Brief regering : Voornemens met betrekking tot de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) en Algemene verordening gegevensbescherming (AVG)

Nr. 151
BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 31 oktober 2019

1. Inleiding

In mijn brief van 1 april jl. heb ik u mede namens de Minister van Binnenlandse Zaken
en Koninkrijksrelaties (BZK) geïnformeerd over de eerste ervaringen met de Uitvoeringswet
Algemene verordening gegevensbescherming (UAVG). In die brief ben ik vooral ingegaan
op onderwerpen die in de motie van het lid Koopmans c.s. aan de orde waren gesteld.1 Ik heb u bij die gelegenheid toegezegd u rond de zomer te informeren over de punten
die verder nog onder mijn aandacht zijn gebracht, en u te berichten op welke punten
een wijziging van de UAVG zal worden voorbereid.2 Met deze brief doe ik deze toezegging, mede namens de Minister van BZK, gestand.
Omdat sommige punten die naar voren zijn gebracht de AVG zelf betreffen, ga ik in
deze brief ook in op de onderwerpen die Nederland in het kader van de evaluatie van
de AVG bij de Commissie aan de orde heeft gesteld.

Voordat ik op de wetgevingsagenda en de evaluatie van de AVG inga, wil ik nog eens
benadrukken dat sommige (vermeende) knelpunten niet door wetgeving, maar door voorlichting
en uitleg zijn op te lossen. Ik zie gelukkig dat overheden, brancheorganisaties en
de Autoriteit persoonsgegevens (AP) op dit punt al veel in gang hebben gezet.

Zo is de AP in vervolg op haar uitgebreide voorlichtingscampagne in 2018 rond de inwerkingtreding
van de AVG de campagne «Wat betekent de privacywet voor jou(w bedrijf)?» gestart,
die MKB-ers praktische hulp bij de naleving van de AVG biedt. Gebleken is dat het
in dat kader opgerichte webportaal «Hulpbijprivacy» zo breed wordt opgezet en zodanig
wordt ingericht dat het de functie van de toegezegde Privacywijzer kan overnemen,
met als gevolg dat de ontwikkeling van de Privacywijzer inmiddels is gestopt.3 Daarnaast beantwoordt het Kennisdocument Privacy dat door het Ministerie van SZW
in samenspraak met de betrokken partijen (werkgevers, de AWVN en De Normaalste Zaak4) is opgesteld, veel vragen die bij werkgevers leven over privacy-aspecten bij werving
en selectie en het in dienst nemen van mensen met een arbeidsbeperking. Dit kennisdocument
zal in het najaar toegankelijk zijn via verschillende websites. Tot slot noem ik de
AVG-helpdesk Zorg, Welzijn en Sport, die voorlichting en ondersteuning biedt aan kleinere
verenigingen en organisaties in de sport- en welzijnssectoren, bijvoorbeeld in de
vorm van stappenplannen om aan de AVG te voldoen, en voorbeelddocumenten.

Ook worden er soms knelpunten verondersteld die geen probleem blijken te zijn, maar
waar door onduidelijke communicatie verwarring kan ontstaan. Voorbeeld is de door
VNO-NCW en MKB-Nederland opgeworpen vraag of de AVG zich verzet tegen het bewaren
van (kopieën van) een identiteitsbewijs, tewerkstellingsvergunning of notificatieformulier
van het UWV van vreemdelingen door werkgevers.5 Dat blijkt niet het geval te zijn waar dit voortvloeit uit een wettelijke verplichting
of sprake is van een gerechtvaardigd belang en mits aan de overige voorwaarden van
de AVG is voldaan. Wel is gebleken dat de informatie daarover op de website van de
Belastingdienst meer in lijn kan worden gebracht met de informatie op de website van
de Inspectie SZW. Het streven is deze aanpassing uiterlijk 1 december a.s. gereed
te hebben.

Dit is overigens een onderwerp dat op het terrein van collega’s ligt, i.c. de Minister
en Staatssecretaris van SZW. Zoals toegezegd, bespreekt de Staatssecretaris van SZW
met de sociale partners ook in welke specifieke gevallen behoefte bestaat aan het
afnemen van alcohol- en drugstesten, in aanvulling op gesprekken die haar departement
daarover al voert met de Vereniging van de Nederlandse Chemische Industrie (VNCI).6 Zij zal uw Kamer voor het eind van het jaar informeren over de uitkomsten van deze
gesprekken en tevens over de stand van zaken met betrekking tot de eerder aangekondigde
uitvraag naar de ervaringen onder de AVG met informatie-uitwisseling rondom zieke
werknemers.7 Verder bespreekt SZW met de sociale partners of biometrische gegevens gebruikt kunnen
worden voor het tegengaan van fraude met werktijden.8

2. Wetgeving9

Na ruim een jaar ervaring met de UAVG, kan voor een aantal punten al voldoende worden
beoordeeld dat het wenselijk is op die punten de UAVG of eventueel andere wetgeving
te wijzigen (zie § 2.1). Daarvoor zal een wetsvoorstel tot aanpassing van de UAVG
c.a. worden opgesteld. Ik streef ernaar dit wetsvoorstel in het eerste kwartaal van
2020 in consultatie te brengen. Voor een aantal andere punten is het overleg of wetswijziging
wenselijk is nog gaande (zie § 2.2). Als op basis van dat overleg de conclusie wordt
getrokken dat het op bepaalde punten inderdaad wenselijk is de wet te wijzigen, zullen
de desbetreffende wijzigingen worden meegenomen in eerdergenoemd wetsvoorstel. Voor
nog weer een aantal andere punten geldt dat een oplossing van een aangedragen knelpunt
mogelijk via andere wegen dan wetgeving zou kunnen worden bereikt, maar dat het knelpunt
nog verder verkend moet worden om tot een oplossing te komen (zie § 2.3). Overigens
wijs ik erop dat sommige onderwerpen wijzigingen van de AVG zelf vergen. Deze komen
in § 3 aan de orde.

2.1 Aanpassing wetgeving wenselijk

Met betrekking tot de volgende vormen van verwerking van persoonsgegevens geldt dat
inmiddels voldoende duidelijk is dat zij een (explicietere) grondslag moeten krijgen:

• de verwerking van bijzondere categorieën persoonsgegevens door accountants ter uitvoering
van hun wettelijke controletaken,

• toepassing van biometrie voor de identificatie van personen in het belang van een
rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen,
diensten of producten,

• verwerking van bijzondere categorieën van persoonsgegevens door het Huis voor klokkenluiders
ter uitvoering van de wettelijke advies- en onderzoekstaken, zoals gegevens over discriminatie
en achterstelling of benadeling wegens afkomst, religie of seksuele geaardheid, en

• verwerking van gezondheidsgegevens door patiëntenverenigingen voor intern gebruik
in bijvoorbeeld hun ledenbestand.

2.2 Nader bezien of wetgeving aanpassing behoeft

Met betrekking tot de volgende onderwerpen is het kabinet nog bezig in overleg met
betrokken branches en andere partijen te bezien of de wetgeving aanpassing behoeft:

• gebruik van het BIG-nummer buiten de Wet BIG ten behoeve van bijvoorbeeld na- en bijscholing,

• een adequate grondslag voor profilering door banken ter voorkoming van witwassen en
fraude,

• een verplichting voor uitleners van personeel of onderaannemers om aan de opdrachtgever
de gegevens te verstrekken die noodzakelijk zijn om gebruik te kunnen maken van vrijwarende
betaling via een zogenoemde g-rekening,

• cross-sectorale gegevensdeling te behoeve van de bestrijding van fraude,

• uitbreiding van de uitzonderingen die gelden voor archiefbewaarplaatsen met betrekking
tot bepaalde verplichtingen uit de AVG tot ook andere maatschappelijk relevante archieven,

• delen van gegevens over verkeersboetes ten behoeve van het verhalen van deze boetes
op de berijder door autoleasemaatschappijen e.a., en

• gebruik van het BSN-nummer door ondernemers, meer in het bijzonder door banken e.a.
voor het uitoefenen van de poortwachtersfunctie bij het voorkomen van witwassen.

