Uitvoeringswet Algemene verordening gegevensbescherming ¶
Wet van 16 mei 2018, houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming)
Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.
Allen, die deze zullen zien of horen lezen, saluut! doen te weten:
Alzo Wij in overweging genomen hebben, dat het noodzakelijk is te voorzien in wettelijke regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119);
Gelet op artikel 10, tweede en derde lid, van de Grondwet;
Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:
Hoofdstuk 1. Algemene bepalingen¶
Artikel 1¶
Definities¶
- In deze wet en de daarop berustende bepalingen wordt verstaan onder:
-
bijzondere categorieën van persoonsgegevens: de categorieën van persoonsgegevens, bedoeld in artikel 9, eerste lid, van de verordening
-
Onze Minister: Onze Minister voor Rechtsbescherming;
-
persoonsgegevens van strafrechtelijke aard: persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen als bedoeld in artikel 10 van de verordening, alsmede persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag;
-
verordening: verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119).
Memorie van Toelichting - Toelichting op art. 1 UAVG
In dit artikel zijn enkele definities opgenomen, die voor de Uitvoeringswet van belang zijn. Daarnaast gelden definities zoals opgenomen in artikel 4 van de verordening uiteraard rechtstreeks. Over de definitie van persoonsgegevens van strafrechtelijke aard kan het volgende worden opgemerkt. Dit begrip bevat twee verschillende elementen. In de eerste plaats vallen hieronder de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen als bedoeld in artikel 10 van de verordening. De Wbp stelt hiermee op één lijn persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag. Dit wordt voortgezet in de Uitvoeringswet door ook deze gegevens onderdeel te laten zijn van de definitie van persoonsgegevens van strafrechtelijke aard. De verordening biedt deze ruimte.
Artikel 2¶
Materiële reikwijdte¶
-
Deze wet en de daarop berustende bepalingen zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
-
In afwijking van het eerste lid, is deze wet niet van toepassing op de verwerking van persoonsgegevens voor zover daarop de Wet basisregistratie personen, de Kieswet of de Wet raadgevend referendum van toepassing is.
-
Behoudens het bepaalde in artikel 3, is deze wet niet van toepassing op de verwerking van persoonsgegevens, bedoeld in artikel 2, tweede lid, van de verordening.
Memorie van Toelichting - Toelichting op art. 2 UAVG
Dit artikel bepaalt het materiële toepassingsbereik van de Uitvoeringswet. De wet is, als hoofdregel, van toepassing in alle gevallen, waarin de verordening ook van toepassing is. De verordening kent in artikel 2, eerste lid, een omschrijving van het materiële toepassingsbereik. In het eerste lid van dat artikel wordt het toepassingsbereik omschreven. Deze omschrijving is overgenomen in artikel 2, eerste lid, van de Uitvoeringswet. Artikel 2, tweede lid, van de verordening bevat een limitatief aantal uitzonderingen op de werkingssfeer van de verordening. Deze uitzonderingen gelden ook voor de Uitvoeringswet (artikel 2, derde lid), behoudens het bepaalde in artikel 3 van deze wet (zie hierna).
Het materiële toepassingsbereik van de verordening zoals omschreven in artikel 2 van de verordening wordt toegelicht in paragraaf 2.2 van het algemene deel van deze toelichting. Hetgeen daar is toegelicht is van overeenkomstige toepassing op artikel 2 , eerste en derde lid, van de Uitvoeringswet.
Op grond van artikel 2 , tweede lid, van de Uitvoeringswet is deze wet niet van toepassing op de verwerking van persoonsgegevens die is geregeld bij of krachtens de Wet basisregistratie personen, de Kieswet of de Wet raadgevend referendum. In die wetten zal zelfstandige uitvoering worden gegeven aan de verordening, gelet op de bijzondere context waarin de verwerking van persoonsgegevens plaatsvindt. De Wet basisregistratie personen en de Kieswet gelden nu ook als specifieke implementatiewetgeving van richtlijn 95/46/EG.
Artikel 2a¶
Inachtneming behoeften kleine, middelgrote en micro-ondernemingen¶
De Autoriteit persoonsgegevens neemt bij de toepassing van de verordening de specifieke behoeften van kleine, middelgrote en micro-ondernemingen als bedoeld in artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PbEU 2003 L124) in aanmerking.
Artikel 3¶
Schakelbepaling verwerkingen buiten werkingssfeer verordening¶
-
Deze wet en de daarop berustende bepalingen zijn mede van toepassing op de verwerking van persoonsgegevens:
a. | in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;
b. | door de krijgsmacht bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, van het Verdrag betreffende de Europese Unie vallen.
-
De verordening is van overeenkomstige toepassing op de verwerking van persoonsgegevens, bedoeld in het eerste lid.
-
Het eerste en het tweede lid zijn niet van toepassing op:
a. | de verwerking van persoonsgegevens door de krijgsmacht, voor zover Onze Minister van Defensie daartoe beslist met het oog op de inzet of het ter beschikking stellen van de krijgsmacht ter uitvoering van de in artikel 97 van de Grondwet omschreven taken;
b. | de verwerking van persoonsgegevens voor zover daarop de Wet op de inlichtingen- en veiligheidsdiensten 2017 van toepassing is.
-
Van een besluit als bedoeld in het derde lid, onderdeel a, wordt zo spoedig mogelijk mededeling gedaan aan de Autoriteit persoonsgegevens.
Memorie van Toelichting - Toelichting op art. 3 UAVG
Op grond van artikel 2, tweede lid, onderdeel a, van de verordening is de verordening niet van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen. Hetzelfde geldt voor de Uitvoeringswet (zie artikel 3, eerste lid, onderdeel a, van dit wetsvoorstel). In paragraaf 2.2 van het algemene deel van de toelichting is uiteengezet dat dit betekent dat alleen gegevensverwerkingen die in hun geheel zijn uitgezonderd van de werking van het Europees recht, buiten de materiële werkingssfeer van de verordening vallen. De regering gaat er vooralsnog van uit dat dit alleen geldt voor verwerkingen in het kader van de Wet op de inlichtingen- en veiligheidsdiensten 2002, die naar verwachting 1 mei 2 018 zal worden vervangen door de Wet op de inlichtingen- en veiligheidsdiensten 2017, en verwerkingen door de krijgsmacht ten behoeve van de uitvoering van haar taken, bedoeld in artikel 97 van de Grondwet (de verdediging en bescherming van de belangen van het Koninkrijk en de handhaving en bevordering van de internationale rechtsorde). Voor de volledigheid kan nog worden opgemerkt dat de verwerking van persoonsgegevens door de krijgsmacht ten behoeve van de uitvoering van taken op het gebied van het gemeenschappelijk veiligheidsbeleid van de Unie is uitgezonderd op grond van artikel 2, tweede lid, onderdeel b, van de verordening.
Het kan niet bij voorbaat worden uitgesloten dat er toch nog andere dan de hiervoor genoemde verwerkingen bestaan die onder uitzonderingsgrond van artikel 2, tweede lid, onderdeel a, van de verordening vallen. Om te voorkomen dat op dergelijke verwerkingen in het geheel geen regels omtrent de bescherming van de persoonlijke levenssfeer van toepassing zouden zijn, worden de Uitvoeringswet en de verordening op deze verwerkingen respectievelijk van toepassing en van overeenkomstige toepassing verklaard (artikel 3 van de Uitvoeringswet). Dit geldt uiteraard niet voor verwerkingen in het kader van de Wet op de inlichtingen- en veiligheidsdiensten 2002.
Zoals hierboven aangegeven zijn gegevensverwerkingen in het kader van inzet van de krijgsmacht op basis van artikel 2 van de verordening uitgesloten van de reikwijdte van de verordening. Het is desalniettemin wenselijk dat op verwerkingen door de krijgsmacht ten behoeve van de uitvoering van haar taken, bedoeld in artikel 97 van de Grondwet, de Uitvoeringswet en de verordening in beginsel wel van toepassing onderscheidenlijk van overeenkomstige toepassing zijn.
Hiermee wordt de huidige in de Wbp vervatte lijn (artikel 2, derde lid, van de Wbp) voortgezet dat ook in geval van inzet of het ter beschikking stellen van de krijgsmacht waar mogelijk de algemene beginselen voor de verwerking van persoonsgegevens in acht worden genomen. Er moet evenwel een mogelijkheid zijn om af te wijken, omdat bij inzet in internationale militaire operaties niet altijd kan worden gevergd dat alle bepalingen onverkort worden toegepast. De omstandigheden waarin de krijgsmacht soms moet functioneren, laten dat niet altijd toe. Hierom is het wenselijk om de Minister van Defensie de bevoegdheid te geven om hierop een uitzondering te maken als er sprake is van daadwerkelijke operationele inzet van de krijgsmacht. In de huidige in de Wbp vervatte regeling wordt de uitzonderingsmogelijkheid gerelateerd aan de inzet of het ter beschikking stellen van de krijgsmacht ter handhaving en bevordering van de internationale rechtsorde. Ingevolge artikel 97 Grondwet kan inzet of het ter beschikking stellen van de krijgsmacht zich ook voordoen in het kader van de (bondgenootschappelijke) verdediging. Gelet daarop is er bij de formulering van artikel 3 van de Uitvoeringswet voor gekozen te verwijzen naar de in artikel 97 van de Grondwet omschreven taken van de krijgsmacht.
Artikel 4¶
Territoriale reikwijdte¶
-
Deze wet en de daarop berustende bepalingen zijn van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in Nederland.
-
Deze wet en de daarop berustende bepalingen zijn van toepassing op verwerking van persoonsgegevens van betrokkenen die zich in Nederland bevinden door een niet in de Europese Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:
a. | het aanbieden van goederen of diensten aan deze betrokkenen in Nederland, ongeacht of een betaling door de betrokkenen is vereist; of
b. | het monitoren van hun gedrag, voor zover dit gedrag in Nederland plaatsvindt.
Memorie van Toelichting - Toelichting op art. 4 UAVG
Dit artikel bepaalt de territoriale reikwijdte van de Uitvoeringswet. De verordening voorziet zelf voor een belangrijk deel in het bepalen van de territoriale reikwijdte in artikel 3 van de verordening. Artikel 3 , eerste lid, van de verordening verklaart de verordening van toepassing op verwerkingsverantwoordelijken en verwerkers die gevestigd zijn in de Unie. Dit is overeenkomstig richtlijn 95/46/EG en de Wbp. Een substantieel verschil ten opzichte van richtlijn 95/46/EG en de Wbp is, ingevolge artikel 3, tweede lid, van de verordening, dat de verordening ook van toepassing is op verwerkingsverantwoordelijken die goederen of diensten aanbieden aan betrokkenen binnen de Unie of hun gedrag binnen de Unie monitoren. Hiermee kan de verordening ook van toepassing zijn op verwerkingsverantwoordelijken en verwerkers die zelf buiten de Unie zijn gevestigd. Artikel 3 , derde lid, van de verordening bepaalt ten slotte dat de verordening van toepassing is bij verwerkingen op een plaats waar krachtens internationaal publiekrecht het recht van een van de lidstaten van toepassing is.
Op zichzelf volgt het territoriaal toepassingsbereik van de verordening rechtstreeks uit de verordening, en behoeft dit geen omzetting in nationaal recht. De verordening bevat echter logischerwijs geen afbakening van de territoriale reikwijdte van het lidstatelijk recht dat is gebaseerd op de verordening. Daartoe is in de Uitvoeringswet artikel 4 opgenomen. Dit is met name van belang, nu de lidstaten op een aantal terreinen bevoegdheden hebben om in de nationale wet uitzonderingen op de verordening of specifieke onderdelen van de verordening te maken. Men denke hierbij aan bijvoorbeeld de specifiek nationale regelgeving met betrekking tot genetische gegevens, specifieke uitzonderingen voor wetenschappelijk onderzoek, of de beperkingen op grond van artikel 23 van de verordening. In de invulling van deze nationale ruimte kunnen en zullen verschillen ontstaan tussen verschillende lidstaten, waardoor het van belang is om te weten welk recht van toepassing is.
De huidige Wbp kent alleen de vestigingsplaats van de verantwoordelijke en de bewerker als aanknopingspunt voor territoriale toepassing. Het ligt voor de hand om dit te continueren voor de Uitvoeringswet. Dit sluit ook aan bij de hoofdregel inzake de competentie van de toezichthoudende autoriteit in artikel 55 van de verordening. De hoofdregel in deze is dat de toezichthoudende autoriteit competentie heeft op het grondgebied van haar lidstaat. Daarnaast wordt in het tweede lid van artikel 4 bepaald dat de Uitvoeringswet van toepassing is op verwerkingsverantwoordelijken en verwerkers die zelf buiten de Unie zijn gevestigd maar die goederen of diensten aanbieden in Nederland (ongeacht of een betaling door de betrokkenen is vereist) of die gedrag dat in Nederland plaatsvindt monitoren.
In de onderstaande tabel wordt het territoriale toepassingsbereik weergegeven voor een aantal verschillende casusposities.1
Vestigingsplaats verwerker/verwerkings- verantwoordelijke | Woonplaats betrokkene of plaats gedragingen van betrokkene | Toepasselijk recht zoals volgend uit de verordening en de Uitvoeringswet |
---|---|---|
Buiten de Unie | Buiten Nederland, buiten de Unie | Verordening niet van toepassing |
Buiten de Unie | Buiten Nederland, binnen een andere lidstaat dan Nederland | Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere lidstaat van toepassing |
Buiten de Unie | Binnen Nederland | Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing |
Binnen de Unie, in een andere lidstaat dan Nederland | Binnen de Unie, in deze andere lidstaat dan Nederland | Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere nationale lidstaat waar de verwerkingsverantwoordelijke /verwerker is gevestigd, is van toepassing |
Binnen de Unie, in een andere lidstaat dan Nederland | Binnen Nederland | Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere nationale lidstaat van toepassing |
Binnen de Unie, in een andere lidstaat dan Nederland | Buiten de Unie | Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere nationale lidstaat van toepassing |
Binnen Nederland | Binnen Nederland | Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing |
Binnen Nederland | In een andere lidstaat dan Nederland | Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing |
Binnen Nederland | Buiten de Unie | Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing |
Artikel 5¶
Toestemming van wettelijk vertegenwoordiger¶
-
Indien artikel 8 van de verordening niet van toepassing is, is in de plaats van de toestemming van de betrokkene die van zijn wettelijk vertegenwoordiger vereist indien de betrokkene de leeftijd van zestien jaren nog niet heeft bereikt.
-
Indien de betrokkene onder curatele is gesteld, dan wel ten behoeve van de betrokkene een bewind of mentorschap is ingesteld, is, voor zover het een aangelegenheid betreft waarvoor de betrokkene onbekwaam dan wel onbevoegd is, in de plaats van de toestemming van de betrokkene die van zijn wettelijk vertegenwoordiger vereist.
-
Toestemming kan door de wettelijk vertegenwoordiger van de betrokkene te allen tijde worden ingetrokken.
-
De rechten van de betrokkene, bedoeld in hoofdstuk III van de verordening, worden ten aanzien van betrokkenen die de leeftijd van zestien jaren nog niet hebben bereikt, ten aanzien van onder curatele gestelden en ten aanzien van betrokkenen ten behoeve van wie een bewind of mentorschap is ingesteld, uitgeoefend door hun wettelijk vertegenwoordigers, voor zover het een aangelegenheid betreft waarvoor de betrokkene onbekwaam dan wel onbevoegd is.
-
Dit artikel is niet van toepassing op hulp- en adviesdiensten die rechtstreeks en kosteloos aan een minderjarige of een onder curatele gestelde worden aangeboden.
Memorie van Toelichting - Toelichting op art. 5 UAVG
Nederland volgt op het punt van de toestemming voor minderjarigen artikel 8 van de verordening, dat - evenals de Wbp – een leeftijdsgrens van 16 jaar hanteert. Op grond van het eerste lid, van het voorgestelde artikel 5 geldt deze leeftijdsgrens ook als artikel 8 van de verordening niet van toepassing is. Artikel 8 van de verordening ziet slechts op toestemming als sprake is van ‘een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind’. Dit wetsvoorstel regelt dat de regels rond de vervangende toestemming ook van toepassing zijn als sprake is van andere dienstverlening dan diensten van de informatiemaatschappij. Gedacht kan worden aan een overeenkomst om een product aan huis te leveren anders dan via een bestelling op internet.
In het tweede lid voorziet artikel 5 in een regeling voor vervangende toestemming indien de betrokkene onder curatele is gesteld, dan wel indien ten behoeve van de betrokkene een beschermingsbewind of mentorschap is ingesteld. Deze wettelijke vertegenwoordigers kunnen slechts vervangende toestemming geven voor zover het gaat om hun taakuitoefening. De mentor is uitsluitend vertegenwoordigingsbevoegd voor zover het rechtshandelingen betreft in aangelegenheden betreffende de verzorging, verpleging, behandeling en begeleiding van de betrokkene. De beschermingsbewindvoerder is alleen vertegenwoordigingsbevoegd voor zover het gaat om het onder bewind gestelde vermogen van de betrokkene. Een onder curatele gestelde betrokkene is niet in alle gevallen handelingsonbekwaam: de betrokkene is bekwaam met toestemming van zijn curator, voor zover deze bevoegd is de desbetreffende rechtshandeling voor de betrokkene te verrichten.
Uit de verordening volgt direct dat een betrokkene te allen tijde bevoegd is om zijn toestemming in te trekken. Op grond van het voorgestelde derde lid van onderhavig artikel 5 geldt dit ook voor de vervangende toestemming door een curator, beschermingsbewindvoerder of mentor. Deze wettelijk vertegenwoordigers kunnen ook de toestemming intrekken die de betrokkene heeft gegeven vóórdat de beschermingsmaatregel is ingesteld. De bevoegdheid van de betrokkene om zelf toestemming te verlenen en deze in te trekken herleeft zodra de beschermingsmaatregel eindigt.
Tijdens de consultatie van dit wetsvoorstel is door verschillende partijen opgemerkt dat de bestaande leeftijdsgrens van 16 jaar niet in alle gevallen meer overeenkomt met de maatschappelijke opvattingen over het verlenen van toestemming voor kinderen. Hoewel de verordening daartoe ruimte laat, past een door nationale argumenten ingegeven beleidswijziging op dit punt echter niet bij deze Uitvoeringswet, gelet op het beleidsneutrale karakter van dit wetsvoorstel.
Hoofdstuk 2. De Autoriteit persoonsgegevens¶
Paragraaf 2.1. Oprichting en inrichting van de Autoriteit persoonsgegevens
Artikel 6¶
Oprichting en aanwijzing als toezichthoudende autoriteit¶
-
Er is een Autoriteit persoonsgegevens. De Autoriteit persoonsgegevens bezit rechtspersoonlijkheid.
-
De Autoriteit persoonsgegevens is de toezichthoudende autoriteit, bedoeld in artikel 51, eerste lid, van de verordening.
-
Onverminderd artikel 57 van de verordening, heeft de Autoriteit persoonsgegevens tot taak toe te zien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de verordening of de wet bepaalde.
-
Ter uitvoering van een bindende EU-rechtshandeling kunnen, gehoord de Autoriteit persoonsgegevens, bij regeling van Onze Minister aan de Autoriteit persoonsgegevens taken worden opgedragen.
Art. 51, art. 54(1)(a) AVG
Memorie van Toelichting - Toelichting op art. 6 UAVG
Dit artikel vormt de implementatie van 51 van de verordening en wijst de Autoriteit persoonsgegevens aan als de autoriteit die verantwoordelijk is voor het toezicht op de toepassing van de verordening. Nederland maakt geen gebruik van de mogelijkheden die de verordening biedt om daarnaast nog andere autoriteiten op te richten, die toezicht houden op de uitvoering van (een deelterrein van) de verordening.2
De bestaande situatie onder de Wbp voor wat betreft de formele vormgeving van de Autoriteit persoonsgegevens als zelfstandig bestuursorgaan wordt gecontinueerd. Op grond van de systematiek van de Kaderwet zelfstandige bestuursorganen is deze Kaderwet automatisch van toepassing op na de inwerkingtreding van die wet opgerichte zelfstandige bestuursorganen. Behoudens de in de artikelen 7, 12 en 13 van onderhavig voorstel genoemde uitzonderingen is de Kaderwet zelfstandige bestuursorganen dan ook van toepassing op de Autoriteit persoonsgegevens.
De algemene voorziening zoals voorgesteld in het derde lid biedt een wettelijke grondslag om ter uitvoering van een bindende EU-rechtshandeling bij ministeriële regeling andere taken aan de Autoriteit persoonsgegevens op te dragen. Te denken valt aan (1) adequaatheidsbesluiten van de Europese Commissie of aan (2) EU-verordeningen waarvan de Uitvoeringswetgeving niet binnen de daarvoor gestelde termijn gerealiseerd zal kunnen worden, waardoor het noodzakelijk kan zijn om alvast een interim voorziening te treffen.
Als voorbeeld van de eerste categorie kan het besluit van de Staatssecretaris van Veiligheid en Justitie van 3 november 2016 dienen waarbij voor Nederland de Autoriteit persoonsgegevens is aangewezen als bevoegde autoriteit voor het toezicht op de verwerking van persoonsgegevens door overheidsdiensten in de zin van in de zin van Bijlage III, Bijlage A, § 3, onderdeel a, van uitvoeringsverordening (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS- privacyschild geboden bescherming (PbEU L 207).3
Een voorbeeld van de tweede categorie betreft het besluit van de Minister van Economische Zaken van 29 juni 2016 tot tijdelijke aanwijzing van een toezichthoudend orgaan, een nationaal orgaan voor informatieveiligheid en een gegevensbeschermingsautoriteit in de zin van verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PbEU 2014, L 257).4 De wet ter implementatie van de genoemde verordening is inmiddels op 21 december 2016 tot stand gekomen5 en gefaseerd in werking getreden waarmee het tijdelijke aanwijzingsbesluit van de Minister van Economische Zaken kon komen te vervallen.
Artikel 7¶
Samenstelling¶
-
De Autoriteit persoonsgegevens bestaat uit een voorzitter en twee andere leden.
-
Bij de Autoriteit persoonsgegevens kunnen voorts buitengewone leden worden benoemd. Bij de benoeming van buitengewone leden wordt spreiding over de onderscheidene sectoren van de maatschappij nagestreefd.
-
De voorzitter, de andere leden en de buitengewone leden van de Autoriteit persoonsgegevens worden bij koninklijk besluit, op voordracht van Onze Minister, benoemd.
-
De voorzitter voldoet aan de bij of krachtens artikel 5 van de Wet rechtspositie rechterlijke ambtenaren gestelde vereisten voor benoembaarheid tot rechter in een rechtbank.
-
De benoeming, bedoeld in het derde lid, geldt voor een tijdvak van vijf jaar.
-
De voorzitter, de andere leden en de buitengewone leden van de Autoriteit persoonsgegevens kunnen eenmaal worden herbenoemd voor een tijdvak van vijf jaar.
-
Op eigen verzoek worden de voorzitter, de andere leden en de buitengewone leden van de Autoriteit persoonsgegevens door Onze Minister ontslagen.
-
Artikel 12 van de Kaderwet zelfstandige bestuursorganen is niet van toepassing.
-
Er is een Raad van advies die de Autoriteit persoonsgegevens adviseert over algemene aspecten van de bescherming van persoonsgegevens. De leden zijn afkomstig uit de onderscheidene sectoren van de maatschappij en worden benoemd door Onze Minister, op voordracht van de voorzitter van de Autoriteit persoonsgegevens. De leden worden benoemd voor ten hoogste vier jaar. Herbenoeming kan tweemaal en telkens voor ten hoogste vier jaar plaatsvinden. Bij ministeriële regeling wordt de vergoeding van de kosten aan de leden van de Raad van advies vastgesteld.
Memorie van Toelichting - Toelichting op art. 7 UAVG
In artikel 7 (eerste tot en met zevende lid) is de samenstelling van de Autoriteit persoonsgegevens geregeld. Daarnaast zijn enkele zaken met betrekking tot de benoeming van de voorzitter en de andere leden geregeld. Voor een toelichting hierop zij verwezen naar paragraaf 3.3 van het algemeen deel van de memorie van toelichting.
