Brief regering : Eerste ervaringen met de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)

Nr. 132
BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 1 april 2019

Tijdens de behandeling van het voorstel voor de Uitvoeringswet Algemene verordening
gegevensbescherming (UAVG) heb ik uw Kamer toegezegd direct na afronding van dit wetsvoorstel
de mogelijkheden te verkennen voor verdere modernisering en verbetering van het gegevensbeschermingsrecht.1 In lijn met deze toezegging heb ik toen ook de motie Koopmans c.s. overgenomen, waarin
de regering wordt verzocht de ervaringen met betrekking tot de UAVG te inventariseren
en in het licht daarvan zo nodig maatregelen te treffen.2 In het licht van deze toezegging en deze motie zijn in het afgelopen half jaar de
eerste ervaringen met de UAVG geïnventariseerd. In deze brief informeer ik u mede
namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties over het resultaat
van deze inventarisatie. Ik richt mij daarbij op de punten die in de motie-Koopmans
c.s. zijn genoemd.

De uitgevoerde inventarisatie geeft op hoofdlijnen het volgende beeld:3

1. Over de uitleg van de AVG en UAVG leven velerlei vragen. Er is en blijft daarom behoefte
aan goede voorlichting. Deze behoefte zien we vooral bij kleinere maatschappelijke
organisaties, zoals vrijwilligersverenigingen, sportverenigingen en kerkgenootschappen.
Uit de inventarisatie leid ik evenwel ook af dat in deze behoefte over het algemeen
al in voldoende mate wordt voorzien door voorlichtingsactiviteiten van de Autoriteit
persoonsgegevens (AP), van koepelorganisaties of van een voorziening als de AVG-helpdesk
Zorg, Welzijn en Sport van het Ministerie van VWS.4

2. Er zijn punten van zorg over de ruimte voor gegevensverwerking. Er is evenwel vaak
meer ruimte dan wordt aangenomen. Zo wordt soms verondersteld dat het niet meer mogelijk
is kerkdiensten via radio of televisie uit te zenden, terwijl dat zeer wel mogelijk
is en blijft, mits aan bepaalde voorwaarden wordt voldaan en passende waarborgen zijn
getroffen.5 Hetzelfde geldt met betrekking tot het publiceren van foto’s op websites van sportclubs.
Een ander voorbeeld is dat, anders dan lijkt te worden verondersteld, de AVG geen
nieuwe beperkingen aan het gebruik van persoonsgegevens voor journalistieke doeleinden
oplegt ten opzichte van wat onder de Wet bescherming persoonsgegevens (Wbp) gold.

3. Er zijn klachten over de toename van de administratieve lasten. Zo wordt gewezen op
het vereiste dat een verleende toestemming om persoonsgegevens te verwerken, moet
worden vastgelegd. Dit vereiste is eigenlijk niet echt nieuw: ook onder de Wbp moest
men in beginsel al kunnen aantonen dat men toestemming had verkregen om iemands persoonsgegevens
te verwerken. In zo’n geval lijkt er sprake van achterstallig onderhoud, hetgeen de
zorg over de administratieve lasten relativeert. Daar komt bij dat in sommige gevallen
toestemming ook periodiek, bijvoorbeeld één keer per jaar kan worden gevraagd, zoals
bij publicatie van foto’s door sportclubs, of is publicatie op een afgeschermde website
een oplossing. Wel echt nieuw is de registerplicht, waarover ook zorgen zijn geuit.
Gelet op de signalen die het kabinet heeft ontvangen over de lasten van de registerplicht
die door kleine ondernemingen en kleine maatschappelijke organisaties in de praktijk
zijn ervaren, zal het kabinet in overleg met de betrokken koepelorganisaties bezien
wat deze signalen voor de evaluatie van de AVG zullen kunnen betekenen. Deze evaluatie
moet uiterlijk 25 mei 2020 zijn afgerond.

4. Er is behoefte aan meer duidelijkheid of men in specifieke gevallen de (U)AVG goed
naleeft. Met het oog daarop kunnen organisaties binnen eenzelfde branche of sector
gezamenlijk een gedragscode opstellen en die laten goedkeuren door de AP. De website
van de AP bevat instructies over hoe zo’n gedragscode moet worden opgesteld.6 Daarnaast kan een AVG-certificaat worden aangevraagd, zodra er een hiertoe door de
Raad voor Accreditatie geaccrediteerde certificatie-instelling is. Andere punten van
zorg die men eveneens op eigen initiatief kan wegnemen, betreffen bijvoorbeeld de
veiligheid van de opslag van persoonsgegevens (mogelijke oplossing: opslag in een
cloud) en de (on)mogelijkheden om cross-sectoraal strafrechtelijke gegevens uit te
wisselen ten behoeve van fraudebestrijding (mogelijke oplossing: vergunningaanvraag
bij de AP).

5. Tot slot is er een punt dat volgens sommigen lijkt te knellen, zonder wijziging van
de UAVG niet is op te lossen, maar eerst nog nadere studie vergt. Dit betreft de leeftijdsgrens
van 16 jaar voor kinderen om in een online-omgeving rechtsgeldig toestemming te geven
voor het gebruik van hun persoonsgegevens. Bij de internetconsultatie van de UAVG
en in de aanloop naar de parlementaire behandeling van de UAVG was er discussie over
de vraag of deze leeftijdsgrens lager zou moeten zijn. Het gaat hier evenwel om een
breed maatschappelijk vraagstuk dat nog nadere studie vergt. De Universiteit Leiden
rondt medio 2019 een onderzoek af dat behulpzaam kan zijn bij het beantwoorden van
die vraag. Ook zal nog een aantal stakeholders over deze vraag worden geconsulteerd.
Een goed antwoord valt dan ook niet eerder te geven dan rond het zomerreces.

Al met al komt uit de inventarisatie het beeld naar voren dat er sowieso een sterke
behoefte bestaat en voorlopig blijft bestaan aan voorlichting en uitleg. Daarnaast
blijkt dat sommige knelpunten ook door voorlichting zijn op te lossen, bijvoorbeeld
de gevallen waarin er meer ruimte is dan wordt verondersteld. Ook zijn er knelpunten
opgevoerd die betrekking hebben op sectorale wetgeving en die niet gerelateerd zijn
aan de invoering van de AVG en de UAVG als zodanig. Voor deze knelpunten die al onder
het regiem van de Wbp bestonden, wordt nu opnieuw aandacht gevraagd. Dergelijke punten
heb ik onder de aandacht gebracht van de collega bewindspersoon die het aangaat. Weer
andere punten dienen te worden meegenomen met de evaluatie van de AVG zelf en daarnaast
zijn er ook punten waar eigen initiatief kan helpen. Tot slot is er een enkel punt
uit de motie dat nog nadere studie vergt.

Uit de inventarisatie blijkt ook dat de komst van de AVG en de UAVG tot veel aandacht
voor de bescherming van persoonsgegevens heeft geleid. Ik juich dit toe. Verder wijs
ik er graag op dat het hier nieuwe wetgeving betreft waarvan de invoering nu eenmaal
tijd en energie kost en waaraan men nog verder moet wennen. Tegelijkertijd besef ik
dat de uitwerking van de AVG en de UAVG in de verschillende sectoren van de samenleving
de aandacht van het kabinet moet blijven houden. Dit is ook relevant met het oog op
de verplichte evaluatie van de AVG en de UAVG, die uiterlijk 25 mei 2020, respectievelijk
25 mei 2021 moet zijn afgerond. In dit licht is van belang dat deze eerste inventarisatie,
zoals eerder vermeld, uitsluitend de punten uit de motie Koopmans c.s. betreft. Ik
blijf dan ook in gesprek met alle partijen om te bezien of praktijkervaringen aanleiding
geven het gegevensbeschermingsrecht te verbeteren.

Rond de zomer zal ik u informeren over de punten die verder nog onder mijn aandacht
zijn gebracht.7 Bij die gelegenheid zal ik u ook berichten op welke punten een wijziging van de UAVG
zal worden voorbereid. Ook zal daarbij aandacht besteed worden aan de eventuele reacties
op deze brief.

De Minister voor Rechtsbescherming,
S. Dekker

Bijlage bij brief «Eerste ervaringen met de UAVG»

In deze bijlage worden de ervaringen met de (U)AVG beschreven die zijn opgedaan met
de verschillende aspecten, zoals genoemd in de motie Koopmans c.s. Aan het eind wordt
ook ingegaan op de rol van het Hof van Justitie van de Europese Unie en de toepasselijkheid
van het Europese Handvest van de grondrechten op die terreinen waarop de AVG van overeenkomstige
toepassing wordt verklaard in de UAVG.

