BIJLAGE BIJ BRIEF «VOORNEMENS MET BETREKKING TOT DE UAVG EN AVG»

In deze bijlage wordt in § 1 nader uiteengezet welke voornemens er zijn met betrekking tot wijziging van de UAVG en andere wetten, voor welke punten het overleg daarover nog gaande is en voor welke punten mogelijk via andere wegen dan wetgeving een oplossing zou kunnen worden bereikt. In § 2 wordt nader uiteengezet welke punten zijn ingebracht ten behoeve van de evaluatie van de AVG.

1. Wetgeving

1.1 Aanpassing wetgeving wenselijk

1.1.1 Verwerking van bijzondere categorieën persoonsgegevens door accountants ter uitvoering van hun wettelijke controletaken

Accountants verwerken persoonsgegevens bij controleactiviteiten die wettelijk moeten worden uitgevoerd (veelal de controle van een jaarrekening). Het type persoonsgegevens waarmee accountants te maken krijgen, betreft over het algemeen gewone persoonsgegevens, zoals gegevens over klanten of werknemers van het bedrijf dat wordt gecontroleerd. Soms zijn er echter ook situaties waarin een accountant in aanraking komt met zogenoemde bijzondere categorieën persoonsgegevens, zoals patiëntengegevens van ziekenhuizen. Voor bijzondere categorieën persoonsgegevens geldt een verwerkingsverbod, waarop uitzonderingen bestaan.11 Voor de verwerking van bijzondere categorieën van gegevens ten behoeve van controleactiviteiten van accountants die wettelijk uitgevoerd moeten worden, geldt echter op dit moment geen uitzondering. De Koninklijke Nederlandse Beroepsvereniging van Accountants (NBA) heeft daarom verzocht in de UAVG een duidelijke uitzondering op te nemen voor accountants om bijzondere categorieën persoonsgegevens te mogen verwerken, voor zover dit noodzakelijk is voor de uitvoering van hun wettelijke controletaken.12 Een dergelijke uitzondering perkt het medisch beroepsgeheim overigens niet in. Dat blijft onaangetast.

Gelet op de wettelijke verplichtingen voor vele bedrijven en organisaties om accountantscontrole te laten uitvoeren, is het reëel om dit verzoek van de NBA te honoreren; een verplichting moet immers ook kunnen worden uitgevoerd. Dit wordt ook onderschreven door de AP in haar advies over het wetsvoorstel UAVG.13 De Ministeries van JenV, VWS en Financiën zijn inmiddels bezig op genoemd punt een wetswijziging voor te bereiden. Daarbij zal ook aandacht worden geschonken aan mogelijke waarborgen die accountants in acht zullen moeten nemen bij het verwerken van bijzondere persoonsgegevens.

1.1.2 Toepassing biometrie voor unieke identificatie van een persoon

Op grond van artikel 29 UAVG is het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Deze uitzondering stoelt op de mogelijkheid die artikel 9, eerste lid, onder g, AVG, biedt om bij lidstatelijk recht een uitzondering te maken op voornoemd verbod. De uitzondering dient noodzakelijk te zijn om redenen van zwaarwegend algemeen belang en aan de overige, in dit verband verder niet relevante voorwaarden uit dit artikel te voldoen.

Tijdens een ambtelijk gesprek over de wijze waarop Nederland de UAVG heeft vorm gegeven, was de Europese Commissie kritisch over het feit dat in de tekst van artikel 29 UAVG zelf geen verwijzing is opgenomen naar het voornoemde zwaarwegende algemeen belang dat met de in artikel 29 UAVG vastgelegde uitzondering is gediend. De voorbeelden en uitleg, zoals opgenomen in de artikelsgewijze toelichting van artikel 29 UAVG, vond de Commissie niet afdoende. Om tegemoet te komen aan deze kritiek is het wenselijk in artikel 29 UAVG expliciet het belang te benoemen dat in de rechtspraktijk noodzakelijk kan maken om biometrische gegevens te verwerken voor authenticatie en beveiligingsdoeleinden. Het betreft hier het belang van een rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten. Een dergelijke aanvulling van artikel 29 zou bijdragen aan de rechtszekerheid bij het verwerken van biometrische gegevens voor genoemde doeleinden en kan daarmee de gewenste duidelijkheid bieden over een punt van aandacht dat door VNO-NCW en MKB-Nederland naar voren is gebracht.

1.1.3 Verwerking van bijzondere gegevens door het Huis voor klokkenluiders ter uitvoering van haar wettelijke advies- en onderzoekstaken

1.1.4 Verwerking gezondheidsgegevens door patiëntenverenigingen

Artikel 9, tweede lid, onder d, AVG bevat een regeling voor onder meer verenigingen en andere instanties zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam zijn, om onder strikte voorwaarden bijzondere categorieën persoonsgegevens te mogen verwerken. Patiëntenverenigingen vallen niet onder deze uitzondering, hetgeen leidt tot onduidelijkheid over de juridische toelaatbaarheid van verwerking van gezondheidsgegevens voor intern gebruik in bijvoorbeeld hun ledenbestand, voor zover de aard van een dergelijk bestand dat noodzakelijkerwijs meebrengt. Het is wenselijk daartoe in de UAVG alsnog een duidelijke, hierop toegesneden uitzondering op het verbod van verwerking van gezondheidsgegevens op te nemen onder gelijktijdige formulering van waarborgen.

1.1.5 Technische wijzigingen

In het voorstel voor een aanpassingswet UAVG zullen ook enige wijzigingen en verbeteringen van technische aard worden opgenomen, die in deze bijlage verder buiten beschouwing worden gelaten.