Het onafhankelijke karakter van de Autoriteit persoonsgegevens komt onder meer tot uitdrukking in de regeling van ontslag en in de rechtspositie van de voorzitter die vergelijkbaar is met die van leden van de rechterlijke macht.
Artikel 7, achtste lid, bepaalt dat artikel 12 van de Kaderwet zelfstandige bestuursorganen niet van toepassing is. De van toepassing zijnde procedure voor het opleggen van disciplinaire maatregelen, schorsing en ontslag uit de Wet rechtspositie rechterlijke ambtenaren, zoals deze van overeenkomstige toepassing wordt verklaard in artikel 8 van dit wetsvoorstel, en waaraan wordt gerefereerd in het artikel 7, vierde lid, verhoudt zich niet met het bepaalde in artikel 12 van de Kaderwet zelfstandige bestuursorganen. In de thans geldende artikelen 53 en 54 van de Wbp is ook reeds bepaald dit artikel niet van toepassing is, zij het in beide artikelen. In het voorgestelde artikel 8 wordt niet herhaald dat artikel 12 van de Kaderwet zelfstandige bestuursorganen niet van toepassing is, maar daarmee is inhoudelijk geen wijziging beoogd.
In het negende lid wordt de Raad van advies van de Autoriteit persoonsgegevens ingesteld. Vanwege de grote diversiteit aan maatschappelijke sectoren waar vraagstukken rond gegevensverwerking spelen, is er behoefte aan een vele verschillende deskundigen die zitting nemen in de Raad van advies. Voorts wordt voorgesteld om de vergoeding van de kosten aan de leden van de Raad van advies bij ministeriële regeling vast te stellen. Daarmee wordt dit op eenzelfde manier geregeld als voor de leden van de Autoriteit, wier vergoeding eveneens bij ministeriële regeling wordt vastgelegd ingevolge artikel 14, tweede lid, van de Kaderwet zelfstandige bestuursorganen.
Artikel 8¶
Disciplinaire maatregelen voorzitter en andere leden¶
De artikelen 46c, 46d, tweede lid, 46f, 46g, 46i, met uitzondering van het eerste lid, onderdeel c, 46j, 46l, eerste en derde lid, 46m, 46n, 46o en 46p van de Wet rechtspositie rechterlijke ambtenaren zijn van overeenkomstige toepassing op de voorzitter en de andere leden van de Autoriteit persoonsgegevens, met dien verstande dat:
a. | de disciplinaire maatregel bedoeld in artikel 46c, eerste lid, ten aanzien van de andere leden van de Autoriteit persoonsgegevens door de voorzitter van de Autoriteit persoonsgegevens wordt opgelegd;
b. | het in artikel 46c, eerste lid, onderdeel b, genoemde verbod zich in een onderhoud of een gesprek in te laten met partijen of hun advocaten of gemachtigden of een bijzondere inlichting of schriftelijk stuk van hen aan te nemen, niet op de voorzitter en de andere leden van de Autoriteit persoonsgegevens van toepassing is;
c. | de disciplinaire maatregel bedoeld in artikel 46c, eerste lid, ten aanzien van de voorzitter van de Autoriteit persoonsgegevens door de president van het gerechtshof Den Haag wordt opgelegd.
Memorie van Toelichting - Toelichting op art. 8 UAVG
Om de onafhankelijkheid van de leden en plaatsvervangende leden te benadrukken, verklaart dit artikel het bepaalde in de Wet rechtspositie rechterlijke ambtenaren (Wrra) over ontslag, schorsing en disciplinaire maatregelen, met enkele uitzonderingen, van overeenkomstige toepassing. Het artikel komt daarmee inhoudelijk overeen met artikel 54 van de Wbp, met dien verstande dat onderdeel c is toegevoegd. In artikel 54 van de Wbp wordt thans geregeld dat, conform de Wrra, de Hoge Raad bevoegd is om te beslissen over schorsing en ontslag van de voorzitter van de Autoriteit persoonsgegevens. Er is echter ten onrechte nagelaten om te bepalen wie bevoegd is om aan de voorzitter van de Autoriteit persoonsgegevens de disciplinaire maatregel van schriftelijke waarschuwing op te leggen. Het voorgestelde onderdeel c beoogt te voorzien in deze omissie. Ingevolge de systematiek van de Wrra wordt de schriftelijke waarschuwing aan een rechterlijke ambtenaar opgelegd door de president van het betreffende gerecht. Gelet op het functieniveau van de voorzitter van de Autoriteit persoonsgegeven wordt voorgesteld om de president van het gerechtshof van het Hof in Den Haag hiertoe bevoegd te maken omdat bij schorsing en ontslag de, eveneens in Den Haag gevestigde, Hoge Raad beslist. Bovendien is aan de president van het Hof in Den Haag reeds de bevoegdheid toegekend om de maatregel van schriftelijk waarschuwing op te leggen aan de voorzitter van het College voor de rechten van de mens, een zelfstandig bestuursorgaan dat wat betreft onafhankelijke positie vergelijkbaar is met de Autoriteit persoonsgegevens.
Artikel 9¶
Rechtspositie voorzitter, andere leden en buitengewone leden¶
De rechtspositie van de voorzitter, de andere leden en de buitengewone leden wordt geregeld bij of krachtens algemene maatregel van bestuur.
Art. 52(1-3) AVG
Memorie van Toelichting - Toelichting op art. 9 UAVG
Onder het huidige Wbp-regime worden de regels omtrent de rechtspositie van de voorzitter, de andere leden en de buitengewone leden vastgesteld bij ministeriële regeling (artikel 55 van de Wbp). Middels het onderhavige artikel wordt voorgesteld om dergelijke regels voortaan zoveel mogelijk bij algemene maatregel van bestuur vast te leggen. Door deze regelgevende bevoegdheid niet direct aan de verantwoordelijke minister toe te bedelen, wordt de Autoriteit persoonsgegevens als zelfstandig bestuursorgaan op grotere afstand van de verantwoordelijke minister geplaatst. Het voornemen bestaat om bepalingen omtrent benoeming, arbeidsduur, vakantie, verlof en voorzieningen bij ziekte en arbeidsongeschiktheid voor de leden in ieder geval op te nemen in een besluit. Ook worden hierin nadere regels omtrent de rechtspositie van de buitengewone leden. Tevens zal in dit besluit een verplichting worden opgenomen voor de leden om melding te maken van financiële belangen die de belangen van de dienst kunnen raken, voor zover deze in verband staan met de functievervulling van een lid. Een dergelijke meldplicht behoefte verdere uitwerking: beoogd wordt om deze – veelal gedetailleerde – nadere regels vast te leggen in een ministeriele regeling.
Bepalingen omtrent bezoldiging en schadeloosstelling van de leden zullen eveneens in een ministeriële regeling worden vastgelegd. Dit volgt uit artikel 14, tweede lid, van de Kaderwet zelfstandige bestuursorganen (Stb. 2006, 587) waarin bepaald is dat de bezoldiging van een lidmaatschap van een zelfstandig bestuursorgaan vastgesteld wordt door verantwoordelijke minister. Nu de Autoriteit persoonsgegevens wat betreft dit artikel onder de werking van de Kaderwet zelfstandige bestuursorganen valt, zullen daarom de voorschriften inzake de bezoldiging van zowel de leden als de buitengewone leden worden vastgesteld door de minister voor Rechtsbescherming.
Artikel 10¶
Secretariaat¶
De Autoriteit persoonsgegevens heeft een secretariaat.
Memorie van Toelichting - Toelichting op art. 10 UAVG
Artikel 52, vijfde lid, van de verordening bepaalt dat het personeel van de Autoriteit persoonsgegevens onder exclusieve leiding van (de leden van) de Autoriteit persoonsgegevens staat. In lijn met deze bepaling wordt daarom voorgesteld in artikel 10, eerste lid, om de Autoriteit persoonsgegevens de bevoegdheid te geven om de ambtenaren die werkzaam zijn bij het secretariaat aan te stellen, te bevorderen, disciplinair te straffen, te schorsen en te ontslaan. Dit brengt een wijziging met zich mee ten opzichte van artikel 56 van de Wbp, waarin deze bevoegdheid was toegekend aan de minister. Te zijner tijd zal deze bepaling nog worden aangepast aan de Wet normalisering rechtspositie ambtenaren.
De verplichting voor de Autoriteit persoonsgegevens om een bestuursreglement vast te stellen (artikel 56, derde lid, van de Wbp) vervalt. Ter uitvoering van het eerste lid, voorzien de nieuwe voorgestelde leden 2 en 3 de Autoriteit persoonsgegevens van de benodigde instrumenten om in de praktijk ook effectief leiding te kunnen geven aan degenen die werkzaam zijn bij het secretariaat. Daartoe wordt in artikel 10, tweede lid, bepaald dat de Autoriteit persoonsgegevens voor toepassing van de Ambtenarenwet het bevoegd gezag is voor de ambtenaren die behoren tot het secretariaat. Omdat deze bepaling zich beperkt tot de Ambtenarenwet zelf en niet tevens de bevoegdheden bestrijkt die aan het bevoegd gezag zijn toegekend in de regelgeving die op de Ambtenarenwet gebaseerd is, zoals in het Algemeen Rijksambtenarenreglement, is in het derde lid de mogelijkheid opgenomen om een vergelijkbare bepaling op te nemen in (en ten behoeve van) lagere regelgeving. Artikel 10, derde lid, biedt dus de grondslag om bij algemene maatregel van bestuur te voorzien in een vergelijkbare bepaling als artikel 10, tweede lid, waardoor de Autoriteit persoonsgegevens het bevoegde gezag wordt in de regelgeving die is gebaseerd op de Ambtenarenwet.
Artikel 11¶
Begroting, verantwoording en vertegenwoordigingsbevoegdheid¶
-
De Autoriteit persoonsgegevens stelt jaarlijks voorafgaand aan het desbetreffende begrotingsjaar een ontwerpbegroting op.
-
In de departementale begroting, bedoeld in artikel 2.1, zesde lid, van de Comptabiliteitswet 2016, kent Onze Minister jaarlijks aan de Autoriteit persoonsgegevens een budget toe ten laste van de rijksbegroting.
-
De Autoriteit persoonsgegevens stelt de begroting vast in overeenstemming met het budget, bedoeld in het tweede lid.
-
De Autoriteit persoonsgegevens wordt in en buiten rechte vertegenwoordigd door de voorzitter en de andere leden, dan wel door een van hen.
-
De leden stellen een verdeling van taken vast en betrekken hierbij zoveel mogelijk de buitengewone leden.
Art. 52(1-3) AVG
Memorie van Toelichting - Toelichting op art. 11 UAVG
Dit artikel komt materieel overeen met artikel 57 van de Wbp. Het eerste lid regelt de wijze waarop de Autoriteit persoonsgegevens extern wordt vertegenwoordigd. De leden van de Autoriteit persoonsgegevens zijn elk voor zich bevoegd de Autoriteit persoonsgegevens te vertegenwoordigen volgens een op grond van het tweede lid nader overeen te komen taakverdeling. Er is geen behoefte gebleken aan een gedetailleerde regeling van de interne inrichting van de Autoriteit persoonsgegevens. In de plaats daarvan bepaalt het tweede lid van dit artikel, in navolging van artikel 57, tweede lid, van de Wbp, dat de leden een verdeling van taken vaststellen en hierbij zoveel mogelijk de buitengewone leden betrekken. De buitengewone leden kunnen daarmee een brede maatschappelijke inbreng in de afhandeling van zaken bewerkstelligen. In de praktijk zullen zowel de voorzitter als de beide leden de Autoriteit persoonsgegevens bij haar uiteenlopende werkzaamheden vertegenwoordigen.
Artikel 12¶
Beperking inlichtingenplicht jegens minister¶
Artikel 20 van de Kaderwet zelfstandige bestuursorganen is niet van toepassing indien de Autoriteit persoonsgegevens de informatie van derden heeft verkregen onder de voorwaarde dat het geheime karakter daarvan wordt gehandhaafd.
Art. 52(1-3) AVG
Memorie van Toelichting - Toelichting op art. 12 UAVG
Dit artikel komt overeen met het thans geldende artikel 59 van de Wbp. De onafhankelijke positie van de Autoriteit persoonsgegevens valt niet te rijmen met de verplichting tot het verschaffen van inlichtingen aan de minister zoals is opgenomen in artikel 20 van de Kaderwet zelfstandige bestuursorganen voor zover deze informatie is verkregen van derden in het kader van de toezichthoudende taak van de Autoriteit persoonsgegevens. De Autoriteit persoonsgegevens is wel gehouden om desgevraagd inlichtingen te verschaffen aan de minister die betrekking hebben op zaken als personeel, budget en formatie.
Artikel 13¶
Uitzonderingen bevoegdheden inzake beleidsregels, vernietiging en taakverwaarlozing¶
-
De artikelen 21 en 22 van de Kaderwet zelfstandige bestuursorganen zijn niet van toepassing op de Autoriteit persoonsgegevens.
-
Artikel 23 van de Kaderwet zelfstandige bestuursorganen vindt slechts toepassing ten aanzien van het door de Autoriteit persoonsgegevens gevoerde financiële beheer en de administratieve organisatie.
Art. 52(1-3) AVG
Memorie van Toelichting - Toelichting op art. 13 UAVG
Dit artikel komt overeen met artikel 59a van de Wbp. Gelet op de in overweging 117 van de verordening genoemde onafhankelijkheid van de taakuitoefening van de Autoriteit persoonsgegevens (vergelijkbaar met artikel 28, eerste lid, van richtlijn 95/46/EG) worden de artikelen 21 (bevoegdheid minister tot het stellen van beleidsregels over de taakuitoefening van een zbo) en 22 (bevoegdheid minister tot vernietiging van besluiten van een zbo) van de Kaderwet zelfstandige bestuursorganen niet van toepassing verklaard op de Autoriteit persoonsgegevens. Daarnaast wordt voorgesteld om in verband met de onafhankelijke positie van de Autoriteit persoonsgegevens in het tweede lid het taakverwaarlozingsartikel (artikel 23 van de Kaderwet zelfstandige bestuursorganen) alleen van toepassing te verklaren op het gevoerde financiële beheer en de administratieve organisatie van de Autoriteit persoonsgegevens.
Paragraaf 2.2. De uitoefening van de taken en bevoegdheden van de Autoriteit persoonsgegevens
Artikel 14¶
Taken en bevoegdheden¶
-
De Autoriteit persoonsgegevens is bevoegd om de taken uit te voeren en de bevoegdheden uit te oefenen die bij of krachtens de verordening zijn toegekend aan de toezichthoudende autoriteit.
-
Op de voorbereiding van een besluit omtrent goedkeuring van een gedragscode, dan wel de wijziging of uitbreiding daarvan, als bedoeld in artikel 40, vijfde lid, van de verordening is afdeling 3.4 van de Algemene wet bestuursrecht van toepassing.
-
De Autoriteit persoonsgegevens kan in geval van overtreding van het bepaalde in artikel 83, vierde, vijfde of zesde lid, van de verordening een bestuurlijke boete opleggen van ten hoogste de in deze leden genoemde bedragen.
-
De artikelen 5:4 tot en met 5:10a de Algemene wet bestuursrecht zijn van overeenkomstige toepassing op corrigerende maatregelen als bedoeld in artikel 58, tweede lid, onderdelen b tot en met j van de verordening.
-
Onverminderd artikel 4:15 van de Algemene wet bestuursrecht kan de Autoriteit Persoonsgegevens de termijn voor het geven van een beschikking opschorten voor zover dit noodzakelijk is in verband met het naleven van op de Autoriteit Persoonsgegevens rustende verplichtingen op grond van de artikelen 60 tot en met 66 van de verordening. Het derde en vierde lid van artikel 4:15 van de Algemene wet bestuursrecht zijn op deze opschorting van overeenkomstige toepassing.
-
De bestuurlijke boete komt toe aan de Staat.
Art. 40, art. 58(1–4), art. 57, art. 83(1–6)(9) AVG
Overweging 98-99, overweging 122, overweging 129, overweging 148-152 AVG
Memorie van Toelichting - Toelichting op art. 14 UAVG
De Autoriteit persoonsgegevens vervult de taken en oefent de bevoegdheden uit die bij of krachtens de verordening zijn toegekend aan de toezichthoudende autoriteit
In het tweede lid wordt voorgesteld om de openbare voorbereidingsprocedure van de Awb van toepassing te laten zijn op de voorbereiding van een besluit tot goedkeuring, wijziging of uitbreiding van een gedragscode als bedoeld in artikel 40 van de verordening. Ook het de huidige artikel 25, vierde lid, van de Wbp voorziet in een vergelijkbare regeling zij het dat deze regeling niet alleen betrekking heeft op goedkeuringsbesluiten, maar ook op besluiten tot verlenging van de goedkeuring omdat goedkeuringsbesluiten op grond van de Wbp gelden voor een maximale periode van vijf jaar na de bekendmaking van het besluit. Op grond van de verordening is de goedkeuring van een gedragscode niet in tijd gelimiteerd, zodat de regeling met betrekking tot verlenging is komen te vervallen.
Het derde lid bepaalt dat de Autoriteit persoonsgegevens een bestuurlijke boete kan opleggen in geval van overtreding van het bepaalde in artikel 83, vierde, vijfde of zesde lid. De verordening hanteert de term ‘administratieve geldboete’. Dergelijke boetes worden in Nederland bestuurlijke boetes genoemd. In dit voorstel wordt dan ook gesproken van bestuurlijke boetes. Op grond van artikel 5:46 van de Awb bepaalt de wet het boetemaximum. In dit geval gelden er verschillende boetemaxima op grond van de leden vier tot en met zes. Daarom is verwezen naar de boetemaxima in de verordening. Titel 5.4 van de Awb, die specifiek betrekking heeft op bestuurlijke boetes, is - naast titel 5.1 - van toepassing op de opgelegde boetes.
Artikel 58, tweede lid, van de verordening bevat een scala aan zogenaamde ‘corrigerende maatregelen’. Het kan bijvoorbeeld gaan om het berispen van een verwerkingsverantwoordelijke of om het opleggen van tijdelijke of definitieve verwerkingsbeperkingen, waaronder een verwerkingsverbod. Ook het opleggen van een bestuurlijke boete is op grond van artikel 58, tweede lid, een corrigerende maatregel. Het vierde lid verklaart de Awb-bepalingen die betrekking hebben op bestuurlijke sancties van overeenkomstige toepassing op de oplegging van de corrigerende maatregelen genoemd in de onderdelen b tot en met j. De in onderdeel a genoemde waarschuwing dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op de bepalingen van de verordening wordt gemaakt, is geen bestuurlijke sanctie. Op deze wijze wordt rechtszekerheid gecreëerd over het formele karakter van het optreden van de Autoriteit persoonsgegevens op grond van deze bevoegdheid uit de verordening.
Het vijfde lid gaat over de opschorting van beslistermijnen van de Autoriteit persoonsgegevens. De verordening regelt niets over de mogelijkheid tot opschorting en verlenging van beslistermijnen. Artikel 4:15 van de Awb biedt onvoldoende de mogelijkheid om de beslistermijn op te schorten in het specifieke geval dat de Autoriteit persoonsgegevens, in het kader van het geven van een beschikking op een aanvraag, de samenwerkings- en coherentieprocedures in hoofdstuk VII van de Verordening moet volgen (artikelen 60 tot met 66). Om praktische uitvoeringsproblemen te voorkomen, wordt een aanvullende mogelijkheid tot opschorting voorgesteld in het vijfde lid. De Autoriteit persoonsgegevens zal van de voorgestelde opschortingsbevoegdheid waarschijnlijk gebruik moeten maken in geval van bijvoorbeeld het geven van toestemming voor individuele contractbepalingen of het geven van goedkeuring aan bindende bedrijfsvoorschriften (artikelen 46, derde lid, en 47 van de verordening).
Artikel 15¶
Toezicht op de naleving¶
-
Met het toezicht op de naleving van de verordening en op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens de wet bepaalde zijn belast de leden en buitengewone leden van de Autoriteit persoonsgegevens, de ambtenaren van het secretariaat van de Autoriteit persoonsgegevens, alsmede de bij besluit van de Autoriteit persoonsgegevens aangewezen personen.
-
De in het eerste lid bedoelde personen zijn bevoegd een woning te betreden zonder toestemming van de bewoner.
-
De in het eerste lid bedoelde personen behoeven voor de uitoefening van de in het tweede lid omschreven bevoegdheid de uitdrukkelijke en bijzondere volmacht van de Autoriteit persoonsgegevens, onverminderd het bepaalde in artikel 2 van de Algemene wet op het binnentreden.
-
Geen beroep is mogelijk op een geheimhoudingsplicht, voor zover inlichtingen of medewerking wordt verlangd in verband met de eigen betrokkenheid bij de verwerking van persoonsgegevens.
-
Dit artikel en titel 5.2 van de Algemene wet bestuursrecht zijn van overeenkomstige toepassing voor zover dit noodzakelijk is voor een goede uitoefening van de taken die de Autoriteit persoonsgegevens uitvoert in het kader van hoofdstuk VII van de verordening.
Memorie van Toelichting - Toelichting op art. 15 UAVG
Artikel 15 regelt welke personen zijn of kunnen worden belast met het toezicht op de naleving van deze wet. Deze personen worden beschouwd als ‘toezichthouder’ in de zin van artikel 5:11 van de Awb en beschikken derhalve over de bevoegdheden van titel 5.2 van de Awb. Het betreft hier onder meer het vragen van inlichtingen, het vorderen van inzage in zakelijke gegevens en bescheiden en het onderzoeken van zaken en vervoermiddelen. Voorts geldt op grond van artikel 5:13 van de Awb de beperking dat de toezichthouder de bevoegdheid slechts mag gebruiken voor zover dat redelijkerwijs nodig is voor de vervulling van zijn taak. De verordening spreekt in artikel 51, eerste lid](../avg/#artikel-51), overigens van ‘toezicht op de toepassing’. In dit artikel wordt in aansluiting op de vaste terminologie van de Awb evenwel gesproken van ‘toezicht op de naleving’.
In aanvulling op dit basispakket bevoegdheden is in het tweede lid de bevoegdheid opgenomen om onder bepaalde voorwaarden een woning te betreden zonder toestemming van de bewoner. Deze bevoegdheid bestaat ook thans al op grond van artikel 61 van de Wbp. De in het derde lid opgenomen extra waarborg inhoudende dat de toezichthouder voor de uitoefening van de bevoegdheid van het tweede lid de uitdrukkelijke en bijzondere volmacht van de Autoriteit persoonsgegevens, behoeft, bestaat eveneens reeds op grond van artikel 61 van de Wbp.
Het vierde lid is gelijk aan het huidige artikel 61, vijfde lid, van de Wbp. Artikel 2:5 van de Awb verplicht de Autoriteit persoonsgegevens als bestuursorgaan tot geheimhouding. Afhankelijk van de omstandigheden, bijvoorbeeld wanneer dit nodig is om misstanden aan de kaak te stellen, zal het echter tot haar taak behoren dat bepaalde – door haar ontdekte – zaken bekend worden gemaakt. Het is niet uitgesloten dat ook de daarbij betrokken verwerkingsverantwoordelijke wordt bekendgemaakt. Doorslaggevend is of een goede taakuitoefening van de Autoriteit persoonsgegevens daartoe noodzaakt. In andere gevallen zullen bij een eventueel beroep op de Wet openbaarheid van bestuur de belangen van de verwerkingsverantwoordelijke zwaarder moeten worden afwogen tegen het belang van het verstrekken van informatie aan een geïnteresseerde verzoeker.
Het vijfde lid ten slotte bepaalt duidelijkheidshalve dat dit artikel en titel 5.2 van de Awb (getiteld ‘Toezicht op de naleving’) van overeenkomstige toepassing zijn voor zover dit noodzakelijk is voor een goede uitoefening van de taken die de Autoriteit persoonsgegevens uitvoert in het kader van hoofdstuk VII van de verordening. Dit hoofdstuk heeft betrekking op de samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten. Dit zijn de taken die de Autoriteit persoonsgegevens verricht in het kader van ondersteuning van andere toezichthoudende autoriteiten. De Autoriteit persoonsgegevens is in dat verband geen toezichthouder. Daardoor kunnen de bepalingen niet in alle gevallen geheel letterlijk worden toegepast. Dat is de reden om ze van overeenkomstige toepassing te verklaren.
