Brief regering : Fiche : Mededeling gegevensbeschermingsregels
22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie
Nr. 2830
BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 18 oktober 2019
Overeenkomstig de bestaande afspraken ontvangt u hierbij 1 fiche dat werd opgesteld
door de werkgroep Beoordeling Nieuwe Commissievoorstellen (BNC).
Fiche: Mededeling gegevensbeschermingsregels
De Minister van Buitenlandse Zaken,
S.A. Blok
Fiche: Mededeling gegevensbeschermingsregels
1. Algemene gegevens
a) Titel voorstel
Mededeling gegevensbeschermingsregels als basis voor vertrouwen in de EU en daarbuiten
– een inventarisatie
b) Datum ontvangst Commissiedocument
24 juli 2019
c) Nr. Commissiedocument
COM(2019) 374 final
d) EUR-Lex
https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=COM:2019:374:FIN
e) Nr. impact assessment Commissie en Opinie Raad voor Regelgevingstoetsing
n.v.t.
f) Behandelingstraject Raad
Raad Justitie en Binnenlandse Zaken
g) Eerstverantwoordelijk ministerie
Ministerie van Justitie en Veiligheid
2. Essentie voorstel
In deze mededeling inventariseert de Commissie iets meer dan een jaar na het van toepassing
worden van de Algemene verordening gegevensbescherming (AVG) op 25 mei 2018 de resultaten
die tot op heden zijn behaald in verband met de consistente uitvoering van de gegevensbeschermingsregels
in de hele EU, de werking van het nieuwe systeem van toezicht, de gevolgen voor burgers
en ondernemingen en de inspanningen van de EU om de wereldwijde convergentie van gegevensbeschermingsstelsels
te bevorderen. De mededeling vormt een bijdrage aan de eerste evaluatie van de AVG.
De mededeling kan worden gezien als een tussenrapportage in dit proces en beslaat
het eerste jaar waarin de AVG van toepassing is. Volgende stap in het proces is de
eindrapportage die op grond van artikel 97 AVG op 25 mei 2020 moet zijn afgerond en
die de eerste twee jaar waarin de AVG van toepassing is, zal beslaan. De mededeling
volgt op een eerdere mededeling van januari 20181 en is gebaseerd op informatie uit de werkzaamheden van de groep van diverse belanghebbenden.2
Hoofdboodschap van deze mededeling is dat de toepassing van de AVG in het eerste jaar
positief was, maar dat op een aantal gebieden nog vooruitgang moet worden geboekt.
Als het gaat om de consistente uitvoering van de gegevensbeschermingsregels in de
hele EU zijn de doelen van de AVG volgens de Commissie grotendeels gehaald.3 Aan het gefragmenteerde landschap met 28 verschillende nationale wetgevingen onder
de voormalige Privacyrichtlijn is grotendeels een einde gekomen.
Over de werking van het nieuwe systeem van toezicht wordt opgemerkt dat de meeste
gegevensbeschermingsautoriteiten het afgelopen jaar steeds meer middelen tot hun beschikking
hebben gekregen, maar dat er nog altijd grote verschillen in budget voor de autoriteiten
tussen de lidstaten bestaan.4 Het potentieel van het nieuwe systeem van toezicht is volgens de Commissie nog niet
volledig benut.
Met betrekking tot de gevolgen voor burgers merkt de Commissie op dat de bekendheid
met gegevensbeschermingsrechten toeneemt en dat steeds meer mensen deze rechten uitoefenen.
De noodzaak om door te gaan met voorlichting blijft echter onverminderd.
Over de gevolgen voor het bedrijfsleven wordt opgemerkt dat ondernemingen over het
algemeen blij zijn met het verantwoordelijkheidsbeginsel dat de tijdrovende ex ante-aanpak
uit de oude Privacyrichtlijn vervangt. 5 Ook zijn bedrijven gestart met het ontwikkelen van meer privacy-vriendelijke diensten.
Tegelijkertijd vragen sommige bedrijven – in het bijzonder het MKB- om meer rechtszekerheid
en aanvullende of duidelijkere richtsnoeren van gegevensbeschermingsautoriteiten.
Met betrekking tot de mondiale ontwikkelingen in het gegevensbeschermingsrecht signaleert
de Commissie een duidelijke tendens richting opwaartse convergentie; steeds meer landen
ontwikkelen nieuwe gegevensbeschermingsregels of actualiseren bestaande regels en
nemen daarbij de AVG als voorbeeld. Dit biedt nieuwe mogelijkheden voor het bevorderen
van gegevensstromen, en daarmee ook de handel en samenwerking tussen overheidsautoriteiten,
terwijl tegelijkertijd de gegevens van personen in de EU beter worden beschermd.
