Kamerbrief over wijziging UAVG

04-06-2020

Minister Dekker voor Rechtsbescherming informeert de Tweede Kamer mede namens de minister voor Binnenlandse Zaken en Koninkrijksrelaties over de stand van zaken met betrekking tot de voorgenomen wijziging van de UAVG.

1. Inleiding

Op 25 mei 2018 is de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) in werking getreden.(1) Met deze wet wordt uitvoering gegeven aan de Algemene verordening gegevensbescherming (AVG) en werd de Wet bescherming persoonsgegevens ingetrokken.

Tijdens de behandeling van het desbetreffende wetsvoorstel heb ik toegezegd direct na afronding van dit wetsvoorstel de mogelijkheden te verkennen voor verdere modernisering en verbetering van het gegevensbeschermingsrecht.(2) In lijn met deze toezegging heb ik toen ook de motie Koopmans c.s. overgenomen, waarin de regering werd verzocht de ervaringen met betrekking tot de UAVG te inventariseren en in het licht daarvan zo nodig maatregelen te treffen.(3) In het licht van deze toezegging en deze motie zijn de eerste ervaringen met de UAVG geïnventariseerd. In een brief van 1 april 2019 is de Tweede Kamer geïnformeerd over het resultaat van deze inventarisatie en in het bijzonder over de punten die in de motie-Koopmans c.s. waren genoemd.(4)

Uit deze inventarisatie kwam het beeld naar voren dat er een sterke behoefte bestaat en blijft bestaan aan voorlichting over de AVG, de UAVG en sectorale wetgeving die als gevolg van de AVG is aangepast. In dat verband werd gewezen op de voorlichtingsactiviteiten van de Autoriteit persoonsgegevens (AP), van koepelorganisaties of van een voorziening als de AVG-helpdesk Zorg, Welzijn en Sport van het Ministerie van VWS. Verder bleek dat er punten waren die aandacht zouden vragen bij de evaluatie van de AVG zelf, die uiterlijk 25 mei 2020 moet zijn afgerond. Tot slot werd in voornoemde brief aangekondigd dat de Tweede Kamer nader zou worden geïnformeerd over punten waarvoor een wijziging van de UAVG zou worden voorbereid.

In vervolg daarop heb ik de Tweede Kamer in een brief van 31 oktober 2019 geïnformeerd over punten op dit vlak die nadien nog onder mijn aandacht zijn gebracht, en heb ik aangegeven op welke punten al voldoende kon worden beoordeeld dat het wenselijk is de UAVG of eventueel andere wetgeving aan te passen. Daarvoor zou een wetsvoorstel worden opgesteld dat in het eerste kwartaal van 2020 in consultatie zou worden gebracht.(5)

Mede namens de minister voor Binnenlandse Zaken en Koninkrijksrelaties informeer ik uw Kamer in deze brief over de stand van zaken met betrekking tot de voorgenomen aanpassing van de UAVG en andere wetten (§ 2), de overige punten waarvoor wetgeving is of wordt overwogen (§ 3), de punten waarvoor geen wetswijziging nodig is (§ 4) en de evaluatie van de AVG (§ 5).

2. Wetsvoorstel tot wijziging van de UAVG e.a. (Verzamelwet gegevensbescherming)

Het wetsvoorstel is op 20 mei jl. in consultatie gegaan.(6) Daarin worden, naast verscheidene andere wijzigingen, de volgende wijzigingen voorgesteld die al in mijn brief van 31 oktober jl. werden aangekondigd c.q. overwogen:

