personeel van) de Autoriteit persoonsgegevens in verband met deze taken en bevoegdheden neemt is de Algemene wet bestuursrecht (Awb) van toepassing. Waar in het wetsvoorstel en in de toelichting wordt gesproken over klacht in de zin van de verordening, gaat het in de terminologie van de Awb over een verzoek tot handhaving. De schriftelijke reactie van de Autoriteit persoonsgegevens dient dan ook te worden beschouwd als een besluit in de zin van de Awb, waartegen rechtsbescherming open staat langs de gebruikelijke bestuursrechtelijke weg. Eveneens moet zo het begrip ‘betrokkene’ in dit specifieke geval worden gelijkgeschakeld met het begrip ‘belanghebbende’. In Nederland zijn de Autoriteit persoonsgegevens en het veld vertrouwd met de toepassing van de last onder dwangsom en de last onder bestuursdwang. Dit is een meer laagdrempelige manier voor de toezichthouder om handhaving te bewerkstelligen, zonder dat er onmiddellijk een boete hoeft te worden opgelegd. Deze bevoegdheden worden onder de uitvoeringswet gehandhaafd. Een belangrijke nieuwe bevoegdheid is het opleggen van administratieve geldboetes tot € 20 miljoen of 4% van de jaaromzet indien dit een hoger bedrag oplevert. De verordening bevat geen minimale hoogte voor de administratieve boete. Het besluit tot oplegging van een boete is een besluit in de zin van de Awb.

Verder laat de verordening op een groot aantal plaatsen ruimte aan de nationale wetgever om keuzes te maken en is in die zin atypisch voor een verordening. In de verordening is aangegeven dat lidstaten, indien nodig, elementen van deze verordening in hun nationale recht kunnen opnemen om de samenhang te garanderen en om de nationale bepalingen begrijpelijker maken voor degenen op wie zij van toepassing zijn. Het zogenaamde ‘overschrijfverbod’ gaat derhalve bij deze verordening niet zo ver dat geen enkel element van de verordening terug mag komen in de nationale wet. Van deze ruimte is in de Uitvoeringswet op verschillende punten gebruikgemaakt waarbij steeds is bezien of en in hoeverre het bestaande nationale recht en de bestaande nationale beleidskeuzes gehandhaafd kunnen worden onder de verordening. Waar dat niet geheel mogelijk is, is er steeds voor gekozen om zo dicht mogelijk te blijven bij het bestaande nationale recht. De bepalingen van de verordening betreffende de beginselen inzake verwerking van persoonsgegevens en de rechtmatigheid van de verwerking zullen rechtstreeks gelden. De bestaande nationale normen zijn dus betekenisloos geworden en moeten worden geschrapt. De huidige Wbp wordt hierom ingetrokken. Hiervoor in de plaats treedt de onderhavige Uitvoeringswet.


Beginselen van gegevensverwerking

Volgens de verordening mogen gegevens slechts worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (beginsel van doelbinding). Gegevensverwerking mag niet excessief zijn en moet worden beperkt tot wat noodzakelijk is voor de doeleinden waarvoor persoonsgegevens worden verwerkt (beginsel van minimale gegevensverwerking, ook wel dataminimalisatie genoemd). Daarnaast dienen de gegevens juist te zijn en indien nodig te worden bijgewerkt (beginsel van juistheid), mogen zij niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren dan noodzakelijk is (beginsel van opslagbeperking) en dienen zij passend te worden beveiligd (beginsel van integriteit en vertrouwelijkheid). Bij de verwerking van persoonsgegevens moeten alle beginselen in gelijke mate in acht worden genomen. Zij zijn alle bindend in die zin, dat uitzonderingen of beperkingen op die beginselen slechts geoorloofd zijn voor zover de verordening dit uitdrukkelijk bepaalt, waarbij sommige uitzonderingen en beperkingen rechtstreeks werken en andere een nadere uitwerking in lidstatelijk recht vergen. Het voorgaande geldt ook voor het beginsel van rechtmatigheid en het beginsel van doelbinding. In deze context moet ‘rechtmatigheid’ overigens beperkt worden uitgelegd. Het beginsel van rechtmatigheid houdt in dat er een deugdelijke rechtsgrondslag voor de verwerking moet zijn. Die rechtsgrondslagen worden limitatief opgesomd. Dat het beginsel van rechtmatigheid en het beginsel van doelbinding complementair zijn, betekent dat een deugdelijke rechtsgrondslag voor de verwerking op zichzelf onvoldoende reden is om gegevens te gebruiken voor doeleinden die niet verenigbaar zijn met het doel waarvoor zij oorspronkelijk zijn verzameld.

Tot de bijzondere categorieën van persoonsgegevens worden gerekend:

1. persoonsgegevens waaruit ras of etnische afkomst blijkt;

2. persoonsgegevens waaruit politieke opvattingen blijken;

3. persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;

4. persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt;

5. genetische gegevens;

6. biometrische gegevens met het oog op de unieke identificatie van een persoon;

7. gegevens over gezondheid;

8. gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Nieuw ten opzichte van de richtlijn is het feit dat genetische gegevens, alsmede biometrische gegevens die ­worden verwerkt met het oog op de unieke identificatie van een persoon, ook zijn aangemerkt als bijzondere categorieën van persoonsgegevens. Nieuw ten opzichte van de Wbp is ook dat de strafrechtelijke gegevens niet gelden als een bijzondere categorie van persoonsgegevens, maar afzonderlijk zijn geregeld. Uitgangspunt van de verordening blijft hetzelfde als onder Richtlijn 95/46/EG en de Wbp: de verwerking van bijzondere categorieën van persoonsgegevens is verboden, tenzij een van de limitatief opgesomde uitzonderingen zich voordoet.