2.3 Nader bezien of andere oplossing mogelijk is

Met betrekking tot de volgende onderwerpen zijn collega’s en ik na overleg met betrokken
partijen tot de conclusie gekomen dat een oplossing van een aangedragen knelpunt via
andere wegen dan wetgeving zou kunnen worden bereikt, maar dat het knelpunt samen
met die partijen nog verder verkend moet worden om tot een oplossing te komen:

• registratie van zorgen over de (geestelijke) gezondheidstoestand door financiële instellingen
in het kader van de op hen rustende zorgplicht voor kwetsbare groepen,

• de aansprakelijkheid voor aan privacy gerelateerde schade en het doorbelasten van
boetes aan verwerkers opgelegd door de AP,

• wetenschappelijk onderzoek waarbij gebruik wordt gemaakt van grote al bestaande datasets,
in relatie tot het toestemmingsvereiste,

• meer duidelijkheid en rechtszekerheid bij relatief eenvoudige «standaardverwerkingen»
voor kleinere verwerkingsverantwoordelijken, en

• verduidelijking van de verhouding van de Archiefwet tot de AVG.

3. Evaluatie AVG

In deze paragraaf geef ik aan welke onderwerpen Nederland in het kader van de evaluatie
van de AVG inmiddels onder de aandacht van de Europese Commissie heeft gebracht; onderwerpen
die grotendeels voortvloeien uit toezeggingen aan uw Kamer. Verderop in het proces
zullen zich uiteraard momenten voordoen waarop ook andere onderwerpen kunnen worden
ingebracht of andere accenten gelegd.

De onderwerpen die al zijn ingebracht, zijn de volgende:

• verlichting van de registerplicht voor kleine bedrijven om de lasten voor deze bedrijven
te verminderen,

• vermijden van extraterritoriale werking van nationale uitvoeringswetten om te voorkomen
dat voor internationaal werkende ondernemingen opnieuw een lappendeken van wetgeving
ontstaat,

• uniformering van de leeftijdsgrens waarop kinderen binnen de EU toestemming voor het
verwerking van hun persoonsgegevens kunnen geven teneinde in deze wereld van grensoverschrijdend
dataverkeer de complexiteit voor zowel bedrijven als voor ouders en kinderen te verminderen,

• onderzoek naar mogelijkheden om de datamacht van grote techbedrijven via de AVG verder
te beteugelen door bijvoorbeeld uitbreiding van de mogelijkheden van dataportabiliteit
en eventuele introductie van nieuwe instrumenten voor toezicht door de Autoriteit
persoonsgegevens,

• explicitering van het facultatieve karakter van een toezichthouder bij gebruik van
een gedragscode,

• bevorderen dat certificering waar mogelijk op het niveau van de EU plaatsvindt en
certificering op nationaal niveau alleen als dat daadwerkelijk meerwaarde heeft, en

• bevorderen dat er één uniform formulier wordt ontwikkeld ten behoeve van het melden
van datalekken bij de verschillende toezichthoudende autoriteiten van de lidstaten.10

Naar verluidt zal Business Europe, de Europese koepelorganisatie voor het bedrijfsleven,
ten behoeve van de evaluatie van de AVG nog punten inbrengen die naar verwachting
ook voor het Nederlandse bedrijfsleven van belang zijn. Deze punten zullen door Nederland
worden bezien en, voor zover wenselijk, worden ondersteund bij het Finse voorzitterschap.

De Commissie dient voor 25 mei 2020 een evaluatieverslag aan te bieden aan het Europees
Parlement en de Raad over de evaluatie en toetsing van de AVG. De Commissie kan lidstaten
en toezichthoudende autoriteiten horen in het kader van het opstellen van dit evaluatieverslag
en de Commissie moet de bevindingen van het Europees Parlement, de Raad en andere
instanties en bronnen in aanmerking nemen. In dat kader is de zogenoemde DAPIX-werkgroep
onder Fins voorzitterschap nu bezig het standpunt van de Raad met zijn bevindingen
over de AVG voor te bereiden.

4. Slot

Ik acht het van groot belang om in samenspraak met relevante stakeholders te blijven
streven naar het verbeteren van het gegevensbeschermingsrecht, zowel in de vorm van
nieuwe waarborgen als in de zin van wijzigingen die de praktische uitvoerbaarheid
van dit recht kunnen verbeteren. Van nieuwe voornemens op dit vlak en de uitvoering
daarvan zal ik u blijven informeren.

De Minister voor Rechtsbescherming,
S. Dekker

BIJLAGE BIJ BRIEF «VOORNEMENS MET BETREKKING TOT DE UAVG EN AVG»

In deze bijlage wordt in § 1 nader uiteengezet welke voornemens er zijn met betrekking
tot wijziging van de UAVG en andere wetten, voor welke punten het overleg daarover
nog gaande is en voor welke punten mogelijk via andere wegen dan wetgeving een oplossing
zou kunnen worden bereikt. In § 2 wordt nader uiteengezet welke punten zijn ingebracht
ten behoeve van de evaluatie van de AVG.

1. Wetgeving

1.1 Aanpassing wetgeving wenselijk

1.1.1 Verwerking van bijzondere categorieën persoonsgegevens door accountants ter
uitvoering van hun wettelijke controletaken

Accountants verwerken persoonsgegevens bij controleactiviteiten die wettelijk moeten
worden uitgevoerd (veelal de controle van een jaarrekening). Het type persoonsgegevens
waarmee accountants te maken krijgen, betreft over het algemeen gewone persoonsgegevens,
zoals gegevens over klanten of werknemers van het bedrijf dat wordt gecontroleerd.
Soms zijn er echter ook situaties waarin een accountant in aanraking komt met zogenoemde
bijzondere categorieën persoonsgegevens, zoals patiëntengegevens van ziekenhuizen.
Voor bijzondere categorieën persoonsgegevens geldt een verwerkingsverbod, waarop uitzonderingen
bestaan.11 Voor de verwerking van bijzondere categorieën van gegevens ten behoeve van controleactiviteiten
van accountants die wettelijk uitgevoerd moeten worden, geldt echter op dit moment
geen uitzondering. De Koninklijke Nederlandse Beroepsvereniging van Accountants (NBA)
heeft daarom verzocht in de UAVG een duidelijke uitzondering op te nemen voor accountants
om bijzondere categorieën persoonsgegevens te mogen verwerken, voor zover dit noodzakelijk
is voor de uitvoering van hun wettelijke controletaken.12 Een dergelijke uitzondering perkt het medisch beroepsgeheim overigens niet in. Dat
blijft onaangetast.

Gelet op de wettelijke verplichtingen voor vele bedrijven en organisaties om accountantscontrole
te laten uitvoeren, is het reëel om dit verzoek van de NBA te honoreren; een verplichting
moet immers ook kunnen worden uitgevoerd. Dit wordt ook onderschreven door de AP in
haar advies over het wetsvoorstel UAVG.13 De Ministeries van JenV, VWS en Financiën zijn inmiddels bezig op genoemd punt een
wetswijziging voor te bereiden. Daarbij zal ook aandacht worden geschonken aan mogelijke
waarborgen die accountants in acht zullen moeten nemen bij het verwerken van bijzondere
persoonsgegevens.

