Oog voor knelpunten privacywetwijzigingen UAVG aangekondigd en evaluatie AVG
Minister Dekker (voor Rechtsbescherming) stuurde onlangs een brief aan de Tweede Kamer inzake wijzigingen van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) en de evaluatie van de Algemene verordening gegevensbescherming.
Wat betreft de UAVG zijn er drie categorieën genoemd:
1. onderwerpen waarvan inmiddels voldoende duidelijk is dat zij een (explicietere) grondslag behoeven, zodat aanpassing van de wet wenselijk is. Dit betreft, naast een aantal technische wijzigingen van de UAVG, de volgende onderwerpen:
- de verwerking van bijzondere categorieën persoonsgegevens door accountants ter uitvoering van hun wettelijke controletaken;
- toepassing van biometrie voor de identificatie van personen in het belang van een rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten;
- verwerking van bijzondere persoonsgegevens door het Huis voor klokkenluiders ter uitvoering van de wettelijke advies- en onderzoekstaken, zoals gegevens over gezondheid, lidmaatschap van een vakbond, discriminatie en achterstelling of benadeling wegens afkomst, religie of seksuele geaardheid; en
- verwerking van gezondheidsgegevens door patiëntenverenigingen voor intern gebruik in bijvoorbeeld hun ledenbestand.
2. onderwerpen waarover nog overleg gaande is tussen het kabinet en betrokken branches en andere partijen om te bezien of de wetgeving moet worden aangepast:
- gebruik van het BIG-nummer buiten de Wet BIG ten behoeve van bijvoorbeeld na- en bijscholing;
- een adequate grondslag voor profilering door banken ter voorkoming van witwassen en fraude;
- een verplichting voor uitleners van personeel of onderaannemers om aan de opdrachtgever de gegevens te verstrekken die noodzakelijk zijn om gebruik te kunnen maken van vrijwarende betaling via een g-rekening;
- cross-sectorale gegevensdeling ten behoeve van fraudebestrijding;
- uitbreiding van de uitzonderingen die gelden voor archiefbewaarplaatsen met betrekking tot bepaalde verplichtingen uit de AVG tot ook andere maatschappelijk relevante archieven;
- delen van gegevens over verkeersboetes ten behoeve van het verhalen van deze boetes op de berijder door autoleasemaatschappijen e.a.; en
- gebruik van het BSN door ondernemers, meer in het bijzonder door banken, andere financiële ondernemingen en verschillende beroepsbeoefenaars zoals advocaten, notarissen en accountants voor het uitoefenen van de poortwachtersfunctie ter voorkoming van witwassen.
3. onderwerpen waarover na overleg met betrokken partijen is gebleken dat een knelpunt anders dan via wetgeving kan worden opgelost, hetgeen nog nader zal worden verkend:
- registratie van zorgen over de (geestelijke) gezondheidstoestand door financiële instellingen in het kader van de op hen rustende zorgplicht voor kwetsbare groepen;
- de aansprakelijkheid voor aan privacy gerelateerde schade en het doorbelasten van boetes aan verwerkers opgelegd door de Autoriteit Persoonsgegevens;
- wetenschappelijk onderzoek waarbij gebruik wordt gemaakt van grote al bestaande datasets, in relatie tot het toestemmingsvereiste;
- meer duidelijkheid en rechtszekerheid bij relatief eenvoudige “standaardverwerkingen” voor kleinere verwerkingsverantwoordelijken; en
- verduidelijking van de verhouding van de Archiefwet tot de AVG.
Tenslotte worden de onderwerpen genoemd die Nederland in het kader van de evaluatie van de AVG inmiddels onder de aandacht heeft gebracht van de Europese Commissie:
- verlichting van de registerplicht voor kleine bedrijven om de lasten voor deze bedrijven te verminderen;
- vermijden van extraterritoriale werking van nationale uitvoeringswetten om te voorkomen dat voor internationaal werkende ondernemingen opnieuw een lappendeken van wetgeving ontstaat;
- uniformering van de leeftijdsgrens waarop kinderen binnen de EU toestemming voor verwerking van hun persoonsgegevens kunnen geven om in deze wereld van grensoverschrijdend dataverkeer de complexiteit voor zowel bedrijven als voor ouders en kinderen te verminderen;
- onderzoek naar mogelijkheden om de datamacht van grote techbedrijven via de AVG verder te beteugelen door bijvoorbeeld uitbreiding van de mogelijkheden van dataportabiliteit en eventuele introductie van nieuwe instrumenten voor toezicht door de Autoriteit Persoonsgegevens;
- explicitering van het facultatieve karakter van een toezichthouder bij gebruik van een gedragscode;
- bevorderen dat certificering waar mogelijk op het niveau van de EU plaatsvindt en certificering op nationaal niveau alleen als dat daadwerkelijk meerwaarde heeft; en
- bevorderen dat er één uniform formulier wordt ontwikkeld ten behoeve van het melden van datalekken bij de verschillende toezichthoudende autoriteiten van de lidstaten.
In de Bijlage bij de brief wordt nadere toelichting gegeven bij de genoemde punten. In de brief schrijft Minister Dekker verder dat er soms knelpunten worden verondersteld die geen probleem blijken te zijn, maar waar door onduidelijke communicatie verwarring kan ontstaan. Als voorbeeld wordt genoemd het bewaren van (kopieën van) een identiteitsbewijs, tewerkstellingsvergunning of notificatieformulier van het UWV van vreemdelingen door werkgevers, waartegen de AVG zich niet verzet indien dit voortvloeit uit een wettelijke verplichting of er sprake is van een gerechtvaardigd belang en mits aan overige voorwaarden is voldaan. De informatie hierover op de website van de Belastingdienst zal meer in lijn worden gebracht met de informatie op de website van de Inspectie SZW. Er wordt ook nog een aantal andere aandachtspunten genoemd op het terrein van SZW, waaronder het afnemen van alcohol- en drugstesten en het gebruik van biometrische gegevens voor het tegengaan van fraude met werktijden.
De genoemde knelpunten komen bekend voor uit de praktijk. Uit de brief blijkt dat (soms zeer specifieke) zorgen van verschillende stakeholders door de wetgever in overweging worden genomen en dat het dus zinvol is om deze kenbaar te blijven maken. Ook kunnen knelpunten worden opgelost door betere voorlichting waaronder door de Autoriteit Persoonsgegevens; ook voor specifieke knelpunten waar organisaties tegenaan lopen via een laagdrempelig loket. Wij kijken met belangstelling uit naar het aangekondigde wetsvoorstel en overige vervolgstappen waartoe de brief zal leiden.