Brief regering : Wijziging Uitvoeringswet AVG c.a.

Nr. 164 BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 4 juni 2020

1. Inleiding

Op 25 mei 2018 is de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)
in werking getreden.1 Met deze wet wordt uitvoering gegeven aan de Algemene verordening gegevensbescherming
(AVG) en werd de Wet bescherming persoonsgegevens ingetrokken.

Tijdens de behandeling van het desbetreffende wetsvoorstel heb ik toegezegd direct
na afronding van dit wetsvoorstel de mogelijkheden te verkennen voor verdere modernisering
en verbetering van het gegevensbeschermingsrecht.2 In lijn met deze toezegging heb ik toen ook de motie van het lid Koopmans c.s. overgenomen,
waarin de regering werd verzocht de ervaringen met betrekking tot de UAVG te inventariseren
en in het licht daarvan zo nodig maatregelen te treffen.3 In het licht van deze toezegging en deze motie zijn de eerste ervaringen met de UAVG
geïnventariseerd. In een brief van 1 april 2019 is de Tweede Kamer geïnformeerd over
het resultaat van deze inventarisatie en in het bijzonder over de punten die in de
motie van het lid Koopmans c.s. waren genoemd.4

Uit deze inventarisatie kwam het beeld naar voren dat er een sterke behoefte bestaat
en blijft bestaan aan voorlichting over de AVG, de UAVG en sectorale wetgeving die
als gevolg van de AVG is aangepast. In dat verband werd gewezen op de voorlichtingsactiviteiten
van de Autoriteit persoonsgegevens (AP), van koepelorganisaties of van een voorziening
als de AVG-helpdesk Zorg, Welzijn en Sport van het Ministerie van VWS. Verder bleek
dat er punten waren die aandacht zouden vragen bij de evaluatie van de AVG zelf, die
uiterlijk 25 mei 2020 moet zijn afgerond. Tot slot werd in voornoemde brief aangekondigd
dat de Tweede Kamer nader zou worden geïnformeerd over punten waarvoor een wijziging
van de UAVG zou worden voorbereid.

In vervolg daarop heb ik de Tweede Kamer in een brief van 31 oktober 2019 geïnformeerd
over punten op dit vlak die nadien nog onder mijn aandacht zijn gebracht, en heb ik
aangegeven op welke punten al voldoende kon worden beoordeeld dat het wenselijk is
de UAVG of eventueel andere wetgeving aan te passen. Daarvoor zou een wetsvoorstel worden opgesteld dat in het eerste kwartaal van 2020 in consultatie zou worden
gebracht.5

Mede namens de Minister voor Binnenlandse Zaken en Koninkrijksrelaties informeer ik
uw Kamer in deze brief over de stand van zaken met betrekking tot de voorgenomen aanpassing
van de UAVG en andere wetten (§ 2), de overige punten waarvoor wetgeving is of wordt
overwogen (§ 3), de punten waarvoor geen wetswijziging nodig is (§ 4) en de evaluatie
van de AVG (§ 5).

2. Wetsvoorstel tot wijziging van de UAVG e.a. (Verzamelwet gegevensbescherming)

Het wetsvoorstel is op 20 mei jl. in consultatie gegaan.6 Daarin worden, naast verscheidene andere wijzigingen, de volgende wijzigingen voorgesteld
die al in mijn brief van 31 oktober jl. werden aangekondigd c.q. overwogen:

– invoering van een grondslag voor de verwerking van bijzondere categorieën persoonsgegevens
door accountants ter uitvoering van hun wettelijke controletaken,

– verduidelijking van de voorwaarden voor toepassing van biometrie voor de identificatie
van personen, voor zover noodzakelijk voor de rechtmatige toegang tot bepaalde plaatsen,
gebouwen, informatie- of werkprocessystemen, diensten of producten,

– invoering van een grondslag voor verwerking van bijzondere categorieën van persoonsgegevens
en van persoonsgegevens van strafrechtelijke aard door het Huis voor klokkenluiders
ter uitvoering van de wettelijke advies- en onderzoekstaken,

