Memorie van toelichting - Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming)

Deze memorie van toelichting i is onder nr. 3 toegevoegd aan wetsvoorstel 34851 - Uitvoeringswet Algemene verordening gegevensbescherming i.

1.

Kerngegevens

Officiële titel Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming); Memorie van toelichting; Memorie van toelichting
Document­datum 13-12-2017
Publicatie­datum 13-12-2017
Nummer KST348513
Kenmerk 34851, nr. 3
Externe link origineel bericht
Originele document in PDF

2.

Tekst

34 851 Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG i (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming)

Nr. 3 MEMORIE VAN TOELICHTING

Inhoudsopgave

1.

De Europeesrechtelijke grondslag en de grondrechtelijke aspecten

6

1.1

De Europeesrechtelijke grondslag van de verordening en de richtlijn gegevensbescherming opsporing en vervolging

6

1.2

Grondrechtelijke aspecten

7

1.3

Bevoegdheidsverdeling tussen lidstaten en de EU

9

2.

De verordening

9

2.1

De verordening in vogelvlucht

9

2.2

Het materiële toepassingsbereik van de verordening

12

2.3

De verhouding tussen de verordening en de richtlijn gegevensbescherming opsporing en vervolging

15

2.4

De verhouding tussen Europees recht en nationaal recht: gelaagde regelgeving

16

3.

De oprichting en inrichting van de toezichthoudende autoriteit

18

3.1

De keuzes in de verordening rond de toezichthoudende autoriteiten en het Comité

19

3.2

De hoofdlijnen van hoofdstuk VII van de verordening inzake samenwerking en coherentie in de praktijk

20

3.3

Oprichting en inrichting van de Autoriteit persoonsgegevens in zijn algemeenheid

23

3.3.1 De competentie en onafhankelijkheid van de Autoriteit persoonsgegevens

23

3.3.2 De inbedding van de Autoriteit persoonsgegevens in het algemene bestuursrecht

27

3.4

Taken en bevoegdheden van de Autoriteit persoonsgegevens op grond van de verordening

28

3.4.1 Algemeen

28

3.4.2 Boetebevoegdheden

30

3.4.3 Overige bevoegdheden tot sanctionering

30

4.

De invulling van de ruimte voor lidstatelijk recht onder de verordening in de Nederlandse wetgeving

31

4.1

Algemeen

31

4.2

Beginselen inzake verwerking van persoonsgegevens

32

4.2.1 De beginselen

32

4.2.2 Rechtsgrondslagen voor verwerking (beginsel van rechtmatigheid)

33

4.2.3 Verdere verwerking (beginsel van doelbinding)

37

4.3

Bijzondere categorieën van persoonsgegevens

40

4.4

Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten

45

4.5

Geautomatiseerde individuele besluitvorming, waaronder profilering

45

4.6

Beperkingen van de rechten van betrokkene en de meldplicht bij een inbreuk

47

4.7

Vrijheid van meningsuiting en van informatie

49

4.8

Verwerkingen ten behoeve van wetenschappelijk of historisch onderzoek of met een statistisch oogmerk

50

4.9

Archivering in het algemeen belang

51

4.10

Verwerking van het nationaal identificatienummer

51

4.11

Voorwaarden voor de toestemming van kinderen

52

5.

Systematiek van de verordening

52

5.1

Algemeen, systematiek van de verordening

53

5.2

De belangrijkste materiële verplichtingen voor de verwerkingsverantwoordelijken onder de verordening

53

5.2.1 Gegevensbescherming door ontwerp en door standaardinstelling

54

5.2.2 Verwerkersovereenkomsten

54

5.2.3 Register van verwerkingsactiviteiten

55

5.2.4 Beveiliging van de verwerking

55

5.2.5 Meldplicht inbreuk in verband met persoonsgegevens

56

5.2.6 Gegevensbeschermingseffectbeoordeling

57

5.2.7 Functionaris voor gegevensbescherming

58

5.2.8 Doorgiften van persoonsgegevens aan derde landen of internationale organisaties

59

5.3

De rechten van betrokkene

60

5.3.1 Transparantie

61

5.3.2 Verstrekking van gegevens en rectificatie

61

5.3.3 Het recht op vergetelheid, beperking van de verwerking en kennisgevingsplicht

62

5.3.4 Het recht op dataportabiliteit

62

5.3.5 Het recht van bezwaar tegen de verwerking

62

6

Uitvoeringsgevolgen van de verordening voor de rijksoverheid en decentrale overheden, financiële gevolgen, regeldruk en uitvoeringslasten

63

6.1

Financiële gevolgen voor de Autoriteit persoonsgegevens

63

6.2

Regeldruk en nalevingslasten van de Uitvoeringswet

64

6.3

Uitvoeringslasten direct voortvloeiend uit de verordening

65

6.3.1 Wat wijzigt en wat blijft hetzelfde onder de verordening

65

6.3.2 Onderzoek naar de kosten die gemoeid zijn met de uitvoering van de verordening

65

6.3.3 Nieuwe (en uitgebreide) rechten en verplichtingen onder de verordening die naar verwachting kosten met zich brengen voor de verwerkingsverantwoordelijke

67

6.3.4 Bescherming persoonsgegevens in Nederland op dit moment

68

6.3.5 De inrichting van de toezichthoudende taak in de toekomst

69

6.3.6 Overheid neemt (ook) verantwoordelijkheid voor voorlichting over de verordening

70

7.

Consultatie van het wetsvoorstel

72

7.1

Internetconsultatie

72

7.2

Advisering door de Autoriteit persoonsgegevens

73

7.2.1 Organisatie van de Autoriteit persoonsgegevens

73

7.2.2 Invulling van normen en bevoegdheden

75

7.2.3 Autoriteit persoonsgegevens als enig toezichthouder

75

7.2.4 Openbaarmakingsverplichting

75

7.2.5 Concentratie van rechtspraak

76

7.2.6 Voorlichting en wetgevingsadvisering

76

7.2.7 Uitleg van rechtstreeks werkende normen in de toelichting bij de Uitvoeringswet

76

7.2.8 Overschrijf-/omzettingsverbod

76

7.2.9 Te ruime afwijking?

77

7.2.10 Te ruime aanvulling?

79

7.2.11 Beleidsneutrale invulling van de ruimte die de verordening biedt

79

7.2.12 Nog niet ingevulde ruimte voor lidstatelijk recht

80

7.2.13 Andere punten die nog moeten worden uitgevoerd

81

7.2.14 Rechtsbescherming

82

7.2.15 Overgangsrecht

83

8.

Implementatietabel

83

Artikelsgewijze toelichting

89

Inleiding

Met dit wetsvoorstel (hierna: de Uitvoeringswet) wordt uitvoering gegeven aan «verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG i» (hierna: de verordening) (PbEU 2016, L 119).

De verordening en de Uitvoeringswet vervangen de bestaande «richtlijn 95/46/EG i van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens» (hierna: richtlijn 95/46/EG i) en de Wet bescherming persoonsgegevens (hierna: de Wbp).

Over het voorstel voor de verordening van de Europese Commissie van 25 januari 2012 is ruim vier jaar onderhandeld door 28 lidstaten. In die tijd is door het Europees Parlement een recordaantal van 3999 amendementen ingediend.1 Over het verloop van de onderhandelingen is uitvoerig verslag gedaan in de kwartaalrapportages aan de Tweede Kamer.2 Deze onderhandelingen waren ook regelmatig onderwerp van gesprek in de Tweede Kamer. Het resultaat van een dergelijk langdurig en gecompliceerd onderhandelingsproces bevat onontkoombaar compromissen. Lidstaten zien dus maar een deel van hun wensen gerealiseerd in de definitieve tekst van de verordening. Het is van belang om dit te benadrukken omdat - in combinatie met de keuze voor een verordening - dat ertoe heeft geleid dat er nog maar beperkt ruimte is voor de nationale wetgever om op het terrein van de verwerking van persoonsgegevens zelf iets (afwijkends) te regelen.

De Europese Commissie heeft welbewust gekozen voor een verordening in plaats van een richtlijn. Alleen daarmee kunnen de huidige verschillen in beschermingsniveau tussen de lidstaten verder verkleind worden en nog bestaande onnodige belemmeringen voor het functioneren van de interne markt uit de weg geruimd worden.

Daar waar de verordening nog wel ruimte laat voor nationale keuzes, of met het oog op een nadere invulling van regels, is er uitdrukkelijk voor gekozen om in de Uitvoeringswet voort te bouwen op het huidige normenkader uit richtlijn 95/46/EG i en de Wbp. Enerzijds omdat als gevolg van de inwerkingtreding van de verordening op 25 mei 2018 de tijd ontbreekt om op dit moment een geheel nieuw kader te ontwikkelen. Anderzijds om de overgang van de oude naar de nieuwe situatie zo soepel mogelijk te laten verlopen. Hoe kleiner die verschillen zijn, des te vloeiender de overgang van het huidige naar het nieuwe regime. Bovendien is het zinvol om eerst een aantal jaren ervaring op te doen met de verordening alvorens ook op die punten waar nog keuzevrijheid bestaat, af te gaan wijken van het bestaande kader. De in artikel 50 van de Uitvoeringswet voorziene evaluatie van de effecten van de nationale keuzes is ook met het oog daarop opgenomen.

De materiële normen waaraan de verwerking van persoonsgegevens onder het regime van de verordening moet voldoen, zijn in grote lijnen gelijk gebleven aan die uit richtlijn 95/46/EG i en de Wbp. Er zijn in de verordening zelfs bepaalde elementen uit de Wbp overgenomen zoals de aspecten die relevant zijn bij de beoordeling of het doel van een verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens oorspronkelijk verzameld zijn (artikel 6, vierde lid van de verordening). Bovendien is er op een enkel punt ook sprake van een verruiming van de mogelijkheden om persoonsgegevens te verwerken.

De belangrijkste verschillen zien vooral op de rechten van betrokkenen, die versterkt worden, en op de daarmee samenhangende verplichtingen van de verwerkingsverantwoordelijken, die strenger worden. Alle nieuwe rechten en verplichtingen vloeien, als gezegd, direct voort uit de verordening. Zo is voor de betrokkene in artikel 17 van de verordening het (in de jurisprudentie ontwikkelde) recht op vergetelheid vastgelegd en in artikel 20 van de verordening het recht op dataportabiliteit. Aan de verwerkingsverantwoordelijke wordt meer transparantie en verantwoording gevraagd dan onder het huidige regime. De verwerkingsverantwoordelijke moet bijvoorbeeld voortaan kunnen aantonen dat hij in overeenstemming met de verordening handelt. Dat vergt dat informatiestromen in kaart worden gebracht en verwerkingen van persoonsgegevens worden bijgehouden (artikel 30 van de verordening). Voordat hij begint met het verwerken van persoonsgegevens die een hoog risico met zich meebrengen moet hij een gegevensbeschermingseffectbeoordeling uitvoeren (artikel 35 van de verordening). Ook moet de verwerkingsverantwoordelijke reeds bij de bouw en het ontwerp van een gegevensverwerkingssysteem rekening houden met de eisen die de verordening stelt (artikel 25). Verder stelt de verordening (artikel 28) nieuwe eisen aan de relatie tussen de verwerkingsverantwoordelijke en degene die ten behoeve van hem eventueel persoonsgegevens verwerkt (de verwerker). Tot slot verplicht de verordening (artikel 37) in meer gevallen tot het aanwijzen van een functionaris voor gegevensbescherming.

Hoewel er in materieel opzicht geen sprake is van substantiële wijzigingen, kunnen de verantwoordings- en transparantieverplichtingen voor een verwerkingsverantwoordelijke nopen tot aanpassingen van werkprocessen in zijn organisatie. Sommige bedrijven en overheidsorganisaties hebben nu reeds zo goed zicht op hun informatiestromen dat de vereiste aanpassingen beperkt in omvang zullen zijn. Dat geldt echter zeker niet voor alle verwerkingsverantwoordelijken. De kosten die de vereiste aanpassingen meebrengen, vloeien rechtstreeks uit de door de verordening voorgeschreven verplichtingen voort. De in de Uitvoeringswet gemaakte keuzes en de nadere regels die worden voorgesteld, hebben geen invloed op die kosten.

Zowel de Autoriteit persoonsgegevens en het Ministerie van Justitie en Veiligheid, alsook organisaties als VNO-NCW en de VNG zijn gestart met campagnes die verantwoordelijken wegwijs moeten maken in de nieuwe regels (zie ook paragraaf 6.3.6).

Naast de verordening is er op 27 april 2016 ook een richtlijn vastgesteld. Het betreft Richtlijn (EU) 2016/680 i van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977 i/JBZ van de Raad (hierna: de richtlijn gegevensbescherming opsporing en vervolging) (PbEU 2016, L 119). Deze richtlijn is met name van belang voor het verwerken van persoonsgegevens door de politie en het openbaar ministerie ten behoeve van de opsporing en vervolging van strafbare feiten.

Deze richtlijn staat los van de verordening en wordt in een separaat wetsvoorstel geïmplementeerd dat op een later tijdstip zal worden ingediend. In paragraaf 2.3 wordt nader ingegaan op de verhouding tussen de verordening en de richtlijn gegevensbescherming opsporing en vervolging.

Tot slot is een Aanpassingswet AVG in voorbereiding. In deze wet worden het bestaande wettenbestand en eventueel aanhangige wetsvoorstellen aangepast aan de terminologie van de verordening en het wegvallen van de Wbp als de algemene wet voor bescherming van persoonsgegevens.

  • 1. 
    De Europeesrechtelijke grondslag en de grondrechtelijke aspecten

1.1 De Europeesrechtelijke grondslag van de verordening en de richtlijn gegevensbescherming opsporing en vervolging

In 1995 is richtlijn 95/46/EG i tot stand gekomen. Richtlijn 95/46/EG i is geïmplementeerd in de Wbp, die in 2001 in werking is getreden, en in een aantal andere wetten, onder meer de Wet basisregistratie personen (hierna: Wet BRP) en de Kieswet. De rechtsbasis van richtlijn 95/46/EG i is artikel 100A van het EG verdrag. Artikel 100A ziet op de goede werking van de interne markt. Daarmee beschermt deze richtlijn de fundamentele rechten en vrijheden van personen via de band van de interne markt.

In het Verdrag betreffende de werking van de Europese Unie (hierna: VWEU) is in artikel 16, tweede lid, een nieuwe rechtsgrondslag gecreëerd voor het stellen van voorschriften betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die gegevens. Daarmee is er een uitdrukkelijke en rechtstreekse rechtsbasis gecreëerd voor EU-wetgeving ter bescherming van natuurlijke personen ten aanzien van persoonsgegevens. De huidige «omweg» via de band van de interne markt is overbodig geworden. Deze nieuwe rechtsbasis benadrukt het belang dat de lidstaten van de EU hechten aan een zorgvuldige omgang met persoonsgegevens en aan de bescherming van de achterliggende belangen die in het geding kunnen komen als er niet zorgvuldig met gegevens van burgers wordt omgegaan. Dat betreft niet enkel het belang van de persoonlijke levenssfeer, maar bijvoorbeeld ook het recht om niet gediscrimineerd of uitgesloten te worden. Het is van belang te benadrukken dat ook onder de nieuwe rechtsbasis het opruimen van belemmeringen van obstakels voor het functioneren van de interne markt een belangrijk oogmerk blijft.

Artikel 16, tweede lid, geeft de EU-wetgever de opdracht tot het stellen van regels. Ter uitvoering van deze opdracht heeft de Europese Commissie op 25 januari 2012 het voorstel voor de Algemene verordening gegevensbescherming gedaan. Artikel 16, tweede lid, van het VWEU dwingt niet tot een specifiek wetgevingsinstrument. De keuze voor een verordening is ingegeven door de wens om te komen tot verdergaande Europese harmonisatie. Zeker met de huidige technologische middelen houdt gegevensuitwisseling niet op bij de landsgrenzen van de lidstaten. Zowel vanuit het oogpunt van bescherming van persoonsgegevens als vanuit het oogpunt van vrij verkeer van gegevens ligt de keuze voor een verordening voor de hand, omdat de keuzeruimte voor de nationale wetgever bij uitvoering van een verordening doorgaans beperkter is dan bij implementatie van een richtlijn.

Naast de verordening is de richtlijn gegevensbescherming opsporing en vervolging tot stand gekomen, die specifiek ziet op de verwerking van persoonsgegevens op strafrechtelijk terrein. De richtlijn gegevensbescherming opsporing en vervolging behoeft, anders dan de verordening, wel implementatie in het nationale recht. Dit zal, zoals hierboven reeds is aangegeven, in een afzonderlijk wetsvoorstel geschieden.

1.2 Grondrechtelijke aspecten

Op grond van artikel 16, eerste lid, van het VWEU heeft een ieder recht op bescherming van zijn persoonsgegevens. In het tweede lid, dat hierboven reeds besproken is, is een rechtsgrondslag gecreëerd voor het stellen van voorschriften betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die gegevens.

In artikel 7 van het Handvest van de grondrechten van de Europese Unie (2016/C 202/02, hierna: het Handvest) is het recht op eerbiediging van het privéleven opgenomen. Dit kent dezelfde reikwijdte en beperkingen als artikel 8 van het Europees Verdrag voor de Rechten van de Mens en de fundamentele vrijheden (hierna: het EVRM), dat hieronder nog nader aan de orde zal komen. In artikel 8 van het Handvest is het recht vastgelegd van eenieder op bescherming van persoonsgegevens. Op basis van het tweede lid moeten deze gegevens eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan. Op basis van het derde lid ziet een onafhankelijke autoriteit toe op de naleving. Op grond van artikel 51 van het Handvest zijn de bepalingen van het Handvest gericht tot de instellingen en organen van de Unie met inachtneming van het subsidiariteitsbeginsel en lidstaten, wanneer zij het recht van de Unie ten uitvoer brengen. Het Handvest is hiermee zonder meer van toepassing bij de uitvoering van de verordening.

Daarnaast worden persoonsgegevens beschermd als een onderdeel van de persoonlijke levenssfeer in de zin van artikel 10 van de Grondwet en als onderdeel van het privéleven in de zin van artikel 8 van het EVRM en artikel 17 van het Internationaal verdrag inzake burgerlijke en politieke rechten (IVBPR).

Artikel 10, eerste lid, van de Grondwet erkent het recht op eerbiediging van de persoonlijke levenssfeer en schrijft voor dat inperkingen daarop bij of krachtens wet in formele zin moeten zijn geregeld. Het tweede en derde lid verlangen van de wetgever nadere maatregelen over het omgaan met persoonsgegevens. Op grond van vaste jurisprudentie van het Europese Hof van Justitie geldt het Unierecht als een eigen rechtsorde. Bepalingen van Unierecht werken rechtstreeks door in de Nederlandse rechtsorde en gaan boven het nationale recht, dus ook boven de Grondwet.3 Het bestaande nationale recht, inclusief de Grondwet, dient conform het Unierecht te worden uitgelegd. Op terreinen waarop de verordening voorziet in regelgeving staat dit in de weg aan het stellen van nationale wetgeving. De verordening vergt anders dan artikel 10, eerste lid, Grondwet geen formeelwettelijke grondslag voor beperkingen van het recht op eerbiediging van de persoonlijke levenssfeer, omdat de verordening uitgaat van een materieel wetsbegrip.

Voor zover artikel 10, tweede en derde lid, van de Grondwet ertoe strekt om regels vast te stellen ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens en regels vast te stellen inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens, die overlappen met de bepalingen uit de verordening die rechtstreeks gelden, dient deze opdracht aan de nationale wetgever buiten toepassing te blijven. Het is immers niet toegestaan om deze materie te regelen in een nationale formele wet, wanneer hier door een verordening in is voorzien. De verordening voorziet materieel grotendeels in de regelgeving waartoe artikel 10, tweede en derde lid, van de Grondwet opdraagt.

Dit geldt evenwel slechts voor het toepassingsbereik van de verordening, en voor zover de verordening rechtstreeks werkende bepalingen kent, die geen ruimte laten aan een nationale invulling in lidstatelijk recht. Voor zover het gaat om regels inzake bescherming van de persoonlijke levenssfeer buiten de reikwijdte van de verordening, op het terrein van nationale veiligheid, maar ook op het terrein van verwerking van persoonsgegevens in het kader van de richtlijn gegevensbescherming opsporing en vervolging, wordt nog wel invulling gegeven aan deze wetgevingsopdracht in de Grondwet. Dit geldt ook voor de bepalingen van de verordening, waarin ruimte wordt gelaten aan lidstatelijk recht (bijvoorbeeld artikel 87 inzake de verwerking van een nationaal identificatienummer). Bij de invulling van dit lidstatelijk recht dat opgesteld wordt onder de verordening is de wetgever dus nog onverkort gebonden aan de vereisten van artikel 10 van de Grondwet, op het moment dat dit artikel van toepassing is. Aldus wordt ook in deze Uitvoeringswet nog ten dele invulling gegeven aan de wetgevingsopdracht van artikel 10, tweede en derde lid, van de Grondwet.

In het internationale recht is het recht op bescherming van de persoonlijke levenssfeer gewaarborgd in artikel 8 van het EVRM en in artikel 17 van het IVBPR, waarin het recht op privéleven wordt beschermd. Artikel 8 van het EVRM eist dat als inbreuken plaatsvinden, deze voorzien moeten zijn in de wet en noodzakelijk moeten zijn op grond van een aantal nader aangegeven gronden. «Wet» in artikel 8, tweede lid, van het EVRM dient hierbij te worden begrepen als een wet in materiële zin, waaraan bepaalde eisen zoals voorzienbaarheid en kenbaarheid worden gesteld. Het kan hier ook gaan om een beleidsregel of zelfs een in de jurisprudentie gevormde regel. Deze wet of regel moet voor de burger toegankelijk zijn en voorts zo precies zijn dat de burger in staat is zijn concrete gedrag daarnaar te richten.

De vaststelling van de verordening is naar de mening van de regering een stap in een ontwikkeling die slechts in zoverre als een voorlopig sluitstuk kan worden aangemerkt, dat zij de meest recente stap is die is gezet in de algemene regels van gegevensbescherming die voor Nederland gelden. De regering wijst erop dat in de nabije toekomst mogelijk meer betekenisvolle stappen gezet kunnen worden. Zo wordt er thans onderhandeld over een belangrijke herziening van het Verdrag van Straatsburg van de Raad van Europa, van 28 januari 1981, ook wel bekend als Verdrag nr. 108. Die onderhandelingen zijn gericht op het bieden van een minimumbeschermingsniveau voor lidstaten van de Raad van Europa en voor landen van buiten Europa waarvoor het verdrag zodanig aantrekkelijk is dat zij ook wensen toe te treden tot dit verdrag. Die ontwikkeling is al ingezet en verschillende landen uit Afrika en Latijns-Amerika zijn inmiddels tot dat verdrag toegetreden of hebben de wens uitgesproken dat op korte termijn te doen. De onderhandelingen zijn er mede op gericht zoveel mogelijk tegenstrijdigheden tussen het EU-recht en dit verdrag weg te nemen. Door de onvermijdelijke mondialisering van deze materie neemt het belang om op nationaal niveau nog regels met betrekking tot de verwerking van persoonsgegevens te kunnen stellen, zoals artikel 10, tweede en derde lid, van de Grondwet verlangen, verder af. Materieel wordt aan deze grondwettelijke opdracht invulling gegeven in de vorm van regelingen en verdragen vastgesteld in de Europese Unie en de Raad van Europa.

1.3 Bevoegdheidsverdeling tussen lidstaten en de EU

Het voorgaande betekent niet dat de rol van nationale wetgever is uitgespeeld. Naast het invullen van de grondwettelijke opdracht via Europese regels blijft het Nederlandse constitutionele perspectief ook in diverse andere opzichten van belang. De regering wijst erop dat gegevensbescherming een belangrijke rol speelt op de gebieden die geheel of gedeeltelijk aan het Unierecht zijn onttrokken. Te denken valt met name aan de verwerking van persoonsgegevens met het oog op de nationale veiligheid door inlichtingen- en veiligheidsdiensten.4 De wetgever kan op dat terrein nog in belangrijke mate zelfstandig invulling geven aan de regelingsopdracht van artikel 10, tweede en derde lid, van de Grondwet. Ook voor het Caribische deel van Nederland, waar de verordening niet van toepassing is, nu de openbare lichamen Bonaire, Sint Eustatius en Saba de status van LGO (landen en gebieden overzee) hebben in de zin van artikel 355, tweede lid, van het VWEU, blijft de grondwettelijke opdracht tot het stellen van regels van belang. Hieraan is uitvoering gegeven met de Wet bescherming persoonsgegevens BES.

Daarnaast is van belang dat de verordening op diverse terreinen trekken vertoont van een richtlijn. Zo biedt hoofdstuk IX van de verordening de nodige voorbeelden van enerzijds bevoegdheden, anderzijds verplichtingen tot het vaststellen van nationaal recht. Ook in andere bepalingen van de verordening komen dergelijke bevoegdheden en verplichtingen voor. Dat is noodzakelijk, omdat deze vaak kunnen of moeten worden uitgeoefend op gebieden waarop de lidstaten grote onderlinge verschillen vertonen. Te denken valt aan de organisatie van de gezondheidszorg of de sociale zekerheid. De regels die hier moeten worden vastgesteld zijn van groot belang. Het betreft immers terreinen waarop burgers aanspraken jegens bestuursorganen hebben die nu eenmaal niet zonder de verwerking van persoonsgegevens geldend kunnen worden gemaakt.

  • 2. 
    De verordening

2.1 De verordening in vogelvlucht

De verordening bestaat uit een elftal hoofdstukken. Hoofdstuk I bevat de algemene bepalingen. De belangrijkste definities blijven gelijk ten opzichte van richtlijn 95/46/EG i. Ook het materiële toepassingsbereik blijft gelijk (in paragraaf 2.2 wordt hier nader op ingegaan). Verandering is er in het territoriale toepassingsbereik: de verordening is ook van toepassing op een niet in de Unie gevestigde verantwoordelijke, wanneer de verwerking van persoonsgegevens betrekking heeft op het aanbieden van goederen of diensten aan betrokkenen in de Unie of voor het observeren van het gedrag van betrokkenen, voor zover dit gedrag in de Europese Unie plaatsvindt.

Hoofdstuk II ziet op de beginselen van de verwerking van persoonsgegevens. In hoofdlijnen komt de verordening hierin overeen met richtlijn 95/46/EG i. Op detailpunten zijn er echter wel verschillen. Zo is transparantie als beginsel gecodificeerd en is de regeling over bijzondere categorieën van persoonsgegevens verder uitgewerkt.

In hoofdstuk III zijn de rechten van de betrokkene neergelegd. Voor een deel komen de rechten van betrokkene overeen met richtlijn 95/46/EG i, maar de rechten zijn ook op een aantal punten uitgebreid. Het recht op informatie over de verwerking van persoonsgegevens, het recht op toegang tot de persoonsgegevens en het recht om bezwaar te maken tegen de verwerking van gegevens gelden reeds onder richtlijn 95/46/EG i. Nieuw zijn het recht om te worden vergeten en het recht om gegevens mee te nemen (gegevensoverdraagbaarheid). Het recht om te worden vergeten vloeit overigens al voort uit jurisprudentie van het Hof van Justitie van de Europese Unie (HvJ EU).5 Deels nieuw is voorts het recht om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming, waaronder profilering.

Hoofdstuk IV ziet op de positie van de verwerkingsverantwoordelijke en de verwerker. Hier vinden enkele grote wijzigingen plaats. Allereerst wordt het toepassingsbereik van de verplichtingen uitgebreid: ook verwerkers dienen te voldoen aan de verplichtingen van de verordening. Daarnaast veranderen ook de materiële verplichtingen van de verwerkingsverantwoordelijke en verwerker. Zo verdwijnt de voorafgaande meldingsplicht bij alle gegevensverwerkingen. Deze wordt vervangen door een aantal verplichtingen die rechtstreeks werken voor de verwerkingsverantwoordelijke. Het gaat hier om gegevensbescherming door ontwerp en door gebruik van standaardinstellingen (privacy by design and by default), het in bepaalde gevallen uitvoeren van een gegevensbeschermingseffectbeoordeling (privacy impact assessment (PIA)) voorafgaand aan de verwerking en het bijhouden van een register van verwerkingsactiviteiten. De verordening bevat voorts specifieke normen voor beveiliging van de verwerking en een regeling voor het melden van datalekken aan de toezichthoudende autoriteit en de betrokkene. Tot slot zijn de verwerkingsverantwoordelijke en de verwerker gehouden om samen te werken met de toezichthoudende autoriteit.

De verordening bevat specifieke regels voor de contractuele verhouding tussen de verwerker en de verwerkingsverantwoordelijke. Richtlijn 95/46/EG i noemde reeds de mogelijkheid van het benoemen van een functionaris gegevensbescherming (FG), maar de verordening bevat meer gedetailleerde regelgeving over de positie van de FG. Het aanstellen van een FG is verplicht in een aantal gevallen, onder andere bij verwerking door een overheidsinstantie en wanneer de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen op grote schaal. Daarnaast bevat de verordening specifieke regels voor de positie, taken en geschiktheid van de FG.

Richtlijn 95/46/EG i kende de mogelijkheid van het opstellen van gedragscodes, maar liet dit onderwerp verder ongeregeld. In de verordening zijn meer gedetailleerde bepalingen over gedragscodes en over certificering opgenomen. Een nieuw element is dat gedragscodes via een gelaagde procedure kunnen worden goedgekeurd door de Europese Commissie.

Hoofdstuk V ziet op doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Het uitgangspunt van de verordening is, evenals onder richtlijn 95/46/EG i, dat persoonsgegevens slechts mogen worden doorgegeven wanneer is voldaan aan in de verordening genoemde voorwaarden. De mogelijkheden voor doorgifte van data worden in de verordening helder onderscheiden. Doorgifte van gegevens is mogelijk:

    • bij zogenaamde «adequaatheidsbesluiten» van de Europese Commissie;
    • bij passende waarborgen die voldoen aan de vereisten van de verordening, bijvoorbeeld juridisch bindende en afdwingbare instrumenten tussen overheidsinstanties; of
    • op basis van bindende bedrijfsvoorschriften die voldoen aan de vereisten van de verordening.

De verordening kent uitzonderingen op deze hoofdregel, die vergelijkbaar zijn met de toegestane uitzonderingen onder richtlijn 95/46/EG i.

Hoofdstuk VI ziet op de rol van de onafhankelijke toezichthoudende autoriteiten. Ook op dit punt verandert het bestaande landschap aanzienlijk. In de kern komt het er op neer dat de nationale toezichthoudende autoriteit onder de verordening onafhankelijk van de nationale lidstaat wordt gepositioneerd en wordt ingebed in een vrij complexe Europese overlegstructuur onder het Europees Comité voor gegevensbescherming om een zo eenduidig mogelijke uitleg van de verordening te bewerkstelligen (samenwerking en conformiteit).

De verordening bevat hiertoe voorschriften voor de oprichting van de toezichthoudende autoriteit, voor de onafhankelijkheid en voor de benoeming van de leden van de autoriteit. Voorts kent de verordening gedetailleerde voorschriften over de competentie, taken en bevoegdheden van de toezichthouder.

In hoofdstuk VII wordt de hierboven al kort genoemde samenwerking en conformiteit geregeld. Dit is geheel nieuw ten opzichte van de huidige richtlijn 95/46/EG i. Het hoofdstuk bevat bepalingen over samenwerking, wederzijdse bijstand en gezamenlijke operaties. Daarnaast is een procedure opgenomen om te komen tot een conforme uitleg van de verordening, waarbij het Europees Comité voor gegevensbescherming een centrale rol heeft. Tot slot is ook in de oprichting van dit Comité voorzien, dat bestaat uit een voorzitter en de nationale toezichthoudende autoriteiten. Hierbij zijn ook voorschriften opgenomen over de onafhankelijkheid en de taken van het Comité en de positie van de voorzitter en het secretariaat. De bestaande zogenaamde «Artikel 29-werkgroep», bestaande uit alle nationale toezichthoudende autoriteiten voor de bescherming van persoonsgegevens, komt onder de verordening te vervallen.

Hoofdstuk VIII ziet op beroep, aansprakelijkheid en sancties. Ook dit hoofdstuk verschilt substantieel ten opzichte van richtlijn 95/46/EG i. Richtlijn 95/46/EG i kent slechts enkele algemene bepalingen over dit onderwerp. De verordening bevat daarentegen een aantal uitgebreide bepalingen hierover. De meest in het oog springende hiervan is een uitgebreide bepaling over sancties, waarin de basis wordt gelegd om administratieve geldboetes op te leggen, oplopend tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar.

Hoofdstuk IX bevat enkele bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking. Hierin zijn verschillende bijzondere situaties geregeld. Het gaat hier om de verhouding tussen vrijheid van meningsuiting en van informatie in verhouding tot bescherming van persoonsgegevens, het recht van toegang tot officiële documenten, verwerking van het nationaal identificatienummer, verwerking in het kader van de arbeidsverhouding, waarborgen en afwijkingen voor de verwerking van persoonsgegevens met het oog op archivering, wetenschappelijk of historisch onderzoek of statistische doelen, gegevensbescherming wanneer sprake is van een geheimhoudingsplicht en gegevensverwerking door kerken en religieuze verenigingen.

Hoofdstuk X bevat bepalingen over gedelegeerde handelingen en uitvoeringshandelingen. De Commissie krijgt op een tweetal terreinen de gedelegeerde bevoegdheid om nadere regels te stellen. Het gaat hier om de vaststelling van informatie-iconen (artikel 12, achtste lid, van de verordening) en het opstellen van eisen voor certificeringsmechanismen (artikel 43, achtste lid, van de verordening).

Hoofdstuk XI bevat de slotbepalingen. Hierin is onder andere voorzien in de intrekking van richtlijn 95/46/EG i, een evaluatie en de inwerkingtreding van de verordening.

2.2 Het materiële toepassingsbereik van de verordening

In artikel 2, eerste lid, van de verordening wordt het materiële toepassingsgebied omschreven: de verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Dit toepassingsbereik komt overeen met artikel 3, eerste lid, van richtlijn 95/46/EG i.

Artikel 2, tweede lid, van de verordening bevat een viertal uitzonderingen op dit materiële toepassingsbereik. De verordening is niet van toepassing op de verwerking van persoonsgegevens:

    • a) 
      in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;
    • b) 
      door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, Verdrag betreffende de Europese Unie (VEU) vallen (het gemeenschappelijk buitenlands en veiligheidsbeleid);
    • c) 
      door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit; en
    • d) 
      door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid (het terrein waarvoor de richtlijn gegevensbescherming opsporing en vervolging geldt).

Artikel 2, tweede lid, onderdeel a, van de verordening moet niet zo worden uitgelegd dat de verordening slechts van toepassing is op de verwerking van persoonsgegevens indien die verwerking grensoverschrijdende aspecten heeft binnen de Unie, zodat de verordening toepassing zou missen indien die verwerking beperkt blijft tot verantwoordelijken, betrokkenen en derden die zich in één lidstaat bevinden. Dit is namelijk niet het geval. Artikel 16, tweede lid, van het VWEU geeft duidelijk aan dat de verordening «de voorschriften» bevat over de verwerking van persoonsgegevens. Bovendien heeft het Hof van Justitie van de Europese Gemeenschappen (HvJ EG) reeds in 2003 verduidelijkt dat richtlijn 95/46/EG i ook van toepassing is op de zuiver binnenlandse verwerkingen van persoonsgegevens. Ten aanzien van een verstrekking van inkomensgegevens door de Oostenrijkse publieke omroep aan de Rekenkamer van die lidstaat heeft het HvJ EG opgemerkt dat maatregelen die tot doel hebben het functioneren van de interne markt te verbeteren, ook van toepassing kunnen zijn op rechtsverhouding die geen of vooralsnog geen grensoverschrijdende dimensie hebben. In de desbetreffende arresten heeft het HvJ EG bovendien de nadruk gelegd op de verplichting van lidstaten om het grondrecht op bescherming van het privéleven, bedoeld in artikel 8 van het EVRM, te eerbiedigen in dergelijke situaties. Deze jurisprudentie kan als volgt worden samengevat:6

    • Alle persoonsgegevens kunnen tussen de lidstaten circuleren. De richtlijn is daarom in beginsel van toepassing op iedere verwerking van persoonsgegevens. Het is niet nodig van geval tot geval te bezien of een concrete verwerking daadwerkelijk verband houdt met het vrije verkeer tussen lidstaten.
    • Iedere andere uitleg maakt de grenzen van de richtlijn onzeker en vaag, waardoor de richtlijn onuitvoerbaar wordt, en is daarom in strijd met de belangrijkste doelstelling van de richtlijn: harmonisatie.7
    • De aan de orde zijnde uitzondering beoogt slechts specifieke activiteiten van staten of overheidsdiensten, zoals nationale veiligheid, van de werking van de richtlijn uit te zonderen. Deze activiteiten hebben niets van doen met de gebieden waarop particulieren activiteiten ontplooien.

Het is bij de totstandkoming van de verordening nimmer de bedoeling geweest af te wijken van deze op de richtlijn betrekking hebbende vaste jurisprudentie. De regering gaat er daarom van uit dat op grond van artikel 2, tweede lid, onderdeel a, van de verordening uitsluitend verwerkingen in het kader van nationale veiligheid en verwerkingen door de krijgsmacht zijn uitgezonderd van toepassing van de verordening en daarmee van deze wet. Alleen gegevensverwerkingen op terreinen die in hun geheel zijn uitgezonderd van de werking van Europees recht, vallen immers buiten de materiele werkingssfeer van de verordening. Onder verwerkingen in het kader van de nationale veiligheid wordt verstaan: verwerkingen door of ten behoeve van de inlichtingen- en veiligheidsdiensten.8 Dat ziet dus niet alleen op de gegevensverwerkingen door de diensten zelf, maar ook de gegevensverwerkingen door derden ten behoeve van de taakuitvoering van de diensten, zoals het - verplicht dan wel vrijwillig - verstrekken van gegevens aan de diensten. Ten opzichte van de huidige situatie verandert er dus op dit vlak niets.9 Op deze gegevensverwerkingen is de Wet op de inlichtingen- en veiligheidsdiensten 2002 - en vanaf naar verwachting 1 mei 2018 de Wet op de inlichtingen- en veiligheidsdiensten 2017 - van toepassing. Dit betekent dat de verordening wél van toepassing is op verwerkingen van persoonsgegevens door andere bestuursorganen in het belang van (of mede in het belang van) de nationale veiligheid, zoals verwerkingen in het kader van de uitoefening van taken en bevoegdheden door de Minister van Justitie en Veiligheid in het belang van de nationale veiligheid (bijv. terrorismebestrijding). Er is ook hierbij geen sprake van een wijziging in het materiële toepassingsbereik ten opzichte van richtlijn 95/46/EG i en artikel 2 van de Wbp.