  • invoering van een grondslag voor de verwerking van bijzondere categorieën persoonsgegevens door accountants ter uitvoering van hun wettelijke controletaken,
  • verduidelijking van de voorwaarden voor toepassing van biometrie voor de identificatie van personen, voor zover noodzakelijk voor de rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten,
  • invoering van een grondslag voor verwerking van bijzondere categorieën van persoonsgegevens en van persoonsgegevens van strafrechtelijke aard door het Huis voor klokkenluiders ter uitvoering van de wettelijke advies- en onderzoekstaken,
  • invoering van een grondslag voor verwerking van gezondheidsgegevens door patiëntenverenigingen voor intern gebruik, bijvoorbeeld in hun ledenbestand,
  • verduidelijking van de grondslag voor financiële ondernemingen om in het kader van het uitvoeren van transactiemonitoring zo nodig ook geautomatiseerd transacties te kunnen blokkeren of opschorten, ter voorkoming van fraude,
  • uitbreiding van de uitzonderingen die gelden voor archiefbewaarplaatsen met betrekking tot bepaalde verplichtingen uit de AVG tot ook andere instellingen die archieven van blijvende waarde voor het algemeen en historisch belang beheren, en
  • invoering van een grondslag voor het verwerken van gegevens over verkeersboetes ten behoeve van het verhalen van deze boetes op de berijder door autoleasemaatschappijen e.a.

Dit wetsvoorstel bevat geen wijzigingsvoorstellen voor alle punten ten aanzien waarvan in de brief van 31 oktober 2019 werd overwogen om de wetgeving aan te passen. In § 3 van deze brief informeer ik uw Kamer over de stand van zaken c.q. conclusies met betrekking tot de punten die buiten het wetsvoorstel zijn gelaten. Het wetsvoorstel bevat overigens ook wijzigingsvoorstellen over onderwerpen die in de brief van 31 oktober 2019 nog niet aan de orde waren gesteld, maar nadien onder mijn aandacht zijn gebracht.

3. Stand van zaken overige punten waarvoor wetgeving is of wordt overwogen

3.1 Alcohol- en drugstesten
n haar brief van 16 januari jl. heeft de staatssecretaris van SZW uw Kamer al geïnformeerd over haar voornemens om het afnemen van testen op alcohol en drugs op de werkplek in specifieke risicovolle situaties mogelijk te maken.(7)

3.2 Informatie-uitwisseling rondom zieke werknemers
In voornoemde brief van 16 januari jl. van de staatssecretaris van SZW is uw Kamer ook al geïnformeerd over de stand van zaken met betrekking tot de eerder aangekondigde uitvraag naar de ervaringen onder de AVG met informatieuitwisseling rondom zieke werknemers en het vervolg daarop.

3.3 Gebruik van het BIG-nummer buiten de Wet BIG ten behoeve van bijvoorbeeld na- en bijscholing
De beroepsverenigingen voor artsen, tandartsen en apothekers, KNMG, KNMT, respectievelijk KNMP, hebben verzocht een wettelijke voorziening op te nemen die het mogelijk maakt het BIG-nummer te gebruiken buiten het kader van de Wet BIG. Zij geven als voorbeeld dat er internetapplicaties in gebruik zijn om de scholingsactiviteiten van BIG-geregistreerde beroepsbeoefenaren te registreren. Er bestaat bij de beroepsverenigingen onzekerheid of het gebruik van het BIGnummer voor dit soort activiteiten is toegestaan. De drie organisaties zijn van oordeel dat het identificerende BIG-nummer niet privacy-gevoelig is en dat aan het gebruik daarvan geen risico’s kleven. De AP heeft het BIG-nummer in 2012 als privacy-gevoelig aangemerkt. De wens van de beroepsverenigingen van BIG-geregistreerde beroepsbeoefenaren om dit nummer niettemin ook bij activiteiten binnen hun vereniging te gebruiken is begrijpelijk, zeker als het gaat om processen en activiteiten die dienstbaar zijn aan de doelstellingen van de Wet BIG. Het gaat dan om verplichtingen die betrekking hebben op na- en bijscholing of het opdoen van werkervaring. Het Ministerie van VWS is samen met de drie beroepsverenigingen in overleg met de AP om te bezien op welke wijze het BIG-nummer door de beroepsorganisaties gebruikt kan en mag worden. VWS verwacht dit overleg rond de zomer te kunnen afronden.

3.4 Verplichting voor uitleners van personeel of onderaannemers om aan de opdrachtgever de gegevens te verstrekken die noodzakelijk zijn om gebruik te kunnen maken van vrijwarende betaling via een zogenoemde g-rekening
De afgelopen tijd heeft overleg plaatsgevonden over de wens van het bedrijfsleven om in de regeling voor de vrijwarende betaling in fiscale wetgeving in de invordering te regelen dat de uitlener verplicht is ook bepaalde andere persoonsgegevens dan het BSN te verstrekken aan de inlener. Volgens organisaties uit het bedrijfsleven zou dit nu niet mogen, omdat de AVG daaraan in de weg zou staan. Naar aanleiding van dit punt hebben betrokken partijen binnenkort overleg met de AP om over dit punt meer duidelijkheid te krijgen.