Artikel 16¶
Last onder bestuursdwang¶
-
De Autoriteit persoonsgegevens kan een last onder bestuursdwang opleggen ter handhaving van de bij of krachtens de verordening of deze wet gestelde verplichtingen.
-
De Autoriteit persoonsgegevens kan een last onder bestuursdwang opleggen ter handhaving van artikel 5:20, eerste lid, van de Algemene wet bestuursrecht, voor zover het betreft de verplichting tot het verlenen van medewerking aan een vordering van een bij of krachtens artikel 15, eerste lid, aangewezen persoon.
-
De te betalen geldsom van een verbeurde dwangsom komt toe aan de Staat.
Art. 58(6) AVG
Memorie van Toelichting - Toelichting op art. 16 UAVG
Artikel 58 , zesde lid, van de verordening biedt de ruimte om, naast de bevoegdheden waarin de verordening voorziet, bij lidstatelijk recht aanvullende bevoegdheden te geven, mits deze geen afbreuk doen aan de doeltreffende werking van hoofdstuk VII. In de praktijk blijken de last onder bestuursdwang en de last onder dwangsom effectieve middelen te zijn om overtredingen van regels inzake de bescherming van persoonsgegevens snel te beëindigen.
De last onder bestuursdwang kan worden opgelegd in dezelfde gevallen als waarin een administratieve boete kan worden opgelegd op basis van artikel 83 van de verordening en voor inbreuken op het bepaalde in artikel 10 van de verordening en de daarop gebaseerde bepalingen in dit wetsvoorstel. Hiermee is het dus bijvoorbeeld ook mogelijk om de verplichting voor verwerkingsverantwoordelijken en verwerkers om toegang te verschaffen tot alle persoonsgegevens en alle informatie die noodzakelijk is voor de uitoefening van de taken van de Autoriteit persoonsgegevens (op grond van artikel 58, eerste lid, onderdeel e, van de verordening) af te dwingen door het opleggen van een last onder dwangsom.
Artikel 17¶
Boete bij onrechtmatige verwerking persoonsgegevens strafrechtelijke aard¶
-
De Autoriteit persoonsgegevens kan in geval van overtreding van het bepaalde in artikel 10 van de verordening of in artikel 31 van deze wet een bestuurlijke boete opleggen van ten hoogste 20.000.000 euro of, voor een onderneming, ten hoogste 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dit bedrag hoger is.
-
Artikel 83, eerste tot en met derde lid, van de verordening zijn van overeenkomstige toepassing.
-
De bestuurlijke boete komt toe aan de Staat.
Memorie van Toelichting - Toelichting op art. 17 UAVG
Artikel 84 van de verordening verplicht de lidstaten ertoe regels vast te stellen inzake andere sancties die van toepassing zijn op inbreuken op deze verordening, in het bijzonder op inbreuken die niet aan bestuurlijke boetes onderworpen zijn overeenkomstig artikel 83. Artikel 83 biedt echter reeds een zeer uitgebreide catalogus van artikelen die bij overtreding kunnen leiden tot een bestuurlijke boete.
In feite zijn hiermee overtredingen op vrijwel alle artikelen die enige materiële normstelling voor de verwerkingsverantwoordelijke inhouden in de verordening reeds beboetbaar op grond van de verordening. Een artikel is in de opsommingen evenwel afwezig: artikel 10 van de verordening. Dit artikel voorziet in de mogelijkheid om bij lidstatelijk recht verwerking van persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen toe te staan. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid. Het voorgestelde artikel bepaalt dat inbreuken op artikel 10 en inbreuken op de artikelen van deze wet die zien op de verwerking van persoonsgegevens van strafrechtelijke aard, eveneens kunnen worden beboet.
De maximale hoogte van de bestuurlijke boete sluit aan bij de maximale hoogte van de bestuurlijke boetes die kunnen worden opgelegd op grond van artikel 83, vijfde lid, van de verordening. In dat artikel is het sterk vergelijkbare artikel 9, dat ziet op de verwerking van bijzondere categorieën van persoonsgegevens, gesanctioneerd.
Artikel 18¶
Bestuurlijke boete aan overheden¶
-
De Autoriteit persoonsgegevens kan in geval van overtreding van het bepaalde in artikel 83, vierde, vijfde of zesde lid, van de verordening door een overheidsinstantie of een overheidsorgaan een bestuurlijke boete opleggen van ten hoogste de in deze leden genoemde bedragen.
-
Artikel 83, eerste tot en met derde lid, van de verordening zijn van toepassing.
-
De bestuurlijke boete komt toe aan de Staat.
Art. 83(7) AVG
Memorie van Toelichting - Toelichting op art. 18 UAVG
In dit artikel wordt invulling gegeven aan artikel 83, zevende lid, van de verordening dat aan lidstaten de mogelijkheid laat om te bepalen dat ook aan overheidsinstanties en overheidsorganen, bestuurlijke boetes worden opgelegd wegens overtreding van de in het vierde tot en met het zesde lid opgenomen feiten. Onder de Wbp was de mogelijkheid tot het opleggen van boetes voor bijvoorbeeld datalekken ook van toepassing op datalekken bij overheidsorganen. Het bieden van de mogelijkheid tot het opleggen van boetes bij een inbreuk door een bestuursorgaan geeft daarenboven het belangrijke signaal af dat ook de overheid zelf zich heeft te houden aan de materiele verplichtingen van de verordening en hierin niet anders wordt behandeld dan het bedrijfsleven. Indien er een boete wordt opgelegd zijn de leden 1 tot en met 3 eveneens van toepassing. Dit volgt uit het tweede lid.
Artikel 19¶
Samenwerking met andere toezichthouders¶
-
De Autoriteit persoonsgegevens is bevoegd om in het belang van een efficiënt en effectief toezicht op de verwerking van persoonsgegevens afspraken te maken met andere toezichthouders en daartoe gezamenlijk met deze toezichthouders samenwerkingsprotocollen vast te stellen. Een samenwerkingsprotocol wordt bekendgemaakt in de Staatscourant.
-
De Autoriteit persoonsgegevens en de toezichthouders, bedoeld in het eerste lid, zijn bevoegd uit eigen beweging en desgevraagd verplicht aan elkaar de gegevens betreffende de verwerking van persoonsgegevens te verstrekken die noodzakelijk zijn voor de uitvoering van hun taak of om te kunnen voldoen aan een op hen rustende wettelijke verplichting.
Memorie van Toelichting - Toelichting op art. 19 UAVG
Dit artikel komt overeen met het huidige artikel 51a van de Wbp en bevat een wettelijke basis voor samenwerking en gegevensuitwisseling tussen toezichthouders. Onverminderd de eigen verantwoordelijkheid van elk van de in aanmerking komende toezichthouders is het voor een efficiënt en effectief toezicht op de naleving van belang dat de Autoriteit persoonsgegevens en de andere daarvoor in aanmerking komende toezichthouders elkaar zo nodig over en weer toezichtgegevens kunnen verstrekken. In de praktijk blijkt dat zich van tijd tot tijd de noodzaak voordoet dat daarbij ook persoonsgegevens moeten worden verstrekt. Daarvoor is een behoorlijke wettelijke grondslag vereist.
Artikel 20¶
In rechte optreden tegen inbreuken op verordening inzake doorgifte naar derde land¶
-
Indien de Autoriteit persoonsgegevens in een onderzoek betreffende de doorgifte van persoonsgegevens naar een land buiten de Europese Unie of naar een internationale organisatie, ingesteld op verzoek van een belanghebbende, gegronde redenen heeft om aan te nemen dat een door de Europese Commissie ten aanzien van het desbetreffende land of de desbetreffende internationale organisatie genomen adequaatheidsbesluit als bedoeld in artikel 45, eerste lid, van de verordening of een door de Europese Commissie genomen besluit met betrekking tot het vaststellen of goedkeuren van standaardbepalingen als bedoeld in artikel 46, tweede lid, onderdelen c en d, van de verordening onvoldoende waarborgen biedt voor een passend niveau van gegevensbescherming, kan de Autoriteit persoonsgegevens bij de Afdeling bestuursrechtspraak van de Raad van State een verzoek indienen om voor recht te verklaren dat het desbetreffende besluit geldig is.
-
Het verzoekschrift wordt ondertekend en bevat ten minste:
a. | de dagtekening;
b. | de gronden van het verzoek;
c. | de namen van de belanghebbende en de partij die voorwerp is van het onderzoek, bedoeld in het eerste lid.
-
Bij het verzoekschrift wordt een afschrift overgelegd van het verzoek van de belanghebbende om handhaving van bij of krachtens wet bepaalde regels inzake de bescherming van persoonsgegevens, waarop het in het tweede lid bedoelde verzoekschrift van de Autoriteit persoonsgegevens betrekking heeft en worden andere op de zaak betrekking hebbende stukken meegezonden.
-
Onverminderd artikel 4:15 van de Algemene wet bestuursrecht wordt de termijn voor het geven van een beschikking op het verzoek om handhaving opgeschort gerekend vanaf de dag na die waarop de Autoriteit persoonsgegevens de verzoeker meedeelt dat toepassing is gegeven aan het eerste lid, tot de dag waarop de Afdeling bestuursrechtspraak van de Raad van State een uitspraak als bedoeld in het zesde lid heeft gedaan.
-
Op de behandeling van het verzoek zijn de titels 8.1 en 8.2 van de Algemene wet bestuursrecht van overeenkomstige toepassing, met uitzondering van de artikelen 8:1 tot en met 8:10, 8:41, de afdelingen 8.2.2a en 8.2.4a en de artikelen 8:70, 8:72 en 8:74. De in het tweede lid, onderdeel c, bedoelde partijen worden als partijen in het geding aangemerkt.
-
Indien de Afdeling bestuursrechtspraak van de Raad van State, al dan niet na prejudiciële verwijzing op grond van artikel 267 van het Verdrag inzake de werking van de Europese Unie aan het Hof van Justitie van de Europese Unie, tot het oordeel komt dat het aan haar voorgelegde besluit van de Europese Commissie geldig is, dan verklaart zij dat voor recht. Komt zij, na prejudiciële verwijzing aan het Hof van Justitie van de Europese Unie, tot het oordeel dat het aan haar voorgelegde besluit ongeldig is, dan wijst zij het verzoek af.
-
De Afdeling bestuursrechtspraak van de Raad van State kan besluiten het verzoek aan te houden als er bij het Hof van Justitie van de Europese Unie al een prejudiciële vraag omtrent de geldigheid van het desbetreffende besluit aanhangig is.
-
Tegen het aanhouden van het verzoek door de Afdeling bestuursrechtspraak van de Raad van State, staat geen voorziening open.
Art. 58(5) AVG
Overweging 129 AVG
Memorie van Toelichting - Toelichting op art. 20 UAVG
Dit artikel bewerkstelligt dat de verzoekschriftprocedure zoals die met het wetsvoorstel tot wijziging van de Wbp naar aanleiding van de uitspraak van het Hof van Justitie van de Europese Unie van 6 oktober 2015 (C-362/14) inzake de Veiligehavenbeginselen6 in artikel 78a van de Wbp wordt opgenomen, ook in dit wetsvoorstel wordt opgenomen. Voor een uitgebreide toelichting op het artikel wordt verwezen naar de in de voetnoot genoemde Kamerstukken. Het betreft een – uitsluitend door de Autoriteit persoonsgegevens in te stellen - verzoekschriftprocedure bij de Afdeling bestuursrechtspraak van de Raad van State, gericht op het verkrijgen van een verklaring voor recht met betrekking tot een door de Europese Commissie genomen besluit waarin zij heeft geoordeeld dat een bepaald land of bepaalde internationale organisatie of bepaalde (contractuele) standaardbepalingen een passend niveau van gegevensbescherming waarborgen.
De Autoriteit persoonsgegevens kan de in dit artikel geregelde procedure gebruiken in het geval zij, in het kader van een door een belanghebbende ingesteld verzoek om handhaving met betrekking tot een gegevensdoorgifte aan een derde land of internationale organisatie, gegronde redenen heeft om aan te nemen dat het onderliggende Commissiebesluit waarop de gegevensdoorgifte wordt gebaseerd geen passende bescherming biedt. Zij kan dan de Afdeling bestuursrechtspraak van de Raad van State vragen om een verklaring voor recht met betrekking tot de geldigheid van het onderliggende Commissiebesluit. De Afdeling zal op dit verzoekschrift een uitspraak doen, al dan niet na prejudiciële verwijzing naar het Hof van Justitie van de Europese Unie. De Afdeling bestuursrechtspraak van de Raad van State kan het verzoek ook aanhouden als er al een prejudiciële vraag omtrent de geldigheid van het desbetreffende besluit aanhangig is. Deze verzoekschriftprocedure vormt een sluitstuk op het stelsel van rechtsbescherming bij doorgifte van persoonsgegevens naar derde landen (artikel 58, vijfde lid, van de verordening). De reikwijdte is beperkt tot besluiten van de Europese Commissie als bedoeld in artikel 45, eerste lid, (adequaatheidsbesluiten) en in artikel 46, tweede lid, onderdelen c en d (besluiten ter vaststelling dan wel goedkeuring van standaardbepalingen inzake gegevensbescherming) van de verordening.
Artikel 21¶
Aanwijzing accrediterende instantie¶
Bij ministeriële regeling wordt of de Autoriteit persoonsgegevens of de Raad voor Accreditatie of worden zij beide aangewezen als accrediterende instantie als bedoeld in artikel 43 van de verordening.
Art. 43 AVG
Memorie van Toelichting - Toelichting op art. 21 UAVG
Op grond van artikel 43, eerste lid, van de verordening dient de lidstaat ervoor te zorgen dat de certificeringsorganen worden geaccrediteerd door ofwel de Autoriteit persoonsgegevens ofwel door de Raad voor Accreditatie ofwel door hen beide. In 2010 is de Raad voor Accreditatie aangewezen als nationale accreditatie-instantie, op basis van de Europese Verordening 765/2008. Sindsdien is de Raad voor Accreditatie een zelfstandig bestuursorgaan, dat verantwoording aflegt aan de minister van Economische Zaken en Klimaat. Op grond van het onderhavige voorgestelde artikel 21 zal de aanwijzing van de instantie of instanties die verantwoordelijk is respectievelijk zijn voor deze accreditatie plaatsvinden bij ministeriële regeling.
Artikel 21a¶
-
De taak van de Autoriteit persoonsgegevens, bedoeld in artikel 6, derde lid, omvat mede het toezicht op de naleving van de krachtens artikel 3:17, zevende lid, van de Wet op het financieel toezicht gestelde verplichtingen met betrekking tot de toegang van betaaldienstverleners tot de persoonsgegevens van betaaldienstgebruikers.
-
Met betrekking tot het toezicht, bedoeld in het eerste lid, vindt de samenwerking en uitwisseling van informatie met De Nederlandsche Bank N.V. en andere relevante toezichthouders plaats overeenkomstig artikel 26 van de richtlijn betaaldiensten, bedoeld in artikel 1:1 van de Wet op het financieel toezicht.
-
De Autoriteit persoonsgegevens kan in geval van overtreding van de krachtens artikel 3.17, zevende lid, van de Wet op het financieel toezicht gestelde verplichtingen aan de overtreder een last opleggen om waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met het daar bepaalde. Artikel 16 is van overeenkomstige toepassing.
-
De Autoriteit persoonsgegevens kan in geval van een overtreding van de krachtens artikel 3.17, zevende lid, van de Wet op het financieel toezicht gestelde verplichtingen aan de overtreder een bestuurlijke boete opleggen van ten hoogste 20.000.000 euro of, indien dit meer is, ten hoogste 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Artikel 83, tweede en derde lid, van de verordening is van overeenkomstige toepassing.
-
De bestuurlijke boete en de te betalen geldsom van een verbeurde dwangsom komen toe aan de Staat.
Hoofdstuk 3. Bepalingen ter uitvoering van de verordening¶
Paragraaf 3.1. Bijzondere categorieën van persoonsgegevens
Artikel 22¶
Verwerkingsverbod bijzondere categorieën persoonsgegevens en algemene uitzonderingen uit verordening¶
-
Overeenkomstig artikel 9, eerste lid, van de verordening zijn verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid verboden.
-
Overeenkomstig artikel 9, tweede lid, onderdelen a, c, d, e en f, van de verordening is het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing, indien:
a. | de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden;
b. | de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon, indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;
c. | de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt;
d. | de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt; of
e. | de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid.
Memorie van Toelichting - Toelichting op art. 22 UAVG
Dit artikel is een weergave van de rechtstreeks toepasselijke bepalingen van de verordening inzake de verwerking van bijzondere categorieën van persoonsgegevens. Van belang hierbij is op te merken dat, anders dan onder de Wbp, persoonsgegevens van de strafrechtelijke aard op grond van de verordening niet worden aangemerkt als een bijzondere categorie van persoonsgegevens. Op persoonsgegevens van strafrechtelijke aard is artikel 10 van de verordening van toepassing. In het wetsvoorstel is met betrekking tot deze gegevens een regeling getroffen in de artikelen 31 tot en met 33.
Eerste lid: verwerkingsverbod bijzondere categorieën persoonsgegevens (artikel 9, eerste lid, van de verordening, komt overeen met het thans geldende artikel 16 van de Wbp)
Het eerste lid bevat de hoofdregel: de verwerking van bijzondere categorieën van persoonsgegevens is verboden (overeenkomstig artikel 9, eerste lid, van de verordening).
Tweede lid: algemene uitzonderingen uit de verordening
Het tweede lid bevat een weergave van de rechtstreeks toepasselijke uitzonderingen, genoemd in artikel 9, tweede lid, onderdelen a, c, d, e en f, van de verordening. Hierbij is omwille van de samenhang en begrijpelijkheid gebruikgemaakt van de door overweging 8 van de verordening geboden mogelijkheid om af te wijken van het zogenaamde overschrijfverbod.
Onderdeel a: uitdrukkelijke toestemming (artikel 9, tweede lid, onderdeel a, van de verordening en komt overeen met het thans geldende artikel 16 van de Wbp en artikel 23, eerste lid, onderdeel a, van de Wbp) Onderdeel a staat toe dat bijzondere categorieën van persoonsgegevens worden verwerkt wanneer de betrokkene daartoe zijn uitdrukkelijke toestemming heeft gegeven.
Onderdeel b: vitale belangen (artikel 9, tweede lid, onderdeel c, van de verordening en komt overeen met het thans geldende artikel 23, eerste lid, onderdeel d, van de Wbp) Van een vitaal belang is sprake als het belang voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is, bijvoorbeeld indien acuut gevaar voor iemands leven of gezondheid dreigt. Overweging 46 van de verordening voegt daaraan als voorbeeld toe de situatie waarin “de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen”. Verwerking van persoonsgegevens op grond van het vitale belang voor betrokkene is alleen mogelijk als de betrokkene niet in staat is toestemming te geven. Dit kan zich zowel in fysieke (bijvoorbeeld wegens bewusteloosheid) als in juridische (bijvoorbeeld handelingsonbekwaamheid) zin voordoen.
Onderdeel c: instantie op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied (artikel 9, tweede lid, onderdeel d, van de verordening en komt overeen met de thans geldende artikelen 17, eerste lid, onderdelen a en b, en tweede lid, 19, eerste lid, onderdeel a, en 20 van de Wbp) Kort gezegd gaat het hier om verwerking van specifieke bijzondere categorieën van persoonsgegevens van leden en naaste betrokkenen door organisaties waarvoor de verwerking van de bijzondere categorieën van persoonsgegevens onlosmakelijk verbonden is met hun doelstellingen.
Onderdeel d: kennelijk openbaar gemaakte gegevens (artikel 9, tweede lid, onderdeel e, van de verordening en komt overeen met het thans geldende artikel 23, eerste lid, onderdeel b, van de Wbp) Evenals bij onderdeel a ligt de rechtvaardigingsgrond voor de uitzondering besloten in het handelen of het gedrag van de betrokkene zélf. Anders dan bij onderdeel a is er echter geen sprake van op de gegevensverwerking gerichte toestemming, maar van een spontane gedraging van de betrokkene waar niet door enig ander persoon met het oog op een eventuele gegevensverwerking om is gevraagd. Dat de gegevens openbaar zijn, moet derhalve volgen uit gedrag van de betrokkene waaruit de intentie om openbaar te maken uitdrukkelijk blijkt. Van vrijwillige openbaarmaking kan ook impliciet sprake zijn. Een voorbeeld van een dergelijke vrijwillige openbaarmaking zijn gegevens in een telefoongids, indien daarin ook gevoelige gegevens zouden voorkomen. Ieder is immers vrij de vermelding daarin te voorkomen.7 Indien een bepaald persoonsgegeven openbaar is, maar niet uit vrije wil van de betrokkene, dan mag het gegeven niet op grond onderdeel d worden verwerkt.
Onderdeel e: verdediging van een recht in rechte (artikel 9, tweede lid, onderdeel f, van de verordening en komt overeen met het thans geldende artikel 23, eerste lid, onderdeel c, van de Wbp) Verwerking van bijzondere categorieën van persoonsgegevens kan toelaatbaar zijn indien dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte. Particulieren kunnen onder omstandigheden hun rechten in een rechterlijke procedure niet effectueren zonder dat zij beschikken over bepaalde gegevens van hun wederpartij. Het begrip ‘noodzakelijk’ in onderdeel e betekent dat de betreffende gegevens niet zonder meer mogen worden verwerkt: er zal een afweging moeten plaatsvinden tussen het recht van de betrokkene om zijn gegevens geheim te houden en het recht van de wederpartij op een eerlijk proces.8 De onderhavige uitzondering op het verwerkingsverbod van bijzondere categorieën van persoonsgegevens strekt zich ook uit tot bezwaarschriftprocedures. Deze ruime beoogde uitleg van artikel 9, tweede lid, onderdeel f, van de verordening is tijdens de onderhandelingen bevestigd door de Europese Commissie.9
Artikel 23¶
Nationaalrechtelijke algemene uitzonderingen¶
Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing, indien:
a. | de verwerking noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting;
b. | de gegevens worden verwerkt door de Autoriteit persoonsgegevens of een ombudsman als bedoeld in artikel 9:17 van de Algemene wet bestuursrecht, en voor zover de verwerking noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken, onder voorwaarde dat bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; of
c. | de verwerking noodzakelijk is in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt.
Memorie van Toelichting - Toelichting op art. 23 UAVG
In dit artikel wordt invulling gegeven aan de ruimte die artikel 9, tweede lid, onderdeel g, van de verordening laat voor het opnemen van een uitzondering op het verbod om bijzondere categorieën van persoonsgegevens te verwerken wanneer deze verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang. Het artikel is ontleend aan de artikelen 23, eerste lid, onderdelen e en g, en 22, vijfde lid, van de Wbp. Materieel wordt geen verandering beoogd.
