Download dit artikel als PDF 12 januari 2018

Nieuwe wet Algemene Verordening Gegevensbescherming. Waar moet u op letten? Deel 2: Uitvoeringswet Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG) zal op 28 mei 2018 in werking treden. Om ervoor te zorgen dat u goed voorbereid bent, zal met enige regelmaat een blog gepost worden waarin wij dieper ingaan op een onderwerp uit de AVG. In mijn vorige blog stond het onderwerp profilering centraal.  Dit keer zal ik aandacht schenken aan de Uitvoeringswet AVG (de Uitvoeringswet). Wat regelt deze nieuwe uitvoeringswet?

De AVG geeft lidstaten de verplichting enkele zaken in nationale wetgeving te regelen. Op sommige vlakken biedt ze echter ruimte om zelf afwijkende of aanvullende regels te stellen ten opzichte van de regels zoals die zijn neergelegd in de AVG. De Nederlandse wetgever maakt gebruik van deze mogelijkheid en heeft enkele afwijkende of aanvullende regels opgesteld. Deze zijn geregeld in de Uitvoeringswet. De Raad van State heeft op 10 oktober 2017 advies uitgebracht over deze Uitvoeringswet. Dat betekent ook dat de Uitvoeringswet zoals die er nu ligt, wellicht nog (enigszins) gewijzigd wordt voor de definitieve versie. Desalniettemin is de verwachting dat ze in hoofdlijnen hetzelfde zal blijven.

Toepassingsgebied
De Uitvoeringswet is in beginsel van toepassing op verwerkingsactiviteiten van Nederlandse vestigingen van verwerkers en verwerkingsverantwoordelijken of op de verwerking van persoonsgegevens van betrokkenen die zich in Nederland bevinden. Denk hierbij aan Facebook of Google, die persoonsgegevens van Nederlanders verwerken.

Autoriteit Persoonsgegevens
De Uitvoeringswet regelt de instelling van een nationale toezichthouder. In Nederland bestond deze reeds, namelijk de Autoriteit Persoonsgegevens (AP). De bevoegdheden van deze toezichthouder zijn in de Uitvoeringswet echter uitgebreid, de zelfstandige positie van de AP ten opzichte van de regering wordt benadrukt en ook kan de AP strenger handhaven door hogere boetes op te leggen.

Het verbod tot verwerking van bijzondere persoonsgegevens
Uitgangspunt in de AVG is dat verwerking van bijzondere persoonsgegevens, bijvoorbeeld gegevens over ras of medische gegevens, verboden is. Op dit verbod worden in de AVG uitzonderingen gemaakt, bijvoorbeeld indien de betrokkene uitdrukkelijke toestemming geeft. De AVG geeft lidstaten ook de mogelijkheid om zelf aanvullende voorwaarden te stellen aan de verwerking van bijzondere persoonsgegevens. De Nederlandse wetgever maakt van deze mogelijkheid gebruik in de Uitvoeringswet.

Het verbod op gebruik van biometrische gegevens geldt bijvoorbeeld niet indien de verwerking plaatsvindt voor authenticatie of beveiligingsdoeleinden. Dit wordt geschaard onder de uitzonderingsgrond van het zwaarwegend algemeen belang.

Een ander voorbeeld is dat het verbod op het verwerken van gegevens over de gezondheid niet geldt indien verwerkingsverantwoordelijke gebonden is aan geheimhouding, contractueel of wettelijk, en bovendien sprake is van één van de volgende gevallen:

  • indien bestuursorganen, pensioenfondsen, werkgevers of voor werkgevers werkzame instellingen gezondheidsgegevens noodzakelijkerwijs moeten verwerken voor een goede uitvoering van wettelijke voorschriften, pensioenregelingen, cao’s, re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid;
  • indien scholen gezondheidsgegevens noodzakelijkerwijs moeten verwerken met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen;
  • indien reclasseringsinstellingen, bijzondere reclasseringsambtenaren, de raad voor de kinderbescherming of de gecertificeerde instelling die kinderbeschermingsmaatregelen of jeugdreclassering uitvoert noodzakelijkerwijs gezondheidsgegevens moeten verwerken voor het uitoefenen van hun wettelijke plicht;
  • indien hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening noodzakelijkerwijs gezondheidsgegevens moeten verwerken met het oog op een goede behandeling of verzorging van de betrokkene en ten behoeve van het beheer van de instelling of beroepspraktijk;
  • indien verzekeraars noodzakelijkerwijs gezondheidsgegevens moeten verwerken voor de beoordeling van het te verzekeren risico en betrokkene daartegen geen bezwaar heeft gemaakt of voor de uitvoering van een verzekeringsoverzicht.

Beperken van rechten en plichten uit de AVG
De AVG kent betrokkenen een reeks rechten toe en sommige datalekken moeten aan betrokkenen gemeld worden. De Uitvoeringswet geeft hier enkele uitzonderingen op. De rechten van betrokkenen en de meldplicht aan betrokkenen kunnen buiten toepassing gelaten worden, indien dit evenredig is ter waarborging van:

  • nationale of openbare veiligheid;
  • strafrechtelijk onderzoek;
  • belangrijke doelstellingen van algemeen belang voor de EU of Nederland;
  • de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
  • het voorkomen, onderzoeken, opsporen en vervolgen van de schending van beroepscodes;
  • toezichtstaken die verband houden met de uitoefening van het openbaar gezag;
  • ter bescherming van de betrokkene of de rechten en vrijheden van anderen;
  • de inning van civielrechtelijke vorderingen.

Het Burgerservicenummer (BSN)
In de huidige privacywetgeving is het BSN een streng gereguleerd persoonsgegeven. Verwerking daarvan is alleen toegestaan indien een wettelijke verplichting zegt dat het BSN verwerkt moet worden. De AVG kent deze verplichting niet, maar de Nederlandse wetgever heeft deze verplichting opgenomen in de Uitvoeringswet. Uitgangspunt is daarom dat het gebruik van het BSN even streng geregeld is ten opzichte van de huidige situatie.

Conclusie
Geconcludeerd kan worden dat de Nederlandse wetgever op sommige punten dus belangrijke afwijkingen van of aanvullingen op de AVG heeft doorgevoerd. Er dient rekening mee te worden gehouden dat het om een wetsvoorstel gaat. Het is dus mogelijk dat (enkele van) de hier besproken punten niet doorgevoerd worden in de definitieve Uitvoeringswet.


Indien u meer wilt weten over dit onderwerp kunt u contact opnemen met Dewi Harkink of met één van onze advocaten uit de sectie IE/IT & Privacy.

Deze blog bevat algemene informatie en is met veel aandacht en zorgvuldigheid geschreven. Juridisch advies is echter altijd maatwerk. Wint u dus in een voorkomend geval altijd deskundig juridisch advies in. (Lees onze disclaimer).