Stb. 2018, 144 Uitvoeringswet AVG

Wet van 16-05-2018, Stb. 2018, 144 en inwerkingtredingsbesluit van 16-05-2018, Stb. 2018, 145

Wet houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoons­gegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevens­;bescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevens­bescherming)

—De verordening en de Uitvoeringswet vervangen de bestaande Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoons­gegevens en betreffende het vrije verkeer van die gegevens. Over het voorstel voor de verordening van de Commissie van 25 januari 2012 is ruim vier jaar onderhandeld door de 28 lidstaten. In die tijd is door het Europees Parlement een recordaantal van 3.999 amendementen ingediend. Het resultaat van een dergelijk langdurig en gecompliceerd onderhandelingsproces bevat onontkoombaar compromissen wat ertoe heeft geleid dat er nog maar beperkt ruimte is voor de nationale wetgever om op het terrein van de verwerking van persoons­gegevens zelf iets (afwijkends) te regelen. Daar waar de verordening nog wel ruimte laat voor nationale keuzes, of met het oog op een nadere invulling van regels, is er uitdrukkelijk voor gekozen om in de Uitvoeringswet voort te bouwen op het huidige normenkader uit Richtlijn 95/46/EG en de Wbp. Enerzijds omdat als gevolg van de inwerkingtreding van de verordening op 25 mei 2018 de tijd ontbreekt om op dit moment een geheel nieuw kader te ontwikkelen. Anderzijds om de overgang van de oude naar de nieuwe situatie zo soepel mogelijk te laten verlopen.

De materiële normen waaraan de verwerking van persoons­gegevens onder het regime van de verordening moet voldoen, zijn in grote lijnen gelijk gebleven aan die uit Richtlijn 95/46/EG en de Wbp. Er zijn in de verordening zelfs bepaalde elementen uit de Wbp overgenomen zoals de aspecten die relevant zijn bij de beoordeling of het doel van een verdere verwerking verenigbaar is met het doel waarvoor de persoons­gegevens oorspronkelijk verzameld zijn. Bovendien is er op een enkel punt ook sprake van een verruiming van de mogelijkheden om persoons­gegevens te verwerken. De belangrijkste verschillen zien vooral op de rechten van betrokkenen, die versterkt worden, en op de daarmee samenhangende verplichtingen van de verwerkings­verantwoordelijken, die strenger worden. Alle nieuwe rechten en verplichtingen vloeien direct voort uit de verordening. Zo is voor de betrokkene het (in de jurisprudentie ontwikkelde) recht op vergetelheid vastgelegd en het recht op dataportabiliteit. Aan de verwerkings­verantwoordelijke wordt meer transparantie en verantwoording gevraagd dan onder het huidige regime. De verwerkings­verantwoordelijke moet voortaan kunnen aantonen dat hij in overeenstemming met de verordening handelt. Dat vergt dat informatiestromen in kaart worden gebracht en verwerkingen van persoons­gegevens worden bijgehouden. Voordat hij begint met het verwerken van persoons­gegevens die een hoog risico met zich meebrengen moet hij een gegevens­beschermings­effect­beoordeling uitvoeren. Ook moet de verwerkings­verantwoordelijke reeds bij de bouw en het ontwerp van een gegevens­verwerkings­systeem rekening houden met de eisen die de verordening stelt. Verder stelt de verordening nieuwe eisen aan de relatie tussen de verwerkings­verantwoordelijke en degene die ten behoeve van hem eventueel persoons­gegevens verwerkt (de verwerker). Ook verplicht de verordening in meer gevallen tot het aanwijzen van een functionaris voor gegevens­bescherming.

Naast de verordening is op 27 april 2016 ook de Richtlijn gegevens­bescherming opsporing en vervolging (PbEU 2016, L 119) vastgesteld. Deze richtlijn staat los van de verordening en wordt in een separaat wetsvoorstel geïmplementeerd (Kamerstukken II 2017/18, 34 889). In de Memorie van Toelichting wordt nader ingegaan op de verhouding tussen de verordening en deze richtlijn. Ook is een Aanpassingswet AVG aanhaning (Kamerstukken II 2017/18, 34 939). In deze wet worden bestaande wetten en eventueel aanhangige wetsvoorstellen aangepast aan de terminologie van de verordening en het wegvallen van de Wbp als de algemene wet voor bescherming van persoons­gegevens.

Zie voor meer informatie over de Verordening (o.a.) NJB 2018/51, afl. 1 en NJB 2018/356, afl. 7 (H. Hielkema, ‘De AVG en de UAVG’).