1.1.2 Toepassing biometrie voor unieke identificatie van een persoon

Op grond van artikel 29 UAVG is het verbod om biometrische gegevens met het oog op
de unieke identificatie van een persoon te verwerken niet van toepassing, indien de
verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Deze uitzondering
stoelt op de mogelijkheid die artikel 9, eerste lid, onder g, AVG, biedt om bij lidstatelijk
recht een uitzondering te maken op voornoemd verbod. De uitzondering dient noodzakelijk
te zijn om redenen van zwaarwegend algemeen belang en aan de overige, in dit verband
verder niet relevante voorwaarden uit dit artikel te voldoen.

Tijdens een ambtelijk gesprek over de wijze waarop Nederland de UAVG heeft vorm gegeven,
was de Europese Commissie kritisch over het feit dat in de tekst van artikel 29 UAVG
zelf geen verwijzing is opgenomen naar het voornoemde zwaarwegende algemeen belang
dat met de in artikel 29 UAVG vastgelegde uitzondering is gediend. De voorbeelden
en uitleg, zoals opgenomen in de artikelsgewijze toelichting van artikel 29 UAVG,
vond de Commissie niet afdoende. Om tegemoet te komen aan deze kritiek is het wenselijk
in artikel 29 UAVG expliciet het belang te benoemen dat in de rechtspraktijk noodzakelijk
kan maken om biometrische gegevens te verwerken voor authenticatie en beveiligingsdoeleinden.
Het betreft hier het belang van een rechtmatige toegang tot bepaalde plaatsen, gebouwen,
informatie- of werkprocessystemen, diensten of producten. Een dergelijke aanvulling
van artikel 29 zou bijdragen aan de rechtszekerheid bij het verwerken van biometrische
gegevens voor genoemde doeleinden en kan daarmee de gewenste duidelijkheid bieden
over een punt van aandacht dat door VNO-NCW en MKB-Nederland naar voren is gebracht.

1.1.3 Verwerking van bijzondere gegevens door het Huis voor klokkenluiders ter uitvoering
van haar wettelijke advies- en onderzoekstaken

Het Huis voor klokkenluiders adviseert werknemers die een vermoeden van een misstand
hebben, over de stappen die bij een dergelijk vermoeden gezet kunnen worden. Ook heeft
het Huis voor klokkenluiders de taak om bepaalde misstanden te onderzoeken. Tot deze
taak behoort ook het verrichten van onderzoek naar de manier waarop de werkgever een
werknemer, die een vermoeden van een misstand heeft gemeld, heeft bejegend.

Uit de aard van een adviesverzoek of een onderzoek naar een vermoeden van een misstand
vloeit regelmatig voort dat bijzondere categorieën persoonsgegevens moeten worden
verwerkt. Te denken valt aan gegevens over discriminatie en achterstelling of benadeling
wegens afkomst, religie of seksuele geaardheid in bejegeningsonderzoeken. Ook laten
melders zich vaak vertegenwoordigen door iemand van een vakbond. In dat geval is de
melder lid van een vakbond, hetgeen eveneens een bijzonder persoonsgegeven is.

Bij onderzoeken wordt met grote regelmaat gesteld dat sprake is van psychische problemen
als gevolg van de bejegening door de werkgever na de melding van een misstand. Het
Huis voor klokkenluiders verwerkt in dat verband ook gegevens over gezondheid, omdat
doorverwijzen naar instanties voor psychosociale ondersteuning een van de taken is
van het Huis.

Het verwerken van bijzondere categorieën persoonsgegevens is, gezien het belang van
deze gegevens voor de uitvoering van de wettelijke taken door het Huis voor klokkenluiders,
vaak noodzakelijk. Het is wenselijk dat voor deze verwerkingen door het Huis een wettelijke
uitzondering wordt gecreëerd. Het Ministerie van BZK heeft overleg gehad met het Huis
voor klokkenluiders om in deze wettelijke uitzondering te voorzien.

1.1.4 Verwerking gezondheidsgegevens door patiëntenverenigingen

Artikel 9, tweede lid, onder d, AVG bevat een regeling voor onder meer verenigingen
en andere instanties zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig
of vakbondsgebied werkzaam zijn, om onder strikte voorwaarden bijzondere categorieën
persoonsgegevens te mogen verwerken. Patiëntenverenigingen vallen niet onder deze
uitzondering, hetgeen leidt tot onduidelijkheid over de juridische toelaatbaarheid
van verwerking van gezondheidsgegevens voor intern gebruik in bijvoorbeeld hun ledenbestand,
voor zover de aard van een dergelijk bestand dat noodzakelijkerwijs meebrengt. Het
is wenselijk daartoe in de UAVG alsnog een duidelijke, hierop toegesneden uitzondering
op het verbod van verwerking van gezondheidsgegevens op te nemen onder gelijktijdige
formulering van waarborgen.

1.1.5 Technische wijzigingen

In het voorstel voor een aanpassingswet UAVG zullen ook enige wijzigingen en verbeteringen
van technische aard worden opgenomen, die in deze bijlage verder buiten beschouwing
worden gelaten.

1.2 Nader bezien of wetgeving aanpassing behoeft

1.2.1 Gebruik van het BIG-nummer buiten de wet BIG

De beroepsverenigingen voor artsen, tandartsen en apothekers, KNMG, KNMT, respectievelijk
KNMP, hebben verzocht een wettelijke voorziening op te nemen die het mogelijk maakt
het BIG-nummer te gebruiken buiten het kader van de Wet BIG.14 Zij geven als voorbeeld dat er internetapplicaties in gebruik zijn om de scholingsactiviteiten
van BIG-geregistreerde beroepsbeoefenaren te registreren. Er bestaat bij de beroepsverenigingen
onzekerheid of het gebruik van het BIG-nummer voor dit soort activiteiten is toegestaan.
De drie organisaties zijn van oordeel dat het identificerende BIG-nummer niet privacy-gevoelig
is en dat aan het gebruik daarvan geen risico’s kleven.

Hoewel het BIG-nummer wel degelijk als privacy-gevoelig valt aan te merken, is het
verlangen van de beroepsverenigingen van BIG-geregistreerde beroepsbeoefenaren om
dit nummer ook bij de ontwikkeling van activiteiten binnen hun vereniging te gebruiken,
begrijpelijk, zeker waar het gaat om het ondersteunen van processen en activiteiten
die dienstbaar zijn aan de doelstellingen van de Wet BIG. Die verplichtingen kunnen
betrekking hebben op na- en bijscholing, maar kunnen ook verband houden met het opdoen
van werkervaring. Het Ministerie van VWS is in overleg met de drie beroepsverenigingen
om te bezien op welke wijze het BIG-nummer buiten het huidige kader van de Wet BIG
gebruikt kan en mag worden. Naar verwachting zal in het najaar hierover een besluit
worden genomen.

