Wet van 16-05-2018, Stb. 2018, 144 en inwerkingtredingsbesluit van 16-05-2018, Stb. 2018, 145

Wet houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevens;bescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming)

—De verordening en de Uitvoeringswet vervangen de bestaande Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Over het voorstel voor de verordening van de Commissie van 25 januari 2012 is ruim vier jaar onderhandeld door de 28 lidstaten. In die tijd is door het Europees Parlement een recordaantal van 3.999 amendementen ingediend. Het resultaat van een dergelijk langdurig en gecompliceerd onderhandelingsproces bevat onontkoombaar compromissen wat ertoe heeft geleid dat er nog maar beperkt ruimte is voor de nationale wetgever om op het terrein van de verwerking van persoonsgegevens zelf iets (afwijkends) te regelen. Daar waar de verordening nog wel ruimte laat voor nationale keuzes, of met het oog op een nadere invulling van regels, is er uitdrukkelijk voor gekozen om in de Uitvoeringswet voort te bouwen op het huidige normenkader uit Richtlijn 95/46/EG en de Wbp. Enerzijds omdat als gevolg van de inwerkingtreding van de verordening op 25 mei 2018 de tijd ontbreekt om op dit moment een geheel nieuw kader te ontwikkelen. Anderzijds om de overgang van de oude naar de nieuwe situatie zo soepel mogelijk te laten verlopen.

De materiële normen waaraan de verwerking van persoonsgegevens onder het regime van de verordening moet voldoen, zijn in grote lijnen gelijk gebleven aan die uit Richtlijn 95/46/EG en de Wbp. Er zijn in de verordening zelfs bepaalde elementen uit de Wbp overgenomen zoals de aspecten die relevant zijn bij de beoordeling of het doel van een verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens oorspronkelijk verzameld zijn. Bovendien is er op een enkel punt ook sprake van een verruiming van de mogelijkheden om persoonsgegevens te verwerken. De belangrijkste verschillen zien vooral op de rechten van betrokkenen, die versterkt worden, en op de daarmee samenhangende verplichtingen van de verwerkingsverantwoordelijken, die strenger worden. Alle nieuwe rechten en verplichtingen vloeien direct voort uit de verordening. Zo is voor de betrokkene het (in de jurisprudentie ontwikkelde) recht op vergetelheid vastgelegd en het recht op dataportabiliteit. Aan de verwerkingsverantwoordelijke wordt meer transparantie en verantwoording gevraagd dan onder het huidige regime. De verwerkingsverantwoordelijke moet voortaan kunnen aantonen dat hij in overeenstemming met de verordening handelt. Dat vergt dat informatiestromen in kaart worden gebracht en verwerkingen van persoonsgegevens worden bijgehouden. Voordat hij begint met het verwerken van persoonsgegevens die een hoog risico met zich meebrengen moet hij een gegevensbeschermingseffectbeoordeling uitvoeren. Ook moet de verwerkingsverantwoordelijke reeds bij de bouw en het ontwerp van een gegevensverwerkingssysteem rekening houden met de eisen die de verordening stelt. Verder stelt de verordening nieuwe eisen aan de relatie tussen de verwerkingsverantwoordelijke en degene die ten behoeve van hem eventueel persoonsgegevens verwerkt (de verwerker). Ook verplicht de verordening in meer gevallen tot het aanwijzen van een functionaris voor gegevensbescherming.

Naast de verordening is op 27 april 2016 ook de Richtlijn gegevensbescherming opsporing en vervolging (PbEU 2016, L 119) vastgesteld. Deze richtlijn staat los van de verordening en wordt in een separaat wetsvoorstel geïmplementeerd (Kamerstukken II 2017/18, 34 889). In de Memorie van Toelichting wordt nader ingegaan op de verhouding tussen de verordening en deze richtlijn. Ook is een Aanpassingswet AVG aanhaning (Kamerstukken II 2017/18, 34 939). In deze wet worden bestaande wetten en eventueel aanhangige wetsvoorstellen aangepast aan de terminologie van de verordening en het wegvallen van de Wbp als de algemene wet voor bescherming van persoonsgegevens.

Zie voor meer informatie over de Verordening (o.a.) NJB 2018/51, afl. 1 en NJB 2018/356, afl. 7 (H. Hielkema, ‘De AVG en de UAVG’).