3.5 Cross-sectorale gegevensdeling te behoeve van de bestrijding van fraude
Bij de behandeling van de begroting van het ministerie van Justitie en Veiligheid op 21 november 2019 is door de leden Van Aartsen (VVD) en Yesilgöz-Zegerius (VVD) een motie ingediend waarin de regering wordt verzocht te onderzoeken in hoeverre het mogelijk is dat ondernemers onderling informatie uitwisselen in de strijd tegen georganiseerde en ondermijnende criminaliteit.(8) Bij brief van 11 juni 2019 heb ik u de Beleidsreactie onderzoek 'Cross-sectorale gegevensdeling tussen private partijen voor fraudebestrijding’ doen toekomen.(9) Hierin is aangegeven dat binnen het wettelijk kader van AVG en UAVG (cross-sectorale) gegevensdeling tussen private partijen mogelijk is mèt vergunning van de AP. In vervolg op dit onderzoek voert MKB Nederland, met ondersteuning van het ministerie van Justitie en Veiligheid, een data protection impact assessment (DPIA) uit om de privacyrisico’s van de gegevensverwerking in kaart te brengen. Op basis hiervan kan een vergunningsaanvraag worden voorgelegd aan de AP om gegevensdeling mogelijk te kunnen maken.

3.6 Gebruik van het BSN-nummer door ondernemers, meer in het bijzonder door banken e.a. voor het uitoefenen van de poortwachtersfunctie bij het voorkomen van witwassen
Zoals uit de brief van 31 oktober jl. blijkt, hebben VNO-NCW en MKB-Nederland gevraagd het burgerservicenummer (BSN), gezien de meerwaarde die het gebruik daarvan heeft voor allerlei administratieve processen en klantgerichte vertrouwensmodellen, vrij te geven voor een breder gebruik. Met het oog daarop wijs ik er graag op dat de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties uw Kamer heeft toegezegd een brief te sturen over toegang tot de Basisregistratie Persoonsgegevens voor banken.(10) In die brief zal hij ook ingaan op het toekomstig BSN-beleid.

Eerder heb ik melding gemaakt van het vraagstuk of het gebruik van het BSN dient te worden toegestaan ten behoeve van het uitoefenen van de poortwachtersfunctie van instellingen, zoals banken. Met het oog op die vraag heeft de Minister van Financiën mede namens de Minister van JenV afgelopen september de AP om advies gevraagd over onder meer het gebruik van het BSN voor specifiek dit doel. Het advies is op 16 december 2019 ontvangen en is aan uw Kamer gezonden, als bijlage bij de voortgangsbrief over het plan van aanpak witwassen.(11) De AP heeft in hoofdzaak opmerkingen over de onderbouwing (noodzaak) en de afweging met minder ingrijpende alternatieven (subsidiariteit). Hierover is in overleg getreden met de betrokken partijen en de uitkomsten daarvan worden meegenomen in het wetsvoorstel plan van aanpak witwassen, dat december jl. in consultatie is gebracht.(12)

De afgelopen maanden heeft overleg plaatsgevonden over de wens van de bankensector om voor banken de mogelijkheid te scheppen in voorkomende gevallen in het belang van de klant zorgen omtrent de (geestelijke) gezondheidstoestand van cliënten te kunnen registreren. Aan dit overleg namen deel de ministeries van Financiën, JenV en VWS, de AFM, de AP, het klachteninstituut financiële dienstverlening (Kifid) en de Nederlandse Vereniging van banken (NVB). In onderling overleg is vooralsnog besloten om dit traject niet verder in te gaan. Het blijkt op dit moment voor de bankensector lastig afdoende de afweging tussen de privacy van de betrokken klant en de zorg voor klanten met mogelijk een ziekte te maken en gedegen te onderbouwen. In de plaats daarvan wil de sector onderzoeken of hiermee in de praktijk op een andere werkbare manier kan worden omgegaan, waarbij aanvullende regelgeving niet nodig is. Als uit het praktijkonderzoek blijkt dat het zonder regelgeving toch niet goed mogelijk is voor banken om tegemoet te komen aan de zorg voor klanten met mogelijk een ziekte, dan wil de sector opnieuw contact met de betrokken ministeries zoeken. De financiële instellingen verwachten dat dit praktijkonderzoek binnen zes maanden zal zijn afgerond.

