In een recente kamerbrief heeft de Minister voor Rechtsbescherming gereageerd op diverse (vermeende) knelpunten in de privacywetgeving, de AVG geëvalueerd en enkele wijzigingen in de UAVG aangekondigd. In deze blog een samenvatting.
Veel misverstanden niet terecht, betere voorlichting
In de brief stelt de minister dat er veel misverstanden zouden zijn die met betere voorlichting kunnen worden verholpen. Een voorbeeld hiervan is het bewaren van identiteitsgegevens en andere documenten: dit is veelal - soms met inachtneming van enkele waarborgen - wel toegestaan. De Minister zegt toe dat de voorlichting van de verschillende ministeries hierover in lijn wordt gebracht.
Mogelijke wijzigingen op terrein arbeidsrecht
De minister geeft verder aan dat door de collega's van Sociale Zaken en Werkgelegenheid (SWZ) overleg wordt gevoerd met de sociale partners over het afnemen van alcohol- en drugstesten. Ook wordt er gesproken over de ervaringen rondom de strenge regels rondom zieke werknemers en het gebruik van biometrische gegevens voor het tegengaan van fraude. Voor het einde van het jaar wordt de kamer geinformeerd over de voortgang.
Concrete wijzigingen ingediend in Q1 2020
In het eerste kwartaal van 2020 komt de minister met een wetsvoorstel voor enkele concrete wijzigingen:
- de verwerking van bijzondere categorieën persoonsgegevens door accountants ter uitvoering van hun wettelijke controletaken;
- toepassing van biometrie voor de identificatie van personen in het belang van een rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten';
- verwerking van bijzondere categorieën van persoonsgegevens door het Huis voor klokkenluiders ter uitvoering van de wettelijke advies- en onderzoekstaken, zoals gegevens over discriminatie en achterstelling of benadeling wegens afkomst, religie of seksuele geaardheid, en
- verwerking van gezondheidsgegevens door patiëntenverenigingen voor intern gebruik in bijvoorbeeld hun ledenbestand.
Met punt 1 wordt in feite erkend dat accountants bij de uitvoering van wettelijke controletaken geen verwerker, maar verwerkingsverantwoordelijke zijn. De accountants worden dus erkend in hun pleidooi.
Punt 2 is opgenomen omdat tijdens een ambtelijk gesprek met de EC zou zijn gebleken dat het huidige artikel 29 UAVG niet voldoende scherp zou zijn verwoord.
Punt 4 laat goed zien dat de AVG op sommige punten wonderlijk streng geformuleerd is. Artikel 9 lid 2 sub d AVG laat al toe dat instanties zonder winstoogmerk (zoals verenigingen) bijzondere persoonsgegevens verwerken, maar alleen als die instanties op "politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied" werkzaam zijn. Andersoortige bijzondere persoonsgegevens vallen hier dus buiten. Dat wordt nu kennelijk nationaal gecorrigeerd.
Mogelijke andere wijzigingen waarover nog overleg wordt gevoerd
De Minister kondigt verder aan dat er over de volgende onderwerpen nog overleg wordt gevoerd. Mogelijk dat dit overleg ertoe leidt dat de wet ook op deze punten wordt aangepast.
- gebruik van het BIG-nummer buiten de Wet BIG ten behoeve van bijvoorbeeld na- en bijscholing;
- een adequate grondslag voor profilering door banken ter voorkoming van witwassen en fraude;
- een verplichting voor uitleners van personeel of onderaannemers om aan de opdrachtgever de gegevens te verstrekken die noodzakelijk zijn om gebruik te kunnen maken van vrijwarende betaling via een zogenoemde g-rekening,;
- cross-sectorale gegevensdeling te behoeve van de bestrijding van fraude;
- uitbreiding van de uitzonderingen die gelden voor archiefbewaarplaatsen met betrekking tot bepaalde verplichtingen uit de AVG tot ook andere maatschappelijk relevante archieven;
- delen van gegevens over verkeersboetes ten behoeve van het verhalen van deze boetes op de berijder door autoleasemaatschappijen e.a., en
- gebruik van het BSN-nummer door ondernemers, meer in het bijzonder door banken e.a. voor het uitoefenen van de poortwachtersfunctie bij het voorkomen van witwassen.
Ad. 2. Banken zijn verplicht onder meer verdachte transacties te blokkeren. Het is volgens de regering onduidelijk of dat kwalificeert als geautomatiseerde besluitvorming. Hoe dan ook meent de regering dat bestaande wetgeving hiervoor niettemin al voldoende grondslag biedt.
Ad. 7. VNO-NCW en MKB-Nederland hebben er voor gepleit minder strikt om te gaan met het BSN-nummer en er daarbij op gewezen dat in bijvoorbeeld Zweden hiervoor oplossingen zijn gevonden. De regering begrijpt die behoefte en gaat hierover nader het gesprek aan.