1. De verwerking van gezondheidsgegevens in het kader van sportbeoefening, zoals van
belang voor gehandicaptensport en (overige) topsport en de verwerking van gegevens
door kleinere organisaties als vrijwilligersverenigingen, sportverenigingen, kerkgenootschappen
en andere;

Vrijwilligersverenigingen en sportverenigingen

Inleiding

Over de ervaringen van kleine organisaties als vrijwilligersverenigingen is navraag
gedaan bij de Vereniging Nederlandse Organisaties Vrijwilligerswerk (NOV), de belangenorganisatie
binnen het vrijwilligerswerk in Nederland. Bij NOV zijn 370 (koepel)organisaties aangesloten.
De NOV heeft in aanloop naar de inwerkingtreding van de AVG een stappenplan voor de
implementatie daarvan en voorbeelden beschikbaar gesteld op haar webportaal. Op dat
portaal kunnen ook vragen worden gesteld. Daarnaast is er voorlichting gegeven en
zijn er trainingen geweest.

Voor de sportverenigingen is in oktober 2018 door NOC*NSF online een vragenlijst uitgezet
binnen het panel van de Sportaanbiedersmonitor. Daarnaast is de vragenlijst verspreid
via de sociale media van NOC*NSF, via een nieuwsbrief en via verschillende bonden
naar hun verenigingen. NOC*NSF en de daarbij aangesloten sportbonden hebben in aanloop
naar de inwerkingtreding van de AVG de sportverenigingen geholpen door in samenwerking
met de Stichting AVG8 een stappenplan AVG voor de sport te ontwikkelen. In het Stappenplan als ook via
de websites van diverse sportbonden en via www.sport.nl/voorclubs zijn verschillende voorbeelddocumenten te downloaden door verenigingen. Denk aan
een voorbeeld van een geheimhoudingsverklaring, privacy statement, etc. Daarnaast
is ook een Q&A-document te vinden waarin de belangrijkste vragen zijn beantwoord.
Voorts is via de websites van sportbonden en via www.sport.nl/voorclubs in de vorm van diverse artikelen op meerdere momenten de aandacht gevestigd op de
invoering van de AVG en de impact daarvan op sportverenigingen.9 Daarnaast zijn overal in het land diverse themabijeenkomsten over de AVG georganiseerd.
Dit gebeurde veelal in opdracht van gemeenten.

Beeld NOV

Het algemene beeld dat de NOV schetst is dat ook nu – een half jaar na inwerkingtreding
van de AVG – er behoefte blijft aan goede toegankelijke en vooral praktische informatie
over de AVG. Waar het verenigingen vaak wel lukt om hun privacybeleid op poten te
zetten, zitten de knelpunten meestal in de praktische uitvoering daarvan. Het beeld
is dat verenigingen het liefst een stempel «goed gekeurd» op hun privacybeleid zouden
krijgen. Een oplossing zou kunnen zijn dat verenigingen met een min of meer vergelijkbare
functie gezamenlijk gedragscodes gaan opstellen en die laten goedkeuren door de AP.
Daarnaast kan een AVG-certificaat worden aangevraagd, zodra er een hiertoe geaccrediteerde
certificatie-instelling is. Hiermee kunnen verenigingen aantonen volgens de regels
van de AVG te werken.

Een knelpunt in de praktische uitvoering – met name bij kleinere organisaties – is
de fysieke opslag van persoonsgegevens. Vaak staan de bestanden bij bestuursleden
op eigen computers en vindt uitwisseling van bestanden plaats via onbeveiligde e-mail.
Dit is op te lossen door opslag van bestanden in een cloud.

Ook leven er verschillende vraagstukken rondom het bewaren van persoonsgegevens. Dit
speelt met name bij bijzondere persoonsgegevens en gegevens van strafrechtelijke aard.
Het liefst bewaren verenigingen gegevens voor langere tijd, maar dat is vaak niet
noodzakelijk en daarmee niet conform de AVG. Daarnaast leidt het tot bestanden met
verouderde gegevens. NOV raadt de verenigingen aan om dit soort gegevens niet of slechts
kort te bewaren voor de tijd dat het nodig is (zoals medische gegevens bij een zomerkamp).

Met betrekking tot bewaartermijnen biedt de AVG geen nieuwe regeling ten opzichte
van het oude gegevensbeschermingsrecht. Dit geldt ook voor het vragen van toestemming.
Dit vereiste wordt nogal eens als belemmerend ervaren om beeldmateriaal te publiceren.
Het betreft onder meer het publiceren van foto’s van evenementen en van een smoelenboek.
Het lijkt erop dat de AVG hier vooral heeft geleid tot bewustwording, met name voor
de gevallen dat beeldmateriaal wordt aangemerkt als bijzonder persoonsgegeven. Met
goede voorlichting via de «AVG-Helpdesk voor Zorg, Welzijn en Sport»10 en door de AP kan duidelijk worden gemaakt hoe het best met het publiceren van beeldmateriaal
kan worden omgegaan.

Beeld NOC*NSF

Het algemene beeld uit de monitor van NOC*NSF is dat het overgrote deel van de verenigingen
actief aan de slag is gegaan met de implementatie van de AVG en hiervoor ook over
voldoende informatie beschikt. Ruim 39% van de ondervraagde verenigingen heeft bij
de implementatie geen knelpunten ervaren. 61% van de verengingen heeft wel knelpunten
ervaren, waarbij 5% van de verenigingen aangeeft hulp nodig te hebben. Kleine verenigingen
(0–100 leden) ervaren het minst knelpunten.

Ook bij sportverenigingen worden de administratieve lasten en het niet hebben van
voldoende informatie als grootste knelpunten ervaren. De meest genoemde oplossingen
zijn een centrale AVG-helpdesk (56%) en ondersteuning vanuit de sportbond (46%). Andere
genoemde oplossingen hebben grotendeels betrekking op het aanpassen van de AVG zelf
(29%), bijvoorbeeld met het maken van uitzonderingen op de AVG voor sportorganisaties.
Voor informatie kunnen sportverenigingen terecht bij de AVG-helpdesk, maar voor de
administratieve verplichtingen (toestemmingenregistratie en register van verwerkingen)
die voortvloeien uit de AVG hebben verenigingen een eigen verantwoordelijkheid.

Gezondheidsgegevens (14%) en gegevens gerelateerd aan topsport (11%) worden door een
minderheid van de ondervraagde verenigingen geregistreerd. Bij leden met een beperking
worden gezondheidsgegevens vaker geregistreerd (13,6%) dan bij de overige leden (7,0%).
Minder dan 3% van de ondervraagden ervaart het verwerken van gezondheidsgegevens als
een knelpunt. Deze ondervraagden zien ook hier de bijkomende administratie als grootste
knelpunt. Ook geven verenigingen hier aan dat ze nog niet precies weten wat ze moeten
doen.

Met betrekking tot de informatievoorziening wordt door de ondervraagde verenigingen
de sportbond het vaakst genoemd als informatieverschaffer rondom de AVG (69%). De
informatievoorziening door de AP wordt door 46% van de respondenten als goed ervaren
en door 3% als zeer goed. Een kleine 40% is daarover neutraal. De hulp van de AVG-helpdesk
en de sportbonden wordt gewaardeerd, maar verenigingen blijven twijfelen in hoeverre
zij nu werkelijk duurzaam AVG-proof zijn. Een meerderheid van de sportverenigingen (58%) is bekend met, en heeft gewerkt
met het Stappenplan AVG voor sportverenigingen. Grote verenigingen zijn vaker bekend
met het stappenplan en hebben er ook vaker mee gewerkt dan kleine.

Conclusie

Het algemene beeld dat NOV geeft en dat ook uit de monitor van NOC*NSF blijkt, is
dat ook nu – een half jaar na inwerkingtreding van de AVG – er vooral behoefte blijft
aan goede, praktische informatie over de AVG. De AVG-Helpdesk voor Zorg, Welzijn en
Sport voorziet hierin. De AVG-Helpdesk is bedoeld voor koepelorganisaties. Verenigingen
kunnen met vragen over de AVG bij hen terecht. Naast de informatievoorziening via
de AVG-Helpdesk en de koepelorganisaties voorziet natuurlijk ook de AP in informatie
over de AVG.

Kerkgenootschappen

Uit een inventarisatie door het Interkerkelijk Contact in Overheidszaken (CIO) blijkt
dat alle kerken die lid zijn, de implementatie van de AVG serieus hebben opgepakt.
Men heeft gesprekken georganiseerd op lokaal niveau en werkprocessen aangepast. De
ervaringen lopen uiteen: enerzijds ervaart men een beperking van het «kerk-zijn» doordat
de AVG beperkend werkt in de mate van «out-reachend» zijn naar de samenleving. Ook ervaart men een algemene toename van de regel- en administratiedruk.
Kerken zijn in die zin vergelijkbaar met vrijwilligersorganisaties: welwillende mensen
die het «er allemaal even bij doen», verantwoordelijkheid voelen en belasting ervaren.