Onderdeel a: volkenrechtelijke verplichting (is ontleend aan het thans geldende artikel 23, eerste lid, onderdeel e, van de Wbp) Onderdeel a brengt mee dat het verwerken van bijzondere categorieën van persoonsgegevens geoorloofd kan zijn indien daarmee wordt gehandeld overeenkomstig een volkenrechtelijke verplichting en deze verplichting tot het verwerken van zulke gegevens noodzaakt. In een dergelijk geval is het verwerken van de gegevens als zodanig niet formeelwettelijk geregeld, maar is het voldoende duidelijk dat de wel in de volkenrechtelijke regeling – bijvoorbeeld een verdrag – geregelde verplichting enkel kan worden uitgevoerd indien daartoe bepaalde gegevens kunnen worden verwerkt. Voorts dient deze bepaling, indien landen buiten de Europese Unie zijn betrokken, in samenhang te worden gezien met hoofdstuk V van de verordening, dat doorgifte aan derde landen en internationale organisaties betreft.10
Onderdeel b: Autoriteit persoonsgegevens en ombudslieden (is ontleend aan het thans geldende artikel 23, eerste lid, onderdeel g, van de Wbp) Deze uitzondering is opgenomen omdat bijzondere categorieën van persoonsgegevens met grote regelmaat binnenkomen bij de Nationale ombudsman, de overige ombudslieden en de Autoriteit persoonsgegevens en de verwerking daarvan inherent is aan hun wettelijke (onderzoeks)taken.11
Onderdeel c: aanvulling op verwerking persoonsgegevens van strafrechtelijke aard (is ontleend aan het thans geldende artikel 22, vijfde lid, van de Wbp) Het is mogelijk dat gegevens van strafrechtelijke aard tevens betrekking hebben op bijvoorbeeld gegevens omtrent het seksuele leven. Denkbaar is dat in de ondernemingsraad bijvoorbeeld afspraken worden gemaakt over de bestrijding van seksuele intimidatie op de werkvloer. Voor zover daarbij gegevens met een strafrechtelijke relevantie moeten worden vastgelegd, laat deze bepaling dat toe.12
Artikel 24¶
Uitzonderingen voor wetenschappelijk of historisch onderzoek of statistische doeleinden¶
Gelet op artikel 9, tweede lid, onderdeel j, van de verordening, is het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing, indien:
a. | de verwerking noodzakelijk is met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, eerste lid, van de verordening;
b. | het onderzoek, bedoeld in onderdeel a, een algemeen belang dient;
c. | het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost; en
d. | bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
Memorie van Toelichting - Toelichting op art. 24 UAVG
(is ontleend aan het thans geldende artikel 23, tweede lid, van de Wbp)
In dit artikel wordt invulling gegeven aan de ruimte die artikel 9, tweede lid, onderdeel j, van de verordening biedt om bijzondere categorieën van persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek of statistische doelen te verwerken. Het artikel is van gelijke strekking als artikel 23, tweede lid, van de Wbp.
Artikel 24 heft het verwerkingsverbod van bijzondere categorieën persoonsgegevens op ten behoeve van wetenschappelijk onderzoek en statistiek. Daarbij is ten dele aansluiting gezocht bij artikel 458 van Boek 7 van het Burgerlijk Wetboek. Die bepaling bevat reeds een regeling voor het gebruik van gegevens die zijn vergaard in het kader van een geneeskundige behandelingsovereenkomst voor wetenschappelijk onderzoek. Aan deze bepaling wordt geen afbreuk gedaan: als lex specialis behoudt deze onverkort zijn gelding. Het bijzondere karakter van de verhouding arts tot patiënt is de basis voor een regeling die echter niet zonder meer kan worden toegepast op andere categorieën van bijzondere persoonsgegevens. De hier voorgestelde regeling is in overeenstemming met artikel 9, tweede lid, onderdeel j, van de verordening, doch niet zo strikt als die van het Burgerlijk Wetboek.
Voor de verwerking van bijzondere categorieën van persoonsgegevens voor wetenschappelijke of statistische doeleinden staan twee wegen open. In de eerste plaats is verwerking mogelijk op grond van uitdrukkelijke toestemming van de betrokkene. Deze optie – die is gebaseerd op artikel 9, tweede lid, onderdeel a, van de verordening en artikel 22, tweede lid, onderdeel a, van dit wetsvoorstel – heeft de voorkeur.
In de tweede plaats kan, indien het vragen van de uitdrukkelijke toestemming voor het gebruik van gegevens voor wetenschappelijke doeleinden onmogelijk blijkt of een onevenredige inspanning kost, de verwerking worden gebaseerd op het onderhavige artikel 24.
Artikel 25¶
Uitzonderingen inzake verwerking persoonsgegevens waaruit ras of etnische afkomst blijkt¶
Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om persoonsgegevens te verwerken waaruit ras of etnische afkomst blijkt, niet van toepassing, indien de verwerking geschiedt:
a. | met het oog op de identificatie van de betrokkene, en slechts voor zover de verwerking voor dat doel onvermijdelijk is; of
- b. | met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen, verband houdende met de grond ras of etnische afkomst, op te heffen of te verminderen, en slechts voor zover:
-
1°. de verwerking voor dat doel noodzakelijk is;
2°. de gegevens betrekking hebben op het geboorteland van de betrokkene, diens ouders of diens grootouders, dan wel op andere, bij wet vastgestelde criteria op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een bepaalde etnische of culturele minderheidsgroep behoort; en
3°. de betrokkene tegen de verwerking geen schriftelijk bezwaar heeft gemaakt.
Memorie van Toelichting - Toelichting op art. 25 UAVG
(is ontleend aan het thans geldende artikel van de 18 van de Wbp)
Dit artikel is van gelijke strekking als artikel 18 van de Wbp, en voorziet in de mogelijkheid om om redenen van zwaarwegend algemeen belang af te wijken van het verbod om persoonsgegevens te verwerken waaruit iemands ras of etnische afkomst blijkt. De verordening biedt hiertoe ruimte om redenen van zwaarwegend algemeen belang als bedoeld in artikel 9, tweede lid, onderdeel g, van de verordening. Het begrip ‘ras’ als bedoeld in artikel 18 van de Wbp wordt ook thans reeds ruim uitgelegd en omvat ook het begrip ‘etnische afkomst’.[13] Er is, met andere woorden, door het toevoegen van ‘etnische afkomst’ aangesloten bij de terminologie van de verordening maar er is daarmee geen materiële wijziging ten opzichte van artikel 18 van de Wbp beoogd.
Onderdeel a bepaalt dat het verbod om gegevens waaruit iemands ras of etnische afkomst blijkt te verwerken met het oog op de identificatie van de betrokken persoon niet van toepassing is voor zover dat voor dat doel onvermijdelijk is.
Onderdeel b maakt het mogelijk om van onder andere leden van etnische of culturele minderheidsgroeperingen gegevens te verwerken om een voorkeursbehandeling te geven indien daarmee wordt beoogd feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen. Hieronder valt ook de verwerking door scholen van gegevens met het oog op het verkrijgen van extra financiële middelen om onderwijsachterstanden van onder andere allochtone leerlingen in te lopen. Er gelden in dat geval drie voorwaarden:
- De verwerking is alleen toegestaan voor zover deze noodzakelijk is voor het doel van de verwerking, te weten de verwezenlijking van het voorkeursbeleid. Deze voorwaarde vloeit ook voort uit artikel 2, derde lid, van de Algemene wet gelijke behandeling.
- In de tweede plaats moet de verwerking beperkt blijven tot gegevens omtrent iemands geboorteland, het geboorteland van diens ouders of van diens grootouders of een ander, bij formele wet vastgesteld criterium, op grond waarvan op objectieve wijze kan worden vastgesteld dat betrokkene tot een bepaalde culturele of etnische minderheidsgroep behoort.
- De verwerking van gegevens waaruit iemands ras of etnische afkomst blijkt in het kader van voorkeursbeleid is niet toegestaan, indien de betrokkene daartegen schriftelijk bezwaar maakt, ongeacht de vraag of dit bezwaar ook effect zou hebben gesorteerd onder artikel 21 van de verordening.
Artikel 26¶
Uitzonderingen inzake verwerking persoonsgegevens waaruit politieke opvattingen blijken voor vervulling openbare functies¶
Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om persoonsgegevens te verwerken waaruit politieke opvattingen blijken, niet van toepassing, indien de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescolleges.
Memorie van Toelichting - Toelichting op art. 26 UAVG
(is ontleend aan het thans geldende artikel 19, eerste lid, onderdeel b, van de Wbp)
In dit artikel wordt voorzien in continuering van artikel 19, eerste lid, onderdeel b, van de Wbp. Voor het overige wordt artikel 19 van de Wbp overbodig, vanwege het bepaalde in artikel 9, tweede lid, onderdeel d, van de verordening. Voor verwerkingen van persoonsgegevens waaruit politieke opvattingen blijken, kan in verband met benoemingen in bepaalde openbare functies een beroep worden gedaan op het onderhavige artikel. Dergelijke gegevens spelen bijvoorbeeld een belangrijke rol bij burgemeestersbenoemingen. De verwerking van de gegevens omtrent politieke opvattingen kan alleen als er ook eisen met betrekking tot politieke gezindheid zijn gesteld. Dit is onder omstandigheden toegestaan door artikel 5 van de Algemene wet gelijke behandeling.14
Artikel 27¶
Uitzonderingen inzake verwerking persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken voor geestelijke verzorging¶
-
Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om persoonsgegevens te verwerken waaruit religieuze of levensbeschouwelijke overtuigingen blijken, niet van toepassing, indien de verwerking geschiedt door andere instellingen dan de instellingen, bedoeld in artikel 22, tweede lid, onderdeel c, en voor zover de verwerking noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaakt.
-
In de gevallen, bedoeld in het eerste lid, worden geen persoonsgegevens aan derden verstrekt zonder toestemming van de betrokkene.
Memorie van Toelichting - Toelichting op art. 27 UAVG
(is ontleend aan het thans geldende artikel 17, eerste lid, onderdeel c, van de Wbp)
Voor het continueren van artikel 17, eerste lid, onderdeel c, van de Wbp is het noodzakelijk om een nationale wettelijke basis te creëren. In artikel 27 wordt hierin voorzien. Het regelt een uitzondering op het verwerkingsverbod inzake persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken ten behoeve van de geestelijke verzorging in of ten behoeve van het leger, gevangenissen, ziekenhuizen, verpleeghuizen en andere instellingen die zelf geen religieuze doelstelling hebben. Deze instellingen vallen wegens het ontbreken van een dergelijke doelstelling niet onder de rechtstreeks werkende uitzondering van artikel 9, tweede lid, onder d, van de verordening (artikel 22, tweede lid, onderdeel c, van dit wetsvoorstel).
Artikel 28¶
Uitzonderingen inzake genetische gegevens¶
-
Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om genetische gegevens te verwerken niet van toepassing, indien deze verwerking plaatsvindt met betrekking tot de betrokkene bij wie de desbetreffende gegevens zijn verkregen.
-
In andere gevallen dan bedoeld in het eerste lid, is het verbod om genetische gegevens te verwerken uitsluitend niet van toepassing, indien:
a. | een zwaarwegend geneeskundig belang prevaleert; of
- b. | de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek dat een algemeen belang dient of ten behoeve van statistiek, indien:
-
1°. de betrokkene uitdrukkelijke toestemming heeft gegeven; en
-
2°. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
-
Toestemming als bedoeld in het tweede lid, onderdeel b, is niet vereist, indien het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning vergt.
Memorie van Toelichting - Toelichting op art. 28 UAVG
(is ontleend aan het thans geldende artikel 21, vierde lid, van de Wbp)
In artikel 28 van de Uitvoeringswet wordt invulling gegeven aan de ruimte die artikel 9, vierde lid, van de verordening laat voor het handhaven van bijkomende voorwaarden met betrekking tot de verwerking van genetische gegevens. Het artikel is ontleend aan artikel 21, vierde lid, van de Wbp. Materieel wordt geen wijziging beoogd van de voorwaarden waaronder deze gegevens verwerkt kunnen worden.
De onderhavige bepaling laat onverlet dat de voorwaarden waaronder bij betrokkenen erfelijke gegevens mogen worden vergaard, zijn te vinden in specifieke wetgeving, zoals (artikel 5 van) de Wet op de medische keuringen.
Het eerste lid regelt dat de verwerking van genetische gegevens alleen is toegestaan met betrekking tot de betrokken persoon die de genetische gegevens heeft geleverd. De verwerking is dus niet toegestaan in andere gevallen: wanneer de verwerking zou plaatsvinden met betrekking tot anderen in dezelfde genetische lijn. Het is niet relevant of de betrokkene of enig familielid in dezelfde genetische lijn daarvoor uitdrukkelijke toestemming zou geven.15 Het doel van het eerste artikellid is namelijk om te voorkomen dat mogelijke erfelijke tekortkomingen buiten de betrokken persoon om, aan hen worden tegengeworpen.
Het tweede lid geeft twee uitzonderingen op deze regel en regelt het zogenoemde ‘bovenpersoonlijk gebruik’. Genetische gegevens mogen buiten hetgeen in het eerste lid is bepaald ook worden verwerkt wanneer: a. een zwaarwegend geneeskundig belang prevaleert. Dat is bijvoorbeeld het geval wanneer uit erfelijkheidsonderzoek blijkt dat behandeling van anderen dan de betrokkene (namelijk familieleden) wellicht noodzakelijk is. In dat geval moet het in het belang van die anderen niet zonder meer verboden zijn op grond van de Uitvoeringswet om hen daaromtrent te benaderen;16 of b. de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek of statistiek en:
- betrokkene hiervoor uitdrukkelijke toestemming heeft gegeven;
- het onderzoek een algemeen belang dient; en
- bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
Het woord ‘uitsluitend’ in de aanhef van het tweede lid brengt tot uitdrukking dat de uitzonderingsgronden van artikel 9, tweede lid, van de verordening, niet van toepassing zijn op de verwerking van genetische gegevens met betrekking tot anderen dan degene bij wie de gegevens oorspronkelijk zijn verkregen. Artikel 9, vierde lid, van de verordening, laat op dit punt ruimte voor bijkomende voorwaarden in het lidstatelijk recht, die aldus wordt benut.
Het derde lid bepaalt dat toestemming achterwege kan blijven voor zover het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning vergt. Deze voorwaarden golden ook onder de Wbp via het van toepassing verklaren van artikel 23, eerste lid, onderdeel a, en tweede lid, van de Wbp.
Indien het verbod op verwerking van genetische gegevens is opgeheven, dan moet er vanzelfsprekend nog steeds een grondslag voor de gegevensverwerking worden gevonden in artikel 6 van de verordening. Dit geldt voor iedere verwerking van bijzondere categorieën van persoonsgegevens die zijn uitgezonderd van het verwerkingsverbod op grond van artikel 9, eerste lid, van de verordening. Daarnaast kunnen bepalingen uit andere wetten ook van toepassing zijn, zoals artikel 458 van Boek 7 van het Burgerlijk Wetboek wanneer het gaat om wetenschappelijk onderzoek met genetische gegevens die zijn verkregen in de sfeer van de gezondheidszorg.
Artikel 29¶
Uitzonderingen inzake biometrische gegevens¶
Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Memorie van Toelichting - Toelichting op art. 29 UAVG
In dit artikel wordt invulling gegeven aan de ruimte die artikel 9, tweede lid, onderdeel g, laat voor het opnemen van een uitzondering op het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken. De technische mogelijkheden om met behulp van biometrische kenmerken van een persoon iemand te identificeren zijn sterk in ontwikkeling.
Bij biometrische gegevens kan het gaan om bijvoorbeeld vingerafdrukken, gezichtsherkenning of irisscans. Verder is overweging 51 van de verordening relevant: “De verwerking van foto's mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën van persoonsgegevens, aangezien foto's alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken.”
Biometrische gegevens werden onder richtlijn 95/46/EG niet aangemerkt als een bijzonder persoonsgegeven. In de afgelopen jaren is het belang van biometrische gegevens voor de identificatie van personen sterk toegenomen. In sommige gevallen, zoals bijvoorbeeld in het vreemdelingenrecht, gebeurt dit op basis van een specifieke Europeesrechtelijke grondslag in de Eurodac-verordening en op basis van een specifieke grondslag in de Vreemdelingenwet 2000. Ook voor andere identiteitsdocumenten (reisdocumenten en rijbewijzen) geldt dat de verwerking van biometrie is geregeld in Europese verordeningen en nationale specifieke wetgeving.
In de publieke en private sector zijn biometrische systemen sterk in opkomst voor bijvoorbeeld het reguleren van de toegang tot bepaalde plaatsen en gebouwen, maar ook toegang tot informatiesystemen. Veel voorkomend is de situatie waarin bijvoorbeeld klanten of werknemers zich identificeren met behulp van biometrie. De huidige rechtsgrondslag hiervoor is het gerechtvaardigd belang van de verwerkingsverantwoordelijke, opgenomen in artikel 8, onderdeel f, van de Wbp. Hoewel deze rechtsgrondslag ook is opgenomen in artikel 6, eerste lid, onderdeel f, van de verordening zal deze zonder nadere lidstatelijke regeling geen basis kunnen zijn voor verwerking van biometrische gegevens, omdat biometrische gegevens straks onder het verbod van artikel 9, eerste lid, van de verordening vallen.
Net als bij andere bijzondere categorieën van persoonsgegevens is het onder omstandigheden ook bij biometrische gegevens mogelijk om de toestemming van de betrokkene als grondslag te hanteren voor het verwerken, maar hiervoor is wel vereist dat betrokkene de toestemming in vrijheid kan geven (op grond van artikel 9, tweede lid, onderdeel a, van de verordening jo. het voorgestelde artikel 22, tweede lid, onderdeel a). Of deze toestemming in vrijheid wordt gegeven, hangt af van de omstandigheden van het geval. In de relatie tussen klant en aanbieder zal in sommige gevallen wel kunnen worden uitgegaan van de vrije toestemming. Juist in de relatie tussen werknemer en werkgever zal de werknemer in de praktijk in redelijkheid echter nauwelijks toestemming kunnen weigeren, zeker wanneer de toegang tot bepaalde plaatsen noodzakelijk is voor de uitoefening van de werkzaamheden, in het bijzonder de toegang tot specifieke plaatsen, gebouwen, apparatuur en informatiesystemen.
Het afzien van een nationale uitzondering voor biometrische gegevens zou, gelet op het voorgaande, betekenen dat de bestaande ontwikkelingen in het gebruik van biometrie als identificatiemiddel sterk gehinderd zouden worden. Bestaande verwerkingen van biometrische gegevens, zoals bijvoorbeeld die in de relatie tussen werkgever en werknemer zouden hun rechtsgrondslag verliezen. Dit is niet wenselijk. Er dient wel een afweging te worden gemaakt of identificatie met biometrische gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden. De werkgever zal dan moeten afwegen of de gebouwen en informatiesystemen zodanig beveiligd moeten zijn dat dit met biometrie dient plaats te vinden. Dit zal het geval zijn als de toegang beperkt dient te zijn tot bepaalde personen die daartoe geautoriseerd zijn, zoals bij een kerncentrale. Het verwerken van biometrische gegevens dient ook proportioneel te zijn. Als het om de toegang tot een garage van een reparatiebedrijf gaat, zal de noodzaak van de beveiliging niet zodanig zijn dat werknemers alleen met biometrie toegang kunnen krijgen en daartoe deze gegevens worden vastgelegd om de toegangscontrole uit te oefenen. Aan de andere kant kan biometrie soms juist een belangrijke vorm van beveiliging zijn voor bijvoorbeeld informatiesystemen, die zelf veel persoonsgegevens bevatten, waarbij onrechtmatige toegang, ook van werknemers, moet worden voorkomen. Om deze afweging mogelijk te maken in omstandigheden waarin toestemming niet in vrijheid kan worden gegeven, is in het wetsvoorstel een bepaling opgenomen die een uitzondering op het verbod voor verwerking van biometrische gegevens mogelijk maakt met het oog op de identificatie van de betrokkene, indien dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Uit artikel 32 van de verordening vloeit onder meer reeds voort dat in dat geval passende technische en organisatorische maatregelen moeten worden getroffen ter beveiliging van deze gegevens.
Artikel 30¶
Uitzonderingen inzake gegevens over gezondheid¶
-
Gelet op artikel 9, tweede lid, onderdeel b, van de verordening, is het verbod om gegevens over gezondheid te verwerken niet van toepassing, indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk is voor:
a. | een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene; of
b. | de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid.
-
Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om gegevens over gezondheid te verwerken niet van toepassing, indien de verwerking geschiedt door:
a. | scholen, voor zover de verwerking met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is;
b. | een reclasseringsinstelling, een bijzondere reclasseringsambtenaar, de raad voor de kinderbescherming, de gecertificeerde instelling, bedoeld in artikel 1.1 van de Jeugdwet, of de rechtspersoon, bedoeld in artikel 256, eerste lid, of artikel 302, tweede lid, van Boek 1 van het Burgerlijk Wetboek, voor zover de verwerking noodzakelijk is voor de uitvoering van de aan hen opgedragen wettelijke taken; of
c. | Onze Minister en Onze Minister van Justitie en Veiligheid voor zover de verwerking in verband met de tenuitvoerlegging van vrijheidsbenemende maatregelen noodzakelijk is.
-
Gelet op artikel 9, tweede lid, onderdeel h, van de verordening, is het verbod om gegevens over gezondheid te verwerken niet van toepassing indien de verwerking geschiedt door:
a. | hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk; of
- b. | verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht of financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voor zover de verwerking noodzakelijk is voor:
-
1°. de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt; of
-
2°. de uitvoering van de overeenkomst van verzekering dan wel het assisteren bij het beheer en de uitvoering van de verzekering.
-
Indien toepassing wordt gegeven aan het eerste, tweede of derde lid, worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die krachtens het eerste, tweede of derde lid bevoegd zijn tot verwerking daarvan.
-
Het verbod om andere bijzondere categorieën van persoonsgegevens te verwerken is niet van toepassing, indien de verwerking noodzakelijk is in aanvulling op de verwerking van gegevens over gezondheid, bedoeld in het derde lid, aanhef en onderdeel a, met het oog op een goede behandeling of verzorging van de betrokkene.
-
Bij algemene maatregel van bestuur kunnen omtrent de toepassing van het eerste lid en het derde lid, aanhef en onderdeel b, nadere regels worden gesteld.
Memorie van Toelichting - Toelichting op art. 30 UAVG
(is ontleend aan het thans geldende artikel 21 van de Wbp)
Dit artikel gaat over persoonsgegevens over gezondheid. Volgens overweging 35 van de verordening omvat die term “alle gegevens (...) die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst”.
In het onderhavige artikel wordt invulling gegeven aan de ruimte die artikel 9, tweede lid, onderdelen b, g en h, laat voor het opnemen van een uitzondering op het verbod om bijzondere categorieën van persoonsgegevens te verwerken indien dit noodzakelijk is op het terrein van arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, om redenen van zwaarwegend algemeen belang en voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten. Het voorgestelde artikel 30 is materieel van gelijke strekking als artikel 21 van de Wbp.
Het onderhavige artikel bevat geen uitputtende regeling van de verwerking van gegevens over iemands gezondheid. Artikel 30 dient ook steeds in samenhang te worden bezien met het medisch beroepsgeheim (artikel 457 van Boek 7 van het Burgerlijk Wetboek en artikel 88 van de Wet op de beroepen in de individuele gezondheidszorg). Het kan zich voordoen dat in een geval waarin op grond van artikel 30 het verbod om medische gegevens te verwerken niet van toepassing is, het medische beroepsgeheim toch aan de gegevensverwerking in de weg kan staan. Dit betekent dat verstrekking van gezondheidsgegevens eerst moet worden getoetst aan de regels voor doorbreking van het medisch beroepsgeheim. Pas wanneer verstrekking van gezondheidsgegevens niet in strijd is met het medisch beroepsgeheim, komt men toe aan toetsing aan het onderhavige artikel. Als daaraan is voldaan (een beroep op de uitzondering op het algemene verbod van artikel 9, eerste lid, van de verordening is mogelijk), dan moet nog een grondslag aanwezig zijn in de zin van artikel 6 van de verordening. Afhankelijk van het geval kan worden gedacht aan de grondslag van de wettelijke plicht
(artikel 6, eerste lid, onderdeel c), de uitvoering van een (behandel)overeenkomst (artikel 6, eerste lid, onderdeel b) of uitdrukkelijke toestemming (artikel 9, tweede lid, onderdeel a, jo. 6, eerste lid, onderdeel a).
Naast de algemene bepalingen die in de Wbp stonden, gelden ook andere bepalingen in bijzondere wetten over de verwerking van gezondheidsgegevens door werkgevers in verband met het tot stand komen van dienstbetrekkingen. Deze bepalingen blijven van kracht, zoals de Wet op de medische keuringen en Wet gelijke behandeling op grond van handicap of chronische ziekte. Daarnaast geldt op grond van de Ziektewet de keuzevrijheid van de werknemer om zijn werkgever niet direct bij aanvang van de dienstbetrekking op verzoek te informeren over bepaalde beperkingen (artikel 38b Ziektewet).
Eerste lid: socialezekerheidsrechtelijke verwerkingen (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel f, van de Wbp)
Dit onderdeel omvat de verwerking van gegevens over gezondheid in de sfeer van de sociale zekerheid door bestuursorganen, pensioenfondsen en werkgevers, alsmede instellingen die voor hen werkzaam zijn.