1.2 Nader bezien of wetgeving aanpassing behoeft

1.2.1 Gebruik van het BIG-nummer buiten de wet BIG

De beroepsverenigingen voor artsen, tandartsen en apothekers, KNMG, KNMT, respectievelijk KNMP, hebben verzocht een wettelijke voorziening op te nemen die het mogelijk maakt het BIG-nummer te gebruiken buiten het kader van de Wet BIG.14 Zij geven als voorbeeld dat er internetapplicaties in gebruik zijn om de scholingsactiviteiten van BIG-geregistreerde beroepsbeoefenaren te registreren. Er bestaat bij de beroepsverenigingen onzekerheid of het gebruik van het BIG-nummer voor dit soort activiteiten is toegestaan. De drie organisaties zijn van oordeel dat het identificerende BIG-nummer niet privacy-gevoelig is en dat aan het gebruik daarvan geen risico’s kleven.

Hoewel het BIG-nummer wel degelijk als privacy-gevoelig valt aan te merken, is het verlangen van de beroepsverenigingen van BIG-geregistreerde beroepsbeoefenaren om dit nummer ook bij de ontwikkeling van activiteiten binnen hun vereniging te gebruiken, begrijpelijk, zeker waar het gaat om het ondersteunen van processen en activiteiten die dienstbaar zijn aan de doelstellingen van de Wet BIG. Die verplichtingen kunnen betrekking hebben op na- en bijscholing, maar kunnen ook verband houden met het opdoen van werkervaring. Het Ministerie van VWS is in overleg met de drie beroepsverenigingen om te bezien op welke wijze het BIG-nummer buiten het huidige kader van de Wet BIG gebruikt kan en mag worden. Naar verwachting zal in het najaar hierover een besluit worden genomen.

1.2.2 Geautomatiseerde besluitvorming en profilering door banken ter voorkoming van witwassen en fraude

Banken hebben de verplichting om hun bedrijfsvoering zo in te richten dat een goede werking van het betalingsverkeer wordt gewaarborgd.15 Op grond van deze verplichting nemen zij maatregelen om fraude te voorkomen. Daarnaast monitoren banken transacties van hun cliënten vanwege verplichtingen op grond van Wet ter voorkoming van witwassen en financieren van terrorisme. Banken detecteren onregelmatigheden in transacties door ze te vergelijken met transacties die klanten met eenzelfde profiel normaal gesproken uitvoeren. Dit gebeurt geautomatiseerd. Als banken een afwijkende transactie detecteren, kan die worden bevroren, zodat de bank onderzoek kan instellen of kan doen bij de betrokkene. De hierboven beschreven handelwijze (het tijdelijk bevriezen van een transactie) van banken kwalificeert zich mogelijk als geautomatiseerde besluitvorming op basis van profileren. Op grond van artikel 22 van de AVG is daarvoor een wettelijke grondslag nodig, die ook voorziet in passende maatregelen om de rechten van betrokkenen te beschermen. VNO-NCW en MKB-Nederland hebben dit knelpunt in meer algemene bewoordingen in haar brief van 19 september 2018 onder mijn aandacht gebracht.

Het is onzeker of het daadwerkelijk gaat om geautomatiseerde besluitvorming op basis van profileren. Het kabinet gaat er vooralsnog vanuit dat de wetgeving die de verplichtingen aan banken oplegt, voldoet als grond voor de verwerkingen. Om dit met zekerheid te kunnen vaststellen is het nodig om meer onderzoek te doen naar hoe banken in de praktijk aan deze verplichting uitvoering geven. Het Ministerie van Financiën zal hierover in overleg gaan met de sector. Eventueel kan naar aanleiding daarvan de wetgeving waarin deze specifieke verplichtingen voor banken zijn opgenomen, worden aangepast en kunnen daarin aanvullende waarborgen worden opgenomen.

1.2.3 Aansprakelijkheid van een opdrachtgever voor het niet voldoen van de loonheffingen of omzetbelasting door een opdrachtnemer

Op grond van de Invorderingswet 1990 is een opdrachtgever hoofdelijk aansprakelijk voor de loonheffingen en omzetbelasting die de opdrachtnemer schuldig is in verband met het verrichten van werkzaamheden voor de opdrachtgever.16 De opdrachtgever kan het risico op aansprakelijkheid beperken door het geschatte bedrag aan loonheffingen en omzetbelasting dat de opdrachtnemer moet betalen, te storten op een g-rekening. Een g-rekening is een geblokkeerde bankrekening waarmee opdrachtnemers alleen de loonheffingen en/of omzetbelasting aan de Belastingdienst kunnen betalen. Betalingen via een g-rekening moeten aan bepaalde voorwaarden voldoen om als vrijwarende betaling door de Belastingdienst in aanmerking te worden genomen. Een van deze voorwaarden is dat de administratie van de opdrachtgever zodanig is ingericht en wordt gevoerd dat daarin onder andere een registratie valt terug te vinden van de personen die zijn ingeleend of die werk in (onder)aanneming hebben verricht.