De mate van sturing door kerkgenootschappen op landelijk niveau varieert sterk per
kerk. Dat maakt dat de interpretatie van bepaalde begrippen soms op landelijk niveau,
soms op lokaal niveau wordt besproken. De interpretatie en uitleg van de AVG is in
de kerkelijke wereld een aandachtspunt waar de Expertgroep-AVG van het CIO zelf ook
op stuurt. In gesprekken probeert het CIO te komen tot een meer eenduidige interpretatie
en uitvoering van de normen. Het zoekt hierin, indien nodig, ook afstemming met de
AP en met het Ministerie van Justitie en Veiligheid. Zo is er overleg met het CIO
over het online uitzenden en streamen van kerkdiensten, waarbij ook recht wordt gedaan aan het openbare karakter van de
erediensten. Tijdens dit overleg is bevestigd dat het zeer wel mogelijk is en blijft
kerkdiensten via radio of televisie uit te zenden, mits aan bepaalde voorwaarden wordt
voldaan en passende waarborgen worden getroffen. Zo kan men denken aan het vragen
van toestemming van iemand die in een gebed wordt genoemd of de inrichting van een
vak in de kerk voor mensen die niet in beeld willen komen.

Vanuit de kerkelijke wereld wordt de inwerkingtreding van de AVG gezien als een blijvende
aanpassing in de verwerking en omgang met persoonsgegevens en persoonlijke informatie
in het algemeen. Hoe zich dat verhoudt tot de eigenheid van kerk-zijn en het dienstbaar
kunnen en mogen zijn aan de samenleving, is hierbij een dilemma dat overal onderwerp
van gesprek is.

2. De verwerking van gezondheidsgegevens van werknemers in geval van ziekte

Door werkgevers is in het kader van de inwerkingtreding van de AVG aandacht gevraagd
voor de ervaren knelpunten met betrekking tot de verwerking van gezondheidsgegevens
in geval van ziekte. Het gaat daarbij met name over de re-integratie van zieke werknemers
tot zes weken vanaf het moment van ziekmelding en het bijhouden van lichamelijke beperkingen
van werknemers door werkgevers zonder tussenkomst van de bedrijfsarts. Bij de behandeling
van de UAVG in de Tweede Kamer is hier ook aandacht voor gevraagd (Handelingen II
2017/18, nr. 59, item 4). Ik heb toen gewezen op het uitgangspunt in de Nederlandse wetgeving dat de werknemer
de gezondheidsgegevens niet deelt met de werkgever, maar alleen met de bedrijfsarts.
Het is immers niet de taak van de werkgever (en evenmin van de zieke werknemer) om
een oordeel te vellen over de arbeids(on)geschiktheid van de zieke werknemer en hij
is ook niet deskundig op dat terrein. Wel moet de werkgever samen met zijn zieke werknemer
de re-integratie en terugkeer naar werk gestalte geven. Bovendien speelt in de arbeidsverhouding
mee dat de werknemer zich in een ongelijke positie bevindt ten opzichte van de werkgever.
Dit staat er echter niet aan in de weg dat werkgever en werknemer samen het gesprek
aangaan over de invulling van de terugkeer naar werk, waarbij de werknemer zelf kan
aangeven welke taken, functies of werkzaamheden hij weer denkt te kunnen verrichten.
Een bedrijfsarts kan de werknemer en werkgever hierbij adviseren. De werknemer is
zelf mede verantwoordelijk voor zijn herstel en de terugkeer naar werk, dat brengt
het beginsel van «goed werknemerschap» (artikel 611 van Boek 7 van het Burgerlijk
Wetboek) ook mee. Gelet op deze overwegingen is het treffen van aanvullende wetgeving
voorshands niet opportuun. Wel is het Ministerie van SZW met betrekking tot dit onderwerp
in gesprek gegaan met diverse stakeholders om te komen tot een praktische uitleg van
de Beleidsregels «De zieke werknemer» van de AP (publicatiedatum 21 april 2016) waar
het gaat om het vragen naar en het verwerken van gegevens door de werkgever bij een
ziekmelding. De uitkomst van dit traject heeft geresulteerd in een uitleg die SZW
op 27 juli 2018 heeft gepubliceerd op het Arboportaal en die onder de aandacht is
gebracht van de AP11, waarin volgens de ook hier geschetste lijnen een nadere uitleg is gegeven aan de
beleidsregels van de AP. De bedoeling van de tekst is vooral dat werkgever en werknemer
hiermee handvatten worden gegeven voor in de praktijk.

Het vervolg van dit traject is een uitvraag onder de diverse stakeholders. Die kunnen
zo hun ervaringen delen met de nieuwe regelgeving mede in het licht van de door SZW
op 27 juli 2018 gepubliceerde praktische uitleg, waarin gewezen wordt op de eigen
verantwoordelijkheid van de werknemer en goed werknemerschap. De uitkomsten hiervan
zullen met de stakeholders en de AP worden besproken.

Naar aanleiding van een voorstel van VNO-NCW en MKB Nederland om een wettelijke grondslag
te creëren voor het afnemen van alcohol- en drugstesten door werkgevers met het oog
op de veiligheid van medewerkers en omwonenden of de continuïteit van vitale infrastructuren,
zal de Staatssecretaris van SZW met de sociale partners bespreken in welke specifieke
gevallen de behoefte daaraan precies bestaat. Hierbij dient rekening gehouden te worden
met weging van eerdergenoemde belangen evenals met het belang van werknemers bij bescherming
van hun privacy. Over de uitkomst van deze bespreking zult u worden geïnformeerd in
de hiervóór al aangekondigde brief waarmee ik u zal berichten welke conclusies worden
verbonden aan de punten die buiten de motie Koopmans onder mijn aandacht zijn gebracht.

3. Privacyaspecten rond het branchebreed aanleggen van zwarte lijsten van fraudeurs

In hun brief van 19 september 2018 stellen VNO-NCW en MKB Nederland dat de schade
voor het bedrijfsleven door fraude jaarlijks in de miljarden euro’s loopt. Zij noemen
in dat verband het sjoemelen met creditcards, verzekeringen en spooknota’s. In navolging
van de succesvolle aanpak in Engeland willen volgens deze organisaties ook bedrijven
in Nederland informatie over wangedrag en fraudeurs onderling kunnen uitwisselen.
Op dit moment zou dat echter niet mogelijk zijn tussen bedrijven uit verschillende
sectoren. Hoewel «zwarte lijsten» binnen bepaalde sectoren wel zijn toegestaan, zou
de AP geen fiat geven voor het cross-sectoraal delen van informatie. Volgens VNO-NCW
en MKB Nederland zou een mogelijke oplossing zijn gelegen in het treffen van een expliciete
wettelijke grondslag voor cross-sectoraal uitwisselen van kennis over deze fraudeurs.

In reactie op dit voorstel wijs ik erop dat het aanleggen van zwarte lijsten naar
zijn aard vaak gepaard gaat met het verwerken van persoonsgegevens van strafrechtelijke
aard. Het verwerken daarvan is op grond van artikel 10 van de AVG alleen toegestaan
indien dit geschiedt onder toezicht van de overheid of indien de verwerking is toegestaan
bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor
de rechten en vrijheden van de betrokkene bevatten. De UAVG maak het op die grond
mogelijk om persoonsgegevens van strafrechtelijke aard ten behoeve van derden te verwerken,
onder meer indien de AP hiervoor een vergunning heeft verleend (artikel 33, vierde
lid, aanhef en onderdeel c). De AP kan een dergelijke vergunning verlenen, indien
de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en
bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer
van de betrokkene niet onevenredig wordt geschaad (artikel 33, vijfde lid).

