Het wetsvoorstel voor de Uitvoeringswet AVG (UAVG) is gepubliceerd op Rijksoverheid.nl. Veel van de huidige Wet bescherming persoonsgegevens komt terug, maar er zijn verschillen.
Nationale wet naast Europese verordening
De Algemene Verordening Gegevensbescherming (AVG) is een verordening en werkt dus op zichzelf rechtstreeks (een soort "Europese wet"). Om meerdere redenen was er niettemin een bijbehorende Nederlandse wet nodig:
- om het bestaan en de positie van de Autoriteit Persoonsgegevens te regelen;
- om (grote!) keuzeruimte die de AVG laat in te vullen, bijvoorbeeld ten aanzien van bijzondere persoonsgegevens;
- om de bestaande Wbp in te trekken.
In deze blog licht ik een paar zaken er uit die me bij eerste lezing opvallen.
Ruimer toepassingsbereik dan AVG
De AVG is (wat grofweg samengevat) van toepassing wanneer een verwerking van persoonsgegevens binnen de sfeer van het Unierecht valt. Je kunt daardoor dus in (voor juristen interessante) discussies terechtkomen over de grenzen van dat Unierecht.
De Nederlandse wetgever maakt echter een pragmatische keuze. In de UAVG is in artikel 3 bepaald dat de wet ook van toepassing is op verwerkingen van persoonsgegevens die buiten de werkingsfeer van het Unierecht vallen. Dat maakt de UAVG een nog universelere privacywet. Want dankzij de UAVG is in Nederland de AVG altijd relevant bij de verwerking van persoonsgegevens (direct of van overeenkomstige toepassing).
Territoriale reikwijdte
Iedereen die zich in Nederland bevindt en persoonsgegevens verwerkt heeft straks met de UAVG te maken. Ook al worden alleen persoonsgegevens van buitenlanders verwerkt (bijv. bij internationale hosting).
Artikel 4 UAVG kiest namelijk voor een "simpel" territoriaal toepassingsbereik: aanwezig zijn in Nederland is voldoende. Dat is een afwijking van het huidige stelsel, waarbij juist de consument altijd met zijn lokale privacyrecht te maken heeft.
Ik kan me vergissen, maar volgens mij is dit vragen om lastige puzzels (zoals eerder geblogd). Zeker wanneer ook andere landen voor dat stelsel kiezen, kan dit ertoe leiden dat de ruimte die de verordening biedt voor afwijkingen in nationaal recht opportunistisch wordt ingevuld met "forumshoppen".
Simpeler gezegd: stel dat de Nederlandse wetgeving soepeler is dan de Duitse wet inzake de verwerking van medische gegevens, dan kan het dus aantrekkelijk worden voor Duitse bedrijven om zich hier te vestigen. Of de Duitse toezichthouder daar blij mee zal zijn is natuurlijk maar de vraag.
Ook overheden kunnen boetes krijgen
De "broekzak-vestzak"-discussie die je er over kunt voeren daargelaten, artikel 18 UAVG is duidelijk: ook overheden kunnen straks boetes krijgen. Gelet op de voorbeeldfunctie die de overheid heeft, en het handhavingsverleden van de AP, lijkt het dan ook voor de hand te liggen dat de eerste boetes naar overheden gaan. Van wie anders mag je naleving van de wet verwachten?
Bijzondere persoonsgegevens lijkt sterk op Wbp
Het regime voor de verwerking van bijzondere persoonsgegevens (artikel 22 e.v.) lijkt bij eerste indruk sterk op dat van de Wbp.
Opmerkelijk is dat de verwerking van biometrische gegevens - een nieuw soort bijzonder persoonsgegevens - is toegestaan, zolang het maar voor authenticatie of beveilingsdoeleinden gebeurt. De in de praktijk belangrijkste grond om dergelijke biometrische gegevens te verwerken is dus gewoon toegestaan. Het bijzondere persoonsgegevens wordt zo bijna een gewoon persoonsgegevens.