Onderdeel a: aanspraken die afhankelijk zijn van de gezondheidstoestand (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel f, subonderdeel 1°, van de Wbp)
In dit onderdeel is bepaald dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen of werkgevers, dan wel instellingen die voor hen werkzaam zijn, voor zover dat noodzakelijk is voor een goede uitvoering van wettelijke voorschriften of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van betrokkene. Zo zijn werkgevers op grond van artikel 7:629 van het Burgerlijk Wetboek (loondoorbetalingsverplichting) verplicht om zieke werknemers twee jaar lang loon door te betalen. In samenhang gelezen met het onderhavige artikel 30, eerste lid, onderdeel a, mag de werkgever gegevens over de gezondheid van zieke werknemers verwerken voor zover die noodzakelijk zijn om het recht op loondoorbetaling vast te stellen. Indien een werknemer zich ziek meldt, hoeft hij zijn werkgever dus niet tevens de aard en de oorzaak van de ziekte mede te delen, want dat is niet noodzakelijk voor de vaststelling van het recht op loondoorbetaling.17
De verwerking van gegevens over gezondheid kan ook noodzakelijk zijn om te beoordelen of een bepaalde voorziening noodzakelijk is. Daarbij valt te denken aan uitkeringen in verband met arbeidsongeschiktheid of andere materiële voorzieningen of verstrekkingen die samenhangen met de gezondheidstoestand waarin de betrokkene zich bevindt, zoals speciale voorzieningen in een woning in verband met een lichamelijke handicap. Al deze regelingen zijn ondergebracht onder de noemer ‘aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene’.
Onderdeel b: re-integratie of begeleiding van werknemers of uitkeringsgerechtigden (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel f, subonderdeel 2°, van de Wbp)
Uit dit onderdeel volgt dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen of werkgevers, dan wel instellingen die voor hen werkzaam zijn, voor zover de verwerking noodzakelijk is voor de re- integratie of begeleiding van werknemers of uitkeringsgerechtigden. De noodzakelijkheidseis begrenst ook hier de aard en omvang van de gegevens die mogen worden verwerkt. Een duidelijk voorbeeld hiervan betreft de arbeidsongeschiktheidswetgeving. Gegevens over de medische achtergronden van de arbeidsongeschiktheid mogen niet door de werkgever worden verwerkt. Werkgevers mogen enkel gegevens verwerken omtrent het feit dat en de mate waarin iemand arbeidsongeschikt is, alsmede de periode van arbeidsongeschiktheid.18
Tweede lid: verwerkingen in verband met zwaarwegend algemeen belang
Onderdeel a: scholen (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel c, van de Wbp)
Dit onderdeel regelt voor scholen op beperkte schaal een uitzondering om gezondheidsgegevens te verwerken. Het betreft hier onderwijs aan leerlingen die speciale begeleiding nodig hebben of voor wie in verband met hun gezondheidstoestand bijzondere voorzieningen moeten worden getroffen. Om aan deze doelstelling te kunnen voldoen, moeten de scholen gezondheidsgegevens kunnen vastleggen. De noodzakelijkheidseis brengt met zich dat alleen gezondheidsgegevens mogen worden verwerkt van leerlingen die in verband met hun gezondheidstoestand voor de hier bedoelde speciale begeleiding of bijzondere voorziening in aanmerking komen. Verwerking van gezondheidsgegevens van andere leerlingen is niet toegestaan. Voorts mag verwerking alleen plaatsvinden voor zover dat voor dat doel noodzakelijk is. Dit stelt niet alleen grenzen aan de aard en omvang van de gegevens die mogen worden verwerkt, maar ook aan de kring van personen die binnen een school van deze gegevens kennis mogen nemen.19
Onderdeel b: reclasseringsinstellingen en jeugdinstellingen (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel d, van de Wbp)
Dit onderdeel biedt de reclassering, de raad voor de kinderbescherming en gecertificeerde instellingen in de zin van de Jeugdwet de mogelijkheid hun taken uit te voeren voor zover deze een basis hebben in de wet. Daarnaast heeft dit onderdeel betrekking op de in artikelen 256, eerste lid, en 302, tweede lid, van Boek 1 van het Burgerlijk Wetboek bedoelde rechtspersoon. Volgens het Besluit aanvaarding rechtspersoon Burgerlijk Wetboek Boek 1 gaat het hier om Nidos.20
Onderdeel c: vrijheidsbenemende maatregelen (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel e, van de Wbp)
Dit onderdeel bepaalt dat het verbod om gezondheidsgegevens te verwerken niet van toepassing is indien de verwerking geschiedt door de Minister voor Rechtsbescherming of de Minister van Justitie en Veiligheid voor zover dat noodzakelijk is in verband met de tenuitvoerlegging van vrijheidsbenemende maatregelen. Afgezien van verwerking ten behoeve van een adequate medische behandeling en verzorging kunnen gezondheidsgegevens van belang zijn voor de bejegening van de betrokkene door het personeel en voor de verstrekking van een eventueel dieet. Verder kunnen gegevens omtrent gezondheid relevant zijn voor de wijze waarop betrokkenen moeten worden vervoerd. Voorts valt te denken aan gegevensverwerking in het kader van de tenuitvoerlegging van de vreemdelingenbewaring.21 Ten opzichte van artikel 21 van de Wbp is het toepassingsbereik van dit onderdeel beperkt tot vrijheidsbenemende maatregelen door het schrappen van vrijheidsstraffen. De reden hiervoor is dat de tenuitvoerlegging van vrijheidsstraffen onder de reikwijdte van de richtlijn gegevensbescherming opsporing en vervolging valt en derhalve niet in de uitvoeringwet thuishoort, maar in de implementatiewetgeving voor deze richtlijn. In de praktijk zal dit geen betekenis hebben.
Derde lid: verwerkingen om medische redenen en voor het beheer van gezondheidsdiensten en sociale stelsels
Onderdeel a: hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel a, van de Wbp)
Dit onderdeel is een uitzondering op het verbod om gezondheidsgegevens te verwerken voor hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening. Dit betekent dat gegevens omtrent gezondheid niet alleen mogen worden verwerkt door ziekenhuizen en andere medische instellingen, maar ook door instanties op het terrein van de maatschappelijke dienstverlening voor zover een goede behandeling van de betrokkene dit noodzakelijk maakt of wanneer het voor het beheer van de desbetreffende instelling of voorziening noodzakelijk is. Te denken valt aan verzorgingshuizen en instanties voor jeugdzorg. Voorts staat deze bepaling toe dat individuele hulpverleners die niet bij voornoemde instellingen werkzaam zijn, maar bijvoorbeeld een zelfstandige praktijk uitoefenen, gezondheidsgegevens verwerken.22 Het begrip ‘beheer’ dient in dit onderdeel te worden uitgelegd als het waarborgen van de kwaliteit van de verleende zorg, intercollegiale toetsing door hulpverleners onderling (kwaliteitsbeheer) en de betaling van rekeningen voor medische behandeling. Dit laatste geldt zowel voor een instelling als bijvoorbeeld een ziekenhuis als een beroepspraktijk van een individuele hulpverlener.23
Onderdeel b: verzekeraars (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel b, van de Wbp)
Uit de verwijzingen naar artikel 1:1 van de Wft volgt dat het in dit onderdeel uitsluitend gaat om herverzekeringen, levensverzekeringen, natura-uitvaartverzekeringen en schadeverzekeringen. Voorbeelden van schadeverzekeringen zijn de zorgverzekering en de ongevallenverzekering. Verzekeraars hebben weliswaar veelal een contractuele relatie met een verzekerde, maar daarbij kan niet steeds worden uitgegaan van een op gegevensverwerking gerichte, uitdrukkelijke toestemming van de betrokkene. In veel gevallen zal daarom de verwerking van gegevens over gezondheid door verzekeraars niet gebaseerd kunnen worden op artikel 9, tweede lid, onderdeel a, van de verordening. Om elke twijfel daarover uit te sluiten bevat dit onderdeel een uitzondering voor deze verwerkingen op het algemene verbod van artikel 9, eerste lid, van de verordening.
Subonderdeel 1 regelt de situatie waarin iemand een aanvraag invult voor het verkrijgen van een bepaalde verzekering en in dat kader gegevens omtrent gezondheid verstrekt. Deze gegevens zijn nodig ter beoordeling van het door de verzekeraar te verzekeren risico. De aspirant-verzekerde dient voorafgaand aan de afsluiting van de overeenkomst de gelegenheid te worden geboden om tegen een zodanige verwerking bezwaar te maken (artikel 13, tweede lid, onderdeel b, van de verordening). Het aantekenen van bezwaar kan uiteraard tot gevolg hebben dat de verzekeraar afziet van het sluiten van de overeenkomst indien naar zijn opvatting onvoldoende gegevens beschikbaar zijn om het risico adequaat te beoordelen.24
Subonderdeel 2 gaat over situaties die zich vervolgens kunnen voordoen bij de uitvoering van de verzekeringsovereenkomst, waarbij verzekeraars gezondheidsgegevens verwerken. Daarvoor regelt deze bepaling dat de verwerking van gegevens over gezondheid geoorloofd is voor zover dat met het oog op dat doel noodzakelijk is. Deze norm zal toepassing kunnen vinden gedurende de periode dat de overeenkomst wordt uitgevoerd.25 Onderdeel b is blijkens de aanhef niet alleen van toepassing op verzekeraars als bedoeld in artikel 1:1 Wft, maar ook op financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 Wft (tussenpersonen). Onder ‘bemiddelen’ wordt in de Wft mede verstaan: ‘het assisteren bij het beheer en de uitvoering van een verzekering’. In subonderdeel 2 is ten opzichte van artikel 21 van de Wbp een redactionele verheldering toegevoegd, waardoor tot uitdrukking komt dat verwerking van gegevens betreffende de gezondheid ook noodzakelijk kan zijn bij het assisteren bij het beheer en de uitvoering van de verzekering.
Vierde lid: geheimhouding (artikel 9, derde lid, van de verordening en is ontleend aan het thans geldende artikel 21, tweede lid, van de Wbp)
Deze bepaling regelt dat persoonsgegevens over iemands gezondheid in principe alleen mogen worden verwerkt door personen met een geheimhoudingsplicht die voortvloeit uit ambt, beroep, wettelijk voorschrift of overeenkomst (dat kan bijvoorbeeld een arbeidsovereenkomst zijn). Indien echter op grond van het eerste, tweede of derde lid personen die niet zijn gebonden aan een dergelijke geheimhoudingsplicht, gegevens over de gezondheid verwerken, dan geldt door het vierde lid een ‘gelijkwaardige geheimhoudingsplicht’.26 Deze bepaling is een invulling van het laatste zinsdeel van artikel 9, derde lid, van de verordening.
Vijfde lid: aanvulling op verwerking persoonsgegevens over gezondheid (is ontleend aan het thans geldende artikel 21, derde lid, van de Wbp)
Het vijfde lid betreft de specifieke situatie waarin in het belang van een goede geneeskundige behandeling en verzorging van patiënten, in aanvulling op gezondheidsgegevens, andere bijzondere categorieën van persoonsgegevens moeten worden verwerkt. Het vijfde lid biedt een uitzondering op het verbod voor de verwerking van andere gevoelige persoonsgegevens in deze specifieke situatie.27
Zesde lid: delegatiegrondslag (is ontleend aan het thans geldende artikel 21, vijfde lid, van de Wbp)
Het zesde lid bepaalt dat omtrent de toepassing van het eerste lid en het derde lid, aanhef en onderdeel b, nadere regels kunnen worden gesteld. De mogelijkheid hiertoe dient om te kunnen komen tot een precisering van de noodzakelijkheidseis met het oog op de verwerking van gezondheidsgegevens in de sociale zekerheid en verzekeringen.
Paragraaf 3.2. Persoonsgegevens van strafrechtelijke aard
Artikel 31¶
Uitzonderingen op de verplichting tot verwerking onder overheidstoezicht¶
Onverminderd artikel 10 van de verordening mogen persoonsgegevens van strafrechtelijke aard alleen worden verwerkt voor zover dit krachtens de artikelen 32 en 33 is toegestaan.
Art. 10 AVG
Memorie van Toelichting - Toelichting op art. 31 UAVG
Artikel 31 regelt dat de verwerking van persoonsgegevens van strafrechtelijke aard alleen is toegestaan met inachtneming van de artikelen 32 en 33. Dit geldt uiteraard onverminderd artikel 10 van de verordening, waarin de verwerking van persoonsgegevens van strafrechtelijke aard ook wordt toegestaan indien dit geschiedt onder toezicht van de overheid. De artikelen 32 en 33 van de Uitvoeringswet zijn een uitwerking van de mogelijkheid die artikel 10 van de verordening biedt om de verwerking van persoonsgegevens van strafrechtelijke aard toe te staan bij lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Het begrip persoonsgegevens van strafrechtelijke aard heeft betrekking op zowel veroordelingen als op min of meer gegronde verdenkingen. Het begrip ‘strafrechtelijke gegevens’ omvat mede gegevens omtrent de toepassing van het formele strafrecht, bijvoorbeeld het gegeven dat iemand is gearresteerd of dat tegen hem proces-verbaal is opgemaakt wegens een bepaald vergrijp.28 Doordat artikel 10 van de verordening ook de term ‘strafbare feiten’ bevat (in de Engelse versie: offences)29 is duidelijk dat ook onder de verordening zowel verdenkingen als veroordelingen onder het bereik van de bepaling vallen.30 Op grond van de definitiebepaling van artikel 1 van de Uitvoeringswet vallen ook persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag onder de definitie van persoonsgegevens van strafrechtelijke aard. Anders dan onder de Wbp zijn strafrechtelijke gegevens niet aangemerkt als bijzondere categorie van persoonsgegevens onder de verordening. Artikel 10 bevat evenwel de voorwaarden voor het verwerken van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. In de artikelen 32 en 33 van de Uitvoeringswet wordt invulling gegeven aan de ruimte die artikel 10 van de verordening biedt. Inhoudelijk wordt nauw aangesloten bij het thans geldende artikel 22 van de Wbp. Vanwege het vervallen van het voorafgaand onderzoek is artikel 22, vierde lid, onderdeel c, van de Wbp in aangepaste vorm overgenomen in artikel 33, vierde lid, onderdeel c, en vijfde lid, van de Uitvoeringswet (zie de toelichting op artikel 33).
Artikel 32¶
Algemene uitzonderingsgronden inzake gegevens van strafrechtelijke aard¶
Persoonsgegevens van strafrechtelijke aard mogen worden verwerkt, indien:
a. | de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden;
b. | de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon, indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;
c. | de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
d. | de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;
e. | de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang als bedoeld in artikel 23, onderdelen a en b; of
f. | de verwerking noodzakelijk is met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, eerste lid, van de verordening, en is voldaan aan de voorwaarden, bedoeld in artikel 24, onderdelen b tot en met d.
Art. 10 AVG
Memorie van Toelichting - Toelichting op art. 32 UAVG
Deze uitzonderingen zijn kopieën van diverse algemene uitzonderingen voor bijzondere categorieën van persoonsgegevens. Wat hiervoor over die bepalingen is gezegd, geldt mutatis mutandis ook voor persoonsgegevens van strafrechtelijke aard, met dien verstande dat de basis voor artikel 32 te vinden is in artikel 10 van de verordening.
Bijzondere categorieën van persoonsgegevens | Persoonsgegevens van strafrechtelijke aard | |
---|---|---|
uitdrukkelijke toestemming vitale belangen | Art. 22, eerste lid, onderdeel a | Art. 32, onderdeel a |
kennelijk openbaar gemaakte gegevens verdediging van een recht in rechte volkenrechtelijke verplichting | Art. 22, eerste lid, onderdeel b | Art. 32, onderdeel b |
verwerking door ombudslieden of Autoriteit persoonsgegevens | Art. 22, eerste lid, onderdeel d | Art. 32, onderdeel c |
uitdrukkelijke toestemming vitale belangen | Art. 22, eerste lid, onderdeel e | Art. 32, onderdeel d |
kennelijk openbaar gemaakte gegevens verdediging van een recht in rechte volkenrechtelijke verplichting | Art. 23, onderdeel a | Art. 32, onderdeel e |
verwerking door ombudslieden of Autoriteit persoonsgegevens | Art. 23, onderdeel b | Art. 32, onderdeel e |
verwerking voor wetenschappelijk en historisch onderzoek en statistische doeleinden | Art. 24 | Art. 32, onderdeel f |
Artikel 33¶
Overige uitzonderingsgronden inzake gegevens van strafrechtelijke aard¶
-
Persoonsgegevens van strafrechtelijke aard mogen worden verwerkt, indien:
a. | de verwerking geschiedt door organen die krachtens de wet zijn belast met de toepassing van het strafrecht, dan wel door verwerkingsverantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevens;
- b. | de verwerking geschiedt door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken, indien:
-
1°. de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken; en
-
2°. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; of
c. | de verwerking noodzakelijk is in aanvulling op de verwerking van gegevens over gezondheid, bedoeld in artikel 30, derde lid, aanhef en onderdeel a, met het oog op een goede behandeling of verzorging van de betrokkene.
-
Persoonsgegevens van strafrechtelijke aard mogen worden verwerkt door de verwerkingsverantwoordelijke die deze gegevens ten eigen behoeve verwerkt:
a. | ter beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren; of
b. | ter bescherming van zijn belangen, voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn.
-
Persoonsgegevens van strafrechtelijke aard over personeel in dienst van de verwerkingsverantwoordelijke mogen uitsluitend worden verwerkt, indien dit geschiedt overeenkomstig regels die zijn vastgesteld in overeenstemming met de procedure bedoeld in de Wet op de ondernemingsraden.
-
Persoonsgegevens van strafrechtelijke aard mogen ten behoeve van derden worden verwerkt:
a. | door verwerkingsverantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus;
b. | indien deze derde een rechtspersoon is die in dezelfde groep is verbonden als bedoeld in artikel 24b van Boek 2 van het Burgerlijk Wetboek; of
c. | indien de Autoriteit persoonsgegevens met inachtneming van het vijfde lid een vergunning voor de verwerking heeft verleend.
-
Een vergunning als bedoeld in het vierde lid, onderdeel c, kan slechts worden verleend, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Aan de vergunning kunnen voorschriften worden verbonden.
Art. 10 AVG
Memorie van Toelichting - Toelichting op art. 33 UAVG
(is ontleend aan het thans geldende artikel 22 van de Wbp)
Eerste lid (is ontleend aan het thans geldende artikel 22, eerste en zesde lid, van de Wbp)
Het eerste lid regelt vier situaties:
- Verwerking door organen belast met strafrechtelijke handhaving (is ontleend aan het thans geldende artikel 22, eerste lid, van de Wbp). Hiermee is vastgelegd dat strafrechtelijke persoonsgegevens mogen worden verwerkt door organen die op basis van de wet belast zijn met de strafrechtelijke handhaving. Dit laat toepasselijkheid van de Wet justitiële en strafvorderlijke gegevens en de Wet politiegegevens onverlet. - Verwerking na verkrijging op grond van Wpg of Wjsg (is ontleend aan het thans geldende artikel 22, eerste lid, van de Wbp). Hiermee is geregeld dat persoonsgegevens van strafrechtelijke aard mogen worden verwerkt als derden deze krachtens de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevens hebben verkregen. Voornoemde wetten regelen de rechtmatige gegevensverstrekking aan derden in specifieke gevallen en voor bepaalde doeleinden. Zodra de derde de gegevens op basis van die wetten ontvangen heeft, regelt de onderhavige bepaling dat die derde deze gegevens mag verwerken (uiteraard mits er een grondslag in de zin van artikel 6, eerste lid, van de verordening aanwezig is).
- Verwerking door of ten behoeve van publiekrechtelijke samenwerkingsverbanden (is ontleend aan het thans geldende artikel 22, zesde lid, van de Wbp). In dit onderdeel is vastgelegd dat persoonsgegevens van strafrechtelijke aard mogen worden verwerkt door en ten behoeve van publiekrechtelijke samenwerkingsverbanden. Dit onderdeel gaat over samenwerkingsverbanden die bestaan uit bestuursorganen of privaatrechtelijk vormgegeven organen die bij of krachtens de wet zijn belast met een publiekrechtelijke taak.31 - Verwerking in aanvulling op de verwerking van gegevens over gezondheid door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, met het oog op een goede behandeling of verzorging van de betrokkene (is ontleend aan het thans geldende artikel 21, derde lid, van de Wbp). Dit artikel is vergelijkbaar met artikel 30, vijfde lid, van de Uitvoeringswet.
Tweede lid: verwerking voor zichzelf (is ontleend aan het thans geldende artikel 22, tweede lid, van de Wbp)
Het tweede lid regelt dat persoonsgegevens van strafrechtelijke aard mogen worden verwerkt als de verwerkingsverantwoordelijke deze gegevens voor zichzelf verwerkt. Uit het tweede lid vloeit niet voort dat de gegevens aan derde mogen worden verstrekt; daarover gaat het vierde lid. Bovendien mag volgens het tweede lid de strafrechtelijke gegevensverwerking ten eigen behoeve alleen ter: a. beoordeling van een verzoek van de betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren, of b. bescherming van zichzelf met betrekking tot (gepleegde of te plegen) strafbare feiten jegens hem of zijn werknemers. Onderdeel b machtigt de verwerkingsverantwoordelijke tevens om gegevens vast te leggen wanneer zijn eigen personeel strafbare feiten jegens hem heeft gepleegd of dreigt te plegen.32
Derde lid: betrokkenheid ondernemingsraad bij arbeidsgerelateerde gegevens (is ontleend aan het thans geldende artikel 22, derde lid, van de Wbp)
Deze bepaling stelt zeker dat strafrechtelijke gegevens in de arbeidsrechtelijke sfeer slechts mogen worden verwerkt in overeenstemming met de procedure als bedoeld in de Wet op de ondernemingsraden. Op grond van artikel 27 van die wet hebben ondernemingsraden een instemmingsrecht voor regelingen omtrent de registratie van, de omgang met en de bescherming van de persoonsgegevens van de in de onderneming werkzame personen. Ook heeft de ondernemingsraad op basis van artikel 27 van die wet een instemmingsrecht ten aanzien van regelingen inzake voorzieningen voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen.
Vierde lid: verwerking voor derden (is ontleend aan het thans geldende artikel 22, vierde lid, van de Wbp)
Het vierde lid regelt enkele bijzondere gevallen waarin particulieren voor een derde gegevens van strafrechtelijke aard mogen verwerken. Dit betekent dat particulieren onderling in die gevallen dergelijke gegevens mogen uitwisselen.
Onderdeel a: particuliere beveiligingsorganisaties
Een verwerkingsverantwoordelijke mag strafrechtelijke persoonsgegevens aan derden verstrekken indien die verwerkingsverantwoordelijke optreedt op basis van een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus. Deze particuliere organisaties kunnen met een vergunning en onder toezicht van de overheid taken verrichten die verband houden met criminaliteitsbestrijding. In de vergunningsvoorwaarden kunnen nadere voorschriften worden gegeven die een zorgvuldige verwerking van persoonsgegevens door die organisaties bevorderen.
Onderdeel b: strafrechtelijke gegevens binnen een concern
Dit onderdeel regelt dat, indien is voldaan aan de voorwaarden genoemd in het derde lid, het binnen een concern mogelijk is om strafrechtelijke gegevens te verwerken.
Onderdeel c: verwerking in andere gevallen met vergunning van de Autoriteit persoonsgegevens
De derde uitzondering betreft de verwerking ten behoeve van derden in andere gevallen. Te denken valt daarbij aan bijvoorbeeld branchewaarschuwingssystemen. De verwerking van strafrechtelijke gegevens in dergelijke gevallen kan met een vergunning van de Autoriteit Persoonsgegevens. Op grond van het vijfde lid kan een dergelijke vergunning slechts worden verleend indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. De Autoriteit persoonsgegevens kan aan de vergunning voorschriften verbinden.
Paragraaf 3.3. Rechtsbescherming
Artikel 34¶
Toepasselijkheid Algemene wet bestuursrecht bij beslissing van bestuursorganen¶
Een schriftelijke beslissing op een verzoek als bedoeld in de artikelen 15 tot en met 22 van de verordening wordt genomen binnen de in artikel 12, derde lid, van de verordening genoemde termijnen en geldt, voor zover deze is genomen door een bestuursorgaan, als een besluit in de zin van de Algemene wet bestuursrecht.