Volgens VNO-NCW en MKB-Nederland geeft in de praktijk een onderaannemer relevante persoonsgegevens van zijn werknemers rechtstreeks door aan de aannemer. Dat mag volgens deze organisaties niet, omdat daarvoor geen grondslag bestaat onder de AVG. Wettelijk is volgens hen slechts geregeld dat de onderaannemer het BSN van de werknemers mag doorgeven. De aannemer is daardoor genoodzaakt op de plaats van het werk zelf de benodigde overige persoonsgegevens te verzamelen, een in de ogen van deze organisaties zeer omslachtige werkwijze. VNO-NCW en MKB-Nederland verzoeken daarom in de fiscale wetgeving te regelen dat de uitlener of onderaannemer verplicht is om ook bepaalde andere persoonsgegevens dan alleen het BSN te verstrekken aan de opdrachtgever, namelijk de gegevens die noodzakelijk zijn om gebruik te kunnen maken van vrijwarende betaling via voornoemde g-rekening.17 Het Ministerie van Financiën en de Belastingdienst zullen analyseren in hoeverre de regelgeving adequaat is. Hierbij nodigen zij ook VNO-NCW en MKB-Nederland uit om het door hen ervaren knelpunt in kaart te brengen en mogelijke oplossingsrichtingen te bespreken.

1.2.4 Cross-sectorale gegevensdeling

In een brief van 11 juni jl. van de Minister van JenV en mij heb ik bevestigd dat cross-sectorale uitwisseling van strafrechtelijke persoonsgegevens op basis van een door de AP te verlenen vergunning mogelijk is, als deze uitwisseling noodzakelijk is met het oog op een zwaarwegend belang van bepaalde private partijen en is voorzien in voldoende waarborgen dat personen niet ten onrechte op bijvoorbeeld een lijst komen te staan of blijven staan, met namen van personen die mogelijk fraude plegen. Tegen deze achtergrond is denkbaar – zo stelden wij – dat een vergunningaanvraag wordt ingediend voor de uitwisseling van persoonsgegevens van strafrechtelijke aard ten behoeve van de aanpak van bijvoorbeeld vastgoedfraude door naast betrokken partijen, zoals notarissen, makelaars, banken en pandeigenaren, die aan deze vereisten voldoet.18

Onderwijl hadden VNO-NCW en MKB-Nederland de AP gevraagd aan te geven onder welke voorwaarden een dergelijk cross sectoraal frauderegister mogelijk is.19 Daarover is in aanvulling op wat in de eerder genoemde brief van 11 juni is vermeld, nog meer duidelijkheid ontstaan, nu de AP op 19 juni jl. een verzoek van Safecin om een vergunning voor het verwerken van persoonsgegevens van strafrechtelijke aard door de Fraudehelpdesk heeft afgewezen.20 Uit dat besluit blijkt dat de aanvraag op een aantal onderdelen nog nader ingevuld of onderbouwd moet worden. Safecin heeft inmiddels laten weten hierover met de AP in gesprek te gaan en voor de Fraudehelpdesk een nieuwe vergunningaanvraag te willen indienen. Dat lijkt mij een goede weg, omdat de Fraudehelpdesk een nuttige bijdrage aan de preventie van fraude levert. Zoals in de brief van 11 juni al is aangegeven, wachten de Minister van JenV en ik de ervaringen die door private organisaties worden opgedaan met hun voornemen tot cross-sectorale gegevensdeling ten behoeve van fraudebestrijding en eventuele daarbij spelende knelpunten binnen het huidige wettelijke privacy-kader af. Afhankelijk van die ervaringen zal zo nodig nadere wetgeving kunnen worden overwogen.

1.2.5 Uitbreiding uitzonderingsbepaling voor archieven

De beroeps- en branchevereniging voor archivarissen en archiefinstellingen, KVAN/BRAIN, heeft verzocht in de UAVG een voorziening te treffen voor particuliere instellingen die historische archieven beheren, waarin (bijzondere) persoonsgegevens kunnen voorkomen. In de AVG zelf wordt geen onderscheid gemaakt tussen overheidsorganen en particuliere organen die tot taak hebben om archieven in het algemeen belang te bewaren.21 Anders dan voor archiefbewaarplaatsen in de zin van de Archiefwet is echter voor organisaties zoals het NIOD Instituut voor Oorlogs-, Holocaust- en Genocidestudies, Atria Kennisinstituut voor Emancipatie en Vrouwengeschiedenis, het Internationaal Instituut voor Sociale Geschiedenis en het RKD-Nederlands Instituut voor Kunstgeschiedenis geen bepaling in de UAVG opgenomen.22 Dit betekent onder meer dat dergelijke organisaties onverkort moeten voldoen aan verzoeken van burgers om collecties te doorzoeken op hun naam en andere persoonsgegevens, een overzicht hiervan te leveren en persoonsgegevens desgevraagd te rectificeren. Dit is voor betrokken instellingen niet altijd uitvoerbaar. Daarnaast tast rectificatie de integriteit van collecties aan. Met het oog hierop is voor overheidsarchiefbewaarplaatsen in de UAVG geregeld dat burgers, indien zij bij onderzoek in de archieven onvolkomenheden aantreffen, een eigen lezing aan het betreffende dossier kunnen laten toevoegen.

Het lijkt de Minister van Onderwijs, Cultuur en Wetenschap (OCW) en mij wenselijk om te onderzoeken wat de mogelijkheden zijn om het regime voor overheidsarchiefbewaarplaatsen ook te laten gelden voor andere organisaties die historische archieven beheren op basis van wet of regelgeving en/of met overheidssteun. Komende tijd zal de Minister van OCW in overleg met mij en met betrokken partijen de reikwijdte van de uitzonderingen nader bezien. Voor de overige verzoeken van KVAN/BRAIN verwijs ik naar § 1.3.5 van deze bijlage.