Verder valt op dat er nu twee artikelen zijn met algemene uitzonderingen: artikel 22 voor bijzondere persoonsgegevens en artikel 32 voor strafrechtelijke persoonsgegevens. Die laatste kent een uitgebreidere lijst van uitzonderingen. De overheid lijkt zichzelf hier dus wat meer ruimte toe te kennen.
De eerste boete wordt helemaal uitgeprocedeerd
In artikel 38 UAVG staat dat de werking van een besluit tot het opleggen van boete wordt opgeschort totdat op het beroep is beslist. Hoewel het er niet letterlijk staat, vermoed ik dat ook schorsende werking tot na afloop van het hoger beroep is gedoeld. Dit is een extra wettelijke prikkel om een boetebesluit aan te vechten (nog los van het gegeven dat niemand graag boetes zal willen betalen). Zolang de boete "onder de rechter is", wordt deze immers niet geïncasseerd.
Het is ook aantrekkelijk om het besluit tot aan de hoogste rechter uit te vechten. Zeker wanneer de AP bij een boetebesluit de wet ruim uitleg (zoals nog wel eens gebeurt), terwijl er nota bene tot in den treure onderhandeld is over de AVG (hetgeen juist pleit voor precies lezen van die AVG, over ieder woordje is gesoebat), ligt het voor de hand dat er dan uiteindelijk door de Nederlandse rechter prejudiciële vragen aan het Hof in Luxemburg worden gesteld.En bij het Hof van Justitie verwacht ik, afhankelijk van hoe de prejudiciële vraag wordt geformuleerd, toch eerder een meer holistische kijk op privacy (in samenhang met andere grondrechten en beginselen) dan bij de AP.
Of korter gezegd: hoe ruimer de AP de wet blijft uitleggen, hoe groter de kans op succes bij het aanvechten van boetes. De AP schiet zichzelf daarmee dus spreekwoordelijk in de voet.
Ruimte voor wettelijke verplichte profilering
In artikel 40 UAVG staat dat het verbod om mensen te onderwerpen aan geautomatiseerde besluitvorming niet geldt indien de wet dat verplicht stelt. De overheid bouwt hier dus ruimte in voor eigen 'big data' toepassingen.
Een beetje flauw is vervolgens wel weer dat de verantwoordelijk dan zelf "passende maatregelen" moet treffen (lid 2). Het is wat mij betreft kiezen of delen: als je als wetgever een partij verplicht stelt persoonsgegevens te verwerken, zorg dan als wetgever zelf voor die passende waarborgen. Van een overheid mag rechtszekerheid worden verwacht: als een verwerking wettelijke verplicht is, voorkom dan dat er nog ruis kan ontstaan hoe daar uitvoering aan moet worden gegeven.
Het BSN-verbod blijft gehandhaafd
Net als onder de Wbp mag het BSN onder de UAVG straks alleen worden verwerkt binnen de kaders van de wet (artikel 46 UAVG). Een van onze populairdere blogberichten over het gebruik van BSN-nummers blijft dus nog wel even relevant.
Beperking rechten indien andere wet het al regelt
Artikel 47 UAVG bepaalt dat de rechten die de AVG toekent (zoals inzagerecht) niet gelden bij de bij wet ingestelde openbare registers, wanneer in die specifieke wet al een procedure is voor uitoefening van die rechten. Ik vraag me af of de AVG hiertoe wel de ruimte biedt. Op het eerste gezicht kan ik dit althans lastig verenigen met de ruimte voor uitzonderingen zoals die in artikel 23 AVG staat. Het zou ook tot tegenstrijdige beslissingen kunnen leiden, terwijl de AVG nu juist o.m. bedoeld is voor uniformiteit.
Tot zover...
Tot zover even voor dit moment. Er komen ongetwijfeld nog wel meer blogs over de UAVG aan. Ik duik hier nog veel verder in.
Vragen?
Heeft u vragen over privacyrecht? Neem dan contact met mij of een van de collega's op.