Tot slot wijst de Commissie erop dat de bescherming van persoonsgegevens onderdeel
is geworden van verschillende beleidsterreinen waarop de EU actief is (telecommunicatie,
gezondheidszorg, AI, transport, energie, mededinging, gegevensbescherming in de context
van verkiezingen, rechtshandhaving).
3. Nederlandse positie ten aanzien van de mededeling/aanbeveling
a) Essentie Nederlands beleid op dit terrein
Nederland is voorstander van een sterk gegevensbeschermingsrecht waarin het recht
op privacy van burgers is gewaarborgd, zowel in hun directe- als digitale omgeving.
Nederland vindt het echter ook belangrijk dat er voldoende ruimte is voor overheden,
bedrijven en burgers om persoonsgegevens te verwerken, voor zover zulke verwerkingen
met passende waarborgen zijn omkleed. Nederland vindt het belangrijk dat er een goede
balans is tussen een goed beschermingsbeleid enerzijds en de administratieve lasten
voor burgers, bedrijven en overheid anderzijds.
Belangrijkste pilaar van het Nederlandse gegevensbeschermingsrecht is de Europese
Algemene Verordening Gegevensbescherming (AVG) en de daarbij behorende Uitvoeringswet
van de AVG (UAVG), die in algemene zin de verwerking van persoonsgegevens in Europa
en Nederland regelen. De UAVG kent een beleidsneutraal karakter en vormt in een aantal
opzichten een voortzetting van de oude Wet bescherming persoonsgegevens. Verder is
er meer specifieke wetgeving gebaseerd op een Europese richtlijn die toeziet op verwerking
van persoonsgegevens door justitie en politie.6 Naast de UAVG zijn er nog een aantal meer specifieke Nederlandse wetten die ook uitvoering
geven aan de AVG en een grondslag bieden voor de verwerking van persoonsgegevens,
zoals bijvoorbeeld de Wet basisregistratie personen en de Kieswet.
b) Beoordeling + inzet ten aanzien van dit voorstel
Deze mededeling is een geschikte opstap richting de eindrapportage van de evaluatie
van de AVG die de Commissie voor 25 mei 2020 moet opstellen. De inventarisatie geeft
een eerste kijk op eventuele knelpunten en problemen bij de implementatie en toepassing
van de AVG in de lidstaten. Nederland kan zich vinden in de positieve conclusies van
de Commissie over de toepassing van de AVG, maar onderschrijft ook de bevindingen
van de Commissie dat er op bepaalde terreinen nog vooruitgang te boeken is.
Nederland wil daarom gebruik maken van deze inventarisatie om een aantal aandachtspunten
aan de Commissie mee te geven voor het evaluatierapport van 25 mei 2020, die nog niet
in de mededeling voor komen.
Op grond van artikel 97 AVG moet de Europese Commissie bij de evaluatie van de AVG
de standpunten en bevindingen van het Europees Parlement, de Raad, en andere relevante
instanties of bronnen in aanmerking nemen. Er wordt momenteel gewerkt aan de totstandkoming
van een Raadspositie. Nederland zal zich inzetten hierin de aandachtspunten terug
te zien.
De Commissie heeft aangegeven de eindrapportage over de evaluatie en de toetsing van
de AVG, zoveel mogelijk te willen beperken tot de in artikel 97, tweede lid, AVG met
name genoemde onderwerpen (hoofdstuk V AVG betreffende de internationale doorgifte
van persoonsgegevens en hoofdstuk VII inzake het samenwerkings- en coherentiemechanisme).
De Commissie stuurt daarmee aan op een beperkte evaluatie van de AVG en heeft bovendien
op voorhand aangegeven geen wijzigingen van de AVG te zullen voorstellen.
Belangrijkste argument van de Commissie voor een beperkte evaluatie is dat bedrijven,
overheden en burgers nog bezig zijn om te wennen aan de regels en verplichtingen die
voortvloeien uit de AVG. De AVG heeft een grote impact heeft op burgers, bedrijven
én overheden. Velen hebben zich, in meerdere of mindere mate, moeten aanpassen aan
de regels en normen uit de AVG, die ten dele nieuw waren. Het zou daarom nog te vroeg
zijn om de AVG «breed» te evalueren, ook omdat veel open normen nog (verder) ingevuld
moeten worden door toezichthouders en rechters.
Hoewel Nederland erkent dat het belangrijk is om een gerichte evaluatie uit te voeren,
meent het dat ook kritisch moet worden gekeken naar een aantal bepalingen die buiten
de in artikel 97 genoemde hoofdstukken staan. Dit is juist van belang om op een aantal
punten meer rechtszekerheid te creëren. Artikel 97 laat ook alle ruimte om ook andere
onderwerpen voor de evaluatie aan te dragen. Hierbij kan volgens Nederland om te beginnen
worden gedacht aan bepalingen uit de AVG waarvan nu al is gebleken dat zij tot duidelijke
knelpunten in de praktijk leiden, zoals bijvoorbeeld artikel 30, vijfde lid, AVG.