1.2.6 Verhalen van verkeersboetes op de berijder door autoleasemaatschappijen e.a.

De Vereniging van Nederlandse Autoleasemaatschappijen (VNA) heeft aandacht gevraagd voor door haar veronderstelde belemmeringen bij het verhalen van verkeersboetes door autoleasemaatschappijen op de berijders van voertuigen die bij deze maatschappijen geleased zijn.

Het vraagstuk spitst zich toe op die verkeersboetes waarvoor kentekenaansprakelijkheid geldt. Dan kan immers een leasemaatschappij als houder van het kenteken voor de desbetreffende verkeersovertreding aansprakelijk worden gesteld, terwijl de overtreding feitelijk door de berijder van het geleasede voertuig is begaan. Overigens doet zich een vergelijkbaar vraagstuk voor bij autoverhuurbedrijven, deelautogebruikers en bedrijven met een eigen wagenpark.

Verkeersboetes waarvoor kentekenaansprakelijkheid geldt, worden grotendeels administratiefrechtelijk afgedaan, maar deels ook strafrechtelijk. Met het versturen en doorsturen van deze laatste categorie is er sprake van het verwerken van persoonsgegevens van strafrechtelijke aard. Verwerking daarvan is op grond van artikel 10 AVG alleen toegestaan, als deze verwerking, voor zover hier van belang, expliciet bij lidstatelijk recht is toegestaan.

Bij veruit de grootste categorie waarbij sprake is van administratieve afdoening («Mulder-boetes»), speelt artikel 10 AVG weliswaar geen rol, maar ook dan dient de verwerking (het doorsturen van de boete) vanzelfsprekend gebaseerd te zijn op een legitieme grondslag als bedoeld in artikel 6 AVG. In veel gevallen zal een en ander kunnen worden opgelost door afspraken hierover vast te leggen in de lease- of huurovereenkomst, daarmee gebruik makend van de grondslag die in artikel 6, eerste lid, onder b, AVG wordt genoemd. Als de berijder echter geen partij is bij die overeenkomst, dan kan de verwerking niet op deze grondslag worden gebaseerd. In de relatie tussen werkgever en werknemers is het gebruik van de grondslag «toestemming» ook geen goede oplossing, aangezien toestemming vanwege de gepercipieerde machtsongelijkheid tussen partijen dan al snel als niet in vrijheid gegeven wordt beschouwd.

Op het moment dat een leasemaatschappij of autoverhuurbedrijf de werkgever van de berijder aanspreekt, spelen bij het eventueel verhalen van die boete op de betrokken werknemer, ook andere arbeidsrechtelijke aspecten een rol. Het betreft hier, kortom, een complex vraagstuk waarnaar ik eerst nog in overleg met betrokkenpartijen (naast VNA onder meer het CJIB en het CVOM) nader onderzoek wil doen, voordat ik al dan niet tot de conclusie kom dat er een betere rechtsgrond voor het verwerken van persoonsgegevens in het kader van kentekenaansprakelijkheid en verkeersboetes dient te komen.

1.2.7 Gebruik van het BSN

VNO-NCW en MKB-Nederland hebben gevraagd het burgerservicenummer (BSN), gezien de meerwaarde die het gebruik daarvan heeft voor allerlei administratieve processen en klantgerichte vertrouwensmodellen, vrij te geven voor een breder gebruik. Zij wijst daarbij op de regelgeving die Zweden op dit punt hanteert.

Voor de overheid is het gebruik van het BSN geregeld in artikel 10 van de Wet algemene bepalingen burgerservicenummer (Wabb). Overheidsorganen kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak gebruikmaken van het BSN, zonder dat daarvoor nadere regelgeving vereist is. Voor instellingen die geen beroep kunnen doen op artikel 10 Wabb, dient het gebruik te zijn voorgeschreven in sectorale wetgeving. Uitbreiding van het gebruik is mogelijk als het geregeld kan worden in sectorale wetgeving. Het Ministerie van BZK is bekend met vragen vanuit het bedrijfsleven over het gebruik van BSN en zal over die vragen in gesprek met VNO/NCW en MKB-Nederland gaan, waarbij ook de Zweedse regelgeving zal worden betrokken.

Daarnaast ligt de vraag voor of het gebruik van het BSN dient te worden toegestaan ten behoeve van het uitoefenen van de poortwachtersfunctie van instellingen, zoals banken, andere financiële ondernemingen en verschillende beroepsbeoefenaars zoals advocaten, notarissen en accountants. Zij moeten op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme onderzoek doen naar hun cliënten om de risico’s op witwassen en financieren van terrorisme te beoordelen en daarop eventuele mitigerende maatregelen te treffen. Gebruik van het BSN kan deze taak vergemakkelijken. Met het oog op die vraag heeft de Minister van Financiën mede namens de Minister van JenV onlangs de AP om advies gevraagd over onder meer het gebruik van het BSN voor specifiek dit doel. Deze adviesaanvraag vloeit voort uit het Plan van aanpak witwassen dat op 30 juni jl. naar uw kamer is gezonden.

1.3 Nader bezien of andere oplossing mogelijk is

1.3.1 Registratie van vermoeden van (geestelijke) ziektes

Volgens VNO-NCW en MKB-Nederland worden bepaalde sectoren, zoals de financiële sector, geconfronteerd met situaties waarin sprake is van vermoedens van (geestelijke) ziektes of dementie. Verkeerde of onterechte besluiten ten gevolge van dergelijke aandoeningen kunnen volgens deze organisatie grote gevolgen hebben.23 De vraag is of en in hoeverre uit hoofde van de zorgplicht voor kwetsbare groepen het noodzakelijk is dat financiële instellingen zorgen kunnen vastleggen over de geestelijke) gezondheidstoestand van hun cliënten om de daarbij behorende stappen te kunnen nemen en verantwoorden.