1.2.2 Geautomatiseerde besluitvorming en profilering door banken ter voorkoming van
witwassen en fraude

Banken hebben de verplichting om hun bedrijfsvoering zo in te richten dat een goede
werking van het betalingsverkeer wordt gewaarborgd.15 Op grond van deze verplichting nemen zij maatregelen om fraude te voorkomen. Daarnaast
monitoren banken transacties van hun cliënten vanwege verplichtingen op grond van
Wet ter voorkoming van witwassen en financieren van terrorisme. Banken detecteren
onregelmatigheden in transacties door ze te vergelijken met transacties die klanten
met eenzelfde profiel normaal gesproken uitvoeren. Dit gebeurt geautomatiseerd. Als
banken een afwijkende transactie detecteren, kan die worden bevroren, zodat de bank
onderzoek kan instellen of kan doen bij de betrokkene. De hierboven beschreven handelwijze
(het tijdelijk bevriezen van een transactie) van banken kwalificeert zich mogelijk
als geautomatiseerde besluitvorming op basis van profileren. Op grond van artikel
22 van de AVG is daarvoor een wettelijke grondslag nodig, die ook voorziet in passende
maatregelen om de rechten van betrokkenen te beschermen. VNO-NCW en MKB-Nederland
hebben dit knelpunt in meer algemene bewoordingen in haar brief van 19 september 2018
onder mijn aandacht gebracht.

Het is onzeker of het daadwerkelijk gaat om geautomatiseerde besluitvorming op basis
van profileren. Het kabinet gaat er vooralsnog vanuit dat de wetgeving die de verplichtingen
aan banken oplegt, voldoet als grond voor de verwerkingen. Om dit met zekerheid te
kunnen vaststellen is het nodig om meer onderzoek te doen naar hoe banken in de praktijk
aan deze verplichting uitvoering geven. Het Ministerie van Financiën zal hierover
in overleg gaan met de sector. Eventueel kan naar aanleiding daarvan de wetgeving
waarin deze specifieke verplichtingen voor banken zijn opgenomen, worden aangepast
en kunnen daarin aanvullende waarborgen worden opgenomen.

1.2.3 Aansprakelijkheid van een opdrachtgever voor het niet voldoen van de loonheffingen
of omzetbelasting door een opdrachtnemer

Op grond van de Invorderingswet 1990 is een opdrachtgever hoofdelijk aansprakelijk
voor de loonheffingen en omzetbelasting die de opdrachtnemer schuldig is in verband
met het verrichten van werkzaamheden voor de opdrachtgever.16 De opdrachtgever kan het risico op aansprakelijkheid beperken door het geschatte
bedrag aan loonheffingen en omzetbelasting dat de opdrachtnemer moet betalen, te storten
op een g-rekening. Een g-rekening is een geblokkeerde bankrekening waarmee opdrachtnemers
alleen de loonheffingen en/of omzetbelasting aan de Belastingdienst kunnen betalen.
Betalingen via een g-rekening moeten aan bepaalde voorwaarden voldoen om als vrijwarende
betaling door de Belastingdienst in aanmerking te worden genomen. Een van deze voorwaarden
is dat de administratie van de opdrachtgever zodanig is ingericht en wordt gevoerd
dat daarin onder andere een registratie valt terug te vinden van de personen die zijn
ingeleend of die werk in (onder)aanneming hebben verricht.

Volgens VNO-NCW en MKB-Nederland geeft in de praktijk een onderaannemer relevante
persoonsgegevens van zijn werknemers rechtstreeks door aan de aannemer. Dat mag volgens
deze organisaties niet, omdat daarvoor geen grondslag bestaat onder de AVG. Wettelijk
is volgens hen slechts geregeld dat de onderaannemer het BSN van de werknemers mag
doorgeven. De aannemer is daardoor genoodzaakt op de plaats van het werk zelf de benodigde
overige persoonsgegevens te verzamelen, een in de ogen van deze organisaties zeer
omslachtige werkwijze. VNO-NCW en MKB-Nederland verzoeken daarom in de fiscale wetgeving
te regelen dat de uitlener of onderaannemer verplicht is om ook bepaalde andere persoonsgegevens
dan alleen het BSN te verstrekken aan de opdrachtgever, namelijk de gegevens die noodzakelijk
zijn om gebruik te kunnen maken van vrijwarende betaling via voornoemde g-rekening.17 Het Ministerie van Financiën en de Belastingdienst zullen analyseren in hoeverre
de regelgeving adequaat is. Hierbij nodigen zij ook VNO-NCW en MKB-Nederland uit om
het door hen ervaren knelpunt in kaart te brengen en mogelijke oplossingsrichtingen
te bespreken.

1.2.4 Cross-sectorale gegevensdeling

In een brief van 11 juni jl. van de Minister van JenV en mij heb ik bevestigd dat
cross-sectorale uitwisseling van strafrechtelijke persoonsgegevens op basis van een
door de AP te verlenen vergunning mogelijk is, als deze uitwisseling noodzakelijk
is met het oog op een zwaarwegend belang van bepaalde private partijen en is voorzien
in voldoende waarborgen dat personen niet ten onrechte op bijvoorbeeld een lijst komen
te staan of blijven staan, met namen van personen die mogelijk fraude plegen. Tegen
deze achtergrond is denkbaar – zo stelden wij – dat een vergunningaanvraag wordt ingediend
voor de uitwisseling van persoonsgegevens van strafrechtelijke aard ten behoeve van
de aanpak van bijvoorbeeld vastgoedfraude door naast betrokken partijen, zoals notarissen,
makelaars, banken en pandeigenaren, die aan deze vereisten voldoet.18

Onderwijl hadden VNO-NCW en MKB-Nederland de AP gevraagd aan te geven onder welke
voorwaarden een dergelijk cross sectoraal frauderegister mogelijk is.19 Daarover is in aanvulling op wat in de eerder genoemde brief van 11 juni is vermeld,
nog meer duidelijkheid ontstaan, nu de AP op 19 juni jl. een verzoek van Safecin om
een vergunning voor het verwerken van persoonsgegevens van strafrechtelijke aard door
de Fraudehelpdesk heeft afgewezen.20 Uit dat besluit blijkt dat de aanvraag op een aantal onderdelen nog nader ingevuld
of onderbouwd moet worden. Safecin heeft inmiddels laten weten hierover met de AP
in gesprek te gaan en voor de Fraudehelpdesk een nieuwe vergunningaanvraag te willen
indienen. Dat lijkt mij een goede weg, omdat de Fraudehelpdesk een nuttige bijdrage
aan de preventie van fraude levert. Zoals in de brief van 11 juni al is aangegeven,
wachten de Minister van JenV en ik de ervaringen die door private organisaties worden
opgedaan met hun voornemen tot cross-sectorale gegevensdeling ten behoeve van fraudebestrijding
en eventuele daarbij spelende knelpunten binnen het huidige wettelijke privacy-kader
af. Afhankelijk van die ervaringen zal zo nodig nadere wetgeving kunnen worden overwogen.

1.2.5 Uitbreiding uitzonderingsbepaling voor archieven

De beroeps- en branchevereniging voor archivarissen en archiefinstellingen, KVAN/BRAIN,
heeft verzocht in de UAVG een voorziening te treffen voor particuliere instellingen
die historische archieven beheren, waarin (bijzondere) persoonsgegevens kunnen voorkomen.
In de AVG zelf wordt geen onderscheid gemaakt tussen overheidsorganen en particuliere
organen die tot taak hebben om archieven in het algemeen belang te bewaren.21 Anders dan voor archiefbewaarplaatsen in de zin van de Archiefwet is echter voor
organisaties zoals het NIOD Instituut voor Oorlogs-, Holocaust- en Genocidestudies,
Atria Kennisinstituut voor Emancipatie en Vrouwengeschiedenis, het Internationaal
Instituut voor Sociale Geschiedenis en het RKD-Nederlands Instituut voor Kunstgeschiedenis
geen bepaling in de UAVG opgenomen.22 Dit betekent onder meer dat dergelijke organisaties onverkort moeten voldoen aan
verzoeken van burgers om collecties te doorzoeken op hun naam en andere persoonsgegevens,
een overzicht hiervan te leveren en persoonsgegevens desgevraagd te rectificeren.
Dit is voor betrokken instellingen niet altijd uitvoerbaar. Daarnaast tast rectificatie
de integriteit van collecties aan. Met het oog hierop is voor overheidsarchiefbewaarplaatsen
in de UAVG geregeld dat burgers, indien zij bij onderzoek in de archieven onvolkomenheden
aantreffen, een eigen lezing aan het betreffende dossier kunnen laten toevoegen.