Deze voor het MKB geformuleerde uitzondering op de plicht tot het bijhouden van een
register van verwerkingsactiviteiten (de «registerplicht») is zo stringent geformuleerd
dat deze in de praktijk niet of nauwelijks kan worden toegepast. Dit leidt tot een
onnodige lastenverzwaring voor het MKB. Het zoveel mogelijk oplossen van dergelijke
knelpunten is ook belangrijk voor het (behoud van het) maatschappelijk draagvlak voor
de AVG.
Daarnaast vindt Nederland dat de Commissie, gelet op artikel 97, vijfde lid, AVG7, bij de evaluatie ook oog zou moeten hebben voor relevante ontwikkelingen in de informatietechnologie
en informatiemaatschappij. Van belang is dat niet alleen wordt teruggekeken naar het
functioneren van de AVG tot nu toe, maar dat ook vooruit wordt gekeken naar technologische
en maatschappelijke ontwikkelingen die in de toekomst wellicht tot aanpassing of aanvulling
van de AVG zouden kunnen nopen. Nederland denkt daarbij in de eerste plaats aan de
groeiende datamacht van grote technologiebedrijven, maar ook aan ontwikkelingen op
het gebied van blockchain technologie of gezichtsherkenning.
Hoewel de publieke sector niet vertegenwoordigd was in de «groep van belanghebbenden»
die door de Commissie ten behoeve van deze mededeling is geraadpleegd, vindt het kabinet
het belangrijk dat de gevolgen van de AVG voor de overheid ook worden meegenomen in
de evaluatie. Overheidsorganisatie ondervinden praktische problemen bij de implementatie
of uitvoering van de AVG. Het kabinet vindt het belangrijk dat er tijdens de evaluatie
aandacht is voor de praktijkproblematiek omtrent de AVG.
In raadsverband zal Nederland richting de Commissie blijven pleiten voor een brede
evaluatie en bovengenoemde punten daarbij aandragen.
c) Eerste inschatting van krachtenveld
Lidstaten zijn nog maar kort bezig met de toepassing van de AVG. Het is daarom nog
niet duidelijk hoe de lidstaten staan in de uitvoering van de AVG en de opzet van
de evaluatie.
4. Grondhouding ten aanzien van bevoegdheid, subsidiariteit, proportionaliteit, financiële
gevolgen en gevolgen op het gebied van regeldruk en administratieve lasten
a) Bevoegdheid
De grondhouding ten aanzien van de bevoegdheid voor deze mededeling is positief. De
mededeling ziet op het beleidsterrein van de ruimte van vrijheid veiligheid en recht
(RVVR). Op dit terrein is sprake van een gedeelde bevoegdheid tussen de EU en de lidstaten
(zie artikel 4, lid 2, sub j, VWEU). Deze mededeling, waarin de Commissie de behaalde
resultaten inventariseert in verband met de uitvoering van de EU-gegevensbeschermingsregels,
sluit voorts aan bij de rol van de Commissie als hoedster van de verdragen (zie artikel
17 VEU) uit hoofde waarvan zij toeziet op de toepassing van het Unierecht. Voorts
zij ook gewezen op artikel 97 van de AVG, waarin aan de Commissie de taak wordt toegekend
om de AVG periodiek te evalueren en toetsen. Onderhavig optreden sluit hierbij aan.
b) Subsidiariteit
De grondhouding ten aanzien van de subsidiariteit van de mededeling is positief. De
inventarisatie, als bijdrage aan de evaluatie, ziet op toepassing/naleving van EU
regelgeving. Het ligt daarom voor de hand dat dit op EU-niveau wordt vormgegeven.
c) Proportionaliteit
Nederland heeft een positieve grondhouding ten aanzien van de proportionaliteit van
deze mededeling. De inventarisatie op de toepassing van de AVG is een geschikte opstap
richting de evaluatie van de AVG in 2020.
d) Financiële gevolgen
Er zijn geen financiële gevolgen voorzien op basis van deze mededeling. Nederland
is van mening dat eventuele benodigde EU-middelen gevonden dienen te worden binnen
de in de Raad afgesproken financiële kaders van de EU-begroting 2014–2020 en dat deze
moeten passen bij een prudente ontwikkeling van de jaarbegroting.
(Eventuele) budgettaire gevolgen worden ingepast op de begroting van het beleidsverantwoordelijke
departement, conform de regels van de budgetdiscipline.
e) Gevolgen voor regeldruk, administratieve lasten en concurrentiekracht
Een goede werking van de AVG kan bijdragen aan het verlichten van administratieve
lasten. In dat kader is een goede evaluatie van de AVG gewenst.
Ondertekenaars
-
Eerste ondertekenaar
S.A. Blok, minister van Buitenlandse Zaken