Mensen worden geacht handelingsbekwaam te zijn, tenzij aangetoond wordt dat dit anders is. Het kabinet is van mening dat de systematiek van het Burgerlijk Wetboek in dit kader («curatele») in beginsel afdoende is. Verder is van belang dat het registreren van een vermoeden van (geestelijke) ziekte of dementie neerkomt op het verwerken van gezondheidsgegevens, dat onder het verbod op het verwerken van bijzondere categorieën persoonsgegevens van artikel 9 AVG valt. Daar staat tegenover dat er op basis van de Wet financieel toezicht een zorgplicht voor de financiële sector geldt waarbij de AFM volgens deze sector onder omstandigheden verwacht dat de sector dergelijke vermoedens vastlegt om kwetsbare cliënten te kunnen beschermen. Een vertegenwoordiging van de financiële sector heeft onlangs op het Ministerie van JenV nader uiteengezet dat hierdoor voor deze sector het dilemma is ontstaan hoe deze zorgplicht kan worden ingevuld zonder in strijd te komen met de AVG. Dit vormt voor het Ministerie van JenV aanleiding om samen met het Ministerie van Financiën, de AFM, de AP, het Klachteninstituut financiële dienstverlening (Kifid) en de Nederlandse Vereniging van Banken (NVB) nader te verkennen hoe zij vorm kunnen geven aan de zorgplicht met betrekking tot kwetsbare cliënten en hoe deze is uit te voeren op een wijze die in overeenstemming is met de AVG.

1.3.2 Aansprakelijkheid en doorbelasten van boetes aan opdrachtnemers

De inkoopvoorwaarden die het Rijk hanteert voor het aangaan van IT-overeenkomsten, bevatten onder meer bepalingen over het verhalen van schade of boetes op opdrachtnemers als gevolg van het verwerken van persoonsgegevens. VNO-NCW en MKB-Nederland stellen zich op het standpunt dat de volledige aansprakelijkheid op dit punt niet uitsluitend bij de opdrachtnemers (verwerkers) mag worden neergelegd.24

De Hoge Raad heeft niet zo lang geleden bepaald dat bij een dergelijk verhaalsbeding (waarbij bij voorbaat al contractueel wordt vastgelegd dat een mogelijke toekomstige boete bij een onderaannemer wordt gelegd) geen sprake is van nietigheid wegens strijd met de wet, de openbare orde of de goede zeden.25 Deze uitspraak zag weliswaar op boetes die waren opgelegd in het kader van de Wet arbeid vreemdelingen (WAV), maar duidelijk is dat de Hoge Raad het contractueel doorbelasten van boetes aan opdrachtnemers in ieder geval niet categorisch uitsluit.

De rijksoverheid heeft er voor gekozen aansprakelijkheid voor schade door (U)AVG-schendingen niet te limiteren, omdat het hier om het door de Grondwet beschermde recht op bescherming van persoonsgegevens gaat en het om die reden wenselijk is de prikkel om dergelijke schendingen te voorkomen zo groot mogelijk te laten zijn. De rijksoverheid kan een dergelijke schade op grond van artikel 26, eerste lid, van de Algemene Rijksvoorwaarden bij IT-overeenkomsten 2018 (ARBIT 2018) slechts op de opdrachtnemer (verwerker) verhalen, voor zover deze toerekenbaar is tekortgeschoten in de nakoming van een contractuele verplichting. Brancheverenigingen hebben de zorg uitgesproken dat dit laatste onvoldoende duidelijk zou blijken uit de tekst van de voorwaarden. De rijksoverheid deelt die zorg niet en heeft de Toelichting op de voorwaarden aangepast, maar de zorgen over het ontbreken van een limiet aan de aansprakelijkheid zijn daarmee bij het bedrijfsleven niet weggenomen. Hierover zal dan ook nader overleg met betrokken partijen worden gevoerd.

Naar aanleiding van een gesprek dat het Ministerie van JenV onlangs met NLdigital, de branchevereniging van ICT-bedrijven, heeft gehad, ligt verder nog de vraag open of de AP bij het opleggen van boetes aan de rijksoverheid als verwerkingsverantwoordelijke en een ICT-bedrijf als verwerker niet al in voldoende mate het principe «de vervuiler betaalt» hanteert, zodat voor het doorberekenen van de boete door de rijksoverheid aan het bedrijf dat gegevens voor hen verwerkt, geen goede rechtvaardiging bestaat. Ook daarover zal nog overleg met betrokken partijen plaatsvinden.

1.3.3 Wetenschappelijk onderzoek rondom artificiële intelligentie (AI)

Van de zijde van VNO/NCW en MKB-Nederland is naar voren gebracht dat de UAVG met betrekking tot wetenschappelijk onderzoek minder ruimte voor het verwerken van medische persoonsgegevens laat dan uitvoeringswetten van andere EU-lidstaten. Dit zou zijn ingegeven door het feit dat ingevolge de UAVG het vragen van toestemming voor een dergelijke verwerking alleen dan achterwege kan blijven, als het vragen daarvan onmogelijk blijkt of onevenredige inspanning vergt. Deze organisaties wijzen er daarbij op dat de Duitse uitvoeringswet AVG een dergelijk voorbehoud niet kent.

