Print:

De stand van zaken: de evaluatie van de AVG en de UAVG

mr. Friederike van der Jagt , Privacyadvocaat

LinkedIn profiel

De Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) zijn nu anderhalf jaar van toepassing. Inmiddels is gebleken dat er diverse knelpunten zijn bij de dagelijkse uitvoering van de wetgeving. Sommige knelpunten zijn niet nieuw, maar speelden al ten tijde van de invoering van de UAVG. Dat was destijds een haastklus en het parlement wist toen via de motie Koopmans c.s. af te dwingen dat er, binnen zes maanden na de invoering van de AVG en de UAVG, vanuit Minister Dekker een update zou komen over de ervaringen met de wetgeving en eventuele knelpunten, waarvoor de Minister dan tevens mogelijke oplossingen zou moeten aandragen (indien nodig via de aanpassing van de wetgeving). Aandachtspunten waren onder meer de verwerking van gezondheidsgegevens van werknemers in geval van ziekte en de mogelijkheden om de registerplicht voor het MKB te beperken. In april 2019 kwam de Minister met een eerste brief waarin hij toezeggingen deed om ‘rond de zomer’ de Kamer te informeren over de punten waarop een wijziging van de UAVG zou worden voorbereid. De Minister genoot klaarblijkelijk van een erg lange zomer; want pas op 31 oktober jl. informeerde hij de Kamer nader. In deze blog vat ik de brief van de Minister samen.

Voorlichting
Zowel uit de brief van april als de recente brief blijkt dat er veel behoefte is aan eenduidige voorlichting over diverse privacy-issues. Volgens de Minister kunnen veel vermeende knelpunten worden verholpen door voorlichting en uitleg. Hiertoe was het ministerie gestart met de ontwikkeling van een Privacywijzer. In de praktijk blijkt de website www.hulpbijprivacy.nl van de Autoriteit Persoonsgegevens reeds in de voorlichtingsbehoefte te voorzien en daarom wordt de ontwikkeling van de Privacywijzer gestaakt. Ook wordt op korte termijn door het ministerie van Sociale Zaken en Werkgelegenheid (SZW) het Kennisdocument Privacy gepubliceerd, waarin onder meer antwoord wordt gegeven op vragen over de privacyaspecten die spelen bij de werving en selectie en het in dienst nemen van mensen met een arbeidsbeperking.

Arbeidsrechtelijke wijzigingen
Het oplossen van een aantal van de knelpunten ligt niet bij de Minister maar bij de staatssecretaris van SZW. Zo wordt daar momenteel in kaart gebracht in welke gevallen behoefte bestaat aan het afnemen van alcohol- en drugstesten. Voor het einde van het jaar zal de staatssecretaris de Kamer hierover informeren, waarbij ze ook zal ingaan op de uitkomst van de uitvraag naar de ervaringen onder de AVG met de informatie-uitwisseling rondom zieke werknemers en de vraag of het mogelijk is om biometrische gegevens te gebruiken bij het tegengaan van fraude met werktijden.

Voorgestelde wijzigingen UAVG
Op vier punten bereidt de Minister wijzigingen van de UAVG voor. Het gaat hierbij om verwerkingen van persoonsgegevens die een (explicietere) grondslag moeten krijgen, te weten:

  1. de verwerking van bijzondere categorieën persoonsgegevens door accountants ter uitvoering van hun wettelijke controletaken;
  2. toepassing van biometrie voor de identificatie van personen in het belang van een rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten;
  3. verwerking van bijzondere categorieën van persoonsgegevens door het Huis voor klokkenluiders ter uitvoering van de wettelijke advies- en onderzoekstaken, zoals gegevens over discriminatie en achterstelling of benadeling wegens afkomst, religie of seksuele geaardheid, en
  4. verwerking van gezondheidsgegevens door patiëntenverenigingen voor intern gebruik in bijvoorbeeld hun ledenbestand.

Ad 1: De grondslag voor accountants is nodig, omdat zij anders hun controlewerkzaamheden niet kunnen uitvoeren bij klanten die naar hun aard bijzondere persoonsgegevens verwerken, zoals ziekenhuizen. Door deze wetswijziging wordt eens te meer bevestigd dat accountants onder de AVG en de UAVG als verwerkingsverantwoordelijken acteren.

Ad 2: Deze wijziging vloeit voort uit een opdracht van de Europese Commissie om artikel 29 UAVG te verduidelijken, nu daarin geen verwijzing is opgenomen naar het zwaarwegende belang dat met de uitzondering is gediend, namelijk het belang van een rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten.

Ad 3: Deze uitzondering is in overleg met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) tot stand gekomen.

Ad 4: Artikel 9 lid 2 onder d AVG voorziet in de mogelijkheid voor verenigingen en andere instanties zonder winstoogmerk, die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam zijn, om onder strenge voorwaarden bijzondere persoonsgegevens te mogen verwerken. Patiëntenverenigingen vallen niet onder deze uitzondering. Het verwerken van bijzondere persoonsgegevens is echter inherent aan het bijhouden van hun ledenbestanden. De Minister creëert nu een nationaalrechtelijke uitzondering. Ik verwacht echter dat dit probleem in meer lidstaten speelt, dus het zou wellicht de overweging waard zijn om artikel 9 lid 2 onder d AVG aan te passen, in plaats van op nationaal niveau uitzonderingen te gaan creëren.