Het kan echter niet bij voorbaat worden uitgesloten dat er toch nog andere verwerkingen bestaan die onder deze uitzonderingsgrond vallen. Om te voorkomen dat op dergelijke verwerkingen in het geheel geen regels omtrent de bescherming van de persoonlijke levenssfeer van toepassing zouden zijn, worden de Uitvoeringswet en de verordening op deze verwerkingen respectievelijk van toepassing en van overeenkomstige toepassing verklaard (zie artikel 3 van het wetsvoorstel). Dit geldt uiteraard niet voor verwerkingen in het kader van nationale veiligheid. Voor verwerkingen door de krijgsmacht geldt een bijzondere regeling, die in de artikelsgewijze toelichting nader wordt toegelicht.

De verordening is evenmin van toepassing op de verwerking van persoonsgegevens door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, van het VEU vallen (artikel 2, tweede lid, onderdeel b, van de verordening). Het betreft hier de verwerking van persoonsgegevens door de lidstaten in het kader van, onder meer, militaire civiele missies en politiemissies, krachtens het Gemeenschappelijk Buitenlands en Veiligheidsbeleid (GBVB). Die uitzondering is gerechtvaardigd, omdat in artikel 39 van het VEU een afzonderlijke grondslag voor de vaststelling van gemeenschappelijke regels voor die doelen is neergelegd. Deze rechtsgrondslag kent een van de gewone wetgevingsprocedure afwijkende procedure van vaststelling. Van deze mogelijkheid is overigens nog geen gebruik gemaakt. Vooralsnog vallen dergelijke verwerkingen daarom in beginsel onder de Nederlandse wetgeving.

De verordening is, evenmin als richtlijn 95/46/EG i dat was, van toepassing op verwerkingen van persoonsgegevens voor zuiver persoonlijke en huishoudelijke doeleinden (artikel 2, tweede lid, onderdeel c, van de verordening). Dit begrip is door het HvJ EG nader ingevuld.10

Verder is het zo dat de verordening terugtreedt indien richtlijn gegevensbescherming opsporing en vervolging van toepassing is (artikel 2, tweede lid, onderdeel d, van de verordening).

Op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie is een eigen instrument van toepassing. Indien dit instrument toepassing vindt treedt de verordening terug (artikel 2, derde lid, van de verordening). Verordening (EG) 45/2001 i van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PbEG L 2001, 8) dient ingevolge artikel 2, derde lid, van de verordening te worden aangepast aan de verordening. Het voorstel van de Commissie daartoe is thans in een vergevorderd stadium van de behandeling.11

Ten slotte verduidelijkt artikel 2, vierde lid, van de verordening dat de verordening geen wijziging beoogt aan te brengen in richtlijn 2000/31/EG i van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt (PbEG L 178). Waar dit ten aanzien van deze verordening expliciet gemaakt is, geldt impliciet in het gehele Unierecht dat een bijzondere wet voorrang heeft op een algemene wet. Het is niet onmogelijk dat in bijzondere Europese wetgeving uitzonderingen op de verordening zullen worden vastgesteld. Het is uiteraard een gezamenlijke verantwoordelijkheid van alle Instellingen van Unie daarmee terughoudendheid te betrachten.

2.3 De verhouding tussen de verordening en de richtlijn gegevensbescherming opsporing en vervolging

Artikel 2, tweede lid, onderdeel d, van de verordening sluit toepassing van de verordening uit op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van bedreigingen voor de openbare veiligheid. Op deze materie is immers de richtlijn gegevensbescherming opsporing en vervolging van toepassing. Die richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van bedreigingen voor de openbare veiligheid (artikel 2, eerste lid, jo. artikel 1, eerste lid, van de richtlijn gegevensbescherming opsporing en vervolging).

Vanwege het ruimere toepassingsbereik kent de verordening, anders dan de richtlijn gegevensbescherming opsporing en vervolging, verschillende grondslagen voor de verwerking van persoonsgegevens. Daarbij worden soms andere accenten geplaatst: zo gaat de verordening uit van een verbod voor de verwerking van bijzondere categorieën van persoonsgegevens, behoudens uitzonderingen (artikel 9, eerste en tweede lid, van de verordening), terwijl de richtlijn gegevensbescherming opsporing en vervolging uitgaat van het criterium van de strikte noodzaak, met aanvullende waarborgen (artikel 10 richtlijn gegevensbescherming opsporing en vervolging). Het feit dat de verordening en de richtlijn een ander toepassingsbereik hebben, betekent echter niet dat de materiële normen in beide instrumenten geheel verschillend zijn. Integendeel, er is sprake van een zekere mate van overlap, in het bijzonder voor wat betreft de verplichtingen van de verwerkingsverantwoordelijke. Bepaalde verplichtingen van de verwerkingsverantwoordelijke zijn opgenomen in zowel de richtlijn gegevensbescherming opsporing en vervolging als de verordening, waarbij de uitwerking vanwege het specifieke toepassingsgebied van deze rechtsinstrumenten op onderdelen in meer of mindere mate afwijkt. Voorbeelden zijn de melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit en aan de betrokkene (artikelen 30 en 31 van de richtlijn en 33 en 34 van de verordening), het treffen van passende technische en organisatorische maatregelen ter bescherming en beveiliging van de gegevens (artikelen 24, 25 en 32, van de verordening en 19, 20 en 29 van de richtlijn), het opstellen van een gegevensbeschermingseffectbeoordeling (artikelen 35 van de verordening en 27 van de richtlijn), het bijhouden van verwerkingsactiviteiten in een register (artikelen 30 van de verordening en 24 van de richtlijn), de informatieverstrekking aan de betrokkene (artikelen 13 en 14 van de verordening en 13 van de richtlijn) en de kennisgeving van rectificatie (artikelen 19 van de verordening en 16, zesde lid, van de richtlijn). Anders dan de richtlijn gegevensbescherming opsporing en vervolging bevat de verordening geen verplichting tot geautomatiseerde vastlegging van gegevens over de gegevensverwerking (logging). Een belangrijk onderscheid betreft de bevoegdheden van de toezichthoudende autoriteit. De verordening voorziet in verstrekkende bevoegdheden voor de toezichthoudende autoriteit, zowel op het gebied van de corrigerende maatregelen als op het gebied van de sanctionering (artikel 58 van de verordening). De corrigerende maatregelen omvatten het gelasten tot het in overeenstemming brengen van verwerkingen met de verordening en een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod. Er kunnen administratieve geldboeten worden opgelegd tot 10 of 20 miljoen euro (artikel 83, vierde en vijfde lid, van de verordening). De richtlijn laat de lidstaten op dit terrein meer ruimte voor eigen afwegingen. Voor wat betreft de corrigerende maatregelen dient te worden voorzien in effectieve bevoegdheden voor de toezichthoudende autoriteit (artikel 47, tweede lid, van de richtlijn gegevensbescherming opsporing en vervolging). De vastgestelde straffen dienen doeltreffend, evenredig en afschrikkend te zijn (artikel 57 van de richtlijn gegevensbescherming opsporing en vervolging).

De reikwijdten van beide instrumenten sluiten elkaar uit. Als de richtlijn gegevensbescherming opsporing en vervolging van toepassing is, is de verordening niet van toepassing. Binnen de reikwijdte van de richtlijn valt de verwerking van persoonsgegevens door ambtenaren van politie en militairen van de Koninklijke marechaussee met het oog op de uitvoering van de politietaak, als bedoeld in de artikelen 3 of 4 van de Politiewet 2012 (met uitzondering van taken met betrekking tot uitvoering van de vreemdelingenwetgeving). Tevens valt binnen de reikwijdte van de richtlijn de verwerking van persoonsgegevens door opsporingsambtenaren van de bijzondere opsporingsdiensten, buitengewoon opsporingsambtenaren, officieren van justitie, strafrechters, de Minister voor Rechtsbescherming of de Minister van Justitie en Veiligheid met het oog op de opsporing en vervolging van strafbare feiten. Ditzelfde geldt voor de verwerking van persoonsgegevens door de Minister voor Rechtsbescherming of de Minister van Justitie en Veiligheid of het College van procureurs-generaal ten behoeve van de tenuitvoerlegging van vrijheidsbenemende straffen en maatregelen en andere strafrechtelijke sancties. Buiten de reikwijdte van de richtlijn - en daarmee binnen de reikwijdte van de verordening - valt de verwerking van persoonsgegevens door deze instanties voor andere doeleinden, zoals bestuurlijke, bestuursrechtelijke of privaatrechtelijke doelen. Voorbeelden zijn de verwerking van persoonsgegevens door rechtshandhavingsinstanties met het oog op de screening van personen, het toezicht op de naleving van wetgeving en de uitvoering van de vreemdelingenwetgeving.

Voor een nadere toelichting op de verhouding tussen de verordening en de richtlijn gegevensbescherming opsporing en vervolging wordt overigens verwezen naar het wetsvoorstel ter implementatie van de richtlijn gegevensbescherming opsporing en vervolging.

2.4 De verhouding tussen Europees recht en nationaal recht: gelaagde regelgeving

Een van de belangrijkste wijzigingen van de verordening ten opzichte van richtlijn 95/46/EG i is, zoals hiervoor reeds genoemd, gelegen in de keuze voor het wetgevingsinstrument van de verordening. De keuze voor een verordening heeft grote gevolgen voor de verhouding tussen Europees en nationaal recht. Anders dan bij een richtlijn behoeft een verordening niet te worden omgezet in een nationale regeling. Een verordening mag zelfs niet worden omgezet in nationale wetgeving: zij werkt rechtstreeks. De nationale wetgeving dient wel te voorzien in de voor de uitvoering van de verordening noodzakelijke uitvoerings- en handhavingsstructuren (conform aanwijzing 328 van de Aanwijzingen voor de regelgeving). Een eerste onderdeel van de Uitvoeringswet bestaat daarom uit de oprichting en inrichting van de nationale toezichthoudende autoriteit, die aangewezen zal zijn om het toezicht op naleving van de verordening te houden. In hoofdstuk 3 van deze memorie van toelichting zal hierop worden ingegaan.

Ondanks het formele karakter van een verordening laat de verordening op een groot aantal plaatsen ruimte aan de nationale wetgever om keuzes te maken. Hiermee heeft de verordening in materieel opzicht op deze punten het karakter van een richtlijn. Van deze ruimte is in de onderhavige Uitvoeringswet op verschillende punten gebruikgemaakt. Conform het algemene uitgangspunt bij implementatie van Europese regelgeving is gestreefd naar een beleidsneutrale invulling van de ruimte die de verordening biedt. Dat wil zeggen dat bij de invulling van de ruimte die de verordening laat voor nationaal recht steeds is bezien of en in hoeverre het bestaande nationale recht en de bestaande nationale beleidskeuzes gehandhaafd kunnen worden onder de verordening. Waar dat niet, of niet geheel mogelijk is, is er steeds voor gekozen om zo dicht mogelijk te blijven bij het bestaande nationale recht. In hoofdstuk 4 zullen de implicaties van dit uitgangspunt voor de verschillende punten waarop de verordening ruimte biedt, aan de orde komen.

Een laatste onderdeel van de uitvoering van de verordening in wetgeving is dat het met de verordening strijdige recht dient te worden geschrapt. De materiële normen voor gegevensverwerking zullen rechtstreeks volgen uit de verordening en mogen niet langer in nationale wetgeving worden vastgelegd. De bestaande nationale normen zijn hiermee betekenisloos geworden en moeten worden geschrapt. De huidige Wbp wordt hierom ingetrokken. Hiervoor in de plaats treedt de onderhavige Uitvoeringswet. Als gevolg van het intrekken van de Wbp dienen verwijzingen naar de Wbp in andere wetten en in lagere regelgeving te worden gewijzigd. Hiervoor is een afzonderlijke aanpassingswet in voorbereiding. Deze verzamelwet zal als afzonderlijk wetsvoorstel worden ingediend, zoals in de inleiding reeds is aangegeven.

Behalve voor de Wbp heeft komst van de verordening ook gevolgen voor de Wet BRP en de Kieswet, die tot nu toe golden als specifieke implementatiewetgeving voor richtlijn 95/46/EG i. Ook zullen deze wetten voor zover noodzakelijk aan de verordening worden aangepast.

Tevens mag niet onvermeld blijven dat, waar de verordening ruimte laat voor lidstatelijk recht, dit ook vorm kan krijgen in sectorspecifieke wetgeving, zoals wetgeving met betrekking tot het sociaal domein, de gezondheidszorg of onderwijs. De rechtsgrondslagen voor verwerking van persoonsgegevens die noodzakelijk zijn voor het vervullen van een publieke taak, of voor verwerkingen die noodzakelijk zijn om te voldoen aan een wettelijke verplichting, zullen doorgaans gegeven zijn in deze specifieke wetgeving. Ook is het bijvoorbeeld mogelijk om op basis van artikel 23 van de verordening voor verschillende sectoren meer specifieke bepalingen op te nemen ten aanzien van het beperken van de rechten van betrokkene.

Tot slot behoeft de richtlijn gegevensbescherming opsporing en vervolging op de gebruikelijke wijze implementatie, dat wil zeggen: door omzetting in het nationale recht. De Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en aanverwante wetgeving zullen worden herzien.

Aldus zal er sprake zijn van gelaagde regelgeving inzake de bescherming van persoonsgegevens:

    • 1. 
      Op Europees niveau:
      • a. 
        geldt de verordening als hoofdregel, waarvan de materiële verplichtingen, inclusief een aantal rechtsgrondslagen voor gegevensverwerking, rechtstreeks zullen gelden; en
      • b. 
        geldt de richtlijn gegevensbescherming opsporing en vervolging voor een specifiek deelterrein van gegevensverwerking in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.
    • 2. 
      In het Nederlands recht:
      • a. 
        zijn de algemene regels voor de uitvoering van de verordening neergelegd in de onderhavige Uitvoeringswet, waaronder de algemene regels inzake afwijkingen en uitzonderingen op grond van lidstatelijk recht;
      • b. 
        kunnen in sectorspecifieke wetten de concrete rechtsgrondslagen voor verwerking van persoonsgegevens en bijzondere categorieën van persoonsgegevens worden opgenomen, en kunnen sectorspecifieke uitzonderingen en afwijkingen worden opgenomen; en
      • c. 
        worden de specifieke regelingen inzake de richtlijn gegevensbescherming opsporing en vervolging geïmplementeerd in de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en aanverwante wetgeving.

Deze gelaagdheid speelt op verschillende onderwerpen, waardoor het voor de praktijk steeds van belang is om de verordening, de Uitvoeringswet en sectorspecifieke wetgeving te betrekken.

Omdat er sprake is van een verordening is het niet aan de nationale wetgever om een definitieve interpretatie te geven van de precieze betekenis van de rechtstreeks werkende normen. In de consultatie is gebleken dat er op dit punt in de praktijk nog veel vragen leven, die binnen het kader van de vaststelling van de nationale wetgeving niet kunnen worden beantwoord. Het signaal dat er behoefte is aan nadere duiding van de in de verordening opgenomen normen is doorgegeven aan de Autoriteit persoonsgegevens die, als toezichthoudende autoriteit, hierover wel meer helderheid kan verschaffen.

  • 3. 
    De oprichting en inrichting van de toezichthoudende autoriteit

Het toezicht op gegevensverwerking verandert onder de verordening aanzienlijk. De nationale toezichthouder ontleent nieuwe bevoegdheden aan de verordening en zal, onafhankelijk van de Nederlandse overheid, in een Europees stelsel van toezicht worden ingebed. De Nederlandse toezichthouder zal in nauwe samenwerking met andere Europese toezichthouders opereren. Veel van de veranderingen die voor de toezichthoudende autoriteit van het grootste belang zijn, waaronder de taken in het kader van Europese samenwerking, vloeien rechtstreeks voort uit de verordening en behoeven derhalve geen nationale rechtsbasis. In deze memorie wordt dit aspect derhalve slechts op hoofdlijnen beschreven in paragraaf 3.2.

In Nederland wordt het toezicht op bescherming van persoonsgegevens tot op heden uitgeoefend door het College bescherming persoonsgegevens, sinds 1 januari 2016 in het maatschappelijk verkeer optredend onder de naam Autoriteit persoonsgegevens. Het onderstaande gaat achtereenvolgens in op de keuzes in de verordening rond de toezichthoudende autoriteiten en het Comité (paragraaf 3.1), de hoofdlijnen van hoofdstuk VII van de verordening inzake samenwerking en coherentie in de praktijk (paragraaf 3.2), de oprichting en inrichting van de Autoriteit persoonsgegevens in zijn algemeenheid (paragraaf 3.3) en de taken en bevoegdheden van de Autoriteit persoonsgegevens op grond van de verordening (paragraaf 3.4) in het bijzonder.

3.1 De keuzes in de verordening rond de toezichthoudende autoriteiten en het Comité

De keuze van de Europese Unie voor een verordening voor gegevensbescherming staat niet op zichzelf. Ook op andere terreinen waar de EU tot dusverre richtlijnen vaststelde, worden deze in betrekkelijk snel tempo vervangen door verordeningen. Zo zal richtlijn 2002/58/EG i betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PbEG 2002, L 201) ook worden vervangen door een verordening. De vier daarmee nauw verbonden bestaande richtlijnen op het gebied van de telecommunicatie worden vervangen door een Europees wetboek op dat terrein, de Electronic Communications Code, die ook in de vorm van een verordening wordt vastgesteld. Ook in het kader van het Gemeenschappelijk Europees asielstelsel (GEAS) zullen de procedurerichtlijn en de kwalificatierichtlijn worden vervangen door een procedureverordening en een kwalificatieverordening. Het doel van deze operaties is onder meer de bevordering van de Europese integratie op wetgevingsniveau. In de context van de verordening gaat het er met name om de handhaving van het grondrecht op bescherming van persoonsgegevens in de diverse lidstaten minder verder uiteen te laten lopen dan nu nog het geval is. Tegelijkertijd is het de bedoeling te vermijden dat marktdeelnemers en overheidsinstanties bij de uitwisseling van persoonsgegevens onnodig worden geconfronteerd met barrières die voortvloeien uit de thans nog bestaande verschillen. Dat doel valt met een verordening beter te bereiken dan met een richtlijn.

Bij een dergelijk model hoort ook dat de handhaving meer eenvormigheid krijgt dan nu het geval is. De huidige richtlijn verplicht onafhankelijke toezichthouders in het leven te roepen. Deze verplichting is met de gelding van artikel 8, derde lid, van het Handvest belangrijker geworden. De onafhankelijke positie van deze toezichthouder is noodzakelijk, omdat ook de nationale overheid verplicht is de regels na te leven en onder hetzelfde toezicht moet worden gesteld als de private sector. Sinds 1998 - het jaar waarin de implementatietermijn van richtlijn 95/46/EG i is verstreken - hebben de verzamelde toezichthouders van de lidstaten een grote stroom van adviezen, richtlijnen en beste praktijken vastgesteld met de bedoeling de uitleg van de open normen van de richtlijn te verduidelijken. In zoverre biedt de verordening eerder een voortzetting van de richtlijn dan een geheel nieuw systeem. Nieuw is dat een grotendeels eenvormige regeling, een verordening, ook op een zo eenvormig mogelijke wijze dient te worden uitgelegd en gehandhaafd. In zoverre zal de betekenis van het Europees Comité voor gegevensbescherming groter worden dan die van de huidige Artikel 29-werkgroep. Dat belang wordt onderstreept doordat de verordening verplichtingen formuleert tot onderlinge samenwerking van alle toezichthouders (artikel 60 van de verordening) en doordat zij het Comité twee belangrijke bevoegdheden geeft. Het betreft een adviesbevoegdheid (artikel 64 van de verordening) en een bevoegdheid tot het bindend beslechten van onderlinge geschillen tussen de betrokken toezichthoudende autoriteiten (artikel 65 van de verordening). Deze bevoegdheden benadrukken dat de taak van het Comité geen kwestie van vrijblijvendheid meer is.

Een samenwerkingsmechanisme van nationale toezichthouders is volgens de regering te verkiezen boven een centrale toezichthouder op Europees niveau. Een toezichthouder moet er immers vooral zijn voor de belangen van de burger en dus benaderbaar en bereikbaar zijn, zowel wat betreft fysieke afstand als in de nationale taal, met het oog op de daadwerkelijke realisatie van grondrechten.

Het spreekt vanzelf dat de regels over de samenwerking tussen de toezichthouders meer horen te omvatten dan alleen de procedures die de onderlinge verhouding tussen de toezichthouders betreffen. Waar de op grond van artikel 70 van de verordening vast te stellen richtsnoeren met betrekking tot enkele genoemde rechten van betrokkenen en verplichtingen van verwerkingsverantwoordelijken ook bedoeld zijn om in een externe dimensie, dus door burgers, bedrijven en overheden, te worden toegepast, dient het Comité een reglement van orde vast te stellen op grond van artikel 72 van de verordening. Een reglement van orde voorziet onder meer in procedurele afspraken en waarborgen betreffende de taken die het Comité vervult. Het Comité zal in een dergelijk reglement van orde zijn werkwijze vastleggen en daarmee ook transparant maken. Verwacht mag worden dat dit meer zal behelzen dan wat nu is geregeld in de artikelen 70, vierde lid, en 76 van de verordening, betreffende de raadpleging van belanghebbende partijen en de toegang tot documenten van het Comité. De regering heeft zich tijdens de onderhandelingen ingespannen12 om juist deze bepalingen belangrijk te verbeteren, mede tegen de achtergrond van nationale ervaringen.13 Van toezichthouders met een onafhankelijke taak mag worden verwacht dat zij transparant en responsief functioneren. Laten zij dit na, dan zal op den duur blijken dat hun optreden zonder draagvlak niet kan bestaan. Dat zal dan leiden tot rechtsgeschillen. Tegen deze achtergrond heeft de regering aangedrongen om een specifieke evaluatieverplichting voor het hoofdstuk betreffende de samenwerking en de coherentie in de verordening. In artikel 97, tweede lid, onderdeel b, en vijfde lid, van de verordening is dit tot uitdrukking gekomen.

Tot slot kan worden opgemerkt dat de Raad, het Europees Parlement, de Europese Toezichthouder voor gegevensbescherming, vele nationale toezichthouders en vele nationale parlementen, waaronder ook beide Kamers der Staten-Generaal, afwijzend stonden tegenover het oorspronkelijke voorstel van de Commissie om in de verordening 45 grondslagen voor aan haar gedelegeerde handelingen en aan haar opgedragen uitvoeringshandelingen op te nemen. Het was duidelijk dat de totstandkoming van «soft law» door onafhankelijke toezichthouders de voorkeur verdiende boven de vaststelling van gedelegeerde regelgeving door de Commissie.

3.2 De hoofdlijnen van hoofdstuk VII van de verordening inzake samenwerking en coherentie in de praktijk

Ingevolge artikel 8, derde lid, van het Handvest en artikel 16 van het VWEU moet op de verwerking van persoonsgegevens toezicht worden gehouden door onafhankelijke autoriteiten. In het onderstaande wordt beschreven hoe die onderlinge samenwerking verloopt.

De Europese wetgever heeft afgezien van de instelling van één algemene toezichthouder die belast is met de naleving van het gegevensbeschermingsrecht in de gehele Unie. Hoewel in theorie denkbaar, zou een dergelijke opdracht in de praktijk vrijwel onmogelijk te vervullen zijn. Een toezichthouder die een grondrecht handhaaft moet immers openstaan voor de klachten van meer dan 500 miljoen Europese burgers die bovendien 24 talen verschillende talen spreken. De wetgever heeft daarom aansluiting gezocht bij de bestaande structuur onder richtlijn 95/46/EG i. De nationale toezichthouders die ingevolge artikel 28 van die richtlijn functioneren, zullen samen met de Europese Toezichthouder voor gegevensbescherming (EDPS), die toezicht houdt op de instellingen en organen van de Unie, dit toezicht gaan uitoefenen (aldus artikel 68, derde lid, van de verordening).

De uitoefening van dit toezicht omvat in algemene zin twee hoofdtaken. In de eerste plaats het behandelen van concrete toezichtsdossiers naar aanleiding van een klacht of op eigen initiatief, en het zo nodig treffen van maatregelen in een zaak, al dan niet door het treffen van handhavingsmaatregelen (artikelen 51 en 57 van de verordening). In de tweede plaats het vaststellen van algemene richtsnoeren, aanbevelingen etc. met betrekking tot de uitleg van de verordening (artikel 70 van de verordening).

De regels van de verordening zijn Europeesrechtelijk van aard. Daarmee is onlosmakelijk verbonden dat de toepassing en uitleg van deze regels in concrete gevallen en in meer algemene zin ook Europeesrechtelijk geschiedt. Iedere toezichthouder, ook al is die ingesteld op grond van een nationaalrechtelijk voorschrift, is in de eerste plaats een Europeesrechtelijk toezichthouder. Dat betekent dat de uitoefening van taken en bevoegdheden in concrete gevallen, zodra dit aangewezen is, in samenwerking met andere toezichthouders moet worden uitgeoefend. De verordening kent daarvoor een groot aantal regels. Voor beide hoofdtaken geldt dat deze moeten worden uitgeoefend met het oog op het nastreven van coherentie.

Ook voor de uitleg van de verordening in algemene zin wordt voortgebouwd op een bestaande structuur. Op grond van artikel 29 van richtlijn 95/46/EG i bestaat er reeds een werkgroep van de toezichthouders van de lidstaten, aangevuld met de EDPS. Het is deze zogeheten Artikel 29-werkgroep die door de verordening wordt omgevormd tot een Europees Comité voor gegevensbescherming (EDPB). De EDPB is belast met de opstelling van al hetgeen voortvloeit uit de hierboven al genoemde tweede hoofdtaak (artikel 70 van de verordening). De werkwijze van de EDPB wordt nog nader geregeld in een reglement van orde (artikelen 72, tweede lid, en 74, tweede lid, van de verordening).

De hoofdlijnen van de samenwerking tussen toezichthouders in concrete gevallen zijn als volgt.

Het uitgangspunt zijn de regels voor de vaststelling van de bevoegdheid van de desbetreffende toezichthouder (artikel 55 van de verordening). De competentie van de toezichthouder blijft in zoverre een zaak van de lidstaat, dat de uitoefening van publiekrechtelijke toezichts- en handhavingsmaatregelen alleen kan plaatsvinden op het grondgebied van de desbetreffende lidstaat. Op die hoofdregel bestaan twee aanvullingen. In de eerste plaats is de toezichthouder van de lidstaat met uitsluiting van alle andere toezichthouders bevoegd indien de verwerkingsverantwoordelijke een publiekrechtelijk lichaam is van de desbetreffende lidstaat, dan wel anderszins een bestuursbevoegdheid uitoefent (artikel 55, tweede lid, van de verordening).

In de tweede plaats wordt geen toezicht uitgeoefend jegens de rechterlijke macht en andere met de rechtspraak belaste organen van elke lidstaat voor zover het de uitoefening van de rechterlijke functie betreft (artikel 55, derde lid, van de verordening, overweging 20 en ook paragraaf 3.3.1).

In alle andere zaken kan er sprake zijn van grensoverschrijdende effecten, waarvoor als hoofdregel geldt dat de toezichthouder van de lidstaat waar zich de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke bevindt bevoegd is als leidende toezichthoudende autoriteit (artikel 56, eerste lid, van de verordening). Wat onder hoofdvestiging wordt verstaan is in artikel 4 van de verordening verduidelijkt. Het moet daarbij gaan om de plaats waar de centrale administratie is gevestigd of de plaats waar de beslissingen over het verwerken van persoonsgegevens feitelijk worden genomen. De bedoeling van die regel is om verantwoordelijken of verwerkers de mogelijkheid te bieden om steeds met één en dezelfde toezichthouder te laten communiceren, ongeacht de lidstaat van herkomst van een klacht of onderzoek (artikel 56, zesde lid, van de verordening). Van die hoofdregel wordt afgeweken in de gevallen waarin de klacht of het onderzoek zich beperkt tot één vestiging van een verwerkingsverantwoordelijke of wanneer de gevolgen van een verwerking beperkt zijn tot de betrokkenen in één lidstaat (artikel 56, tweede lid, van de verordening).

Is er sprake van grensoverschrijdende effecten dan geldt er een verplichting tot samenwerking tussen de «leidende» toezichthouder en de andere «betrokken» toezichthouders. Een voorbeeld kan dit verduidelijken. Indien een groot online verzendhuis in Nederland zijn hoofdvestiging heeft dat online bestellingen uit Nederland en andere lidstaten verwerkt, en er ontstaat een klacht in een van de andere lidstaten, dan is de Nederlandse toezichthouder bevoegd die klacht te behandelen. De klager heeft de keuze om die klacht rechtstreeks bij de Nederlandse toezichthouder in te dienen, maar hij kan dit ook doen in de lidstaat waar hij woont of verblijft. De betrokken toezichthouder moet in die gevallen de klacht doorgeleiden aan de leidende toezichthouder. De leidende toezichthouder is verplicht de klacht te bezien (artikel 56, derde lid, van de verordening). De leidende toezichthouder kan daarbij tot de slotsom komen dat de effecten van de zaak volledig lokaal zijn. Dan kan hij de zaak verwijzen voor verdere behandeling en afdoening door de autoriteit die volgens het tweede lid van artikel 56 van de verordening bevoegd is. Die toezichthouder kan dan een bindende beslissing nemen.

Indien de zaak niet voor verwijzing in aanmerking komt, kan de leidende toezichthouder besluiten de zaak al dan niet inhoudelijk te behandelen.

Volgt er een inhoudelijke behandeling, dan is de procedure van artikel 60 van de verordening van toepassing. De leidende toezichthouder is verplicht om alle beschikbare informatie te delen met de andere betrokken toezichthouders en hen te betrekken bij de afdoening. Omgekeerd moeten de betrokken toezichthouders ook alle informatie met de leidende toezichthouder delen. Er is een verplichting al het nodige te ondernemen om tot consensus te komen. Die verplichting is ook wederzijds, zij het dat een zeker zwaartepunt ligt bij de leidende toezichthouder. Deze moet zo spoedig mogelijk een ontwerpbeslissing aan de betrokken toezichthouders voorleggen. Deze kunnen binnen vier weken hun zienswijze indienen. Daarmee moet de leidende toezichthouder rekening houden. Is er sprake van relevante en gemotiveerde bezwaren, dan moet binnen twee weken een herzien besluit worden voorgelegd.

Volgt er dan binnen twee weken een akkoord, uitdrukkelijk of stilzwijgend, dan is de beslissing van de leidende toezichthouder vastgesteld. De beslissing wordt meegedeeld aan de betrokken toezichthouders en aan de EDPB. In de gevallen waarin de klacht door een betrokken toezichthouder was doorgezonden, volgt opzending van beslissing naar de desbetreffende toezichthouder, die vervolgens de beslissing aan de klager bekendmaakt. Volgt er geen akkoord, dan moet de leidende toezichthouder de klacht voorleggen aan de EDPB en het zogeheten «coherentiemechanisme» activeren. De EDPB behandelt de zaak dan en kan, zo nodig, met tweederdemeerderheid een bindend besluit nemen (artikel 65 van de verordening). De EDPB bezit rechtspersoonlijkheid naar Europees recht (artikel 68 van de verordening). Alleen deze rechtspersonen kunnen naar Europees recht bindende besluiten nemen. Deze besluiten zijn op grond van artikel 263 van het VWEU onderworpen aan rechterlijke controle door de Europese rechter.

Besluit de leidende toezichthouder de zaak niet inhoudelijk te behandelen, dan blijft de «lokale» toezichthouder bevoegd en verplicht de zaak te behandelen. Dat wil echter niet zeggen dat deze daarmee alleen staat. De lokale autoriteit heeft het recht en de plicht om de toezichthouders in andere lidstaten te hulp te roepen en kan deze verzoeken op hun grondgebied bevoegdheden uit te oefenen die nodig zijn om de zaak verder op te lossen (artikelen 61 en 62 van de verordening).

Besluiten van toezichthouders die met toepassing van de artikelen van hoofdstuk 7 van de verordening (met uitzondering van artikel 65 van de verordening) zijn genomen, zijn vatbaar voor rechterlijke controle door de rechter van de desbetreffende lidstaat.

3.3 Oprichting en inrichting van de Autoriteit persoonsgegevens in zijn algemeenheid

3.3.1 De competentie en onafhankelijkheid van de Autoriteit persoonsgegevens

De verordening biedt de mogelijkheid om één of meerdere toezichthoudende autoriteiten op te richten. In Nederland is het toezicht op de gegevensbescherming belegd bij de Autoriteit persoonsgegevens. Nederland kent geen sectorspecifieke toezichthouders. Er is geen reden om hierin bij de uitvoering van de verordening verandering aan te brengen. Hierom wordt in het onderhavige wetsvoorstel de Autoriteit persoonsgegevens aangewezen als enige toezichthoudende autoriteit in de zin van de Verordening, in artikel 6, tweede lid, van de Uitvoeringswet. Van de gelegenheid van deze implementatiewet is gebruikgemaakt om ook in de wet de naamswijziging van College bescherming persoonsgegevens naar Autoriteit persoonsgegevens in het maatschappelijk verkeer door te voeren. In de Uitvoeringswet wordt hierom consequent gesproken van Autoriteit persoonsgegevens.

De Autoriteit persoonsgegevens is verantwoordelijk voor het toezicht op de naleving van de verordening, teneinde de grondrechten en fundamentele vrijheden van personen te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken. De Autoriteit persoonsgegevens is ook als enige, en daarmee leidende, toezichthouder verantwoordelijk voor de uitvoering van de samenwerking tussen toezichthoudende autoriteiten en voor de toetsing van de conformiteit van de toetsingskaders van verschillende autoriteiten (hoofdstuk VII van de verordening). De voorzitter van de Autoriteit persoonsgegevens is ook namens de nationale toezichthoudende autoriteit lid van het Europees Comité voor gegevensbescherming.

De verordening is ook van toepassing op de verwerking van persoonsgegevens door gerechten bij de uitoefening van hun rechterlijke taken. Hierop gelden drie belangrijke uitzonderingen. In de eerst plaats geldt het verbod voor de verwerking van bijzondere categorieën van persoonsgegevens niet wanneer gerechten handelen in het kader van hun rechterlijke taken (artikel 9, tweede lid, onderdeel f). In de tweede plaats geldt de verplichting voor overheidsinstanties en overheidsorganen om een functionaris voor de gegevensbescherming aan te wijzen, niet voor gerechten bij de uitoefening van hun rechterlijke taken (artikel 37, eerste lid, onderdeel a, van de verordening).14 In de derde plaats ten slotte bepaalt artikel 55, derde lid, dat de toezichthoudende autoriteiten niet competent zijn toe te zien op de verwerkingen door gerechten bij de uitoefening van hun rechterlijke taken.

De reden voor deze laatste uitzondering - die rechtstreeks werkt en daarom niet is opgenomen in de Uitvoeringswet - is gelegen in het waarborgen van de onafhankelijkheid van de rechterlijke macht. Dit betekent dat de bevoegdheid van de Autoriteit persoonsgegevens om toezicht te houden op gerechten en andere onafhankelijke rechterlijke autoriteiten zich niet uitstrekt tot de verwerking van persoonsgegevens in het kader van hun gerechtelijke taken. Voor het overige is de Autoriteit persoonsgegevens wel bevoegd om toezicht te houden. Het toezicht op de verwerking van persoonsgegevens door gerechten in het kader van hun gerechtelijke taken moet blijkens overweging 20 kunnen worden toevertrouwd aan specifieke instanties binnen de rechterlijke organisatie van de lidstaat, die met name de naleving van de regels van de verordening moeten garanderen, die leden van de rechterlijke macht van hun verplichtingen krachtens deze verordening sterker bewust moeten maken, en die klachten met betrekking tot die gegevensverwerkingen moeten behandelen. Het is aan de rechterlijke instanties zelf om hierin te voorzien; de Uitvoeringswet bevat hieromtrent geen regels. De Raad voor de rechtspraak, de Hoge Raad der Nederlanden en de Afdeling bestuursrechtspraak van de Raad van State voeren overleg over de nadere inrichting.

De overige bepalingen van paragraaf 2.1, de artikelen 7 tot en met 13 van onderhavig wetsvoorstel, bevatten de algemene voorschriften inzake de inrichting van de Autoriteit persoonsgegevens.

Onafhankelijkheid van de toezichthoudende autoriteit is een van de kernwaarden binnen de verordening, die in de regels omtrent de op- en inrichting van de toezichthoudende autoriteit nader wordt uitgewerkt.

Artikel 52 van de verordening bevat specifieke bepalingen met betrekking tot de onafhankelijkheid. Op grond van het eerste lid treedt de toezichthoudende autoriteit op in volledige onafhankelijkheid bij de uitvoering van de taken en de uitoefening van bevoegdheden. De leden vragen noch aanvaarden daarbij instructies van wie dan ook. Op grond van het derde lid onthouden de leden zich van alle handelingen die onverenigbaar zijn met hun taken. Deze verplichtingen gelden rechtstreeks voor de leden van de Autoriteit persoonsgegevens en behoeven geen omzetting of uitvoeringshandelingen vanuit de rijksoverheid. Het vierde, vijfde en zesde lid, van artikel 52 verordening bevatten een aantal zorgplichten voor de lidstaat om de toezichthoudende autoriteit toe te rusten om hun werkzaamheden te kunnen verrichten. De lidstaat draagt zorg voor de personele, technische en financiële middelen van de toezichthoudende autoriteit, voor eigen en zelfgekozen personeelsleden en voor financieel toezicht zonder dat daarbij de onafhankelijkheid van de toezichthoudende autoriteit in het gedrang komt.

In paragraaf 2.1 van het wetsvoorstel is voorzien in de inhoudelijke uitwerking van deze elementen. Deze elementen zijn overigens niet nieuw ten opzichte van de Wbp. De Autoriteit persoonsgegevens heeft een secretariaat waaraan de voorzitter leiding geeft. De Autoriteit persoonsgegevens heeft een eigen begroting, die binnen de kaders van de Kaderwet zelfstandige bestuursorganen wordt vormgegeven. Hierin wordt geen verandering beoogd. Ook in het financieel toezicht is geen verandering aangebracht. Het financieel toezicht wordt uitgeoefend conform de Kaderwet zelfstandige bestuursorganen.

Het feit dat de toezichthoudende autoriteit in volledige onafhankelijkheid optreedt bij de uitvoering van de taken en de uitoefening van bevoegdheden komt mede tot uitdrukking in het feit dat enkele bepalingen van de Kaderwet zelfstandige bestuursorganen niet van toepassing zijn op de Autoriteit persoonsgegevens. Het gaat hier met name om de artikelen 12, 20, 21, 22 en 23 van de Kaderwet zelfstandige bestuursorganen, die een benoemings- en ontslagbevoegdheid bevatten en voorzien in verschillende sturingsmogelijkheden van de verantwoordelijke Minister ten aanzien van het door een zelfstandig bestuursorgaan (zbo) gevoerde beleid in de vorm van het opstellen van beleidsregels, het vernietigen van een besluit van het zbo en het treffen van voorzieningen bij ernstige taakverwaarlozing. Het uitsluiten van deze artikelen/bevoegdheden is van belang, omdat de Autoriteit persoonsgegevens in volstrekte inhoudelijke onafhankelijkheid moet kunnen opereren, ook waar het gaat om het uitoefenen van toezicht op de verwerkingen onder verantwoordelijkheid van de Minister voor Rechtsbescherming of de Minister van Justitie en Veiligheid zelf.