Wat hier als voorbehoud wordt betiteld, is eerder aan te merken als een uitzondering op het vereiste dat toestemming moet worden gevraagd. Uiteraard dient de verwerkingsverantwoordelijke dan wel te kunnen aantonen dat het vragen van toestemming inderdaad onmogelijk is of onevenredige inspanning vergt. Een in mijn ogen niet meer dan redelijke eis. Wel blijken er in de praktijk vragen te leven wat in dit verband onder een «onevenredige inspanning» dient te worden verstaan. Dit vormt voor het Ministerie van JenV aanleiding om samen met het Ministerie van VWS, de AP en de branche voor medisch-wetenschappelijk onderzoek naar criteria te zoeken die in de praktijk kunnen helpen op deze vragen antwoord te geven. Dit sluit aan bij de strekking van de brief die de Minister voor Medische Zorg en Sport op 4 oktober jl. aan de Tweede Kamer heeft gezonden als reactie op een artikel in het Financieel Dagblad over secundair gebruik van data. In die brief wordt nader ingegaan op de mogelijkheden om binnen de huidige wet- en regelgeving medisch-wetenschappelijk onderzoek te verrichten. In dit verband is tot slot nog van belang dat de Federa, het interdisciplinair samenwerkingsverband van onderzoekers in de gezondheidszorg, bezig is de Gedragscode Gezondheidszorgonderzoek te herzien, mede om deze congruent te maken aan de normen van de AVG en UAVG. Bij deze herziening zou ook aandacht kunnen worden geschonken aan de wijze waarop het criterium «onevenredige inspanning» kan worden ingevuld.

1.3.4 Duidelijkheid en rechtszekerheid bij standaardverwerkingen

In een motie van het lid Van Gent c.s. (Kamerstuk 32 761, nr. 143) is de regering verzocht in overleg te treden met de AP om te bewerkstelligen dat de AP komt tot een eenvoudige beleidsregel, vergelijkbaar met het vrijstellingsbesluit onder de Wbp, die MKB-bedrijven, verenigingen en stichtingen duidelijkheid en rechtszekerheid biedt ten aanzien van een groot aantal standaardverwerkingen en geldig is tot aan de evaluatie van de AVG in 2020. Eerder hadden VNO/NCW en MKB-Nederland al een vergelijkbaar pleidooi gehouden.26

De AP heeft laten weten dat zij met haar voorlichtingsactiviteiten al veel duidelijkheid en rechtszekerheid biedt over de wijze waarop het MKB verwerkingen dient uit te voeren die in de motie als standaardverwerkingen zijn aangeduid. Het gaat dan bijvoorbeeld om verwerkingen met betrekking tot klanten, de personeelsadministratie, sollicitaties en ziekte van werknemers. De door haar gelanceerde website «hulpbijprivacy», die nog steeds verder wordt ontwikkeld, is juist ook voor het MKB bedoeld. De AP zet graag haar gesprekken met brancheorganisaties als VNO-NCW en MKB-Nederland voort om te bezien hoe deze site nog verder kan bijdragen aan duidelijkheid en rechtszekerheid rond dergelijke «standaardverwerkingen».

Het vaststellen van een beleidsregel vergelijkbaar met het vrijstellingsbesluit dat onder de Wbp gold, ligt volgens de AP niet voor de hand, nu de strekking van dat besluit van een andere orde was. Hiermee waren organisaties vrijgesteld van de verplichting gegevensverwerkingen te melden bij de AP. Een dergelijke verplichting bestaat onder de AVG echter niet meer. Los daarvan is een beleidsregel ook niet nodig om meer duidelijkheid en rechtszekerheid te bieden, als met goede voorlichting hetzelfde resultaat kan worden bereikt. Het instrument van voorlichting heeft bovendien het voordeel dat daarmee sneller kan worden ingespeeld op nieuwe ontwikkelingen.

1.3.5 Samenloop AVG en Archiefwet

De beroeps- en branchevereniging voor archivarissen en archiefinstellingen, KVAN/BRAIN, heeft naast het verzoek waarover reeds is gesproken in § 1.2.5, tevens verzocht om een voorziening te treffen om te voorkomen dat archieven die vanuit de Archiefwet voor bewaring zijn aangewezen, in het kader van de AVG worden vernietigd. KVAN/BRAIN wijst er op dat de Archiefwet instrumenten biedt waarmee aan bepaalde verplichtingen van de AVG kan worden voldaan.

De Minister voor Basis- en Voortgezet Onderwijs en Media en ik constateren dat het steeds de bedoeling is geweest dat men bij de uitvoering van de AVG rekening zou houden met de bepalingen uit de Archiefwet.27 De AVG geeft ook uitdrukking aan het principe van «archivering in het algemeen belang». In de Archiefwet zijn selectielijsten het instrument voor overheidsorganen om bewaartermijnen voor hun documenten vast te leggen op basis van een belangenafweging. Daarmee vormen selectielijsten, die als Awb-besluit worden gepubliceerd, niet alleen de legitieme grondslag om (rechtmatig verzamelde) persoonsgegevens blijvend te mogen bewaren en onder te brengen in een historisch archief, sterker nog, men is daartoe verplicht.

Aanpassing van wetgeving achten wij op dit punt niet nodig. Waar verduidelijking van de verhouding tussen beide wetten nodig is, vertrouw ik er in eerste instantie op dat deze kan worden geboden door voorlichting van de AP, de Inspectie voor Overheidsinformatie en Erfgoed en betrokken partijen uit de archiefsector. Daarnaast werkt de Minister voor Basis- en Voortgezet Onderwijs en Media aan een wijziging van de Archiefwet en zal hij de relatie met de AVG nader toelichten in de memorie van toelichting bij het desbetreffende wetsvoorstel.