Art. 79 AVG
Overweging 145 AVG
Memorie van Toelichting - Toelichting op art. 34 UAVG
Op grond van de artikelen 15 tot en met 22 van de verordening hebben betrokkenen een aantal rechten, zoals het recht op uitsluitsel van verwerkingsverantwoordelijken over het al dan niet verwerken van hen betreffende persoonsgegevens, op rectificatie van onjuiste persoonsgegevens en het recht op vergetelheid. Betrokkenen zullen deze rechten over het algemeen uitoefenen door middel van verzoeken aan verwerkingsverantwoordelijken. Voor zover de verwerkingsverantwoordelijke een bestuursorgaan in de zin van de Awb is, is de Awb van toepassing. De beslissing op het verzoek is dan een besluit waartegen desgewenst bezwaar kan worden gemaakt. Een vergelijkbare bepaling bestaat thans ook al op grond van de Wbp. Reeds in de toelichting op de Wbp stond dat een bepaling als deze strikt genomen als overbodig kan worden beschouwd omdat de bestuursrechter beslissingen als deze als besluiten zal beschouwen.33 Bij de tenuitvoerlegging van de verordening is zoveel mogelijk aangesloten bij het bestaande stelsel van de Wbp en in verband daarmee is de systematiek hetzelfde gebleven. In artikel 12, derde lid, van de verordening is bepaald dat de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek informatie dient te ontvangen over het gevolg dat aan het verzoek is gegeven. Wanneer het om een complex verzoek gaat, kan ervoor worden gekozen de verzoeker binnen een maand te informeren dat de beslistermijn met twee maanden wordt verlengd. Dit betekent dat verzoeker binnen een maand in ieder geval een eerste reactie dient te krijgen op zijn verzoek. Indien deze reactie uitblijft is er op grond van artikel 6:2, aanhef en onderdeel b, van de Awb derhalve sprake van een besluit en is artikel 6:12 van de Awb van toepassing. Dit betekent dat beroep kan worden ingesteld tegen het niet tijdig nemen van het besluit op voorwaarde dat het bestuursorgaan in gebreke is gesteld en twee weken de tijd heeft gekregen om alsnog te besluiten. De mogelijkheid die artikel 6:12 van de Awb biedt, geldt eveneens indien het bestuursorgaan nog geen beslissing heeft genomen binnen twee maanden na de kennisgeving dat de termijn met twee maanden is verlengd.
Artikel 35¶
Toepasselijkheid burgerlijk recht bij beslissing van niet-bestuursorganen¶
-
Indien de beslissing op een verzoek als bedoeld in artikel 34 is genomen door een ander dan een bestuursorgaan, kan de belanghebbende zich tot de rechtbank wenden met het schriftelijk verzoek de verwerkingsverantwoordelijke te bevelen het verzoek als bedoeld in de artikelen 15 tot en met 22 van de verordening alsnog toe of af te wijzen.
-
Het verzoekschrift wordt ingediend binnen zes weken na ontvangst van het antwoord van de verwerkingsverantwoordelijke. Indien de verwerkingsverantwoordelijke niet binnen de in artikel 12, derde lid, van de verordening genoemde termijnen heeft geantwoord, is de indiening van het verzoekschrift niet aan een termijn gebonden.
-
De rechtbank wijst het verzoek toe, voor zover zij dit gegrond oordeelt. Alvorens de rechtbank beslist, stelt zij zo nodig de belanghebbenden in de gelegenheid hun zienswijze naar voren te brengen.
-
De indiening van het verzoekschrift behoeft niet door een advocaat te geschieden.
-
De derde afdeling van de vijfde titel van het Tweede Boek van het Wetboek van Burgerlijke Rechtsvordering is van overeenkomstige toepassing.
-
De rechtbank kan partijen en anderen verzoeken binnen een door haar te bepalen termijn schriftelijke inlichtingen te geven en onder hen berustende stukken in te zenden. De verwerkingsverantwoordelijke en belanghebbende zijn verplicht aan dit verzoek te voldoen. De artikelen 8:45, tweede en derde lid, en 8:29 van de Algemene wet bestuursrecht zijn van overeenkomstige toepassing.
Art. 79 AVG
Overweging 145 AVG
Memorie van Toelichting - Toelichting op art. 35 UAVG
Indien de verwerkingsverantwoordelijke geen bestuursorgaan is en de Awb dus niet van toepassing is, kan de betrokkene de verzoekschriftprocedure uit het Wetboek van Burgerlijke Rechtsvordering volgen. Deze procedure bestaat ook thans al op grond van artikel 46 van de Wbp. Evenals op grond van de Wbp staat de verzoekschriftprocedure open voor de betrokkene en voor andere belanghebbenden die via de rechtbank willen opkomen tegen een beslissing van de verwerkingsverantwoordelijke op een verzoek op grond van de artikelen 15 tot en met 22 van de verordening.
Het tweede lid heeft betrekking op de termijn voor indiening van een verzoek bij de rechtbank. Indien de verwerkingsverantwoordelijke binnen de termijn heeft gereageerd op het verzoek van de betrokkene, heeft de betrokkene vervolgens zes weken de tijd om, indien hij zich niet kan verenigen met de beslissing van de verwerkingsverantwoordelijke, een verzoekschrift in te dienen bij de civiele rechter. De verwerkingsverantwoordelijke moet binnen de in artikel 12, derde lid, van de verordening genoemde termijnen beslissen op het verzoek, dat wil zeggen dat hij binnen een maand een eindbeslissing dan wel een verlengingsbeslissing moet nemen (zie verder de toelichting bij artikel 34). Deze termijn is derhalve voor alle verwerkingsverantwoordelijken hetzelfde, ongeacht of ze bestuursorgaan zijn of niet (vergelijk artikel 34 ). Heeft de verwerkingsverantwoordelijke niet binnen de termijn gereageerd, dan geldt er geen termijn voor indiening van het verzoekschrift bij de civiele rechter omdat het niet nodig is en ook niet erg redelijk om de rechtzoekende een betrekkelijk korte termijn te geven om het verzoekschrift in te dienen als de verwerkingsverantwoordelijke in gebreke is. Op deze wijze gelden voor bestuursrechtelijke en civielrechtelijke procedures dezelfde termijnen (vergelijk artikel van de 6:12 Awb). In het derde tot en met zesde lid zijn de thans bestaande bepalingen van de Wbp overgenomen. In het zesde lid is het woord ‘verantwoordelijke’ vervangen door ‘verwerkingsverantwoordelijke’. De verordening gaf geen aanleiding tot andere wijzigingen in deze artikelen.
Artikel 36¶
Geschilbeslechting door Autoriteit persoonsgegevens of via gedragscode¶
-
De belanghebbende kan zich ook binnen de termijn bepaald voor het instellen van beroep op grond van de Algemene wet bestuursrecht, dan wel die, bedoeld in artikel 35, tweede lid, tot de Autoriteit persoonsgegevens wenden met het verzoek te bemiddelen of te adviseren in zijn geschil met de verwerkingsverantwoordelijke, dan wel gebruik maken van een geschillenbeslechtingsregeling als bedoeld in artikel 40, tweede lid, onderdeel k, van de verordening, op grond van een goedgekeurde gedragscode als bedoeld in artikel 40, vijfde lid, van de verordening. In dat geval kan het beroep in afwijking van artikel 6:7 van de Algemene wet bestuursrecht nog worden ingesteld dan wel de procedure ingevolge artikel 35 nog aanhangig worden gemaakt nadat de belanghebbende van de Autoriteit persoonsgegevens bericht heeft ontvangen dat de behandeling van de zaak is beëindigd of ingevolge de geschillenbeslechtingsregeling, bericht heeft ontvangen dat de behandeling van de zaak is beëindigd, doch uiterlijk zes weken na dat tijdstip.
-
Tijdens de behandeling van het beroep en de procedure, bedoeld in het eerste lid, kunnen de instanties die zijn belast met de behandeling van het geschil, advies van de Autoriteit persoonsgegevens inwinnen.
Art. 58(6), art. 79 AVG
Overweging 145 AVG
Memorie van Toelichting - Toelichting op art. 36 UAVG
Op grond van artikel 58, zesde lid, van de verordening bestaat ruimte voor lidstaten om bij wet te voorzien in bijkomende bevoegdheden voor de toezichthoudende autoriteit. Ook dit artikel is ontleend aan de Wbp (artikel 47) en biedt de belanghebbende naast de mogelijkheid een procedure te voeren bij de bestuursrechter (artikel 34 ) of de civiele rechter (artikel 35 ), nog andere mogelijkheden:
- Ten eerste kan hij de Autoriteit persoonsgegevens vragen te bemiddelen bij of te adviseren over geschillen met de verwerkingsverantwoordelijke.
- Als er een goedgekeurde gedragscode bestaat waarin een procedure is opgenomen voor de beslechting van geschillen tussen verwerkingsverantwoordelijken en betrokkenen, kan hij daarnaast gebruikmaken van deze procedure.
Artikel 36 van de Uitvoeringswet stelt veilig dat de betrokkene ook als hij kiest voor een van deze mogelijkheden, daarna nog naar de rechter kan. Ingeval bemiddeling door de Autoriteit persoonsgegevens wordt ingeroepen of gebruik wordt gemaakt van een geschilbeslechtingsprocedure uit een goedgekeurde gedragscode, wordt de termijn waarbinnen beroep kan worden ingesteld of de verzoekschriftprocedure aanhangig kan worden gemaakt, geschorst. Voor zover het gaat om de schorsing van de beroepstermijn als bedoeld in de Awb, betekent de schorsing een afwijking van artikel 6:7 Awb. Dit is in het eerste lid expliciet tot uitdrukking gebracht. De termijn waarbinnen alsnog beroep kan worden ingesteld of een verzoekschriftprocedure aanhangig kan worden gemaakt, vangt in geval van schorsing aan nadat de belanghebbende bericht heeft gehad van de Autoriteit persoonsgegevens of de instantie genoemd in de gedragscode dat het geschil is beëindigd.
Artikel 37¶
Vertegenwoordiging van betrokkenen¶
Een verwerking kan niet ten grondslag worden gelegd aan een vordering als bedoeld in artikel 305a, van Boek 3 van het Burgerlijk Wetboek of een beroep ingesteld in een bestuursrechtelijke procedure door een belanghebbende in de zin van artikel 1:2, derde lid, van de Algemene wet bestuursrecht, voor zover degene die door deze verwerking wordt getroffen, daartegen bezwaar heeft.
Art. 80 AVG
Overweging 142 AVG
Memorie van Toelichting - Toelichting op art. 37 UAVG
Dit artikel is ontleend aan artikel 50, tweede lid, van de Wbp, met dien verstande dat er een terminologische verbetering is aangebracht ten opzichte van de tekst uit de Wbp in verband met het feit dat de Awb uitgaat van beroepen en niet van vorderingen. Deze terminologie wordt ook elders gehanteerd (vergelijk artikel 10, tweede lid, Algemene wet gelijke behandeling). Rechtspersonen kunnen onder bepaalde voorwaarden in rechte optreden ter behartiging van algemene en collectieve belangen. Voor het bestuursrecht is dit het geval op grond van artikel 1:2, derde lid, van de Awb en voor het privaatrecht op grond van artikel 305a, van Boek 3, van het Burgerlijk Wetboek. Voor het optreden in rechte kan het nodig zijn dat aan de vordering of het beroep een verwerking van persoonsgegevens ten grondslag wordt gelegd. Indien degene die door deze verwerking wordt getroffen, daar bezwaar tegen heeft, mag deze verwerking niet aan de vordering of het beroep ten grondslag worden gelegd. Artikel 80, tweede lid, van de verordening biedt de ruimte om een dergelijke bepaling op te nemen in nationaal recht.
Artikel 38¶
Opschortende werking bezwaar en beroep¶
De werking van de beschikking tot oplegging van de bestuurlijke boete wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt of beroep is ingesteld, totdat op het bezwaar of het beroep is beslist.
Memorie van Toelichting - Toelichting op art. 38 UAVG
Dit artikel stemt overeen met het thans bestaande artikel 71 van de Wbp. Als hoofdregel geldt in het bestuursrecht dat het maken van bezwaar dan wel het instellen van beroep of hoger beroep de werking van het bestreden besluit niet schorst, tenzij bij wettelijk voorschrift anders is bepaald (zie de artikelen 6:16 en 6:24 van de Awb). Op advies van de Commissie voor de toetsing van wetgevingsprojecten (CTW) is destijds in artikel 71 van de Wbp bepaald dat het maken van bezwaar en het instellen van beroep tegen de bestuurlijke boete de werking van de boete schorst. De verordening biedt geen aanknopingspunten om hierin verandering te brengen.
Paragraaf 3.4. De functionaris voor gegevensbescherming
Artikel 39¶
Geheimhoudingsplicht¶
De functionaris voor gegevensbescherming, bedoeld in de artikelen 37 tot en met 39 van de verordening, is verplicht tot geheimhouding van hetgeen hem op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene in bekendmaking toestemt.
Art. 38(5) AVG
Memorie van Toelichting - Toelichting op art. 39 UAVG
In dit artikel wordt invulling gegeven aan artikel 38, vijfde lid, van de verordening. Voor de formulering van de geheimhoudingsplicht is aangesloten bij artikel 63, vierde lid, van de Wbp.
De functionaris voor gegevensbescherming moet aan bepaalde vereisten voldoen. Hij moet bijvoorbeeld over toereikende kennis beschikken. Hieronder wordt verstaan kennis van de organisatie, van de gegevensverwerkingen die zich binnen de organisatie afspelen, van de belangen die daarbij betrokken zijn en uiteraard kennis van de privacywetgeving die op de verwerkingen binnen zijn organisatie van toepassing is. Ook moet hij voldoende betrouwbaar worden geacht. Deze betrouwbaarheid uit zich bijvoorbeeld in het vermogen alle bij de verwerkingen betrokken belangen op een onafhankelijke wijze tegen elkaar te kunnen afwegen.
Hoofdstuk 4. Uitzonderingen en beperkingen¶
Artikel 40¶
Uitzonderingen op verbod geautomatiseerde individuele besluitvorming¶
-
Artikel 22, eerste lid, van de verordening geldt niet indien de in die bepaling bedoelde geautomatiseerde individuele besluitvorming, anders dan op basis van profilering, noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang.
-
Bij de geautomatiseerde individuele besluitvorming, bedoeld in het eerste lid, treft de verwerkingsverantwoordelijke passende maatregelen die strekken tot bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene.
-
Indien de verwerkingsverantwoordelijke geen bestuursorgaan is, dan zijn passende maatregelen als bedoeld in het tweede lid, in ieder geval getroffen indien het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, zijn geborgd.
Memorie van Toelichting - Toelichting op art. 40 UAVG
Artikel 15 van de huidige richtlijn 95/46/EG en artikel 42 van de Wbp kennen een recht voor betrokkene om niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft en dat louter wordt genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag, enz. te evalueren. De ratio van deze bepaling is dat het kwetsbaar is om besluitvorming te baseren op enkele persoonskenmerken, zoals de automatische weigering van een online ingediende kredietaanvraag of van verwerking van sollicitaties via internet zonder menselijke tussenkomst. De negatieve kenmerken van een bepaalde groep kunnen op deze wijze immers tegengeworpen worden aan een individu, die deze kenmerken helemaal niet hoeft te hebben.
Geautomatiseerde individuele besluitvorming is alleen aan de orde wanneer er sprake is van een besluit in de zin van de verordening. Dit begrip is niet slechts beperkt tot het besluitbegrip in de zin van de Awb, maar kan ook privaatrechtelijke rechtshandelingen betreffen. Kenmerkend is dat er ofwel rechtsgevolgen aan zijn verbonden ofwel dat de betrokkene er in aanmerkelijke mate door wordt geraakt.
Artikel 22, eerste lid, van de verordening bevat derhalve geen verbod op profilering, noch een verbod op het gebruiken van geautomatiseerde processen als onderdelen van het proces dat aan de besluitvorming zelf voorafgaat. In velerlei contexten heeft het gebruikmaken van geautomatiseerde processen toegevoegde waarde (denk aan verzekeringsbranche) en de verordening laat dit, als onderdeel van besluitvorming zolang er in ieder geval sprake is van een vorm van menselijke tussenkomst, ongemoeid.
Artikel 22, tweede lid, van de verordening biedt drie gronden om af te wijken van het verbod van het eerste lid: ter uitvoering van een overeenkomst (onder a), wanneer betrokkene uitdrukkelijk toestemming heeft gegeven (onder c) of op basis van lidstatelijk recht (onder b). Deze afwijkingsmogelijkheden lijken sterk op de bestaande afwijkingsmogelijkheden van artikel 42 van de Wbp. In onderhavig artikel wordt invulling gegeven aan de ruimte voor lidstatelijk recht die de verordening biedt.
Niet in alle gevallen van geautomatiseerde besluitvorming is er sprake van het tegenwerpen van generieke kenmerken aan een persoon, of van verwerkingen van persoonsgegevens die risicovol zijn in het licht van potentiele discriminatie. Er kan ook sprake zijn van geautomatiseerde individuele besluitvorming op basis van strikt individuele kenmerken, bijvoorbeeld bij gebonden besluitvorming in het kader van het toekennen van bepaalde toeslagen. Er is geen reden om bij dergelijke besluitvorming menselijke tussenkomst te vergen, omdat dit geen toegevoegde waarde heeft. Daarenboven geldt voor alle overheidsbesluiten, ook voor overheidsbesluiten op basis van geautomatiseerde besluitvorming, dat de gebruikelijke bestuursrechtelijke rechtsbescherming openstaat.
Gelet hierop is ook verruiming van de mogelijkheden voor afwijking wenselijk. Voor de uitvoering van de publieke taak, en voor het vervullen van wettelijke verplichtingen is het niet wenselijk om geautomatiseerde besluitvorming geheel te verbinden aan een specifieke wettelijke grondslag. Dit zou een vergaande verstarring van de ontwikkelingen in de uitvoering van de publieke taak betekenen. Wanneer er sprake is van uitoefening van gebonden bevoegdheden, waarbij er daarenboven zeer geringe beoordelingsruimte is, heeft menselijke tussenkomst bij besluitvorming in beginsel geen meerwaarde. Men denke hierbij bijvoorbeeld aan het toekennen van kinderbijslag, het opleggen van een boete in het kader van de Wet administratiefrechtelijke handhaving verkeersvoorschriften (Wahv), het bijstellen van de hoogte van het recht op studiefinanciering op basis van veranderingen in het inkomen van een van de ouders of het zonder menselijke tussenkomst vaststellen van een overtreding van de maximumsnelheid. Dit zijn allemaal besluiten die genomen worden zonder menselijke tussenkomst. Er is geen reden vanuit het belang van bescherming van persoonsgegevens om geautomatiseerde besluitvorming in dit kader onmogelijk te maken. De risico's die de verordening, blijkens de overweging 71, beoogt in te dammen met dit artikel, doen zich hier feitelijk niet voor.
Dit is de reden dat in artikel 40 van onderhavige Uitvoeringswet een uitzondering wordt voorgesteld. Als er sprake is van geautomatiseerde individuele besluitvorming, anders dan op basis van profilering, en deze noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of ter uitvoering van een taak van algemeen belang, dan is het verbod van artikel 22, eerste lid, van de verordening niet van toepassing. Een verwerkingsverantwoordelijke kan alleen een beroep doen op deze uitzondering als het een verwerking betreft die gebaseerd is op de onderdelen c en e, van het eerste lid van artikel 6 van de verordening. Het biedt ook aan de private sector ruimte om, bij de vervulling van wettelijke verplichtingen, gebruik te maken van geautomatiseerde besluitvorming zonder menselijke tussenkomst. Bij deze wettelijke verplichtingen kan het ook gaan om zorgplichten. Het is daarbij echter wel van belang dat de verwerkingsverantwoordelijke kan uitleggen dat de geautomatiseerde besluitvorming daadwerkelijk noodzakelijk is voor het vervullen van de desbetreffende zorgplicht.
Ter bescherming van de belangen van betrokkene is in dit kader vereist dat de verwerkingsverantwoordelijke passende maatregelen treft die strekken tot bescherming van het gerechtvaardigd belang van de betrokkene (voorgestelde tweede lid). Het voorgestelde derde lid bepaalt vervolgens dat verwerkingsverantwoordelijken, die geen bestuursorgaan zijn, in ieder geval hebben voldaan aan die eis dat zij dergelijke ‘passende maatregelen’ moeten treffen als ze het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, hebben geborgd.
Die waarborgen zijn ontleend aan het direct werkende derde lid, van artikel 22, van de verordening. Voor de situatie waarin het verbod uit het eerste lid, van artikel 22 niet geldt omdat het besluit noodzakelijk is in het kader van een overeenkomst (tweede lid, onderdeel a) of omdat betrokkene er uitdrukkelijk toestemming voor heeft gegeven (tweede lid, onderdeel c), dient de verwerkingsverantwoordelijke immers ten minste die maatregelen te treffen. Ook het derde lid van artikel 42 van de Wbp bepaalt dat een passende maatregel is getroffen als betrokkene in de gelegenheid wordt gesteld om omtrent het besluit zijn zienswijze naar voren te brengen. Met het oog op de voorwaarde dat het lidstatelijke recht waarmee van het voornoemde verbod kan worden afgeweken (artikel 22, tweede lid, onderdeel b) ook voorziet in dergelijke passende waarborgen, is het voorgestelde derde lid in combinatie met het tweede lid opgenomen in artikel 40.
Voor zover het gaat om besluitvorming door een bestuursorgaan gelden uiteraard de gebruikelijke en zeer vergelijkbare bestuursrechtelijke waarborgen zoals neergelegd in de Awb, waaronder het zorgvuldigheids- en evenredigheidsbeginsel, en kan betrokkene, zij het achteraf, altijd tegen een besluit opkomen.
Verder dient een verwerkingsverantwoordelijke sowieso op grond van artikel 13, tweede lid, onderdeel f, onderscheidenlijk artikel 14, tweede lid, onderdeel g, van de verordening, aan de betrokkene ‘nuttige informatie’ te verstrekken over ‘de onderliggende logica’ van de verwerking alsmede over het belang en de verwachte gevolgen van de verwerking voor de betrokkene. Deze waarborgen sluiten aan bij de bestaande waarborgen onder de Wbp (onder meer artikel 42, vierde lid, van de Wbp).
Ook met betrekking tot de geautomatiseerde individuele besluitvorming, bedoeld in artikel 40 , geldt voorts dat de besluiten niet mogen worden gebaseerd op bijzondere categorieën van persoonsgegevens, tenzij dit geschiedt met uitdrukkelijke toestemming van de betrokkene of noodzakelijk is om redenen van zwaarwegend algemeen belang, en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen (artikel 22, vierde lid, van de verordening).
Voor verwerkingsverantwoordelijken kan deze bepaling in de Uitvoeringswet geen grondslag zijn voor profilering in het kader van de uitvoering van een wettelijke verplichting of in het kader van een taak van algemeen belang. Voor geautomatiseerde besluitvorming waarbij wel gebruik gemaakt zou worden van profilering in het kader van een wettelijke verplichting of in het kader van een taak van algemeen belang geldt dat een specifieke wettelijke grondslag in een sectorale wet zou moeten worden gecreëerd. In dat geval zouden immers zich juist wel de risico’s kunnen voordoen, die in overweging 71 zijn benoemd.
Artikel 41¶
Uitzonderingen op rechten betrokkene en plichten verwerkingsverantwoordelijke¶
-
De verwerkingsverantwoordelijke kan de verplichtingen en rechten, bedoeld in de artikelen 12 tot en met 21 en artikel 34 van de verordening, buiten toepassing laten voor zover zulks noodzakelijk en evenredig is ter waarborging van:
a. | de nationale veiligheid;
b. | landsverdediging;
c. | de openbare veiligheid;
d. | de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
e. | andere belangrijke doelstellingen van algemeen belang van de Europese Unie of van Nederland, met name een belangrijk economisch of financieel belang van de Europese Unie of van Nederland, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
f. | de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
g. | de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
h. | een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de gevallen, bedoeld in de onderdelen a, b, c, d, e en g;
i. | de bescherming van de betrokkene of van de rechten en vrijheden van anderen; of
j. | de inning van civielrechtelijke vorderingen.