Met het uitsluiten van deze mogelijkheden van beïnvloeding van het inhoudelijke beleid door de verantwoordelijke Minister is de onafhankelijkheid voldoende gewaarborgd. Dit laat onverlet dat de Autoriteit persoonsgegevens in beheersmatige zin onder de verantwoordelijkheid van de Minister voor Rechtsbescherming valt. Dit is niet anders dan bijvoorbeeld bij de rechterlijke macht, waarvoor eveneens de Minister voor Rechtsbescherming beheersmatig verantwoordelijkheid draagt. Er is geen aanleiding in de verordening om een verdergaande beheersmatige verzelfstandiging van de Autoriteit persoonsgegevens na te streven.

Een nieuw element, waarin de zelfstandigheid van de Autoriteit persoonsgegevens benadrukt wordt, is dat het personeel van de Autoriteit persoonsgegevens onder de Uitvoeringswet direct benoemd zal worden door de voorzitter. Onder de Wbp werd het personeel van de Autoriteit persoonsgegevens benoemd door de Minister, op voordracht van de voorzitter. Op grond van artikel 52, vijfde lid, van de verordening dient de Autoriteit persoonsgegevens te beschikken over eigen en zelfgekozen personeelsleden. Dit verhoudt zich niet met een benoemingsrecht van de Minister voor Rechtsbescherming.

Artikel 53 van de verordening benoemt enkele algemene voorwaarden voor de benoeming van leden van de toezichthoudende autoriteit. In onderhavig wetsvoorstel is, in lijn met de verordening, de huidige benoemingswijze bij koninklijk besluit gecontinueerd. Het tweede, derde en vierde lid, van artikel 53 van de verordening zullen rechtstreeks toepasselijk zijn en behoeven derhalve geen omzetting in nationaal recht. Artikel 54 van de verordening verplicht ertoe een aantal zaken bij wet te regelen. Hierin is in de Uitvoeringswet voorzien.

In de onderstaande tabel wordt dit toegelicht:

Onderdeel van artikel 54, eerste lid, van de verordening

Onderdeel van de Uitvoeringswet

  • a) 
    de oprichting van elke toezichthoudende autoriteit;

Artikel 6 voorziet in de oprichting van de Autoriteit persoonsgegevens

  • b) 
    de vereiste kwalificaties en voorwaarden om als lid te worden benoemd voor elke toezichthoudende autoriteit;

Artikel 7, tweede lid, bepaalt dat bij de benoeming van buitengewone leden spreiding over de onderscheidene sectoren van de maatschappij wordt nagestreefd.

Artikel 7, vierde lid, bepaalt dat de voorzitter benoembaar moet zijn tot rechter in een rechtbank.

  • c) 
    de regels en procedures voor de benoeming van de leden van elke toezichthoudende autoriteit;

Artikel 7, derde lid, bepaalt dat de voorzitter, andere leden en de buitengewone leden worden benoemd bij koninklijk besluit op voordracht van de Minister voor Rechtsbescherming.

  • d) 
    de ambtstermijn van het lid of de leden van elke toezichthoudende autoriteit, die ten minste vier jaar bedraagt, behoudens de eerste ambtstermijn na de inwerkingtreding van deze verordening, die korter kan zijn wanneer dat nodig is om de onafhankelijkheid van de toezichthoudende autoriteit door middel van een in de tijd gespreide benoemingsprocedure te beschermen;

Artikel 7, vijfde lid, bepaalt dat de benoeming geldt voor een tijdvak van vijf jaar

  • e) 
    of het lid of de leden van elke toezichthoudende autoriteit opnieuw kan of kunnen worden benoemd en zo ja, hoe vaak;

Artikel 7, zesde lid bepaalt dat leden eenmaal kunnen worden herbenoemd, opnieuw voor de duur van vijf jaar.

  • f) 
    de voorwaarden in verband met de plichten van het lid of de leden en de personeelsleden van elke toezichthoudende autoriteit, de verboden op met die plichten onverenigbare handelingen, werkzaamheden en voordelen tijdens en na de ambtstermijn en de regels betreffende de beëindiging van de ambtstermijn c.q. arbeidsverhouding.

Artikel 8 verklaart de bepalingen inzake disciplinaire maatregelen van de Wet rechtspositie rechterlijke ambtenaren van overeenkomstige toepassing. Daarnaast geldt artikel 13 van de Kaderwet zelfstandige bestuursorganen voor de leden van de Autoriteit persoonsgegevens en geldt artikel 61, vierde lid, van het ARAR voor de ambtenaren van het secretariaat waardoor eenieder gehouden is om af te zien van nevenwerkzaamheden waardoor de goede vervulling van de functie of de goede functionering van de openbare dienst, voor zover deze in verband staat met de functievervulling, niet in redelijkheid zou zijn verzekerd.

Voor veel van deze elementen geldt dat deze ook waren voorzien in de Wbp. Zo is er continuïteit ten aanzien van de eisen van benoembaarheid en de benoeming van de leden en de voorzitter, de herbenoeming en overige vereisten.

Artikel 54, tweede lid, van de verordening bepaalt dat de leden en de personeelsleden van de Autoriteit persoonsgegevens tot geheimhouding zijn gehouden, zowel tijdens hun ambtstermijn als daarna, overeenkomstig het Unierecht of lidstatelijk recht. Dit element was reeds opgenomen in artikel 28, zevende lid, van richtlijn 95/46/EG i. Op grond van artikel 125a van de Ambtenarenwet is een ambtenaar verplicht tot geheimhouding van hetgeen hem in verband met zijn functie ter kennis is gekomen, voor zover die verplichting uit de aard der zaak volgt. Gelet op de bijzondere verantwoordelijkheid van de ambtenaar in dienst van de Autoriteit persoonsgegevens zal de informatie die de ambtenaar in het kader van zijn toezichthoudende taken ontvangt, doorgaans onder de geheimhoudingsplicht vallen.

Van belang is, tot slot, dat de Autoriteit persoonsgegevens in het toezicht op de naleving van de verordening de samenwerking zoekt met andere toezichthouders op andere terreinen. Er kan sprake zijn van overlap in toezichtsactiviteiten tussen verschillende toezichthouders en de Autoriteit persoonsgegevens, bijvoorbeeld bij het toezicht op de zorg door de Nederlandse Zorgautoriteit, of toezicht op de financiële sector door De Nederlandsche Bank of de AFM. Het afstemmen van toezichtsactiviteiten is van groot belang voor het voorkomen van rechtsonzekerheid bij burgers en het bedrijfsleven ten aanzien van de na te leven wettelijke verplichtingen, en het voorkomen van dubbelingen in het toezicht. Hiertoe heeft de Autoriteit persoonsgegevens de bevoegdheid om samenwerkingsprotocollen op te stellen met andere toezichthouders (artikel 19 van de Uitvoeringswet).

3.3.2 De inbedding van de Autoriteit persoonsgegevens in het algemene bestuursrecht

Voor een belangrijk deel worden de taken en bevoegdheden van de toezichthoudende autoriteit bepaald door de verordening. Een substantieel deel van deze taken en bevoegdheden betreft handhaving; dat wil zeggen toezicht op de naleving van wettelijke voorschriften en het sanctioneren van daarbij geconstateerde overtredingen. Op besluiten die (het personeel van) de Autoriteit persoonsgegevens in verband met deze taken en bevoegdheden neemt is de Algemene wet bestuursrecht (Awb) vanzelfsprekend van toepassing. Hoofdstuk 5, dat betrekking heeft op toezicht op de naleving en handhaving, blijft evenals thans onder de Wbp het geval is, onverminderd van belang, maar ook andere bepalingen, zoals die over rechtsbescherming in de hoofdstukken 6 tot en met 8. Hiermee wordt uitvoering gegeven aan artikel 78, eerste lid, van de verordening.

Naast de handhavingstaken kent de verordening de Autoriteit persoonsgegevens nog andere taken toe, zoals de taak om klachten te behandelen van betrokkenen die menen dat er bij de verwerking van persoonsgegevens van hen, inbreuk wordt gemaakt op de verordening. Het woord klacht heeft in de verordening een eigen, en van de Awb afwijkende, betekenis. In de Awb heeft het woord klacht betrekking op de wijze waarop een bestuursorgaan zich in een bepaalde aangelegenheid jegens hem of een ander heeft gedragen, en de klacht wordt ingediend bij het bestuursorgaan zelf. In de verordening wordt er daarentegen bij de toezichthoudende autoriteit een klacht ingediend over de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke. De klacht wordt ingediend omdat de klager meent dat de verwerking van persoonsgegevens niet rechtmatig is; het gaat hierbij dus niet zozeer om bejegening, zoals in de Awb. Naar voor het algemene bestuursrecht gebruikelijke terminologie gaat het hier niet om een klacht, maar om een verzoek tot handhaving aan de Autoriteit persoonsgegevens. Betrokkene vraagt immers bij de Autoriteit persoonsgegevens aandacht voor een verwerking van zijn persoonsgegevens, die mogelijk niet conform de regels van de verordening plaatsvindt. Waar in dit wetsvoorstel en in de toelichting wordt gesproken over klacht in de zin van de verordening, gaat het hier in de terminologie van de Awb derhalve over een verzoek tot handhaving. De schriftelijke reactie van de Autoriteit persoonsgegevens dient dan ook te worden beschouwd als een besluit in de zin van de Awb, waartegen rechtsbescherming open staat langs de gebruikelijke bestuursrechtelijke weg. Deze karakterisering is tevens van belang voor het interpreteren van de betekenis van het begrip «betrokkene», dat in dit specifieke geval moet worden gelijkgeschakeld met het begrip «belanghebbende». Op grond van artikel 78 van de verordening moet de toezichthoudende autoriteit de betrokkene binnen drie maanden in kennis stellen van de voortgang of het resultaat van de uit hoofde van artikel 77 ingediende klacht. Aangezien een verordening een wettelijk voorschrift is als bedoeld in artikel 4:13 van de Awb, volgt de beslistermijn rechtstreeks uit de verordening en is deze niet ook nog eens opgenomen in dit voorstel. In het onverhoopte geval dat de Autoriteit persoonsgegevens niet binnen deze termijn heeft gereageerd op een verzoek tot handhaving, is er ingevolge artikel 6:2, aanhef en onderdeel b, van de Awb sprake van een besluit en kan er, onder de in artikel 6:12 van de Awb genoemde voorwaarden, beroep worden ingesteld bij de bestuursrechter.

De taken van de Autoriteit persoonsgegevens vloeien voor het overgrote deel rechtstreeks voort uit de verordening. De prioritering van deze taken is, met uitzondering van het behandelen van klachten van betrokkenen, in belangrijke mate aan de Autoriteit persoonsgegevens zelf. De Autoriteit persoonsgegevens heeft hiermee, binnen de grenzen van de verordening en het algemene bestuursrecht, beleidsvrijheid inzake de toepassing van het instrumentarium. Deze beleidsvrijheid kan door de Autoriteit persoonsgegevens worden ingevuld met beleidsregels. Ook thans vult de Autoriteit persoonsgegevens de beleidsvrijheid bij handhaving in door verschillende beleidsregels. Daarnaast publiceert de Autoriteit persoonsgegevens jaarlijks aandachtspunten, waarop de handhaving geconcentreerd zal worden.

De Autoriteit persoonsgegevens heeft onder de verordening geen beleidsvrijheid ten aanzien van de behandeling van klachten. Op grond van artikel 77, tweede lid, volgt dwingend uit de verordening dat de toezichthoudende autoriteit de klager in kennis stelt van de voortgang en het resultaat van de klacht, alsmede de mogelijke voorziening in rechte overeenkomstig artikel 78. Hieruit volgt dat op alle ingediende klachten een inhoudelijke reactie zal moeten worden geformuleerd. Dit betekent evenwel niet, dat het onderzoek dat ten grondslag ligt aan de beantwoording van de klacht, in alle gevallen even uitgebreid zou moeten zijn. Het staat de Autoriteit persoonsgegevens vrij om hierin op basis van beleidsprioriteiten een afweging te maken inzake de intensiteit van het onderzoek dat op een klacht volgt.

Prioriteitstelling is toegestaan om in het kader van doelmatige handhaving onderscheid te maken in de wijze waarop uitvoering wordt gegeven aan de handhavingstaak. Zo kan prioritering bepalend zijn voor de mate waarin toezicht wordt gehouden op de naleving van voorschriften. Ook kan prioritering inhouden dat bij bepaalde lichte overtredingen alleen naar aanleiding van een klacht of een verzoek van een belanghebbende wordt beoordeeld of handhavend moet worden opgetreden.

3.4 Taken en bevoegdheden van de Autoriteit persoonsgegevens op grond van de verordening

3.4.1 Algemeen

De taken en bevoegdheden van de nationale autoriteit volgen, voor wat betreft het toezicht op de toepassing15 van de verordening vrijwel volledig rechtstreeks uit de verordening. Op het punt van de taken en bevoegdheden is er enerzijds sprake van een grote mate van continuïteit, maar anderzijds sprake van een aantal wijzigingen. De continuïteit is onder meer gelegen in de kerntaken van de Autoriteit persoonsgegevens: de Autoriteit persoonsgegevens dient de toepassing van de verordening te handhaven. Veel van de overige taken en bevoegdheden staan mede in het teken van deze kerntaak.

Artikel 57 van de verordening beschrijft de taken van de toezichthoudende autoriteit. De verplichting die nu geldt op grond van artikel 51, tweede lid, van de Wbp, om advies te vragen aan de Autoriteit persoonsgegevens over voorstellen van wet en algemene maatregelen van bestuur, komt niet terug in de Uitvoeringswet. De reden daarvoor is gelegen in het feit dat de vergelijkbare artikelen van de verordening die op deze taak betrekking hebben (artikel 57, eerste lid, onderdeel c, en artikel 36, vierde lid) direct werkende bepalingen zijn en derhalve niet mogen worden omgezet in nationaal recht (overweging 8).

Artikel 58 regelt de bevoegdheden van de toezichthoudende autoriteit. Ook de bevoegdheden vloeien rechtstreeks voort uit de verordening. De bevoegdheden van het eerste lid verschillen qua formulering, maar komen in hoge mate materieel overeen met de bestaande bevoegdheden uit hoofdstuk 5 van de Awb. Evenals onder het huidige recht dient de verwerkingsverantwoordelijke of de verwerker op grond van artikel 58, eerste lid, onderdeel e, van de verordening (zeer vergelijkbaar met artikel 5:20 van de Awb), alle medewerking te verlenen die de Autoriteit persoonsgegevens redelijkerwijs kan vorderen. Op grond van artikel 83, vijfde lid, onderdeel e, van de verordening is het handelen in strijd met deze verplichting vervolgens beboetbaar gesteld.

Het vierde, vijfde en zesde lid bevatten bevoegdheden om in het lidstatelijk recht wettelijke bepalingen op te stellen. Het vierde lid bepaalt dat op de uitoefening van de bevoegdheden door de toezichthoudende autoriteit passende waarborgen van toepassing zijn, waaronder doeltreffende voorziening in rechte. Dit is in Nederlandse wetgeving reeds voorzien in de Awb, in het bijzonder de hoofdstukken 5 en 8. De medewerkers van de Autoriteit persoonsgegevens zijn toezichthouders in de zin van de Awb en moeten voldoen aan alle aldaar gestelde vereisten. Dit betekent onder andere dat een besluit tot het opleggen van een herstelsanctie of een punitieve sanctie een besluit is in de zin van de Awb, waartegen rechtsbescherming open staat bij de bestuursrechter.

Op grond van het vijfde lid bepaalt iedere lidstaat dat de toezichthoudende autoriteit bevoegd is inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden, teneinde de bepalingen van deze verordening te doen naleven.

Het zesde lid bepaalt dat iedere lidstaat bij wet aanvullende bevoegdheden kan toekennen, mits deze geen afbreuk doen aan de doeltreffende werking van de samenwerking en coherentie tussen Europese toezichthouders. Dit is een facultatieve bepaling, waar Nederland op verschillende manieren gebruik van maakt. Allereerst is het onder dit artikellid mogelijk om de bestaande bevoegdheden die op grond van de Awb aan iedere toezichthouder toekomen, te handhaven voor de Autoriteit persoonsgegevens. Daarnaast is in een tweetal bevoegdheden op dit punt voorzien.

In Nederland zijn de Autoriteit persoonsgegevens en het veld vertrouwd met de toepassing van de last onder dwangsom en de last onder bestuursdwang. Dit is een meer laagdrempelige manier voor de toezichthouder om handhaving te bewerkstelligen, zonder dat er onmiddellijk een boete hoeft te worden opgelegd. Deze bevoegdheden worden onder de Uitvoeringswet gehandhaafd.

Een belangrijk deel van de taken van de Autoriteit persoonsgegevens zal mede vorm krijgen op basis van samenwerking met andere toezichthoudende autoriteiten en op basis van het coherentiemechanisme. Op deze terreinen, die zijn geregeld in hoofdstuk VII van de verordening, bestaat op dit moment nog veel onduidelijkheid. Het valt te verwachten dat de Autoriteit persoonsgegevens hierover meer helderheid zal verschaffen na het van kracht worden van de verordening.

In de Uitvoeringswet is voorzien in een bepaling (artikel 15, vijfde lid) op grond waarvan de Autoriteit persoonsgegevens ook de bevoegdheden van een toezichthouder in de zin van de Awb mag uitoefenen voor zover dit noodzakelijk is voor de uitvoering van hoofdstuk VII van de verordening. In dit kader kan gedacht worden aan bijvoorbeeld het vorderen van inlichtingen aan een verwerkingsverantwoordelijke in Nederland op verzoek van een andere Europese toezichthoudende autoriteit. De bevoegdheden kunnen worden ingezet voor zover deze redelijkerwijs nodig zijn voor de vervulling van deze taak.

3.4.2 Boetebevoegdheden

Belangrijke nieuwe bevoegdheden zijn de bevoegdheden tot het opleggen van administratieve geldboetes in artikel 83 van de verordening. Het eerste, tweede en derde lid bevatten algemene voorschriften voor de oplegging van geldboeten. De boete dient doeltreffend, evenredig en afschrikkend te zijn en de Autoriteit persoonsgegevens dient rekening te houden met de in het tweede lid opgenomen omstandigheden. Wanneer er sprake is van een inbreuk op meerdere bepalingen, dan is de totale geldboete niet hoger dan die voor de zwaarste inbreuk.

Het vierde, vijfde en zesde lid bevatten vervolgens de materiële normen op grond waarvan boetes kunnen worden opgelegd tot 10 miljoen euro of 2% van de jaaromzet, indien dit een hoger bedrag oplevert, respectievelijk 20 miljoen euro of 4% van de jaaromzet indien dit een hoger bedrag oplevert. De verordening bevat geen minimale hoogte voor de administratieve boete. Het besluit tot oplegging van een boete is een besluit in de zin van de Awb, en zal aan de voorwaarden hiervoor moeten voldoen, in het bijzonder titel 5.4 van de Awb. De opgelegde boete zal proportioneel moeten zijn in het licht van de geconstateerde overtreding. Het is hierbij allereerst aan de toezichthouder om de hoogte van de boete te motiveren. Het boetebesluit zal onderworpen zijn aan de gebruikelijke bestuurlijke rechtsbescherming bij punitieve bestuurlijke sancties. Dit betekent allereerst dat er bezwaar openstaat tegen het opleggen van de boete. Vervolgens staat beroep open bij de bestuursrechter, en ten slotte hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State.

Het begrip omzet is niet gedefinieerd in de verordening. In de beleidsregels van de Autoriteit persoonsgegevens van 15 december 2015 met betrekking tot het opleggen van bestuurlijke boetes (Boetebeleidsregels Autoriteit persoonsgegevens 2016, Stcrt. 2016 nr. 2043) wordt hiervoor met betrekking tot het begrip jaaromzet van de rechtspersoon aangesloten bij de netto-omzet, bedoeld in artikel 377, zesde lid, van Boek 2 van het Burgerlijk Wetboek. Het ligt voor de hand dat dit wederom als uitgangspunt zal worden genomen voor het nieuw op te stellen beleid van de Autoriteit persoonsgegevens.

3.4.3 Overige bevoegdheden tot sanctionering

Artikel 84 van de verordening stelt de verplichting om regels inzake andere sancties vast te stellen die van toepassing zijn op inbreuken op deze verordening, in het bijzonder op inbreuken die niet aan administratieve geldboeten onderworpen zijn overeenkomstig artikel 83 van de verordening.

Veruit de meeste bepalingen kunnen op basis van artikel 83 van de verordening worden gesanctioneerd. Ook de nationale bepalingen ter uitvoering van de verordening, bijvoorbeeld met betrekking tot de bijzondere categorieën van persoonsgegevens, kunnen op basis van artikel 83 worden gesanctioneerd. Daarnaast bevat de verordening een heel aantal bepalingen die zich niet lenen voor sanctionering, omdat er geen burgers of bedrijven bindende bepalingen in zijn neergelegd.

Artikel 10 van de verordening wordt niet zelfstandig gesanctioneerd in artikel 83 van de verordening. Het betreft hier de bepaling inzake de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. Artikel 10 van de verordening bevat een norm die zich rechtstreeks richt tot de verwerkingsverantwoordelijke, en zich derhalve ook leent voor sanctionering. Hierom is in artikel 17 van de Uitvoeringswet een grondslag opgenomen tot het opleggen van een bestuurlijke boete bij overtreding van dit artikel. Teneinde een even doeltreffende naleving van deze bepaling te realiseren is voor wat betreft de hoogte van de boete aangesloten bij de bedragen die ook in de verordening zijn opgenomen.

  • 4. 
    De invulling van de ruimte voor lidstatelijk recht onder de verordening in de Nederlandse wetgeving

4.1 Algemeen

Een verordening leidt in beginsel tot een verdergaande harmonisatie dan een richtlijn, omdat de materiële normen rechtstreeks worden ontleend aan de Europese wetgeving en niet behoeven te worden omgezet in nationale wetgeving. De verordening is in die zin een wat atypische verordening omdat op tal van plaatsen toch ruimte is voor de nationale wetgever om uitzonderingen op de verordening of elementen van de verordening in de nationale wetgeving op te nemen. Op sommige punten verplicht de verordening tot het treffen van een nationaalrechtelijke voorziening. De aard van de bepalingen die verwijzen naar het nationale recht, is zeer verschillend.

Zo biedt artikel 6, derde lid, van de verordening de ruimte om in het nationale recht rechtsgrondslagen op te nemen voor de verwerking van persoonsgegevens, door het opnemen van een wettelijke verplichting of door het vastleggen van een publieke taak. Hiervoor is wel vereist dat dit bij lidstatelijk recht geschiedt. Deze ruimte voor lidstatelijk recht is noodzakelijk omdat de verordening niet de rechtsgrondslagen kan definiëren, omdat er geen bevoegdheid is om de publieke taak op het niveau van de Unie te definiëren. Nationale wettelijke regelingen zijn dus onontbeerlijk om uitvoering te kunnen geven aan de verordening bij verwerking van persoonsgegevens door overheidsinstanties. Dit geldt bijvoorbeeld ook voor de verwerking van bijzondere categorieën van persoonsgegevens, waarvoor het lidstatelijk recht in belangrijke mate de uitzonderingen kan bepalen op het algemene verbod van verwerking van bijzondere categorieën van persoonsgegevens zoals opgenomen in de verordening.

Voorts is er in verschillende artikelen ruimte gelaten voor afwijking van de materiële bepalingen van de verordening. De belangrijkste hiervan is artikel 23 van de verordening, dat voorziet in de mogelijkheid om op bepaalde gronden af te wijken van de rechten van betrokkene en van de meldplicht datalekken (zie paragraaf 4.6).

Op andere terreinen gaat het om meer facultatieve bepalingen in de verordening. De ruimte voor de nationale wetgever hangt in dat geval soms ook samen met het ontbreken van consensus tussen de lidstaten over deze deelonderwerpen. Verschillende lidstaten zullen dus naar verwachting verschillend omgaan met de door de verordening geboden ruimte. In het onderhavige wetsvoorstel is gestreefd naar een beleidsneutrale uitvoering van de verordening ten opzichte van het geldend recht onder richtlijn 95/46/EG i en de Wbp. Dit wil zeggen dat alleen daar waar reeds op nationaal niveau uitzonderingen bestonden, deze uitzonderingen zijn gehandhaafd. Dit geldt bijvoorbeeld voor de regeling inzake verwerking van een nationaal identificerend persoonsnummer, dat geheel aan de lidstaten wordt overgelaten. Ook onderwerpen die in het onderhavige wetsvoorstel en de memorie van toelichting verder niet aan de orde komen, zoals bijvoorbeeld de verhouding tussen verwerking van persoonsgegevens en verschillende wettelijke en contractuele geheimhoudingsplichten, worden niet gewijzigd.

4.2 Beginselen inzake verwerking van persoonsgegevens

De bepalingen van de verordening betreffende de beginselen inzake verwerking van persoonsgegevens (artikel 5) en de rechtmatigheid van de verwerking (artikel 6) zullen rechtstreeks gelden. Daardoor hoeven deze normen niet te worden opgenomen in de Uitvoeringswet. Omdat deze bepalingen in het bijzonder van belang zijn voor verwerking van persoonsgegevens in de publieke en private sector, wordt er in deze memorie toch stilgestaan bij deze bepalingen.

In het onderstaande wordt achtereenvolgens ingegaan op de beginselen voor verwerking, de rechtsgrondslagen voor gegevensverwerking en de problematiek van de verdere verwerking (de verwerking van persoonsgegevens voor een ander doel dan waarvoor de gegevens oorspronkelijk zijn verzameld).

4.2.1 De beginselen

Artikel 5 van de verordening bevat de beginselen inzake verwerking van persoonsgegevens. Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, eerlijk en transparant is (beginselen van rechtmatigheid, behoorlijkheid en transparantie). Gegevens mogen slechts worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (beginsel van doelbinding). Gegevensverwerking mag niet excessief zijn en moet worden beperkt tot wat noodzakelijk is voor de doeleinden waarvoor persoonsgegevens worden verwerkt (beginsel van minimale gegevensverwerking, ook wel dataminimalisatie genoemd). Daarnaast dienen de gegevens juist te zijn en indien nodig te worden bijgewerkt (beginsel van juistheid), mogen zij niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren dan noodzakelijk is (beginsel van opslagbeperking) en dienen zij passend te worden beveiligd (beginsel van integriteit en vertrouwelijkheid).

De in artikel 5 van de verordening genoemde beginselen zijn complementair. Bij de verwerking van persoonsgegevens moeten alle beginselen in gelijke mate in acht worden genomen. Er is geen rangorde. Zij zijn alle bindend in die zin, dat uitzonderingen of beperkingen op die beginselen slechts geoorloofd zijn voor zover de verordening dit uitdrukkelijk bepaalt, waarbij sommige uitzonderingen en beperkingen rechtstreeks werken en andere een nadere uitwerking in lidstatelijk recht vergen. Het voorgaande geldt ook voor het beginsel van rechtmatigheid en het beginsel van doelbinding. In deze context moet «rechtmatigheid» overigens beperkt worden uitgelegd. Het beginsel van rechtmatigheid houdt in dat er een deugdelijke rechtsgrondslag voor de verwerking moet zijn. Die rechtsgrondslagen worden limitatief opgesomd in artikel 6, eerste lid, van de verordening, met een nadere uitwerking in het tweede en derde lid met betrekking tot de voor overheidsinstanties belangrijke rechtsgrondslagen, bedoeld in het eerste lid, onderdelen c en e.

Dat het beginsel van rechtmatigheid en het beginsel van doelbinding complementair zijn, betekent dat een deugdelijke rechtsgrondslag voor de verwerking (zie verder paragraaf 4.2.2) op zichzelf onvoldoende reden is om gegevens te gebruiken voor doeleinden die niet verenigbaar zijn met het doel waarvoor zij oorspronkelijk zijn verzameld. Dit blijkt ook uit artikel 8, tweede lid, van het EU-Handvest waarin beide uitgangspunten zelfstandig naast elkaar worden gewaarborgd. Het beginsel van doelbinding is echter niet absoluut. In de eerste plaats mogen persoonsgegevens verder worden verwerkt voor een ander doel, mits dat gebeurt op een wijze die niet onverenigbaar is met de doeleinden waarvoor de gegevens oorspronkelijk zijn verzameld. Artikel 6, vierde lid, van de verordening is een nadere uitwerking van het doelbindingsbeginsel. Het bevat een niet-limitatieve lijst van criteria aan de hand waarvan de verwerkingsverantwoordelijke kan beoordelen of er sprake is van zogenaamde «verenigbare verdere verwerking». In de tweede plaats is krachtens artikel 6, vierde lid, van de verordening ook de zogenaamde «niet-verenigbare verdere verwerking» toegestaan indien die berust op toestemming van de betrokkene dan wel op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, eerste lid, van de verordening bedoelde doelstellingen van algemeen belang.

In hoofdlijnen komen de beginselen van artikel 5 van de verordening overeen met de beginselen van artikel 6 van richtlijn 95/46/EG i. Alleen de verplichting om gegevens transparant te verwerken is nieuw ten opzichte van richtlijn 95/46/EG i. De introductie van het beginsel van transparantie in de verordening zal op zichzelf echter weinig tot geen directe gevolgen voor de praktijk hebben, en komt in de verordening vooral tot uitdrukking in een nadere invulling en verduidelijking van rechten van betrokkene en verplichtingen van de verantwoordelijke. Algemeen uitgangspunt is dat voor alle gegevens die verzameld worden een rechtvaardiging en voldoende specifieke wettelijke rechtsgrondslag vereist is. Het is niet zonder meer noodzakelijk om nadere regels te stellen over de transparantie van gegevens, maar in bijzondere situaties kan hier aanleiding voor zijn. Hierom is in deze Uitvoeringswet geen algemene invulling gegeven van het beginsel van transparantie. In specifieke sectorale wetgeving kan hier een nadere invulling aan worden gegeven, waarbij wel zij aangetekend dat het beginsel van transparantie als Europese norm autonoom zal worden uitgelegd.

Een ander nieuw element is dat de verwerkingsverantwoordelijke in artikel 5, tweede lid, van de verordening niet alleen verantwoordelijk wordt gesteld voor de naleving van de beginselen, maar ook expliciet wordt verplicht de naleving te kunnen aantonen («verantwoordingsplicht»).

4.2.2 Rechtsgrondslagen voor verwerking (beginsel van rechtmatigheid)

Artikel 6, eerste lid, van de verordening richt zich tot de verwerkingsverantwoordelijke en geeft de voorwaarden voor de rechtmatigheid van een verwerking. Deze bepaling moet worden beschouwd als de uitwerking en nadere invulling van het beginsel van rechtmatigheid zoals genoemd in artikel 5, eerste lid, onderdeel a, van de verordening. De rechtsgrondslagen voor de verwerking van persoonsgegevens door de verwerkingsverantwoordelijke staan hier limitatief opgesomd. Verwerking van gegevens is ten aanzien van de betrokkene alleen dan rechtmatig:

    • a. 
      wanneer sprake is van toestemming van de betrokkene;
    • b. 
      wanneer deze verwerking noodzakelijk is ter uitvoering van een overeenkomst waarbij de betrokkene partij is;
    • c. 
      wanneer deze verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
    • d. 
      wanneer deze verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of een andere natuurlijke persoon;
    • e. 
      wanneer deze verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen; of
    • f. 
      wanneer deze verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of grondrechten van betrokkene boven die belangen prevaleren.

Dit kader komt materieel vrijwel volledig overeen met artikel 7 van richtlijn 95/46/EG i en artikel 8 van de Wbp.

Zoals gezegd, moet «rechtmatigheid» hier beperkt worden uitgelegd. Er wordt gehandeld in overeenstemming met beginsel van rechtmatigheid, indien er een deugdelijke rechtsgrondslag voor de verwerking aanwezig is. Indien dat het geval is, wordt gehandeld in overeenstemming met het beginsel van rechtmatigheid, maar dit neemt niet weg dat alle andere beginselen van artikel 5 van de verordening ook in acht moeten worden genomen. Als dat niet gebeurt, handelt de verwerkingsverantwoordelijke in strijd met de verordening.

Voor de private sector zijn doorgaans de onderdelen a, b, d en f een basis voor verwerking van persoonsgegevens. Ook onderdeel c kan een basis zijn voor verwerking van persoonsgegevens in de private sector, bijvoorbeeld wanneer er sprake is van een wettelijke verplichting voor een private partij om persoonsgegevens aan een overheidsinstantie te verstrekken. Daarbij kan worden gedacht aan de verplichting voor banken (verwerkingsverantwoordelijken) om jaarlijks gegevens van hun rekeninghouders aan de Belastingdienst te verstrekken ten behoeve van de belastingheffing (artikel 22 van het Uitvoeringsbesluit inkomstenbelasting 2001).

Een belangrijke verandering onder de verordening is dat er in artikel 7 van de verordening nadere voorwaarden worden gesteld voor toestemming als rechtsgrondslag voor gegevensverwerking. De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Daarnaast moet de toestemming duidelijk worden onderscheiden van toestemming voor andere aangelegenheden. Het intrekken van de toestemming moet even eenvoudig zijn als het geven ervan.

De rechtsgrondslagen uit de onderdelen b, d en f veranderen voor de private sector niet wezenlijk ten opzichte van richtlijn 95/46/EG i en de Wbp.

Voor de overheid is met name verwerking op basis van een wettelijke verplichting (onderdeel c) en verwerking in het belang van uitvoering van een taak van algemeen belang (onderdeel e) relevant. Deze beide rechtsgrondslagen voor verwerking van persoonsgegevens moeten krachtens artikel 6, derde lid, van de verordening worden vastgesteld bij Unierecht of bij lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is. Niet voor elke afzonderlijke verwerking is specifieke wetgeving vereist. Zie in dit verband ook overweging 45 bij de verordening. Er kan, zoals de Autoriteit persoonsgegevens terecht heeft opgemerkt, worden aangesloten bij algemene leerstukken van het bestuurlijk organisatierecht (attributie, mandaat, delegatie en de begrippen bestuursorgaan, publiekrechtelijke bevoegdheid en publiekrechtelijke taak).

Voor rechtmatige verwerking in het kader van een wettelijke verplichting geldt een noodzakelijkheidsvereiste: de verwerking moet noodzakelijk zijn om te voldoen aan de wettelijke verplichting van de verwerkingsverantwoordelijke. Deze wettelijke verplichting behoeft niet noodzakelijkerwijs te bestaan uit een expliciete verplichting om (bepaalde) persoonsgegevens te verwerken. Het komt namelijk ook voor dat de verwerking van persoonsgegevens een basis vindt in een ruimer geformuleerde zorgplicht of wettelijke verplichting. In dat geval heeft de verwerkingsverantwoordelijke een grotere eigen verantwoordelijkheid inzake het beoordelen van de noodzakelijkheid van de verwerking in het licht van het voldoen aan de wettelijke verplichting. Zonder verwerking van de gegevens moet het uitvoeren van een wettelijke verplichting redelijkerwijs niet goed mogelijk zijn. Op dit punt verandert het wettelijk kader zoals dat gold onder de richtlijn en de Wbp niet.

Ook met betrekking tot de rechtsgrond «uitvoering van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen» (onderdeel e, hierna ook kortweg: publieke taak) geldt het noodzakelijkheidsvereiste: het doel van de verwerking moet noodzakelijk zijn voor de vervulling van de desbetreffende publieke taak. Naar zijn aard is de publieke taak dynamisch en veranderlijk door de tijd heen. De grenzen van de publieke taak zijn niet altijd op voorhand scherp te trekken. De publieke taak zelf zal echter altijd moeten blijken uit de sectorspecifieke regelgeving die op de verwerkingsverantwoordelijke van toepassing is. Niet noodzakelijk is dat in de sectorspecifieke regelgeving ook expliciet is opgenomen dat ten behoeve van de vervulling van de wettelijke taak gegevens verwerkt mogen worden. Indien het noodzakelijk is om voor de uitvoering van de publieke taak persoonsgegevens te verwerken, kan de wettelijke rechtsgrondslag voor de publieke taak tevens worden beschouwd als rechtsgrondslag voor de verwerking van persoonsgegevens. Het doel van de gegevensverwerking is daarbij naar zijn aard wel gebonden aan de uitoefening van die publieke taak, en de ruimte voor gegevensverwerking vindt hierin zijn begrenzing.

Ook dit is in feite niet anders dan onder de huidige wet- en regelgeving. In artikel 8, onderdeel e, van de Wbp is bepaald dat persoonsgegevens mogen worden verwerkt voor zover de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak. De publiekrechtelijke taak zelf zal moeten blijken uit de voor de verwerkingsverantwoordelijke relevante wettelijke bepalingen.

De publieke taak en de gegevensverwerking moeten hun grondslag vinden in het in Nederland geldende recht. Dit hoeft echter niet uitputtend te zijn geregeld, en de publieke taak behoeft ook niet altijd in een wet in formele zin te zijn vastgelegd. Deze lezing strookt ook met het uitgangspunt van het EVRM inzake beperking van grondrechten, waarbij de beperking van het privéleven op grond van artikel 8, tweede lid, voorzienbaar moet zijn bij wet. Het begrip «voorzienbaar bij wet» wordt hierbij opgevat als een materieel wetsbegrip, dat niet beperkt is tot wetten in formele zin. In de kern gaat het erom dat het voor het individu kenbaar moet zijn dat zijn persoonsgegevens met betrekking tot een specifieke publieke taak worden verwerkt. Dit kan ook, zoals nu in sommige gevallen wordt aangenomen, volgen uit een samenstel van wettelijke regels die tezamen een publieke taak aanduiden. Het begrip publieke taak moet dus breed worden gelezen, mede in het licht van de overwegingen bij de verordening,16 maar die publieke taak moet wel voldoende duidelijk blijken uit nationaal recht. De nationale regelgeving moet het doel van de verwerking bepalen en zou kunnen ingaan op de voorwaarden die de verordening stelt aan een rechtmatige verwerking van persoonsgegevens. Bij dit laatste kan blijkens overweging 45 worden gedacht aan specificaties voor het bepalen van de verwerkingsverantwoordelijke, het type verwerkte persoonsgegevens, de betrokkenen, de entiteiten waaraan de persoonsgegevens mogen worden vrijgegeven, de doelbinding, de opslagperiode en andere maatregelen. Artikel 6, eerste lid, onderdeel e, van de verordening is dus als zodanig, gelet op het derde lid van deze bepaling, geen zelfstandige rechtsbasis voor gegevensverwerking, maar bepaalt waar uitwerking in Unierecht of lidstatelijk recht aan dient te voldoen.