Het tegengaan van fraude kan als een zwaarwegend belang voor een bedrijf of onderneming
worden aangemerkt. Het is dus op grond van deze bepaling mogelijk om zwarte lijsten
te delen. De AP zal dan wel vooraf, in het kader van de vergunningaanvraag, noodzaak
en evenredigheid toetsen. Hierbij laat zij onder meer de volgende omstandigheden een
rol spelen:

• de mate waarin opname van een individu in het systeem waarop de gegevensuitwisseling
betrekking heeft, kan betekenen dat betrokkene wordt uitgesloten van bijvoorbeeld
eerste levensbehoeften of van goederen of diensten die betrekking hebben op een (klassiek
of sociaal) grondrecht;

• de kwetsbaarheid van bepaalde groepen betrokkenen, zoals klanten en werknemers die
minderjarig zijn of oudere werknemers;

• de reikwijdte van het systeem, in termen van zowel degenen die het systeem kunnen
vullen, degenen die gegevens in het systeem kunnen raadplegen en degenen van wie persoonsgegevens
in het systeem worden verwerkt. Hoe groter de reikwijdte, hoe ingrijpender de gevolgen
voor opname van de betrokkene in het systeem kunnen zijn. Naarmate de reikwijdte van
een systeem groter is, zullen derhalve de waarborgen voor betrokkenen zwaarder moeten
wegen of zal het systeem in het geheel niet door de toetsing komen. Het beperken van
de reikwijdte van het systeem (geografisch, sectoraal of anderszins) kan bijdragen
aan een positieve uitkomst van de proportionaliteitsafweging.12

Wil er aanleiding zijn te overwegen de UAVG te wijzigen overeenkomstig het voorstel
van VNO/NCW en MKB Nederland, dan zullen eerst ervaringen moeten zijn opgedaan met
het indienen van een aanvraag tot een vergunning als bedoeld in artikel 33, vijfde
lid, UAVG en de reactie daarop van de AP. Met het oog hierop en gelet op de nieuwe
toepasselijke aanvraagprocedure zal ik, samen met VNO/NCW en MKB Nederland, in gesprek
gaan met de AP over de betekenis hiervan voor nieuwe aanvragen voor cross-sectorale
uitwisseling van gegevens over fraudeurs. De ervaringen die door bedrijven met deze
procedure zijn opgedaan kunnen worden betrokken in het door mijn ambtgenoot van Justitie
en Veiligheid toegezegde vergelijkende onderzoek naar cross-sectorale gegevensuitwisseling
tussen private partijen in Nederland en in het Verenigd Koninkrijk. Daarbij zal in
het bijzonder worden gekeken naar de eventuele meerwaarde van het systeem Cifas, dat
in het Verenigd Koninkrijk bestaat, en hoe dit eventueel toepasbaar is in het Nederlandse
rechtssysteem.13

4. Het toepassingsgebied van de verordening, met name gezien de uitzondering voor
zuiver persoonlijke of huishoudelijke activiteiten

Artikel 2, tweede lid, onderdeel c, AVG bepaalt dat de AVG niet van toepassing is
op een verwerking van persoonsgegevens «door een natuurlijke persoon bij de uitoefening
van een zuiver persoonlijke of huishoudelijke activiteit». Overweging 18 voegt daaraan
toe dat dit «een louter persoonlijke of huishoudelijke activiteit die als zodanig
geen enkel verband houdt met een beroeps- of handelsactiviteit» moet betreffen.

In de nota naar aanleiding van het verslag bij de UAVG, alsmede bij de Aanpassingswet
AVG, heeft de regering aandacht besteed aan de reikwijdte van deze bepaling, naar
aanleiding van vragen van uw Kamer. Daarbij is ingegaan op de jurisprudentie onder
richtlijn 95/46/EG en de standpunten van de AP in dezen.14 Van belang in dit verband is dat het gaat om begrippen uit de AVG, die nationale
wetgevers niet zelf nader kunnen invullen. De uitleg van deze begrippen is aan de
toezichthoudende autoriteiten en uiteindelijk aan de rechter.

De AP wijst erop dat bij de uitzondering voor persoonlijke of huishoudelijke activiteit
op de toepasselijkheid van de AVG van belang is het onderscheid tussen de situatie
waarin de gegevens toegankelijk zijn voor iedereen, dan wel slechts voor een beperkte
kring. Op haar site staat dat de uitzondering voor persoonlijk of huishoudelijk gebruik
bij het publiceren van persoonsgegevens van andere mensen op internet alleen geldt
«als u privé publiceert, dus niet namens een bedrijf. En als u uitsluitend publiceert
voor uw eigen persoonlijke of huishoudelijke doeleinden. Dus niet (ook) voor professionele
of commerciële doeleinden. U moet er daarbij voor zorgen dat de informatie alleen
zichtbaar is voor een beperkte kring mensen, zoals uw familieleden of vrienden. De
gegevens mogen dus niet openbaar zijn voor iedereen (ook niet voor «vrienden van vrienden»
op Facebook). Via zoekmachines mogen de gegevens ook niet te vinden zijn.»
15 Hiermee geeft de AP enkele handvaten voor de toepassing van deze bepaling uit de
AVG.

Verder heeft het Hof van Justitie van de Europese Unie in juli 2018 een uitspraak
gedaan ten aanzien van de uitzondering voor persoonlijke of huishoudelijk activiteit.16 In deze uitspraak ging het om leden van een geloofsgemeenschap die tijdens hun van-huis-tot-huisverkondiging
aantekeningen maakten over de bezoeken die zij hebben gebracht aan voor hen onbekende
personen.17 Het Hof verwijst naar zijn eerdere jurisprudentie, waaruit blijkt dat de uitzondering
uitsluitend betrekking heeft op de activiteiten die tot het privéleven of het gezinsleven
van particulieren behoren.18 In het voorliggende geval stelt het Hof vast dat de activiteit zich richtte op de
sfeer buiten de privésfeer van de leden-verkondigers. Hoewel artikel 10, lid 1, van
het Handvest van de Grondrechten van de EU de van-huis-tot-huisverkondiging door de
leden van een geloofsgemeenschap beschermt als belijdenis van het geloof van de verkondiger
of de verkondigers, wordt die verkondiging daardoor nog geen met uitsluitend persoonlijke
of huishoudelijke doeleinden verrichte activiteit, aldus het Hof. Het Hof concludeert
dat hier geen sprake is van een activiteit die uitsluitend voor persoonlijke of huishoudelijk
doeleinden wordt verricht.

Met deze uitspraak geeft het Hof een beperkte uitleg aan de uitzonderingen op het
toepassingsbereik van het Europeesrechtelijke gegevensbeschermingsrecht. Dat is in
lijn met eerdere jurisprudentie van het Hof. Hoewel deze jurisprudentie ziet op de
toepasselijkheid van Richtlijn 95/46/EG, kan worden aangenomen dat deze uitleg ook
voor het toepassingsbereik van de AVG geldt, nu daarin vergelijkbare begrippen zijn
opgenomen.

5. De eerste ervaringen met de behandeling door de Autoriteit Persoonsgegevens van
individuele verzoeken en klachten

Dit voorjaar zal de Kamer een reactie worden toegezonden op de motie van de leden
Verhoeven en Van Nispen waarin de Kamer zal worden geïnformeerd over de capaciteit
en middelen van de AP in relatie tot haar taken. Daarin zal tevens worden ingegaan
op de eerste ervaringen van de AP met individuele verzoeken en klachten onder de AVG.

6. De leeftijdsgrens voor kinderen om in een online-omgeving rechtsgeldig toestemming
te geven voor het gebruik van zijn/haar persoonsgegevens

Het eerste lid van artikel 8 van de AVG bepaalt dat een persoon met ouderlijke verantwoordelijkheid
toestemming moet geven als er sprake is van een rechtstreeks aanbod van een «dienst
van de informatiemaatschappij»19 aan een kind dat jonger is dan 16 jaar, waarbij dan tevens toestemming de grondslag
voor die gegevensverwerking vormt. Bij «diensten van de informatiemaatschappij» moet
met name worden gedacht aan betaalde internetdiensten en mobiele telefoniediensten.
Verder staat in overweging 38 van de AVG dat «in de context van preventieve of adviesdiensten die rechtstreeks aan een kind worden
aangeboden» de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, niet
vereist is.20

Op grond van artikel 8 van de AVG kunnen lidstaten er ook voor kiezen om een lagere
leeftijdsgrens van 13, 14 of 15 jaar vast te stellen voor het zelfstandig toestemming
kunnen geven voor het verwerken van de eigen persoonsgegevens in het kader van dergelijke
diensten.21

In de UAVG is uitdrukkelijk gekozen voor een zogenaamde «beleidsneutrale implementatie».
Dat betekent dat, voor zover mogelijk, het bestaande nationale recht en de bestaande
nationale beleidskeuzes die al golden onder de Wet bescherming persoonsgegevens gehandhaafd
zijn onder het nieuwe regime. In de UAVG is dan ook vooralsnog geen gebruik gemaakt
van de ruimte die de AVG biedt om een andere leeftijdsgrens te kiezen en is de leeftijdsgrens
van 16 jaar uit de Wbp gehandhaafd.