– invoering van een grondslag voor verwerking van gezondheidsgegevens door patiëntenverenigingen
voor intern gebruik, bijvoorbeeld in hun ledenbestand,

– verduidelijking van de grondslag voor financiële ondernemingen om in het kader van
het uitvoeren van transactiemonitoring zo nodig ook geautomatiseerd transacties te
kunnen blokkeren of opschorten, ter voorkoming van fraude,

– uitbreiding van de uitzonderingen die gelden voor archiefbewaarplaatsen met betrekking
tot bepaalde verplichtingen uit de AVG tot ook andere instellingen die archieven van
blijvende waarde voor het algemeen en historisch belang beheren, en

– invoering van een grondslag voor het verwerken van gegevens over verkeersboetes ten
behoeve van het verhalen van deze boetes op de berijder door autoleasemaatschappijen
e.a.

Dit wetsvoorstel bevat geen wijzigingsvoorstellen voor alle punten ten aanzien waarvan
in de brief van 31 oktober 2019 werd overwogen om de wetgeving aan te passen. In §
3 van deze brief informeer ik uw Kamer over de stand van zaken c.q. conclusies met
betrekking tot de punten die buiten het wetsvoorstel zijn gelaten. Het wetsvoorstel
bevat overigens ook wijzigingsvoorstellen over onderwerpen die in de brief van 31 oktober
2019 nog niet aan de orde waren gesteld, maar nadien onder mijn aandacht zijn gebracht.

3. Stand van zaken overige punten waarvoor wetgeving is of wordt overwogen

3.1 Alcohol- en drugstesten

In haar brief van 16 januari jl. heeft de Staatssecretaris van SZW uw Kamer al geïnformeerd
over haar voornemens om het afnemen van testen op alcohol en drugs op de werkplek
in specifieke risicovolle situaties mogelijk te maken.7

3.2 Informatie-uitwisseling rondom zieke werknemers

In voornoemde brief van 16 januari jl. van de Staatssecretaris van SZW is uw Kamer
ook al geïnformeerd over de stand van zaken met betrekking tot de eerder aangekondigde
uitvraag naar de ervaringen onder de AVG met informatie-uitwisseling rondom zieke
werknemers en het vervolg daarop.

3.3 Gebruik van het BIG-nummer buiten de Wet BIG ten behoeve van bijvoorbeeld na-
en bijscholing

De beroepsverenigingen voor artsen, tandartsen en apothekers, KNMG, KNMT, respectievelijk
KNMP, hebben verzocht een wettelijke voorziening op te nemen die het mogelijk maakt
het BIG-nummer te gebruiken buiten het kader van de Wet BIG. Zij geven als voorbeeld
dat er internetapplicaties in gebruik zijn om de scholingsactiviteiten van BIG-geregistreerde
beroepsbeoefenaren te registreren. Er bestaat bij de beroepsverenigingen onzekerheid
of het gebruik van het BIG-nummer voor dit soort activiteiten is toegestaan. De drie
organisaties zijn van oordeel dat het identificerende BIG-nummer niet privacy-gevoelig
is en dat aan het gebruik daarvan geen risico’s kleven.

De AP heeft het BIG-nummer in 2012 als privacy-gevoelig aangemerkt. De wens van de
beroepsverenigingen van BIG-geregistreerde beroepsbeoefenaren om dit nummer niettemin
ook bij activiteiten binnen hun vereniging te gebruiken is begrijpelijk, zeker als
het gaat om processen en activiteiten die dienstbaar zijn aan de doelstellingen van
de Wet BIG. Het gaat dan om verplichtingen die betrekking hebben op na- en bijscholing
of het opdoen van werkervaring. Het Ministerie van VWS is samen met de drie beroepsverenigingen
in overleg met de AP om te bezien op welke wijze het BIG-nummer door de beroepsorganisaties
gebruikt kan en mag worden. VWS verwacht dit overleg rond de zomer te kunnen afronden.