Het vorenstaande betekent niet dat met de wettelijke grondslag voor een publieke taak of verplichting steeds ook de wettelijke grondslag voor de gegevensverwerking gegeven is. Uit de eis dat een inmenging in de uitoefening van het recht op respect voor het privéleven als bedoeld in artikel 8 van het EVRM moet zijn voorzien bij wet («in accordance with the law») vloeit voort dat die inmenging moet berusten op een naar behoren bekendgemaakt wettelijk voorschrift waaruit de burger met voldoende precisie kan opmaken welke op zijn privéleven betrekking hebbende gegevens met het oog op de vervulling van een bepaalde overheidstaak kunnen worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens met dat doel kunnen worden bewerkt, bewaard en gebruikt. Vereist is dus een voldoende precieze wettelijke grondslag. Dat betekent dat bijvoorbeeld de algemene taakstelling van een overheidsdienst niet in alle gevallen kan dienen als rechtsgrond voor gegevensverwerking.17 Het betekent ook dat een verplichting voor een overheidsinstantie tot gegevensverstrekking terwijl die overheidsinstantie een wettelijk geregelde geheimhoudingsplicht heeft, uitdrukkelijk en duidelijk in een wettelijk voorschrift moet zijn neergelegd, en dat het niet toelaatbaar is dat een dergelijke verplichting uitsluitend wordt afgeleid uit de totstandkomingsgeschiedenis van of de samenhang tussen wettelijke bepalingen of wordt verondersteld omwille van de effectiviteit van een wettelijke regeling.18

Gelet op de materiële overeenstemming tussen de verordening en de richtlijn kan worden aangenomen dat de bestaande wet- en regelgeving waarmee invulling wordt gegeven aan de publieke taak voor wat betreft de rechtsgrondslagen voor verwerking van gegevens in de regel aan de verordening voldoet. Wel zal de formulering in wettelijke bepalingen in sectorale regelgeving, waar deze verwijst naar de Wbp, aangepast moeten worden. Hiertoe is een afzonderlijke aanpassingswet in voorbereiding.

Bij onderdeel f is van belang dat dit onderdeel niet geldt voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken. Overheidsinstanties zullen in de uitoefening van hun taken geen gebruik kunnen maken van de rechtsgrondslag «gerechtvaardigd belang», maar zullen gebruik moeten maken van andere rechtsgrondslagen. Dit geldt niet voor zover de overheidsinstantie «typisch bedrijfsmatige handelingen» verricht waarbij persoonsgegevens worden verwerkt, zoals bijvoorbeeld de verwerking van persoonsgegevens die noodzakelijk is voor de beveiliging van overheidsgebouwen. Voor handelingen die buiten de uitoefening van de overheidstaken vallen, mag er wel een rechtsgrondslag worden aangenomen in het gerechtvaardigd belang van de organisatie. De overheid onderscheidt zich hierin dan immers niet wezenlijk van een private partij.

4.2.3 Verdere verwerking (beginsel van doelbinding)

Het beginsel van doelbinding houdt in dat persoonsgegevens alleen mogen worden verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel en dat zij vervolgens niet verder op een met dat doel onverenigbare wijze mogen worden verwerkt. Als verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, is verdere verwerking toegestaan zonder inbreuk te maken op de doelbinding. Tegelijkertijd is het beginsel van doelbinding niet absoluut. Dit zou leiden tot een grote mate van inflexibiliteit en inefficiëntie, omdat gegevens die voor een bepaald doel verzameld zijn, dan nimmer verder verwerkt zouden mogen worden met het oog op een ander gerechtvaardigd doel. Verdere verwerking van gegevens, dat wil zeggen verwerking van gegevens voor een ander doel dan dat waarvoor ze verzameld zijn, dient evenwel met terughoudendheid plaats te vinden voor zover het gaat om verdere verwerking voor een doel dat niet verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Volgens artikel 6, vierde lid, van de verordening is verdere verwerking voor een niet-verenigbaar doel dan ook uitsluitend toegestaan, indien dit berust op toestemming van de betrokkene of op een Unierechtelijke of lidstatelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, eerste lid, van de verordening bedoelde doelstellingen van algemeen belang.19

Artikel 6, vierde lid, van de verordening biedt het juridische kader voor verdere verwerking, zowel voor een ander verenigbaar doel (vallend binnen de doelbinding) als voor een ander niet-verenigbaar doel (doorbreking van de doelbinding). Met betrekking tot de verdere verwerking voor een ander verenigbaar doel bevat artikel 6, vierde lid, een aantal criteria aan de hand waarvan de verwerkingsverantwoordelijke kan toetsen of het andere doel verenigbaar is met het oorspronkelijke doel. De hiervoor genoemde norm waaraan de lidstaatrechtelijke bepaling die een grondslag biedt voor verdere verwerking voor een ander niet-verenigbaar doel moet voldoen, richt zich tot de nationale wetgever.

Verdere verwerking ziet in de verordening op verwerkingen van persoonsgegevens voor een ander doel dan waarvoor de persoonsgegevens oorspronkelijk zijn verzameld. Dit kan verwerking door één en dezelfde verwerkingsverantwoordelijke zijn, maar kan ook de verstrekking van gegevens aan een andere verwerkingsverantwoordelijke inhouden. De verwerkingsverantwoordelijke die de gegevens ontvangt, zal voor de verwerking van de ontvangen gegevens uiteraard een zelfstandige rechtsgrondslag nodig hebben als bedoeld in artikel 6, eerste lid, van de verordening bijvoorbeeld dat de verwerking noodzakelijk is voor de uitoefening van de taak van algemeen belang.

De verordening stelt als uitgangspunt voorop dat verdere verwerking is toegestaan als het andere doel verenigbaar is met het doel waarvoor de gegevens aanvankelijk zijn verzameld (artikel 5, eerste lid, onderdeel b). Daarnaast is - ook als het andere doel niet verenigbaar is met het oorspronkelijke doel - verdere verwerking toegestaan met toestemming van de betrokkene of op grond van een Unierechtelijke of lidstatelijke bepaling (artikel 6, vierde lid). Verdere verwerking wordt onder de verordening derhalve toegestaan in een drietal situaties:

    • 1. 
      indien er sprake is van een verenigbaar doel, waarbij de verwerkingsverantwoordelijke moet toetsen aan de in artikel 6, vierde lid, opgenomen criteria;
    • 2. 
      indien de betrokkene toestemming voor de verdere verwerking heeft gegeven (ook in geval van een niet-verenigbaar doel);
    • 3. 
      op basis van een Unierechtelijke of lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, eerste lid, van de verordening bedoelde doelstellingen van algemeen belang (ook in geval van een niet-verenigbaar doel).

Ad. 1 (verenigbaar doel)

De eerste mogelijkheid voor verdere verwerking die de verordening biedt is sterk vergelijkbaar met de huidige regeling van artikel 9, tweede lid, van de Wbp. De verwerkingsverantwoordelijke mag gegevens verder verwerken voor een ander doel, mits dat andere doel niet onverenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld (artikel 5, eerste lid, onderdeel b, van de verordening). De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, eerste lid, van de verordening niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd. Tenzij er sprake is van toestemming als bedoeld onder 2 of van een lidstaatrechtelijke bepaling als bedoeld onder 3, dient de verwerkingsverantwoordelijke in alle andere gevallen zelf vast te stellen of het andere doel verenigbaar is met het oorspronkelijke doel. Daarbij moet hij onder meer rekening houden met de vijf in artikel 6, vierde lid, van de verordening genoemde factoren (het verband tussen de verschillende doeleinden, de verhouding tussen verantwoordelijke en betrokkene, de aard van de persoonsgegevens, de mogelijke gevolgen voor betrokkene en het bestaan van passende waarborgen).

Als kan worden vastgesteld dat er sprake is van een verenigbaar doel, is voor de verdere verwerking geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van de persoonsgegevens werd toegestaan. De Unierechtelijke of lidstatelijke bepaling die als rechtsgrond voor de verwerking van persoonsgegevens dient, kan ook dienen als rechtsgrond voor de verdere verwerking voor een verenigbaar doel. Dit geldt voor alle verwerkingsverantwoordelijken, derhalve ook voor overheidsinstanties. Er is geen reden om aan te nemen dat in geval van overheidsinstanties er altijd een specifieke grondslag moet zijn voor verdere verwerking, als het gaat om een doel dat verenigbaar is met het oorspronkelijke doel.

Voorts is van belang dat uit artikel 5, eerste lid, onderdeel b, van de verordening voortvloeit dat verdere verwerking ten behoeve van archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden niet als onverenigbaar met de oorspronkelijke doeleinden worden beschouwd. Op grond van de verordening blijft derhalve ook verdere verwerking voor voornoemde doeleinden onverminderd mogelijk. Voorwaarde voor de verdere verwerking voor die doeleinden is wel dat de verantwoordelijke voorziet in passende waarborgen voor de bescherming van de persoonsgegevens van de betrokkenen. Bij de mogelijke voorzieningen die de verantwoordelijke in dit kader kan treffen, kan bijvoorbeeld worden gedacht aan het pseudonimiseren van de desbetreffende persoonsgegevens.

Ad. 2 (toestemming van betrokkene)

Op basis van toestemming van de betrokkene kan verdere verwerking plaatsvinden, ook wanneer deze niet verenigbaar is met het doel van de oorspronkelijke verwerking van persoonsgegevens. De aanvaardbaarheid van verdere verwerking op basis van toestemming is in zekere zin een vanzelfsprekendheid. Met de toestemming komt immers tot uitdrukking dat betrokkene zelf de inbreuk op de persoonlijke levenssfeer die plaatsvindt bij de verwerking van persoonsgegevens niet bezwaarlijk acht. De toestemming dient wel expliciet en vrijelijk te worden gegeven, en ook overigens te voldoen aan de voorwaarden van de artikelen 7 en 8 van de verordening en artikel 5 van de Uitvoeringswet.

Ad. 3 (Unierechtelijke of lidstaatrechtelijke bepaling)

Verdere verwerking kan tot slot plaatsvinden op basis van een Unierechtelijke of lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, eerste lid, van de verordening bedoelde doelstellingen. De verdere verwerking hoeft ook in dat geval niet verenigbaar te zijn met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. De verdere verwerking is dan gebaseerd op de desbetreffende lidstaatrechtelijke bepaling, bijvoorbeeld een specifieke wettelijke verplichting voor de verwerkingsverantwoordelijke om bepaalde gegevens aan een overheidsorgaan te verstrekken. Het betrokken overheidsorgaan dient in dat geval uiteraard zelf over een rechtsgrondslag als bedoeld in artikel 6, eerste lid, van de verordening te beschikken om de verstrekte gegevens te mogen verwerken. In de meeste gevallen zal het dan gaan om de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan het overheidsorgaan is opgedragen.

Zoals gezegd, dient verdere verwerking voor een niet-verenigbaar doel met terughoudendheid te worden toegestaan. Een belangrijke beperking is dan ook dat de nationaalrechtelijke grondslag voor de verdere verwerking voor een niet-verenigbaar doel in een democratische samenleving een noodzakelijke en evenredige maatregel moet vormen ter waarborging van de doelstellingen die in artikel 23, eerste lid, van de verordening zijn opgesomd. Het gaat daarbij om doelstellingen van algemeen belang, die hieronder nog nader aan de orde zullen komen. Het is aan de nationale wetgever en niet aan de verwerkingsverantwoordelijke om te bepalen of deze belangen aan de orde zijn, en zo ja of zij in het concrete geval een voldoende rechtvaardiging vormen voor verdere verwerking voor een niet-verenigbaar doel. De rechter kan in een individuele zaak waarin de grondslag voor de verdere verwerking wordt betwist, de desbetreffende nationaalrechtelijke bepaling toetsen aan artikel 6 van de verordening.

4.3 Bijzondere categorieën van persoonsgegevens

Een persoonsgegeven is niet alleen bijzonder wanneer het direct het desbetreffende bijzondere onderwerp onthult. Ook gegevens die indirect dergelijke informatie onthullen, worden aangemerkt als bijzondere categorieën van persoonsgegevens. Tot de bijzondere categorieën van persoonsgegevens moeten dus niet alleen gegevens worden gerekend die direct betrekking hebben op bijvoorbeeld het lidmaatschap van een vakbond als zodanig, maar ook gegevens waaruit iemands vakbondslidmaatschap indirect valt af te leiden. De administratie van een vakbond, met daarin namen en adressen van de leden, is daarvan een voorbeeld. Noodzakelijk is wel dat er een rechtstreeks verband is. Gegevens die hooguit een indicatie geven dat het om een gevoelig kenmerk zou kunnen gaan, vallen buiten de reikwijdte van de bijzondere regeling voor gevoelige gegevens.20

Artikel 9 van de verordening ziet op verwerking van bijzondere categorieën van persoonsgegevens. Deze regeling komt in de plaats van de regeling van afdeling III van de richtlijn. Tot de bijzondere categorieën van persoonsgegevens worden gerekend:

    • 1. 
      persoonsgegevens waaruit ras of etnische afkomst blijkt;
    • 2. 
      persoonsgegevens waaruit politieke opvattingen blijken;
    • 3. 
      persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
    • 4. 
      persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt;
    • 5. 
      genetische gegevens;
    • 6. 
      biometrische gegevens met het oog op de unieke identificatie van een persoon;
    • 7. 
      gegevens over gezondheid;
    • 8. 
      gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Nieuw ten opzichte van de richtlijn is het feit dat genetische gegevens, alsmede biometrische gegevens die worden verwerkt met het oog op de unieke identificatie van een persoon, ook zijn aangemerkt als bijzondere categorieën van persoonsgegevens. De verordening kent hiervoor rechtstreeks werkende definities.

Genetische gegevens zijn «persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon» (aldus artikel 4, onderdeel 13, van de verordening). Daarbij moet volgens overweging 34 van de verordening worden gedacht aan een chromosoomanalyse, een analyse van DNA of RNA of een analyse van andere elementen waarmee soortgelijke informatie kan worden verkregen.

Biometrische gegevens zijn door artikel 4, onderdeel 14, van de verordening als volgt gedefinieerd: «persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens». Daarbij is van belang dat volgens overweging 51 van de verordening de verwerking van foto's niet systematisch mag worden beschouwd als verwerking van bijzondere categorieën van persoonsgegevens. De context van de verwerking is in dezen relevant. Alleen onder bepaalde omstandigheden, bijvoorbeeld wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken, kunnen foto's worden aangemerkt als biometrische gegevens.

Nieuw ten opzichte van de Wbp is ook dat de strafrechtelijke gegevens niet gelden als een bijzondere categorie van persoonsgegevens, maar afzonderlijk zijn geregeld, in artikel 10 van de verordening. Ook nieuw ten opzichte van de Wbp is dat identificatienummers in de verordening en in de Uitvoeringswet niet aangemerkt worden als behorend tot de bijzondere categorieën van persoonsgegeven (zie ook paragraaf 4.10).

Schematisch kan de verhouding van «bijzondere persoonsgegevens» als bedoeld in de Wbp tot de nieuwe «bijzondere categorieën van persoonsgegevens» en de «persoonsgegevens van strafrechtelijke aard», bedoeld in artikel 9, eerste lid, onderscheidenlijk artikel 10 van de verordening, als volgt worden weergegeven:

Artikel 16 Wbp (bijzondere persoonsgegevens)

Artikel 9 AVG (bijzondere categorieën van persoonsgegevens)

Artikel 10 AVG (persoonsgegevens van strafrechtelijke aard)

persoonsgegevens betreffende iemands godsdienst of levensovertuiging

persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken

persoonsgegevens betreffende iemands ras

persoonsgegevens waaruit ras of etnische afkomst blijkt

persoonsgegevens betreffende iemands politieke gezindheid

persoonsgegevens waaruit politieke opvattingen blijken

persoonsgegevens betreffende iemands gezondheid

gegevens over gezondheid

persoonsgegevens betreffende iemands seksuele leven

gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid

persoonsgegevens betreffende het lidmaatschap van een vakvereniging

persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt

genetische gegevens

biometrische gegevens die worden verwerkt met het oog op de unieke identificatie van een persoon

strafrechtelijke persoonsgegevens

persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen1

persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag2

Noot 1

In het wetsvoorstel wordt deze categorie gedefinieerd als: persoonsgegevens van strafrechtelijke aard.

Noot 2

De in artikel 16 Wbp genoemde categorie «persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag» komt in de verordening niet voor. In artikel 1 van het wetsvoorstel wordt deze categorie ondergebracht in de definitie van persoonsgegevens van strafrechtelijke aard. Op de verwerking van deze gegevens is dus de regeling omtrent de verwerking van persoonsgegevens van strafrechtelijke aard van toepassing (artikel 31-33 van dit wetsvoorstel).

Uitgangspunt van de verordening blijft hetzelfde als onder richtlijn 95/46/EG i en de Wbp: de verwerking van bijzondere categorieën van persoonsgegevens is verboden, tenzij een van de limitatief opgesomde uitzonderingen zich voordoet. Ook de uitzonderingen in artikel 9, tweede lid, van de verordening komen in hoge mate overeen met de uitzonderingen in richtlijn 95/46/EG i. Verwerking van bijzondere categorieën van persoonsgegevens is niet verboden, wanneer:

    • a. 
      betrokkene toestemming heeft gegeven;
    • b. 
      de verwerking noodzakelijk is voor de uitvoering van verplichtingen en uitoefening van specifieke rechten op het gebied van het arbeidsrecht, het socialezekerheidsrecht en socialebeschermingsrecht;
    • c. 
      de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene;21
    • d. 
      de verwerking wordt verricht door een instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is;
    • e. 
      de gegevens door de betrokkene zelf reeds openbaar zijn gemaakt;
    • f. 
      de verwerking noodzakelijk is voor de instelling, uitoefening of verdediging van een rechtsvordering;
    • g. 
      de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, mits evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene;
    • h. 
      de verwerking noodzakelijk is voor doelen van preventieve geneeskunde of arbeidsgeneeskunde, voor beoordeling van arbeidsgeschiktheid, medische diagnosen, verstrekken van gezondheidszorg of sociale diensten, op grond van Unierecht of lidstatelijk recht, en onder voorwaarde dat de persoonsgegevens worden verwerkt door of onder verantwoordelijkheid van een beroepsbeoefenaar die aan het beroepsgeheim gebonden is of tot geheimhouding verplicht is (zie artikel 9, derde lid, van de verordening);
    • i. 
      de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim;
    • j. 
      de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen overeenkomstig artikel 89, eerste lid, van de verordening, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.

Het derde lid, van artikel 9 vult de uitzondering van onderdeel h nader in. Persoonsgegevens mogen worden verwerkt door of onder verantwoordelijkheid van een beroepsbeoefenaar die aan beroepsgeheim gebonden is of tot geheimhouding verplicht is of door een andere persoon die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehouden.

De uitzonderingen zijn uiteenlopend van rechtskarakter. Sommige uitzonderingen zijn rechtstreeks toepasselijk op basis van de verordening. Het gaat hier om de onderdelen a, c, d, e en f. Deze behoeven in beginsel geen omzetting in nationaal recht (hierna zal worden toegelicht waarom met betrekking tot de Uitvoeringswet een andere keuze is gemaakt) en kunnen direct de grondslag vormen voor het maken van een uitzondering op het verwerkingsverbod van bijzondere categorieën van persoonsgegevens. Voor andere uitzonderingen is een lidstatelijke rechtsbasis noodzakelijk, wil de uitzondering van toepassing zijn. Het gaat hier om de onderdelen b, g, h, i en j.

Ook al is er een uitzondering op het verbod om bijzondere categorieën van persoonsgegevens te verwerken van toepassing, dan moet er nog steeds een grondslag voor de gegevensverwerking worden gevonden in artikel 6 van de verordening, al kunnen in de praktijk de uitzonderingen samenvallen met een grond onder artikel 6. Ook zal vanzelfsprekend aan alle andere vereisten van de verordening moeten worden voldaan, wil er sprake zijn van een geoorloofde gegevensverwerking. Hier is bij uitstek sprake van een gelaagd systeem in de uitvoering van de verordening, dat hierboven reeds in zijn algemeenheid aan de orde is gekomen. De rechtsbasis om een uitzondering op het algemene verbod om categorieën van bijzondere persoonsgegevens te verwerken in lidstatelijk recht te maken, kan gelegen zijn in een sectorspecifieke wet, of in een van de meer algemene regelingen voor afwijking van het verbod in de Uitvoeringswet. Dit is vergelijkbaar met de huidige systematiek, waarbij in de Wbp een aantal zelfstandige gronden voor afwijking van het verbod op verwerking van bijzondere persoonsgegevens is opgenomen, maar ook een aantal bepalingen is opgenomen op grond waarvan bij wet mag worden afgeweken van dit verbod. Deze wettelijke bepalingen zijn vervolgens opgenomen in sectorspecifieke regelgeving.

Het uitgangspunt in de Uitvoeringswet is, zoals hiervoor al aangegeven, een beleidsneutrale implementatie ten aanzien van de bestaande situatie. Vanuit dat oogpunt wordt ernaar gestreefd om de bestaande mogelijkheden voor verwerking van bijzondere persoonsgegevens in de Wbp zoveel mogelijk te behouden. Alle bestaande uitzonderingen op het verbod van verwerking van bijzondere persoonsgegevens zijn immers om zwaarwegende maatschappelijke belangen opgenomen in de Wbp. Er is geen reden om hierin een andere afweging te maken, tenzij de verordening hiertoe noopt. De voorgestelde regeling sluit dan ook nauw aan bij de bestaande uitzonderingen in de Wbp. Vanwege het beleidsneutrale karakter worden in de Uitvoeringswet geen nieuwe uitzonderingen gecreëerd. Zo wordt bijvoorbeeld thans geen uitzondering gecreëerd die gebruik maakt van de ruimte die artikel 9, tweede lid, onderdeel i, van de verordening biedt om hier in nationaal recht nader in te vullen (zie voor een overzicht de tabel in hoofdstuk 8). Dat neemt niet weg dat te zijner tijd alsnog van een dergelijke mogelijkheid gebruik kan worden gemaakt.

Gelet op de uitbreiding van bijzondere categorieën van persoonsgegevens met genetische gegevens en biometrische gegevens, is het ook wenselijk om de mogelijkheden voor uitzondering op dit verbod in het lidstatelijk recht uit te breiden. Genetische gegevens werden onder de Wbp impliciet aangemerkt als bijzondere gegevens over gezondheid, waaraan in artikel 21, vierde lid, van de Wbp nadere eisen werden gesteld voor de verwerking. In de Uitvoeringswet zijn genetische gegevens expliciet opgenomen als aparte categorie naast gegevens over gezondheid, en zijn de specifieke voorwaarden voor verwerking van genetische gegevens gecontinueerd. Artikel 9, vierde lid, van de verordening biedt op dit punt ruimte voor het lidstatelijk recht.

Voor verwerking van biometrische gegevens met het oog op de unieke identificatie van een persoon is een specifieke bepaling opgenomen. Dit is noodzakelijk, nu deze verwerking in de toekomst onder het verbod op verwerking van bijzondere categorieën van persoonsgegevens zal vallen. Deze bepaling - artikel 29 - is nader toegelicht in het artikelsgewijze deel van deze memorie.

Uitgangspunt in het Unierecht is dat de rechtstreeks werkende bepalingen van een verordening niet in de nationale wetgeving mogen worden overgenomen («overschrijfverbod»). Hiervan uitgaande, zou de Uitvoeringswet uitsluitend de nationaalrechtelijke uitwerking van de niet rechtstreeks werkende uitzonderingen op het verwerkingsverbod voor bijzondere categorieën van persoonsgegevens mogen bevatten, maar niet het verbod zelf en de rechtstreeks werkende uitzonderingen. Dit zou evenwel leiden tot een verbrokkeling van de regelgeving en in ernstige mate afbreuk doen aan de samenhang, de begrijpelijkheid en het verkrijgen van een volledig en juist beeld van het regime van de bijzondere categorieën van persoonsgegevens. Daarom wordt in de Uitvoeringswet, onder verwijzing naar overweging 8 van de verordening22 en gelet op het grote belang van deze bepalingen voor burgers en verwerkingsverantwoordelijken, een uitzondering gemaakt op het overschrijfverbod, in die zin dat de rechtstreeks toepasselijke elementen van artikel 9 van de verordening in de Uitvoeringswet worden overgenomen. Waar dat is gebeurd, wordt in de Uitvoeringswet de zinsnede «overeenkomstig artikel x van de verordening» gebruikt. Waar de Uitvoeringswet een bepaling bevat die een uitwerking is van een niet rechtstreeks toepasselijke bepaling van de verordening, wordt de zinsnede «gelet op artikel x van de verordening» gebruikt.

Met inachtneming van het bovenstaande is de paragraaf over de bijzondere categorieën van persoonsgegevens (de artikelen 22 tot en met 30) als volgt opgebouwd:

    • In artikel 22, eerste lid, van de Uitvoeringswet is de hoofdregel van artikel 9, eerste lid, van de verordening overgenomen: het verwerken van bijzondere categorieën van persoonsgegevens is verboden. In artikel 22, tweede lid, zijn de rechtstreeks toepasselijke uitzonderingen op het verwerkingsverbod overgenomen (overeenkomstig artikel 9, tweede lid, onderdelen a, c, d, e en f, van de verordening).
    • De artikelen 23 en 24 van de Uitvoeringswet bevatten de algemene uitzonderingen die op alle bijzondere categorieën van persoonsgegevens van toepassing zijn. Deze bepalingen zijn een uitwerking van de niet rechtstreeks toepasselijke uitzonderingen, bedoeld in artikel 9, tweede lid, onderdelen g en j, van de verordening (zwaarwegend algemeen belang, onderscheidenlijk wetenschappelijk en historisch onderzoek en statistische doeleinden).
    • De artikelen 25 tot en met 30 van de Uitvoeringswet bevatten de specifieke uitzonderingen per categorie van persoonsgegevens als bedoeld in artikel 9, eerste lid, van de verordening en artikel 22, eerste lid, van de Uitvoeringswet, in de volgorde waarin die categorieën aldaar worden genoemd. Telkens wordt verwezen naar het van toepassing zijnde artikelonderdeel van de verordening waarop de uitzondering is gebaseerd.

De artikelsgewijze toelichting gaat uitgebreider in op de verschillende artikelen en hun rechtsbasis in de verordening. Daarbij is vastgehouden aan het uitgangspunt van de Wbp, waarbij steeds uitzonderingen voor specifieke categorieën persoonsgegevens zijn gegeven. De verordening staat niet in de weg aan het op deze wijze beperken van de mogelijkheden voor verwerking van bijzondere categorieën van persoonsgegevens. De hiervoor toegelichte systematiek heeft wel geleid tot een herschikking van de artikelen ten opzichte van overeenkomstige artikelen van de Wbp.

4.4 Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten

Artikel 10 van de verordening biedt ruimte om, binnen het domein van de verordening (dus daar waar geen sprake is van verwerking met het oogmerk opsporen en vervolgen), gegevens van strafrechtelijke aard te verwerken, mits dit geschiedt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen, die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Anders dan onder de Wbp worden persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten niet aangemerkt als bijzondere categorieën van persoonsgegevens.

De rechtstreeks werkende uitzonderingen op het verbod op verwerking van bijzondere categorieën van persoonsgegevens van artikel 9 van de verordening hebben derhalve geen betrekking op persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. Het gaat bij deze uitzonderingen bijvoorbeeld om verwerking van dergelijke gegevens op basis van toestemming, of verwerking van gegevens die door betrokkene zelf kennelijk openbaar zijn gemaakt.

In de Wbp worden persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten gekwalificeerd als bijzondere persoonsgegevens en gelden de algemene uitzonderingen van artikel 23 van de Wbp onverkort. Aldus is het onder de Wbp mogelijk om op basis van bijvoorbeeld toestemming dergelijke gegevens te verwerken. Er is geen aanleiding om hierin iets te wijzigen en de verordening biedt hiervoor ruimte aan de nationale wetgever (artikel 10 van de verordening).

In de artikelen 32 en 33 van de Uitvoeringswet wordt voorgesteld om aan deze ruimte invulling te geven door enerzijds het behouden van de algemene uitzonderingen van artikel 23 van de Wbp voor persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten, en anderzijds het bestaande artikel 22 van de Wbp inhoudelijk te handhaven. Effectief blijft hiermee de bestaande regelgeving gelden.

4.5 Geautomatiseerde individuele besluitvorming, waaronder profilering

Richtlijn 95/46/EG i en de Wbp kennen reeds een recht om niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft en dat louter wordt genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag, enz. te evalueren (artikel 42 van de Wbp).

De verordening kent een andere bepaling. Op grond van artikel 22 mag niemand worden onderworpen aan een besluit, uitsluitend gebaseerd op geautomatiseerde besluitvorming, waaronder profilering, dat rechtsgevolgen voor hem heeft, of hem in aanmerkelijke mate treft. Profilering en geautomatiseerde besluitvorming zijn op deze wijze in één artikel opgenomen in de verordening. Geautomatiseerde individuele besluitvorming is alleen aan de orde wanneer er sprake is van een besluit, waaraan rechtsgevolgen zijn verbonden, of dat betrokkene in aanmerkelijke mate treft. Het begrip «besluit» in de zin van deze verordening dient hierbij ruimer te worden gelezen dan het besluitbegrip uit de Awb: ook private partijen vallen onder de reikwijdte van deze bepaling wanneer ze gebruik maken van geautomatiseerde besluitvorming.

Artikel 22 van de verordening bevat geen algemeen verbod op profilering, noch een verbod op het gebruiken van geautomatiseerde besluitvorming als een onderdeel van besluitvorming. Het bepalen van bijvoorbeeld een risicoprofiel van een klant in het kader van het verstrekken van krediet met behulp van geautomatiseerde processen is op zichzelf niet verboden, zolang er sprake is van menselijke tussenkomst op enig moment in het proces. Het is namelijk wel verboden om betrokkene te onderwerpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit. Anders dan richtlijn 95/46/EG i en de Wbp spreekt de verordening van «geautomatiseerde besluitvorming, waaronder profilering», in plaats van «een besluit (...) op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid (...) te evalueren». De reikwijdte en bescherming van artikel 22 van de verordening is hiermee ruimer dan de equivalente bepaling onder richtlijn 95/46/EG i en de Wbp.

Overweging 71 van de verordening geeft een nadere duiding aan dit artikel. De kerngedachte achter het verbod in de verordening is dat niemand mag worden onderworpen aan de gevolgen van een besluit enkel en alleen op basis van kenmerken van een bepaalde groep waartoe hij of zij behoort. De ratio van deze bepaling is dat het in dit licht bijzonder kwetsbaar is om besluitvorming te baseren op enkele persoonskenmerken, zoals de automatische weigering van een online ingediende kredietaanvraag of van verwerking van sollicitaties via internet zonder menselijke tussenkomst. De negatieve kenmerken van een bepaalde groep worden op deze wijze immers tegengeworpen aan een individu, die deze kenmerken helemaal niet hoeft te hebben. In het bijzonder is geautomatiseerde besluitvorming, waaronder profilering, op basis van bijzondere categorieën van persoonsgegevens alleen toegestaan wanneer betrokkene toestemming heeft verleend of een zwaarwegend algemeen belang wordt gediend op basis van artikel 22, vierde lid, van de verordening.

Geautomatiseerde besluitvorming, waaronder profilering, is niet absoluut verboden. De verordening zelf kent verschillende uitzonderingen op het recht om niet te worden onderworpen aan uitsluitend geautomatiseerde besluitvorming, die rechtstreeks werken in de nationale rechtsorde. Dit recht geldt niet indien het besluit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke, en ook niet indien dit berust op de uitdrukkelijke toestemming van de betrokkene.

In de kern gaat het bij geautomatiseerde besluitvorming in het kader van een overeenkomst of op basis van toestemming om transparantie naar de betrokkene over de mate waarin geautomatiseerde besluitvorming een rol speelt bij de uitvoering van de overeenkomst. Betrokkene dient zich bij het aangaan van de overeenkomst bewust te zijn van het eventuele gebruik van geautomatiseerde besluitvorming en profilering bij de uitvoering van de overeenkomst. Als er, opnieuw in het voorbeeld van kredietverstrekking, gebruik wordt gemaakt van geautomatiseerde besluitvorming in het kader van behavioural scoring voor de behandeling bij achterstallige betalingen, is dat op grond van de verordening toegestaan, mits de betrokkene hiermee heeft ingestemd bij het aangaan van de overeenkomst.

Daarnaast biedt de verordening de ruimte om af te wijken wanneer dit is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepaling. Het is wenselijk om hiervan gebruik te maken. In de artikelsgewijze toelichting bij artikel 40 is de voorgestelde bepaling in de Uitvoeringswet nader toegelicht.

4.6 Beperkingen van de rechten van betrokkene en de meldplicht bij een inbreuk

Als hoofdregel zijn de rechten van betrokkene en de meldplicht bij een inbreuk in verband met persoonsgegevens van toepassing in alle situaties. Op grond van artikel 23 van de verordening kunnen echter uitzonderingen worden gemaakt op de rechten van betrokkene en op de meldplicht bij een inbreuk (kortheidshalve: het beperken van de rechten van betrokkene).

Artikel 23 van de verordening is een complex artikel. In het eerste lid worden verschillende, vrij generieke belangen genoemd ter waarborging waarvan de rechten van betrokkene kunnen worden beperkt. Kenmerkend voor deze belangen is dat in hoge mate onvoorzienbaar is wanneer zij moeten leiden tot een beperking van de rechten van betrokkene. Hoewel voorzienbaar is dat deze belangen aan de orde kunnen zijn, waar ook onder het huidige artikel 43 van de Wbp gebruik wordt gemaakt van de mogelijkheid om af te wijken van de in de Wbp gestelde bepalingen, is niet voorzienbaar in welke concrete gevallen deze belangen in de toekomst zullen spelen. Het tweede lid lijkt echter te indiceren dat op voorhand nauwkeurige grenzen te stellen zijn in wettelijke voorschriften over de situaties waarin deze belangen zich voordoen. Hiermee is een zekere spanning tussen beide artikelleden gegeven.

Dit heeft de vraag opgeworpen hoe deze bepaling het best uitgevoerd kan worden. Voorop staat dat het recht op bescherming van persoonsgegevens nimmer absoluut kan worden geformuleerd. Een samenleving kan niet functioneren wanneer niet onder bepaalde omstandigheden kan worden afgeweken van dit recht. Dit is een belangrijke achterliggende ratio van artikel 23 van de verordening. Tegelijkertijd zijn de in de verordening opgenomen rechten van de betrokkene en verplichting tot melding van een inbreuk belangrijke waarborgen voor bescherming van de persoonlijke levenssfeer, waarvan niet dan indien dit noodzakelijk is mag worden afgeweken.

In de uitvoering van artikel 23 van de verordening is opnieuw sprake van de gelaagdheid van regelgeving, die hierboven reeds is besproken: in sectorspecifieke regelingen kunnen specifieke voorschriften worden opgenomen waarin de rechten van betrokkene worden beperkt. Daarnaast is met artikel 41 in de Uitvoeringswet een algemene regeling opgenomen, op grond waarvan de verwerkingsverantwoordelijke zelf een belangenafweging kan maken inzake het afwijken van bepaalde rechten van de betrokkene indien dit noodzakelijk is met het oog op de in dat artikel genoemde algemene belangen.

Een voorbeeld van een sectorspecifieke regeling is te vinden in de Wet BRP, die een eigen systematiek kent voor beperking van de rechten van betrokkene. Deze beperkingen worden dwingend voorgeschreven, waardoor de verwerkingsverantwoordelijke hierin zelf geen afweging hoeft te maken, of zelfs mag maken, voor ieder individueel geval. Deze beperkingen zijn hiermee voorzienbaar voor de betrokkene. Een ander voorbeeld van deze categorische afwijking is het huidige artikel 34a, negende en elfde lid, van de Wbp, waarin een aantal specifieke uitzonderingen voor de meldplicht bij een inbreuk op de beveiliging zijn opgenomen. Ook dit is een structurele, categorische afwijking van de hoofdregel, waarvoor het niet opportuun is om de verwerkingsverantwoordelijke telkens zelf een afweging te laten maken. In de artikelsgewijze toelichting bij artikel 42 wordt nader ingegaan op het continueren van deze bepalingen.

Sectorspecifieke bepalingen zijn alleen mogelijk in een situatie waarin voorzienbaar is in welke situatie afwijking noodzakelijk is. Vaak is echter in hoge mate onvoorzienbaar in welke gevallen, en ten aanzien van welke gegevens het noodzakelijk is om af te wijken van de rechten van betrokkene. Hierom is het noodzakelijk om een generieke regeling op te nemen in de Uitvoeringswet, die ruimte biedt aan de praktijk om in de toekomst hierin een belangenafweging te maken.

In het huidige recht vervult artikel 43 van de Wbp deze belangrijke rol. Het artikel biedt in bijzondere omstandigheden, waarin de in artikel 23 van de verordening genoemde belangen in de weg staan aan een onverkorte uitoefening van de rechten van betrokkene, een verwerkingsverantwoordelijke de mogelijkheid om een belangenafweging te maken. Het artikel wordt in de praktijk op uiteenlopende terreinen toegepast. Het kan hier bijvoorbeeld gaan om het geen gehoor geven aan het verzoek van een betrokkene om zijn gegevens te wissen of te wijzigen, teneinde te voorkomen dat betrokkene hiermee sporen van crimineel gedrag wist. Een ander voorbeeld is dat het verstrekken van gegevens aan bijvoorbeeld de AIVD of het OM, hoewel het een verwerking van persoonsgegevens is, doorgaans niet aan betrokkene zelf kan worden gemeld zonder het belang van de nationale veiligheid of het belang van opsporing en vervolging te schaden.

In de Uitvoeringswet wordt hierom het hierboven al aangestipte artikel 41 voorgesteld dat voorziet in de mogelijkheid om uitzonderingen te maken op de rechten van betrokkene en de meldplicht bij een inbreuk, met het oog op de in artikel 23, eerste lid, van de verordening genoemde belangen. Deze bepaling is tot op zekere hoogte een equivalent van artikel 43 van de Wbp.

De vraag of in het concrete geval een uitzondering gerechtvaardigd is, zal door de verwerkingsverantwoordelijke zelf moeten worden afgewogen op grond van artikel 41 van de Uitvoeringswet. In dat opzicht wordt aangesloten bij artikel 43 van de Wbp. Het tweede lid van de voorgestelde bepaling in de Uitvoeringswet dwingt de verwerkingsverantwoordelijke ertoe om een zorgvuldige afweging te maken, door voor te schrijven met welke elementen van gegevensverwerkingen hij rekening moet houden. Hij zal van geval tot geval moeten bepalen op welke verplichting een uitzondering wordt gemaakt. Het is overigens niet zo dat alle elementen die worden genoemd in het tweede lid in alle gevallen, waarin deze belangenafweging gemaakt wordt aan de orde moeten komen. Het is primair aan de verwerkingsverantwoordelijke om te bepalen welke elementen in concrete gevallen relevant zijn om mee te wegen.