2. Evaluatie AVG

2.1 Proces

Op grond van artikel 97 van de AVG dient de Commissie op 25 mei 2020 een verslag in te dienen bij het Europees Parlement en de Raad over de evaluatie en de toetsing van de AVG. De Commissie heeft vanzelfsprekend ook aan de lidstaten gevraagd om input voor de evaluatie te leveren en om de eerste ervaringen met de AVG te delen. In deze paragraaf geef ik aan welke onderwerpen Nederland in het kader van de evaluatie van de AVG al onder de aandacht van de Commissie heeft gebracht; onderwerpen die grotendeels voortvloeien uit toezeggingen aan uw Kamer. Verderop in het proces kunnen zich uiteraard momenten voordoen waarop ook andere onderwerpen kunnen worden ingebracht of andere accenten gelegd.

Het gaat deels om grote ontwikkelingen die mij, en velen met mij, zorgen baren en waar we in mijn ogen alleen in Europees verband tot een effectieve oplossing kunnen komen. Daarbij zij opgemerkt dat dit complexe vraagstukken zijn waarbij eenvoudige oplossingen niet voor handen zijn. Dat ontslaat ons echter niet van de plicht om hier over in gesprek te gaan en te blijven.

Deels gaat het ook om kleinere knel- en verbeterpunten die met een relatieve overzichtelijke aanpassing van de AVG weggenomen zouden moeten kunnen worden. Tot slot zal ik een aantal technische punten meegeven waarop ik in deze brief niet nader inga.

2.2 Registerplicht kleine bedrijven

In mijn brief van 1 april jl. heb ik al aangekondigd dat ik graag samen met de betrokken koepelorganisaties zal bekijken wat de zorgen omtrent de registerplicht voor de inbreng van Nederland ten behoeve van de evaluatie van de AVG kunnen betekenen. Ik heb het punt alvast ook bij de Europese Commissie onder de aandacht gebracht. In contacten met andere lidstaten is intussen gebleken dat die zorgen ook in andere landen bestaan. Er lijkt dus een goede kans te bestaan om hierin samen met deze andere lidstaten op te trekken.

2.3 Extraterritoriale werking uitvoeringswetten

Een aantal van de nationale uitvoeringswetten heeft een extraterritoriale werking, bijvoorbeeld in Duitsland. Hierdoor ontstaat voor internationaal werkende ondernemingen opnieuw een lappendeken van wetgeving, iets dat de AVG nu juist wilde voorkomen. Daarom heeft Nederland ten behoeve van de evaluatie van de AVG ingebracht dat extraterritoriale werking moet worden vermeden en dat dit, zo nodig, als principe expliciet in de AVG dient te worden opgenomen.

2.4 Uniformering leeftijdsgrens

De vraag vanaf welke leeftijdgrens kinderen zelf toestemming kunnen geven is een complex onderwerp. Allereerst is er de vraag welke leeftijdsgrens wenselijk is. Aan de ene kant is er de wens van ouders om hun kinderen, indien nodig, te kunnen beschermen. Wanneer een kind toestemming geeft maar de leeftijdsgrens nog niet heeft bereikt, dan kan deze toestemming nooit rechtmatig zijn gegeven, waardoor de verwerking op basis van toestemming onrechtmatig is. Indien ouder en kind gezamenlijk toestemming hebben gegeven voor het kind dat de leeftijdsgrens nog niet heeft bereikt, dan kan de ouder deze toestemming desgewenst intrekken. Als we zouden kiezen voor een leeftijdsgrens van bijvoorbeeld 13 jaar, dan kan een ouder voor een kind dat 13 jaar of ouder is, een door dat kind gegeven toestemming niet meer ongedaan maken; vanaf die leeftijd is dan de toestemming immers rechtsgeldig gegeven (als ware deze gegeven door een meerderjarige). Aan de andere kant ben ik ook gevoelig voor het argument dat kinderen ook een bepaalde mate van zelfstandigheid en eigen privacy moet worden gegund. Voordat ik op dit punt tot een conclusie kom, wil ik in ieder geval het onderzoek naar de positie van het kind in het recht van de Universiteit van Leiden afwachten. Daarin wordt breed gekeken naar de positie van kinderen waarbij ook pedagogische en psycho-sociale aspecten worden betrokken. Hopelijk zijn de uitkomsten ook nuttig voor de vragen rond het oordeelsvermogen van kinderen op verschillende leeftijden. Dit onderzoek is naar verwachting in november 2019 afgerond.

Daarnaast speelt de vraag op welk niveau die leeftijdsgrens moet worden vastgelegd: op het nationale of het Europese. Het kabinet is zich er steeds meer van bewust dat een heel groot – misschien wel het grootste – probleem is dat er binnen Europa allemaal verschillende leeftijdsgrenzen gelden. Alle leeftijdgrenzen tussen 13 en 16 jaar die op grond van de AVG door nationale wetgevers kunnen worden gekozen, komen ook daadwerkelijk voor in de implementatiewetgeving van verschillende lidstaten. Dat is in een wereld van grensoverschrijdend dataverkeer erg ingewikkeld, zowel voor bedrijven als voor ouders en kinderen. Voor bedrijven maakt dit het dataverkeer nodeloos complex, omdat ze allerlei verschillende leeftijdgrenzen moeten hanteren. Ouders en kinderen weten niet waar ze aan toe zijn. De vraag of hun kind al dan niet rechtmatig toestemming kan geven en op welke leeftijd, hangt immers af van de hoofdvestigingsplaats van de verwerkingsverantwoordelijke die die toevallige dienst aanbiedt. Het kabinet ziet dus dat er in de samenleving behoefte is aan het instellen van één uniforme leeftijdsgrens in heel Europa.