4.2 Aansprakelijkheid voor aan privacy gerelateerde schade en het doorbelasten van boetes aan verwerkers opgelegd door de AP
De brancheorganisaties NLdigital en VNO-NCW hebben hun zorg geuit over de in mei 2018 doorgevoerde wijziging in de Algemene Rijksinkoopvoorwaarden. De wijziging maakt het mogelijk om schade en boetes door privacyschendingen te verhalen op de partij die verantwoordelijk is voor de privacyschending. Over deze zorg heeft de afgelopen periode overleg plaatsgevonden met de AP en vertegenwoordigers van de interdepartementale Commissie Bedrijfsjuridisch Advies (CBA).

De AP heeft laten weten dat, indien volgens haar vast staat dat een overtreding van de AVG door de overtreder (een verwerkingsverantwoordelijke of een verwerker) is begaan, dan daarmee de verantwoordelijkheid/verwijtbaarheid van die overtreder voor de overtreding volgens vaste jurisprudentie een gegeven is.

Intussen is via de CBA geïnventariseerd of en zo ja hoe vaak marktpartijen afzien van inschrijving op overheidsopdrachten vanwege de gewijzigde voorwaarden. Op basis van de uitkomst van deze inventarisatie zal de CBA de door haar gemaakte keuzes bij de wijziging van de Algemene Rijksinkoopvoorwaarden in 2018 nog eens bezien en over het resultaat daarvan in overleg treden met de betrokken brancheorganisaties.

4.3 Wetenschappelijk onderzoek waarbij gebruik wordt gemaakt van grote al bestaande datasets, in relatie tot het toestemmingsvereiste
Om oplossingen te vinden voor nieuwe ziektes, kwaliteit van zorg te verhogen en zorgkosten te verlagen is intensief wetenschappelijk onderzoek nodig. Toegang tot medische persoonsgegevens (“data”) is een vereiste om onderzoek te doen. In de AVG vormen gegevens over gezondheid een bijzondere categorie, die niet verwerkt mogen worden tenzij er sprake is van één van de limitatief opgesomde uitzonderingen in de wet, zoals gebruik van gegevens over gezondheid in het kader van wetenschappelijk onderzoek. De AVG heeft ruimte gelaten aan de lidstaten om eigen (aanvullende) regels te stellen aan het gebruik van gegevens over gezondheid voor wetenschappelijk onderzoek. Nederland heeft dit gedaan in artikel 24 van de UAVG.

De uitleg van de normen in dit artikel leiden in de praktijk echter tot veel vragen. Sommige onderzoekers menen ook dat alleen al deze onduidelijkheid voor onnodige vertraging en kosten zorgt. In het bijzonder gaat het dan om het vereiste dat het vragen van toestemming aan de patiënt “onmogelijk blijkt of onevenredige inspanning kost”.

Door VWS wordt in samenwerking met JenV onderzocht op welke manier handvatten gegeven kunnen worden bij het uitvoeren van deze regels. Er wordt naar gestreefd dit najaar de eerste stappen hiertoe te hebben gezet.

Verder werkt op dit moment Federa-COREON, de Commissie Regelgeving Onderzoek van de Federa (de Federatie van Medisch Wetenschappelijke Verenigingen), aan een herziening van de gedragscode gezondheidsonderzoek, die onduidelijkheid over regels en gegevensbescherming weg kan nemen en daarmee ook zal bijdragen aan een eenduidige interpretatie. Bij deze herziening worden meerdere partijen betrokken zoals NFU, STZ, Vereniging Innovatieve Geneesmiddelen, Samenwerkende Gezondheidsfondsen en Zorgverzekeraars Nederland. De beoogde afronding is in 2021. Deze gedragscode zal ook ter goedkeuring voorgelegd worden aan de AP. VWS steunt dit initiatief via ZonMW met een financiële bijdrage.