Gelet op het belang van de rechten van betrokkene, de meldplicht en de beginselen dienen verwerkingsverantwoordelijken alleen van de bevoegdheid om af te wijken gebruik te maken indien dit strikt noodzakelijk is en op proportionele wijze gebeurt. Net als onder artikel 43 van de Wbp geldt voor de toepasselijkheid van deze gronden dus een strikt noodzakelijkheidscriterium (vergelijk artikel 8, tweede lid, van het EVRM en artikel 52, eerste lid, van het Handvest). De bepaling biedt dus een mogelijkheid om alleen in individuele zaken af te wijken van de rechten die gelden op grond van de verordening, indien dit strikt noodzakelijk is met het oog op de in artikel 23 van de verordening genoemde belangen. Een categorische beperking van de rechten van betrokkene kan, wanneer dit noodzakelijk en evenredig is in een democratische samenleving, daarentegen niet op artikel 41 worden gebaseerd maar alleen eventueel in sectorspecifieke wetgeving worden opgenomen.

Ook toezichthouders die persoonsgegevens verzamelen in het kader van bestuursrechtelijk toezicht zullen in concrete gevallen een afweging moeten maken of in voorkomende gevallen afgeweken zal moeten worden van de rechten van betrokkene bij verwerking van persoonsgegevens. Het kan bijvoorbeeld zo zijn dat bij de verwerking van persoonsgegevens in het kader van toezicht een belangrijk economisch belang wordt gediend als bedoeld in artikel 41, eerste lid, onderdeel e, van de Uitvoeringswet. Het is allereerst aan de verwerkingsverantwoordelijke om deze belangenafweging te maken. In concrete gevallen kan de Autoriteit persoonsgegevens oordelen dat deze afweging onjuist is gemaakt, en de rechten van de betrokkene zijn geschonden. Uiteindelijk zal het, wanneer het oordeel van de Autoriteit persoonsgegevens wordt aangevochten, aan de rechter zijn om hier een finaal oordeel over te geven.

4.7 Vrijheid van meningsuiting en van informatie

Artikel 85 van de verordening bevat een specifieke bepaling met betrekking tot de verwerking van persoonsgegevens en de vrijheid van meningsuiting en van informatie. Op grond van het eerste lid zijn lidstaten verplicht om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met de vrijheid van meningsuiting en van informatie. De vrijheid van meningsuiting is verankerd in artikel 10 van het EVRM, artikel 19 van het IVBPR en artikel 7 van de Grondwet. Uit de jurisprudentie van het Europese Hof voor de Rechten van de Mens volgt dat de wetgever buitengewoon terughoudend dient te zijn met het stellen van beperkingen aan de vrijheid van meningsuiting, nu dit recht van wezenlijk belang is met het oog op het goed functioneren van een democratische samenleving.

Wanneer persoonsgegevens voor journalistieke doeleinden of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen worden verwerkt, kan er sprake zijn van een botsing tussen enerzijds het recht op bescherming van persoonsgegevens en anderzijds de vrijheid van meningsuiting en van informatie. Het is dan ook onwenselijk om de verordening onverkort van toepassing te laten zijn op journalistieke, academische, artistieke of literaire activiteiten. Op basis van het tweede lid van artikel 85, van de verordening zijn de lidstaten derhalve verplicht om te voorzien in uitzonderingen of afwijkingen van de verordening voor deze specifieke categorieën gegevensverwerkingen. Daarbij geldt het in de jurisprudentie bevestigde uitgangspunt dat er tussen grondrechten geen rangorde bestaat: in algemene zin heeft geen van beide rechten voorrang. Het is aan de nationale wetgever om af te wegen welke uitzonderingen moeten worden gecreëerd om de grondrechten met elkaar te verzoenen. In de artikelsgewijze toelichting bij artikel 43 wordt uitgebreid nader ingegaan op de wijze waarop aan deze bepaling invulling is gegeven.

4.8 Verwerkingen ten behoeve van wetenschappelijk of historisch onderzoek of met een statistisch oogmerk

Verwerkingen ten behoeve van wetenschappelijk of historisch onderzoek of met een statistisch oogmerk worden op meerdere plaatsen in de verordening geadresseerd.

Allereerst worden verdere verwerkingen ten behoeve van wetenschappelijk onderzoek niet als onverenigbaar beschouwd met het vereiste van doelbinding. Ook mogen persoonsgegevens ten behoeve van wetenschappelijk onderzoek langer worden opgeslagen, mits passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen (artikel 5, eerste lid, onderdeel b, onderscheidenlijk onderdeel e). Deze bepalingen werken rechtstreeks in de Nederlandse rechtsorde, en behoeven geen omzetting naar Nederlands recht.

Voor de verwerking van bijzondere categorieën van persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek of statistische doeleinden staan twee wegen open:

    • 1) 
      In de eerste plaats is verwerking mogelijk op basis van uitdrukkelijke toestemming van de betrokkene op grond van artikel 9, tweede lid, onderdeel a, van de verordening. Ten aanzien van verwerkingen van (bijzondere categorieën van) persoonsgegevens voor wetenschappelijk onderzoek geldt dat uitdrukkelijke toestemming van de betrokkenen een eigen, specifieke betekenis heeft. Overweging 33 geeft hierop een nadere toelichting. Het is vaak niet mogelijk op het ogenblik waarop de persoonsgegevens worden verzameld, het doel van de gegevensverwerking voor wetenschappelijke onderzoeksdoeleinden volledig te omschrijven. Daarom moet de betrokkene worden toegestaan toestemming te geven voor bepaalde terreinen van het wetenschappelijk onderzoek waarbij erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen. De betrokkene moet de gelegenheid krijgen om zijn toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel dit toelaat.
    • 2) 
      Indien de uitdrukkelijke toestemming van de betrokkene niet kan worden verkregen of een onevenredige inspanning kost, kan de verwerking alsnog plaatsvinden op grond van artikel 24 van de Uitvoeringswet (in geval van persoonsgegevens van strafrechtelijke aard: artikel 32, onderdeel f). In artikel 24 worden, naast het vereiste dat uitdrukkelijke toestemming onmogelijk of alleen met onevenredige inspanningen kan worden verkregen, cumulatief nog een drietal nadere voorwaarden gesteld: het onderzoek moet een algemeen belang dienen, de verwerking moet noodzakelijk zijn voor het wetenschappelijk of historisch onderzoek of het statistisch doel en tot slot moet bij de uitvoering worden voorzien in waarborgen die verzekeren dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Verder zal de verwerking vanzelfsprekend ook dienen te voldoen aan de overige van toepassing zijnde voorwaarden die door de verordening en door de Uitvoeringswet zijn gesteld.

Op grond van artikel 89, tweede lid, van de verordening kan worden afgeweken van een aantal in de verordening opgenomen rechten, te weten de artikelen 15, 16, 18 en 21. Ook van deze mogelijkheid is geclausuleerd gebruik gemaakt, overeenkomstig de bestaande bepaling van artikel 44, eerste lid, van de Wbp. Voor een verdere toelichting zij verwezen naar de artikelsgewijze toelichting bij artikel 44 van de Uitvoeringswet.

Daarnaast zijn er in de huidige wetgeving specifieke bepalingen inzake wetenschappelijk onderzoek in sectorspecifieke regelgeving neergelegd. Een voorbeeld hiervan is te vinden in artikel 458 van Boek 7 van het Burgerlijk Wetboek inzake statistiek of wetenschappelijk onderzoek op het gebied van de volksgezondheid. Deze bepaling kan ongewijzigd blijven bestaan.

In de consultatie is naar voren gekomen dat er enige onduidelijkheid is over de precieze afgrenzing van het begrip «verwerkingen ten behoeve van wetenschappelijk of historisch onderzoek of met een statistisch oogmerk». In overweging 159 is gesteld dat «voor de toepassing van deze verordening de verwerking van persoonsgegevens met het oog op wetenschappelijk onderzoek ruim moet worden opgevat en bijvoorbeeld technologische ontwikkeling en demonstratie, fundamenteel onderzoek, toegepast onderzoek en uit particuliere middelen gefinancierd onderzoek omvatten». Hiermee is in ieder geval uitgesloten dat het louter en alleen om publiek gefinancierd onderzoek zou gaan. Het begrip zal in de toekomst autonoom uitgelegd worden binnen de Europese rechtsorde, waardoor het niet aan de nationale wetgever is om hierin een definitief standpunt uit te dragen.

4.9 Archivering in het algemeen belang

De verordening kent een aantal specifieke uitzonderingen voor verwerking van persoonsgegevens met het oog op archivering in het algemeen belang. Een aantal uitzonderingen werkt rechtstreeks. Daarnaast bevat artikel 89, derde lid, een specifieke bepaling op grond waarvan bij lidstatelijk recht kan worden afgeweken van enkele voorschriften van de verordening. Het gaat hier om de mogelijkheid om af te wijken van de artikelen 15 (het recht op inzage), 16 (het recht op rectificatie), 18 (het recht op beperking van de verwerking), 19 (kennisgevingsplicht), 20 (het recht op overdraagbaarheid van de gegevens) en 21 (het recht van bezwaar).

Er is voor gekozen om op grond van artikel 89, derde lid, van de verordening een aantal uitzonderingen op te nemen in de Uitvoeringswet voor verwerking van persoonsgegevens die deel uitmaken van archiefbescheiden die berusten in een archiefbewaarplaats. Daarbij wordt aangesloten bij de begrippen zoals deze gedefinieerd zijn in de Archiefwet 1995. Voor een nadere toelichting bij deze bepaling zij verwezen naar de artikelsgewijze toelichting bij artikel 45.

4.10 Verwerking van het nationaal identificatienummer

Artikel 87 van de verordening geeft een grondslag om bij lidstatelijk recht specifieke voorwaarden te stellen aan de verwerking van een nationaal identificatienummer. Artikel 46 van de Uitvoeringswet regelt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens slechts gebruikt wordt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. In feite is dit een kapstokbepaling, op basis waarvan in andere wetten invulling kan worden gegeven aan dergelijke nummers.

Voor de overheid is het gebruik van een uniek persoonsnummer, het burgerservicenummer (BSN), geregeld in artikel 10 Wet algemene bepalingen burgerservicenummer (Wabb). Overheidsorganen kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak gebruikmaken van het BSN, zonder dat daarvoor nadere regelgeving vereist is.

Voor instellingen die geen beroep kunnen doen op artikel 10 Wabb dient het gebruik te zijn voorgeschreven in sectorale wetgeving. Zo geldt bijvoorbeeld voor de zorgsector de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (voorheen: Wet gebruik burgerservicenummer in de Zorg), en moeten banken het BSN gebruiken voor uitwisseling van gegevens met de Belastingdienst. Daarnaast zijn er andere identificerende nummers in gebruik, bijvoorbeeld het onderwijsnummer, dat overeenkomt met het BSN, tenzij de deelnemer geen BSN heeft.

In de praktijk bestaat soms de wens het BSN ook voor andere doelen te gebruiken dan ter uitvoering van de wet waarin het voorschrift over het nummer is opgenomen. Dit is alleen gerechtvaardigd als aan twee vereisten is voldaan. Ten eerste geldt het algemene vereiste dat persoonsgegevens alleen verder mogen worden verwerkt als dat verenigbaar is met de doeleinden waarvoor ze zijn verkregen. Ten tweede bepaalt artikel 46 van de Uitvoeringswet dat verwerking van persoonsnummers voor andere doeleinden dan de uitvoering van de betreffende wet alleen mogelijk is voor zover dat bij de wet is bepaald. Dit is een aanvullende eis op die van verenigbaarheid omdat het gebruik van persoonsnummers extra risico’s met zich kan brengen voor de bescherming van de persoonlijke levenssfeer, zoals bijvoorbeeld identiteitsfraude. Eventuele andere gebruiksdoelen dienen derhalve door de formele wetgever zelf te worden vastgesteld. Er komt ten aanzien van de verdere verwerking van het BSN geen eigen afweging toe aan de verwerkingsverantwoordelijke. Hiermee is in de Uitvoeringswet gebruik gemaakt van de nationale ruimte die de verordening biedt om specifieke voorwaarden te stellen aan de verwerking van een nationaal identificatienummer op grond van artikel 6, tweede lid, en 87 van de verordening.

Het BSN, een persoonsidentificerend nummer, wordt onder de verordening en in de Uitvoeringswet niet aangemerkt als bijzonder persoonsgegeven, anders dan wel werd aangenomen onder de Wbp, vanwege de plaatsing van artikel 24 van de Wbp in hoofdstuk 2, paragraaf 2, met het opschrift «De verwerking van bijzondere persoonsgegevens». Afgezien hiervan worden in de bepaling zoals deze was opgenomen in de Wbp, noch in sectorspecifieke voorschriften veranderingen voorgesteld ten aanzien van het verwerken van het BSN. De nu geldende regels voor verwerking van het BSN worden dus gecontinueerd.

4.11 Voorwaarden voor de toestemming van kinderen

Op basis van artikel 8 van de verordening geldt dat kinderen, jonger dan 16 jaar, toestemming moeten hebben om op het aanbod van diensten van de informatiemaatschappij in te gaan. Bij lidstatelijk recht kan worden voorzien in een lagere leeftijd, mits deze niet onder 13 jaar ligt. In de Wbp werd reeds de leeftijdsgrens van 16 jaar gehanteerd, en er is geen reden om hierin een andere afweging te maken. Hierom is in de Uitvoeringswet geen afwijkende leeftijdsgrens opgenomen. Ten overvloede zij hierbij opgemerkt dat dit alleen betrekking heeft op verwerking van gegevens op basis van toestemming. Over de nieuwe eisen die aan toestemming worden gesteld op grond van artikel 7 van de verordening zij verwezen naar de paragraaf 4.2.2.

  • 5. 
    Systematiek van de verordening

De verordening heeft, behalve gevolgen voor de wet- en regelgeving, vooral gevolgen voor personen en organisaties die persoonsgegevens verwerken (verwerkingsverantwoordelijken en verwerkers) en voor personen wier gegevens worden verwerkt (betrokkenen). Daarbij gaat het om (nieuwe) rechten en plichten en de gevolgen die de naleving ervan met zich meebrengt, bijvoorbeeld wijzigingen in de organisatie van een bedrijf of overheidsinstelling en de kosten die hiermee gepaard kunnen gaan.

Het is van belang te benadrukken dat die gevolgen rechtstreeks uit de verordening voortvloeien en niet uit de Uitvoeringswet. De Uitvoeringswet kan daar niets/weinig aan afdoen. De rechten en verplichtingen uit de verordening zullen rechtstreeks gelden en de interpretatie hiervan is aan de Autoriteit persoonsgegevens, aan de andere Europese toezichthoudende autoriteiten en uiteindelijk aan de nationale rechter en het Hof van Justitie van de EU. In het onderstaande kan dan ook geen definitieve uitleg gegeven worden over de precieze betekenis van de normen van de verordening, maar slechts een globale inleiding op de materie die de verordening regelt.

5.1 Algemeen, systematiek van de verordening

Evenals onder richtlijn 95/46/EG i en de Wbp is iedere verwerkingsverantwoordelijke zelf gehouden de materiële bepalingen van de verordening na te leven. Dit betekent dat voor wat betreft de naleving van de verordening ieder bestuursorgaan en bedrijf dat en iedere instelling of persoon die verwerkingsverantwoordelijke is, zelf verantwoordelijk is voor de naleving van de verplichtingen van de verordening.23 Het is dan ook allereerst aan de verwerkingsverantwoordelijke zelf om een interpretatie te geven van de in de verordening opgenomen verplichtingen met het oog op de naleving daarvan. Door de rechtstreekse werking van de bepalingen in de verordening, kan de nationale wetgever daar geen eindoordeel over geven.

In het onderstaande wordt niettemin, ter verheldering van de belangrijkste onderdelen van de verordening, een korte toelichting gegeven op de naar ons oordeel belangrijkste materiële verplichtingen van de verwerkingsverantwoordelijke en de rechten van betrokkene.

5.2 De belangrijkste materiële verplichtingen voor de verwerkingsverantwoordelijken onder de verordening

In het nieuwe regime wordt aan de verwerkingsverantwoordelijke meer transparantie en verantwoording gevraagd dan onder het huidige regime. Hoofdstuk IV van de verordening ziet op de verplichtingen van de verwerkingsverantwoordelijke en de verwerker. Afdeling 1 ziet op algemene verplichtingen van de verwerkingsverantwoordelijke en de verwerker. In artikel 24 van de verordening is in algemene bewoordingen vastgelegd dat de verwerkingsverantwoordelijke, rekening houdend met onder andere de aard, context, omvang en het doel van de verwerking, passende maatregelen treft om aan te tonen dat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd. Deze verantwoordelijkheid omvat, indien dit in verhouding staat tot de verwerkingsactiviteiten, een passend gegevensbeschermingsbeleid. Het aansluiten bij door de nationale autoriteit goedgekeurde gedragscodes is een element dat als invulling van de verplichting van het eerste lid kan worden gezien.

Artikel 24 van de verordening is te kwalificeren als een verplichting van de verwerkingsverantwoordelijke om passende maatregelen te treffen met het oog op het voldoen aan de vereisten van de verordening. Van organisaties wordt vereist dat ze de juiste technische en organisatorische maatregelen nemen om te voldoen aan de verplichtingen van de verordening en dit kunnen aantonen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen. Het risico moet worden bepaald op basis van een objectieve beoordeling en vastgesteld moet worden of de verwerking gepaard gaat met een risico of een hoog risico. Er vindt geen nadere algemene normstelling plaats over wanneer de verwerkingsverantwoordelijke heeft voldaan aan deze concrete verplichting. Dit zou, gelet op de diversiteit van gegevensverwerkingen niet doenlijk zijn. Specifieke sectorale gedragscodes, zoals die er nu al op een heel aantal terreinen zijn, zullen wel deze concrete normstelling kunnen bevatten. Artikel 26 van de verordening ziet op specifieke situaties, waarin er sprake is van meerdere verwerkingsverantwoordelijken.

5.2.1 Gegevensbescherming door ontwerp en door standaardinstelling

Artikel 25 van de verordening verplicht de verwerkingsverantwoordelijke om gegevensbescherming door ontwerp en door standaardinstellingen (bekend onder het Engelse begrip: privacy by design and by default) te hanteren als uitgangspunt voor gegevensverwerking. Dit is een zeer algemene verplichting, waarbij de verwerkingsverantwoordelijke aan de hand van een veelheid van verschillende aspecten een belangenafweging moet maken ten aanzien van de technische en organisatorische aspecten van gegevensverwerking. Privacy by design and by default betekent feitelijk dat de verwerkingsverantwoordelijke van het begin af aan overwegingen met betrekking tot de privacy betrekt bij het opstellen van nieuw beleid of het ontwerp van nieuwe systemen met betrekking tot de verwerking van persoonsgegevens. Deze verplichting is het best te begrijpen als een zorgplicht van de verwerkingsverantwoordelijke om een zo klein mogelijke inbreuk op de persoonlijke levenssfeer te realiseren bij verwerking van persoonsgegevens. Deze zorgplicht zal in verschillende contexten geconcretiseerd moeten worden, maar verschillende elementen worden al expliciet in de tekst van de verordening genoemd: pseudonimiseren en het inbouwen van waarborgen. Certificeringsmechanismes zijn bij uitstek door de verordening beoogd als een manier om aan te tonen dat hieraan is voldaan. Overweging 78 van de verordening biedt een verdere illustratie van hetgeen hier voor ogen staat.

5.2.2 Verwerkersovereenkomsten

Artikel 28 van de verordening ziet op de verhouding tussen de verwerkingsverantwoordelijke en de verwerker (in de Wbp: de bewerker). De verwerker is degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Het belangrijkste uitgangspunt is dat de verwerkingsverantwoordelijke enkel een beroep doet op verwerkers die voldoende waarborgen bieden dat de verwerking zal voldoen aan de vereisten van de verordening. Dit komt overeen met artikel 17, tweede lid, van richtlijn 95/46/EG i en artikel 14 van de Wbp. De uitvoering van de verwerkingen wordt geregeld in een overeenkomst of in een wettelijke regeling. Het derde lid van artikel 28 bevat een aantal vereisten aan deze overeenkomst. De dwingend voorgeschreven invulling van deze overeenkomst is nieuw ten opzichte van richtlijn 95/46/EG i en de Wbp. Tegelijkertijd liggen veel van deze elementen voor de hand en zullen deze ook nu al onderdeel zijn van verwerkingscontracten. Het gaat hier om bijvoorbeeld de omgang met de data bij beëindiging van de verwerking.

In de praktijk wordt op grote schaal gewerkt met verwerkers, ook door de overheid. De verwerkingscontracten die hierbij in de regel worden opgesteld, zullen, vanaf het moment van het van kracht worden van de verordening, moeten voldoen aan de vereisten van het derde lid. Op grond van het zevende lid kan de Commissie voor deze overeenkomsten modelcontractbepalingen opstellen op grond van de zogenoemde onderzoeksprocedure. Op grond van het achtste lid kan de toezichthoudende autoriteit ook modelcontractbepalingen opstellen.

Artikel 29 van de verordening bepaalt dat de verwerker en eenieder die onder gezag van de verwerkingsverantwoordelijke of de verwerker handelt en toegang heeft tot de persoonsgegevens, deze gegevens uitsluitend mag verwerken in opdracht van de verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen. Met andere woorden: eenieder die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, mag dat uitsluitend doen in diens opdracht. Dit artikel komt overeen met artikel 16 van richtlijn 95/46/EG i en artikel 12, eerste lid, van de Wbp.

5.2.3 Register van verwerkingsactiviteiten

Artikel 30, eerste lid, van de verordening bevat de verplichting voor alle verwerkingsverantwoordelijken om een register bij te houden van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Het eerste lid bevat voorts nadere vereisten aan de inhoud van dit register. Het tweede lid bevat voor de verwerker de verplichting om een register bij te houden van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Op grond van het vierde lid zijn de verwerkingsverantwoordelijke en de verwerker verplicht om het register desgevraagd ter beschikking te stellen aan de toezichthoudende autoriteit. De verplichtingen tot het bijhouden van een register gelden, op grond van het vijfde lid, niet voor een onderneming of een orgaan met minder dan 250 werknemers, tenzij (1) de verwerking waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkene of (2) indien er sprake is van een niet-incidentele verwerking of (3) indien er sprake is van verwerking van bijzondere categorieën persoonsgegevens of persoonsgegevens van, kort gezegd, strafrechtelijke aard. Aangezien veruit de meeste verwerkingen niet-incidenteel zijn, zal in de praktijk slechts in een beperkt aantal gevallen een beroep op deze uitzonering kunnen worden gedaan.

5.2.4 Beveiliging van de verwerking

Afdeling 2 van hoofdstuk IV van de verordening ziet op gegevensbeveiliging. Artikel 32 van de verordening bepaalt dat de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Hierbij houdt de verwerkingsverantwoordelijke rekening met de beschikbare technologie en de uitvoeringskosten en met de aard, context, omvang en doeleinden van de verwerking. De kernelementen van deze bepaling waren reeds onderwerp van artikel 17 van richtlijn 95/46/EG i en artikel 13 van de Wbp. Er zijn echter ook nieuwe elementen. Het derde lid noemt in dit verband opnieuw de aansluiting bij goedgekeurde gedragscodes en certificeringsmechanismes om aan te tonen dat deze vereisten worden nageleefd. Het vierde lid bepaalt dat de verwerkingsverantwoordelijke en de verwerker maatregelen treffen om ervoor te zorgen dat eenieder die handelt onder hun gezag en toegang heeft tot persoonsgegevens deze slechts verwerkt in opdracht van de verwerkingsverantwoordelijke, tenzij anders is voorgeschreven door de wet.

5.2.5 Meldplicht inbreuk in verband met persoonsgegevens

De artikelen 33 en 34 van de verordening bevatten de in het normale spraakgebruik bekend staande «meldplicht datalekken», de verplichting tot melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit en de betrokkene. Een algemene meldplicht geldt in Nederland vanaf 1 januari 2016 en is op genomen in artikel 34a van de Wbp. Daarnaast kennen de Telecommunicatiewet en de Wet op het financieel toezicht (Wft) specifieke meldingsplichten. De Autoriteit persoonsgegevens heeft beleidsregels opgesteld over deze meldplicht.24 Hierin worden ook verschillende voorbeelden genoemd.25 In feite gaat het in de verordening, evenals onder de huidige Wbp, om twee verschillende meldplichten: er is een meldplicht aan de toezichthoudende autoriteit en een meldplicht aan de betrokkene wiens persoonsgegevens het betreft.

Artikel 33 van de verordening ziet op de melding van de inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit. Het eerste lid omschrijft de meldplicht nader. Een inbreuk in verband met persoonsgegevens moet altijd gemeld worden, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De melding dient plaats te vinden uiterlijk 72 uur nadat de verwerkingsverantwoordelijke van de inbreuk kennis heeft genomen. Het tweede, derde en vierde lid bevatten nadere vereisten aan de melding. Het vijfde lid bevat de verplichting tot documentatie van de inbreuken in verband met persoonsgegevens door de verwerkingsverantwoordelijke zelf.

Artikel 34 van de verordening bevat de verplichting om inbreuken te melden aan de betrokkene zelf, wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Op grond van het eerste lid dient de melding onverwijld te geschieden. Het tweede lid stelt nadere inhoudelijke eisen aan de mededeling. Het derde lid bevat de uitzonderingen op het eerste lid. Een melding is niet vereist wanneer:

    • a) 
      de gegevens versleuteld zijn of op een andere wijze onbegrijpelijk zijn gemaakt,
    • b) 
      de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen waardoor het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen,
    • c) 
      het een groot aantal betrokken gevallen betreft, waardoor de melding onevenredig veel moeite zou kosten en waarbij een openbare mededeling kan volstaan, of
    • d) 
      melding afbreuk zou doen aan een zwaarwegend belang (artikel 41 van de Uitvoeringswet).

Het is dus naast artikel 34 van de verordening van belang dat artikel 41 van de Uitvoeringswet in samenhang met artikel 23 van de verordening voorziet in de mogelijkheid om de plicht om te melden aan betrokkene te beperken. Hierop is hierboven reeds ingegaan en tevens zij verwezen naar de artikelsgewijze toelichting bij artikel 41 en 42 van de Uitvoeringswet.

Een belangrijk verschil ten opzichte van de bestaande meldplichten datalekken in artikel 34a van de Wbp is dat onder de Wbp geen algemene uitzondering is opgenomen op de meldplicht aan de Autoriteit persoonsgegevens. De Wbp kent slechts, in artikel 34a, zesde lid, een algemene uitzondering op de meldplicht aan betrokkene. De verordening kent een uitzondering op de meldplicht aan de toezichthoudende autoriteit, wanneer het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

5.2.6 Gegevensbeschermingseffectbeoordeling

Afdeling 3 van hoofdstuk IV van de verordening gaat over de gegevensbeschermingseffectbeoordeling (ook bekend onder de Engelse term privacy impact assessment, afgekort PIA, of data protection impact assessment, afgekort DPIA) en voorafgaande raadpleging van de toezichthoudende autoriteit. Deze bepalingen zijn nieuw ten opzichte van de bestaande regelgeving, maar niet geheel onbekend: sinds 1 september 2013 is het uitvoeren van een PIA bij ontwikkeling van nieuwe wetgeving en systemen die zien op de verwerking van persoonsgegevens verplicht voor de rijksoverheid.26 Recent heeft het kabinet een aangepast model PIA Rijksdienst vastgesteld, dat rekening houdt met de AVG.27 De PIA zal onder de verordening echter gelden als een verplichting die geldt voor zowel de rijksoverheid, de decentrale overheden als voor het bedrijfsleven.

Artikel 35, eerste lid, van de verordening bepaalt wanneer een PIA noodzakelijk is, namelijk wanneer een verwerking, in het bijzonder als nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Het derde lid geeft een nadere specificatie van deze norm door een drietal situaties te benoemen waarin een PIA in elk geval is voorgeschreven:

    • a) 
      bij systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen met het oog op het nemen van besluiten gebaseerd op geautomatiseerde verwerkingen, waaronder profilering;
    • b) 
      bij grootschalige verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafrechtelijke feiten;
    • c) 
      bij stelselmatige en grootschalige bewaking van openbaar toegankelijke ruimten.

Het blijft evenwel een abstracte normstelling, die in belangrijke mate door de verwerkingsverantwoordelijke zelf geïnterpreteerd zal moeten worden. De toezichthoudende autoriteit zal, op grond van het vierde lid, in ieder geval een lijst openbaar maken van het soort verwerkingen waarvoor een PIA noodzakelijk is. Op grond van het vijfde lid kan de toezichthoudende autoriteit ook een lijst opstellen van het soort verwerkingen waarvoor geen PIA vereist is. Voor de rijksoverheid is aandacht besteed aan de vraag wanneer een PIA is vereist in het aangepaste model PIA Rijksdienst. Daarvoor geldt dat niet alleen voor voorgenomen verwerkingen die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van betrokkenen een PIA vereist is (conform de eis in de verordening), maar dat ook een PIA moet worden uitgevoerd bij de ontwikkeling van beleid en regelgeving die betrekking hebben op verwerkingen van persoonsgegevens of waaruit verwerkingen van persoonsgegevens voortvloeien.28 Het opstellen van een PIA is dus een standaard onderdeel bij de voorbereiding van dergelijke wet- en regelgeving, waaronder ook algemene maatregelen van bestuur.

Het zevende lid benoemt de inhoudelijke aspecten die in een PIA aan de orde moeten komen. Het gaat hier om zaken als een systematische beschrijving van de beoogde verwerkingen en verwerkingsdoeleinden, een inschatting van de risico's en beoogde maatregelen om het risico te reduceren. Op grond van het negende lid mogen ook betrokkenen of hun vertegenwoordigers worden gevraagd naar hun mening.

Artikel 36 van de verordening ziet op de voorafgaande raadpleging van de toezichthoudende autoriteit. Wanneer de uitkomst van de PIA is dat er sprake is van een hoog risico wanneer de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de verwerkingsverantwoordelijke de toezichthoudende autoriteit voorafgaand aan de verwerking. Als de toezichthouder van oordeel is dat de voorgenomen verwerking niet aan de verordening zal voldoen, geeft zij een schriftelijk advies binnen acht weken na het verzoek om raadpleging. Overweging 94 van de verordening stelt hierover: «Het uitblijven van een reactie van de toezichthoudende autoriteit binnen die termijn dient evenwel een optreden van de toezichthoudende autoriteit overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder meer de bevoegdheid om verwerkingen te verbieden.»

Op grond van artikel 36, vierde lid, van de verordening wordt de toezichthoudende autoriteit geraadpleegd bij het opstellen van formele wetgeving en de daarop gebaseerde regelgeving in verband met verwerking. Het vijfde lid biedt de mogelijkheid om bij nationale wet meer gevallen aan te wijzen waarin de toezichthouder dient te worden geraadpleegd door verwerkingsverantwoordelijken en om voorafgaande toestemming dient te worden verzocht.

5.2.7 Functionaris voor gegevensbescherming

Afdeling 4 ziet op de positie van de functionaris voor gegevensbescherming (FG). De functionaris gegevensbescherming is geen onbekend fenomeen onder de oorspronkelijke richtlijn 95/46/EG i en de Wbp: in de artikelen 62 tot en met 64 van de Wbp was reeds een regeling opgenomen voor de FG. Desalniettemin verandert er op dit punt het nodige.

Artikel 37 ziet op de aanwijzing van de FG. Het aanwijzen van een FG is op grond van het eerste lid een bevoegdheid van de verwerkingsverantwoordelijke en de verwerker zelf. Nieuw ten opzichte van de bestaande wetgeving is dat het aanwijzen van een FG verplicht is in een aantal gevallen:

    • wanneer de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan,
    • wanneer de verwerkingsverantwoordelijk of de verwerker hoofdzakelijk is belast met verwerkingen die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vergen, of
    • wanneer de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk belast is met grootschalige verwerking van bijzondere categorieën van persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 van de verordening.

Iedere overheidsinstantie die persoonsgegevens verwerkt, zal derhalve een FG moeten aanstellen. Een groep van ondernemingen kan één FG benoemen. Dit komt ook nu al voor in de praktijk. Ook bij de overheid kan één FG worden aangesteld bij verschillende instanties of organen. De overige leden van artikel 37 van de verordening geven enkele specifieke regelingen omtrent aanwijzing en ontslag van de functionaris. Op grond van het vijfde lid wordt de FG aangewezen op grond van zijn professionele kwaliteiten, met name de deskundigheid op het gebied van de wetgeving en praktijk inzake gegevensbescherming. De FG kan een personeelslid zijn van de verwerkingsverantwoordelijke of verwerker, of zijn taken op grond van een dienstverleningsovereenkomst verrichten (zesde lid). Het zevende lid bepaalt dat de contactgegevens van de FG worden meegedeeld aan de toezichthoudende autoriteit.

Artikel 38 geeft enkele bijzonderheden over de positie van de FG. De verwerkingsverantwoordelijke en verwerker hebben een algemene zorgplicht om de FG tijdig en naar behoren te betrekken bij alle aangelegenheden inzake bescherming van persoonsgegevens. Op grond van het tweede lid dienen de verwerkingsverantwoordelijke en de verwerker de FG te ondersteunen bij de uitvoering van zijn taken, en hem hiertoe ook, voor zover noodzakelijk, toegang tot de gegevens te verschaffen en de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken. Het derde lid is in het bijzonder van belang voor de onafhankelijkheid van de FG. De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de FG de taken onafhankelijk kan vervullen en geen instructies ontvangt. Het zesde lid verplicht de verwerkingsverantwoordelijke of de verwerker om te voorkomen dat de eventuele andere taken en plichten die een FG vervult tot een belangenconflict leiden.

Artikel 39 van de verordening regelt de taken van de FG. Hieronder vallen onder andere de taak om verwerkingsverantwoordelijke en verwerker te adviseren over hun verplichtingen, toe te zien op de uitvoering daarvan, toe te zien op de naleving van de verordening en ook op te treden als contactpersoon met de toezichthoudende autoriteit.

Buiten de voorgeschreven bepalingen van de verordening is er een zekere mate van flexibiliteit ten aanzien van de keuze voor de FG. Het is geen vereiste dat de betrokkene een werknemer is van de verwerkingsverantwoordelijke, want artikel 37, zesde lid, bepaalt dat het ook mogelijk is een FG in te huren via een dienstverleningsovereenkomst. Het is denkbaar dat meerdere verwerkingsverantwoordelijken gezamenlijk één FG aanwijzen. Zeker voor kleinere overheidsorganisaties, die slechts in beperkte mate persoonsgegevens verwerken, is dit een mogelijkheid. De FG kan ook in deeltijd worden aangesteld, als dat op basis van bijvoorbeeld de aard van de organisatie en de verwerkingen die worden uitgevoerd, verantwoord is. Wanneer de FG echter naast zijn werkzaamheden als FG nog andere werkzaamheden vervult, dan is het wel zaak om zijn onafhankelijkheid in de uitoefening van de FG-taken goed te borgen.

De FG is (in de regel) geen toezichthouder in de zin van de Awb. Aan de FG zijn op grond van de verordening wel taken toebedeeld, en een bijzondere positie ten opzichte van de verwerkingsverantwoordelijke en de verwerker, maar geen formele bevoegdheden op basis van de verordening of op basis van nationale wetgeving. Titel 5.2 van de Awb is nadrukkelijk geschreven voor externe toezichthouders, die onder verantwoordelijkheid van een bestuursorgaan werken, terwijl de FG een interne adviseur en toezichthouder is, die daarenboven niet noodzakelijkerwijs werkt onder verantwoordelijkheid van een bestuursorgaan.

5.2.8 Doorgiften van persoonsgegevens aan derde landen of internationale organisaties

Hoofdstuk V van de verordening ziet op verkeer van persoonsgegevens van en naar landen buiten de Europese Unie en internationale organisaties. Het uitgangspunt van de verordening is dat persoonsgegevens slechts mogen worden doorgegeven wanneer, onder voorbehoud van de andere bepalingen van de verordening, de bepalingen van hoofdstuk V worden nageleefd.

Voor de volledigheid kan hier nog worden opgemerkt dat, als persoonsgegevens vanuit Europees Nederland aan Caribisch Nederland (en de andere landen binnen het Koninkrijk) worden verstrekt, de regeling omtrent doorgifte aan derde landen van toepassing is (net als bij het verstrekken van gegevens aan derde landen die geen onderdeel zijn van het Koninkrijk). Dit gebeurt in voorkomende gevallen: bijvoorbeeld artikel 3.12 van de Wet basisregistratie personen jo. artikel 43 van het Besluit basisregistratie personen geeft een wettelijke basis voor een regeling omtrent verstrekking van algemene en administratieve gegevens voor de verwerking van gegevens in een basisadministratie

In artikel 45 van de verordening is geregeld dat de Commissie kan besluiten dat een derde land, een gebied of een sector in een derde land, of een internationale organisatie een passend niveau van gegevensbescherming biedt. Bij een dergelijk «adequaatheidsbesluit» van de Commissie mogen persoonsgegevens worden doorgegeven zonder dat verdere toestemming noodzakelijk is.

Artikel 46 van de verordening bepaalt dat, bij ontstentenis van een adequaatheidsbesluit, doorgifte van persoonsgegevens geoorloofd is wanneer een derde land of een internationale organisatie passende waarborgen biedt en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken, bijvoorbeeld op basis van bindende bedrijfsvoorschriften of juridisch bindende en afdwingbare instrumenten tussen overheidsinstanties.

Indien er geen adequaatheidsbesluit is genomen door de Commissie, en er is evenmin sprake van passende waarborgen, dan zijn doorgiften van persoonsgegevens op grond van artikel 49 van de verordening enkel toegestaan in bepaalde, limitatief opgesomde uitzonderingsgevallen. Deze uitzonderingsgevallen komen grotendeels overeen met het bepaalde in artikel 77, eerste lid, van de Wbp. Artikel 77, tweede lid, van de Wbp kent echter een voorziening, indien de toegestane uitzonderingsgronden ontoereikend blijken. In dat geval kan de Minister een vergunning voor doorgifte of een categorie doorgiften van persoonsgegevens verlenen, mits aan die vergunning nadere voorschriften worden verbonden ter bescherming van de persoonlijke levenssfeer of de fundamentele rechten en vrijheden van personen. De verordening biedt echter geen ruimte voor een dergelijke bevoegdheid voor de Minister voor Rechtsbescherming. In plaats daarvan is in de verordening de rol van de Autoriteit persoonsgegevens ten aanzien van doorgiften van persoonsgegevens verstevigd. Zo kunnen ook andere passende waarborgen worden genomen, mits de Autoriteit persoonsgegevens op grond van artikel 46, derde lid, daar toestemming voor verleent aan de verwerkingsverantwoordelijke.

5.3 De rechten van betrokkene

Net als de verplichtingen voor de verwerkingsverantwoordelijke worden de rechten van betrokkene rechtstreeks bepaald door de verordening. Het is dus niet de uitvoeringswet waar de betrokkene zijn rechten aan ontleent. De huidige nationale bepalingen met betrekking tot de rechten van betrokkene in de Wbp worden geschrapt. Inzake de uitzonderingen op de rechten van betrokkene heeft de Nederlandse wetgever ruimte voor enkele nationale keuzes. Deze zijn hierboven reeds aan de orde gekomen.