Het lijkt de Minister van Onderwijs, Cultuur en Wetenschap (OCW) en mij wenselijk
om te onderzoeken wat de mogelijkheden zijn om het regime voor overheidsarchiefbewaarplaatsen
ook te laten gelden voor andere organisaties die historische archieven beheren op
basis van wet of regelgeving en/of met overheidssteun. Komende tijd zal de Minister
van OCW in overleg met mij en met betrokken partijen de reikwijdte van de uitzonderingen
nader bezien. Voor de overige verzoeken van KVAN/BRAIN verwijs ik naar § 1.3.5 van
deze bijlage.

1.2.6 Verhalen van verkeersboetes op de berijder door autoleasemaatschappijen e.a.

De Vereniging van Nederlandse Autoleasemaatschappijen (VNA) heeft aandacht gevraagd
voor door haar veronderstelde belemmeringen bij het verhalen van verkeersboetes door
autoleasemaatschappijen op de berijders van voertuigen die bij deze maatschappijen
geleased zijn.

Het vraagstuk spitst zich toe op die verkeersboetes waarvoor kentekenaansprakelijkheid
geldt. Dan kan immers een leasemaatschappij als houder van het kenteken voor de desbetreffende
verkeersovertreding aansprakelijk worden gesteld, terwijl de overtreding feitelijk
door de berijder van het geleasede voertuig is begaan. Overigens doet zich een vergelijkbaar
vraagstuk voor bij autoverhuurbedrijven, deelautogebruikers en bedrijven met een eigen
wagenpark.

Verkeersboetes waarvoor kentekenaansprakelijkheid geldt, worden grotendeels administratiefrechtelijk
afgedaan, maar deels ook strafrechtelijk. Met het versturen en doorsturen van deze
laatste categorie is er sprake van het verwerken van persoonsgegevens van strafrechtelijke
aard. Verwerking daarvan is op grond van artikel 10 AVG alleen toegestaan, als deze
verwerking, voor zover hier van belang, expliciet bij lidstatelijk recht is toegestaan.

Bij veruit de grootste categorie waarbij sprake is van administratieve afdoening («Mulder-boetes»),
speelt artikel 10 AVG weliswaar geen rol, maar ook dan dient de verwerking (het doorsturen
van de boete) vanzelfsprekend gebaseerd te zijn op een legitieme grondslag als bedoeld
in artikel 6 AVG. In veel gevallen zal een en ander kunnen worden opgelost door afspraken
hierover vast te leggen in de lease- of huurovereenkomst, daarmee gebruik makend van
de grondslag die in artikel 6, eerste lid, onder b, AVG wordt genoemd. Als de berijder
echter geen partij is bij die overeenkomst, dan kan de verwerking niet op deze grondslag
worden gebaseerd. In de relatie tussen werkgever en werknemers is het gebruik van
de grondslag «toestemming» ook geen goede oplossing, aangezien toestemming vanwege
de gepercipieerde machtsongelijkheid tussen partijen dan al snel als niet in vrijheid
gegeven wordt beschouwd.

Op het moment dat een leasemaatschappij of autoverhuurbedrijf de werkgever van de
berijder aanspreekt, spelen bij het eventueel verhalen van die boete op de betrokken
werknemer, ook andere arbeidsrechtelijke aspecten een rol. Het betreft hier, kortom,
een complex vraagstuk waarnaar ik eerst nog in overleg met betrokkenpartijen (naast
VNA onder meer het CJIB en het CVOM) nader onderzoek wil doen, voordat ik al dan niet
tot de conclusie kom dat er een betere rechtsgrond voor het verwerken van persoonsgegevens
in het kader van kentekenaansprakelijkheid en verkeersboetes dient te komen.

1.2.7 Gebruik van het BSN

VNO-NCW en MKB-Nederland hebben gevraagd het burgerservicenummer (BSN), gezien de
meerwaarde die het gebruik daarvan heeft voor allerlei administratieve processen en
klantgerichte vertrouwensmodellen, vrij te geven voor een breder gebruik. Zij wijst
daarbij op de regelgeving die Zweden op dit punt hanteert.

Voor de overheid is het gebruik van het BSN geregeld in artikel 10 van de Wet algemene
bepalingen burgerservicenummer (Wabb). Overheidsorganen kunnen bij het verwerken van
persoonsgegevens in het kader van de uitvoering van hun publieke taak gebruikmaken
van het BSN, zonder dat daarvoor nadere regelgeving vereist is. Voor instellingen
die geen beroep kunnen doen op artikel 10 Wabb, dient het gebruik te zijn voorgeschreven
in sectorale wetgeving. Uitbreiding van het gebruik is mogelijk als het geregeld kan
worden in sectorale wetgeving. Het Ministerie van BZK is bekend met vragen vanuit
het bedrijfsleven over het gebruik van BSN en zal over die vragen in gesprek met VNO/NCW
en MKB-Nederland gaan, waarbij ook de Zweedse regelgeving zal worden betrokken.

Daarnaast ligt de vraag voor of het gebruik van het BSN dient te worden toegestaan
ten behoeve van het uitoefenen van de poortwachtersfunctie van instellingen, zoals
banken, andere financiële ondernemingen en verschillende beroepsbeoefenaars zoals
advocaten, notarissen en accountants. Zij moeten op grond van de Wet ter voorkoming
van witwassen en financieren van terrorisme onderzoek doen naar hun cliënten om de
risico’s op witwassen en financieren van terrorisme te beoordelen en daarop eventuele
mitigerende maatregelen te treffen. Gebruik van het BSN kan deze taak vergemakkelijken.
Met het oog op die vraag heeft de Minister van Financiën mede namens de Minister van
JenV onlangs de AP om advies gevraagd over onder meer het gebruik van het BSN voor
specifiek dit doel. Deze adviesaanvraag vloeit voort uit het Plan van aanpak witwassen
dat op 30 juni jl. naar uw kamer is gezonden.

1.3 Nader bezien of andere oplossing mogelijk is

1.3.1 Registratie van vermoeden van (geestelijke) ziektes

Volgens VNO-NCW en MKB-Nederland worden bepaalde sectoren, zoals de financiële sector,
geconfronteerd met situaties waarin sprake is van vermoedens van (geestelijke) ziektes
of dementie. Verkeerde of onterechte besluiten ten gevolge van dergelijke aandoeningen
kunnen volgens deze organisatie grote gevolgen hebben.23 De vraag is of en in hoeverre uit hoofde van de zorgplicht voor kwetsbare groepen
het noodzakelijk is dat financiële instellingen zorgen kunnen vastleggen over de geestelijke)
gezondheidstoestand van hun cliënten om de daarbij behorende stappen te kunnen nemen
en verantwoorden.