In de motie-Koopmans c.s. wordt de regering verzocht uw Kamer nader te berichten over
ervaringen met en voornemens inzake de huidige «leeftijdsgrens voor kinderen om in een online-omgeving rechtsgeldig toestemming te
geven voor het gebruik van zijn/haar persoonsgegevens».22 Vervolgens wordt de regering in de motie-Verhoeven/Van Toorenburg23 verzocht bij deze heroverweging van de leeftijdsgrens tevens de uitkomsten mee te
nemen van het onderzoek, dat inmiddels door de Raad voor Volksgezondheid en Samenleving
(RVS) is uitgevoerd, naar de willekeurigheid van leeftijdsgrenzen in het recht, aangezien
dat onderzoek wellicht ook relevante inzichten zou kunnen opleveren voor de keuze
van een leeftijdsgrens in de UAVG.

De RVS bepleit in zijn advies «Leeftijdsgrenzen. Betere kansen voor kwetsbare jongeren»
van juni 2018 dat de aangeboden zorg en ondersteuning flexibel moeten aansluiten bij
de levensdoelen, ontwikkeling en behoeften van jongeren, ongeacht hun leeftijd. De
RVS adviseert een verhoging van de huidige leeftijdsgrens in de Jeugdwet van 18 jaar,
waarbij juridisch mogelijk gemaakt zou moeten worden dat flexibel hulp aangeboden
en vergoed kan worden vanuit verschillende wettelijke kaders. Inmiddels hebben de
Minister van Volksgezondheid, Welzijn en Sport en de Minister voor Rechtsbescherming,
bij brief van 5 november 2018,24 aan uw Kamer op dit specifieke advies van de RVS over de Jeugdzorg gemeld dat er
niet is besloten tot een algehele verhoging van de leeftijdsgrens in de Jeugdwet.

Daarnaast geeft de RVS in zijn advies ook een overzicht van de verschillende leeftijdsgrenzen
in het Nederlandse recht en een afwegingskader dat nuttig en bruikbaar kan zijn bij
de uiteindelijke besluitvorming over de leeftijdsgrens voor zelfstandig toestemming
in de digitale wereld voor het verwerken van de eigen persoonsgegevens.

Op dit moment is er tevens een onderzoek gaande dat, in opdracht van het WODC, wordt
uitgevoerd door de Universiteit Leiden over de positie van de minderjarige in het
Nederlandse civiele procesrecht. De Staatscommissie Herijking Ouderschap heeft in
haar rapport «Kind en ouders in de 21ste eeuw» aanbevolen om de positie van minderjarigen
te (her)bezien en geadviseerd om het hoorrecht van kinderen te betrekken in deze bezinning.
Ondanks het feit dat onderzoek plaatsvindt in een andere context is het wat het kabinet
betreft toch raadzaam om dit onderzoek in ieder geval af te wachten voordat er in
de onderhavige discussie een standpunt wordt ingenomen. Het onderzoek is namelijk
breed van opzet. Zo wordt er onder andere gekeken naar pedagogische en ontwikkelingspsychologische
aspecten25 waardoor de uitkomsten van dit onderzoek mogelijk ook van belang zou kunnen zijn
voor de nu voorliggende vragen rond het beoordelingsvermogen van kinderen in de digitale
wereld.

Dat is namelijk een complex vraagstuk waarbij inhoudelijk tegengestelde belangen spelen.
Enerzijds geldt het recht op privacy immers ook voor kinderen26 – tot op zekere hoogte –, en anderzijds hebben ouders de plicht hun kinderen te beschermen.

Dat jongeren gebruik moeten kunnen maken van diverse online diensten is evident. Zij
kunnen op deze manier toegang krijgen tot informatie en geven zo ook hun persoonlijke
en sociale leven vorm. Dat het ongestoord en ongezien experimenteren (en daarbij ook
fouten mogen maken) een belangrijk onderdeel uitmaakt van de zoektocht naar de eigen
identiteit en daarmee hoort bij hun levensfase, staat ook niet ter discussie. Wel
is de vraag vanaf welke leeftijd kinderen, gemiddeld genomen, in staat moeten kunnen
worden geacht om de reikwijdte te overzien van de digitale keuzes die zij maken. Relevante
factor is hierbij de relatieve kwetsbaarheid van kinderen ten opzichte van veelal
commerciële wederpartijen met soms grote financiële belangen. Kinderen worden dan
ook specifiek in de AVG genoemd als te beschermen groep juist vanwege de ongelijkwaardige
uitgangspositie ten opzichte van dergelijke partijen die hun persoonsgegevens gebruiken
voor commerciële en marketing doeleinden.27

Ouders moeten echter aan de andere kant soms zo snel mogelijk kunnen ingrijpen als
er zaken echt dreigen mis te lopen of al uit de hand zijn gelopen. Het gaat dan bijvoorbeeld
om fenomenen als cyberpesten, «sexting» of ongewenst pornografisch materiaal. Ook
wanneer kinderen zich bijvoorbeeld begeven op dating sites of bepaalde platforms kan
het noodzakelijk zijn dat ouders op een relatief eenvoudige wijze kunnen ingrijpen.
Het intrekken van de toestemming kan dan in sommige gevallen een zekere «noodremfunctie»
vervullen. Ook hier is weer de kernvraag tot welke leeftijd een dergelijke noodrem
voor ouders nog noodzakelijk, wenselijk en opportuun is.

Kortom, de vraag naar mogelijke aanpassing van de leeftijdsgrens voor het zelfstandig
kunnen beslissen over het geven van toestemming voor de verwerking van de eigen persoonsgegevens
heeft vele kanten. Naast meer wetssystematische aspecten rond de inpasbaarheid in
het Nederlandse recht en de uitvoerbaarheid en handhaafbaarheid, moeten principiële
vragen worden beantwoord over de belangenafweging tussen de emancipatie en de privacy
van het kind28 en de ouderlijke plicht tot het beschermen van het kind. Dat is een breed maatschappelijk
vraagstuk waarbij het kabinet een zorgvuldige afweging wil maken. Daarbij vindt het
kabinet het van groot belang om de relevante stakeholders te betrekken bij de oordeelvorming.
Zoals gezegd, wil het kabinet tot slot ook voornoemd onderzoek van de Universiteit
Leiden afwachten. Dat onderzoek zal naar verwachting medio 2019 gereed zijn.

7. De ruimte voor het gebruik van persoonsgegevens voor journalistieke doeleinden

De journalistieke exceptie

Op grond van artikel 85 van de AVG zijn lidstaten verplicht om «het recht op bescherming van persoonsgegevens overeenkomstig deze verordening wettelijk
in overeenstemming (te brengen) met het recht op vrijheid van meningsuiting en van
informatie, daaronder begrepen de verwerking voor journalistieke doeleinden en ten
behoeve van academische, artistieke of literaire uitdrukkingsvormen». Het gaat hierbij om het vinden van een goed evenwicht tussen twee gelijkwaardige
grondrechten29: enerzijds het recht op vrijheid van meningsuiting en informatie zoals vastgelegd
in artikel 10 van het Europees Verdrag tot bescherming van de rechten van de mens
en de fundamentele vrijheden (EVRM) en artikel 11 van het Handvest van de Grondrechten
van de Europese Unie (Handvest) en anderzijds het recht op privacy zoals vastgelegd
in onder meer artikel 8 EVRM en artikel 7 van het Handvest. Uit jurisprudentie van
het Europees Hof voor de Rechten van de Mens (EHRM) volgt dat de wetgever buitengewoon
terughoudend moet zijn met het stellen van beperkingen aan de vrijheid van meningsuiting,
nu dit recht van wezenlijk belang is met het oog op het functioneren van een democratische
samenleving. In dat kader moet het begrip journalistiek ook ruim worden geïnterpreteerd.30 Artikel 85 van de AVG laat dan ook expliciet ruimte aan de lidstaten om aanzienlijke
onderdelen van de AVG uit te zonderen voor journalistieke doeleinden en academische,
artistieke of literaire uitdrukkingsvormen. De Nederlandse wetgever heeft van deze
mogelijkheid gebruik gemaakt in artikel 43 van de UAVG.

Ook de UAVG zelf is, met uitzondering van de definitiebepalingen en de bepalingen
over de territoriale en materiële reikwijdte (artikelen 1 t/m 4) niet van toepassing
op het verwerken van persoonsgegevens «voor uitsluitend journalistieke doeleinden en ten behoeve van uitsluitend academische,
artistieke of literaire uitdrukkingsvormen».