In hoofdstuk III van de verordening staan de rechten van de betrokkene centraal. De rechten van betrokkene zijn op een aantal punten uitgebreid en versterkt ten opzichte van richtlijn 95/46/EG i.

5.3.1 Transparantie

Allereerst speelt transparantie van gegevensverwerking, hierboven al genoemd als een van de centrale beginselen, een belangrijke rol. In artikel 12, eerste lid is een algemene zorgplicht opgenomen voor de verwerkingsverantwoordelijke om passende maatregelen te nemen opdat betrokkene de informatie ontvangt in begrijpelijke vorm. In het derde lid is opgenomen dat betrokkene de door hem verzochte informatie zonder onredelijke vertraging ontvangt en uiterlijk binnen een maand. Het vierde lid bevat een voorziening voor als de verwerkingsverantwoordelijke geen gevolg aan het verzoek geeft. Het vijfde lid bepaalt dat de informatie kosteloos moet worden verstrekt.

De artikelen 13 en 14 bevatten verplichtingen tot het verstrekken van informatie aan betrokkene. Deze artikelen komen in grote lijnen overeen met de artikelen 10 en 11 van richtlijn 95/46/EG i en de artikelen 33 en 34 van de Wbp.

5.3.2 Verstrekking van gegevens en rectificatie

In artikel 13 is de verplichting tot het verstrekken van gegevens aan de betrokkene opgenomen wanneer gegevens van de betrokkene worden verkregen. In ieder geval wordt informatie verstrekt over de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke en de doeleinden van de verwerking waarvoor de persoonsgegevens zijn bestemd, alsmede de rechtsgrondslag van de verwerking. Het tweede lid bevat de verplichting aanvullende informatie te verstrekken die nodig is om een eerlijke en transparante verwerking te garanderen. Het verstrekken van deze informatie is een afweging van de verwerkingsverantwoordelijke zelf, maar betrokkene kan wel een klacht indienen over een gebrek aan transparantie. Een belangrijk verschil ten opzichte van artikel 33 van de Wbp is dat de rechtsgrondslag van de verwerking expliciet moet worden vermeld.

Artikel 14 bevat de verplichting tot het verstrekken van gegevens aan de betrokkene wanneer gegevens niet van de betrokkene zijn verkregen. De inhoud van de informatieplicht is in grote mate gelijkluidend. Een verschil ten opzichte van artikel 13 is dat ook de bron van de gegevens (tweede lid, onderdeel f) moet worden gemeld. Het vijfde lid bevat uitzonderingen op de informatieplicht.

Artikel 15 van de verordening voorziet in een recht van inzage van de betrokkene. Betrokkene heeft het recht om met redelijke tussenpozen kosteloos uitsluitsel van de voor de verwerking verantwoordelijke te verkrijgen over het al dan niet verwerken van hem betreffende gegevens en, wanneer zijn gegevens worden verwerkt, het recht op toegang tot de gegevens en specifieke, in de verordening opgenomen informatie. Deze bepaling komt in hoge mate overeen met artikel 12, onderdeel a, van de oorspronkelijke richtlijn 95/46/EG i en artikel 35 van de Wbp.

Artikel 16 bevat het recht van rectificatie. Betrokkene heeft het recht op rectificatie van hem betreffende, onjuiste persoonsgegevens. Deze bepaling komt in hoge mate overeen met artikel 12, onderdeel b van richtlijn 95/46/EG i en artikel 36 van de Wbp.

5.3.3 Het recht op vergetelheid, beperking van de verwerking en kennisgevingsplicht

Artikel 17 van de verordening bevat het recht op het wissen van gegevens en het recht op vergetelheid. Het recht op het wissen van gegevens was reeds onderdeel van artikel 12, onderdeel b van de oorspronkelijke richtlijn 95/46/EG i en van artikel 36 van de Wbp. Het eerste lid, van artikel 17, van de verordening bevat de voorwaarden waaronder de verwerkingsverantwoordelijke gehouden is om de gegevens te wissen. Niet langer is hierbij een vereiste dat de gegevens feitelijk onjuist zijn, of onvolledig of niet ter zake dienend zijn. Voldoende is dat een van de in het eerste lid opgenomen gronden zich voordoet. Het kan hier simpelweg gaan om bezwaar van betrokkene tegen de verwerking van persoonsgegevens zonder dat er prevalerende gerechtvaardigde gronden voor de verwerking zijn. Waar onder richtlijn 95/46/EG i met name de «objectieve» onjuistheid van de gegevens reden kunnen zijn voor rectificatie, uitwissing of afscherming, staat in de verordening de subjectieve wens van betrokkene centraal.

Het expliciete recht om vergeten te worden is, hoewel in lijn met doel en kernwaarden van richtlijn 95/46/EG i, als zodanig een nieuw element in de verordening, dat ontleend is aan jurisprudentie van het HvJ EU.29

Artikel 18 van de verordening bepaalt de voorwaarden waaronder betrokkene beperking van de verwerking van zijn persoonsgegevens kan krijgen. Wanneer de verwerking van persoonsgegevens is beperkt, kunnen deze gegevens slechts (weer) worden verwerkt met toestemming van de betrokkene of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat.

Artikel 19 van de verordening bevat de zogenaamde kennisgevingsplicht inzake rectificatie, wissen of beperking. De voor de verwerking verantwoordelijke stelt, voor zover mogelijk en dit niet onevenredig veel inspanning vergt, iedere ontvanger aan wie gegevens zijn verstrekt op de hoogte wanneer gegevens worden gerectificeerd of gewist of de verwerking wordt beperkt. Dit komt overeen met artikel 12, onderdeel c van de oorspronkelijke richtlijn 95/46/EG i en artikel 38 van de Wbp.

5.3.4 Het recht op dataportabiliteit

Artikel 20 bevat het recht van betrokkene om de hem betreffende persoonsgegevens in een gestructureerd, algemeen gebruikt en machinaal leesbaar formaat te verkrijgen, en de voorwaarden waaronder dit recht kan worden uitgevoerd.

5.3.5 Het recht van bezwaar tegen de verwerking

Artikel 21 van de verordening bevat het recht van bezwaar. Op grote lijnen komt deze regeling overeen met artikel 14 van richtlijn 95/46/EG i, die overigens spreekt over een recht van verzet, en artikel 40 en 41 van de Wbp. Betrokkene heeft het recht om bezwaar te maken tegen de verwerking van hem of haar betreffende persoonsgegevens indien de verwerking berust op artikel 6, eerste lid, onderdelen e of f, van de verordening. De voor verwerking verantwoordelijke staakt de verwerking van de persoonsgegevens, tenzij de voor de verwerking verantwoordelijke dwingende wettige redenen voor de verwerking aanvoert die prevaleren boven de belangen, rechten en vrijheden van de betrokkene.

Op artikel 22 van de verordening, dat ziet op geautomatiseerde individuele besluitvorming, waaronder profilering, is hierboven reeds uitgebreid ingegaan.

  • 6. 
    Uitvoeringsgevolgen van de verordening voor de rijksoverheid en decentrale overheden, financiële gevolgen, regeldruk en uitvoeringslasten

6.1 Financiële gevolgen voor de Autoriteit persoonsgegevens

In het Algemeen Overleg Privacy van 18 mei 201630 heeft de toenmalige Minister van Veiligheid en Justitie aan de Tweede Kamer toegezegd om, in goed onderling overleg en op objectieve wijze, de implicaties van de inwerkingtreding van de nieuwe Algemene verordening gegevensbescherming voor de capaciteit en het budget van de Autoriteit persoonsgegevens in kaart te brengen. Bij brief van 2 september 2016 heeft hij de Tweede Kamer nader geïnformeerd over de door de Autoriteit persoonsgegevens aan het adviesbureau Andersson Elffers Felix (AEF) verleende onderzoeksopdracht, waarmee onder andere de consequenties van de inwerkingtreding van de verordening op de benodigde capaciteit en het budget van de Autoriteit persoonsgegevens in kaart zouden worden gebracht.31 Het rapport is bij brief aan de Tweede Kamer aangeboden.32

AEF heeft de consequenties van de verordening uitgewerkt in drie scenario’s voor het verwachte extra budget - bovenop het huidige budget van € 7,7 mln. structureel - te weten: scenario laag € 12 mln., scenario midden € 16 mln. en scenario hoog € 22 mln.

Het rapport geeft een eerste inschatting van de financiële consequenties die gemoeid zijn met de implementatie van de verordening. Echter, voor het merendeel van de in kaart gebrachte werkprocessen/taken is een nadere uitwerking aan de hand van monitoringsafspraken noodzakelijk om de precieze gevolgen voor budget en capaciteit in kaart te brengen. Kwantificering van de toekomstige verandering in volumes en werklast is lastig in te schatten omdat een historie ontbreekt. Zo is het verwachte aantal klachten en de daaruit voortvloeiende bezwaar- en beroepsprocedures - een bepalende factor voor de benodigde capaciteit/het budget van de Autoriteit persoonsgegevens - door het ontbreken van historische gegevens onzeker. Daarnaast is de vormgeving van de samenwerking van de Europese toezichthouders onder de verordening nog volop in ontwikkeling en het daarmee gemoeide capaciteitsbeslag op de Autoriteit persoonsgegevens eveneens zeer lastig in te schatten. Ook het zogenaamd «systeemtoezicht» waarmee de ondertoezichtgestelde (mede) verantwoordelijk wordt gemaakt voor het naleven en bewaken van de norm is nog in een pril stadium en zal de komende periode nader moeten worden uitgewerkt. Wanneer de bekendheid met de normen en de kwaliteit van zelfregulerende kwaliteitsborg- en risicobeheersingssystemen in een specifiek domein op orde is, vergroot dat de compliance en vermindert het de noodzaak tot het inzetten van instrumenten van het klassieke toezicht door de Autoriteit persoonsgegevens.

Vanwege het onzekere karakter van de in het AEF-rapport geschatte meerlasten, is er gekozen voor de uitbreiding van de Autoriteit persoonsgegevens, zoals nu voorzien, met € 7 mln. bovenop het huidige budget. Dit biedt de Autoriteit persoonsgegevens een solide basis voor de implementatie van de verordening. Afhankelijk van de realisatiecijfers van de Autoriteit persoonsgegevens is het mogelijk dat het benodigde bedrag lager of hoger dan € 7 mln. uitvalt. Deze ontwikkeling wordt samen met de Autoriteit persoonsgegevens zorgvuldig gemonitord. Mocht er op basis van deze monitoring verdere uitbreiding noodzakelijk blijken dan zal hierover een gesprek met de Autoriteit persoonsgegevens gevoerd worden. Besluitvorming over eventuele meerkosten, waarbij mede zal worden gekeken naar de oorzaken van de benodigde uitbreiding, maakt vervolgens deel uit van het reguliere begrotingsproces conform regels budgetdiscipline.

Dit laat zich vertalen in onderstaande reeks voor de jaren 2018 - 2022:

Budget

2018

2019

2020

2021

2021

Huidig

7.7

7.7

7.7

7.7

7.7

Extra

5

7

7

7

7

Totaal

12,7

14,7

14,7

14,7

14,7

Daarnaast is in 2017 € 1 mln. beschikbaar ten behoeve van incidentele transitiekosten van de Autoriteit persoonsgegevens.

6.2 Regeldruk en nalevingslasten van de Uitvoeringswet

Met de Uitvoeringswet wordt uitvoering gegeven aan de Algemene verordening gegevensbescherming. Het uitgangspunt hierbij is beleidsneutraliteit ten aanzien van de bestaande wetgeving. Er worden geen zelfstandige, nationale beleidsdoelen nagestreefd. Voor zover de Uitvoeringswet gevolgen heeft voor overheden, bedrijfsleven en burgers volgen deze uit de verordening zelf, of gaat het om verplichtingen die reeds bestaan op basis van de Wbp. Op de administratieve lasten en nalevingskosten die rechtstreeks uit de verordening volgen kan nationale wetgeving geen invloed uitoefenen.33 De risicogerichte benadering, waar in de verordening voor is gekozen, maakt dat de concrete nalevingslasten sterk zullen verschillen van geval tot geval. Doel van deze benadering was om de kosten voor verwerkingsverantwoordelijken, waar mogelijk, beperkt te houden. In deze benadering vergt een gegevensverwerking met een minder hoog risico ook minder inspanningen van de verwerkingsverantwoordelijke, bijvoorbeeld in termen van bescherming en beveiliging.

Er zijn geen aanwijzingen dat met de Uitvoeringswet als zodanig de bestaande regeldruk en nalevingslasten worden verhoogd of verlaagd. Omdat de Uitvoeringswet sterk is ingekaderd door enerzijds de grenzen die de verordening stelt aan het lidstatelijk recht, en anderzijds door het uitgangspunt van beleidsneutrale implementatie zijn er uit de Uitvoeringswet derhalve geen zelfstandige effecten te verwachten op de regeldruk en nalevingslasten.

Veel zal ook afhangen van de concrete normstelling, die pas bij het opstellen van beleid van de Autoriteit persoonsgegevens aan de orde zal zijn. Bij het opstellen van beleid zal in alle gevallen het belang van een lastenluwe vormgeving moeten worden afgewogen tegen de andere belangen die met het concretiseren van de normstelling gediend zijn, zoals de belangen van burgers en consumenten.

Iedere verwerkingsverantwoordelijke is zelf verantwoordelijk voor de naleving van de verordening en de Uitvoeringswet. Dit geldt zowel voor overheden als voor het bedrijfsleven. Eventuele kosten die hiervoor moeten worden gemaakt, zullen dus ook ten laste komen van de verwerkingsverantwoordelijken en, waar dit aan de orde is, de verwerkers.

6.3 Uitvoeringslasten direct voortvloeiend uit de verordening

Voordat nader wordt ingegaan op de wijze waarop het kabinet de voorbereiding van de implementatie ondersteunt, is hieronder kort aangegeven wat de grootste wijzigingen zijn onder de verordening en welke verplichtingen (min of meer) hetzelfde blijven ten opzichte van de huidige situatie onder de Wbp. Vanwege de keuze om de ruimte, die de verordening laat voor de nationale wetgever, in de Uitvoeringswet beleidsneutraal in te vullen ten opzichte van hetgeen nu geldt op grond van de Wbp, brengt de Uitvoeringswet zelf dus - als gezegd - geen, of slechts verwaarloosbare, uitvoeringskosten met zich mee.

6.3.1 Wat wijzigt en wat blijft hetzelfde onder de verordening

Er zijn belangrijke inhoudelijke overeenkomsten tussen de verordening en de Wbp. De beginselen van en rechtsgrondslagen voor de verwerking van persoonsgegevens zijn op hoofdlijnen hetzelfde gebleven. Dat geldt ook voor de materiële werkingssfeer en de belangrijkste definities. Voorts is een aantal instrumenten dat de verordening introduceert in Nederland al geregeld (bijvoorbeeld de meldplicht datalekken) of betreft het codificatie van jurisprudentie of al bestaande vaste interpretaties van het Europees gegevensbeschermingsrecht. Daarnaast zorgt de verordening ook voor minder lasten. Met de keuze voor een verordening als opvolger van richtlijn 95/46/EG i vermindert de fragmentatie van regelgeving binnen de Europese Unie op het gebied van gegevensbescherming hetgeen relevant is voor grensoverschrijdende gegevensverwerkingen. Meer specifiek vervalt de algemene meldplicht voor verwerkingen.

Er zijn ook nieuwe verplichtingen voor verwerkingsverantwoordelijken en ten aanzien van de rechten van betrokkenen is er sprake van een substantiële uitbreiding. Deze uitbreiding van rechten van betrokkenen kunnen lasten voor verwerkingsverantwoordelijken met zich brengen. Een voorbeeld is het recht op dataportabiliteit (artikel 20 van de verordening) waarbij een verwerkingsverantwoordelijke alle persoonsgegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat beschikbaar moet stellen aan de betrokkene die daarom vraagt (zie ook paragraaf 5.3.4 van deze memorie van toelichting).

6.3.2 Onderzoek naar de kosten die gemoeid zijn met de uitvoering van de verordening

De Europese Commissie heeft in 2012 een impactanalyse laten uitvoeren naar de gevolgen van drie verschillende beleidsopties die vooraf gingen aan het uiteindelijke eerste voorstel voor de verordening.34 In de impactanalyse zijn de kosten voor drie toen mogelijk kansrijk geachte beleidsopties in kaart gebracht. De drie opties zijn beoordeeld naar de mate waarin ze zouden kunnen resulteren in (1) een vermindering van belemmeringen voor het bedrijfsleven en de overheid (fragmentatie, rechtsonzekerheid en inconsequente handhaving wegnemen), (2) het vergroten van de controle van betrokkenen over hun persoonsgegevens en (3) de versterking van de bescherming van persoonsgegevens in het kader van politionele en justitiële samenwerking. Uit de analyse kwam naar voren dat de kans dat beleidsdoelstellingen zouden worden bereikt zonder buitensporige kosten het grootst was bij de tweede optie in combinatie met enkele maatregelen uit de beide andere opties.

Ook de Afdeling advisering van de Raad van State heeft in haar voorlichting in 2012 over de voorstellen van de Europese Commissie die strekken tot herziening van het Europese regelgevend kader inzake verwerking en bescherming van persoonsgegevens,35 aandacht gevraagd voor het belang van een zorgvuldige afweging tussen enerzijds de kosten die de nieuwe verplichtingen voor verwerkingsverantwoordelijke brengen en anderzijds het belang van het individu tot uitoefening van het recht op bescherming van zijn persoonsgegevens anderzijds.

Mede naar aanleiding van de impactanalyses van de Europese Commissie is uiteindelijk een meer risicogerichte benadering gekozen in de verordening. Doel van deze benadering was om de kosten voor verwerkingsverantwoordelijke, waar mogelijk, beperkt te houden. In deze benadering vergt een gegevensverwerking met een minder hoog risico ook minder inspanningen van de verwerkingsverantwoordelijke bijvoorbeeld in termen van bescherming en beveiliging. Met deze aanpak zijn de te verwachten uitvoeringskosten verder beperkt ten opzichte van de voornoemde beleidsopties die in de impactanalyse onderwerp van onderzoek waren. Uiteindelijk zijn de uitvoeringskosten door het Europees Parlement en de Raad aanvaardbaar geacht.

In de impactanalyse worden geen uitspraken gedaan op lidstaat-niveau. Daarom hebben de toenmalige Staatssecretaris van Veiligheid en Justitie en de toenmalige Minister van Economische Zaken in 2013 de gevolgen van de verordening36 voor het Nederlandse bedrijfsleven in kaart laten brengen.37 In dit onderzoek zijn, voor zover mogelijk, de effecten van de verordening op de administratieve lasten en nalevingskosten voor bedrijven in Nederland onderzocht.38 Daarbij is onderscheid gemaakt naar verplichtingen die onder de Wbp gelden, die welke zowel onder de Wbp als onder de verordening gelden en naar verplichtingen die alleen onder de verordening gelden. Uit dit onderzoek naar de groep nieuwe verplichtingen onder de verordening blijkt dat met name de verplichting om een functionaris voor gegevensbescherming aan te wijzen, een registratie te voeren van verwerkingen en de verplichting gegevensbeschermingseffectbeoordelingen uit te voeren relatief grote kostenposten voor het bedrijfsleven zijn.

De uitkomsten van dit onderzoek uit 2013 over de gevolgen voor het bedrijfsleven worden in grote lijnen bevestigd door hetgeen naar voren komt uit de inventarisaties die de verschillende onderdelen van de (rijks)overheid, in de hoedanigheid van verwerkingsverantwoordelijke, inmiddels hebben verricht met betrekking tot de inspanningen die nodig zijn om op 25 mei 2018 aan de nieuwe eisen van de verordening te voldoen.

Hieronder zijn de belangrijkste verplichtingen opgenomen die naar verwachting substantiële inspanning voor verwerkingsverantwoordelijken (overheden en bedrijfsleven) opleveren. Het is geen uitputtende lijst van nieuwe verplichtingen en rechten en de impact zal per organisatie verschillen. Het feit dat een verplichting niet in onderstaande lijst is opgenomen, is met andere woorden geen garantie dat er geen inspanningen in de toekomst worden gevergd. De omvang van benodigde inspanning hangt immers mede samen met de aard van de verwerking en de daaraan verbonden risico’s. Bovendien zullen de benodigde inspanningen om op 25 mei 2018 te voldoen aan de eisen die dan gaan gelden, ook grotendeels afhangen van de vraag in hoeverre een organisatie op dit moment voldoet aan de eisen die gelden op grond van de Wbp en van de vraag of er voldoende grip is op data die binnen de organisatie worden verwerkt.

6.3.3 Nieuwe (en uitgebreide) rechten en verplichtingen onder de verordening die naar verwachting kosten met zich brengen voor de verwerkingsverantwoordelijke

Rechten van betrokkene

Artikel AVG

Paragraaf algemeen deel van de memorie van toelichting

Recht op transparante informatie

Art. 12 AVG

Par. 5.3.1

Recht op vergetelheid, beperking verwerking en kennisgevingsplicht1

Art. 17 AVG

Par. 5.3.3

Recht op dataportabiliteit2

Art. 20 AVG

Par. 5.3.4

Recht om niet onderworpen te worden aan uitsluitend geautomatiseerde verwerking waaronder profilering3

Art. 22 AVG

Par. 4.5

Verplichtingen van verwerker

Algemene verantwoordingsplicht verwerkingsverantwoordelijke

Art. 5 en art. 24 AVG

Par. 5.2

Gegevensbescherming door ontwerp en door standaardinstellingen

Art. 25 AVG

Par. 5.2.1

Verplichtingen ten aan zien van de verwerker (verwerkersovereenkomst)

Art. 28 AVG

Par. 5.2.2

Bijhouden van een register van verwerkingsactiviteiten4

Art. 30 AVG

Par. 5.2.3

Uitvoeren van een gegevensbeschermingseffectbeoordeling5 en eventueel een voorafgaande raadpleging

Art. 35 en art. 36 AVG

Par. 5.2.6

Aanwijzing van een functionaris voor gegevensverwerking

Art. 37 AVG

Par. 5.2.7

Strengere voorwaarden voor toestemming

Art. 7 AVG

Par. 4.2.2

Noot 1

Het recht om te worden vergeten vloeit al voort uit jurisprudentie van het HvJ EU, zaak C-131/12, ECLI:EU:C:2014:317 (Google/Costeja).

Noot 2

Het recht op dataportabiliteit is niet bedoeld voor verwerking van persoonsgegevens door overheden (overweging 68 van de verordening).

Noot 3

Artikel 40 van de Uitvoeringswet maakt geautomatiseerde besluitvorming in bepaalde gevallen alsnog mogelijk.

Noot 4

De algemene meldplicht van verwerkingen die nu nog geldt op grond van de Wbp komt te vervallen.

Noot 5

Deze verplichting brengt voor het bedrijfsleven kosten mee. De rijksoverheid kent sinds 1 september 2013 al de plicht tot het uitvoeren van een effectbeoordeling inzake gegevensbescherming. Onder omstandigheden kan uit deze plicht de plicht tot het voorafgaand raadplegen van de toezichthouder voortvloeien (artikel 36 van de verordening). Deze laatste plicht is nieuw voor zowel het bedrijfsleven als de overheid.

6.3.4 Bescherming persoonsgegevens in Nederland op dit moment

De positie van Nederland met betrekking tot de bescherming van persoonsgegevens van burgers in vergelijking met acht andere Europese landen is recent in kaart gebracht.

«Nederland doet het in de meeste opzichten bovengemiddeld goed. Zo is het goed gesteld met het bewustzijn en de zelfredzaamheid van Nederlanders, is er ruime aandacht voor de bescherming van persoonsgegevens in het politieke debat en de media, loopt Nederland voorop met de meldplicht datalekken, Privacy Impact Assessments, maatschappelijk debat en informatiecampagnes, lopen budgetten, aantallen medewerkers en boetebevoegdheden van toezichthouders goed in de pas en is de Nederlandse toezichthouder goed bekend bij burgers.» Zo concluderen de onderzoekers.39 Ook schrijven ze «Dit laatste bevestigt het proactieve optreden van Nederlandse overheden op het terrein van privacy en de bescherming van persoonsgegevens. Door deze opstelling is Nederland goed voorbereid op de Algemene Verordening Gegevensbescherming en is het aannemelijk dat Nederland ook in de toekomst (met name technologische) ontwikkelingen die gevolgen kunnen hebben voor de bescherming van persoonsgegevens goed zal weten te adresseren.» 40

Deze uitkomst bevestigt de verantwoordelijkheid die de overheid op dit terrein wil nemen en al neemt. Tegelijkertijd komt uit ander onderzoek telkens naar voren dat het nalevingsniveau van de huidige normen op grond van de Wbp te wensen overlaat. Ook het geciteerde onderzoek biedt belangrijke aanknopingspunten voor verdere versterking van de bescherming van persoonsgegevens in Nederland. Als voorbeelden worden genoemd (1) het aantal privacyfunctionarissen in organisaties lijkt achter te blijven bij dat van andere landen, (2) de Autoriteit persoonsgegevens biedt geen certificering en keurmerken voor beveiliging, (3) de Autoriteit persoonsgegevens is op individueel niveau beperkt in dialoog met degene op wie toezicht wordt gehouden en doet nauwelijks aan klachtbehandeling, (4) de transparantie is in Nederland net als bij de andere onderzochte landen laag en (5) de budgetten, invloed en bekendheid van burgerrechtenorganisaties zijn in Nederland beperkt.41

Op dit moment onderhoudt de Autoriteit persoonsgegevens, naar eigen zeggen, inderdaad op individueel niveau, buiten het reactieve toezicht en de alternatieve interventies, nauwelijks een dialoog met degenen op wie toezicht wordt gehouden. Wel voert de Autoriteit persoonsgegevens dialogen met brancheorganisaties in de publieke en private sector en spreekt de Autoriteit persoonsgegevens op congressen en symposia. De afgelopen jaren heeft de Autoriteit persoonsgegevens zich met name geconcentreerd op het ambtshalve doen van onderzoek om zo met beperkte middelen die ter beschikking stonden een zo effectief mogelijk resultaat te behalen.

6.3.5 De inrichting van de toezichthoudende taak in de toekomst

Met de komst van de verordening en de EU-richtlijn gegevensbescherming opsporing en vervolging en de daaruit voortvloeiende taken en bevoegdheden is de Autoriteit persoonsgegevens voornemens om haar toezichtstaak anders in te richten en in te vullen. Op klachtbehandeling van individuele burgers wordt flink ingezet. Daartoe wordt onder meer een klantcontactcentrum ingericht met ruime openingstijden en een digitale ingang om ook digitaal klachten te kunnen indienen. Er wordt naar gestreefd om een belangrijk deel van die klachten telefonisch af te doen door reeds in die fase bemiddelend op te treden tussen burger en de verwerkingsverantwoordelijke. Tevens wordt ingezet op het verhogen van de zelfredzaamheid van de burger. Mocht een overtreding resteren dan wordt, waar nodig, een handhavingsprocedure gestart. Daarnaast zal de Autoriteit persoonsgegevens voor organisaties en bedrijven de informatievoorziening vergroten om bekendheid met de normen te bevorderen om op die wijze compliance te bereiken (zie hierover ook paragraaf 6.3.6).

Voorts zet de Autoriteit persoonsgegevens in op zogenaamd «systeemtoezicht» waarmee de ondertoezichtgestelde (mede) verantwoordelijk wordt gemaakt voor het naleven en bewaken van de norm. Daarbij kunnen instrumenten, zoals het verstevigen en ondersteunen van de positie van de functionarissen voor gegevensbescherming, het voorlichten van bedrijven en sectoren over de relevante normuitleg, het adviseren over en goedkeuren van gedragscodes, de voorafgaande raadpleging en certificering een rol spelen. Wanneer namelijk de bekendheid met de normen en de kwaliteit van zelfregulerende kwaliteitsborgings- en risicobeheersingssystemen in een specifiek domein op orde is, vergroot dat de compliance en vermindert het de noodzaak tot het inzetten van instrumenten van het klassieke toezicht door de Autoriteit persoonsgegevens. Dit betekent echter niet dat het klassiek toezicht en het inzetten van handhavingsbevoegdheden niet nodig zullen zijn. Indien een overtreding wordt geconstateerd - of het nu is naar aanleiding van een klacht of tijdens een controlerend onderzoek - dan zal de Autoriteit persoonsgegevens handhavend optreden. Met deze handhavingsmiddelen zal de Autoriteit persoonsgegevens uiteraard gewetensvol en voorspelbaar omgaan.

Omdat de Autoriteit persoonsgegevens deel uitmaakt van een groter Europees geheel is het (voortijdig) afstemmen met collega-toezichthouders zowel in als buiten het Comité van groot belang om het level playing field dat de verordening voorstaat te garanderen (zie hierover ook paragraaf 3.2 van deze memorie van toelichting). De Autoriteit persoonsgegevens zet flink in om de Europese samenwerking verder te intensiveren.

6.3.6 Overheid neemt (ook) verantwoordelijkheid voor voorlichting over de verordening

Dat de inwerkingtreding van de verordening leidt tot extra taken en noodzakelijke inzet van de Autoriteit persoonsgegevens is evident. Het budget van de Autoriteit persoonsgegevens is dan ook structureel verdubbeld naar een bedrag van 14 miljoen.42 Het gegevensbeschermingsrecht wordt met de komst van de verordening en de Uitvoeringswet straks gedetailleerder en complexer. De overheid moet met de andere relevante actoren, ieder vanuit zijn eigen verantwoordelijkheid en met inachtneming van de onafhankelijke positie van de Autoriteit persoonsgegevens, samenwerken om de kennis over de verordening en de Uitvoeringswet bij burgers, bedrijven en overheden op het juiste niveau te krijgen. De taak van de overheid is voorlichting en informatie te verschaffen over nieuwe verplichtingen van verwerkingsverantwoordelijken en de nieuwe rechten van betrokkenen. Organisaties zijn en blijven vanzelfsprekend zelf verantwoordelijk voor het tijdige voldoen aan de nieuwe eisen die op grond van de verordening gaan gelden.

De overheid heeft de afgelopen periode de nodige informatie verschaft en voorlichtingsactiviteiten uitgevoerd en er is een reeks aan activiteiten in voorbereiding. Hierbij is en wordt samenwerking met partijen gezocht. Onderstaand overzicht verschaft een beeld van (uitgevoerde, lopende en voorgenomen) activiteiten en producten.

    • De Autoriteit persoonsgegevens heeft (met financiering van het Ministerie van JenV) een aparte voorlichtingscampagne voor de kleine ondernemers in voorbereiding. Deze campagne zal lopen tot aan mei 2018. Vanaf die datum zal de focus liggen op een publiekscampagne voor burgers.
    • De Autoriteit persoonsgegevens verzorgt voorts presentaties op de regionale bijeenkomsten die VNO-NCW en MKB-Nederland organiseren.
    • Daarnaast heeft de Autoriteit persoonsgegevens op haar site een 10-stappenplan opgenomen ter eerste oriëntatie.
    • De Autoriteit persoonsgegevens voorziet de Kamer van Koophandel van informatie voor startende ondernemers.
    • Ook ontwikkelt de Autoriteit persoonsgegevens een regelhulp samen met de Rijksdienst voor Ondernemend Nederland (RVO), een soort interactieve tool die ondernemers zicht geeft op wat zij (nog) moeten doen om zich voor te bereiden op de verordening.
    • Op 6 juni 2017 organiseerden de Ministeries van JenV en BZK in samenwerking met het kenniscentrum «Europa decentraal», de VNG en de Unie van Waterschappen (UvW) een goedbezocht congres over de verordening voor decentrale overheden.
    • Op www.rijksoverheid.nl geeft het Ministerie van JenV een beschrijving van de JenV-brede aanpak op gezamenlijke vraagstukken op het gebied van de verordening. Uitgangspunt is dat organisaties binnen JenV zelf verantwoordelijk zijn voor het tijdig voldoen aan de verordening. Voor gemeenschappelijke vraagstukken biedt een centraal AVG-team online en offline goede voorbeelden, producten (literatuur, handvatten, checklist en een maandelijkse nieuwsbrief) en desgewenst ondersteuning op maat. De documenten zijn bedoeld ter inspiratie, binnen en buiten JenV, zonder kaderstellend of voorschrijvend te zijn.
    • Het Ministerie van JenV heeft ook het document «Anticiperen op de AVG» geplaatst op www.rijksoverheid.nl.43 Doel van het document is verwerkingsverantwoordelijken (bedrijven, organisaties en overheden) op hoofdlijnen te informeren over de belangrijkste stappen die nodig zijn voor de voorbereiding van procedures, systemen en processen op de eisen van de verordening.
    • Ook andere ministeries bieden op deze website informatie aan over de verordening.
    • Het Ministerie van JenV heeft een uitgebreide «Handleiding AVG» in voorbereiding voor verwerkingsverantwoordelijken (voor bedrijven, overheden en organisaties die persoonsgegevens verwerken). Deze «Handleiding AVG» zal ook digitaal beschikbaar worden gesteld en periodiek worden geactualiseerd.
    • In voorbereiding is ook de «Leidraad AVG voor (wetgevings)juristen». Doel van de leidraad is de wetgevingspraktijk te ondersteunen bij de afstemming van bestaande wetgeving op het nieuwe wettelijk kader voor gegevensbescherming en bij de vormgeving van nieuwe wetgeving.
    • Het nieuwe «Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA)»44 is een instrument om van voorgenomen regelgeving of projecten waarbij persoonsgegevens worden verwerkt, de effecten voor betrokkenen in kaart te brengen en te beoordelen. Rijksorganisaties dienen dit model te gebruiken en kunnen dit desgewenst aanvullen met organisatie-specifieke elementen.45 Het model bevat ook een toelichting op het instrument PIA en de beschrijving van het proces van uitvoering ervan.46
    • De Ministeries van JenV en BZK hebben een financiële bijdrage geleverd ten behoeve van de door de VNG uitgevoerde impactanalyse naar de gevolgen van de verordening voor gemeenten.
    • Vanuit de gezamenlijke toezichthouders verenigd in de Artikel 29-werkgroep worden richtsnoeren opgesteld die de toepassing van de verordening ondersteunen (er zijn onder meer richtsnoeren over de functionaris voor gegevensbescherming en over de gegevensbeschermingseffectbeoordeling gepubliceerd en er zijn richtsnoeren in voorbereiding, bijvoorbeeld over transparantie).47
    • De Europese Commissie heeft aangekondigd vanaf januari 2018 een voorlichtingscampagne te zullen starten voor het MKB.
    • Bovendien zijn veel partijen, zoals de VNG, VNO-NCW en MKB-Nederland en andere brancheorganisaties al aan de slag gegaan om in beeld te krijgen wat zij concreet moeten doen om hun achterban te mobiliseren de omgang met persoonsgegevens binnen de organisatie in lijn te brengen met de AVG. Zo organiseren VNO-NCW en MKB-Nederland voor hun achterban op diverse plaatsen in Nederland bijeenkomsten rondom de AVG. Doelgroep zijn brancheverenigingen en individuele ondernemers. Doel is om awareness te genereren rondom de AVG en handvatten aan te reiken om in beweging te komen. Ondernemers krijgen zo handelingsperspectief om te kunnen beginnen met het proces van implementeren van deze -door hen als complex ervaren- verordening.
  • 7. 
    Consultatie van het wetsvoorstel

Het wetsvoorstel is in internetconsultatie gegeven van 9 december 2016 tot 20 januari 2017. Na verwerking van de punten die in internetconsultatie zijn opgebracht, is het wetsvoorstel voorgelegd aan de Autoriteit persoonsgegevens.

7.1 Internetconsultatie

Hoewel het wetsvoorstel implementatie van dwingende Europese regelgeving betreft, is er voor gekozen om het wetsvoorstel ruim te consulteren via www.internetconsultatie.nl. Dit is niet gebruikelijk, enerzijds omdat bij implementatieregelgeving de termijn voor implementatie strikt is, anderzijds omdat nationale keuzes zoveel mogelijk worden vermeden en er in die zin weinig keuzes voor te leggen zijn aan belanghebbenden.

Een belangrijke overweging om voor deze Uitvoeringswet een uitzondering te maken is dat er in de samenleving voorafgaand aan het in consultatie brengen van de Uitvoeringswet grote onduidelijkheid bestond over wezenlijke elementen waarop lidstatelijk recht nog nadere invulling zou geven aan de verordening, zoals bijvoorbeeld de uitzonderingen op verwerking van bijzondere persoonsgegevens en de mogelijkheid voor afwijking van de rechten van betrokkene. Het was en is van groot belang om op dit punt zoveel mogelijk rechtszekerheid over de invulling van het Nederlandse recht te verschaffen voor verwerkingsverantwoordelijken, teneinde verrassingen te voorkomen en verwerkingsverantwoordelijken de kans te geven om zich optimaal voor te bereiden op het van kracht worden van de verordening op 25 mei 2018.

Er zijn in totaal 111 reacties gekomen op de Uitvoeringswet in internetconsultatie. De Raad voor de rechtspraak heeft daarnaast een reactie nagezonden48.

Er zijn reacties gekomen uit zeer uiteenlopende sectoren, vanuit bijvoorbeeld VNO-NCW en het FNV, maar ook van veel organisaties in de zorgsector, onderwijssector en organisaties in de financiële sector. Aldus is een breed beeld verkregen over wat leeft in de samenleving omtrent gegevensverwerking en gegevensbescherming. Het is verheugend dat er in zijn algemeenheid brede steun is voor de beleidsneutrale invulling van de uitvoering van de verordening en zo veel organisaties het belang van de verordening voor hun eigen organisatie onderkennen.

Naar aanleiding van de consultatie is het wetsvoorstel op een aantal technische onderdelen aangepast, maar in hoofdlijnen is het wetsvoorstel ongewijzigd gebleven. Daarnaast is de memorie van toelichting op een aantal onderdelen verhelderd. Tot slot is in internetconsultatie gebleken dat een groot deel van de opmerkingen enerzijds betrekking had op mogelijke onduidelijkheden in de rechtstreeks werkende bepalingen van de verordening en anderzijds op mogelijke onduidelijkheden in het huidige recht. Deze Uitvoeringswet, noch de memorie van toelichting is de plaats om hier al te diep op in te gaan. Wel is de brede maatschappelijke behoefte aan voorlichting doorgegeven aan de Autoriteit persoonsgegevens.

7.2 Advisering door de Autoriteit persoonsgegevens

Het is verheugend dat de Autoriteit persoonsgegevens in zijn algemeenheid de keuze voor beleidsneutrale implementatie van de verordening onderschrijft. Daarnaast maakt de Autoriteit persoonsgegevens een aantal opmerkingen. In de onderstaande paragraaf is uitgegaan van de indeling die door de Autoriteit persoonsgegevens zelf is gehanteerd in het advies49.