4.4 Meer duidelijkheid en rechtszekerheid bij relatief eenvoudige «standaardverwerkingen» voor kleinere verwerkingsverantwoordelijken
In mijn brief van 31 oktober jl. heb ik uw Kamer bericht dat de AP met haar voorlichtingsactiviteiten al veel duidelijkheid en rechtszekerheid biedt over de wijze waarop het MKB verwerkingen dient uit te voeren die in de motie van het lid Van Gent c.s. als standaardverwerkingen zijn aangeduid.(13) In aanvulling daarop kan ik uw Kamer meedelen dat de AP in januari 2020 een werkbezoek heeft afgelegd aan VNO-NCW en MKB-Nederland, waarbij ook organisaties als Thuiswinkel.org, de Raad Nederlandse Detailhandel, ANVR, In Retail, Detailhandel Nederland en de BOVAG aanwezig waren. Daarbij zijn de praktische uitvoerbaarheid van de AVG en specifieke ondernemersthema’s aan bod gekomen en zijn vervolgafspraken gemaakt voor regulier overleg, rondetafels op andere thema´s, e.d.

In maart en april 2020 zijn er gesprekken tussen de AP en EZK geweest over de Maatwerkaanpak Ambachten. Hierin werken departementen, toezichthouders, inspecties en andere overheidsorganisaties samen om knelpunten waar ondernemers tegenaan lopen, te inventariseren, analyseren en te zoeken naar haalbare oplossingen. In deze aanpak is naar voren gekomen dat de voorlichting over de AVG meer aandacht nodig heeft, bijvoorbeeld door animaties van voorbeeldsituaties en formats. EZK heeft inmiddels een aantal ondernemers gevraagd wat er verbeterd zou kunnen worden in de communicatie en kritisch te kijken naar kanalen en teksten van de AP (website, Q&A’s, hulpbijprivacy.nl e.d.). Aan de hand van de opbrengst daarvan maakt de AP een plan van aanpak waarbij zij kijkt hoe ze samen met EZK een aantal punten kan oppakken om bestaande kanalen beter te benutten en waar mogelijk nieuwe materialen kan ontwikkelen om de AVG beter over het voetlicht te brengen.

Ook ontwikkelde de AP samen met de RVO de digitale AVG-regelhulp.(14) Deze website wordt nog steeds goed bezocht.

4.5 Verduidelijking van de verhouding van de Archiefwet tot de AVG.
In mijn brief van 31 oktober jl. schreef ik dat de Minister voor Basis- en Voortgezet Onderwijs en Media werkt aan een modernisering van de Archiefwet, waarin de relatie met de AVG zal worden toegelicht. Naar verwachting zal dit wetsvoorstel in het najaar van 2020 bij de Kamer worden ingediend.

5. Evaluatie AVG
In mijn brief van 31 oktober jl. heb ik ook aangeven welke onderwerpen Nederland in het kader van de evaluatie van de AVG onder de aandacht van de Europese Commissie heeft gebracht. Deze onderwerpen zijn ingebracht tijdens de onderhandelingen die vorig najaar plaats hebben gevonden in de Raadswerkgroep Dapix en ter voorbereiding dienden van de positie van de Raad ten aanzien van de evaluatie van de AVG.

De Raadspositie is begin januari 2020 onder Kroatisch voorzitterschap vastgesteld en sluit goed aan bij de Nederlandse inzet.

Zo wordt voor een brede evaluatie van de AVG gepleit, die verder gaat dan alleen de in artikel 97 AVG genoemde verplichte onderwerpen, te weten de internationale doorgiften (hoofdstuk V) en het samenwerkings- en coherentiemechanisme (hoofdstuk VII).