-
Bij de toepassing van het eerste lid houdt de verwerkingsverantwoordelijke rekening met in ieder geval, voor zover van toepassing:
a. | de doeleinden van de verwerking of van de categorieën van verwerking;
b. | de categorieën van persoonsgegevens;
c. | het toepassingsgebied van de ingevoerde beperkingen;
d. | de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte;
e. | de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken;
f. | de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking;
g. | de risico's voor de rechten en vrijheden van de betrokkenen; en
h. | het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking.
Art. 23 AVG
Overweging 73 AVG
Memorie van Toelichting - Toelichting op art. 41 UAVG
In dit artikel wordt invulling gegeven aan de ruimte die artikel 23 van de verordening biedt om onder andere de rechten van betrokkene te beperken. In paragraaf 4.6 van het algemeen deel van deze memorie is op deze bepaling uitgebreid ingegaan. Het artikel sluit deels aan bij het bepaalde in het thans geldende artikel 43 van de Wbp en ook het strikte noodzakelijkheidscriterium uit dit laatste artikel blijft onverkort gelden. Dat houdt in ieder geval in dat dit artikel geen grondslag biedt voor structurele categorische beperkingen van rechten van betrokkenen maar louter als vangnet fungeren kan in individuele gevallen waarin dat incidenteel noodzakelijk is. Dat is ook de reden dat er geen gebruik is gemaakt van de mogelijkheid die de verordening biedt om in dit kader ook af te mogen wijken van het recht om onderworpen te worden aan uitsluitend geautomatiseerde besluitvorming (artikel 22 van de verordening). Geautomatiseerde besluitvorming verhoudt zich naar zijn aard niet tot de voornoemde toepassing die louter in uitzonderlijke individuele situaties mogelijk is.
Artikel 42¶
Uitzondering op meldplicht datalekken aan de betrokkene¶
Artikel 34 van de verordening is niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht.
Art. 23 AVG
Overweging 73 AVG
Memorie van Toelichting - Toelichting op art. 41 UAVG
Artikel 34a van de Wbp bevat in het negende en elfde lid een tweetal uitzonderingen op de meldplicht datalekken. Allereerst is, in het negende lid, de meldplicht, zowel jegens de Autoriteit persoonsgegevens als jegens de betrokkene niet van toepassing indien de verwerkingsverantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatiedienst een kennisgeving heeft gedaan bedoeld in artikel 11.3a, eerste en tweede lid,
van de Telecommunicatiewet. Deze meldplicht heeft een basis in artikel 4, derde lid, van de herziene richtlijn 2002/58/EG. De reden voor de uitzondering in de Wbp is het voorkomen van dubbelingen in de meldplicht aan de betrokkene respectievelijk aan verschillende toezichthouders.
In artikel 95 van de verordening is reeds voorzien in een bepaling die voorkomt dat er sprake is van dubbele meldplichten voor aanbieders van een openbare elektronische communicatiedienst. Hierdoor is artikel 34a, negende lid, van de Wbp overbodig geworden.
Het elfde lid van artikel 34a van de Wbp sluit de meldplicht aan betrokkene uit voor financiële ondernemingen bedoeld in de Wft. Deze uitzondering kan worden gecontinueerd in de Uitvoeringswet op grond van de ruimte die artikel 23, eerste lid, onderdeel e, van de verordening daarvoor biedt. Conform het tweede lid van artikel 23 van de verordening is de toepassing van deze uitzondering beperkt tot een specifieke beperking voor een specifieke categorie van verwerkingsverantwoordelijken.
Artikel 43¶
Uitzonderingen inzake journalistieke doeleinden of academische, artistieke of literaire uitdrukkingsvormen¶
-
Deze wet, met uitzondering van de artikelen 1 tot en met 4 en 5, eerste en tweede lid, is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden en ten behoeve van uitsluitend academische, artistieke of literaire uitdrukkingsvormen.
-
De navolgende hoofdstukken en artikelen van de verordening zijn niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen:
a. | artikel 7, derde lid, en artikel 11, tweede lid:
b. | hoofdstuk III;
c. | hoofdstuk IV, met uitzondering van de artikelen 24, 25, 28, 29 en 32;
d. | hoofdstuk V;
e. | hoofdstuk VI; en
f. | hoofdstuk VII.
-
De artikelen 9 en 10 van de verordening zijn niet van toepassing voor zover de verwerking van de in die artikelen bedoelde gegevens noodzakelijk is voor het journalistieke doel of de academische, artistieke of literaire uitdrukkingsvorm.
Art. 85 AVG
Overweging 153 AVG
Memorie van Toelichting - Toelichting op art. 43 UAVG
Artikel 85, tweede lid, van de verordening verplicht staten ertoe om uitzonderingen of afwijkingen van de belangrijkste materieelrechtelijke bepalingen van de verordening vast te stellen voor verwerking voor journalistieke doeleinden of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen. In artikel 9 van richtlijn 95/46/EG was een vergelijkbare verplichting opgenomen voor de lidstaten om een uitzonderingsregeling te treffen voor de journalistiek. Aan deze verplichting wordt uitvoering gegeven in het thans geldende artikel 3 van de Wbp. De desbetreffende bepalingen uit richtlijn 95/46/EG en de verordening lijken op elkaar, maar er zijn ook enkele verschillen.
Ten eerste wordt in de verordening (artikel 85), naast gegevensverwerkingen ten behoeve van artistieke en literaire doeleinden, ook gegevensverwerking in het kader van academische uitdrukkingsvormen expliciet genoemd. Voor het overige is de reikwijdte van de beide bepalingen gelijk. Hoewel de verordening hiertoe niet verplicht, is ervoor gekozen om deze verbreding mee te nemen in dit wetsvoorstel. Grondrechtelijke bescherming van de persvrijheid omvat in Europees verband namelijk de uitingsvrijheid in brede zin, blijkens artikel 10 van het EVRM, waaronder de vrijheid om inlichtingen te ontvangen of te verstrekken.
In de verordening worden gegevensverwerkingen voor academische en artistieke doeleinden, zoals gegevensverwerkingen die plaatsvinden bij universiteiten, bibliotheken en musea, op één lijn geplaatst met journalistieke gegevensverwerkingen. Daarbij kan bijvoorbeeld worden gedacht aan verwerkingen die de Koninklijke Bibliotheek uitvoert ten behoeve van haar wettelijke taken op grond van onder meer artikel 1.5 van de Wet op het hoger onderwijs en wetenschappelijk onderzoek (Whw) en de artikelen 4, 5 en 9 van de Wet stelsel openbare bibliotheekvoorzieningen (Wsob). Het past in de geest van deze ruime bescherming om gegevensverwerking ten behoeve van academische uitdrukkingsvormen tevens expliciet in dit wetsvoorstel te noemen. Daarnaast ligt het ook in het licht van harmonisatie van terminologie voor de hand om dit element in de Nederlandse wetgeving op te nemen. In consultatie is steun uitgesproken door de FOBID34 en de Koninklijke Bibliotheek voor deze benadering.
Een tweede verschil is dat de ruimte die de verordening voor afwijkingen laat niet geheel overeenkomt met de ruimte die richtlijn 95/46/EG biedt. Op een aantal punten laat de verordening meer ruimte. Om beide grondrechten met elkaar in balans te brengen, heeft de Nederlandse wetgever in artikel 3 van de Wbp invulling gegeven aan de ruimte voor afwijkingen van richtlijn 95/46/EG voor de journalistieke praktijk. Op grond van dit artikel zijn de volgende onderdelen van de Wbp van toepassing op verwerking van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden:
- De algemene bepalingen en definities;
- De beginselen en rechtsgrondslagen voor verwerking;
- Verplichtingen inzake zorg voor de gegevens, zoals technische en organisatorische maatregelen;
- De mogelijkheid om gedragscodes voor te leggen aan de Autoriteit persoonsgegevens;
- Het recht op schadevergoeding wanneer een betrokkene schade lijdt;
- Het verbod om bijzondere categorieën van persoonsgegevens te verwerken geldt niet voor zover dit noodzakelijk is voor het journalistieke, artistieke of literaire doel.
Artikel 85, tweede lid, van de verordening verplicht lidstaten ertoe voor verwerking voor journalistieke doeleinden of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen uitzonderingen of afwijkingen vast te stellen van de hoofdstukken II t/m VII en van hoofdstuk IX, indien deze noodzakelijk zijn om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met de vrijheid van meningsuiting en van informatie.
Vanuit het oogpunt van beleidsneutrale implementatie is ervoor gekozen om het huidige regime voor journalistieke gegevensverwerkingen grotendeels te handhaven. Dit betekent dat de algemene bepalingen en definities (artikelen 1 t/m 4), de beginselen en rechtsgrondslagen voor gegevensverwerking (artikelen 5 t/m 11 , eerste lid, met uitzondering van artikel 7, derde lid, van de verordening), de plichten van de verwerkingsverantwoordelijke en verwerker (artikelen 24, 25, 28 en 29 van de verordening), de verplichting persoonsgegevens op een passende wijze te beveiligen (artikel 32 van de verordening) en bepalingen rond specifieke situaties op het gebied van gegevensverwerking (hoofdstuk IX) niet uitgezonderd worden voor verwerkingen van persoonsgegevens voor journalistieke doeleinden noch ten behoeve van academische, artistieke of literaire uitdrukkingsvormen. Dit zijn onderwerpen die ook in de Wbp geregeld zijn en die onder het huidige regime niet zijn uitgezonderd voor de journalistiek.
Uitsluitend daar waar de ontwikkelingen in de jurisprudentie of de huidige praktijk daartoe noodzaak geven, worden de afwijkingsmogelijkheden verbreed. Om te beginnen wordt de mogelijkheid voor betrokkene om zijn of haar toestemming voor het verwerken van persoonsgegevens te allen tijde in te kunnen trekken (artikel 7, derde lid, van de verordening) uitgezonderd. Een eenmaal verkregen toestemming, bijvoorbeeld voor het publiceren of uitzenden van een gegeven interview, kan in beginsel niet worden ingetrokken. Dit is in lijn met de vaste jurisprudentie.
Daarnaast zijn er bepalingen in de verordening die nieuw zijn of een andere formulering kennen ten opzichte van richtlijn 95/46/EG en de Wbp. Zo is in de verordening ook het toezicht op gedragscodes en certificering geregeld; de verordening kent, in tegenstelling tot artikel 25 van de Wbp, bijvoorbeeld een verplichting om een gedragscode voor te leggen aan de bevoegde toezichthoudende autoriteit. De bepalingen over certificering en gedragscodes (artikelen 41 tot en met 43 van de verordening) worden uitgezonderd. Dit laat onverlet dat het de partijen in het veld vrij staat om op vrijwillige basis gebruik te maken van gedragscodes en certificering. Deze instrumenten kunnen immers behulpzaam zijn, onder meer bij het voldoen aan de verplichtingen omtrent de beveiliging van persoonsgegevens.
Ten slotte is ervoor gekozen om in het voorgestelde derde lid, artikel 10 van de verordening en de op dat artikel gebaseerde bepalingen uit onderhavige Uitvoeringswet, waarin geregeld is dat persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten/overtredingen enkel onder strenge voorwaarden mogen worden verwerkt, buiten toepassing te laten, indien dit noodzakelijk is voor journalistieke, wetenschappelijke, artistieke of literaire doeleinden. Deze categorie persoonsgegevens betrof onder de Wbp geen afzonderlijke categorie, maar werd onder de bijzondere persoonsgegevens geschaard. Aangezien het verbod op verwerking van bijzondere categorieën van persoonsgegevens onder het huidige regime niet van toepassing is als dit noodzakelijk is voor het journalistieke doel, betekent het creëren van een vergelijkbare afwijkingsmogelijkheid van artikel 9 en 10 van de verordening en de op die artikelen gebaseerde bepalingen in de Uitvoeringswet, feitelijk een continuering van het huidige regime onder de Wbp (artikel 3, tweede lid, van de Wbp).
De bepalingen van de verordening die wel van toepassing zijn op gegevensverwerking voor journalistieke, academische, artistieke of literaire doeleinden, kunnen in deze specifieke context een eigen betekenis krijgen, die recht doet aan de praktijk waarbinnen de verwerking plaatsvindt. Daarbij kan bijvoorbeeld worden gedacht aan de betekenis van artikel 25 van de verordening, dat voorschriften bevat omtrent gegevensbescherming door ontwerp- en door standaardinstellingen. In het tweede lid van artikel 25 van de verordening is bepaald dat maatregelen worden getroffen om ervoor te zorgen dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt. Er zijn in de journalistieke praktijk echter situaties denkbaar waarin zonder menselijke tussenkomst informatie toegankelijk wordt gemaakt die tevens persoonsgegevens bevat, zoals bij een journalistiek platform waarbij de reacties van bezoekers niet vooraf gemodereerd worden of het automatisch in een live-app weergeven wie er gescoord heeft tijdens een sportwedstrijd. Hoe meer de technologie doordringt in de journalistieke praktijk, hoe sneller dergelijke situaties kunnen ontstaan. Gelet op de formulering van de bepaling, namelijk dat persoonsgegevens in beginsel niet op deze wijze toegankelijk worden gemaakt, is er voldoende ruimte voor uitzonderingen binnen de journalistieke context.
Artikel 44¶
Uitzonderingen inzake wetenschappelijk onderzoek en statistiek¶
Indien een verwerking wordt verricht door instellingen of diensten voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor statistische of wetenschappelijke doeleinden kunnen worden gebruikt, kan de verwerkingsverantwoordelijke de artikelen 15, 16 en 18 van de verordening buiten toepassing laten.
Art. 89 AVG
Memorie van Toelichting - Toelichting op art. 44 UAVG
Dit artikel bevat een specifieke regeling inzake de verwerking van persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden, die zijn grondslag vindt in artikel 89 van de verordening (zie ook overweging 157). Op grond van artikel 89, tweede lid, van de verordening kan bij lidstatelijk recht worden voorzien in afwijkingen van bepaalde rechten van de verordening, te weten de rechten van de artikelen 15, 16, 18 en 21, bij verwerking van persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden. Bij de artikelen 15 en 16 van de verordening gaat het om het recht van inzage van de betrokkene en het recht op rectificatie. Artikel 18 van de verordening ziet op de beperking van de verwerking. Artikel 21 van de verordening betreft het recht van bezwaar, voorheen het recht van verzet.
Artikel 44 van de Wbp kende een specifieke regeling voor instellingen of diensten voor alleen wetenschappelijk onderzoek of statistiek, die konden weigeren om aan een verzoek om inzage te voldoen. Het recht op rectificatie, dat in het verlengde ligt van het recht op inzage, kon hiermee ook worden geweigerd. Deze bepaling implementeerde artikel 13, tweede lid, van richtlijn 95/46/EG. Hoewel de bepaling van de verordening verschilt in de formulering, is de strekking gelijkblijvend. Op het eerste gezicht lijkt het zelfs of artikel 89 van de verordening meer ruimte biedt voor afwijking, nu artikel 13, tweede lid, van richtlijn 95/46/EG bepaalde dat mocht worden afgeweken van de opgenomen rechten wanneer de verwerking 'uitsluitend met het oog op wetenschappelijk onderzoek' geschiedt. Het begrip 'uitsluitend' is niet teruggekeerd in de tekst van de verordening. Tegelijkertijd staat de verordening afwijking slechts toe wanneer de afwijkingen noodzakelijk zijn. Ook wetssystematisch is het juist om, gelet op het belang van de rechten van betrokkene, eventuele wettelijke uitzonderingen op deze rechten, zo precies mogelijk te formuleren. Voorgesteld wordt om de bestaande bepaling van artikel 44, eerste lid, van de Wbp te continueren.
In het voorgestelde artikel 44 wordt de mogelijkheid geboden om de artikelen 15 en 16 van de verordening uit te sluiten. Ook artikel 18 van de verordening, het recht op beperking van de verwerking, is in de voorgestelde regeling uitgesloten. Artikel 21 van de verordening, het recht van bezwaar, is daarentegen niet uitgesloten, hoewel de verordening hier ruimte voor biedt. Dit recht is ook onder de Wbp ook niet uitgesloten bij wetenschappelijk onderzoek en er is geen aanleiding om dit in deze Uitvoeringswet wel te doen. De formulering van artikel 44 van de Wbp is, behoudens een taalkundige correctie, ongewijzigd gehandhaafd. Materieel is hiermee ook op dit punt sprake van beleidsneutrale implementatie.
Het artikel biedt een grondslag voor afwijking van de rechten van betrokkene. Het is aan de verwerkingsverantwoordelijke om in concrete gevallen af te wegen of en in hoeverre van deze mogelijkheid gebruik zal worden gemaakt. Er is dus geen verplichting voor de verwerkingsverantwoordelijke om van de genoemde rechten af te wijken.
Artikel 45¶
Uitzonderingen inzake archivering in het algemeen belang¶
-
Bij de verwerking van persoonsgegevens die deel uitmaken van archiefbescheiden als bedoeld in artikel 1, onderdeel c, van de Archiefwet 1995, die berusten in een archiefbewaarplaats als bedoeld in artikel 1, onderdeel f, van die wet, zijn de artikelen 15, 16, 18, eerste lid, onderdeel a, en 20 van de verordening niet van toepassing.
-
Betrokkene heeft het recht om inzage te verkrijgen in de archiefbescheiden, tenzij verzoeken om inzage zodanig ongericht zijn dat deze in redelijkheid niet kunnen worden ingewilligd.
-
Betrokkene heeft het recht om, in geval van onjuiste persoonsgegevens, zijn eigen lezing aan de desbetreffende archiefbescheiden toe te voegen.
Art. 89 AVG
Memorie van Toelichting - Toelichting op art. 45 UAVG
Dit artikel bevat een specifieke regeling inzake de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang. De oorspronkelijke richtlijn 95/46/EG kende geen specifieke bepalingen inzake archivering. Wel bevatte de memorie van toelichting bij de Wbp een specifieke uitleg van de artikelen 35 en 36 van de Wbp (het recht op inzage en het recht op rectificatie) voor archiefbescheiden. Die uitleg hield verband met de eigen aard van archiefwerkzaamheden:
“De artikelen 35 e.v. van het wetsvoorstel zijn in beginsel wel op archiefbescheiden van toepassing. Voor zover het gaat om de toepassing van artikel 35 geldt in het algemeen dat verzoeken om kennisneming niet ongericht mogen zijn. Onder omstandigheden kan dit neerkomen op misbruik van recht. Zie in dit verband ook hetgeen hierover wordt opgemerkt in de toelichting bij artikel 1, onder d. Voor archiefbescheiden die naar een archiefbewaarplaats zijn overgebracht, geldt overigens dat zij in beginsel openbaar zijn. Van dergelijke bescheiden kan dus een ieder op grond van de Archiefwet 1995 kennisnemen. Hoewel het archiefwezen er volledig op ingericht is om aan dergelijke verzoeken tot kennisneming te voldoen, geldt ook hier dat die dienstverlening niet onbegrensd is. Dat geldt zowel voor verzoeken die op de Archiefwet 1995 zijn gebaseerd als voor verzoeken die hun basis vinden in artikel 35 van het onderhavige wetsvoorstel. De betrokkene heeft voorts op grond van artikel 36 van dit wetsvoorstel recht op correctie in geval van onrechtmatige verwerking. Ondanks het ontbreken van een wettelijke plicht daartoe zijn dergelijke verzoeken door het archiefwezen tot op heden altijd in behandeling genomen, zij het dat in geval van honorering van het verzoek, gegevens niet worden verwijderd of vernietigd, maar dat de mogelijkheid wordt geboden aan de betrokkene zijn eigen lezing aan de desbetreffende stukken toe te voegen. Deze praktijk zal onder artikel 36 van dit wetsvoorstel kunnen worden voortgezet.”35
In onderhavig wetsvoorstel wordt de ruimte die de verordening biedt (artikel 89, derde lid, van de verordening), gebruikt om de lijn uit de memorie van toelichting bij de Wbp door te trekken. Het recht op inzage heeft in een archiefbewaarplaats de vorm van inzage in de archiefstukken. Omdat het recht op inzage in de verordening een aantal nadere vereisten kent dat voor inzage in archiefstukken niet aan de orde is, is er in het voorgestelde artikel 45 voor gekozen om af te wijken van artikel 15 van de verordening, en tegelijkertijd een specifiek recht op inzage in archiefstukken in een archiefbewaarplaats op te nemen (tweede lid).
Ook voor het recht op rectificatie en het – nieuwe - recht op beperking van de verwerking geldt dat deze in de context van archiefbescheiden in een archiefbewaarplaats een specifieke betekenis hebben. Omwille van de integriteit van het archief kunnen gegevens in de oorspronkelijke archiefbescheiden niet worden gewijzigd, zelfs niet wanneer de stukken onjuiste gegevens zouden bevatten. Om deze reden worden de artikelen 16 en 18, eerste lid, onderdeel a, van de verordening niet van toepassing verklaard, maar wordt wel de mogelijkheid geboden om een eigen lezing aan de desbetreffende archiefbescheiden toe te voegen. Dit is wat betreft het recht op rectificatie in overeenstemming met de bestaande praktijk.
Het recht op gegevensoverdraagbaarheid is in strijd met het wezen van de bewaring van archiefbescheiden in een archiefbewaarplaats, omdat het meenemen van archiefbescheiden zou afdoen aan de integriteit van het archief. Artikel 20 van de verordening wordt daarom voor die archiefbescheiden buiten toepassing gesteld.
Ten slotte is in Nederland geen behoefte gebleken aan de mogelijkheid om in het kader van artikel 89, derde lid, van de verordening af te wijken van de kennisgevingsplicht van artikel 19 van de verordening of het recht van bezwaar van artikel 21 van de verordening.
De weging ten behoeve van de uitzondering op het verbod van verwerking van bijzondere categorieën van persoonsgegevens voor archivering in het algemeen belang, zoals voorgeschreven in artikel 9, tweede lid, onderdeel j, van de verordening, zal worden geconcretiseerd in een bepaling in de Archiefwet 1995. Voor een aantal specifieke archiefwettelijke verwerkingen zal het verbod buiten toepassing worden gesteld. Daarnaast is het wenselijk om ook in het kader van de verwerking van strafrechtelijke gegevens ruimte voor archiefwettelijke handelingen te behouden. Vanuit beleidsneutraal perspectief is het wenselijk om voor strafrechtelijke gegevens bij verwerking voor specifieke archiefwettelijke verwerkingen hetzelfde regime te gebruiken als voor de bijzondere categorieën van persoonsgegevens. Een en ander betekent dat het huidige artikel 2a van de Archiefwet 1995 zal worden geactualiseerd. Dit zal in de aanpassingswet die in voorbereiding is worden meegenomen.
Voor het archiefwezen is voorts van belang dat artikel 44, tweede lid, van de Wbp komt te vervallen. Die bepaling bevat een uitzondering op de informatieplicht van de verwerkingsverantwoordelijke jegens de betrokkene bij verwerking van persoonsgegevens die deel uitmaken van archiefbescheiden in archiefbewaarplaatsen. In de plaats hiervan treedt artikel 14 van de verordening, dat rechtstreeks geldt. Op basis van dit artikel wordt in beginsel mededeling gedaan aan betrokkene door de verwerkingsverantwoordelijke wanneer de persoonsgegevens niet van de betrokkene zijn verkregen, tenzij een van de uitzonderingen van het vijfde lid zich voor doet. Het vijfde lid, onderdeel b, van artikel 14 van de verordening bevat een uitzondering voor archivering in het algemeen belang. Daaronder vallen in ieder geval de verwerkingen die nu worden genoemd in artikel 44, tweede lid, van de Wbp.
Artikel 46¶
Verwerking nationaal identificatienummer¶
-
Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de wet bepaald.
-
Bij algemene maatregel van bestuur kunnen andere dan in het eerste lid bedoelde gevallen worden aangewezen waarin een daarbij aan te wijzen nummer als bedoeld in het eerste lid, kan worden gebruikt. Daarbij kunnen nadere regels worden gegeven over het gebruik van een zodanig nummer.
Art. 87 AVG
Memorie van Toelichting - Toelichting op art. 46 UAVG
Dit artikel voorziet in een algemene regeling voor gebruik van identificatienummers, waaronder als belangrijkste het burgerservicenummer (BSN). Het artikel komt overeen met het thans geldende artikel 24 van de Wbp en artikel 87 van de verordening maakt het mogelijk om deze regeling te continueren.