Mensen worden geacht handelingsbekwaam te zijn, tenzij aangetoond wordt dat dit anders
is. Het kabinet is van mening dat de systematiek van het Burgerlijk Wetboek in dit
kader («curatele») in beginsel afdoende is. Verder is van belang dat het registreren
van een vermoeden van (geestelijke) ziekte of dementie neerkomt op het verwerken van
gezondheidsgegevens, dat onder het verbod op het verwerken van bijzondere categorieën
persoonsgegevens van artikel 9 AVG valt. Daar staat tegenover dat er op basis van
de Wet financieel toezicht een zorgplicht voor de financiële sector geldt waarbij
de AFM volgens deze sector onder omstandigheden verwacht dat de sector dergelijke
vermoedens vastlegt om kwetsbare cliënten te kunnen beschermen. Een vertegenwoordiging
van de financiële sector heeft onlangs op het Ministerie van JenV nader uiteengezet
dat hierdoor voor deze sector het dilemma is ontstaan hoe deze zorgplicht kan worden
ingevuld zonder in strijd te komen met de AVG. Dit vormt voor het Ministerie van JenV
aanleiding om samen met het Ministerie van Financiën, de AFM, de AP, het Klachteninstituut
financiële dienstverlening (Kifid) en de Nederlandse Vereniging van Banken (NVB) nader
te verkennen hoe zij vorm kunnen geven aan de zorgplicht met betrekking tot kwetsbare
cliënten en hoe deze is uit te voeren op een wijze die in overeenstemming is met de
AVG.

1.3.2 Aansprakelijkheid en doorbelasten van boetes aan opdrachtnemers

De inkoopvoorwaarden die het Rijk hanteert voor het aangaan van IT-overeenkomsten,
bevatten onder meer bepalingen over het verhalen van schade of boetes op opdrachtnemers
als gevolg van het verwerken van persoonsgegevens. VNO-NCW en MKB-Nederland stellen
zich op het standpunt dat de volledige aansprakelijkheid op dit punt niet uitsluitend
bij de opdrachtnemers (verwerkers) mag worden neergelegd.24

De Hoge Raad heeft niet zo lang geleden bepaald dat bij een dergelijk verhaalsbeding
(waarbij bij voorbaat al contractueel wordt vastgelegd dat een mogelijke toekomstige
boete bij een onderaannemer wordt gelegd) geen sprake is van nietigheid wegens strijd
met de wet, de openbare orde of de goede zeden.25 Deze uitspraak zag weliswaar op boetes die waren opgelegd in het kader van de Wet
arbeid vreemdelingen (WAV), maar duidelijk is dat de Hoge Raad het contractueel doorbelasten
van boetes aan opdrachtnemers in ieder geval niet categorisch uitsluit.

De rijksoverheid heeft er voor gekozen aansprakelijkheid voor schade door (U)AVG-schendingen
niet te limiteren, omdat het hier om het door de Grondwet beschermde recht op bescherming
van persoonsgegevens gaat en het om die reden wenselijk is de prikkel om dergelijke
schendingen te voorkomen zo groot mogelijk te laten zijn. De rijksoverheid kan een
dergelijke schade op grond van artikel 26, eerste lid, van de Algemene Rijksvoorwaarden
bij IT-overeenkomsten 2018 (ARBIT 2018) slechts op de opdrachtnemer (verwerker) verhalen,
voor zover deze toerekenbaar is tekortgeschoten in de nakoming van een contractuele
verplichting. Brancheverenigingen hebben de zorg uitgesproken dat dit laatste onvoldoende
duidelijk zou blijken uit de tekst van de voorwaarden. De rijksoverheid deelt die
zorg niet en heeft de Toelichting op de voorwaarden aangepast, maar de zorgen over
het ontbreken van een limiet aan de aansprakelijkheid zijn daarmee bij het bedrijfsleven
niet weggenomen. Hierover zal dan ook nader overleg met betrokken partijen worden
gevoerd.

Naar aanleiding van een gesprek dat het Ministerie van JenV onlangs met NLdigital,
de branchevereniging van ICT-bedrijven, heeft gehad, ligt verder nog de vraag open
of de AP bij het opleggen van boetes aan de rijksoverheid als verwerkingsverantwoordelijke
en een ICT-bedrijf als verwerker niet al in voldoende mate het principe «de vervuiler
betaalt» hanteert, zodat voor het doorberekenen van de boete door de rijksoverheid
aan het bedrijf dat gegevens voor hen verwerkt, geen goede rechtvaardiging bestaat.
Ook daarover zal nog overleg met betrokken partijen plaatsvinden.

1.3.3 Wetenschappelijk onderzoek rondom artificiële intelligentie (AI)

Van de zijde van VNO/NCW en MKB-Nederland is naar voren gebracht dat de UAVG met betrekking
tot wetenschappelijk onderzoek minder ruimte voor het verwerken van medische persoonsgegevens
laat dan uitvoeringswetten van andere EU-lidstaten. Dit zou zijn ingegeven door het
feit dat ingevolge de UAVG het vragen van toestemming voor een dergelijke verwerking
alleen dan achterwege kan blijven, als het vragen daarvan onmogelijk blijkt of onevenredige
inspanning vergt. Deze organisaties wijzen er daarbij op dat de Duitse uitvoeringswet
AVG een dergelijk voorbehoud niet kent.

Wat hier als voorbehoud wordt betiteld, is eerder aan te merken als een uitzondering
op het vereiste dat toestemming moet worden gevraagd. Uiteraard dient de verwerkingsverantwoordelijke
dan wel te kunnen aantonen dat het vragen van toestemming inderdaad onmogelijk is
of onevenredige inspanning vergt. Een in mijn ogen niet meer dan redelijke eis. Wel
blijken er in de praktijk vragen te leven wat in dit verband onder een «onevenredige
inspanning» dient te worden verstaan. Dit vormt voor het Ministerie van JenV aanleiding
om samen met het Ministerie van VWS, de AP en de branche voor medisch-wetenschappelijk
onderzoek naar criteria te zoeken die in de praktijk kunnen helpen op deze vragen
antwoord te geven. Dit sluit aan bij de strekking van de brief die de Minister voor
Medische Zorg en Sport op 4 oktober jl. aan de Tweede Kamer heeft gezonden als reactie
op een artikel in het Financieel Dagblad over secundair gebruik van data. In die brief
wordt nader ingegaan op de mogelijkheden om binnen de huidige wet- en regelgeving
medisch-wetenschappelijk onderzoek te verrichten. In dit verband is tot slot nog van
belang dat de Federa, het interdisciplinair samenwerkingsverband van onderzoekers
in de gezondheidszorg, bezig is de Gedragscode Gezondheidszorgonderzoek te herzien,
mede om deze congruent te maken aan de normen van de AVG en UAVG. Bij deze herziening
zou ook aandacht kunnen worden geschonken aan de wijze waarop het criterium «onevenredige
inspanning» kan worden ingevuld.