3.4 Verplichting voor uitleners van personeel of onderaannemers om aan de opdrachtgever
de gegevens te verstrekken die noodzakelijk zijn om gebruik te kunnen maken van vrijwarende
betaling via een zogenoemde g-rekening

De afgelopen tijd heeft overleg plaatsgevonden over de wens van het bedrijfsleven
om in de regeling voor de vrijwarende betaling in fiscale wetgeving in de invordering
te regelen dat de uitlener verplicht is ook bepaalde andere persoonsgegevens dan het
BSN te verstrekken aan de inlener. Volgens organisaties uit het bedrijfsleven zou
dit nu niet mogen, omdat de AVG daaraan in de weg zou staan. Naar aanleiding van dit
punt hebben betrokken partijen binnenkort overleg met de AP om over dit punt meer
duidelijkheid te krijgen.

3.5 Cross-sectorale gegevensdeling te behoeve van de bestrijding van fraude

Bij de behandeling van de begroting van het Ministerie van Justitie en Veiligheid
op 21 november 2019 is door de leden Van Aartsen (VVD) en Yesilgöz-Zegerius (VVD)
een motie ingediend waarin de regering wordt verzocht te onderzoeken in hoeverre het
mogelijk is dat ondernemers onderling informatie uitwisselen in de strijd tegen georganiseerde
en ondermijnende criminaliteit.8 Bij brief van 11 juni 2019 heb ik u de Beleidsreactie onderzoek «Cross-sectorale
gegevensdeling tussen private partijen voor fraudebestrijding» doen toekomen.9 Hierin is aangegeven dat binnen het wettelijk kader van AVG en UAVG (cross-sectorale)
gegevensdeling tussen private partijen mogelijk is mèt vergunning van de AP. In vervolg
op dit onderzoek voert MKB Nederland, met ondersteuning van het Ministerie van Justitie
en Veiligheid, een data protection impact assessment (DPIA) uit om de privacyrisico’s
van de gegevensverwerking in kaart te brengen. Op basis hiervan kan een vergunningsaanvraag
worden voorgelegd aan de AP om gegevensdeling mogelijk te kunnen maken.

3.6 Gebruik van het BSN-nummer door ondernemers, meer in het bijzonder door banken
e.a. voor het uitoefenen van de poortwachtersfunctie bij het voorkomen van witwassen

Zoals uit de brief van 31 oktober jl. blijkt, hebben VNO-NCW en MKB-Nederland gevraagd
het burgerservicenummer (BSN), gezien de meerwaarde die het gebruik daarvan heeft
voor allerlei administratieve processen en klantgerichte vertrouwensmodellen, vrij
te geven voor een breder gebruik. Met het oog daarop wijs ik er graag op dat de Staatssecretaris
van Binnenlandse Zaken en Koninkrijksrelaties uw Kamer heeft toegezegd een brief te
sturen over toegang tot de Basisregistratie Persoonsgegevens voor banken.10 In die brief zal hij ook ingaan op het toekomstig BSN-beleid.

Eerder heb ik melding gemaakt van het vraagstuk of het gebruik van het BSN dient te
worden toegestaan ten behoeve van het uitoefenen van de poortwachtersfunctie van instellingen,
zoals banken. Met het oog op die vraag heeft de Minister van Financiën mede namens
de Minister van JenV afgelopen september de AP om advies gevraagd over onder meer
het gebruik van het BSN voor specifiek dit doel. Het advies is op 16 december 2019
ontvangen en is aan uw Kamer gezonden, als bijlage bij de voortgangsbrief over het
plan van aanpak witwassen.11 De AP heeft in hoofdzaak opmerkingen over de onderbouwing (noodzaak) en de afweging
met minder ingrijpende alternatieven (subsidiariteit). Hierover is in overleg getreden
met de betrokken partijen en de uitkomsten daarvan worden meegenomen in het wetsvoorstel
plan van aanpak witwassen, dat december jl. in consultatie is gebracht.12

4. Punten waarvoor geen wetswijziging nodig is

4.1 Registratie van zorgen over de (geestelijke) gezondheidstoestand door financiële
instellingen in het kader van de op hen rustende zorgplicht voor kwetsbare groepen