Uit een oogpunt van bescherming van de persoonlijke levenssfeer is het noodzakelijk geacht om aan het gebruik van identificatienummers beperkingen te stellen. Vast staat immers dat persoonsnummers de koppeling van verschillende bestanden aanzienlijk vergemakkelijken en daarmee een extra bedreiging voor de persoonlijke levenssfeer vormen. De voorgestelde bepaling laat in de eerste plaats toe dat een wettelijk voorgeschreven persoonsnummer wordt verwerkt ter uitvoering van de wet waarin het voorschrift over het nummer is opgenomen. Vanwege de extra risico’s die het gebruik van dergelijk nummers met zich kan brengen voor de bescherming van de persoonlijke levenssfeer, wordt in het onderhavige artikel daarenboven bepaald dat verwerking van persoonsnummers voor andere doeleinden dan de uitvoering van de desbetreffende wet (verdere verwerking) alleen mogelijk is voor zover dat bij de wet is bepaald. Aldus is een afweging op het niveau van de formele wet in beginsel gegarandeerd. Er is met andere woorden voor gekozen om op dit punt geen delegatie door de formele wetgever toe te staan en eventuele andere gebruiksdoeleinden dienen derhalve door de formele wetgever zelf te worden vastgesteld. Wel is het op grond van het tweede lid mogelijk om bij algemene maatregel van bestuur andere gevallen aan te wijzen waarin een persoonsnummer mag worden gebruikt. Ook bestaat hier voor verdere verwerking van een dergelijk nummer dus geen ruimte voor een eigen afweging van de verwerkingsverantwoordelijke.
Artikel 47¶
Uitzonderingen op rechten betrokkene bij openbare registers¶
-
De artikelen 15, 16, 18 en 19 van de verordening zijn niet van toepassing op bij de wet ingestelde openbare registers, indien bij of krachtens die wet een bijzondere procedure voor de verbetering, aanvulling, verwijdering of afscherming van gegevens is geregeld.
-
Artikel 21 van de verordening is niet van toepassing op bij de wet ingestelde openbare registers.
Art. 23 AVG
Overweging 73 AVG
Memorie van Toelichting - Toelichting op art. 47 UAVG
In dit artikel wordt een uitzondering gecreëerd op enkele rechten voor betrokkenen voor bij wet ingestelde openbare registers. Deze rechten zijn ook uitgezonderd onder artikel 36 en 40 van de Wbp maar bijvoorbeeld ook in specifieke sectorwetgeving zoals artikel 107a, eerste lid, van de Kadasterwet zoals die luidde voor inwerkingtreding van de Aanpassingswet Algemene verordening gegevensbescherming, en dit kan worden gehandhaafd op basis van de ruimte die artikel 23 van de verordening biedt voor afwijking van bepaalde rechten van betrokkene in dit geval ter waarborging van een ‘belangrijke doelstelling van algemeen belang’ (artikel 23, eerste lid, onderdeel e, van de verordening). Overweging 73 van de verordening expliciteert dat het houden van openbare registers die nodig zijn om redenen van algemeen belang, een reden kan zijn om beperkingen te stellen aan specifieke rechten van betrokkenen.
In het artikel is een uitzondering opgenomen op het recht van inzage van betrokkene (artikel 15 van de verordening), het recht op rectificatie (artikel 16 van de verordening), het recht op beperking van de verwerking (artikel 18 van de verordening), de kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking (artikel 19 van de verordening) en het recht op bezwaar (artikel 21 van de verordening). Overigens is ook het recht op wissing van gegevens (artikel 17 van de verordening) niet van toepassing indien de verwerking nodig is voor het nakomen van een wettelijke verplichting of een wettelijke taak. Dit is aan de orde bij openbare registers die bij wet zijn ingesteld.
Openbare registers vervullen een specifieke functie. De registers bevatten kwalitatief hoogwaardige gegevens over bijvoorbeeld personen of zaken, verrichtingen of gebeurtenissen. De registers zijn bij wet erkend als de enig officieel erkende registratie voor de desbetreffende gegevens. Bepaalde registers zijn bij wet als basisregistratie aangemerkt, zoals de basisregistraties adressen en gebouwen, de basisregistratie kadaster en het Handelsregister, die bij gelijknamige wetten zijn ingesteld. Het gebruik van gegevens uit basisregistraties is door alle overheidsinstellingen verplicht en de gegevens mogen worden gebruikt zonder nader onderzoek bij de uitvoering van publiekrechtelijke taken. Gelet daarop is het van het grootste belang dat de gegevens accuraat en volledig zijn. De taak die openbare registers ten behoeve van het algemeen belang vervullen, rechtvaardigt een uitzondering op de algemene rechten van betrokkenen, zoals bijvoorbeeld ten aanzien van het recht op wissing van gegevens. Teneinde hierover geen onduidelijkheid te laten bestaan, is dit expliciet opgenomen in de Uitvoeringswet.
Overigens kennen de openbare registers die bij wet zijn ingesteld, een eigen regime ten aanzien van inzage en wijzigen van gegevens. Een voorbeeld is titel 1 van hoofdstuk 7 van de Kadasterwet, waarin de inzageprocedure is geregeld hetgeen als nadere uitwerking van artikel 15 van de verordening zal blijven gelden. In de Kadasterwet is tevens voorzien in een onkostenvergoeding in de gevallen dat een verzoek om inzage wordt gedaan (de artikelen 108 en 109 van de Kadasterwet). Aangezien het Kadaster een met een publieke taak belaste instelling is en ter bestrijding van de kosten van de uitvoering van de publieke taak vergoedingen in rekening mag brengen, dient de onkostenvergoeding aangemerkt te worden als nadere uitwerking of verbijzondering van het geregelde in artikel 15, derde lid, van de verordening. Daarmee is sprake van een bijzondere procedure en aldus een uitzondering op het recht op inzage als beschreven in artikel 15 van de verordening (recht op inzage). Overigens wordt het recht van inzage door het Kadaster reeds ingevuld door de mogelijkheid voor de betrokkene om (gratis) via MijnOverheid.nl een deel van de eigen gegevens in te zien van hetgeen het Kadaster in de basisregistratie kadaster van de desbetreffende persoon heeft geregistreerd. Gegevens uit de basisregistraties adressen en gebouwen, het gemeentelijke beperkingenregister en de gemeentelijke beperkingenregistratie – deze laatste twee zijn ingesteld bij de Wet kenbaarheid publiekrechtelijke beperkingen onroerende zaken – zijn in beginsel ook openbaar, waardoor sprake is van een bijzondere procedure in de zin van artikel 47 van de Uitvoeringswet en een uitzondering op het algemene recht van inzage voor die openbare registers aan de orde is. Hoofdstuk 6 van de Handelsregisterwet 2007 is een voorbeeld van een eigen regime ten aanzien van het wijzigen van gegevens. De artikelen 7s en 7t van de Kadasterwet zijn in die zin ook een bijzondere regeling die een gerechtvaardigde afwijking vormen op het recht tot wijzigen van gegevens onder de verordening (artikel 16). In genoemde artikelen is geregeld dat er ambtshalve of op verzoek
correctie of herstel kan plaatsvinden van gegevens in de basisregistratie kadaster. In artikel 33 in samenhang met artikel 42 van de Kadasterwet is geregeld dat er verbeteringen kunnen worden ingeschreven op reeds ingeschreven stukken in de openbare registers van het Kadaster. De uitzondering op het recht van beperking van de verwerking (artikel 18 van de verordening) is voor de openbare registers terug te vinden in de artikelen 7n, 7o en 7r van de Kadasterwet waarin geregeld is dat ten behoeve van de gegevens in de basisregistratie kadaster een terugmelding kan worden gedaan indien een gegeven niet juist (b)lijkt te zijn. Gedurende de periode dat het gegeven wordt onderzocht, staat het gegeven ‘in onderzoek’ (en dit is als zodanig ook kenbaar in de basisregistratie kadaster). Voor bestuursorganen betekent dit dat zij het betreffende gegeven niet verplicht hoeven te gebruiken. Voor andere gebruikers is het signaal dat er nader onderzoek nodig is of kan zijn naar de juistheid van het gegeven.
Voor wat betreft de kennisgevingsplicht inzake rectificatie gelden voor de registers van het Kadaster de bijzondere procedures als bedoeld in de artikelen 7t, vierde lid, en 7n, zesde lid, van de Kadasterwet. In deze artikelen is geregeld dat het Kadaster de betrokkene informeert over de wijziging van een gegeven. Deze in de Kadasterwet vastgelegde informatieverplichtingen kunnen als bijzondere procedure beschouwd worden waarmee artikel 16 van de verordening buiten toepassing gelaten kan worden voor de basisregistratie kadaster.
De uitzondering op het recht van bezwaar komt overeen met artikel 40, vierde lid, van de Wbp en voorgesteld wordt om vanwege een beleidsneutrale invulling dit over te nemen in de Uitvoeringswet. Voor openbare registers geldt dat de wetgever reeds heeft beslist dat er in het belang van het rechtsverkeer sprake dient te zijn van bepaalde registers met een nauwkeurig omschreven inhoud die door een ieder moeten kunnen worden geraadpleegd.
Hoofdstuk 5. Overgangs- en slotbepalingen¶
Artikel 48¶
Overgangsrecht¶
-
Degene die voorafgaand aan de inwerkingtreding van deze wet is benoemd als lid van het College bescherming persoonsgegevens, is van rechtswege benoemd als lid van de Autoriteit persoonsgegevens.
-
Degene die voorafgaand aan de inwerkingtreding van deze wet is benoemd als voorzitter van het College bescherming persoonsgegevens, is van rechtswege is benoemd als voorzitter van de Autoriteit persoonsgegevens.
-
Voor het bepalen van het tijdvak van de benoeming, bedoeld in artikel 7, vijfde lid, geldt het tijdvak, vervuld als voorzitter van het College bescherming persoonsgegevens, voorafgaand aan de inwerkingtreding van deze wet als een tijdvak, vervuld als voorzitter van de Autoriteit persoonsgegevens.
-
Op de leden van het College bescherming persoonsgegevens die zijn benoemd of herbenoemd voor 1 januari 2014, blijft artikel 53, derde lid, eerste, tweede en derde volzin, van de Wet bescherming persoonsgegevens van toepassing, zoals dat luidde voor dat tijdstip.
-
De ambtenaar die voorafgaand aan de inwerkingtreding van deze wet is benoemd in het secretariaat van het College bescherming persoonsgegevens, is van rechtswege benoemd als ambtenaar in het secretariaat van de Autoriteit persoonsgegevens.
-
Besluiten die voorafgaand aan de inwerkingtreding van deze wet zijn genomen door het College bescherming persoonsgegevens gelden van rechtswege als besluiten, genomen door de Autoriteit persoonsgegevens.
-
In wettelijke procedures en rechtsgedingen waarbij het College bescherming persoonsgegevens voorafgaand aan de inwerkingtreding van deze wet is betrokken, treedt de Autoriteit persoonsgegevens van rechtswege in de plaats van het College bescherming persoonsgegevens.
-
Op wettelijke procedures en rechtsgedingen waarbij het College bescherming persoonsgegevens voorafgaand aan de inwerkingtreding van deze wet is betrokken, is het recht van toepassing zoals dit gold voorafgaand aan de inwerkingtreding van deze wet.
-
In samenwerkingsprotocollen treedt op het tijdstip van inwerkingtreding van deze wet de Autoriteit persoonsgegevens van rechtswege in de plaats van het College bescherming persoonsgegevens.
-
Op schriftelijke verzoeken als bedoeld in artikel 46 van de Wet bescherming persoonsgegevens, rechtsgedingen op basis van artikel 49 van de Wet bescherming persoonsgegevens en vorderingen op basis van artikel 50 van de Wet bescherming persoonsgegevens, die op het moment van inwerkingtreding van deze wet reeds aanhangig zijn bij de rechtbank is het recht van toepassing zoals dit gold voorafgaand aan de inwerkingtreding van deze wet.
-
Een verklaring van rechtmatigheid van de gegevensverwerking die voorafgaand aan de inwerkingtreding van deze wet is afgegeven op grond van artikel 32, vijfde lid, in samenhang met artikel 22, vierde lid, onder c, van de Wet bescherming persoonsgegevens, geldt van rechtswege als een vergunning in de zin van artikel 33, vierde lid, onder c, van deze wet.
-
Voor zover deze wet daarin niet voorziet, kunnen bij algemene maatregel van bestuur regels of nadere regels worden gesteld omtrent de invoering van de verordening of deze wet.
Memorie van Toelichting - Toelichting op art. 48 UAVG
In deze bepaling is voorzien in overgangsrecht met betrekking tot de benoeming van de voorzitter, de andere leden en de ambtenaren in het secretariaat van het College bescherming persoonsgegevens. Gelet op de rechtszekerheid van diegenen die thans als lid van het College zijn benoemd, wordt in het voorgestelde vierde lid eerbiedigende werking verleend aan de mogelijkheid tot meer dan eenmalige herbenoeming, zoals dat was vastgelegd in artikel 53, derde lid, eerste, tweede en derde volzin, van de Wbp persoonsgegevens zoals dat luidde voor 1 januari 2014.
Daarnaast is voorzien in een overgangsbepaling ten aanzien van besluiten die het College bescherming persoonsgegevens heeft genomen, en een overgangsbepaling ten aanzien van wettelijke procedures en rechtsgedingen.
De verordening kent geen eigen overgangsregeling. De verordening laat ook geen ruimte voor nationaal overgangsrecht ten aanzien van de materiële verplichtingen van de verordening. Wel is in overweging 171 met betrekking tot toestemming als rechtsgrondslag voor de verwerking het volgende opgenomen: "Om de verwerkingsverantwoordelijke in staat te stellen na de datum van toepassing van deze verordening de verwerking voort te zetten, hoeft de betrokkene voor een verwerking waarmee hij krachtens Richtlijn 95/46/EG heeft ingestemd op een manier die aan de voorwaarden van deze verordening voldoet, niet nog eens toestemming te geven". De voorwaarden zijn opgesomd in artikel 7 van de verordening. Het is hiermee primair aan de verwerkingsverantwoordelijke zelf om af te wegen of is voldaan aan deze voorwaarden bij de gegeven toestemming. De verwerkingsverantwoordelijke zal vanaf 25 mei 2018 moeten voldoen aan deze voorwaarden voor toestemming. Verder stelt overweging 171 van de verordening: “Besluiten van de Commissie en door de toezichthoudende autoriteiten verleende toestemmingen die op Richtlijn 95/46/EG zijn gebaseerd, blijven van kracht totdat zij worden gewijzigd, vervangen of ingetrokken.”
Ten aanzien van de verplichting op grond van artikel 35 van de verordening om een gegevensbeschermingseffectbeoordeling te doen in bepaalde gevallen, heeft de Article 29 Data Protection Working Party bepaald dat dit niet verplicht is voor verwerkingen die op 25 mei 2018 al worden verricht. Wel wordt dit overigens ten zeerste aanbevolen voor verwerkingen “already underway prior to May 2018 as a matter of good practice and accountability”.36
Artikel 48a¶
Overgangsrecht II¶
-
[Red: Wijzigt deze wet.]
-
[Red: Wijzigt deze wet.]
-
Op het tijdstip van inwerkingtreding van dit artikel zijn de ambtenaren van het secretariaat, bedoeld in artikel 10, eerste lid, van wie naam en functie zijn vermeld op een door Onze Minister in overleg met de Autoriteit persoonsgegevens vastgestelde lijst, van rechtswege ontslagen en aangesteld als ambtenaar in dienst van de Autoriteit persoonsgegevens. De overgang van de in de vorige volzin bedoelde ambtenaren vindt plaats met een rechtspositie die als geheel ten minste gelijkwaardig is aan die welke voor elk van hen gold op de dag voor de datum van inwerkingtreding van dit artikel.
-
Onze Minister bepaalt in overeenstemming met Onze Minister van Financiën welke vermogensbestanddelen van de Staat worden toebedeeld aan de Autoriteit persoonsgegevens.
-
De in het vierde lid bedoelde vermogensbestanddelen gaan op het tijdstip van inwerkingtreding van dit artikel onder algemene titel over op tegen een door Onze Minister in overeenstemming met Onze Minister van Financiën te bepalen waarde.
-
Ingeval krachtens het vierde en het vijfde lid registergoederen overgaan, doet Onze Minister van Financiën de overgang van die registergoederen onverwijld inschrijven in de openbare registers, bedoeld in afdeling 2 van titel 1 van Boek 3 van het Burgerlijk Wetboek. Artikel 24, eerste lid, van Boek 3 van het Burgerlijk Wetboek is niet van toepassing.
-
In wettelijke procedures en rechtsgedingen, waarbij de Autoriteit persoonsgegevens is betrokken, treedt op het tijdstip van inwerkingtreding van dit artikel de Autoriteit persoonsgegevens in de plaats van de Staat dan wel Onze Minister.
-
In zaken waarin voor het tijdstip van inwerkingtreding van dit artikel aan de Nationale ombudsman is verzocht een onderzoek te doen dan wel de Nationale ombudsman een onderzoek heeft ingesteld naar een gedraging die kan worden toegerekend aan de Autoriteit persoonsgegevens, treedt de Autoriteit persoonsgegevens op dat tijdstip als bestuursorgaan in de zin van de Wet Nationale ombudsman in de plaats van Onze Minister.
Artikel 49¶
Samenloop¶
[Red: Wijzigt deze wet.]
Memorie van Toelichting - Toelichting op art. 49 UAVG
Dit artikel bevat een samenloopbepaling waardoor op het moment dat artikel 168 van de Wet op de inlichtingen- en veiligheidsdiensten 2017 inwerking treedt, artikel 3, derde lid, onderdeel b van onderhavig wetsvoorstel (eerste lid, artikel 49) onderscheidenlijk van de Uitvoeringswet (tweede lid, artikel 49) daaraan wordt aangepast.
Artikel 50¶
Evaluatie¶
Onze Minister zendt binnen drie jaar na de inwerkingtreding van deze wet, en vervolgens telkens na vier jaar, aan de Staten-Generaal een verslag over de effecten van deze wet in de praktijk en over de uitvoering van de wet in de praktijk.
Memorie van Toelichting - Toelichting op art. 50 UAVG
Op grond van artikel 97 van de verordening zal de eerste evaluatie van de verordening uiterlijk op 25 mei 2020 zijn afgerond en daarna periodiek om de vier jaar worden uitgevoerd. In aanvulling op deze evaluatie zal ook de Uitvoeringswet worden geëvalueerd. Om te zorgen dat bij de evaluatie van de keuzes die zijn gemaakt in onderhavige Uitvoeringswet gebruik kan worden gemaakt van de gegevens die worden verzameld in het kader van de evaluatie van de verordening, wordt een evaluatietermijn van drie jaar na inwerkingtreding van de Uitvoeringswet voorgesteld en daarna dezelfde interval van vier jaar voor de vervolgevaluaties.
De eerste evaluatie zal zich met name richten op de uitvoeringspraktijk en daarmee tevens op effecten van de keuze voor de beleidsneutrale implementatie. Onderwerpen die dan geëvalueerd zullen worden zullen onder meer de uitvoerbaarheid en handhaafbaarheid zijn en daar direct mee samenhangend de duidelijkheid en toegankelijkheid.
Artikel 51¶
Intrekking Wet bescherming persoonsgegevens¶
De Wet bescherming persoonsgegevens wordt ingetrokken.
Memorie van Toelichting - Toelichting op art. 51 UAVG
In dit artikel wordt de Wbp ingetrokken. Waar bepalingen van de Wbp inhoudelijk zijn overgenomen in onderhavige Uitvoeringswet, is dit in de artikelsgewijze toelichting vermeld.
Artikel 52¶
Citeertitel verordening¶
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) wordt in overige wetgeving aangehaald als: Algemene verordening gegevensbescherming.
Memorie van Toelichting - Toelichting op art. 52 UAVG
In deze bepaling is, omwille van het vergemakkelijken van het verwijzen naar bepalingen van de verordening in andere wetgeving, een citeertitel voor de verordening opgenomen.
Artikel 53¶
Inwerkingtreding¶
De artikelen van deze wet treden in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.
Memorie van Toelichting - Toelichting op art. 53 UAVG
Dit artikel voorziet in de inwerkingtreding bij koninklijk besluit. Het is van groot belang dat de Uitvoeringswet op 25 mei 2018 in werking treedt omdat op die datum de verordening van toepassing wordt.
Artikel 54¶
Citeertitel wet¶
Deze wet wordt aangehaald als: Uitvoeringswet Algemene verordening gegevensbescherming.
Memorie van Toelichting - Toelichting op art. 54 UAVG
Dit artikel bepaalt de citeertitel van deze wet.
Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.
-
Dit overzicht is niet uitputtend en voor het toepasselijke recht zijn ook de keuzes in de uitvoeringswetgeving van de andere lidstaten van belang. ↩
-
De omstandigheid dat Nederland geen gebruik maakt van de mogelijkheid naast de Autoriteit persoonsgegevens andere organen belast met de handhaving van de verordening in te stellen, doet niet af aan omstandigheid dat naast de Autoriteit persoonsgegevens ook de Autoriteit Consument en Markt een taak heeft bij de handhaving van de wetgeving inzake de verwerking van persoonsgegevens. De Autoriteit persoonsgegevens en de ACM hebben daartoe een samenwerkingsprotocol vastgesteld (Samenwerkingsprotocol tussen Autoriteit Consument en Markt en Autoriteit persoonsgegevens van 11 oktober 2016, Stcrt. 58078). ↩
-
Stcrt. 2016, nr. 60236. ↩
-
Stcrt. 2016, nr. 34156. ↩
-
Wet van 21 december 2016 tot wijziging van de Telecommunicatiewet, de Boeken 3 en 6 van het Burgerlijk Wetboek, de Algemene wet bestuursrecht alsmede daarmee samenhangende wijzigingen van andere wetten in verband met de uitvoering van EU-verordening elektronische identiteiten en vertrouwensdiensten (uitvoering EU- verordening elektronische identiteiten en vertrouwens-diensten), Stb. 2017, 13. ↩
-
Kamerstukken II 2017/18, 34 809, nrs. 1- 3 ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p.124. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 123-124. ↩
-
Kamerstukken II 2012/13, 32 761, nr. 44. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 124. ↩
-
Zie uitgebreid Kamerstukken II 2008/09, 31 841, nr. 3, p. 10-11 evenals Kamerstukken II 2008/09, 31 841, nr. 8, p. 12-13. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 122. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p.102 en 105. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 107. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 116. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 117. Het kan zich overigens in een dergelijk geval wel voordoen dat het medische beroepsgeheim toch aan de gegevensverwerking in de weg staat. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 113. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 114. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 112. ↩
-
Nidos voert als onafhankelijke (gezins-)voogdij instelling, op grond van de wet, de voogdijtaak uit voor Alleenstaande Minderjarige Vreemdelingen. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 112-113. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 109-110. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 110. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 111. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 111. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 114. ↩
-
Voor een uitgebreide beschrijving van voorbeelden wordt verwezen naar Kamerstukken II 1997/98, 25 892, nr. 3, p. 115. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 118. ↩
-
Op grond van een nog uit te brengen rectificatieblad zal ‘strafbare feiten’ in de Nederlandse vertaling worden aangepast in ‘overtredingen’. ↩
-
Kamerstukken II 2012/13, 32 761, nr. 44. ↩
-
Voor een uitgebreide toelichting wordt verwezen naar Kamerstukken II 2008/09, 31 841, nr. 3, p. 9 evenals Kamerstukken II 2008/09, 31 841, nr. 8, p. 10. ↩
-
Voor een uitgebreide toelichting wordt verwezen naar Kamerstukken II 1997/98, 25 892, nr. 3, p. 120. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, p. 174. ↩
-
FOBID Netherlands Library Forum is het nationale samenwerkingsverband en overlegforum van de landelijke bibliotheekorganisaties. ↩
-
Kamerstukken II 1997/98, 25 892, nr. 3, blz. 44. ↩
-
Article 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is ‘likely to result in a high risk’ for the purposes of Regulation 2016/679, adopted on 4 April 2017, p. 11. ↩