Hierdoor geldt in Nederland een regime waarin in deze gevallen persoonsgegevens kunnen
worden verwerkt zonder dat de betrokkenen van wie de persoonsgegevens worden verwerkt
hiervan (te allen tijde) op de hoogte hoeven te worden gesteld, inzage kunnen vorderen
of hun toestemming voor verwerking in kunnen trekken. Daarnaast geldt dat organisaties
die persoonsgegevens uitsluitend voor voornoemde doelen of uitdrukkingsvormen verwerken
niet hoeven mee te werken aan toezichthoudende activiteiten van de AP, geen register
van verwerkingsactiviteiten bij hoeven te houden, noch een functionaris voor gegevensbescherming
hoeven aan te stellen of een «data protection impact assessment» hoeven op te stellen. Verder geldt dat de AP geen toezichthoudende bevoegdheden
heeft in het geval dat persoonsgegevens uitsluitend worden verwerkt voor journalistieke
doeleinden of ten behoeve van uitsluitend educatieve, literaire of artistieke uitdrukkingsvormen.
Ook de regels omtrent gedragscodes en certificering zijn niet van toepassing in een
uitsluitend journalistieke context.

De enige materiële norm van de UAVG die wel van toepassing is op dergelijke verwerkingen
zijn de bepalingen over de vervangende toestemming door de wettelijke vertegenwoordiger
als er sprake is van het verwerken van persoonsgegevens van kinderen onder de 16 of
van bijvoorbeeld mensen die onder curatele staan (artikel 5, eerste en tweede lid,
van de UAVG). Daarnaast zijn ook de algemene definities en beginselen uit de AVG wel
van toepassing.

Belangrijk is dat daardoor de verwerking van persoonsgegevens, óók voor journalistieke
doeleinden en academische, artistieke of literaire uitdrukkingsvormen, wel altijd
moet geschieden ten behoeve van een duidelijk omschreven doel, dat er een rechtmatige
grondslag moet zijn voor de verwerking, dat gegevens niet langer worden bewaard dan
nodig is voor het doel, en dat de verwerkingsverantwoordelijke passende beveiligingsmaatregelen
neemt. Daarnaast moet voldaan worden aan de vereisten van noodzakelijkheid, proportionaliteit,
subsidiariteit en dataminimalisatie. Het kabinet is van oordeel dat door deze basisbeginselen
wel van toepassing te verklaren – net zoals overigens voorheen onder de Wet bescherming
persoonsgegevens (Wbp) het geval was – er een goede balans ontstaat tussen de plicht
om zorgvuldig om te gaan met iemands persoonsgegevens, ook in journalistieke context,
zonder dat daarmee de vrijheid van nieuwsgaring en informatieverstrekking wordt belemmerd.

Daarnaast betekenen de uitzonderingen voor, kort gezegd, journalistieke doeleinden
op de rechten van betrokkenen in de AVG, niet dat betrokkene geen recht op bescherming
van zijn persoonlijke levenssfeer in de journalistieke context heeft. Als een persoon
van oordeel is dat zijn privacy geschonden is, maar er tevens sprake is van de journalistieke
exceptie (en er dus mogelijk sprake is van botsende grondrechten), dan zal weliswaar
de AP zich onbevoegd verklaren, maar staat voor de betrokkene uiteraard altijd wel
de route naar de civiele rechter open. De rechter zal dan naast voornoemde van toepassing
zijnde normen uit de AVG ook op individueel niveau het belang van bescherming van
de persoonlijke levenssfeer afwegen tegen het belang van de specifieke publicatie
en het algemene belang van de vrijheid van nieuwsgaring en meningsuiting.

Uitvoering motie Koopmans

Ten behoeve van de uitvoering van de motie Koopmans c.s. (Kamerstuk 34 851, nr. 19) heeft het kabinet nogmaals zorgvuldig gekeken naar de ruimte voor het gebruik van
persoonsgegevens voor – zoals specifiek verzocht – journalistieke doeleinden, en in
het verlengde daarvan de ervaringen op dit vlak met de AVG en UAVG. Op 29 augustus
jl. heeft de Minister van Onderwijs, Cultuur en Wetenschap in dit kader de stakeholders
gevraagd naar hun ervaringen.

Op het verzoek heeft NDP nieuwsmedia (hierna: NDP) bij brief van 12 september 2018
gereageerd. NDP geeft aan een rondgang te hebben gemaakt langs de bij haar aangesloten
nieuwsbedrijven, en verwijst naar een memorandum dat tijdens de internetconsultatie
van het wetsvoorstel UAVG was ingestuurd. NDP vraagt in haar brief om een verdere
verruiming van de journalistieke exceptie voor de verwerking van persoonsgegevens
conform het amendement Buitenweg.31Concreet betekent dit dat de hoofdstukken II (algemene beginselen), alle artikelen
van hoofdstuk IV (ook de bepalingen over verwerkingsverantwoordelijke en verwerker)
en hoofdstuk IX (bepalingen die niet zien op journalistieke doeleinden) van de AVG
wat de NDP betreft in zijn geheel niet van toepassing zouden moeten zijn bij verwerking
van persoonsgegevens voor journalistieke doeleinden.

Ter algemene onderbouwing van het verzoek stelt NDP dat de gekozen beleidsneutrale
implementatie van de AVG een zwakkere bescherming voor de journalistiek betekent ten
opzichte van de Wbp en dat dat het risico met zich meebrengt dat de media zich terughoudender
gaan opstellen wegens angst voor claims (zgn. «chilling effect»). Dit alles versterkt door een toegenomen privacy bewustzijn, meer rechten voor
betrokkenen en de toegenomen bevoegdheden van de AP. De NDP noemt daarbij praktijkvoorbeelden
waarin fotojournalisten agressief zijn bejegend om foto’s te verwijderen en wijst
op een toename van verzoeken om hen te bewegen berichten uit onlinearchieven te verwijderen.

Het kabinet hecht eraan allereerst te benadrukken dat, hoewel met de komst van de
AVG de rechten van betrokkenen inderdaad zijn versterkt en de AP over meer bevoegdheden
beschikt, dit geen belemmering met zich brengt voor verwerkingen voor journalistieke
doeleinden. Immers, juist deze zaken (de rechten van betrokkene en het toezicht van
de AP) zijn met de UAVG integraal uitgezonderd voor het verwerken van persoonsgegevens
voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire
uitdrukkingsvormen en zijn dus niet van toepassing. Dat door de AVG het privacy bewustzijn
is vergroot, is wat het kabinet betreft op zichzelf positief. Dat dit niet dient te
ontaarden in agressief gedrag – zoals door de NDP gesteld – jegens wie dan ook is
evident.

Hieronder wordt specifiek ingegaan op het verzoek van NDP tot verruiming van de uitzonderingen
op drie punten.

Uitzonderen van de algemene beginselen (hoofdstuk II)

NDP verzoekt om de toepasselijkheid van de algemene bepalingen, reikwijdte en definities,
alsook de beginselen en de rechtsgrondslagen voor een rechtmatige gegevensverwerking
uit te zonderen voor verwerkingen met journalistieke doeleinden.

Naar het oordeel van het kabinet is het echter niet wenselijk om de journalistieke
exceptie verder te verruimen door hoofdstuk II in zijn geheel uit te zonderen voor
de verwerking van persoonsgegevens voor journalistieke doeleinden. Het gaat hier om
de toepasselijkheid van basale zorgvuldigheidseisen die ook een journalist bij het
verwerken van persoonsgegevens van een ander bij zijn werk in acht behoort te nemen
en om de bescherming van persoonsgegevens afdoende te kunnen waarborgen. Dat betekent
dat een inbreuk op het recht op bescherming van persoonsgegevens altijd in een redelijke
verhouding moet staan tot het maatschappelijke belang, bijvoorbeeld van een journalistieke
publicatie. Een civiele rechter zal daar ook naar kijken als hem een oordeel wordt
gevraagd over botsende grondrechten in een concrete casus. Zoals eerder uiteengezet
vereist artikel 85 van de AVG daarnaast dat het recht op bescherming van persoonsgegevens
door de lidstaten in overeenstemming wordt gebracht met de vrijheid van meningsuiting
en informatie, niet dat het ene grondrecht bij voorbaat moet prevaleren boven het
andere. Een verdere uitbreiding van de journalistieke exceptie, waarbij ook algemene
beginselen van de AVG geheel zouden worden uitgesloten, zorgt wat het kabinet betreft
voor een onwenselijke disbalans tussen de beide grondrechten.