Uitvoeringswet

Een eerste onderdeel van de Uitvoeringswet bestaat uit de oprichting en inrichting van de nationale toezichthoudende autoriteit, die aangewezen zal zijn om het toezicht op naleving van de verordening te houden. De Autoriteit persoons­gegevens wordt aangewezen als enige toezichthoudende autoriteit in de zin van de Verordening. De toezichthoudende taak van de AP heeft niet alleen betrekking op de naleving van de AVG, maar ook op de naleving van de Uitvoeringswet en van andere regelingen op grond waarvan persoons­gegevens worden verwerkt. De Autoriteit persoons­gegevens beschikt over een eigen begroting met de voor diens onafhankelijke taakuitoefening noodzakelijke financiële middelen. Ter verdere waarborging van de onafhankelijke positie wordt ook de zelfstandigheid vergroot door het toekennen van eigen rechtspersoonlijkheid aan de Autoriteit persoons­gegevens. Het betreft hier een afwijking van het rijksbeleid inzake verzelfstandiging, ingegeven door de AVG. Voor een belangrijk deel worden de taken en bevoegdheden van de toezichthoudende autoriteit bepaald door de verordening. Een substantieel deel van deze taken en bevoegdheden betreft handhaving; dat wil zeggen toezicht op de naleving van wettelijke voorschriften en het sanctioneren van daarbij geconstateerde overtredingen. Op besluiten die (het personeel van) de Autoriteit persoons­gegevens in verband met deze taken en bevoegdheden neemt is de Algemene wet bestuursrecht (Awb) van toepassing. Waar in de wet en in de memorie van toelichting wordt gesproken over klacht in de zin van de verordening, gaat het in de terminologie van de Awb over een verzoek tot handhaving. De schriftelijke reactie van de Autoriteit persoons­gegevens dient dan ook te worden beschouwd als een besluit in de zin van de Awb, waartegen rechtsbescherming open staat langs de gebruikelijke bestuursrechtelijke weg. Eveneens moet zo het begrip ‘betrokkene’ in dit specifieke geval worden gelijkgeschakeld met het begrip ‘belanghebbende’. In Nederland zijn de Autoriteit persoons­gegevens en het veld vertrouwd met de toepassing van de last onder dwangsom en de last onder bestuursdwang. Dit is een meer laagdrempelige manier voor de toezichthouder om handhaving te bewerkstelligen, zonder dat er onmiddellijk een boete hoeft te worden opgelegd. Deze bevoegdheden worden onder de uitvoeringswet gehandhaafd. Een belangrijke nieuwe bevoegdheid is het opleggen van administratieve geldboetes tot € 20 miljoen of 4% van de jaaromzet indien dit een hoger bedrag oplevert. De verordening bevat geen minimale hoogte voor de administratieve boete. Het besluit tot oplegging van een boete is een besluit in de zin van de Awb.

Verder laat de verordening op een groot aantal plaatsen ruimte aan de nationale wetgever om keuzes te maken en is in die zin atypisch voor een verordening. In de verordening is aangegeven dat lidstaten, indien nodig, elementen van deze verordening in hun nationale recht kunnen opnemen om de samenhang te garanderen en om de nationale bepalingen begrijpelijker maken voor degenen op wie zij van toepassing zijn. Het zogenaamde ‘overschrijf-verbod’ gaat derhalve bij deze verordening niet zo ver dat geen enkel element van de verordening terug mag komen in de nationale wet. Van deze ruimte is in de Uitvoeringswet op verschillende punten gebruikgemaakt waarbij steeds is bezien of en in hoeverre het bestaande nationale recht en de bestaande nationale beleidskeuzes gehandhaafd kunnen worden onder de verordening. Waar dat niet geheel mogelijk is, is er steeds voor gekozen om zo dicht mogelijk te blijven bij het bestaande nationale recht. De bepalingen van de verordening betreffende de beginselen inzake verwerking van persoons­gegevens en de rechtmatigheid van de verwerking zullen rechtstreeks gelden. De bestaande nationale normen zijn dus betekenisloos geworden en moeten worden geschrapt. De huidige Wbp wordt hierom ingetrokken. Hiervoor in de plaats treedt de onderhavige Uitvoeringswet.