Aldus zal er sprake zijn van gelaagde regelgeving inzake de bescherming van persoonsgegevens:

1. Op Europees niveau:

  • a. geldt de verordening als hoofdregel, waarvan de materiële verplichtingen, inclusief een aantal rechtsgrondslagen voor gegevensverwerking, rechtstreeks zullen gelden; en
  • b. geldt de Richtlijn gegevensbescherming opsporing en vervolging voor een specifiek deelterrein van gegevensverwerking in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

2. In het Nederlands recht:

  • a. zijn de algemene regels voor de uitvoering van de verordening neergelegd in de onderhavige Uitvoeringswet, waaronder de algemene regels inzake afwijkingen en uitzonderingen op grond van lidstatelijk recht;
  • b. kunnen in sectorspecifieke wetten de concrete rechtsgrondslagen voor verwerking van persoonsgegevens en bijzondere categorieën van persoonsgegevens worden opgenomen, en kunnen sectorspecifieke uitzonderingen en afwijkingen worden opgenomen; en
  • c. worden de specifieke regelingen inzake de Richtlijn gegevensbescherming opsporing en vervolging geïmplementeerd in de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en aanverwante wetgeving.


Hulpmiddelen

Het Ministerie van JenV heeft het document ‘Anticiperen op de AVG’ geplaatst op www.rijksoverheid.nl. Doel van het document is verwerkingsverantwoordelijken (bedrijven, organisaties en overheden) op hoofdlijnen te informeren over de belangrijkste stappen die nodig zijn voor de voorbereiding van procedures, systemen en processen op de eisen van de verordening. Het ministerie heeft een uitgebreide ‘Handleiding AVG’ in voorbereiding voor verwerkingsverantwoordelijken (voor bedrijven. overheden en organisaties die persoonsgegevens verwerken). Deze ‘Handleiding AVG’ zal ook digitaal beschikbaar worden gesteld. In voorbereiding is ook de ‘Leidraad AVG voor (wetgevings)juristen’.


Afdeling advisering Raad van State

De Afdeling onderstreept het belang van de AVG en van de daarmee beoogde bescherming. Tegelijkertijd meent de Afdeling dat het nieuwe EU-gegevensbeschermingsrecht, ook in verhouding tot het bestaande wettelijke regime, zeer complex is en met het oog op de nadere uitwerking in de wetgeving en in de uitvoeringspraktijk veel vragen oproept en nog zal oproepen. De AVG is geen gemiddelde verordening. Zij beoogt bescherming te bieden aan een – ook in de Nederlandse Grondwet gewaarborgd – fundamenteel recht en geeft daarmee uitwerking aan artikel 7 en 8 Handvest en artikel 16 VWEU. Dit fundamentele recht zal op grond van de AVG nader worden uitgewerkt door middel van pseudo-regelgeving (‘soft law’) van het onafhankelijke Europees Comité voor gegevensverwerking, regelgeving die zich aan de invloedssfeer van de lidstaten onttrekt. De AVG is bovendien niet gemiddeld omdat het grootste gedeelte daarvan weliswaar rechtstreeks toepasselijk is en op die onderdelen dan ook geen omzetting behoeft in nationaal recht, maar op bepaalde onderdelen ruimte laat aan de lidstaten om bij nationale wet nadere regels te stellen. De regering heeft er voor gekozen de vorengenoemde ruimte zo veel mogelijk beleidsneutraal in te vullen. De noodzaak om de uitvoeringswetgeving tijdig tot stand te brengen is blijkens de toelichting voor die keuze een belangrijke factor geweest. Dat leidt ertoe dat volstaan wordt met een Uitvoeringswet waarin hoofdzakelijk alleen een toezichthouder wordt ingesteld en een beperkt aantal bevoegdheden wordt toegekend en die voorzien is van een beperkte memorie van toelichting (132 p.). De Afdeling merkt echter op dat het bijzondere karakter van de AVG daardoor niet voldoende tot uitdrukking komt. Gegeven de beschreven aard van de verordening kiest de Afdeling in haar advies dan ook voor een bredere benadering en maakt zij enkele opmerkingen over de rol van de wetgever, het belang van een goede toelichting bij deze Uitvoeringswet en de noodzaak om te komen tot een samenhangend uitvoeringsprogramma. In deel I van het advies maakt de Afdeling enkele algemene opmerkingen over het nieuwe regime. Deze hebben met name betrekking op de verschuiving van bevoegdheden van de lidstaten naar de Europese Unie op het terrein van de bescherming van persoonsgegevens en de gevolgen van die verschuiving voor de wetgever, het toezicht en de uitvoeringspraktijk. Deel II van het advies bevat specifiekere opmerkingen die samenhangen met de verhouding tussen de AVG enerzijds en de keuzes die gemaakt zijn in de Uitvoeringswet anderzijds. De Afdeling beperkt zich daarbij tot enkele wezenlijkeonderdelen van de AVG.


Kamerstukken



Lees en doorzoek het NJB online in Navigator

Inloggen

Agenda

Afbeelding

Ontmoet vakgenoten en bespreek actuele onderwerpen in de LinkedIn-groep van het Nederlands Juristenblad.

 

 

U maakt gebruik van een verouderde browser

Het gebruik van een verouderde browser maakt uw computer onveilig en tevens ongeschikt voor het optimaal raadplegen van deze website.

De website van het NJB - Nederlands Juristenblad is namelijk geoptimaliseerd voor een nieuwere versie van uw browser.
In de meeste gevallen waarin het fout gaat, betreft dit het gebruik van de Internet Explorer browserversie 7 of 8.
Deze website is geoptimaliseerd voor Internet Explorer 9 en hoger, Google Chrome, Safari en Firefox.

Bekijk hier of er een nieuwere versie van uw browser beschikbaar is.