Verder heeft de NDP bezwaren tegen het feit dat het transparantievereiste (verwerkt
in de algemene beginselen van artikel 5 van de AVG) van toepassing is. Hierover merkt
het kabinet het volgende op. NDP vreest dat de rechten van betrokkene of verplichtingen
van de verwerkingsverantwoordelijke, die voor genoemde groepen niet van toepassing
zijn (zoals het recht op inzage en het recht op verwijdering, de plicht om de betrokkene
te informeren), tóch via de band van het algemene transparantiebeginsel van toepassing
worden. Bronnen en klokkenluiders zouden mede hierom, volgens NDP, minder geneigd
zijn om misstanden via de media naar buiten te brengen, uit angst dat hun identiteit
wordt onthuld. Het kabinet benadrukt dat dit niet het geval is. De rechten en plichten
in de AVG die verbonden zijn aan de eis van transparantie zijn niet van toepassing
op verwerkingen voor journalistieke doeleinden. Het beginsel van bronbescherming,
zoals dat is vastgelegd in jurisprudentie van het Europees Hof voor Rechten van de
Mens en de Wet bronbescherming in strafzaken32 is daarnaast ook niet veranderd door de (U)AVG en blijft onverkort van kracht. Men
zou zelfs andersom kunnen redeneren: het is juist in het belang van journalistieke
bronnen dat journalisten gehouden zijn aan bepaalde zorgvuldigheidsnormen bij de verwerking
van hun persoonsgegevens (denk aan een adequate opslag en beveiliging).

Uitzonderen van de bepalingen over verwerkingsverantwoordelijke en verwerker (hoofdstuk
IV)

NDP verzoekt uitzondering van de bepalingen over de verwerkingsverantwoordelijke en
verwerker, wat betreft het uitgangspunt van «privacy by design» en «privacy by default»,
de situatie waarin sprake is van meerdere verwerkingsverantwoordelijken en de situatie
waarin de verwerkingsverantwoordelijke een verwerker inschakelt. NDP vreest wederom
dat door de van toepassing zijnde vereisten op grond van hoofdstuk IV van de AVG,
bijvoorbeeld als sprake is van een verwerker, ook andere bepalingen en verplichtingen
(waaronder het toezicht en de boetebevoegdheid van de AP) alsnog van toepassing zouden
worden op de journalistiek, ook al zijn deze specifiek uitgezonderd. Zo zouden er
volgens NDP allerlei inhoudelijke eisen gaan gelden op basis van de verwerkersovereenkomst
tussen een nieuwsbedrijf als verwerkingsverantwoordelijke en de drukker als verwerker.
Zo zou de drukker wel moeten meewerken aan het beantwoorden van inzage-, rectificatie-
of verwijderingsverzoeken.

Het kabinet benadrukt dat dit niet aan de orde is. Rechten van betrokkene en plichten
van de verwerkingsverantwoordelijke die zijn uitgezonderd voor de verwerkingen voor
journalistieke doeleinden blijven uitgezonderd ook als een verwerker wordt ingeschakeld.
Hetzelfde geldt voor het feit dat de AP niet bevoegd is om toezicht te houden. Vanuit
het oogpunt van bescherming van persoonsgegevens mag worden verwacht dat zorgvuldig
met persoonsgegevens wordt omgegaan en dat met een verwerker nadere afspraken worden
gemaakt om te waarborgen dat de normen worden nageleefd, maar uiteraard alleen voor
zover van toepassing op de verwerkingsverantwoordelijke zelf.

Uitzonderen van de bepalingen die niet zien op journalistieke doeleinden (hoofdstuk
IX)

NDP geeft aan dat de artikelen uit de AVG die geen betrekking hebben op de verwerking
van persoonsgegevens voor journalistieke doeleinden (artikel 43, 85 en 88 t/m 91 van
hoofdstuk IX, en artikel 8) uitgezonderd moeten worden.

Van belang is op te merken dat artikel 43 van de AVG al uitgezonderd is, en dat artikel
85 van de AVG wel degelijk relevant is omdat het juist de ruimte biedt voor het maken
van uitzonderingen en afwijkingen voor de verwerking voor journalistieke doeleinden
en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen. Wat betreft
de overige artikelen merkt NDP terecht op dat deze artikelen niet relevant zijn. Het
kabinet is vanuit wetstechnisch oogpunt van mening dat deze artikelen niet voor journalistieke
doeleinden uitgezonderd moeten worden in de UAVG, omdat in dat geval immers voor álle
situaties waar deze artikelen niet over gaan een uitzondering moeten worden opgenomen
in de uitvoeringswetgeving. Dit is niet alleen onwerkbaar, maar ook onnodig omdat
de tekst van de artikelen zelf aangeeft op welke situaties deze van toepassing zijn.

Conclusie met betrekking tot de ruimte voor het gebruik van persoonsgegevens voor
journalistieke doeleinden

Alles overwegende concludeert het kabinet dat met de AVG en UAVG sprake is van een
goede en noodzakelijke balans tussen het belang van bescherming van persoonsgegevens
enerzijds en de vrijheid van meningsuiting en informatie anderzijds. Verdere aanpassingen
of afwijkingen zouden leiden tot een ongewenste disbalans tussen deze gelijkwaardige
grondrechten.

8. De reikwijdte van de uitzondering voor kleine bedrijven voor het bijhouden van
een register voor alle persoonsgegevens die zij verwerken

De verplichting tot het bijhouden van een register geldt op grond van artikel 30,
vijfde lid, van de AVG niet voor een onderneming of een orgaan met minder dan 250
werknemers, tenzij (1) de verwerking waarschijnlijk een risico inhoudt voor de rechten
en vrijheden van betrokkene of (2) indien er sprake is van een niet-incidentele verwerking
of (3) indien er sprake is van verwerking van bijzondere categorieën persoonsgegevens
of persoonsgegevens van, kort gezegd, strafrechtelijke aard. Bij de parlementaire
behandeling van de UAVG, is de verwachting uitgesproken dat – aangezien veruit de
meeste verwerkingen niet-incidenteel zijn – in de praktijk slechts in een beperkt
aantal gevallen een beroep op deze uitzondering kan worden gedaan en dat het praktische
gevolg van deze registerplicht voor veel kleine ondernemingen te overzien zal zijn.
Het opstellen en bijhouden van een dergelijk register is immers minder tijdrovend
naarmate er minder verwerkingen in een bedrijf plaatsvinden. De AP heeft desgevraagd
ook aangegeven dat de uitzondering op de registerplicht inderdaad niet meer van toepassing
is als zich maar één van de situaties, zoals opgesomd in het vijfde lid, voordoet.
Daar het een bepaling uit de AVG betreft, zijn er geen mogelijkheden om deze bepaling
nationaal ruimer uit te leggen, in de zin dat de uitzondering een groter bereik krijgt
dan in overeenstemming met de tekst van deze bepaling is. De vraag of een ruimere
uitzondering op de registerplicht al dan niet wenselijk zou zijn, hoort dan ook thuis
in het proces van evaluatie van de AVG. Gelet op de signalen die het kabinet heeft
ontvangen over de door kleine ondernemingen in de praktijk ervaren lasten van de registerplicht,
zal het kabinet in overleg met het bedrijfsleven bezien wat deze signalen voor die
evaluatie zullen kunnen betekenen.

9. De reikwijdte van de uitzonderingen op het verbod van geautomatiseerde besluitvorming

In de motie Koopmans c.s. (Kamerstuk 34 851, nr. 19) wordt naar de reikwijdte van de uitzonderingen op het verbod van geautomatiseerde
individuele besluitvorming gevraagd. Dit verbod is neergelegd in artikel 22 AVG: «De
betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde
verwerking, waaronder profilering gebaseerd besluit waaraan voor hem rechtsgevolgen
zijn verbonden of dat hem anderszins in aanmerkelijke mate treft».

In dit artikel worden een aantal begrippen genoemd zoals «profilering», «besluit»
en «hem in aanmerkelijke mate treft». Deze begrippen dienen als volgt te worden uitgelegd.

In de AVG wordt profilering omschreven als geautomatiseerde verwerking van persoonsgegevens
voor het evalueren van persoonlijke aspecten, met name om zaken over personen te analyseren
of te voorspellen. Het gebruik van het woord «evalueren» suggereert dat bij profilering
een zekere beoordeling over een persoon wordt gemaakt».

In algemene bewoordingen betekent profilering het verzamelen van informatie over een
persoon (of een groep personen) en het evalueren van hun kenmerken of gedragspatronen
om deze persoon of personen in een bepaalde categorie of groep te plaatsen, met name
om zijn of hun: vermogen om een taak uit te voeren; interesses; of waarschijnlijk
gedrag te analyseren of hierover voorspellingen te doen.33

Het begrip «besluit» in artikel 22 moet ruimer worden gelezen dan in de Algemene wet
bestuursrecht staat. Zo vallen beslissingen genomen door private partijen ook onder
de reikwijdte van dit artikel.34

Wanneer een gevolg verbonden is aan het besluit dat iemand in «aanmerkelijke mate
treft», zelfs zonder dat er iets verandert aan zijn wettelijke rechten of plichten,
dan kan een betrokkene toch in zodanige mate worden getroffen dat de bescherming van
artikel 22 AVG geldt. De drempel voor aanmerkelijke mate moet dus vergelijkbaar zijn met de mate waarin de betrokkene wordt getroffen bij een
besluit waaraan wèl een rechtsgevolg verbonden is.35

Op grond van artikel 22, tweede lid, onder b. AVG geldt het verbod op geautomatiseerde
besluitvorming niet, indien het besluit is toegestaan bij – onder meer – een lidstaatrechtelijke
bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet
in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde
belangen van de betrokkene.