7.2.1 Organisatie van de Autoriteit persoonsgegevens

    • a. 
      De Autoriteit persoonsgegevens stelt voor om de begroting van de Autoriteit persoonsgegevens in het vervolg een afzonderlijk onderdeel te laten zijn van de rijksbegroting en niet langer een onderdeel van de departementale begroting van het Ministerie van Justitie en Veiligheid. Dit voorstel wordt niet gevolgd. De onafhankelijkheid van de toezichthoudende autoriteit, die wordt voorgeschreven in artikel 52 van de verordening, heeft betrekking op de uitvoering van de taken en de uitoefening van de bevoegdheden. Voorts wordt voorgeschreven dat de Autoriteit persoonsgegevens beschikt over personele, technische en financiële middelen. Artikel 52, zesde lid, van de verordening bepaalt dat elke lidstaat ervoor zorgt dat op elke toezichthoudende autoriteit financieel toezicht wordt uitgeoefend zonder dat daarbij de onafhankelijkheid van de toezichthoudende autoriteit in het gedrang komt en dat het een afzonderlijke, publieke jaarbegroting heeft, die een onderdeel kan zijn van de algehele staats- of nationale begroting. De onafhankelijkheid van de Autoriteit persoonsgegevens is afdoende gewaarborgd door de keuzes zoals gemaakt in het wetsvoorstel. De verordening schrijft niet voor dat de begroting een zelfstandig onderdeel zou moeten zijn van de rijksbegroting.
    • b. 
      Voorts adviseert de Autoriteit persoonsgegevens dat de rechtspositie van de voorzitter, de andere leden en buitengewone leden dient te worden bepaald bij algemene maatregel van bestuur in plaats van bij ministeriele regeling, zoals ook het geval is voor het College voor de rechten van de mens. Dit punt wordt overgenomen, zij het dat ervoor gekozen is om de mogelijkheid open te laten om eventuele nadere uitwerking van deze rechtspositionele voorschriften vast te leggen in een ministeriële regeling. Zie voor een voorbeeld van een voorschrift dat nadere uitwerking behoeft in regelgeving op een lager niveau de artikelsgewijze toelichting bij artikel 9. Dit neemt niet weg dat in beginsel de regels inzake rechtspositie zullen worden vastgelegd in een algemene maatregel van bestuur. Hier zijn echter, ingevolge artikel 14, tweede lid, van de Kaderwet zelfstandige bestuursorganen, de voorschriften met betrekking tot bezoldiging en schadeloosstelling van uitgezonderd. Deze onderwerpen zullen, conform de Kaderwet zelfstandige bestuursorganen, worden geregeld bij ministeriële regeling. Dit is overigens bij het College voor de rechten van de mens ook het geval.
    • c. 
      De Autoriteit persoonsgegevens is van oordeel dat met het oog op haar onafhankelijke positie een door haar opgesteld bestuursreglement niet ter goedkeuring zou behoeven te worden voorgelegd aan de Minister voor Rechtsbescherming. Dit advies is, bij gelegenheid van nader rapport, overgenomen en in artikel 10 van de Uitvoeringswet is de verplichting om een bestuursreglement op te stellen, komen te vervallen waardoor ook artikel 11 van de Kaderwet zelfstandige bestuursorganen niet van toepassing is.

    De Autoriteit persoonsgegevens stelt voorts voor om artikel 10, derde lid, van de Uitvoeringswet, zoals dat aan hen is voorgelegd, te schrappen omdat de daarin vervatte bepaling overbodig zou zijn doordat in een functiescheiding ten aanzien van boeteoplegging reeds is voorzien op grond van artikel 10:3, vierde lid, van de Awb. Ook dit punt wordt overgenomen.

    • d. 
      Voorts vraagt de Autoriteit persoonsgegevens aandacht voor het opnemen van een regeling op basis waarvan de Autoriteit persoonsgegevens kan procederen. Ook de Afdeling advisering van de Raad van State heeft dit punt opgebracht.50

Artikel 263, vierde alinea, van het VWEU kent het vernietigingsberoep toe aan natuurlijke en rechtspersonen tegen, onder meer, handelingen die tegen hem zijn gericht of die hem rechtstreeks en individueel raken. Het is duidelijk dat de Autoriteit persoonsgegevens geen natuurlijke persoon is. Het is vervolgens de vraag of de Autoriteit persoonsgegevens kan worden aangemerkt als rechtspersoon in de zin van genoemde bepaling. Die vraag kan aan de hand van de jurisprudentie van het Hof van Justitie van de EU nader worden beantwoord. In beginsel bepaalt het nationale recht of de appellant rechtspersoonlijkheid heeft.51 Het is duidelijk dat aan de Autoriteit persoonsgegevens noch krachtens artikel 2:1 van het Burgerlijk Wetboek, noch krachtens een bijzondere wet rechtspersoonlijkheid is toegekend. Het Hof van Justitie heeft evenwel in vele gevallen vernietigingsberoepen ontvankelijk geacht van territoriaal gedecentraliseerde lichamen waarvan onvoldoende duidelijk vaststond of daaraan krachtens lidstatelijk recht rechtspersoonlijkheid toekwam.52 Dat betrof onder meer het toenmalige land in het Koninkrijk de Nederlandse Antillen, waarop de regels van het Nederlandse Burgerlijk Wetboek inzake rechtspersoonlijkheid niet van toepassing waren, terwijl die rechtspersoonlijkheid ook niet geregeld was in enig wettelijk voorschrift van Nederlands-Antilliaans recht.53 De conclusie is dan ook gerechtvaardigd dat uit de jurisprudentie voortvloeit dat rechtspersoonlijkheid in de zin van artikel 263, vierde alinea, van het VWEU een zelfstandige Europeesrechtelijke betekenis heeft gekregen en niet zonder meer te vereenzelvigen is met rechtspersoonlijkheid in het nationale recht.54 Gelet op de duidelijke bedoeling van de Europese wetgever om een bijzonder vernietigingsberoep tegen besluiten van het Comité toe te kennen, behoeft het weinig twijfel dat het Gerecht niet zal overgaan tot niet-ontvankelijkheidsverklaring van een vernietigingsberoep van de Autoriteit persoonsgegevens op de enkele grond dat de Autoriteit persoonsgegevens niet zou voldoen aan het criterium rechtspersoonlijkheid in de zin van artikel 263, vierde alinea, van het VWEU. Het is dan ook niet nodig om een (wettelijke) voorziening te treffen noch is in deze omstandigheid een reden gelegen om aan de Autoriteit persoonsgegevens rechtspersoonlijkheid toe te kennen.

7.2.2 Invulling van normen en bevoegdheden

De Autoriteit persoonsgegevens stelt dat passages in de memorie van toelichting die anticiperen op de wijze waarop de Autoriteit persoonsgegevens invulling zal geven aan de bevoegdheden en wat voor beleid ze gaat voeren, moeten worden geschrapt, omdat de Autoriteit persoonsgegevens dit zelf zal bepalen waarna deze keuzes uiteindelijk eventueel aan de bestuursrechter kunnen worden voorgelegd.

In de memorie van toelichting is in algemene zin reeds opgemerkt dat de verordening rechtstreeks zal gelden in de Nederlandse rechtsorde, en dat rechtstreeks werkende normen autonoom zullen worden uitgelegd. Het is niet aan de Nederlandse wetgever om hierin een definitieve uitleg te geven. Tegelijkertijd is het noodzakelijk om in onderhavige memorie van toelichting de nationale keuzes, waar de verordening ruimte toe laat of zelf opdracht toe geeft, te voorzien van een dragende onderbouwing. Dit in eerste instantie vanzelfsprekend zodat de beide Kamers der Staten-Generaal hun medewetgevende taak naar behoren kunnen vervullen. Een gedegen toelichting is ook van belang voor de rechter, die uiteindelijk een definitief oordeel zal moeten vellen in een concreet aan hem voorgelegde zaak, om te kunnen achterhalen wat de wetgever beoogde met een bepaalde norm. Tot slot zou de toelichting van de keuzes van de nationale wetgever onbegrijpelijk zijn als niet ook normen die rechtstreeks op grond van de verordening zullen werken, op hoofdlijnen besproken kunnen worden. Hierbij is geen sprake van een definitieve uitleg van die normen maar veeleer van een schets van het stelsel als geheel. Paragraaf 2d van het nader rapport gaat ook in op dit spanningsveld.

De memorie van toelichting is naar aanleiding van de opmerking van de Autoriteit persoonsgegevens wel op die onderdelen aangepast die uitspraken bevatten over verwachtingen ten aanzien van het toekomstige beleid en de opstelling van de Autoriteit persoonsgegevens.

7.2.3 Autoriteit persoonsgegevens als enig toezichthouder

De Autoriteit persoonsgegevens stelt dat zij enig toezichthouder is op de verordening in Nederland, en zij wenst in de memorie van toelichting bij de Uitvoeringswet tot uitdrukking te laten komen dat er geen andere sectorale toezichthouders kunnen worden aangewezen die naast de Autoriteit persoonsgegevens bevoegd kunnen zijn. De memorie van toelichting is in die geest aangepast.

7.2.4 Openbaarmakingsverplichting

De Autoriteit persoonsgegevens stelt dat in een brief van de toenmalige Minister van Veiligheid en Justitie aan de Tweede Kamer is toegezegd55 dat in de Uitvoeringswet een specifieke wettelijke grondslag voor actieve openbaarmaking van handhavingsbesluiten zou worden gecreëerd, en constateert dat een dergelijk artikel ontbreekt in de Uitvoeringswet.

In de aangehaalde brief is door de toenmalige Minister van Veiligheid en Justitie gesteld dat hij zou bezien of deze grondslag in de Uitvoeringswet zou moeten worden opgenomen, dan wel in een afzonderlijk voorstel van wet. Het ligt, gelet op het beleidsneutrale karakter van de Uitvoeringswet, niet voor de hand om dit in de Uitvoeringswet op te nemen. Bovendien ligt het in de rede om dit onderwerp nader te bezien als er duidelijkheid is over de voortgang van het initiatiefwetsvoorstel Wet open overheid.

7.2.5 Concentratie van rechtspraak

De Autoriteit persoonsgegevens stelt dat de rechtsbescherming gebaat zou zijn bij centralisatie van rechtspraak, terwijl geschillen betreffende het verwerken van persoonsgegevens in beginsel bij alle rechtbanken in Nederland kunnen worden ingesteld. De verordening verplicht niet tot centralisatie van rechtspraak. Gelet op het beleidsneutrale karakter van implementatiewetgeving van Europese regelgeving, zoals de Uitvoeringswet, is centralisatie van rechtspraak dan ook niet aan de orde.

7.2.6 Voorlichting en wetgevingsadvisering

De Autoriteit persoonsgegevens stelt dat de uitbreiding van de wetgevingsadviestaak in artikel 15 van de Uitvoeringswet, de verplichting om advies te vragen aan de Autoriteit persoonsgegevens bij decentrale regelgeving, ontbreekt.

Het artikel 15 van de Uitvoeringswet, zoals dat was opgenomen in de consultatieversie, is (naar aanleiding van het advies van de Afdeling advisering van de Raad van State) geschrapt omdat de plicht van de lidstaten om de toezichthoudende autoriteit te raadplegen rechtstreeks volgt uit het bepaalde in artikel 36, vierde lid, van de verordening net als de adviserende taak van de Autoriteit persoonsgegevens (artikel 57, eerste lid, onderdeel c, van de verordening). Anders dan de Autoriteit persoonsgegevens stelt, verplicht artikel 57, eerste lid, onderdeel c, van de verordening naar het oordeel van de regering niet tot het vragen van advies over alle decentrale regelgeving.

7.2.7 Uitleg van rechtstreeks werkende normen in de toelichting bij de Uitvoeringswet

Voor een reactie op de uitleg van rechtstreeks werkende normen in de toelichting zij verwezen naar hiervoor, onder 7.2.2.

7.2.8 Overschrijf-/omzettingsverbod

In de verordening is in overweging 8 aangegeven dat lidstaten, indien nodig, elementen van deze verordening in hun nationale recht kunnen opnemen om de samenhang te garanderen en om de nationale bepalingen begrijpelijker maken voor degenen op wie zij van toepassing zijn. Het zogenaamde «overschrijfverbod» gaat derhalve bij deze verordening niet zo ver dat geen enkel element van de verordening terug mag komen in de nationale wet. Overweging 8 laat alleen ruimte voor het deels overschrijven van regels van de verordening daar waar de verordening ruimte laat voor specificering of beperkingen van die regels in nationaal recht. Inzake de medische geheimhoudingsplicht (artikel 9, derde lid, van de verordening) is het strikt genomen zo dat de geheimhoudingsplicht rechtstreeks volgt uit de verordening voor zover er sprake is van verwerking van gegevens betreffende de gezondheid op basis van artikel 9, tweede lid, onderdeel h, terwijl de verwerking van gegevens betreffende de gezondheid op basis van de onderdelen b en g een nationale regeling inzake geheimhouding zou behoeven. Om verwarring te voorkomen is gekozen voor een eenduidige formulering van de medische geheimhoudingsplicht bij alle verwerkingen van gegevens betreffende de gezondheid. Aldus lijdt het geen twijfel dat gegevens betreffende de gezondheid alleen mogen worden verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht (zie artikel 30, vierde lid, van de Uitvoeringswet).

    • a. 
      Ten aanzien van het door de Autoriteit persoonsgegevens onder a opgemerkte, valt op te merken dat artikel 23 (thans artikel 30) van de Uitvoeringswet ten aanzien van gegevens over gezondheid grotendeels overeenkomt met de Wbp. Het artikel biedt een grondslag voor afwijking van het verbod op het verwerken van gegevens over gezondheid dat volgt uit de verordening. De verordening biedt hiervoor verschillende grondslagen. Op basis van onderdelen b en h van het tweede lid van artikel 9 van de verordening kan worden afgeweken voor een aantal specifieke doelen. Daarnaast biedt onderdeel g een grondslag om af te wijken wanneer de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang.

    Niet alle onderdelen van het artikel inzake gezondheidsgegevens van de Uitvoeringswet vallen onder de doelen van artikel 9, tweede lid, onderdeel h, van de verordening. Het zou mogelijk zijn om artikel 30 van de Uitvoeringswet te splitsen in drie verschillende artikelen over gegevens betreffende de gezondheid. Dit lijkt echter weinig verhelderend omdat hiermee de suggestie zou kunnen worden gewekt dat hierin wijziging plaatsvindt ten opzichte van de bestaande normen. Dit is temeer bezwaarlijk omdat het voor de gelding van het recht niet van belang is op welk onderdeel van artikel 9, tweede lid, van de verordening een nationale uitzondering is gebaseerd, zolang hier maar voldoende rechtsbasis voor is in de verordening. Dit laatste lijdt geen twijfel. De artikelsgewijze toelichting is op dit punt aangevuld.

    Omdat in artikel 30 van de Uitvoeringswet niet alleen uitvoering wordt gegeven aan onderdeel h, maar ook aan de onderdelen b en g, is het wenselijk om het tweede lid van artikel 21 van de Wbp inzake het beroepsgeheim te handhaven (vierde lid van artikel 30 van de Uitvoeringswet). Omwille van de begrijpelijkheid is dit in de huidige vorm blijven staan.

    • b. 
      Ten aanzien van artikel 36 (thans 40) over geautomatiseerde verwerkingen van de Uitvoeringswet merkt de Autoriteit persoonsgegevens op dat in artikel 22, eerste en vierde lid, reeds voorzien is in hetgeen was opgenomen in het aan hen voorgelegde artikel 36, derde lid. Het huidige artikel 40 is hierop aangepast.

7.2.9 Te ruime afwijking?

    • a. 
      De Autoriteit persoonsgegevens maakt hier enkele opmerkingen over artikel 23 (thans artikel 30) van de Uitvoeringswet. Voor een reactie hierop zij verwezen naar de reactie onder paragraaf 7.2.8, subonderdeel a.
    • b. 
      De Autoriteit persoonsgegevens merkt op dat artikel 23, onderdeel e, van de Uitvoeringswet (thans artikel 30, tweede lid, onderdeel c, van de Uitvoeringswet) aanpassing behoeft, omdat de tenuitvoerlegging van vrijheidsstraffen niet onder de reikwijdte van de verordening valt, maar onder de reikwijdte van de richtlijn gegevensbescherming opsporing en vervolging. Dit is juist en het onderdeel is hier dan ook op aangepast. De tenuitvoerlegging van niet-punitieve vrijheidsbenemende maatregelen zoals vreemdelingenbewaring valt nog wel onder de reikwijdte van de verordening, en is gehandhaafd in de tekst.
    • c. 
      De Autoriteit persoonsgegevens merkt ten aanzien van artikel 25 van de Uitvoeringswet (zoals dat aan hen was voorgelegd) op, dat dit een nieuw artikel is ten opzichte van de Wbp en nadere motivering behoeft. Artikel 25 van de consultatie versie zag op het gebruik van gezondheidsgegevens bij onder meer ernstige grensoverschrijdende gevaren. Dit artikel is vervallen vanwege het uitgangspunt van beleidsneutrale implementatie. De verordening laat de ruimte om wellicht in de toekomst in sectorale wetgeving alsnog een dergelijke bepaling op te nemen.
    • d. 
      De Autoriteit persoonsgegevens doet een redactionele suggestie voor artikel 26 van de Uitvoeringswet (thans artikel 29) omtrent de verwerking van biometrische gegevens. Deze is overgenomen.
    • e. 
      De Autoriteit persoonsgegevens merkt op dat ten aanzien van artikel 36 van de Uitvoeringswet (thans artikel 40 van de Uitvoeringswet) op basis van de wettekst en de toelichting onduidelijk zou zijn of profilering toegestaan is.

    Kennelijk heeft de toelichting hier tot enige onduidelijkheid geleid. De verordening biedt ruimte om af te wijken van het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming, waaronder profilering. Een van deze afwijkingsgronden is wanneer dit noodzakelijk is voor de totstandkoming of uitvoering van een overeenkomst, of wanneer hiervoor toestemming is verleend. In dat kader is dus ook profilering mogelijk. Mogelijkheden voor het gebruik van deze afwijkingsgrond zijn in paragraaf 4.5 van het algemeen deel van de memorie van toelichting beschreven. Wanneer dit noodzakelijk is voor de uitvoering van een overeenkomst of wanneer hiervoor toestemming is verleend, is geautomatiseerde besluitvorming, waaronder profilering, rechtstreeks op basis van artikel 22 van de verordening toegestaan.

    In het artikelsgewijze deel van de memorie van toelichting is nader ingegaan op de nationaalwettelijke bepaling op basis waarvan kan worden afgeweken van het verbod. De nationaalwettelijke basis heeft slechts betrekking op geautomatiseerde besluitvorming, en niet op profilering. De toelichting is op dit punt verduidelijkt.

    • f. 
      Ten aanzien van artikel 37 (thans 41) van de Uitvoeringswet merkt de Autoriteit persoonsgegevens op dat het artikel handhaafbaar en uitvoerbaar is. Wel adviseert ze om de toelichting aan te vullen ten aanzien van de «nieuwe belangen» zoals openbare veiligheid, genoemd in onderdelen c en d.

    Juist omdat het bij deze uitzonderingsmogelijkheid altijd alleen om incidentele uitzonderingen kan gaan, is het niet mogelijk om vooraf in te schatten in welke situaties gebruikgemaakt zal worden van de ruimte die artikel 41 biedt om af te wijken van de rechten van betrokkene. Dit zal telkens in de praktijk een zorgvuldige afweging vergen.

    • g. 
      De Autoriteit persoonsgegevens stelt voor om in artikel 38 van de Uitvoeringswet (thans artikel 42) een tweede lid in te voegen, dat ingaat op aspecten uit het tweede lid van artikel 23 van de verordening.

Artikel 23, tweede lid, van de verordening stelt dat «de wettelijke maatregelen specifieke bepalingen bevatten met betrekking tot, in voorkomend geval, ten minste», en dan volgt een opsomming. De Engelse tekst luidt op dit punt «where relevant». Dit geeft aan dat er ruimte is voor de nationale wetgever om af te wegen of het zinvol is om specifieke bepalingen hierbij op te nemen. In artikel 42 zijn elementen van het tweede lid geïncorporeerd in de tekst. Zo geldt de beperking alleen ten aanzien van de verplichting van artikel 34 verordening (conform artikel 23, tweede lid, onderdeel c, van de verordening) en alleen ten aanzien van financiële ondernemingen (conform artikel 23, tweede lid, onderdeel e, van de verordening).

7.2.10 Te ruime aanvulling?

  • a. 
    De Autoriteit persoonsgegevens verzoekt tot het aanpassen dan wel nader onderbouwen van artikel 14, vierde, vijfde en zesde lid, ten aanzien van het gelijkstellen van het geven van toestemming en het advies als een besluit aan te merken in de zin van de Awb.

Mede naar aanleiding van het advies van de Autoriteit persoonsgegevens zijn de artikelen 14 en 16 zoals ter advisering voorgelegd redactioneel aangepast en inhoudelijk herzien. Tevens is paragraaf 3.3.2 over de inbedding van de Autoriteit persoonsgegevens in het algemene bestuursrecht aangepast.

  • b. 
    De Autoriteit persoonsgegevens merkt op dat artikel 35 zoals voorgelegd van de Uitvoeringswet (voorheen artikel 48 van de Wbp) een dode letter is geworden en kan worden geschrapt. Het betreft de plicht voor instanties die belast zijn met de behandeling van een geschil om een afschrift van hun uitspraak aan de Autoriteit persoonsgegevens te zenden. Dit advies is overgenomen.

7.2.11 Beleidsneutrale invulling van de ruimte die de verordening biedt

De Autoriteit persoonsgegevens stelt voor om op onderdelen de oorspronkelijke toelichting bij de Wbp op te nemen en, waar aan de orde, aan te vullen.

Naar aanleiding van eensluidende kritiek van de Afdeling advisering van de Raad van State is gehoor gegeven aan deze oproep. Met name de artikelsgewijze toelichting betreffende bijzondere categorieën persoonsgegevens en persoonsgegevens van strafrechtelijke aard is aanzienlijk uitgebreid (artikel 22 tot en met 33 van de Uitvoeringswet).

    • a. 
      De Autoriteit persoonsgegevens constateert dat een regeling als opgenomen in artikel 37, derde lid, van de Wbp, inzake uitoefening van rechten van de betrokkene door wettelijk vertegenwoordigers, ontbreekt. Deze omissie is aangevuld, door deze bepaling over te nemen in artikel 5, vierde lid, van de Uitvoeringswet.
    • b. 
      De Autoriteit persoonsgegevens maakt twee opmerkingen over de last onder bestuursdwang en de last onder dwangsom. Allereerst stelt de Autoriteit persoonsgegevens dat uit de systematiek van de Awb reeds volgt dat een last onder bestuursdwang als herstelsanctie slechts kan worden opgelegd wegens een overtreding van een wettelijke bepaling en dat een verwijzing naar artikel 83 van de verordening onbedoeld nadere restricties impliceert.

    Artikel 5:4, eerste lid, van de Awb bepaalt dat de bevoegdheid tot het opleggen van een bestuurlijke sanctie slechts bestaat voor zover ze bij of krachtens de wet is verleend. Dit is voorzien in artikel 16 van de Uitvoeringswet en dit artikel (zoals deze nu luidt) bevat geen specificering naar bepaalde artikelen uit de verordening of de Uitvoeringswet, want het luidt: «De Autoriteit persoonsgegevens kan een last onder bestuursdwang opleggen ter handhaving van de bij of krachtens de verordening of deze wet gestelde verplichtingen.»

    Voorts merkt de Autoriteit persoonsgegevens op dat het onjuist is dat onder de last onder dwangsom ook een bindende aanwijzing kan plaatsvinden en dat de verordening dit instrument al kent. Het algemeen deel van de memorie van toelichting is op dit punt aangepast.

    • c. 
      De Autoriteit persoonsgegevens merkt op dat de overtreding van artikel 5:20 van de Awb niet beboetbaar gesteld is.

    Evenals onder het huidige recht dient de verwerkingsverantwoordelijke of de verwerker op grond van artikel 58, eerste lid, onderdeel e, van de verordening (zeer vergelijkbaar met artikel 5:20 van de Awb), alle medewerking te verlenen die de Autoriteit persoonsgegevens redelijkerwijs kan vorderen. Op grond van artikel 83, vijfde lid, onderdeel e, van de verordening is het handelen in strijd met deze verplichting vervolgens beboetbaar gesteld. In paragraaf 3.4.1 is het voorgaande opgenomen ter verduidelijking.

    • d. 
      De Autoriteit persoonsgegevens constateert dat een soortgelijke bepaling als in artikel 71 van de Wbp, die de schorsende werking van bezwaar en beroep regelt, ontbreekt. Dit artikel is opgenomen in artikel 38 van de Uitvoeringswet.
    • e. 
      De Autoriteit persoonsgegevens geeft enkele opmerkingen mee over de redactie van artikel 24 (thans 28) van de Uitvoeringswet. Naar aanleiding van deze opmerkingen is het artikel redactioneel aangepast.
    • f. 
      De Autoriteit persoonsgegevens stelt voor om de voorwaarde van toestemming te schrappen uit artikel 31, eerste lid, onderdeel g, subonderdeel 3. Dit voorstel is overgenomen, met dien verstande dat een vergunningplicht is opgenomen (zie nader de artikelsgewijze toelichting bij artikel 33, vierde lid, onder c), zodat sprake is van beleidsneutrale implementatie.
    • g. 
      De Autoriteit persoonsgegevens merkt op dat bemiddeling, anders dan in de toelichting is opgenomen, geen geschilbeslechting is. Dit is een verschrijving, die is hersteld. Vervolgens constateert de Autoriteit persoonsgegevens dat een regeling als in artikel 47, tweede lid, van de Wbp ontbreekt in de Uitvoeringswet. Dit artikellid is naar aanleiding hiervan opgenomen in de Uitvoeringswet (artikel 36, tweede lid).
    • h. 
      De Autoriteit persoonsgegevens stelt dat artikel 50, tweede lid, van de Wbp gecontinueerd kan worden in de Uitvoeringswet. Dit is overgenomen in artikel 37 van de Uitvoeringswet.
    • i. 
      De Autoriteit persoonsgegevens adviseert om in de Uitvoeringswet te bepalen dat de uniforme voorbereidingsprocedure van afdeling 3.4 van de Awb van toepassing zal zijn op de voorbereiding van een beslissing op een verzoek een ontwerpgedragscode goed te keuren.

Dit advies is, mede naar aanleiding van het eensluidende advies van de Afdeling advisering van de Raad van State, overgenomen (artikel 14, tweede lid van de Uitvoeringswet). De zorgvuldigheid van de voorbereiding van een besluit over het al dan niet goedkeuren van een voorgelegde gedragscode en de mogelijkheden tot inspraak voor belanghebbenden bij een dergelijk besluit, dienen te prevaleren boven de snelheid waarmee een dergelijk besluit kan worden genomen. Dit komt het draagvlak voor de desbetreffende gedragscode uiteindelijk ook ten goede. Artikel 40 van de verordening staat niet in de weg aan het van toepassing verklaren van deze afdeling van de Awb.

7.2.12 Nog niet ingevulde ruimte voor lidstatelijk recht

    • a. 
      De Autoriteit persoonsgegevens adviseert om te onderzoeken in welke gevallen er behoefte is aan een specifieke uitzondering voor verschillende verwerkingsverboden voor bijvoorbeeld lokale rekenkamers en mogelijk accountants en andere toezichthouders.

    Gelet op het beleidsneutrale karakter van de Uitvoeringswet ligt het niet in de rede om in het kader van dit wetsvoorstel over te gaan tot verruiming van de uitzonderingen op verwerkingsverboden.

    • b. 
      De Autoriteit persoonsgegevens adviseert om enkele bepalingen over verwerking van persoonsgegevens, in het bijzonder gezondheidsgegevens, in het kader van de arbeidsverhouding op te nemen in de Uitvoeringswet naar aanleiding van een uitspraak van de Voorzieningenrechter Rb. Midden-Nederland van 15 december 2016.56

    Van de ruimte die de verordening in artikel 88 biedt, wordt vooralsnog geen gebruik gemaakt, omdat de algemene regels uit de verordening voldoende bescherming bieden in het kader van de arbeidsverhouding. Het bieden van extra duidelijkheid door middel van het stellen van regels over de verwerking van (gezondheids)gegevens in het kader van de arbeidsverhouding zou mogelijk ten koste kunnen gaan van de openheid van de relatie tussen de werkgever en de werknemer, welke ook genormeerd wordt door de normen van goed werkgeverschap en goed werknemerschap uit artikel 611, van Boek 7 van het Burgerlijk Wetboek. In overweging 43 van de verordening wordt bovendien verduidelijkt: «Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding («a clear imbalance» in de Engelse taalversie) tussen de betrokkene en de verwerkingsverantwoordelijke.» Juist in de relatie tussen werknemer en werkgever zal de werknemer in de praktijk in redelijkheid echter nauwelijks toestemming kunnen weigeren.

    • c. 
      De Autoriteit persoonsgegevens adviseert om de regels inzake bepaalde rechten van betrokkene van overeenkomstige toepassing te verklaren op overleden personen dan wel te bepalen dat die rechten gedurende een bepaalde periode na overlijden door de nabestaanden kunnen worden ingeroepen, in verband met onder meer het gebruik van dergelijke gegevens op social media.

De verordening is niet van toepassing op overleden personen (overweging 27). Wel laat de verordening toe dat lidstaten regels stellen over persoonsgegevens van overleden personen, maar stelt dit niet verplicht. In Nederland kennen we een dergelijke regeling niet op grond van de Wbp. Het is, gelet op het krappe tijdspad voor uitvoering van de verordening, niet wenselijk om in het kader van deze Uitvoeringswet hiervoor een regeling te ontwerpen. Gelet hierop wordt dit advies (op dit moment) niet gevolgd.

7.2.13 Andere punten die nog moeten worden uitgevoerd

    • a. 
      De Autoriteit persoonsgegevens adviseert om te voorzien in toezichthoudende bevoegdheden in het kader van bijvoorbeeld het bieden van bijstand bij informatieverzoeken en toezichtsonderzoeken in Nederland. Het wetsvoorstel is op dit punt aangepast door het opnemen van een vijfde lid in artikel 15.
    • b. 
      De Autoriteit persoonsgegevens adviseert te verduidelijken dat onder de toezichtsbevoegdheid van artikel 5:18 van de Awb ook het onderzoek aan software valt.

    Het wetsvoorstel is sinds het concept dat aan de Autoriteit persoonsgegevens is voorgelegd aangepast omdat, bij nader inzien, de verordening reeds zelf voorziet in een medewerkingsplicht en tevens voorziet in een afdoende sanctionering bij het niet voldoen aan deze plicht. De verwerkingsverantwoordelijke of de verwerker dient op grond van artikel 58, eerste lid, onderdeel e, van de verordening alle medewerking te verlenen die de Autoriteit persoonsgegevens redelijkerwijs kan vorderen. Zonder twijfel valt onder deze bevoegdheid om «van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens en alle informatie die noodzakelijk is voor de uitvoering van haar taken», ook onderzoek aan software die wordt gebruikt om persoonsgegevens te verwerken. Op grond van artikel 83, vijfde lid, onderdeel e, van de verordening is het handelen in strijd met deze verplichting vervolgens beboetbaar gesteld. Zie tevens paragraaf 7.2.11 en paragraaf 3.4.1.

    • c. 
      De Autoriteit persoonsgegevens verwijst naar het advies inzake de uitvoering van het bepaalde in het arrest Schrems.

    Met betrekking tot de verwerking van het Schrems-arrest57 inzake doorgifte van persoonsgegevens aan derde landen in de Nederlandse wetgeving, wordt opgemerkt dat een nieuw artikel 20 in de Uitvoeringswet is opgenomen. Dit nieuwe artikel voorziet in de verzoekschriftprocedure zoals die voor de Autoriteit persoonsgegevens wordt voorgesteld in het bij de Tweede Kamer aanhangige wetsvoorstel tot wijziging van de Wbp naar aanleiding van het genoemde arrest.58 Aangezien met de inwerkingtreding van onderhavige Uitvoeringswet de Wbp zal worden ingetrokken (artikel 51) is het noodzakelijk dat deze verzoekschriftprocedure ook in de Uitvoeringswet wordt overgenomen.59

    • d. 
      De Autoriteit persoonsgegevens maakt enkele opmerkingen over geautomatiseerde besluitvorming en profilering. Zij stelt dat de beperkingen ten aanzien van bijzondere categorieën van persoonsgegevens en de beperkingen ten aanzien van kinderen niet zijn verwerkt in artikel 36 (thans artikel 40) van de Uitvoeringswet.

    Het eerste genoemde element geldt rechtstreeks op grond van de verordening (artikel 22, vierde lid, van de verordening), en behoeft derhalve geen regeling in de Uitvoeringswet. Wel is dit in de artikelsgewijze toelichting bij artikel 40 van de Uitvoeringswet benadrukt.

    • e. 
      De Autoriteit persoonsgegevens stelt dat artikel 38, vijfde lid, van de verordening inzake de geheimhoudingsplicht van de functionaris voor gegevensbescherming, nog uitvoering behoeft in de Uitvoeringswet.

    Dit advies is overgenomen in artikel 39 van onderhavig wetsvoorstel. De memorie van toelichting is eveneens hierop aangepast.

    • f. 
      De Autoriteit persoonsgegevens adviseert om de Uitvoeringswet periodiek te evalueren en hiertoe een evaluatiebepaling op te nemen.

Dit advies is, mede naar aanleiding van het eensluidende advies van de Afdeling advisering van de Raad van State, overgenomen. Artikel 97 van de verordening bevat een evaluatiebepaling maar deze betreft alleen de verordening zelf. In de Uitvoeringswet worden weliswaar geen zelfstandige beleidsdoelen nagestreefd maar aangezien er wel sprake is van keuzes die in onderhavige Uitvoeringswet worden gemaakt (ter nadere invulling van de beslisruimte die de verordening aan de nationale wetgever laat of juist de keuze om van een dergelijke mogelijkheid geen gebruik te maken), ligt een evaluatie van deze keuzes voor de hand. In artikel 50 van de Uitvoeringswet is daartoe een evaluatiebepaling opgenomen.

7.2.14 Rechtsbescherming

De Autoriteit persoonsgegevens stelt dat het overbodig is om in de Uitvoeringswet een fictieve weigering te regelen voor het niet behandelen van of niet tijdig beslissen op klachten van een betrokkene, omdat dit reeds zou volgen uit de systematiek van artikel 6:2, in samenhang gelezen met hoofdstuk 8 respectievelijk artikel 4:13, eerste lid, in samenhang gelezen met artikel 6:12 en afdeling 8.2.4a (beroep bij niet tijdig handelen) van de Awb.

Op dit punt wordt de lezing van de Autoriteit persoonsgegevens gevolgd. Het wetsvoorstel en paragraaf 3.3.2 zijn dienovereenkomstig aangepast.

7.2.15 Overgangsrecht

De Autoriteit persoonsgegevens adviseert ten aanzien van de samenwerkingsprotocollen met andere toezichthouders overgangsrecht op te nemen. Daarnaast adviseert de Autoriteit persoonsgegevens om op te nemen dat ten aanzien van lopende procedures het recht van toepassing is zoals dit gold voorafgaand aan de inwerkingtreding van de Uitvoeringswet.

Beide punten zijn overgenomen in het overgangsrecht (artikel 48).

De redactionele opmerkingen van de Autoriteit persoonsgegevens zijn, waar passend, overgenomen.

  • 8. 
    Implementatietabel

Een verordening werkt in beginsel rechtstreeks en behoeft geen omzetting naar nationaal recht. In de verordening wordt echter op een aantal punten ruimte gelaten voor lidstatelijk recht, hetzij voor een nadere concretisering van de verordening, hetzij voor afwijkingen van en uitzonderingen op specifieke bepalingen van de verordening. Ook verplicht de verordening soms tot het treffen van een regeling in nationaal recht.

In onderstaande tabel is weergegeven hoe de bepalingen uit de verordening waarbij rechtstreekse werking niet volstaat, zijn of worden geïmplementeerd (kolom 3). Ook is een kolom opgenomen waarin wordt aangegeven of het betreffende verordening-artikel een facultatieve bepaling is, en, zo ja, hoe deze is ingevuld in het onderhavige wetsvoorstel.

Tussen haakjes zijn artikelleden en -onderdelen vermeld.

AVG artikel

Onderwerp

UAVG

Over-weging uit AVG

Aanwezigheid en invulling van facultatieve bepalingen

Wbp artikel

Hoofdstuk I AVG - Algemene bepalingen

1

Onderwerp en doelstellingen

ov. 1-14

-

-

2

Materiële toepassingsgebied van de AVG

ov. 14-21, 27

-

2

3

Territoriaal toepassingsgebied

ov. 22-25

-

4

4

Definities

ov. 26-37

-

1

5

Beginselen

ov. 39

-

6, 7, 9-11, 13, 15

Hoofdstuk II AVG - Beginselen voor verwerking

6(1)

Grondslagen

ov. 40-50

-

8

6(2)

Specifiekere bepalingen inzake wettelijke plicht en taak van algemeen belang

-

Van deze mogelijkheid is in dit wetsvoorstel geen gebruik gemaakt.

-

6(3)

Bepalingen wettelijke plicht / taak van algemeen belang

ov. 45

Deze bepalingen zijn opgenomen in sectorspecifieke regelgeving.

-

6(4)

Verenigbaarheid

ov. 50

-

9

7

Voorwaarden voor toestemming

ov. 32, 33, 42, 43

-

1(i)

8

Voorwaarden voor toestemming in geval van kind bij internet- en mobieletelefoniediensten

ov. 38

Van de mogelijkheid uit lid 1, slotzin, om te voorzien in een lagere leeftijdsgrens dan 16 jaar is geen gebruik gemaakt.

5(1)

9(1)

Verbod verwerking bijzondere persoonsgegevens

22(1) UAVG

ov. 34, 35, 51

-

16

9(2) aanhef

Uitzonderingen

ov. 51-56

-

9(2)(a)

Uitdrukkelijke toestemming

22(2)(a) UAVG

ov. 33

Van de mogelijkheid om deze uitzonderingsgrond uit te sluiten, is geen gebruik gemaakt.

23(1)(a)

9(2)(b)

Socialezekerheidsrechtelijke verwerkingen

30(1) UAVG

ov. 52

Van deze uitzonderingsbepaling is gebruikgemaakt.

21(1)(f)

9(2)(c)

Vitale belangen

22(2)(b) UAVG

-

-

23(1)(d)

9(2)(d)

Instelling op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied

22(2)(c) UAVG

ov. 55, 56

-

17, 19, 20

9(2)(e)

Kennelijk openbaar gemaakte gegevens

22(2)(d) UAVG

-

-

23(1)(b)

9(2)(f)

Verdediging van een recht in rechte

22(2)(e) UAVG

ov. 52

-

23(1)(c)

9(2)(g)

Zwaarwegend belang

23, 25, 26, 27, 28, 29, 30(2) UAVG

-

Van deze uitzonderingsbepaling is gebruikgemaakt.