Uitvoeringswet

Een eerste onderdeel van de Uitvoeringswet bestaat uit de oprichting en inrichting van de nationale toezichthoudende autoriteit, die aangewezen zal zijn om het toezicht op naleving van de verordening te houden. De Autoriteit persoonsgegevens wordt aangewezen als enige toezichthoudende autoriteit in de zin van de Verordening. De toezichthoudende taak van de AP heeft niet alleen betrekking op de naleving van de AVG, maar ook op de naleving van de Uitvoeringswet en van andere regelingen op grond waarvan persoonsgegevens worden verwerkt. De Autoriteit persoonsgegevens beschikt over een eigen begroting met de voor diens onafhankelijke taakuitoefening noodzakelijke financiële middelen. Ter verdere waarborging van de onafhankelijke positie wordt ook de zelfstandigheid vergroot door het toekennen van eigen rechtspersoonlijkheid aan de Autoriteit persoonsgegevens. Het betreft hier een afwijking van het rijksbeleid inzake verzelfstandiging, ingegeven door de AVG. Voor een belangrijk deel worden de taken en bevoegdheden van de toezichthoudende autoriteit bepaald door de verordening. Een substantieel deel van deze taken en bevoegdheden betreft handhaving; dat wil zeggen toezicht op de naleving van wettelijke voorschriften en het sanctioneren van daarbij geconstateerde overtredingen. Op besluiten die (het personeel van) de Autoriteit persoonsgegevens in verband met deze taken en bevoegdheden neemt is de Algemene wet bestuursrecht (Awb) van toepassing. Waar in de wet en in de memorie van toelichting wordt gesproken over klacht in de zin van de verordening, gaat het in de terminologie van de Awb over een verzoek tot handhaving. De schriftelijke reactie van de Autoriteit persoonsgegevens dient dan ook te worden beschouwd als een besluit in de zin van de Awb, waartegen rechtsbescherming open staat langs de gebruikelijke bestuursrechtelijke weg. Eveneens moet zo het begrip ‘betrokkene’ in dit specifieke geval worden gelijkgeschakeld met het begrip ‘belanghebbende’. In Nederland zijn de Autoriteit persoonsgegevens en het veld vertrouwd met de toepassing van de last onder dwangsom en de last onder bestuursdwang. Dit is een meer laagdrempelige manier voor de toezichthouder om handhaving te bewerkstelligen, zonder dat er onmiddellijk een boete hoeft te worden opgelegd. Deze bevoegdheden worden onder de uitvoeringswet gehandhaafd. Een belangrijke nieuwe bevoegdheid is het opleggen van administratieve geldboetes tot € 20 miljoen of 4% van de jaaromzet indien dit een hoger bedrag oplevert. De verordening bevat geen minimale hoogte voor de administratieve boete. Het besluit tot oplegging van een boete is een besluit in de zin van de Awb.

Verder laat de verordening op een groot aantal plaatsen ruimte aan de nationale wetgever om keuzes te maken en is in die zin atypisch voor een verordening. In de verordening is aangegeven dat lidstaten, indien nodig, elementen van deze verordening in hun nationale recht kunnen opnemen om de samenhang te garanderen en om de nationale bepalingen begrijpelijker maken voor degenen op wie zij van toepassing zijn. Het zogenaamde ‘overschrijf-verbod’ gaat derhalve bij deze verordening niet zo ver dat geen enkel element van de verordening terug mag komen in de nationale wet. Van deze ruimte is in de Uitvoeringswet op verschillende punten gebruikgemaakt waarbij steeds is bezien of en in hoeverre het bestaande nationale recht en de bestaande nationale beleidskeuzes gehandhaafd kunnen worden onder de verordening. Waar dat niet geheel mogelijk is, is er steeds voor gekozen om zo dicht mogelijk te blijven bij het bestaande nationale recht. De bepalingen van de verordening betreffende de beginselen inzake verwerking van persoonsgegevens en de rechtmatigheid van de verwerking zullen rechtstreeks gelden. De bestaande nationale normen zijn dus betekenisloos geworden en moeten worden geschrapt. De huidige Wbp wordt hierom ingetrokken. Hiervoor in de plaats treedt de onderhavige Uitvoeringswet.