Van deze mogelijkheid heeft de Nederlandse wetgever gebruik gemaakt door in artikel
40, eerste lid, UAVG te bepalen dat het verbod uit het eerste lid van artikel 22 van
de AVG niet geldt, indien de geautomatiseerde individuele besluitvorming, noodzakelijk
is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke
rust of noodzakelijk is voor de vervulling van een taak van algemeen belang. Deze
nationaal rechtelijke uitzondering geldt echter expliciet niet voor besluiten die
tot stand zijn gekomen op basis van profilering.

Branchevereniging VNO-NCW en MKB Nederland heeft mij bij brief van 19 september 2018
laten weten dat wanneer er geen geautomatiseerde besluiten op basis van profielen
mogen worden genomen dit de ontwikkeling van nieuw profiel-gebaseerde technieken in
de weg zit. Deze nieuwe technieken kunnen volgens de branchevereniging bijvoorbeeld
worden gebruikt om beter op fraude te kunnen detecteren of witwaspraktijken te voorkomen.
VNO-NCW en MKB Nederland stelt daarom als mogelijke oplossing voor artikel 40, eerste
lid, UAVG aan te passen door te voorzien in een meer algemene uitzondering op het
verbod van artikel 22 AVG, die wel ook geldt voor besluiten genomen op basis van profilering.

Geautomatiseerde besluitvorming op basis van profilering brengt echter het risico
mee dat de betrokken individuele persoon een generiek kenmerk van een groep personen
wordt tegengeworpen, terwijl dat kenmerk op hem niet van toepassing is en daarmee
voor hem een zogenoemd false positive oplevert. Ook bestaat het risico dat de betrokken persoon niet aan alle kenmerken
van de groep voldoet, maar wel tot die groep zou moeten worden gerekend en daarmee
voor hem een zogenoemd false negative oplevert. Deze risico’s zijn van dien aard dat het ongepast zou zijn de algemene
grondslag voor geautomatiseerde besluitvorming die artikel 40 van de UAVG biedt, ook
te laten gelden voor geautomatiseerde besluitvorming op basis van profilering.

Als er in de toekomst behoefte ontstaat in een concrete sector om geautomatiseerde
besluitvorming op basis van profilering te laten plaatsvinden dan zal daarvoor een
specifieke op de situatie/de sector toegespitste wettelijke grondslag nodig zijn,
waarbij dan ook specifieke maatregelen dienen te worden getroffen om de genoemde risico’s
te mitigeren en de rechten van betrokkene te waarborgen.36

Tegen deze achtergrond wijst het kabinet een algemene grondslag voor geautomatiseerde
besluitvorming op basis van profilering, zoals door VNO-NCW en MKB Nederland voorgesteld,
af, omdat zij onvoldoende specifiek is en ook geen specifieke maatregelen behelst
waarmee eerder genoemde risico’s kunnen worden beperkt. Dit impliceert overigens niet
dat profilering om fraude te detecteren niet mogelijk zou zijn. Artikel 22 AVG bevat
immers geen algemeen verbod op profilering, noch een verbod op geautomatiseerde verwerking
van persoonsgegevens als een onderdeel van besluitvorming. Het opstellen van bijvoorbeeld een risicoprofiel van een persoon
met behulp van geautomatiseerde processen is op zichzelf dus niet verboden, zolang
er op enig moment in het proces sprake is van menselijke tussenkomst. Om van «menselijke
tussenkomst» te kunnen spreken moet de verwerkingsverantwoordelijke er dan wel voor
zorgen dat het toezicht op de besluitvorming zinvol is en niet slechts een symbolische
handeling vormt. Zo moet deze tussenkomst worden uitgevoerd door iemand die bevoegd
en bekwaam is om het besluit te veranderen en die alle relevante gegevens in zijn
analyse dient te betrekken.37 Op deze wijze mag met behulp van profilering in beginsel ook een proces worden ingericht
dat detectie van fraude tot doel heeft.

10. De mogelijkheid om een ex parte verbod analoog aan artikel 1019e van het Wetboek
van Burgerlijke Rechtsvordering van toepassing te verklaren op ernstige schendingen
van de Algemene verordening gegevensbescherming

De Minister van Justitie en Veiligheid en ik zullen een haalbaarheidsstudie laten
uitvoeren naar het creëren van een laagdrempelige administratieve voorziening voor
een burger om de inhoud van een publicatie op internet te laten beoordelen op onrechtmatigheid,
bijvoorbeeld omdat deze geen toestemming (meer) geeft voor het online gebruik en verspreiding
van beeldmateriaal waarmee deze persoon in verband kan worden gebracht. Daarbij wordt
ervan uitgegaan dat er geen toestemming is gegeven om de getoonde beelden online toegankelijk
te maken, tenzij degene die de beelden heeft geplaatst een bezwaarprocedure start
en het tegendeel aantoont. In deze haalbaarheidsstudie wordt onderzocht of de beoogde
taak bij de rechtbank of bij een reeds bestaande toezichthouder kan worden ondergebracht
en welke kosten hiermee gemoeid zouden zijn.

Een voorziening als hier beoogd, zou tegemoet komen aan de strekking van dit onderdeel
van deze motie om slachtoffers van evidente privacyschendingen een spoedprocedure
bij de rechter te bieden om de schadelijke content van internet te verwijderen, naar
analogie van het zgn. ex parte-verbod uit het intellectuele eigendomsrecht.38 Daarbij moet wel steeds een beoordeling plaatsvinden ten opzichte van het recht op
de vrijheid van meningsuiting.

11. De rol van het HvJ-EU en de toepasselijkheid van het Europese Handvest van de
grondrechten ook op die terreinen waarop de AVG van overeenkomstige toepassing wordt
verklaard in de UAVG

Tot slot doe ik de toezegging gestand die tijdens de behandeling van de UAVG aan uw
Kamer is gedaan naar aanleiding van vragen van mevrouw Buitenweg (Handelingen II 2018/19,
nr. 59, item 4). Onderstaand licht ik de rol toe van het Hof van Justitie van de Europese Unie (HvJ-EU)
alsmede de toepasselijkheid van het Handvest van de Grondrechten van de Europese Unie
(Handvest EU) op die terreinen waarop de AVG in de UAVG van overeenkomstige toepassing wordt verklaard.

In artikel 3 van de UAVG wordt de AVG van overeenkomstige toepassing verklaard op
de verwerking van persoonsgegevens in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen.
39 Hiermee wordt voorkomen dat op dergelijke verwerkingen in het geheel geen regels
omtrent de bescherming van de persoonlijke levenssfeer van toepassing zouden zijn40 én voor deze verwerkingen en verwerkingen die binnen de werkingssfeer van de AVG
vallen een gelijke gegevensbescherming te waarborgen. Deze verwerkingen vallen dus
niet binnen de werkingssfeer van het Unierecht, maar op deze verwerkingen is niettemin
krachtens het nationale recht de AVG van overeenkomstige toepassing verklaard.

Volgens vaste jurisprudentie van het HvJ-EU is het Hof bevoegd uitspraak te doen over
een verzoek om een prejudiciële beslissing in situaties die niet rechtstreeks binnen
de werkingssfeer van het Unierecht vallen, maar waarin deze bepalingen door het nationale
recht op rechtstreekse en onvoorwaardelijke wijze toepasselijk zijn gemaakt.41 Het Hof wijst in deze jurisprudentie op het belang van uniforme uitleg van de uit
het Unierecht overgenomen bepalingen en het vermijden van een uiteenlopende uitleg.

Deze situatie is hier aan de orde voor wat betreft de hiervoor bedoelde «overige verwerkingen»;
de AVG is daarop immers van overeenkomstige toepassing verklaard. In geschillen (met
inbegrip van prejudiciële verwijzingen) over deze verwerkingen is daarom de uitleg
die het Hof aan de AVG geeft, van toepassing en leidend. Het Handvest EU kan een interpretatieve
rol vervullen, maar uitsluitend voor zover relevant voor de uitleg van de AVG. In
zekere zin is er dus gelet op voormelde jurisprudentie sprake van een uitbreiding
van de bevoegdheid van het Hof. De zorg dat rechterlijke interpretaties op terreinen
waar de AVG rechtstreeks van toepassing respectievelijk van overeenkomstige toepassing
is verklaard, zullen afwijken, kan gelet op het vorenstaande worden weggenomen.