Nader onderzoek of aanpassing van de wetgeving noodzakelijk is
Ten aanzien van een aantal andere onderwerpen wordt door het kabinet nog overleg gevoerd met onder meer de betreffende branche of aanpassing van de wetgeving daadwerkelijk noodzakelijk is. Het gaat hierbij om:

  1. gebruik van het BIG-nummer buiten de Wet BIG ten behoeve van bijvoorbeeld na- en bijscholing;
  2. een adequate grondslag voor profilering door banken ter voorkoming van witwassen en fraude;
  3. een verplichting voor uitleners van personeel of onderaannemers om aan de opdrachtgever de gegevens te verstrekken die noodzakelijk zijn om gebruik te kunnen maken van vrijwarende betaling via een zogenoemde g-rekening;
  4. cross-sectorale gegevensdeling te behoeve van de bestrijding van fraude;
  5. uitbreiding van de uitzonderingen die gelden voor archiefbewaarplaatsen met betrekking tot bepaalde verplichtingen uit de AVG tot ook andere maatschappelijk relevante archieven;
  6. delen van gegevens over verkeersboetes ten behoeve van het verhalen van deze boetes op de berijder door autoleasemaatschappijen e.a., en
  7. gebruik van het BSN-nummer door ondernemers, meer in het bijzonder door banken e.a. voor het uitoefenen van de poortwachtersfunctie bij het voorkomen van witwassen.


Andere oplossingen
Voor een aantal andere knelpunten ziet de Minister een oplossing zonder dat hiervoor de wetgeving hoeft te worden aangepast, te weten:

  1. registratie van zorgen over de (geestelijke) gezondheidstoestand door financiële instellingen in het kader van de op hen rustende zorgplicht voor kwetsbare groepen;
  2. de aansprakelijkheid voor aan privacy gerelateerde schade en het doorbelasten van boetes aan verwerkers opgelegd door de AP;
  3. wetenschappelijk onderzoek waarbij gebruik wordt gemaakt van grote al bestaande datasets, in relatie tot het toestemmingsvereiste;
  4. meer duidelijkheid en rechtszekerheid bij relatief eenvoudige “standaardverwerkingen” voor kleinere verwerkingsverantwoordelijken, en
  5. verduidelijking van de verhouding van de Archiefwet tot de AVG.

Ad 4: de regering is onder meer via de motie Van Gent c.s. en VNO-NCW verzocht om met de Autoriteit Persoonsgegevens te gaan praten over een beleidsregel waarin een groot aantal standaardverwerkingen wordt uitgewerkt om zo duidelijkheid en rechtszekerheid te vergroten. Een dergelijke beleidsregel zou vergelijkbaar zijn met het Vrijstellingsbesluit dat onder de Wet bescherming persoonsgegevens werd toegepast. Volgens de Minister is dit echter niet nodig: via voorlichting kan de gevraagde rechtszekerheid en duidelijkheid worden geboden en dit is ook flexibeler in geval van nieuwe ontwikkelingen.

Evaluatie van de AVG
Sommige knelpunten zien niet zozeer op de UAVG maar op de AVG. Voor de evaluatie van de AVG, waarvoor de Europese Commissie uiterlijk op 25 mei 2020 bij het Parlement een verslag moet indienen (zie artikel 97 lid 1 AVG), heeft Nederland de volgende onderwerpen ingebracht:

  1. verlichting van de registerplicht voor kleine bedrijven om de lasten voor deze bedrijven te verminderen;
  2. vermijden van extraterritoriale werking van nationale uitvoeringswetten om te voorkomen dat voor internationaal werkende ondernemingen opnieuw een lappendeken van wetgeving ontstaat;
  3. uniformering van de leeftijdsgrens waarop kinderen binnen de EU toestemming voor het verwerking van hun persoonsgegevens kunnen geven teneinde in deze wereld van grensoverschrijdend dataverkeer de complexiteit voor zowel bedrijven als voor ouders en kinderen te verminderen,
  4. onderzoek naar mogelijkheden om de datamacht van grote techbedrijven via de AVG verder te beteugelen door bijvoorbeeld uitbreiding van de mogelijkheden van dataportabiliteit en eventuele introductie van nieuwe instrumenten voor toezicht door de Autoriteit persoonsgegevens,
  5. explicitering van het facultatieve karakter van een toezichthouder bij gebruik van een gedragscode;
  6. bevorderen dat certificering waar mogelijk op het niveau van de EU plaatsvindt en certificering op nationaal niveau alleen als dat daadwerkelijk meerwaarde heeft, en
  7. bevorderen dat er één uniform formulier wordt ontwikkeld ten behoeve van het melden van datalekken bij de verschillende toezichthoudende autoriteiten van de lidstaten.

Uit bovenstaande blijkt duidelijk de wens van de Nederlandse regering om de (praktische uitwerking) van de AVG verder te harmoniseren, om het zo voor bedrijven makkelijker te maken om zaken te doen.

Tot slot
Het is nu dus wachten op het conceptwetsvoorstel voor de wijzigingen van de UAVG. De Minister heeft aangekondigd dat hij er naar streeft om het wetsvoorstel in Q1 2020 in consultatie te brengen. In mei volgt dan het eerste evaluatieverslag van de AVG. 2020 belooft op privacygebied dan ook weer allesbehalve saai te worden!

Aantoonbaar in control zijn en blijven? Volg dan de 10-daagse opleiding Certified Data Protection Officer en behaal de premium beroepscertificering voor Privacy Professionals (PO, FG). Of bekijk al onze trainingen, opleidingen en events op het gebied van dataprotectie en privacy.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.