1.3.4 Duidelijkheid en rechtszekerheid bij standaardverwerkingen

In een motie van het lid Van Gent c.s. (Kamerstuk 32 761, nr. 143) is de regering verzocht in overleg te treden met de AP om te bewerkstelligen dat
de AP komt tot een eenvoudige beleidsregel, vergelijkbaar met het vrijstellingsbesluit
onder de Wbp, die MKB-bedrijven, verenigingen en stichtingen duidelijkheid en rechtszekerheid
biedt ten aanzien van een groot aantal standaardverwerkingen en geldig is tot aan
de evaluatie van de AVG in 2020. Eerder hadden VNO/NCW en MKB-Nederland al een vergelijkbaar
pleidooi gehouden.26

De AP heeft laten weten dat zij met haar voorlichtingsactiviteiten al veel duidelijkheid
en rechtszekerheid biedt over de wijze waarop het MKB verwerkingen dient uit te voeren
die in de motie als standaardverwerkingen zijn aangeduid. Het gaat dan bijvoorbeeld
om verwerkingen met betrekking tot klanten, de personeelsadministratie, sollicitaties
en ziekte van werknemers. De door haar gelanceerde website «hulpbijprivacy», die nog
steeds verder wordt ontwikkeld, is juist ook voor het MKB bedoeld. De AP zet graag
haar gesprekken met brancheorganisaties als VNO-NCW en MKB-Nederland voort om te bezien
hoe deze site nog verder kan bijdragen aan duidelijkheid en rechtszekerheid rond dergelijke
«standaardverwerkingen».

Het vaststellen van een beleidsregel vergelijkbaar met het vrijstellingsbesluit dat
onder de Wbp gold, ligt volgens de AP niet voor de hand, nu de strekking van dat besluit
van een andere orde was. Hiermee waren organisaties vrijgesteld van de verplichting
gegevensverwerkingen te melden bij de AP. Een dergelijke verplichting bestaat onder
de AVG echter niet meer. Los daarvan is een beleidsregel ook niet nodig om meer duidelijkheid
en rechtszekerheid te bieden, als met goede voorlichting hetzelfde resultaat kan worden
bereikt. Het instrument van voorlichting heeft bovendien het voordeel dat daarmee
sneller kan worden ingespeeld op nieuwe ontwikkelingen.

1.3.5 Samenloop AVG en Archiefwet

De beroeps- en branchevereniging voor archivarissen en archiefinstellingen, KVAN/BRAIN,
heeft naast het verzoek waarover reeds is gesproken in § 1.2.5, tevens verzocht om
een voorziening te treffen om te voorkomen dat archieven die vanuit de Archiefwet
voor bewaring zijn aangewezen, in het kader van de AVG worden vernietigd. KVAN/BRAIN
wijst er op dat de Archiefwet instrumenten biedt waarmee aan bepaalde verplichtingen
van de AVG kan worden voldaan.

De Minister voor Basis- en Voortgezet Onderwijs en Media en ik constateren dat het
steeds de bedoeling is geweest dat men bij de uitvoering van de AVG rekening zou houden
met de bepalingen uit de Archiefwet.27 De AVG geeft ook uitdrukking aan het principe van «archivering in het algemeen belang».
In de Archiefwet zijn selectielijsten het instrument voor overheidsorganen om bewaartermijnen
voor hun documenten vast te leggen op basis van een belangenafweging. Daarmee vormen
selectielijsten, die als Awb-besluit worden gepubliceerd, niet alleen de legitieme
grondslag om (rechtmatig verzamelde) persoonsgegevens blijvend te mogen bewaren en
onder te brengen in een historisch archief, sterker nog, men is daartoe verplicht.

Aanpassing van wetgeving achten wij op dit punt niet nodig. Waar verduidelijking van
de verhouding tussen beide wetten nodig is, vertrouw ik er in eerste instantie op
dat deze kan worden geboden door voorlichting van de AP, de Inspectie voor Overheidsinformatie
en Erfgoed en betrokken partijen uit de archiefsector. Daarnaast werkt de Minister
voor Basis- en Voortgezet Onderwijs en Media aan een wijziging van de Archiefwet en
zal hij de relatie met de AVG nader toelichten in de memorie van toelichting bij het
desbetreffende wetsvoorstel.

2. Evaluatie AVG

2.1 Proces

Op grond van artikel 97 van de AVG dient de Commissie op 25 mei 2020 een verslag in
te dienen bij het Europees Parlement en de Raad over de evaluatie en de toetsing van
de AVG. De Commissie heeft vanzelfsprekend ook aan de lidstaten gevraagd om input
voor de evaluatie te leveren en om de eerste ervaringen met de AVG te delen. In deze
paragraaf geef ik aan welke onderwerpen Nederland in het kader van de evaluatie van
de AVG al onder de aandacht van de Commissie heeft gebracht; onderwerpen die grotendeels
voortvloeien uit toezeggingen aan uw Kamer. Verderop in het proces kunnen zich uiteraard
momenten voordoen waarop ook andere onderwerpen kunnen worden ingebracht of andere
accenten gelegd.

Het gaat deels om grote ontwikkelingen die mij, en velen met mij, zorgen baren en
waar we in mijn ogen alleen in Europees verband tot een effectieve oplossing kunnen
komen. Daarbij zij opgemerkt dat dit complexe vraagstukken zijn waarbij eenvoudige
oplossingen niet voor handen zijn. Dat ontslaat ons echter niet van de plicht om hier
over in gesprek te gaan en te blijven.

Deels gaat het ook om kleinere knel- en verbeterpunten die met een relatieve overzichtelijke
aanpassing van de AVG weggenomen zouden moeten kunnen worden. Tot slot zal ik een
aantal technische punten meegeven waarop ik in deze brief niet nader inga.

2.2 Registerplicht kleine bedrijven

In mijn brief van 1 april jl. heb ik al aangekondigd dat ik graag samen met de betrokken
koepelorganisaties zal bekijken wat de zorgen omtrent de registerplicht voor de inbreng
van Nederland ten behoeve van de evaluatie van de AVG kunnen betekenen. Ik heb het
punt alvast ook bij de Europese Commissie onder de aandacht gebracht. In contacten
met andere lidstaten is intussen gebleken dat die zorgen ook in andere landen bestaan.
Er lijkt dus een goede kans te bestaan om hierin samen met deze andere lidstaten op
te trekken.

2.3 Extraterritoriale werking uitvoeringswetten

Een aantal van de nationale uitvoeringswetten heeft een extraterritoriale werking,
bijvoorbeeld in Duitsland. Hierdoor ontstaat voor internationaal werkende ondernemingen
opnieuw een lappendeken van wetgeving, iets dat de AVG nu juist wilde voorkomen. Daarom
heeft Nederland ten behoeve van de evaluatie van de AVG ingebracht dat extraterritoriale
werking moet worden vermeden en dat dit, zo nodig, als principe expliciet in de AVG
dient te worden opgenomen.

2.4 Uniformering leeftijdsgrens

De vraag vanaf welke leeftijdgrens kinderen zelf toestemming kunnen geven is een complex
onderwerp. Allereerst is er de vraag welke leeftijdsgrens wenselijk is. Aan de ene
kant is er de wens van ouders om hun kinderen, indien nodig, te kunnen beschermen.
Wanneer een kind toestemming geeft maar de leeftijdsgrens nog niet heeft bereikt,
dan kan deze toestemming nooit rechtmatig zijn gegeven, waardoor de verwerking op
basis van toestemming onrechtmatig is. Indien ouder en kind gezamenlijk toestemming
hebben gegeven voor het kind dat de leeftijdsgrens nog niet heeft bereikt, dan kan
de ouder deze toestemming desgewenst intrekken. Als we zouden kiezen voor een leeftijdsgrens
van bijvoorbeeld 13 jaar, dan kan een ouder voor een kind dat 13 jaar of ouder is,
een door dat kind gegeven toestemming niet meer ongedaan maken; vanaf die leeftijd
is dan de toestemming immers rechtsgeldig gegeven (als ware deze gegeven door een
meerderjarige). Aan de andere kant ben ik ook gevoelig voor het argument dat kinderen
ook een bepaalde mate van zelfstandigheid en eigen privacy moet worden gegund. Voordat
ik op dit punt tot een conclusie kom, wil ik in ieder geval het onderzoek naar de
positie van het kind in het recht van de Universiteit van Leiden afwachten. Daarin
wordt breed gekeken naar de positie van kinderen waarbij ook pedagogische en psycho-sociale
aspecten worden betrokken. Hopelijk zijn de uitkomsten ook nuttig voor de vragen rond
het oordeelsvermogen van kinderen op verschillende leeftijden. Dit onderzoek is naar
verwachting in november 2019 afgerond.