De afgelopen maanden heeft overleg plaatsgevonden over de wens van de bankensector
om voor banken de mogelijkheid te scheppen in voorkomende gevallen in het belang van
de klant zorgen omtrent de (geestelijke) gezondheidstoestand van cliënten te kunnen
registreren. Aan dit overleg namen deel de ministeries van Financiën, JenV en VWS,
de AFM, de AP, het klachteninstituut financiële dienstverlening (Kifid) en de Nederlandse
Vereniging van banken (NVB). In onderling overleg is vooralsnog besloten om dit traject
niet verder in te gaan. Het blijkt op dit moment voor de bankensector lastig afdoende
de afweging tussen de privacy van de betrokken klant en de zorg voor klanten met mogelijk
een ziekte te maken en gedegen te onderbouwen. In de plaats daarvan wil de sector
onderzoeken of hiermee in de praktijk op een andere werkbare manier kan worden omgegaan,
waarbij aanvullende regelgeving niet nodig is. Als uit het praktijkonderzoek blijkt
dat het zonder regelgeving toch niet goed mogelijk is voor banken om tegemoet te komen
aan de zorg voor klanten met mogelijk een ziekte, dan wil de sector opnieuw contact
met de betrokken ministeries zoeken. De financiële instellingen verwachten dat dit
praktijkonderzoek binnen zes maanden zal zijn afgerond.

4.2 Aansprakelijkheid voor aan privacy gerelateerde schade en het doorbelasten van
boetes aan verwerkers opgelegd door de AP

De brancheorganisaties NLdigital en VNO-NCW hebben hun zorg geuit over de in mei 2018
doorgevoerde wijziging in de Algemene Rijksinkoopvoorwaarden. De wijziging maakt het
mogelijk om schade en boetes door privacyschendingen te verhalen op de partij die
verantwoordelijk is voor de privacyschending. Over deze zorg heeft de afgelopen periode
overleg plaatsgevonden met de AP en vertegenwoordigers van de interdepartementale
Commissie Bedrijfsjuridisch Advies (CBA).

De AP heeft laten weten dat, indien volgens haar vast staat dat een overtreding van
de AVG door de overtreder (een verwerkingsverantwoordelijke of een verwerker) is begaan,
dan daarmee de verantwoordelijkheid/verwijtbaarheid van die overtreder voor de overtreding volgens vaste jurisprudentie
een gegeven is.

Intussen is via de CBA geïnventariseerd of en zo ja hoe vaak marktpartijen afzien
van inschrijving op overheidsopdrachten vanwege de gewijzigde voorwaarden. Op basis
van de uitkomst van deze inventarisatie zal de CBA de door haar gemaakte keuzes bij
de wijziging van de Algemene Rijksinkoopvoorwaarden in 2018 nog eens bezien en over
het resultaat daarvan in overleg treden met de betrokken brancheorganisaties.

4.3 Wetenschappelijk onderzoek waarbij gebruik wordt gemaakt van grote al bestaande
datasets, in relatie tot het toestemmingsvereiste

Om oplossingen te vinden voor nieuwe ziektes, kwaliteit van zorg te verhogen en zorgkosten
te verlagen is intensief wetenschappelijk onderzoek nodig. Toegang tot medische persoonsgegevens
(«data») is een vereiste om onderzoek te doen. In de AVG vormen gegevens over gezondheid
een bijzondere categorie, die niet verwerkt mogen worden tenzij er sprake is van één
van de limitatief opgesomde uitzonderingen in de wet, zoals gebruik van gegevens over
gezondheid in het kader van wetenschappelijk onderzoek. De AVG heeft ruimte gelaten
aan de lidstaten om eigen (aanvullende) regels te stellen aan het gebruik van gegevens
over gezondheid voor wetenschappelijk onderzoek. Nederland heeft dit gedaan in artikel
24 van de UAVG.

De uitleg van de normen in dit artikel leiden in de praktijk echter tot veel vragen.
Sommige onderzoekers menen ook dat alleen al deze onduidelijkheid voor onnodige vertraging
en kosten zorgt. In het bijzonder gaat het dan om het vereiste dat het vragen van
toestemming aan de patiënt «onmogelijk blijkt of onevenredige inspanning kost».