Onderwerpen waarover verder wordt gesproken
Verder zijn er enkele onderwerpen waarover wordt gesproken en waarvan de Minister vooralsnog denkt dat de oplossing buiten wetgeving kan worden gevonden. Het betreft de volgende onderwerpen:
- registratie van zorgen over de (geestelijke) gezondheidstoestand door financiële instellingen in het kader van de op hen rustende zorgplicht voor kwetsbare groepen;
- de aansprakelijkheid voor aan privacy gerelateerde schade en het doorbelasten van boetes aan verwerkers opgelegd door de AP;
- wetenschappelijk onderzoek waarbij gebruik wordt gemaakt van grote al bestaande datasets, in relatie tot het toestemmingsvereiste;
- meer duidelijkheid en rechtszekerheid bij relatief eenvoudige “standaardverwerkingen” voor kleinere verwerkingsverantwoordelijken; en
- verduidelijking van de verhouding van de Archiefwet tot de AVG.
Ad. 1. Financiële instellingen hebben een zorgplicht. Die kan zo ver strekken dat vermoedens van (geestelijke) ziektes worden vastgelegd, om zodoende de klant te behoeden voor domme beslissingen. Daarmee worden echter bijzondere persoonsgegevens verwerkt, hetgeen onder de AVG niet is toegestaan. De regering schrijft dat ze van mening is dat de systematiek van onder curatele stellen afdoende zou moeten zijn, maar ze gaat niettemin het gesprek verder aan. Dat lijkt me goed, nu een onder curatelestelling vaak niet "zomaar" wordt aangevraagd terwijl anderzijds zorgplichten wel steeds ruimer worden uitgelegd.
Ad. 2. Er zijn grote zorgen bij het bedrijfsleven over het doorbelasten van boetes aan verwerkers. De regering licht in de brief toe dat zij in de eigen inkoopvoorwaarden ervoor heeft gekozen de aansprakelijkheid voor verwerkers niet te beperken nu het een grondrecht betreft. Tegelijkertijd benadrukt de regering dat van aansprakelijkheid alleen sprake kan zijn bij toerekenbaar tekort schieten. De toelichting op de eigen inkoopvoorwaarden is op dit punt aangepast. De onzekerheid blijft echter, zodat hierover nader overleg volgt. Ook het standpunt van NLdigital dat de Autoriteit Persoonsgegevens zowel de verwerkingsverantwoordelijke als de verwerker een boete kan opleggen en dat uit die keuze al volgt wie er (volgens de AP) meest verwijtbaar zou hebben gehandeld, wordt nader besproken.
Ad. 4. Uit de toelichting blijkt dat er vanuit allerlei kanten wordt gepleit voor een soort richtlijn voor veelvoorkomende verwerkingen. De brief ademt echter ook dat dit pleidooi vermoedelijk niet wordt overgenomen. Met goede voorlichting zou hetzelfde bereikt moeten kunnen worden.
Evaluatiepunten AVG ingebracht door de regering bij de Europese Commissie
In de brief vermeldt de minister ook enkele onderwerpen die als evaluatie van de AVG onder de aandacht van de Europese Commisie zijn gebracht. Het betreft de volgende punten:
- verlichting van de registerplicht voor kleine bedrijven om de lasten voor deze bedrijven te verminderen;
- vermijden van extraterritoriale werking van nationale uitvoeringswetten om te voorkomen dat voor internationaal werkende ondernemingen opnieuw een lappendeken van wetgeving ontstaat;
- uniformering van de leeftijdsgrens waarop kinderen binnen de EU toestemming voor het verwerking van hun persoonsgegevens kunnen geven teneinde in deze wereld van grensoverschrijdend dataverkeer de complexiteit voor zowel bedrijven als voor ouders en kinderen te verminderen;
- onderzoek naar mogelijkheden om de datamacht van grote techbedrijven via de AVG verder te beteugelen door bijvoorbeeld uitbreiding van de mogelijkheden van dataportabiliteit en eventuele introductie van nieuwe
instrumenten voor toezicht door de Autoriteit persoonsgegevens; - explicitering van het facultatieve karakter van een toezichthouder bij gebruik van een gedragscode;
- bevorderen dat certificering waar mogelijk op het niveau van de EU plaatsvindt en certificering op nationaal niveau alleen als dat daadwerkelijk meerwaarde heeft, en
- bevorderen dat er één uniform formulier wordt ontwikkeld ten behoeve van het melden van datalekken bij de verschillende toezichthoudende autoriteiten van de lidstaten.
Ten slotte
Tot zover de samenvatting van de brief van de minister. We wachten het daadwerkelijke wetsvoorstel af en houden u op de hoogte.