Minister Dekker van Justitie informeert de Tweede Kamer over voorgenomen aanpassingen in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). Ook gaat hij in op de evaluatie van de Algemene verordening gegevensbescherming (AVG).
Na ruim een jaar ervaring met de UAVG, kan voor een aantal punten al voldoende worden beoordeeld dat het wenselijk is op die punten de UAVG of eventueel andere wetgeving te wijzigen. Een wetsvoorstel tot aanpassing van de UAVG c.a. wordt opgesteld. Het streven is dit wetsvoorstel in het eerste kwartaal van 2020 in consultatie te brengen.
Aanpassing wetgeving wenselijk
Wat betreft de volgende vormen van verwerking van persoonsgegevens geldt dat inmiddels voldoende duidelijk is dat zij een (explicietere) grondslag moeten krijgen:
- de verwerking van bijzondere categorieën persoonsgegevens door accountants ter uitvoering van hun wettelijke controletaken,
- toepassing van biometrie voor de identificatie van personen in het belang van een rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten,
- verwerking van bijzondere categorieën van persoonsgegevens door het Huis voor klokkenluiders ter uitvoering van de wettelijke advies- en onderzoekstaken, zoals gegevens over discriminatie en achterstelling of benadeling wegens afkomst, religie of seksuele geaardheid, en
- verwerking van gezondheidsgegevens door patiëntenverenigingen voor intern gebruik in bijvoorbeeld hun ledenbestand.
Mogelijke aanpassing wetgeving
Wat betreft de volgende onderwerpen is het kabinet nog bezig in overleg met betrokken branches en andere partijen te bezien of de wetgeving aanpassing behoeft:
- gebruik van het BIG-nummer buiten de Wet BIG voor bijvoorbeeld na- en bijscholing,
- een adequate grondslag voor profilering door banken ter voorkoming van witwassen en fraude,
- een verplichting voor uitleners van personeel of onderaannemers om aan de opdrachtgever de gegevens te verstrekken die noodzakelijk zijn om gebruik te kunnen maken van vrijwarende betaling via een g-rekening,
- cross-sectorale gegevensdeling voor fraudebestrijding,
- uitbreiding van de uitzonderingen die gelden voor archiefbewaarplaatsen met betrekking tot bepaalde verplichtingen uit de AVG tot ook andere maatschappelijk relevante archieven,
- delen van gegevens over verkeersboetes voor het verhalen van deze boetes op de berijder door autoleasemaatschappijen e.a., en
- gebruik van het BSN-nummer door ondernemers, meer in het bijzonder door banken e.a. voor het uitoefenen van de poortwachtersfunctie bij het voorkomen van witwassen.
Oplossing niet via wetgeving
Wat betreft de volgende onderwerpen is tot de conclusie gekomen dat een oplossing van een aangedragen knelpunt via andere wegen dan wetgeving zou kunnen worden bereikt, maar dat het knelpunt samen met die partijen nog verder verkend moet worden om tot een oplossing te komen:
- registratie van zorgen over de (geestelijke) gezondheidstoestand door financiële instellingen in het kader van de op hen rustende zorgplicht voor kwetsbare groepen,
- de aansprakelijkheid voor aan privacy gerelateerde schade en het doorbelasten van boetes aan verwerkers opgelegd door de AP,
- wetenschappelijk onderzoek waarbij gebruik wordt gemaakt van grote al bestaande datasets, in relatie tot het toestemmingsvereiste,
- meer duidelijkheid en rechtszekerheid bij relatief eenvoudige “standaardverwerkingen” voor kleinere verwerkingsverantwoordelijken, en
- verduidelijking van de verhouding van de Archiefwet tot de AVG.
Evaluatie AVG
Nederland heeft een aantal onderwerpen in het kader van de evaluatie van de AVG onder de aandacht van de Europese Commissie gebracht. Dit zijn onderwerpen die grotendeels voortvloeien uit toezeggingen aan de Tweede Kamer.
De onderwerpen die al zijn ingebracht, zijn de volgende:
- verlichting van de registerplicht voor kleine bedrijven om de lasten voor deze bedrijven te verminderen,
- vermijden van extraterritoriale werking van nationale uitvoeringswetten om te voorkomen dat voor internationaal werkende ondernemingen opnieuw een lappendeken van wetgeving ontstaat,
- uniformering van de leeftijdsgrens waarop kinderen binnen de EU toestemming voor het verwerking van hun persoonsgegevens kunnen geven om in deze wereld van grensoverschrijdend dataverkeer de complexiteit voor zowel bedrijven als voor ouders en kinderen te verminderen,
- onderzoek naar mogelijkheden om de datamacht van grote techbedrijven via de AVG verder te beteugelen door bijvoorbeeld uitbreiding van de mogelijkheden van dataportabiliteit en eventuele introductie van nieuwe instrumenten voor toezicht door de Autoriteit persoonsgegevens,
- explicitering van het facultatieve karakter van een toezichthouder bij gebruik van een gedragscode,
- bevorderen dat certificering waar mogelijk op het niveau van de EU plaatsvindt en certificering op nationaal niveau alleen als dat daadwerkelijk meerwaarde heeft, en
- bevorderen dat er één uniform formulier wordt ontwikkeld voor het melden van datalekken bij de verschillende toezichthoudende autoriteiten van de lidstaten.
Business Europe, de Europese koepelorganisatie voor het bedrijfsleven, zal voor de evaluatie van de AVG nog punten inbrengen die naar verwachting ook voor het Nederlandse bedrijfsleven van belang zijn.
De Commissie moet voor 25 mei 2020 een evaluatieverslag aan bieden aan het Europees Parlement en de Raad over de evaluatie en toetsing van de AVG.
Voornemens met betrekking tot de UAVG en AVG