Door VWS wordt in samenwerking met JenV onderzocht op welke manier handvatten gegeven
kunnen worden bij het uitvoeren van deze regels. Er wordt naar gestreefd dit najaar
de eerste stappen hiertoe te hebben gezet.

Verder werkt op dit moment Federa-COREON, de Commissie Regelgeving Onderzoek van de
Federa (de Federatie van Medisch Wetenschappelijke Verenigingen), aan een herziening
van de gedragscode gezondheidsonderzoek, die onduidelijkheid over regels en gegevensbescherming
weg kan nemen en daarmee ook zal bijdragen aan een eenduidige interpretatie. Bij deze
herziening worden meerdere partijen betrokken zoals NFU, STZ, Vereniging Innovatieve
Geneesmiddelen, Samenwerkende Gezondheidsfondsen en Zorgverzekeraars Nederland. De
beoogde afronding is in 2021. Deze gedragscode zal ook ter goedkeuring voorgelegd
worden aan de AP. VWS steunt dit initiatief via ZonMW met een financiële bijdrage.

4.4 Meer duidelijkheid en rechtszekerheid bij relatief eenvoudige «standaardverwerkingen»
voor kleinere verwerkingsverantwoordelijken

In mijn brief van 31 oktober jl. heb ik uw Kamer bericht dat de AP met haar voorlichtingsactiviteiten
al veel duidelijkheid en rechtszekerheid biedt over de wijze waarop het MKB verwerkingen
dient uit te voeren die in de motie van het lid Van Gent c.s. als standaardverwerkingen
zijn aangeduid.13 In aanvulling daarop kan ik uw Kamer meedelen dat de AP in januari 2020 een werkbezoek
heeft afgelegd aan VNO-NCW en MKB-Nederland, waarbij ook organisaties als Thuiswinkel.org,
de Raad Nederlandse Detailhandel, ANVR, In Retail, Detailhandel Nederland en de BOVAG
aanwezig waren. Daarbij zijn de praktische uitvoerbaarheid van de AVG en specifieke
ondernemersthema’s aan bod gekomen en zijn vervolgafspraken gemaakt voor regulier
overleg, rondetafels op andere thema´s, e.d.

In maart en april 2020 zijn er gesprekken tussen de AP en EZK geweest over de Maatwerkaanpak
Ambachten. Hierin werken departementen, toezichthouders, inspecties en andere overheidsorganisaties
samen om knelpunten waar ondernemers tegenaan lopen, te inventariseren, analyseren
en te zoeken naar haalbare oplossingen. In deze aanpak is naar voren gekomen dat de
voorlichting over de AVG meer aandacht nodig heeft, bijvoorbeeld door animaties van
voorbeeldsituaties en formats. EZK heeft inmiddels een aantal ondernemers gevraagd
wat er verbeterd zou kunnen worden in de communicatie en kritisch te kijken naar kanalen
en teksten van de AP (website, Q&A’s, hulpbijprivacy.nl e.d.). Aan de hand van de
opbrengst daarvan maakt de AP een plan van aanpak waarbij zij kijkt hoe ze samen met
EZK een aantal punten kan oppakken om bestaande kanalen beter te benutten en waar
mogelijk nieuwe materialen kan ontwikkelen om de AVG beter over het voetlicht te brengen.

Ook ontwikkelde de AP samen met de RVO de digitale AVG-regelhulp.14 Deze website wordt nog steeds goed bezocht.

4.5 Verduidelijking van de verhouding van de Archiefwet tot de AVG.

In mijn brief van 31 oktober jl. schreef ik dat de Minister voor Basis- en Voortgezet
Onderwijs en Media werkt aan een modernisering van de Archiefwet, waarin de relatie
met de AVG zal worden toegelicht. Naar verwachting zal dit wetsvoorstel in het najaar
van 2020 bij de Kamer worden ingediend.

5. Evaluatie AVG

In mijn brief van 31 oktober jl. heb ik ook aangeven welke onderwerpen Nederland in
het kader van de evaluatie van de AVG onder de aandacht van de Europese Commissie
heeft gebracht. Deze onderwerpen zijn ingebracht tijdens de onderhandelingen die vorig
najaar plaats hebben gevonden in de Raadswerkgroep Dapix en ter voorbereiding dienden
van de positie van de Raad ten aanzien van de evaluatie van de AVG.

De Raadspositie is begin januari 2020 onder Kroatisch voorzitterschap vastgesteld
en sluit goed aan bij de Nederlandse inzet.

Zo wordt voor een brede evaluatie van de AVG gepleit, die verder gaat dan alleen de
in artikel 97 AVG genoemde verplichte onderwerpen, te weten de internationale doorgiften
(hoofdstuk V) en het samenwerkings- en coherentiemechanisme (hoofdstuk VII).

Ook is bereikt dat in de Raadspositie aandacht wordt besteed aan de vraag hoe de datamacht
van grote techbedrijven verder beteugeld kan worden en aan het belang van de ontwikkeling
van een Europese visie op dit punt. In lijn met de Nederlandse inzet stimuleert de
Raadspositie de Commissie bijvoorbeeld te onderzoeken in hoeverre betrokkenen hun
datarechten effectief kunnen uitoefenen jegens grote techbedrijven. In het verlengde
hiervan benadrukt de Raadspositie dat, ook al is de AVG techniekneutraal geformuleerd,
het nodig is om te blijven monitoren of de AVG voldoende en adequaat toegesneden is
op nieuwe technologieën, zoals big data, algoritmen en kunstmatige intelligentie,
nieuwe profileringsmethoden, deep-fake of gezichtsherkenning.

Positief is ook dat in de Raadspositie wordt ingegaan op de gevolgen van de regeldruk
van de AVG voor het MKB. Op voorspraak van Nederland en enkele andere lidstaten vraagt
de Raadspositie onder meer aandacht voor de te beperkte uitzondering voor het MKB
op de registerplicht. In de raadspositie wordt voorgesteld te onderzoeken of een vereenvoudigde
registerplicht of een standaardformulier voor het melden van datalekken kan worden
ontwikkeld; onderwerpen waarvoor, zoals in de brief van 31 oktober jl. al werd aangekondigd,
van Nederlandse zijde aandacht is gevraagd.

Een laatste belangrijk onderwerp is de gewenste uniformering van de leeftijdsgrens
waarop kinderen, binnen de EU, toestemming voor de verwerking van hun persoonsgegevens
kunnen geven. Op voorspraak van Nederland en enkele andere lidstaten wordt in de Raadspositie
erkend dat de huidige fragmentatie van leeftijdsgrenzen rechtsonzekerheid meebrengt
over de te hanteren leeftijdsgrens bij grensoverschrijdende verwerkingen.

Of en, zo ja, in hoeverre de Raadspositie en de daarin door Nederland aangedragen
punten door de Commissie worden overgenomen, zal pas beoordeeld kunnen worden op het
moment dat de Europese Commissie haar evaluatieverslag indient bij de Raad en het
Europees parlement. De Commissie is formeel namelijk niet verplicht om de aanbevelingen
van de Raad over te nemen.

Het evaluatieverslag van de Commissie zou formeel uiterlijk 25 mei jl. moeten zijn
ingediend. Aanvankelijk zou de Commissie dat op 22 april jl. hebben gedaan. Vanwege
de Corona-crisis is dit uitgesteld. Er is op dit moment nog geen nieuwe datum bekend.

6. Slot

Tot slot van deze brief wijs ik uw Kamer nog op artikel 50 van de UAVG. Daarin is
bepaald dat de Minister voor Rechtsbescherming binnen drie jaar na de inwerkingtreding
van die wet, en vervolgens telkens na vier jaar, aan de Staten-Generaal een verslag
zendt over de effecten van deze wet in de praktijk en over de uitvoering van de wet
in de praktijk. De hier bedoelde evaluatie dient dus uiterlijk 25 mei 2021 te zijn
afgerond. Naar verwachting zal ook deze evaluatie aanleiding kunnen geven om opnieuw
wijzigingen van de UAVG in overweging te nemen.

De Minister voor Rechtsbescherming,
S. Dekker