Ook is bereikt dat in de Raadspositie aandacht wordt besteed aan de vraag hoe de datamacht van grote techbedrijven verder beteugeld kan worden en aan het belang van de ontwikkeling van een Europese visie op dit punt. In lijn met de Nederlandse inzet stimuleert de Raadspositie de Commissie bijvoorbeeld te onderzoeken in hoeverre betrokkenen hun datarechten effectief kunnen uitoefenen jegens grote techbedrijven. In het verlengde hiervan benadrukt de Raadspositie dat, ook al is de AVG techniekneutraal geformuleerd, het nodig is om te blijven monitoren of de AVG voldoende en adequaat toegesneden is op nieuwe technologieën, zoals big data, algoritmen en kunstmatige intelligentie, nieuwe profileringsmethoden, deep-fake of gezichtsherkenning.

Positief is ook dat in de Raadspositie wordt ingegaan op de gevolgen van de regeldruk van de AVG voor het MKB. Op voorspraak van Nederland en enkele andere lidstaten vraagt de Raadspositie onder meer aandacht voor de te beperkte uitzondering voor het MKB op de registerplicht. In de raadspositie wordt voorgesteld te onderzoeken of een vereenvoudigde registerplicht of een standaardformulier voor het melden van datalekken kan worden ontwikkeld; onderwerpen waarvoor, zoals in de brief van 31 oktober jl. al werd aangekondigd, van Nederlandse zijde aandacht is gevraagd.

Een laatste belangrijk onderwerp is de gewenste uniformering van de leeftijdsgrens waarop kinderen, binnen de EU, toestemming voor de verwerking van hun persoonsgegevens kunnen geven. Op voorspraak van Nederland en enkele andere lidstaten wordt in de Raadspositie erkend dat de huidige fragmentatie van leeftijdsgrenzen rechtsonzekerheid meebrengt over de te hanteren leeftijdsgrens bij grensoverschrijdende verwerkingen.

Of en, zo ja, in hoeverre de Raadspositie en de daarin door Nederland aangedragen punten door de Commissie worden overgenomen, zal pas beoordeeld kunnen worden op het moment dat de Europese Commissie haar evaluatieverslag indient bij de Raad en het Europees Parlement. De Commissie is formeel namelijk niet verplicht om de aanbevelingen van de Raad over te nemen.

Het evaluatieverslag van de Commissie zou formeel uiterlijk 25 mei jl. moeten zijn ingediend. Aanvankelijk zou de Commissie dat op 22 april jl. hebben gedaan. Vanwege de Corona-crisis is dit uitgesteld. Er is op dit moment nog geen nieuwe datum bekend.

6. Slot
Tot slot van deze brief wijs ik uw Kamer nog op artikel 50 van de UAVG. Daarin is bepaald dat de minister voor Rechtsbescherming binnen drie jaar na de inwerkingtreding van die wet, en vervolgens telkens na vier jaar, aan de StatenGeneraal een verslag zendt over de effecten van deze wet in de praktijk en over de uitvoering van de wet in de praktijk. De hier bedoelde evaluatie dient dus uiterlijk 25 mei 2021 te zijn afgerond. Naar verwachting zal ook deze evaluatie aanleiding kunnen geven om opnieuw wijzigingen van de UAVG in overweging te nemen.

Sander Dekker
Minister voor Rechtsbescherming

Voetnoten

(1) Stb. 2018, 144.
(2) Handelingen II 2017/18, 59, item 4, p. 18.
(3) Kamerstukken II 2017/18, 34 851, nr. 19.
(4) Kamerstukken II 2018/19, 32 761, nr. 132.
(5) Kamerstukken II 2019/20, 32 761, nr. 151.
(6) Zie: https://www.internetconsultatie.nl/verzamelwetgegevensbescherming.
(7) Kamerstukken II 2019/20, 25 883, nr. 371.
(8) Kamerstukken II 2019/20, 35300-VI, nr. 40.
(9) Kamerstukken II 2018/19, 17050; 32761, nr. 576.
(10) Kamerstukken II 2019/20, 25 764, nr. 124, p. 24.
(11) Kamerstukken II 2019/20, 31477, nr. 50. 12 https://www.internetconsultatie.nl/wetplanvanaanpakwitwassen.
(13) Kamerstukken II 2019/20, 32761, nr. 143.
(14) https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom.

bron: Rijksoverheid

Van onze partners

Magazine: Privacy en de gemeente

→ Lees meer

Privacy voor finance professionals

→ Lees meer

Privacywetgeving in de opsporing: de Wpg voor BOA's

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer