Brief regering : Reactie op rapport ‘Bescherming gegeven? Evaluatie UAVG, meldplicht datalekken en de boetebevoegdheid’
32 761 Verwerking en bescherming persoonsgegevens
Nr. 284 BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 18 september 2023
Op 6 september 2022 heb ik het onderzoeksrapport «Bescherming gegeven? Evaluatie UAVG,
meldplicht datalekken en de boetebevoegdheid» aan uw Kamer aangeboden dat in opdracht
van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) is uitgevoerd door
Pro Facto en Hooghiemstra & Partners (Kamerstuk 32 761, nr. 246). Met deze brief ontvangt u, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties,
de beleidsreactie op dat onderzoek, nadat de context van het onderzoek is toegelicht.
Context
De Algemene Verordening Persoonsgegevens (AVG) is rechtstreeks van toepassing in Nederland.
Op 25 mei 2018 is de Uitvoeringswet Algemene verordening persoonsgegevens (UAVG) in
werking getreden. Deze wet vult voor Nederland voor een belangrijk deel de ruimte
in die de Europese lidstaten op grond van de AVG hebben om op bepaalde punten meer
specifieke nationale regelingen te treffen. Daarnaast geeft de UAVG invulling aan
de verplichting uit de AVG om in elke lidstaat een onafhankelijke autoriteit verantwoordelijk
te maken voor het toezicht op de toepassing van de verordening. Voor Nederland is
dat de Autoriteit Persoonsgegevens (AP).
Bij de totstandkoming van de UAVG heeft de wetgever ervoor gekozen om, los van de
veranderingen die de AVG met zich meebrengt, de nationale keuzes zoveel mogelijk beleidsneutraal
door te voeren. Dat wil zeggen dat is aangesloten bij de toen geldende Wet bescherming
persoonsgegevens (Wbp). Hier is voor gekozen om de invoering van de AVG zo vloeiend
mogelijk te laten verlopen ten opzichte van de bestaande situatie; de inwerkingtreding
van de AVG zorgde immers al voor grote veranderingen.
Artikel 50 van de UAVG bepaalt dat binnen drie jaar na inwerkingtreding van de wet
verslag zal worden gedaan van de effecten van de wet in de praktijk en van de uitvoering
van de wet in de praktijk. Het onderhavige onderzoek behelst een evaluatie van de
UAVG en geeft zodoende uitvoering aan de evaluatiebepaling in de wet. De evaluatie
van de UAVG is bedoeld om inzicht te bieden in de vraag in hoeverre de bepalingen
in de UAVG helder, toegankelijk, uitvoerbaar en handhaafbaar zijn. Daarnaast dient
de evaluatie om de uitvoering van de wet in de praktijk in kaart te brengen.
Het onderhavige onderzoek heeft eveneens aandacht besteed aan de motie van de Kamerleden
Schouw en Segers uit 2015 waarin de regering wordt verzocht de Wet meldplicht datalekken
en boetebevoegdheid binnen vier jaar na inwerkingtreding te evalueren.1 De Wet meldplicht datalekken en boetebevoegdheid is weliswaar komen te vervallen
met de inwerkingtreding van de AVG, maar de naleving van de (nu in de AVG opgenomen)
meldplicht en de toepassing en de effectiviteit van de boetebevoegdheid zijn onverminderd
relevant. Binnen de evaluatie van de UAVG is om die reden onderzocht hoe de meldplicht
datalekken wordt nageleefd en in hoeverre de boetebevoegdheid van de AP bijdraagt
aan de doelmatige en doeltreffende uitvoering en handhaving van de UAVG.
Hoewel de UAVG moeilijk los te zien is van de AVG, betreft dit onderzoek expliciet
geen evaluatie van de AVG. De AVG zelf wordt door de Europese Commissie geëvalueerd; op
24 juni 2020 heeft zij het eerste evaluatieverslag van de AVG gepubliceerd.2 Evenmin heeft het onderzoek zich gericht op de onderdelen in de UAVG die fungeren
als instellingswet van de AP.
Het onderzoek bestaat als gezegd uit twee delen: de evaluatie van de UAVG zelf en
de uitvoering van het verzoek dat uw Kamer heeft gedaan bij motie van de toenmalige
Kamerleden Schouw en Segers uit 2015, waarin de regering wordt verzocht de Wet meldplicht
datalekken en boetebevoegdheid binnen vier jaar na inwerkingtreding te evalueren.
In het eerste deel van deze reactie wordt ingegaan op de wetsevaluatie en in het tweede
deel op de uitwerking van de motie.
Onderdeel 1: Evaluatie van de UAVG
1. Algemeen
Door de beleidsneutrale omzetting van de bestaande normen onder de Wbp is volgens
de onderzoekers de toegevoegde waarde van de UAVG beperkt. De normen uit de AVG zijn
open geformuleerd, wat maakt dat zij uitleg per concreet geval behoeven voordat ze
handhaafbaar zijn. In de UAVG is de mogelijkheid van een meer specifieke invulling
en concretisering volgens de onderzoekers niet voldoende benut. Die nadere invulling
is er volgens de onderzoekers evenmin gekomen in de jurisprudentie, nu het aantal
gepubliceerde uitspraken waarin de UAVG een materiële rol speelt, beperkt is.
Het is juist dat bij de totstandkoming van de UAVG de bewuste keuze is gemaakt om
grotendeels aan te sluiten bij de bestaande privacyregelgeving, enerzijds vanwege
het korte tijdspad voor de implementatie en anderzijds om de overgang naar de AVG
zo soepel mogelijk te laten verlopen. Dat maakt naar mijn oordeel echter niet dat
de waarde van de UAVG beperkt is. Allereerst kent de UAVG wel degelijk nadere invullingen,
bijvoorbeeld waar het gaat om uitzonderingen op het verwerkingsverbod van bijzondere
persoonsgegevens en gegevens van strafrechtelijke aard. Belangrijker is misschien
wel dat de UAVG niet gezien moet worden als de enige nationale wet die uitvoering
geeft aan de AVG. Dat gebeurt ook ruimschoots in sectorale wetgeving, waarin het vaak
beter mogelijk is op de specifieke materie toegesneden normen te stellen dan in een
algemene wet als de UAVG. Deze systematiek strookt ook met de aanbeveling die de onderzoekers
doen om zoveel mogelijk in sectorwetgeving te regelen en slechts algemene, sectoroverstijgende
zaken in de UAVG te regelen. Voor dat laatste is het, juist nu het gaat om open normen,
belangrijk dat de flexibiliteit behouden blijft om de rechtsontwikkeling ervan grotendeels
in de praktijk te laten plaatsvinden.
Dat neemt uiteraard niet weg dat op gezette tijden bezien moet worden of de wetgeving
aanpassing behoeft. Dat is ook de afgelopen jaren gebeurd, met als resultaat dat op
2 december 2022 de Verzamelwet gegevensbescherming is ingediend bij uw Kamer. In dit
wetsvoorstel wordt een aantal wijzigingsvoorstellen gedaan, niet alleen van de UAVG
maar ook van diverse andere wetten. Enkele aanbevelingen die gedaan worden door de
onderzoekers in het kader van de onderhavige evaluatie, zijn daarin reeds ondervangen.
Eventuele verdere wijzigingen zullen in toekomstige wets(wijzigings)trajecten worden
meegenomen. Dat geldt ook ten aanzien van de voorstellen die de Autoriteit Persoonsgegevens
heeft gedaan in haar brief van 23 januari 2023, houdende aanvullende thema's ter overweging
bij de evaluatie UAVG en een volgende wetswijzing. Op deze wijze kan het lopende wetsvoorstel
Verzamelwet verder worden behandeld. Een ingrijpende uitbreiding van dat wetsvoorstel
in dit stadium zou betekenen dat het opnieuw aan de AP en de Afdeling Advisering van
de Raad van State zou moeten worden voorgelegd, wat leidt tot aanzienlijke vertraging
voor de wijzigingen die daarin reeds voorgesteld worden.
2. Gedragscodes
Om meer eenduidigheid te brengen in de toepassing van de bepalingen uit de AVG, zien
de onderzoekers niet alleen een rol voor de toezichthouder, maar ook voor sectoren
en organisaties zelf. Een belangrijk instrument daarbij is de gedragscode. In de praktijk
wordt, zo blijkt uit het onderzoek, het opstellen van een gedragscode gezien als een
proces dat veel energie kost en waarvan het onzeker is of de eindstreep van de goedkeuring
wordt gehaald. De animo om een gedragscode ter goedkeuring aan de AP voor te leggen
lijkt laag te zijn, mede omdat te weinig duidelijk is aan welk normenkader de toezichthouder
toetst. Om de totstandkoming van het aantal gedragscodes en het vragen van de goedkeuring
daarvan te laten toenemen, kan het volgens de onderzoekers behulpzaam zijn om in sectorale
wetgeving het hebben van een goedgekeurde gedragscode te verplichten. Op deze wijze
worden sectoren gedwongen om tot zelfregulering te komen.
In het commissiedebat van 22 november 2022 inzake de verwerking en bescherming van
persoonsgegevens heb ik, op een vraag van het Kamerlid Van Ginneken (D66), toegezegd
schriftelijk te zullen ingaan op de mogelijkheden om gedragscodes te bevorderen.3 Met deze brief voldoe ik tevens aan deze toezegging. Het betreft hier een aandachtspunt
dat in de gehele Unie speelt. Het kader voor gedragscodes is grotendeels neergelegd
in de AVG zelf, daarom zijn de mogelijkheden beperkt om de UAVG hiervoor aan te passen.
Zoals de onderzoekers al vaststellen, zal de ontwikkeling van dit instrument in belangrijke
mate op de weg liggen van de verwerkingsverantwoordelijken, de nationale toezichthouder,
de European Data Protection Board (EDPB) en uiteindelijk de rechter. Ik ben geen voorstander
van het verplicht stellen in sectorale wetgeving van het hebben van een goedgekeurde
gedragscode. Een gedragscode is naar zijn aard een instrument dat opgesteld moet worden
door een sector zelf en draagvlak moet hebben binnen een sector, wil het een goede
werking hebben. Het kent een zekere mate van vrijwilligheid om er aansluiting bij
te zoeken. Wel zal ik in overleg treden met de AP over de mogelijkheden die bestaan
voor het verder brengen van dit instrument en het belang daarvan onder de aandacht
brengen.
3. De naleving van de normen
Ten aanzien van de naleving van de bepalingen in de UAVG merken de onderzoekers op
dat sprake is van een nog voortgaand proces van bewustwording en implementatie binnen
organisaties. Er is intussen steeds meer aandacht voor de bescherming van persoonsgegevens,
maar is er ook nog ruimte voor verbetering. Deze observatie deel ik. Er is sinds de
inwerkingtreding van de AVG en de UAVG een veel groter privacy-bewustzijn ontstaan,
niet alleen in Nederland, maar in heel Europa en zelfs daarbuiten. Uit het WODC-onderzoek
«Verkennende analyse: Naleving van de AVG door overheden», dat ik op 25 januari 2023
aan uw Kamer heb aangeboden, komt ook naar voren dat aandacht voor een correcte verwerking
van persoonsgegevens na invoering van de AVG een positieve ontwikkeling heeft doorgemaakt
en dat de kennis van het gegevensbeschermingsrecht toeneemt.
De constatering van de onderzoekers in de evaluatie dat de UAVG niet altijd even bekend
is en dat niet altijd gerefereerd wordt aan de UAVG door bijvoorbeeld rechters, is
op zichzelf niet problematisch. Het gaat erom dat het gegevensbeschermingsrecht –
dat in belangrijke mate Unierechtelijke begrippen kent – als geheel wordt nageleefd.
Hieronder wordt ingegaan op de specifieke aanbevelingen in het onderzoek.
4. Aanbevelingen
Biometrische gegevens
De onderzoekers merken op dat de uitzonderingsgrond voor de verwerking van biometrische
gegevens op dit moment onvoldoende duidelijk is. In het conceptvoorstel voor de Verzamelwet
gegevensbescherming wordt artikel 29 UAVG nader aangescherpt en verduidelijkt. Aan
de aanbeveling over deze bepaling is voldaan door in toelichting bij dit artikel (onderdeel
K) een reeks aanvullende voorbeelden te geven van een zwaarwegend algemeen belang.
In het verslag bij de Verzamelwet zijn hierover verdere vragen over gesteld, waarop
nader ingegaan zal worden in de nota naar aanleiding van het verslag.4
Cross-sectorale gegevensdeling
Onder de UAVG is het mogelijk om persoonsgegevens van strafrechtelijke aard ten behoeve
van derden te verwerken, onder andere indien de AP hiervoor een vergunning heeft verleend.
De AP kan een dergelijke vergunning verlenen, indien de verwerking noodzakelijk is
met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien
in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig
wordt geschaad. Tot vergunningverlening ten aanzien van het cross-sectoraal delen
van gegevens is de AP vooralsnog niet overgegaan, omdat naar haar oordeel tot nu toe
geen aanvraag voldeed aan de voorwaarden (kort gezegd: noodzakelijke verwerking, zwaarwegend
belang van derden en voldoende waarborgen). De onderzoekers werpen de vraag op of
binnen de huidige systematiek – door middel van vergunningverlening door de toezichthouder
– cross-sectorale gegevensdeling door private partijen wel gerealiseerd kan worden.
In het geval er een politieke wens ligt om cross-sectorale gegevensdeling tussen private
partijen mogelijk te maken, dan zou het meer voor de hand liggen om dit in afzonderlijke
wetgeving met de nodige waarborgen omkleed te regelen, zo stellen de onderzoekers.
Indien het cross-sectoraal delen van gegevens niet wenselijk wordt geacht, dan zou de UAVG op dit punt aan duidelijkheid kunnen winnen
door deze wijze van delen van persoonsgegevens expliciet in artikel 33 van vergunningverlening
uit te sluiten, aldus de onderzoekers.
Naar mijn oordeel is het te vroeg om gevolg te geven aan deze suggestie. Dat de AP
de twee tot op heden geweigerde aanvragen ontoereikend vond in het licht van de gestelde
eisen, wil niet zeggen dat het nu al duidelijk is dat het vergunningenstelsel uit
artikel 33, vierde lid UAVG niet in stand moet blijven. In dit verband staat nog overeind
de mededeling aan uw Kamer van het vorige kabinet in 20195 dat de ervaringen worden afgewacht die door private organisaties worden opgedaan
met hun voornemen tot cross-sectorale gegevensdeling, en dat afhankelijk van die ervaringen
zo nodig nieuwe wetgeving zal kunnen worden overwogen. Op 15 juli 2021 heeft de AP
een «Handreiking cross-sectorale gegevensdeling tussen private partijen» gepubliceerd.
Het is inderdaad – zoals de onderzoekers ook opmerken – zo dat het cross-sectoraal
delen tussen private partijen van de hier bedoelde gegevens niet is toegestaan, tenzij
wordt voldaan aan zeer hoge eisen. Die eisen vloeien voort uit de AVG en in mindere
mate uit de UAVG. Dat betekent dat ook wanneer cross-sectorale gegevensdeling in afzonderlijke
wetgeving zou worden geregeld, de in die wetgeving op te nemen voorwaarden net als
nu gebonden zullen zijn aan de minimale vereisten van de AVG. Deze vorm van uitwisseling
zal dus ook dan alleen in zeer uitzonderlijke gevallen zijn toegestaan omdat deze
eisen ertoe leiden dat vooral vergunningen voor sectorale gegevensdeling of gegevensdeling
met een beperkte reikwijdte worden verleend. Met deze eisen van de AVG zal bij een
eventuele wetswijziging ook rekening moeten worden gehouden, hetgeen maakt dat de
materiele meerwaarde van wetswijziging beperkt zal zijn Dat voor het cross-sectoraal
delen van persoonsgegevens noodzakelijkheid, subsidiariteit en proportionaliteit goed
onderbouwd moeten worden, zal te allen tijde vereist zijn, zowel bij een vergunningensystematiek,
als in het geval er wetgeving zou worden opgesteld. Er zal altijd duidelijk moeten
zijn wat het doel en de noodzaak is van het cross-sectoraal delen van persoonsgegevens
van strafrechtelijke aard, welke gegevens dan precies mogen worden verwerkt en vooral
ook wat de waarborgen zijn voor de betrokkenen. Het gaat immers om gevoelige gegevens,
waarmee zeer zorgvuldig moet worden omgegaan, omdat de gevolgen van verwerking ervan
voor betrokkenen zeer verstrekkend kunnen zijn. Op dit moment wordt met publieke en
private partijen de noodzaak van gegevensdeling ten behoeve van criminaliteitsbestrijding
in kaart gebracht.6 Uit de verkenning zoals is aangekondigd in het actieprogramma online fraude komt
naar voren dat het gebrek aan mogelijkheden voor gegevensdeling een belemmering is
voor een effectieve aanpak. Er zal worden bezien of en zo ja hoe deze belemmeringen
kunnen worden weggenomen. De resultaten van de verkenning zal de Minister van Justitie
en Veiligheid zo spoedig mogelijk met uw Kamer delen.
Rechtsbescherming
De onderzoekers doen enkele aanbevelingen op het terrein van de rechtsbescherming
tegen niet-naleving van de AVG en de UAVG, zowel op bestuursrechtelijk als civielrechtelijk
terrein. Ook gaan zij in op rechtsbescherming bij geautomatiseerde besluitvorming.
Het onderzoek beschrijft allereerst in welke gevallen kan worden opgekomen tegen besluiten
die zien op een verzoek van een betrokkene over de uitoefening van zijn rechten uit
hoofde van artikel 15 tot en met 22 AVG. Als de verwerkingsverantwoordelijke een bestuursorgaan
is, dan is volgens het onderzoek de effectiviteit van de rechtsbescherming op grond
van artikel 34 UAVG beperkt, omdat daarin niet wordt voorzien in rechtsbescherming
tegen feitelijke bestuurshandelingen (niet zijnde besluiten). Er wordt geadviseerd
om in ieder geval, in navolging van uitspraken van de Afdeling bestuursrechtspraak
van de Raad van State,7 onrechtmatig handelen door middel van een onrechtmatige gegevensverwerking los te
kunnen beoordelen van een daaropvolgend (onrechtmatig) besluit. De onderzoekers geven
in overweging de mogelijkheid te creëren om vroegtijdig, dus zonder dat er al een
besluit in de zin van artikel 1:3, eerste lid Awb moet zijn genomen, de juistheid
van een verwerking te betwisten. Zo zou in de UAVG een bepaling kunnen worden opgenomen
die in afwijking van artikel 8:88, eerste lid, aanhef en onder b Awb beroep bij de
bestuursrechter openstelt voor degene die op grond van artikel 82 AVG aanspraak stelt
te maken op vergoeding van schade die het gevolg is van het onrechtmatig verwerken
van persoonsgegevens en daarmee het onrechtmatig bestuurlijke handelen door een bestuursorgaan
zonder dat reeds een (onrechtmatig) besluit door dat bestuursorgaan is genomen.
Mijn ambtsvoorganger heeft in het commissiedebat van 20 mei 20208 inzake de verwerking en bescherming van persoonsgegevens toegezegd dat er schriftelijk
ingegaan zou worden op de mogelijkheden van meer gegevensbescherming in het bestuursrecht.9 Ik heb oog voor de onderliggende problematiek dat er sprake kan zijn van onrechtmatige
gegevensverwerking door de overheid, zonder dat er ook al sprake is van een (onrechtmatig)
besluit. De rechtsontwikkeling op dit punt volg ik dan ook met belangstelling. Vooralsnog
lijkt de rechtspraak binnen de bestaande kaders te beschikken over voldoende mogelijkheden
om tot een beoordeling te komen ten aanzien van voorbereidende feitelijke handelingen.
De in het onderzoek aangehaalde jurisprudentie van de Afdeling bestuursrechtspraak
van de Raad van State geeft immers belangrijke nuanceringen ten aanzien van het gegevensbeschermingsrecht.
De gevolgen daarvan voor de praktijk zullen zich de komende tijd aftekenen. Indien
daaruit een breder gedragen wens naar voren komt dat het wettelijk kader herziening
behoeft, dan kan daar tegen die tijd met inachtneming van de uitspraken van de hoogste
bestuursrechter naar worden gehandeld. Met vorenstaande ga ik ook in op voormelde
toezegging.
Verder hebben de onderzoekers zich uitgesproken over de effectiviteit van de civiele
rechtsbescherming, ofwel de rechtsbescherming ten opzichte van niet-overheidsorganen.
Die kent nu twee procedures: de verzoekschriftprocedure (die gerelateerd is aan een
verzoek als bedoeld in de artikelen 15 tot en met 22 AVG) en de dagvaardingsprocedure
(voor alle aanvullende aangelegenheden). De onderzoekers bevelen ook aan om de verzoekschriftprocedure
uit te breiden. Nu kent deze procedure slechts de mogelijkheid om een verzoek als
bedoeld in artikel 15 tot en met 22 AVG toe of af te wijzen, maar de onderzoekers
stellen voor om onderdeel van de procedure te maken het eventuele ongedaan maken van
de onrechtmatige verwerking alsmede de mogelijkheid om schadevergoeding te verzoeken.
Met deze uitbreidingen zouden betrokkenen niet langer de complexere dagvaardingsprocedure
hoeven te starten. Ik vind de gedachte om de rechtsbescherming voor betrokkenen laagdrempeliger
te maken het onderzoeken waard. Daartoe moet niet alleen in kaart worden gebracht
in hoeverre deze behoefte in de praktijk bestaat, maar ook wat de consequenties zullen
zijn van opvolging van het voorstel van de onderzoekers, bijvoorbeeld in aantallen
verzoekschriftprocedures bij de rechtbanken. Uw Kamer wordt hierover op een later
moment nader geïnformeerd.
De onderzoekers hebben verder uit jurisprudentieonderzoek geconcludeerd dat in de
rechtspraak niet snel wordt aangenomen dat sprake is van geautomatiseerde besluitvorming
(artikel 22 AVG). De onderzoekers signaleren dat het onevenwichtig kan zijn om het
bewijsrisico of daarvan sprake is (geweest) geheel bij de betrokkene te leggen. Tegelijk
concluderen de onderzoekers dat het prematuur is om een bepaling aan de UAVG toe te
voegen, waarin de bewijslast anders wordt verdeeld, aangezien de jurisprudentie zich
op dit punt nog nader moet uit kristalliseren. Ik sluit mij daarbij aan.
Tot slot hebben de onderzoekers opgemerkt dat artikel 41 UAVG, waarin uitwerking wordt
gegeven aan artikel 23 AVG om de rechten van betrokkenen in te kunnen perken wegens
bepaalde belangen, kan worden verbeterd zodat meer recht gedaan wordt aan de bedoeling
van artikel 23 AVG. Het kabinet heeft dit ook onderkend bij de voorbereiding van het
voorstel voor de Verzamelwet gegevensbescherming dat momenteel bij uw Kamer aanhangig
is, en zal dit punt meenemen bij een volgende inhoudelijke wijziging van de UAVG.
Dit punt is ook door de AP geadresseerd in haar brief van 23 januari 2023. Over de
voortgang zal uw Kamer worden geïnformeerd. Ook in het verslag dat is uitgebracht
naar aanleiding van de behandeling van de Verzamelwet gegevensbescherming zijn door
verschillende Kamerleden vragen gesteld over deze bepaling en overigens ook over andere
onderdelen van de brief van de AP. Die zullen in de nota naar aanleiding van het verslag
uiteraard beantwoord worden.
Wetenschappelijk onderzoek
De onderzoekers stellen vast dat de regels voor het verwerken van persoonsgegevens
voor wetenschappelijk onderzoek op verschillende plekken zijn neergelegd. De onderzoekers
bevelen aan om de bepalingen over het verwerken van persoonsgegevens geclusterd op
te nemen in de UAVG, omdat deze nu verspreid staan in de UAVG en ook te vinden zijn
in sectorale wetgeving. De onderzoekers menen dat dit de uitvoerbaarheid niet bevordert.
Bij de indeling van de UAVG is de indeling van de AVG gevolgd. Hierdoor zijn de artikelen
over wetenschappelijk onderzoek inderdaad in verschillende hoofdstukken terecht gekomen.
Zo is er een algemeen artikel over de verwerking van bijzondere persoonsgegevens (artikel 24
UAVG), worden er nadere eisen gesteld aan de verwerking van genetische gegevens (artikel 28
UAVG), staat er een bepaling in het hoofdstuk over verwerking van strafrechtelijke
gegevens (artikel 32 UAVG) en is er een artikel in het hoofdstuk over het inperken
van rechten van betrokkenen (artikel 44). Als de artikelen inzake wetenschappelijk
onderzoek bij elkaar gezet worden, wordt de hoofdstukindeling van de AVG niet meer
gevolgd en komen bijvoorbeeld de artikelen over de verwerking van bijzondere persoonsgegevens
of de rechten van betrokkenen weer op verschillende plaatsen in de UAVG te staan.
Hierdoor kunnen weer nieuwe onduidelijkheden ontstaan. Ook kunnen in sectorale wetgeving
nog bepalingen omtrent wetenschappelijk onderzoek worden opgenomen, dus er kunnen
altijd meerdere wetten van toepassing zijn bij de verwerking van persoonsgegevens.
Het zou onwenselijk kunnen uitpakken wanneer niet meer in sectorale wetgeving specifieke
concrete uitzonderingen kunnen worden opgenomen. In sectorale wetgeving kan immers
een meer op de materie toegesneden norm worden opgenomen dan in de algemene UAVG.
Bovendien zijn de verschillende sectoren juist bekend met hun sectorwetgeving, en
naarmate er de komende jaren meer gewerkt wordt op dit onderwerp en meer bekendheid
met dit instrumentarium ontstaat, zal dat de onduidelijkheid verder doen verminderen.
Het is dan ook geen uitgemaakte zaak dat opneming van onderdelen uit die sectorwet
in een algemene wet als de UAVG zal leiden tot meer verduidelijking.
Geautomatiseerde besluiten
De onderzoekers vragen zich af of artikel 40 UAVG recht doet aan artikel 22 AVG. In
laatstgenoemd artikel is de hoofdregel neergelegd niet te worden onderworpen aan een
uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit
waaraan voor de betrokkene rechtsgevolgen zijn verbonden of dat hem anderszins in
aanmerkelijke mate treft. De onderzoekers bevelen aan om een andere invulling te geven
aan artikel 22 AVG dan nu in artikel 40 UAVG is opgenomen. De uitzonderingen voor
geautomatiseerde besluiten zijn volgens de onderzoekers in artikel 40 UAVG namelijk
erg ruim geformuleerd. Zo is geautomatiseerde besluitvorming, met uitzondering van
profilering, voor overheidsorganisaties mogelijk in geval van een wettelijke verplichting
of wanneer het noodzakelijk is voor de vervulling van een taak van algemeen belang.
De verwerkingsverantwoordelijke moet daarbij passende waarborgen treffen. De onderzoekers
menen dat van de vereiste passende waarborgen onvoldoende sprake is, nu deze vooral
de mogelijkheden van bezwaar en beroep zouden behelzen en dat niet altijd toereikend
is.
Ik ben mij ervan bewust dat de in artikel 40 van de UAVG gekozen implementatie van
artikel 22 AVG niet de enige mogelijke uitwerking van die bepaling is. Dat betekent
mijns inziens evenwel niet dat dit als een onjuiste implementatie moet worden gezien.
Zoals uiteengezet in de memorie van toelichting, meen ik dat de AVG, mede gelet op
overweging 71 van de AVG, deze uitwerking toelaat.10
Passende waarborgen zijn inderdaad een essentiële voorwaarde voor het gebruik van
geautomatiseerde besluitvorming door overheidsorganen. De mogelijkheden van bezwaar
en beroep zijn niet het enige regulerend kader voor de inzet van geautomatiseerde
besluitvorming. Zo vereisen de Grondwet en het EVRM dat een inbreuk op een recht alleen
is toegelaten indien deze wettelijk is geregeld en noodzakelijk en proportioneel is.
Ook verbiedt het non-discriminatierecht het maken van een (ongerechtvaardigd) onderscheid.
Verder stelt het bestuursrecht regels aan besluitvorming, zoals de motivering ervan
en hoor en wederhoor. De overheid dient deze juridische kaders te allen tijde in acht
te nemen, ook bij geautomatiseerde besluitvorming. In dit verband zijn er verschillende
stappen gezet om te zorgen voor aanvullende waarborgen. Allereerst werkt het kabinet
aan het implementatiekader «inzet van algoritmen» dat toe moet zien op het borgen
van een verantwoorde inzet van algoritmen door overheden. Het wordt daardoor voor
overheden duidelijker aan welke eisen moet zijn voldaan en wat van hen verwacht wordt.
Daarnaast geldt al langer het uitgangspunt dat overheidsorganisaties in beginsel geen
algoritmen hanteren die te complex zijn om redelijkerwijs te kunnen worden uitgelegd,
in elk geval niet indien het gebruik van algoritmen rechtsgevolgen of een aanmerkelijke
impact heeft op burgers, bedrijven of (groepen in) de samenleving. Dit uitgangspunt
is neergelegd in de richtlijnen voor het gebruik van algoritmen door overheden11. Het kabinet wil zo transparant, consistent en controleerbaar mogelijk zijn bij de
geautomatiseerde uitvoering van wet- en regelgeving. Zo wordt gewerkt aan een algoritmeregister,
waarin begrijpelijke informatie wordt opgenomen over tenminste hoog risico algoritmes.
De Eerste Kamer is hierover begin dit jaar bij brief separaat geïnformeerd.12Met betrekking tot de uitlegbaarheid van algoritmes wijs ik ook graag op het volgende.
Eerder dit jaar heeft de Minister van Binnenlandse Zaken aan uw Kamer ter informatie
de preconsultatieversie van het wetsvoorstel versterking waarborgfunctie Awb toegezonden.13 Bij deze preconsultatie zijn enkele vragen voorgelegd over algoritmische besluitvorming
en hoe daarover gecommuniceerd wordt. Dit om van de aangeschreven partijen meer zicht
te krijgen op de huidige praktijk. Dit onderwerp is voorts nader verkend in een expertsessie.
Uiteraard wordt u hierover te zijner tijd nader geïnformeerd.
Zoals hiervoor aangegeven menen wij dat met artikel 40 UAVG niet op onaanvaardbare
wijze uitvoering wordt gegeven aan artikel 22 AVG. In lijn met de vereisten op grond
van deze bepalingen wordt veel in het werk gesteld om het gebruik van algoritmen bij
geautomatiseerde besluitvorming met zoveel mogelijk waarborgen te omkleden en zo transparant
mogelijk te laten zijn. Het denken hierover en de ervaringen in de praktijk staan
evenwel niet stil. Wij zullen alles overziend steeds bezien of de bestaande waarborgen
en lopende trajecten toereikend zijn om in alle fasen van besluitvorming de rechten
van de burgers voldoende te verzekeren en daarop zo nodig aanvullingen voorstellen.
Minderjarigen
De onderzoekers stellen dat in het voorstel voor de Verzamelwet gegevensbescherming
voor sommige toestemmingen de leeftijdsgrens wordt verlaagd naar 12 jaar. Dit is echter
niet het geval. Wel wordt in het voorstel voor de Verzamelwet de leeftijdsgrens voor
het intrekken van toestemming verlaagd naar 12 jaar, omdat die jongere niet afhankelijk zou moeten
zijn van toestemming van zijn wettelijk vertegenwoordiger om een einde te maken aan
de gegevensverwerking. Ook mogen kinderen van 12 jaar zelf eventueel de rechten van
de betrokkene uitoefenen. De leeftijd van 12 jaar wijkt af van de leeftijdsgrens van
13 jaar, die in artikel 8 van de AVG wordt genoemd bij een rechtstreeks aanbod van
diensten van de informatiemaatschappij, maar sluit goed aan bij de keuze in het Nederlands
recht om kinderen vanaf 12 jaar deels zelf en vanaf 16 jaar geheel zelfstandig persoonlijke
keuzes te laten maken.14 De keuze om de leeftijdsgrens van 12 jaar op te nemen wordt daarom gehandhaafd. Overigens
zijn in het verslag dat is uitgebracht naar aanleiding van de behandeling van de Verzamelwet
gegevensbescherming door verschillende Kamerleden vragen gesteld over deze bepaling.
In de nota naar aanleiding van het verslag zal bij de beantwoording van deze vragen
dan ook nog uitgebreider op deze materie worden ingegaan.
Handhaafbaarheid
Handhaafbare normen zijn duidelijke normen, stellen de onderzoekers, en een belangrijk
kenmerk van de normen uit de UAVG is dat ze niet heel duidelijk maar tamelijk open
zijn geformuleerd. Naar mijn mening leent de UAVG zich niet goed voor een andere systematiek.
Voor concrete normen per domein is sectorale materiewetgeving meer geëigend, zoals
ook overigens de voorkeur heeft van de Raad van State in het advies bij de Verzamelwet
gegevensbescherming15 en de onderzoekers ook als algemeen uitgangspunt aanbevelen.
De onderzoekers bevelen verder aan dat de toezichthouder een normenkader publiceert
dat houvast geeft voor het opstellen van sectorale gedragscodes. Wij onderschrijven
deze aanbeveling. Anders dan de onderzoekers zien wij echter niet dat een verplichting
daartoe in de UAVG de manier zou zijn om dit te realiseren. Zo’n verplichting zou
op gespannen voet staan met het onafhankelijke karakter van de toezichthouder. Hoewel
een duidelijk normenkader zonder meer nuttig is, is het aan de onafhankelijke toezichthouder
om te bepalen op welke wijze daaraan vorm en inhoud gegeven wordt.
Onderdeel 2: De meldplicht datalekken en de boetebevoegdheid in de praktijk
Met de evaluatie van deze instrumenten (die beide per 1 januari 2016 in de Wbp zijn
gevoegd en in werking getreden) wordt invulling gegeven aan de motie Schouw en Segers
uit 2015. De onderzoekers hebben het functioneren van beide instrumenten beoordeeld
aan de hand van interviews en praktijkonderzoek.
Algemeen
Over het toezichtsproces in zijn algemeenheid merken de onderzoekers op dat het lastig
is om uit de onderzochte casus duidelijke regelmatigheden te onderkennen. Er is naar
het oordeel van de onderzoekers geen eenduidigheid in het optreden van de toezichthouder,
in de zin dat dit bijvoorbeeld begint met informeel contact en via een aantal stappen
escaleert naar een handhavingsbesluit. De escalatieladder ziet er in de onderzochte
gevallen telkens anders uit. De onderzoekers valt op dat op het terrein van het gegevensbeschermingsrecht
sprake is van veel onduidelijkheid over de normen alsook veel onbegrip over het optreden
van de toezichthouder. De vaste bestuurspraktijk is er een waarbij de AP doorgaans
geen overleg voert, omdat het principe wordt gehanteerd dat de toezichthouder niet
onderhandelt. Tegelijk hebben ondertoezichtgestelden veelal behoefte aan normuitleg
en duiding. Contacten met de toezichthouder zouden, ook in handhavingszaken, tot veel
verheldering kunnen leiden en kunnen voorkomen dat toezichthouder en onder toezicht
gestelde in een verscherpte verhouding tegenover elkaar komen te staan, aldus de onderzoekers.
Het lijkt de onderzoekers daarom verstandig dat hiertoe beleid wordt ontwikkeld, zogenoemd
toezichtbeleid, dat in beleidsregels wordt opgenomen en dat op die manier kenbaar
is voor ondertoezichtgestelden. Het zou volgens hen denkbaar zijn dat in de UAVG wordt
voorgeschreven dat de toezichthouder beleidsregels bekendmaakt, waarbij in een voorafgaande
consultatieprocedure van belanghebbenden voorzien zou kunnen worden.
Terecht stellen de onderzoekers vast dat het van groot belang is voor het draagvlak
en de effectiviteit van het toezichtsproces dat daarover duidelijkheid en kenbaarheid
bestaat. Het is evenwel niet de wetgever maar in de eerste plaats aan de toezichthouder
om te reflecteren op deze aanbeveling. Het opnemen van een verplichting in de UAVG
voor de AP om beleidsregels bekend te maken, raakt aan de onafhankelijkheid van de
AP en is daarmee geen optie die nader zal worden verkend. Wel zal ik het belang van
een kenbaar toezichtskader onder de aandacht brengen van de AP.
De meldplicht datalekken
Over de werking van de meldplicht datalekken verwijzen de onderzoekers naar de door
de AP zelf in haar jaarverslag van 2021 reeds geuite zorg dat er nauwelijks capaciteit
is om ernstige datalekken te onderzoeken en dat ook meer in het algemeen veel meldingen
van datalekken niet opgepakt kunnen worden. Verder stellen de onderzoekers vast dat
de AP in een minderheid van de gevallen reageert op een melding. Ook is het de onderzoekers
opgevallen dat het tijdig melden van een datalek geen rol speelt bij het bepalen van
de boetehoogte, wat verwerkingsverantwoordelijken geen positieve prikkel zou geven
om eigener beweging een melding te doen, temeer nu de pakkans laag is in geval van
niet melden.
Uit het onderzoek komt tevens naar voren dat de AP zelf zoekt naar mogelijkheden om
haar toezicht op de meldplicht datalekken te verbeteren en haar capaciteit zo goed
mogelijk daarop in te zetten. In het Coalitieakkoord is extra budget voor de AP opgenomen
dat oploopt tot 8 miljoen euro structureel per jaar in 2025. De AP kan dit budget
naar eigen inzicht besteden over zijn taken. Het is niet aan het kabinet om hierin
te treden, omdat de AP onafhankelijk is in de wijze waarop zij haar taken en bevoegdheden
uitoefent.
De boetebevoegdheid
Ten aanzien van de boetebevoegdheid van de AP stellen de onderzoekers vast dat beleidsregels
waarin het toezichts- en handhavingsbeleid is vastgelegd ontbreken en dat daardoor
geen sprake is van kenbaar beleid op dit punt. Met name is onduidelijk op welke wijze
de toezichthouder een escalatiestrategie toepast. Dit punt kwam ook al terug in de
bevindingen met betrekking tot het toezichtsproces in zijn algemeenheid. Voorts is
niet inzichtelijk hoe het beleid over de matiging van boetes in de praktijk wordt
toegepast.
De rechtszekerheid heeft zonder meer baat bij een zekere mate van voorspelbaarheid
inzake het opleggen van een administratieve boete. Het moet voor iedereen duidelijk
zijn op welke consistente gronden dit gebeurt en hoe in verschillende situaties met
de wegingscriteria wordt omgegaan. Zoals gezegd is het aan de AP zelf om te bepalen
welke opvolging aan de aanbevelingen van de onderzoekers zal worden gegeven. De toezichthouder
heeft hier een autonome afwegingsruimte waarin ik niet kan treden.
Voorts memoreren de onderzoekers dat er geen beleid is gepubliceerd door de AP met
betrekking tot het publiceren van handhavingsbesluiten. Publicatie zou volgens de
onderzoekers de normnaleving kunnen bevorderen en de preventieve werking dienen. De
wetgever heeft de toezichthouder tot op heden ook niet verplicht boetebesluiten te
publiceren, aldus de onderzoekers.
Ook voor het opleggen van deze verplichting laat de eerdergenoemde zelfstandigheid
van de AP geen ruimte. Wel is het belang evident van het punt dat de onderzoekers
naar voren brengen. Ik zal ook hierover met de AP in gesprek gaan.
Tot slot pleiten de onderzoekers ervoor om in de UAVG de verplichting op te nemen
dat boetebesluiten jegens bestuursorganen, door de AP openbaar worden gemaakt. Dat
zou kunnen bijdragen aan het aanhouden van een consistente lijn rondom openbaarmaking
van sancties en dienend zijn aan het belang dat met openmaking daarvan gemoeid is.
Bovendien geven openbaar gemaakte sancties inzicht in hoe bepaalde open normen in
de praktijk door de toezichthouder worden toegepast en kan (de dreiging van) openbaarmaking
bijdragen aan de beoogde generale preventieve werking van boetes.
In de eerdergenoemde brief van 23 januari 2023 heeft de AP eveneens gepleit voor een
plicht tot openbaarmaking van sancties in de UAVG. Zij verwijst naar de bijzondere
openbaarmakingsplichten die andere toezichthouders zoals de ACM, AFM en DNB hebben
voor sancties. De AP verwijst naar de mededeling van de toenmalige Minister voor Rechtsbescherming
dat het – gelet op het beleidsneutrale karakter ervan – tijdens de totstandkoming
van de UAVG niet voor de hand lag om dit in de UAVG op te nemen en het bovendien in
de rede lag om dit onderwerp nader te bezien als er duidelijkheid was over de voortgang
van het initiatiefwetsvoorstel Wet open overheid (hierna: Woo). De Woo is per 1 mei
2022 in werking getreden, zodat het volgens de AP voor de hand ligt om te kijken naar
de wenselijkheid van wijziging van de UAVG op dit punt en om ook voor de AP in de
wet een verplichting tot openbaarmaking van sancties op te nemen. Ik zal de aanbeveling
van de onderzoekers en het voorstel van de AP in onderlinge samenhang nader onderzoeken.
Tot slot stellen de onderzoekers dat de Functionarissen Gegevensbescherming (FG) nog
te weinig een speler zijn in een handhavingscasus. Wanneer de FG de vooruitgeschoven
post zou zijn van de AP past daarbij ook een speciale relatie met de externe toezichthouder,
stelt het onderzoek. De AP heeft op 24 juni 202116 uitgangspunten gepubliceerd voor het inrichten van sterk intern toezicht. In dit
document wordt op onderdelen ook stilgestaan bij de relatie tussen de AP en FG’s.
Daarmee wordt in belangrijke mate tegemoetgekomen aan de wens van de onderzoekers.
Conclusie
Het onderzoek geeft een goed beeld van de manier waarop de UAVG in de praktijk wordt
toegepast, alsook in welke mate de meldplicht datalekken wordt nageleefd en in hoeverre
de boetebevoegdheid van de toezichthouder bijdraagt aan een doelmatige en doeltreffende
uitvoering en handhaving van de AVG. De onderzoekers concluderen dat de UAVG in beperkte
mate toegevoegde inhoudelijke waarde heeft ten opzichte van de AVG, vanwege de beperkte
tijd die voor de totstandkoming beschikbaar was en de keuze voor een «beleidsneutrale»
omzetting van de bestaande normen die destijds is gemaakt. Tegelijk volgt uit de interviews
die de onderzoekers hebben afgenomen dat professionals over het algemeen goed uit
de voeten kunnen met de UAVG.
De onderzoekers doen enkele voorstellen om de UAVG uit te breiden. Enkele daarvan
zijn reeds meegenomen bij het wetsvoorstel Verzamelwet Gegevensbescherming, zoals
biometrische gegevensverwerking en de positie van minderjarigen. Andere voorstellen
zullen nader worden onderzocht op wenselijkheid en haalbaarheid en in samenhang worden
bekeken met de voorstellen die de AP in haar brief van 23 januari 2023 heeft gedaan
en mogelijk andere wenselijke aanpassingen van de UAVG in de toekomst.
De Minister voor Rechtsbescherming, F.M. Weerwind
Ondertekenaars
F.M. Weerwind, minister voor Rechtsbescherming