Daarnaast speelt de vraag op welk niveau die leeftijdsgrens moet worden vastgelegd:
op het nationale of het Europese. Het kabinet is zich er steeds meer van bewust dat
een heel groot – misschien wel het grootste – probleem is dat er binnen Europa allemaal
verschillende leeftijdsgrenzen gelden. Alle leeftijdgrenzen tussen 13 en 16 jaar die op grond van
de AVG door nationale wetgevers kunnen worden gekozen, komen ook daadwerkelijk voor
in de implementatiewetgeving van verschillende lidstaten. Dat is in een wereld van
grensoverschrijdend dataverkeer erg ingewikkeld, zowel voor bedrijven als voor ouders
en kinderen. Voor bedrijven maakt dit het dataverkeer nodeloos complex, omdat ze allerlei
verschillende leeftijdgrenzen moeten hanteren. Ouders en kinderen weten niet waar
ze aan toe zijn. De vraag of hun kind al dan niet rechtmatig toestemming kan geven
en op welke leeftijd, hangt immers af van de hoofdvestigingsplaats van de verwerkingsverantwoordelijke
die die toevallige dienst aanbiedt. Het kabinet ziet dus dat er in de samenleving
behoefte is aan het instellen van één uniforme leeftijdsgrens in heel Europa.

Desalniettemin ziet het kabinet ook dat er specifieke sectoren zijn waarin een nationale
uitzondering op de leeftijdsgrens mogelijk moet blijven. De leeftijd waarop een kind
de gevolgen kan overzien van het geven van toestemming bij het spelen van een online
spel, is wellicht anders bij bijvoorbeeld (elektronische) inzage in het medisch dossier
(geregeld in de Wet op de Geneeskundige Behandelingsovereenkomst) en toepassing van
persoonlijke gezondheidsomgevingen.

Het kabinet wil dan ook inzetten op één uniforme leeftijdsgrens bij de evaluatie van
de AVG, maar zal daarbij aangeven dat er ook nagedacht moet worden over specifieke
uitzonderingssituaties, zoals voor medische gegevens. De vervolgvraag die dan resteert,
is op wélke uniforme algemene leeftijdsgrens moet worden ingezet. Daarvoor leg ik
nu ook breder mijn oor te luisteren bij verschillende maatschappelijke organisaties,
vertegenwoordigers van jongeren zelf als ook wetenschappers.

2.5. Gegevenswerkingen door grote techbedrijven28

Zoals aangekondigd in de Kabinetsvisie op horizontale privacy onderzoekt het kabinet
of de wettelijke eisen in de AVG ten aanzien van grote techbedrijven kunnen worden
aangescherpt om de hoeveelheden gegevens die zij over personen verwerken te beteugelen.

Het onderzoek naar concrete voorstellen om de datamacht via de AVG verder te beteugelen
is nog gaande. Het richt zich vooralsnog vooral op dataportabiliteit en eventuele
nieuwe instrumenten voor toezicht door de Autoriteit persoonsgegevens. Nederland heeft
dit punt ook ingebracht in het kader van de evaluatie van de AVG, omdat dit bij uitstek
een onderwerp is waar de EU haar krachten zal moeten bundelen, maar waar zij ook haar
meerwaarde kan doen gelden.

2.6 Verplichte toezichthouder bij gedragscode

MKB-NL heeft voorgesteld in Brussel te bepleiten dat het opstellen van een gedragscode
niet verplicht tot aanstelling van een eigen toezichthouder. Zoals ik in het AO over
bescherming van persoonsgegevens van 13 juni jl. al heb opgemerkt, ging ik ervan uit
dat zo’n verplichting er niet is omdat de AVG op dit punt niet helder is geformuleerd.29 Het Europees Comité voor gegevensbescherming heeft inmiddels echter richtsnoeren
vastgesteld waarin is bepaald dat die verplichting er wel is.30 Aan dat oordeel voelen bedrijven zich vooralsnog gebonden. Ik vind evenwel dat aanstelling
van een toezichthouder geen verplicht karakter zou moeten hebben, omdat dit de totstandkoming
van gedragscodes nadelig kan beïnvloeden. Daarom zal ik bij de evaluatie van de AVG
inbrengen dat daarin expliciet tot uitdrukking moet komen dat van een verplichting
geen sprake is.

2.7 Certificering op EU-niveau

Zoals artikel 42, lid 1, AVG aangeeft, moeten alle betrokken actoren (lidstaten, toezichthoudende
autoriteiten, de EDPB en de Commissie) de oprichting van certificeringsmechanismen
voor gegevensbescherming en van gegevensbeschermingszegels en -merken aanmoedigen,
met name op het niveau van de Unie. De AVG maakt een aanpak op het niveau van de Unie
op verschillende manieren mogelijk. Artikel 42, lid 5, AVG geeft de EDPB de mogelijkheid
om de certificatiecriteria goed te keuren met behulp van het consistentie-mechanisme,
resulterend in een gemeenschappelijke certificering (de Europese gegevensbeschermingszegels).
Bovendien machtigt artikel 43, lid 8, AVG de Commissie om een gedelegeerde handeling
vast te stellen met de vereisten waarmee rekening moet worden gehouden bij dergelijke
certificeringsmechanismen. Op grond van artikel 42, lid 5, AVG kunnen de verschillende
nationale toezichthoudende autoriteiten deze certificeringscriteria echter ook op
nationaal niveau goedkeuren. Het gebruik van certificatiemechanismen die alleen op
verschillende nationale niveaus geldig zijn, lijkt daar waar het om geharmoniseerde
regels gaat contraproductief omdat dit verdere harmonisatie in de weg staat. Een verwerkingsverantwoordelijke
moet dan in alle landen waar hij actief is aan verschillende certificeringsvereisten
voldoen en verschillende certificeringsprocedures doorlopen. Nederland wil graag dat
vragen rond de efficiëntie en de effectiviteit van deze certificeringsprocessen mee
worden genomen in de evaluatie. Overwogen moet worden of de mogelijkheid om certificeringsmechanismes
toe te passen die alleen geldig zijn in een nationale context, niet zou moeten worden
beperkt tot alleen die situaties waarin dat ook daadwerkelijk een legitiem doel dient.

2.8 Eén uniform formulier voor melden datalekken

Naast de belangrijke taak van de EDPB om richtlijnen, aanbevelingen en «beste praktijken»
uit te vaardigen over verschillende onderwerpen en daarmee de betekenis te verduidelijken
van de termen die in de AVG worden gebruikt voor de dagelijkse praktijk, zou het –
ook vanuit praktisch oogpunt – zeer nuttig als zij ervoor kon zorgen dat slechts één
geharmoniseerd formulier wordt ontwikkeld om datalekken te melden, omdat de verwerkingsverantwoordelijken
nu worden geconfronteerd met formulieren die van toezichthouder tot toezichthouder
verschillen.