Desalniettemin ziet het kabinet ook dat er specifieke sectoren zijn waarin een nationale uitzondering op de leeftijdsgrens mogelijk moet blijven. De leeftijd waarop een kind de gevolgen kan overzien van het geven van toestemming bij het spelen van een online spel, is wellicht anders bij bijvoorbeeld (elektronische) inzage in het medisch dossier (geregeld in de Wet op de Geneeskundige Behandelingsovereenkomst) en toepassing van persoonlijke gezondheidsomgevingen.

Het kabinet wil dan ook inzetten op één uniforme leeftijdsgrens bij de evaluatie van de AVG, maar zal daarbij aangeven dat er ook nagedacht moet worden over specifieke uitzonderingssituaties, zoals voor medische gegevens. De vervolgvraag die dan resteert, is op wélke uniforme algemene leeftijdsgrens moet worden ingezet. Daarvoor leg ik nu ook breder mijn oor te luisteren bij verschillende maatschappelijke organisaties, vertegenwoordigers van jongeren zelf als ook wetenschappers.

2.5. Gegevenswerkingen door grote techbedrijven28

Zoals aangekondigd in de Kabinetsvisie op horizontale privacy onderzoekt het kabinet of de wettelijke eisen in de AVG ten aanzien van grote techbedrijven kunnen worden aangescherpt om de hoeveelheden gegevens die zij over personen verwerken te beteugelen.

Het onderzoek naar concrete voorstellen om de datamacht via de AVG verder te beteugelen is nog gaande. Het richt zich vooralsnog vooral op dataportabiliteit en eventuele nieuwe instrumenten voor toezicht door de Autoriteit persoonsgegevens. Nederland heeft dit punt ook ingebracht in het kader van de evaluatie van de AVG, omdat dit bij uitstek een onderwerp is waar de EU haar krachten zal moeten bundelen, maar waar zij ook haar meerwaarde kan doen gelden.

2.6 Verplichte toezichthouder bij gedragscode

MKB-NL heeft voorgesteld in Brussel te bepleiten dat het opstellen van een gedragscode niet verplicht tot aanstelling van een eigen toezichthouder. Zoals ik in het AO over bescherming van persoonsgegevens van 13 juni jl. al heb opgemerkt, ging ik ervan uit dat zo’n verplichting er niet is omdat de AVG op dit punt niet helder is geformuleerd.29 Het Europees Comité voor gegevensbescherming heeft inmiddels echter richtsnoeren vastgesteld waarin is bepaald dat die verplichting er wel is.30 Aan dat oordeel voelen bedrijven zich vooralsnog gebonden. Ik vind evenwel dat aanstelling van een toezichthouder geen verplicht karakter zou moeten hebben, omdat dit de totstandkoming van gedragscodes nadelig kan beïnvloeden. Daarom zal ik bij de evaluatie van de AVG inbrengen dat daarin expliciet tot uitdrukking moet komen dat van een verplichting geen sprake is.

2.7 Certificering op EU-niveau

Zoals artikel 42, lid 1, AVG aangeeft, moeten alle betrokken actoren (lidstaten, toezichthoudende autoriteiten, de EDPB en de Commissie) de oprichting van certificeringsmechanismen voor gegevensbescherming en van gegevensbeschermingszegels en -merken aanmoedigen, met name op het niveau van de Unie. De AVG maakt een aanpak op het niveau van de Unie op verschillende manieren mogelijk. Artikel 42, lid 5, AVG geeft de EDPB de mogelijkheid om de certificatiecriteria goed te keuren met behulp van het consistentie-mechanisme, resulterend in een gemeenschappelijke certificering (de Europese gegevensbeschermingszegels). Bovendien machtigt artikel 43, lid 8, AVG de Commissie om een gedelegeerde handeling vast te stellen met de vereisten waarmee rekening moet worden gehouden bij dergelijke certificeringsmechanismen. Op grond van artikel 42, lid 5, AVG kunnen de verschillende nationale toezichthoudende autoriteiten deze certificeringscriteria echter ook op nationaal niveau goedkeuren. Het gebruik van certificatiemechanismen die alleen op verschillende nationale niveaus geldig zijn, lijkt daar waar het om geharmoniseerde regels gaat contraproductief omdat dit verdere harmonisatie in de weg staat. Een verwerkingsverantwoordelijke moet dan in alle landen waar hij actief is aan verschillende certificeringsvereisten voldoen en verschillende certificeringsprocedures doorlopen. Nederland wil graag dat vragen rond de efficiëntie en de effectiviteit van deze certificeringsprocessen mee worden genomen in de evaluatie. Overwogen moet worden of de mogelijkheid om certificeringsmechanismes toe te passen die alleen geldig zijn in een nationale context, niet zou moeten worden beperkt tot alleen die situaties waarin dat ook daadwerkelijk een legitiem doel dient.

2.8 Eén uniform formulier voor melden datalekken

Naast de belangrijke taak van de EDPB om richtlijnen, aanbevelingen en «beste praktijken» uit te vaardigen over verschillende onderwerpen en daarmee de betekenis te verduidelijken van de termen die in de AVG worden gebruikt voor de dagelijkse praktijk, zou het – ook vanuit praktisch oogpunt – zeer nuttig als zij ervoor kon zorgen dat slechts één geharmoniseerd formulier wordt ontwikkeld om datalekken te melden, omdat de verwerkingsverantwoordelijken nu worden geconfronteerd met formulieren die van toezichthouder tot toezichthouder verschillen.