Beginselen van gegevensverwerking

Volgens de verordening mogen gegevens slechts worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (beginsel van doelbinding). Gegevensverwerking mag niet excessief zijn en moet worden beperkt tot wat noodzakelijk is voor de doeleinden waarvoor persoonsgegevens worden verwerkt (beginsel van minimale gegevensverwerking, ook wel dataminimalisatie genoemd). Daarnaast dienen de gegevens juist te zijn en indien nodig te worden bijgewerkt (beginsel van juistheid), mogen zij niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren dan noodzakelijk is (beginsel van opslagbeperking) en dienen zij passend te worden beveiligd (beginsel van integriteit en vertrouwelijkheid). Bij de verwerking van persoonsgegevens moeten alle beginselen in gelijke mate in acht worden genomen. Zij zijn alle bindend in die zin, dat uitzonderingen of beperkingen op die beginselen slechts geoorloofd zijn voor zover de verordening dit uitdrukkelijk bepaalt, waarbij sommige uitzonderingen en beperkingen rechtstreeks werken en andere een nadere uitwerking in lidstatelijk recht vergen. Het voorgaande geldt ook voor het beginsel van rechtmatigheid en het beginsel van doelbinding. In deze context moet ‘rechtmatigheid’ overigens beperkt worden uitgelegd. Het beginsel van rechtmatigheid houdt in dat er een deugdelijke rechtsgrondslag voor de verwerking moet zijn. Die rechtsgrondslagen worden limitatief opgesomd. Dat het beginsel van rechtmatigheid en het beginsel van doelbinding complementair zijn, betekent dat een deugdelijke rechtsgrondslag voor de verwerking op zichzelf onvoldoende reden is om gegevens te gebruiken voor doeleinden die niet verenigbaar zijn met het doel waarvoor zij oorspronkelijk zijn verzameld.

Tot de bijzondere categorieën van persoonsgegevens worden gerekend:

  1. persoonsgegevens waaruit ras of etnische afkomst blijkt;
  2. persoonsgegevens waaruit politieke opvattingen blijken;
  3. persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
  4. persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt;
  5. genetische gegevens;
  6. biometrische gegevens met het oog op de unieke identificatie van een persoon;
  7. gegevens over gezondheid;
  8. gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Nieuw ten opzichte van de richtlijn is het feit dat genetische gegevens, alsmede biometrische gegevens die worden verwerkt met het oog op de unieke identificatie van een persoon, ook zijn aangemerkt als bijzondere categorieën van persoonsgegevens. Nieuw ten opzichte van de Wbp is ook dat de strafrechtelijke gegevens niet gelden als een bijzondere categorie van persoonsgegevens, maar afzonderlijk zijn geregeld. Uitgangspunt van de verordening blijft hetzelfde als onder Richtlijn 95/46/EG en de Wbp: de verwerking van bijzondere categorieën van persoonsgegevens is verboden, tenzij een van de limitatief opgesomde uitzonderingen zich voordoet.

Aldus zal er sprake zijn van gelaagde regelgeving inzake de bescherming van persoonsgegevens:

1. Op Europees niveau:

  • a. geldt de verordening als hoofdregel, waarvan de materiële verplichtingen, inclusief een aantal rechtsgrondslagen voor gegevensverwerking, rechtstreeks zullen gelden; en
  • b. geldt de Richtlijn gegevensbescherming opsporing en vervolging voor een specifiek deelterrein van gegevensverwerking in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

2. In het Nederlands recht:

  • a. zijn de algemene regels voor de uitvoering van de verordening neergelegd in de onderhavige Uitvoeringswet, waaronder de algemene regels inzake afwijkingen en uitzonderingen op grond van lidstatelijk recht;
  • b. kunnen in sectorspecifieke wetten de concrete rechtsgrondslagen voor verwerking van persoonsgegevens en bijzondere categorieën van persoonsgegevens worden opgenomen, en kunnen sectorspecifieke uitzonderingen en afwijkingen worden opgenomen; en
  • c. worden de specifieke regelingen inzake de Richtlijn gegevensbescherming opsporing en vervolging geïmplementeerd in de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en aanverwante wetgeving.


Inwerkingtreding

Inwerkingtreding met ingang van 25-05-2018, met uitzondering van artikel 48a.


Inwerkingtredingsbesluit van 19-12-2018, Stb. 2018, 518

Besluit tot vaststelling van het tijdstip van inwerkingtreding van artikel 48a van de Uitvoeringswet Algemene verordening gegevens-bescherming en tot vaststelling van het tijdstip van inwerkingtreding van artikel 10.1 van de Aanpassingswet Algemene verordening gegevens-bescherming (Stb. 2018, 144)

Artikel 48a treedt in werking met ingang van 01-01-2019.


Kamerstukken

Nieuw in Wetgeving
WETGEVING
Stb. 2025, 124 Verzamelwet JenV en Asiel en Migratie
22 mei 2025
WETGEVING
Stb. 2025, 121 Vereenvoudiging Wet banenafspraak
22 mei 2025
WETGEVING
Stb. 2025, 123 Langdurige zorg (2025)
22 mei 2025
WETGEVING
Stb. 2025, 131 Aanpassingsbesluit Rijkswet nationaliteit zeeschepen
22 mei 2025
WETGEVING
Stb. 2025, 130 Vervuilingswaarde ingenomen water
22 mei 2025