Beginselen van gegevensverwerking

Volgens de verordening mogen gegevens slechts worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (beginsel van doelbinding). Gegevensverwerking mag niet excessief zijn en moet worden beperkt tot wat noodzakelijk is voor de doeleinden waarvoor persoons­gegevens worden verwerkt (beginsel van minimale gegevensverwerking, ook wel dataminimalisatie genoemd). Daarnaast dienen de gegevens juist te zijn en indien nodig te worden bijgewerkt (beginsel van juistheid), mogen zij niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren dan noodzakelijk is (beginsel van opslagbeperking) en dienen zij passend te worden beveiligd (beginsel van integriteit en vertrouwelijkheid). Bij de verwerking van persoons­gegevens moeten alle beginselen in gelijke mate in acht worden genomen. Zij zijn alle bindend in die zin, dat uitzonderingen of beperkingen op die beginselen slechts geoorloofd zijn voor zover de verordening dit uitdrukkelijk bepaalt, waarbij sommige uitzonderingen en beperkingen rechtstreeks werken en andere een nadere uitwerking in lidstatelijk recht vergen. Het voorgaande geldt ook voor het beginsel van recht­matigheid en het beginsel van doelbinding. In deze context moet ‘rechtmatigheid’ overigens beperkt worden uitgelegd. Het beginsel van rechtmatigheid houdt in dat er een deugdelijke rechtsgrondslag voor de verwerking moet zijn. Die rechtsgrondslagen worden limitatief opgesomd. Dat het beginsel van rechtmatigheid en het beginsel van doelbinding complementair zijn, betekent dat een deugdelijke rechtsgrondslag voor de verwerking op zichzelf onvoldoende reden is om gegevens te gebruiken voor doeleinden die niet verenigbaar zijn met het doel waarvoor zij oorspronkelijk zijn verzameld.

Tot de bijzondere categorieën van persoons­gegevens worden gerekend:

  1. persoons­gegevens waaruit ras of etnische afkomst blijkt;
  2. persoons­gegevens waaruit politieke opvattingen blijken;
  3. persoons­gegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
  4. persoons­gegevens waaruit het lidmaatschap van een vakbond blijkt;
  5. genetische gegevens;
  6. biometrische gegevens met het oog op de unieke identificatie van een persoon;
  7. gegevens over gezondheid;
  8. gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Nieuw ten opzichte van de richtlijn is het feit dat genetische gegevens, alsmede biometrische gegevens die worden verwerkt met het oog op de unieke identificatie van een persoon, ook zijn aangemerkt als bijzondere categorieën van persoons­gegevens. Nieuw ten opzichte van de Wbp is ook dat de strafrechtelijke gegevens niet gelden als een bijzondere categorie van persoons­gegevens, maar afzonderlijk zijn geregeld. Uitgangspunt van de verordening blijft hetzelfde als onder Richtlijn 95/46/EG en de Wbp: de verwerking van bijzondere categorieën van persoons­gegevens is verboden, tenzij een van de limitatief opgesomde uitzonderingen zich voordoet.

Aldus zal er sprake zijn van gelaagde regelgeving inzake de bescherming van persoons­gegevens:

1. Op Europees niveau:

  • a. geldt de verordening als hoofdregel, waarvan de materiële verplichtingen, inclusief een aantal rechtsgrondslagen voor gegevensverwerking, rechtstreeks zullen gelden; en
  • b. geldt de Richtlijn gegevens­bescherming opsporing en vervolging voor een specifiek deelterrein van gegevensverwerking in verband met de verwerking van persoons­gegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

2. In het Nederlands recht:

  • a. zijn de algemene regels voor de uitvoering van de verordening neergelegd in de onderhavige Uitvoeringswet, waaronder de algemene regels inzake afwijkingen en uitzonderingen op grond van lidstatelijk recht;
  • b. kunnen in sectorspecifieke wetten de concrete rechtsgrondslagen voor verwerking van persoons­gegevens en bijzondere categorieën van persoons­gegevens worden opgenomen, en kunnen sectorspecifieke uitzonderingen en afwijkingen worden opgenomen; en
  • c. worden de specifieke regelingen inzake de Richtlijn gegevens­bescherming opsporing en vervolging geïmplementeerd in de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en aanverwante wetgeving.


Inwerkingtreding

Inwerkingtreding met ingang van 25-05-2018, met uitzondering van artikel 48a.


Inwerkingtredingsbesluit van 19-12-2018, Stb. 2018, 518

Besluit tot vaststelling van het tijdstip van inwerkingtreding van artikel 48a van de Uitvoeringswet Algemene verordening gegevens-bescherming en tot vaststelling van het tijdstip van inwerkingtreding van artikel 10.1 van de Aanpassingswet Algemene verordening gegevens-bescherming (Stb. 2018, 144)

Artikel 48a treedt in werking met ingang van 01-01-2019.


Kamerstukken

Agenda

Afbeelding

Ontmoet vakgenoten en bespreek actuele onderwerpen in de LinkedIn-groep van het Nederlands Juristenblad.

 

 



Lees en doorzoek het NJB online in Navigator

Inloggen

U maakt gebruik van een verouderde browser

Het gebruik van een verouderde browser maakt uw computer onveilig en tevens ongeschikt voor het optimaal raadplegen van deze website.

De website van het NJB - Nederlands Juristenblad is namelijk geoptimaliseerd voor een nieuwere versie van uw browser.
In de meeste gevallen waarin het fout gaat, betreft dit het gebruik van de Internet Explorer browserversie 7 of 8.
Deze website is geoptimaliseerd voor Internet Explorer 9 en hoger, Google Chrome, Safari en Firefox.

Bekijk hier of er een nieuwere versie van uw browser beschikbaar is.