23(1)(e+ g), 22(5), 18, 19(1)(b), 17(1)(c), 21(4), 21(1)(c,d,e)

9(2)(h)

Medische redenen en beheer van gezondheidsdiensten en sociale stelsels

30(3) UAVG

ov. 52-53

Van deze uitzonderingsbepaling is gebruikgemaakt.

21(1)(a+)

9(2)(i)

Gezondheidszorg algemeen

ov. 52, 53, 54

Van deze uitzonderingsbepaling is geen gebruik gemaakt.

23(1)(f)

9(2)(j)

Archivering in alg. belang of wetenschappelijk of historisch onderzoek of statistische doeleinden

24 UAVG

-

Van deze uitzonderingsbepaling is gebruikgemaakt.

23(2)

9(3)

Geheimhouding

30(4) UAVG

-

-

21(2)

9(4)

Aanvullend recht genetische, biometrische of gezondheidsgegevens

28 UAVG

ov. 53

Van deze bepaling inzake aanvullende vereisten is gebruikgemaakt.

21(4)

10

Strafrechtelijke persoonsgegevens

31-33 en 17 UAVG

-

Van de mogelijkheid tot uitzonderingen op deze grondslag is gebruikgemaakt.

16, 22

11

Geen identificatie vereist

ov. 57

-

-

Hoofdstuk III AVG - Rechten van de betrokkene

12

Transparantie algemeen

ov. 58-59

-

33-42

13

Informatieverstrekking (bij direct verkregen persoonsgegevens)

ov. 60-62

-

33

14

Informatieverstrekking (bij indirect verkregen persoonsgegevens)

ov. 60-62

-

34

15

Inzagerecht

ov. 63-64

-

35

16

Correctierecht

-

-

36

17

Recht op gegevenswissing / «recht op vergetelheid»

ov. 65-66

-

36

18

Recht op beperking van de verwerking

ov. 67

-

-

19

Kennisgevingsplicht inzake rectificatie, wissing of beperking

ov. 66

-

38

20

Dataportabiliteit

ov. 68

-

-

21

Recht van bezwaar

ov. 69-70

-

40, 41

22

Geautomatiseerde besluitvorming

40 UAVG

ov. 71-72

De mogelijkheid tot uitzondering uit lid 2, onderdeel b, is gebruikt.

42

23

Uitzonderingen/beperkingen op 5, 12-22, 34 AVG

41, 42 en 47 UAVG

ov. 73

Van de mogelijkheid tot uitzonderingen is gebruikgemaakt.

43, 34a(11), 36(5) en 40(4)

Hoofdstuk IV AVG - Verwerkingsverantwoordelijke en verwerker

24

Reikwijdte verantwoordelijkheid van de verwerkingsverantwoordelijke

ov. 74-77

-

-

25

Privacy by design and default

ov. 78

-

-

26

Gezamenlijke verwerkingsverantwoordelijken

ov. 79

-

-

27

Vertegenwoordiger van niet in EU gevestigde verwerkingsverantwoordelijken of verwerkers

ov. 80

-

4(3)

28

Verwerker

ov. 81

-

14, 12

29

Verwerking onder gezag

-

-

12(1)

30

Register verwerkingen

ov. 82

-

-

31

Medewerkingsplicht met toezichthouder

ov. 82

-

61, 66 jo. 5:20 Awb

32

Beveiliging van verwerking

ov. 83

-

13, 14

33

Meldplicht datalekken aan toezichthouder

ov. 85, 87, 88

-

34a(1)

34

Meldplicht datalekken aan betrokkene

ov. 86-88

-

34a(2)

35

PIA / GEB

ov. 84, 89-93

-

-

36(1-3)

Voorafgaande raadpleging toezichthouder

ov. 94, 95

-

-

36(4)

Wetgevingsadvisering toezichthouder

ov. 96

-

51(2)

36(5)

Voorafgaande toestemming bij taak van algemeen belang

-

Van de mogelijkheid om in deze gevallen categorisch voorafgaande toestemming verplicht te stellen, is geen gebruik gemaakt.

-

37

Aanwijzing functionaris gegevensbescherming

ov. 97

Van de mogelijkheid uit lid 4 om in meer gevallen dan genoemd in lid 1 te verplichten tot aanwijzing van fg’s, is geen gebruik gemaakt.

62, 63(1)

38(1-4,6)

Positie functionaris gegevensbescherming

-

-

63

38(5)

Geheimhoudingsplicht functionaris gegevensbescherming

39 UAVG

-

-

63(4)

39

Taken functionaris gegevensbescherming

ov. 97

-

64

40

Gedragscodes

14(2) UAVG t.b.v. 40(5)AVG

ov. 98-99

-

25-26

41

Toezicht op goedgekeurde gedragscode

-

-

25-26

42

Certificering

ov. 100

-

-

43

Certificeringsorganen

21 UAVG

-

-

Hoofdstuk V AVG - Doorgifte aan derde landen en internationale organisaties

44

Algemeen beginsel inzake doorgiften

ov. 101, 102

-

-

45

Doorgiften op basis van adequaatheidsbesluiten

ov. 103-107, 114

-

76, 78

46

Doorgiften op basis van passende waarborgen

ov. 108-109

-

77(1)(g) en 77(2)

47

Bindende bedrijfsvoorschriften

ov. 110

-

-

48

Niet bij EU-recht toegestane doorgiften of verstrekkingen

ov. 115

-

-

49

Afwijkingen voor specifieke situaties internationale doorgifte

ov. 111-115

Eerste lid, onderdeel d, jo. vierde lid: deze mogelijkheid om wegens gewichtige redenen van algemeen belang doorgifte toe te staan, zal in sectorspecifieke regelgeving moeten worden vastgesteld, indien passend. Eerste lid, onderdeel g: gegevensverwerkingen uit openbare registers zijn geregeld in de wetgeving ter zake.

77

50

Samenwerking toezichthouders

ov. 116

-

61(6)

Hoofdstuk VI AVG - Onafhankelijke toezichthoudende autoriteiten

51

Instelling toezichthouder

6(1+2) en 15(1) UAVG

ov. 117, 123

Van de mogelijkheid om meer dan één toezichthouder aan te wijzen is geen gebruik gemaakt.

51

52(1-3)

Onafhankelijkheid toezichthouder

7-13 UAVG

ov. 118, 120

-

52(2), 59, 59a

52(4+5)

Lidstaat zorgt voor personele, technische en financiële middelen en voor door toezichthouder gekozen personeel

10 UAVG

ov. 120, 121

-

56

52(6)

Financieel toezicht

Huidige Kaderwet zbo’s

ov. 118

-

-

53

Voorwaarden leden toezichthouder, procedure

7(3) UAVG

ov. 121

-

53, 54, 55

54(1)(a)

Regels inzake instelling toezichthouder

6 UAVG

-

-

53, 59, 59a

54(1)(b)

Benoemingsvoorwaarden leden

7(4+2) UAVG

-

-

53(2+1)

54(1)(c)

Benoemingsprocedure leden

7(3) UAVG

-

-

53(3)

54(1)(d)

Ambtstermijn leden

7(5) UAVG

-

-

53(3)

54(1)(e)

Mogelijkheid herbenoeming leden

7(6) UAVG

-

Van de mogelijkheid tot herbenoeming is gebruikgemaakt

53(3)

54(1)(f)

Integriteitsregels

8 UAVG, huidig 13 Kaderwet zbo’s en 61(4) ARAR

-

-

54

54(2)

Geheimhoudingsplicht

Huidig 125a(3) Ambtenarenwet

-

-

-

55

Competentie toezichthouder

ov. 20, 122, 123

-

60, 61

56

Competentie leidende toezichthouder en one stop shop mechanisme

ov. 124-128

-

-

57

Taken toezichthouder

14(1) UAVG

ov. 129

-

51

58(1-3)

Bevoegdheden toezichthouder

14(1) en 15(1) UAVG

ov. 122, 129

-

61, 65

58(4)

Waarborgen van toepassing op optreden toezichthouder

14(4) UAVG en huidige Awb, m.n. hfd. 5 en 8

-

-

58(5)

In rechte optreden tegen inbreuken op AVG

20 UAVG

ov. 129

-

-

58(6)

Mogelijkheid voor lidstaten om toezichthouder bijkomende bevoegdheden te geven

15, 16 en 36 UAVG en huidige titel 5.2/ 5.3 Awb

-

Beleidsruimte gebruikt om Awb-bevoegdheden inzake toezicht op de naleving (titel 5.2 Awb) en last onder dwangsom en last onder bestuursdwang te behouden. Ook behoud van bevoegdheid betreden woning (huidig art. 61(2) Wbp).

47, 61, 65

59

Jaarverslag toezichthouder

-

-

58

Hoofdstuk VII AVG - Samenwerking en coherentie

60

Samenwerking leidende toezichthouder en andere betrokken toezichthouders

ov. 130, 131, 138

-

-

61

Informatie en wederzijdse bijstand

ov. 133

-

61(6)

62

Gezamenlijke werkzaamheden toezichthouders

ov. 134

Lid 3: het betreft hier een algemene verwijzing naar het lidstatelijk recht dat voorziet in bevoegdheden voor de toezichthoudende autoriteit.

-

63

Coherentiemechanisme

ov. 135

-

-

64

Advies van het Comité

ov. 136

-

-

65

Geschillenbeslechting door het Comité

ov. 136

-

-

66

Spoedprocedure betrokken toezichthouder

ov. 137

-

-

67

Informatie-uitwisseling

-

-

-

68

Europees Comité voor gegevensbescherming

ov. 139

-

-

69

Onafhankelijkheid Comité

ov. 139

-

-

70

Taken Comité

ov. 139

-

-

71

Jaarverslag Comité

-

-

-

72

Procedurevoorschriften Comité

-

-

-

73

Voorzitter Comité

-

-

-

74

Taken voorzitter Comité

ov. 139

-

-

75

Secretariaat Comité

ov. 140

-

-

76

Vertrouwelijkheid Comité

-

-

-

Hoofdstuk VIII AVG - Beroep, aansprakelijkheid en sancties

77

Klachtrecht bij toezichthouder

ov. 141

-

60

78(1,3,4)

Voorziening in rechte tegen toezichthouder

Huidig hfd. 6-8 Awb

ov. 143

-

-

78(2)

Voorziening bij niet behandelen klacht

Huidig

4:13, 6:2 en 6:12 Awb

ov. 143

-

-

79

Voorziening in rechte tegen verwerkingsverantwoordelijke of verwerker

34/35/36 UAVG en huidig hfd. 8 Awb en Wetboek Burg. Rv

ov. 145

-

45-48

80

Vertegenwoordiging van betrokkenen

37 UAVG

ov. 142

Lid 2: er is geen behoefte aan de ruimte die dit artikel laat voor lidstatelijk recht.

50(2)

81

Schorsing procedure i.v.m. litispendentie

ov. 144

-

-

82

Recht op schadevergoeding en aansprakelijkheid

Huidige titel 8.4 Awb of civiele rechter

ov. 146-147

-

49, 50

83(1-6,9)

Voorwaarden aan opleggen van administratieve boetes

14(3) UAVG

ov. 148-152

-

66-71

83(7)

Mogelijkheid van regels over boetes aan overheden

18 UAVG

-

Van de mogelijkheid is gebruikgemaakt.

-

83(8)

Procedurele waarborgen

Huidige titel 5.4 en hfd. 6-8 Awb

ov. 148

-

-

83(9)

Rechtsstelsel zonder administratieve boetes

ov. 151

-

84

Andere sancties van nationaal recht

17 UAVG

-

-

75

Hoofdstuk IX AVG - Specifieke verwerkingen

85

Verwerking en vrijheid van meningsuiting en informatievrijheid

43 UAVG en 7(1) Grondw.

ov. 153

-

3

86

Verwerking en toegang tot officiële documenten

Huidig 10(1)(d) Wob

ov. 154

-

-

87

Verwerking nationaal identificatienummer

46 UAVG, huidige Wabb en Wet aanv. bep. verw. persoonsgegevens in de zorg

-

-

24

88

Verwerking in kader arbeidsverhouding

ov. 155

Van de mogelijkheid tot specifieke bepalingen over gegevenswerking in het kader van arbeidsverhoudingen is geen gebruik gemaakt.

-

89

Archivering in het algemeen belang en wetenschappelijke, historische of statistische doeleinden

44 en 45 UAVG

ov. 156-163

De mogelijkheden uit lid 2 en 3 om uitzonderingen te maken, zijn gebruikt.

9(3), 10(2), 44

90

Geheimhoudingsplicht aanvullend nationaal recht

15(4) UAVG

ov. 164

De mogelijkheid van lid 1 van een uitzondering op geheimhoudingsplichten i.v.m. toezicht is gebruikt.

61(5)

91

Bestaande regels kerken en religieuze verenigingen

ov. 165

-

-

Hoofdstuk X AVG - Gedelegeerde handelingen

92

Uitoefening van bevoegdheidsdelegatie

ov. 166, 167

-

-

93

Comitéprocedure

ov. 168-169

-

-

Hoofdstuk XI AVG - Slotbepalingen en overgangsrecht

94

Intrekken richtlijn 95/46/EG i

ov. 171

-

-

95

Verhouding tot richtlijn 2002/58/EG i

ov. 173

-

-

96

Verhouding tot eerder gesloten overeenkomsten

-

-

-

97

Commissieverslagen

-

-

-

98

Toetsing andere EU-regels gegevensbescherming

-

-

-

99

Inwerkingtreding en toepassing

-

-

-

Artikelsgewijze toelichting

Artikel 1

In dit artikel zijn enkele definities opgenomen, die voor de Uitvoeringswet van belang zijn. Daarnaast gelden definities zoals opgenomen in artikel 4 van de verordening uiteraard rechtstreeks.

Over de definitie van persoonsgegevens van strafrechtelijke aard kan het volgende worden opgemerkt. Dit begrip bevat twee verschillende elementen. In de eerste plaats vallen hieronder de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen als bedoeld in artikel 10 van de verordening. De Wbp stelt hiermee op één lijn persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag. Dit wordt voortgezet in de Uitvoeringswet door ook deze gegevens onderdeel te laten zijn van de definitie van persoonsgegevens van strafrechtelijke aard. De verordening biedt deze ruimte.

Artikel 2

Dit artikel bepaalt het materiële toepassingsbereik van de Uitvoeringswet. De wet is, als hoofdregel, van toepassing in alle gevallen, waarin de verordening ook van toepassing is. De verordening kent in artikel 2, eerste lid, een omschrijving van het materiële toepassingsbereik. In het eerste lid van dat artikel wordt het toepassingsbereik omschreven. Deze omschrijving is overgenomen in artikel 2, eerste lid, van de Uitvoeringswet. Artikel 2, tweede lid, van de verordening bevat een limitatief aantal uitzonderingen op de werkingssfeer van de verordening. Deze uitzonderingen gelden ook voor de Uitvoeringswet (artikel 2, derde lid), behoudens het bepaalde in artikel 3 van deze wet (zie hierna).

Het materiële toepassingsbereik van de verordening zoals omschreven in artikel 2 van de verordening wordt toegelicht in paragraaf 2.2 van het algemene deel van deze toelichting. Hetgeen daar is toegelicht is van overeenkomstige toepassing op artikel 2, eerste en derde lid, van de Uitvoeringswet.

Op grond van artikel 2, tweede lid, van de Uitvoeringswet is deze wet niet van toepassing op de verwerking van persoonsgegevens die is geregeld bij of krachtens de Wet basisregistratie personen, de Kieswet of de Wet raadgevend referendum. In die wetten zal zelfstandige uitvoering worden gegeven aan de verordening, gelet op de bijzondere context waarin de verwerking van persoonsgegevens plaatsvindt. De Wet basisregistratie personen en de Kieswet gelden nu ook als specifieke implementatiewetgeving van richtlijn 95/46/EG i.

Artikel 3

Op grond van artikel 2, tweede lid, onderdeel a, van de verordening is de verordening niet van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen. Hetzelfde geldt voor de Uitvoeringswet (zie artikel 3, eerste lid, onderdeel a, van dit wetsvoorstel). In paragraaf 2.2 van het algemene deel van de toelichting is uiteengezet dat dit betekent dat alleen gegevensverwerkingen die in hun geheel zijn uitgezonderd van de werking van het Europees recht, buiten de materiële werkingssfeer van de verordening vallen. De regering gaat er vooralsnog van uit dat dit alleen geldt voor verwerkingen in het kader van de Wet op de inlichtingen- en veiligheidsdiensten 2002, die naar verwachting 1 mei 2018 zal worden vervangen door de Wet op de inlichtingen- en veiligheidsdiensten 2017, en verwerkingen door de krijgsmacht ten behoeve van de uitvoering van haar taken, bedoeld in artikel 97 van de Grondwet (de verdediging en bescherming van de belangen van het Koninkrijk en de handhaving en bevordering van de internationale rechtsorde). Voor de volledigheid kan nog worden opgemerkt dat de verwerking van persoonsgegevens door de krijgsmacht ten behoeve van de uitvoering van taken op het gebied van het gemeenschappelijk veiligheidsbeleid van de Unie is uitgezonderd op grond van artikel 2, tweede lid, onderdeel b, van de verordening.

Het kan niet bij voorbaat worden uitgesloten dat er toch nog andere dan de hiervoor genoemde verwerkingen bestaan die onder uitzonderingsgrond van artikel 2, tweede lid, onderdeel a, van de verordening vallen. Om te voorkomen dat op dergelijke verwerkingen in het geheel geen regels omtrent de bescherming van de persoonlijke levenssfeer van toepassing zouden zijn, worden de Uitvoeringswet en de verordening op deze verwerkingen respectievelijk van toepassing en van overeenkomstige toepassing verklaard (artikel 3 van de Uitvoeringswet). Dit geldt uiteraard niet voor verwerkingen in het kader van de Wet op de inlichtingen- en veiligheidsdiensten 2002.

Zoals hierboven aangegeven zijn gegevensverwerkingen in het kader van inzet van de krijgsmacht op basis van artikel 2 van de verordening uitgesloten van de reikwijdte van de verordening. Het is desalniettemin wenselijk dat op verwerkingen door de krijgsmacht ten behoeve van de uitvoering van haar taken, bedoeld in artikel 97 van de Grondwet, de Uitvoeringswet en de verordening in beginsel wel van toepassing onderscheidenlijk van overeenkomstige toepassing zijn.

Hiermee wordt de huidige in de Wbp vervatte lijn (artikel 2, derde lid, van de Wbp) voortgezet dat ook in geval van inzet of het ter beschikking stellen van de krijgsmacht waar mogelijk de algemene beginselen voor de verwerking van persoonsgegevens in acht worden genomen. Er moet evenwel een mogelijkheid zijn om af te wijken, omdat bij inzet in internationale militaire operaties niet altijd kan worden gevergd dat alle bepalingen onverkort worden toegepast. De omstandigheden waarin de krijgsmacht soms moet functioneren, laten dat niet altijd toe. Hierom is het wenselijk om de Minister van Defensie de bevoegdheid te geven om hierop een uitzondering te maken als er sprake is van daadwerkelijke operationele inzet van de krijgsmacht. In de huidige in de Wbp vervatte regeling wordt de uitzonderingsmogelijkheid gerelateerd aan de inzet of het ter beschikking stellen van de krijgsmacht ter handhaving en bevordering van de internationale rechtsorde. Ingevolge artikel 97 Grondwet kan inzet of het ter beschikking stellen van de krijgsmacht zich ook voordoen in het kader van de (bondgenootschappelijke) verdediging. Gelet daarop is er bij de formulering van artikel 3 van de Uitvoeringswet voor gekozen te verwijzen naar de in artikel 97 van de Grondwet omschreven taken van de krijgsmacht.

Artikel 4

Dit artikel bepaalt de territoriale reikwijdte van de Uitvoeringswet. De verordening voorziet zelf voor een belangrijk deel in het bepalen van de territoriale reikwijdte in artikel 3 van de verordening. Artikel 3, eerste lid, van de verordening verklaart de verordening van toepassing op verwerkingsverantwoordelijken en verwerkers die gevestigd zijn in de Unie. Dit is overeenkomstig richtlijn 95/46/EG i en de Wbp. Een substantieel verschil ten opzichte van richtlijn 95/46/EG i en de Wbp is, ingevolge artikel 3, tweede lid, van de verordening, dat de verordening ook van toepassing is op verwerkingsverantwoordelijken die goederen of diensten aanbieden aan betrokkenen binnen de Unie of hun gedrag binnen de Unie monitoren. Hiermee kan de verordening ook van toepassing zijn op verwerkingsverantwoordelijken en verwerkers die zelf buiten de Unie zijn gevestigd. Artikel 3, derde lid, van de verordening bepaalt ten slotte dat de verordening van toepassing is bij verwerkingen op een plaats waar krachtens internationaal publiekrecht het recht van een van de lidstaten van toepassing is.

Op zichzelf volgt het territoriaal toepassingsbereik van de verordening rechtstreeks uit de verordening, en behoeft dit geen omzetting in nationaal recht. De verordening bevat echter logischerwijs geen afbakening van de territoriale reikwijdte van het lidstatelijk recht dat is gebaseerd op de verordening. Daartoe is in de Uitvoeringswet artikel 4 opgenomen. Dit is met name van belang, nu de lidstaten op een aantal terreinen bevoegdheden hebben om in de nationale wet uitzonderingen op de verordening of specifieke onderdelen van de verordening te maken. Men denke hierbij aan bijvoorbeeld de specifiek nationale regelgeving met betrekking tot genetische gegevens, specifieke uitzonderingen voor wetenschappelijk onderzoek, of de beperkingen op grond van artikel 23 van de verordening. In de invulling van deze nationale ruimte kunnen en zullen verschillen ontstaan tussen verschillende lidstaten, waardoor het van belang is om te weten welk recht van toepassing is.

De huidige Wbp kent alleen de vestigingsplaats van de verantwoordelijke en de bewerker als aanknopingspunt voor territoriale toepassing. Het ligt voor de hand om dit te continueren voor de Uitvoeringswet. Dit sluit ook aan bij de hoofdregel inzake de competentie van de toezichthoudende autoriteit in artikel 55 van de verordening. De hoofdregel in deze is dat de toezichthoudende autoriteit competentie heeft op het grondgebied van haar lidstaat. Daarnaast wordt in het tweede lid van artikel 4 bepaald dat de Uitvoeringswet van toepassing is op verwerkingsverantwoordelijken en verwerkers die zelf buiten de Unie zijn gevestigd maar die goederen of diensten aanbieden in Nederland (ongeacht of een betaling door de betrokkenen is vereist) of die gedrag dat in Nederland plaatsvindt monitoren.

In de onderstaande tabel wordt het territoriale toepassingsbereik weergegeven voor een aantal verschillende casusposities.60

Vestigingsplaats verwerker/verwerkings-verantwoordelijke

Woonplaats betrokkene of plaats gedragingen van betrokkene

Toepasselijk recht zoals volgend uit de verordening en de Uitvoeringswet

Buiten de Unie

Buiten Nederland, buiten de Unie

Verordening niet van toepassing

Buiten de Unie

Buiten Nederland, binnen een andere lidstaat dan Nederland

Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere lidstaat van toepassing

Buiten de Unie

Binnen Nederland

Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing

Binnen de Unie, in een andere lidstaat dan Nederland

Binnen de Unie, in deze andere lidstaat dan Nederland

Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere nationale lidstaat waar de verwerkingsverantwoordelijke /verwerker is gevestigd, is van toepassing

Binnen de Unie, in een andere lidstaat dan Nederland

Binnen Nederland

Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere nationale lidstaat van toepassing

Binnen de Unie, in een andere lidstaat dan Nederland

Buiten de Unie

Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere nationale lidstaat van toepassing

Binnen Nederland

Binnen Nederland

Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing

Binnen Nederland

In een andere lidstaat dan Nederland

Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing

Binnen Nederland

Buiten de Unie

Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing

Artikel 5

Nederland volgt op het punt van de toestemming voor minderjarigen artikel 8 van de verordening, dat - evenals de Wbp - een leeftijdsgrens van 16 jaar hanteert. Op grond van het eerste lid, van het voorgestelde artikel 5 geldt deze leeftijdsgrens ook als artikel 8 van de verordening niet van toepassing is. Artikel 8 van de verordening ziet slechts op toestemming als sprake is van «een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind». Dit wetsvoorstel regelt dat de regels rond de vervangende toestemming ook van toepassing zijn als sprake is van andere dienstverlening dan diensten van de informatiemaatschappij. Gedacht kan worden aan een overeenkomst om een product aan huis te leveren anders dan via een bestelling op internet.

In het tweede lid voorziet artikel 5 in een regeling voor vervangende toestemming indien de betrokkene onder curatele is gesteld, dan wel indien ten behoeve van de betrokkene een beschermingsbewind of mentorschap is ingesteld. Deze wettelijke vertegenwoordigers kunnen slechts vervangende toestemming geven voor zover het gaat om hun taakuitoefening. De mentor is uitsluitend vertegenwoordigingsbevoegd voor zover het rechtshandelingen betreft in aangelegenheden betreffende de verzorging, verpleging, behandeling en begeleiding van de betrokkene. De beschermingsbewindvoerder is alleen vertegenwoordigingsbevoegd voor zover het gaat om het onder bewind gestelde vermogen van de betrokkene. Een onder curatele gestelde betrokkene is niet in alle gevallen handelingsonbekwaam: de betrokkene is bekwaam met toestemming van zijn curator, voor zover deze bevoegd is de desbetreffende rechtshandeling voor de betrokkene te verrichten.

Uit de verordening volgt direct dat een betrokkene te allen tijde bevoegd is om zijn toestemming in te trekken. Op grond van het voorgestelde derde lid van onderhavig artikel 5 geldt dit ook voor de vervangende toestemming door een curator, beschermingsbewindvoerder of mentor. Deze wettelijk vertegenwoordigers kunnen ook de toestemming intrekken die de betrokkene heeft gegeven vóórdat de beschermingsmaatregel is ingesteld. De bevoegdheid van de betrokkene om zelf toestemming te verlenen en deze in te trekken herleeft zodra de beschermingsmaatregel eindigt.

Tijdens de consultatie van dit wetsvoorstel is door verschillende partijen opgemerkt dat de bestaande leeftijdsgrens van 16 jaar niet in alle gevallen meer overeenkomt met de maatschappelijke opvattingen over het verlenen van toestemming voor kinderen. Hoewel de verordening daartoe ruimte laat, past een door nationale argumenten ingegeven beleidswijziging op dit punt echter niet bij deze Uitvoeringswet, gelet op het beleidsneutrale karakter van dit wetsvoorstel.

Artikel 6

Dit artikel vormt de implementatie van 51 van de verordening en wijst de Autoriteit persoonsgegevens aan als de autoriteit die verantwoordelijk is voor het toezicht op de toepassing van de verordening. Nederland maakt geen gebruik van de mogelijkheden die de verordening biedt om daarnaast nog andere autoriteiten op te richten, die toezicht houden op de uitvoering van (een deelterrein van) de verordening.61

De bestaande situatie onder de Wbp voor wat betreft de formele vormgeving van de Autoriteit persoonsgegevens als zelfstandig bestuursorgaan wordt gecontinueerd. Op grond van de systematiek van de Kaderwet zelfstandige bestuursorganen is deze Kaderwet automatisch van toepassing op na de inwerkingtreding van die wet opgerichte zelfstandige bestuursorganen. Behoudens de in de artikelen 7, 12 en 13 van onderhavig voorstel genoemde uitzonderingen is de Kaderwet zelfstandige bestuursorganen dan ook van toepassing op de Autoriteit persoonsgegevens.

De algemene voorziening zoals voorgesteld in het derde lid biedt een wettelijke grondslag om ter uitvoering van een bindende EU-rechtshandeling bij ministeriële regeling andere taken aan de Autoriteit persoonsgegevens op te dragen. Te denken valt aan (1) adequaatheidsbesluiten van de Europese Commissie of aan (2) EU-verordeningen waarvan de Uitvoeringswetgeving niet binnen de daarvoor gestelde termijn gerealiseerd zal kunnen worden, waardoor het noodzakelijk kan zijn om alvast een interim voorziening te treffen.

Als voorbeeld van de eerste categorie kan het besluit van de Staatssecretaris van Veiligheid en Justitie van 3 november 2016 dienen waarbij voor Nederland de Autoriteit persoonsgegevens is aangewezen als bevoegde autoriteit voor het toezicht op de verwerking van persoonsgegevens door overheidsdiensten in de zin van in de zin van Bijlage III, Bijlage A, § 3, onderdeel a, van uitvoeringsverordening (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig Richtlijn 95/46/EG i van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming (PbEU L 207).62

Een voorbeeld van de tweede categorie betreft het besluit van de Minister van Economische Zaken van 29 juni 2016 tot tijdelijke aanwijzing van een toezichthoudend orgaan, een nationaal orgaan voor informatieveiligheid en een gegevensbeschermingsautoriteit in de zin van verordening (EU) nr. 910/2014 i van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG i (PbEU 2014, L 257).63 De wet ter implementatie van de genoemde verordening is inmiddels op 21 december 2016 tot stand gekomen64 en gefaseerd in werking getreden waarmee het tijdelijke aanwijzingsbesluit van de Minister van Economische Zaken kon komen te vervallen.

Artikel 7

In artikel 7 (eerste tot en met zevende lid) is de samenstelling van de Autoriteit persoonsgegevens geregeld. Daarnaast zijn enkele zaken met betrekking tot de benoeming van de voorzitter en de andere leden geregeld. Voor een toelichting hierop zij verwezen naar paragraaf 3.3 van het algemeen deel van de memorie van toelichting.

Het onafhankelijke karakter van de Autoriteit persoonsgegevens komt onder meer tot uitdrukking in de regeling van ontslag en in de rechtspositie van de voorzitter die vergelijkbaar is met die van leden van de rechterlijke macht.

Artikel 7, achtste lid, bepaalt dat artikel 12 van de Kaderwet zelfstandige bestuursorganen niet van toepassing is. De van toepassing zijnde procedure voor het opleggen van disciplinaire maatregelen, schorsing en ontslag uit de Wet rechtspositie rechterlijke ambtenaren, zoals deze van overeenkomstige toepassing wordt verklaard in artikel 8 van dit wetsvoorstel, en waaraan wordt gerefereerd in het artikel 7, vierde lid, verhoudt zich niet met het bepaalde in artikel 12 van de Kaderwet zelfstandige bestuursorganen. In de thans geldende artikelen 53 en 54 van de Wbp is ook reeds bepaald dit artikel niet van toepassing is, zij het in beide artikelen. In het voorgestelde artikel 8 wordt niet herhaald dat artikel 12 van de Kaderwet zelfstandige bestuursorganen niet van toepassing is, maar daarmee is inhoudelijk geen wijziging beoogd.

In het negende lid wordt de Raad van advies van de Autoriteit persoonsgegevens ingesteld. Vanwege de grote diversiteit aan maatschappelijke sectoren waar vraagstukken rond gegevensverwerking spelen, is er behoefte aan een vele verschillende deskundigen die zitting nemen in de Raad van advies. Voorts wordt voorgesteld om de vergoeding van de kosten aan de leden van de Raad van advies bij ministeriële regeling vast te stellen. Daarmee wordt dit op eenzelfde manier geregeld als voor de leden van de Autoriteit, wier vergoeding eveneens bij ministeriële regeling wordt vastgelegd ingevolge artikel 14, tweede lid, van de Kaderwet zelfstandige bestuursorganen.

Artikel 8

Om de onafhankelijkheid van de leden en plaatsvervangende leden te benadrukken, verklaart dit artikel het bepaalde in de Wet rechtspositie rechterlijke ambtenaren (Wrra) over ontslag, schorsing en disciplinaire maatregelen, met enkele uitzonderingen, van overeenkomstige toepassing. Het artikel komt daarmee inhoudelijk overeen met artikel 54 van de Wbp, met dien verstande dat onderdeel c is toegevoegd. In artikel 54 van de Wbp wordt thans geregeld dat, conform de Wrra, de Hoge Raad bevoegd is om te beslissen over schorsing en ontslag van de voorzitter van de Autoriteit persoonsgegevens. Er is echter ten onrechte nagelaten om te bepalen wie bevoegd is om aan de voorzitter van de Autoriteit persoonsgegevens de disciplinaire maatregel van schriftelijke waarschuwing op te leggen. Het voorgestelde onderdeel c beoogt te voorzien in deze omissie. Ingevolge de systematiek van de Wrra wordt de schriftelijke waarschuwing aan een rechterlijke ambtenaar opgelegd door de president van het betreffende gerecht. Gelet op het functieniveau van de voorzitter van de Autoriteit persoonsgegeven wordt voorgesteld om de president van het gerechtshof van het Hof in Den Haag hiertoe bevoegd te maken omdat bij schorsing en ontslag de, eveneens in Den Haag gevestigde, Hoge Raad beslist. Bovendien is aan de president van het Hof in Den Haag reeds de bevoegdheid toegekend om de maatregel van schriftelijk waarschuwing op te leggen aan de voorzitter van het College voor de rechten van de mens, een zelfstandig bestuursorgaan dat wat betreft onafhankelijke positie vergelijkbaar is met de Autoriteit persoonsgegevens.

Artikel 9

Onder het huidige Wbp-regime worden de regels omtrent de rechtspositie van de voorzitter, de andere leden en de buitengewone leden vastgesteld bij ministeriële regeling (artikel 55 van de Wbp). Middels het onderhavige artikel wordt voorgesteld om dergelijke regels voortaan zoveel mogelijk bij algemene maatregel van bestuur vast te leggen. Door deze regelgevende bevoegdheid niet direct aan de verantwoordelijke Minister toe te bedelen, wordt de Autoriteit persoonsgegevens als zelfstandig bestuursorgaan op grotere afstand van de verantwoordelijke Minister geplaatst. Het voornemen bestaat om bepalingen omtrent benoeming, arbeidsduur, vakantie, verlof en voorzieningen bij ziekte en arbeidsongeschiktheid voor de leden in ieder geval op te nemen in een besluit. Ook worden hierin nadere regels omtrent de rechtspositie van de buitengewone leden. Tevens zal in dit besluit een verplichting worden opgenomen voor de leden om melding te maken van financiële belangen die de belangen van de dienst kunnen raken, voor zover deze in verband staan met de functievervulling van een lid. Een dergelijke meldplicht behoefte verdere uitwerking: beoogd wordt om deze - veelal gedetailleerde - nadere regels vast te leggen in een ministeriele regeling.

Bepalingen omtrent bezoldiging en schadeloosstelling van de leden zullen eveneens in een ministeriële regeling worden vastgelegd. Dit volgt uit artikel 14, tweede lid, van de Kaderwet zelfstandige bestuursorganen (Stb. 2006, 587) waarin bepaald is dat de bezoldiging van een lidmaatschap van een zelfstandig bestuursorgaan vastgesteld wordt door verantwoordelijke Minister. Nu de Autoriteit persoonsgegevens wat betreft dit artikel onder de werking van de Kaderwet zelfstandige bestuursorganen valt, zullen daarom de voorschriften inzake de bezoldiging van zowel de leden als de buitengewone leden worden vastgesteld door de Minister voor Rechtsbescherming.

Artikel 10

Artikel 52, vijfde lid, van de verordening bepaalt dat het personeel van de Autoriteit persoonsgegevens onder exclusieve leiding van (de leden van) de Autoriteit persoonsgegevens staat. In lijn met deze bepaling wordt daarom voorgesteld in artikel 10, eerste lid, om de Autoriteit persoonsgegevens de bevoegdheid te geven om de ambtenaren die werkzaam zijn bij het secretariaat aan te stellen, te bevorderen, disciplinair te straffen, te schorsen en te ontslaan. Dit brengt een wijziging met zich mee ten opzichte van artikel 56 van de Wbp, waarin deze bevoegdheid was toegekend aan de Minister. Te zijner tijd zal deze bepaling nog worden aangepast aan de Wet normalisering rechtspositie ambtenaren.

De verplichting voor de Autoriteit persoonsgegevens om een bestuursreglement vast te stellen (artikel 56, derde lid, van de Wbp) vervalt. Ter uitvoering van het eerste lid, voorzien de nieuwe voorgestelde leden 2 en 3 de Autoriteit persoonsgegevens van de benodigde instrumenten om in de praktijk ook effectief leiding te kunnen geven aan degenen die werkzaam zijn bij het secretariaat. Daartoe wordt in artikel 10, tweede lid, bepaald dat de Autoriteit persoonsgegevens voor toepassing van de Ambtenarenwet het bevoegd gezag is voor de ambtenaren die behoren tot het secretariaat. Omdat deze bepaling zich beperkt tot de Ambtenarenwet zelf en niet tevens de bevoegdheden bestrijkt die aan het bevoegd gezag zijn toegekend in de regelgeving die op de Ambtenarenwet gebaseerd is, zoals in het Algemeen Rijksambtenarenreglement, is in het derde lid de mogelijkheid opgenomen om een vergelijkbare bepaling op te nemen in (en ten behoeve van) lagere regelgeving. Artikel 10, derde lid, biedt dus de grondslag om bij algemene maatregel van bestuur te voorzien in een vergelijkbare bepaling als artikel 10, tweede lid, waardoor de Autoriteit persoonsgegevens het bevoegde gezag wordt in de regelgeving die is gebaseerd op de Ambtenarenwet.

Artikel 11

Dit artikel komt materieel overeen met artikel 57 van de Wbp. Het eerste lid regelt de wijze waarop de Autoriteit persoonsgegevens extern wordt vertegenwoordigd. De leden van de Autoriteit persoonsgegevens zijn elk voor zich bevoegd de Autoriteit persoonsgegevens te vertegenwoordigen volgens een op grond van het tweede lid nader overeen te komen taakverdeling. Er is geen behoefte gebleken aan een gedetailleerde regeling van de interne inrichting van de Autoriteit persoonsgegevens. In de plaats daarvan bepaalt het tweede lid van dit artikel, in navolging van artikel 57, tweede lid, van de Wbp, dat de leden een verdeling van taken vaststellen en hierbij zoveel mogelijk de buitengewone leden betrekken. De buitengewone leden kunnen daarmee een brede maatschappelijke inbreng in de afhandeling van zaken bewerkstelligen. In de praktijk zullen zowel de voorzitter als de beide leden de Autoriteit persoonsgegevens bij haar uiteenlopende werkzaamheden vertegenwoordigen.

Artikel 12

Dit artikel komt overeen met het thans geldende artikel 59 van de Wbp. De onafhankelijke positie van de Autoriteit persoonsgegevens valt niet te rijmen met de verplichting tot het verschaffen van inlichtingen aan de Minister zoals is opgenomen in artikel 20 van de Kaderwet zelfstandige bestuursorganen voor zover deze informatie is verkregen van derden in het kader van de toezichthoudende taak van de Autoriteit persoonsgegevens. De Autoriteit persoonsgegevens is wel gehouden om desgevraagd inlichtingen te verschaffen aan de Minister die betrekking hebben op zaken als personeel, budget en formatie.

Artikel 13

Dit artikel komt overeen met artikel 59a van de Wbp. Gelet op de in overweging 117 van de verordening genoemde onafhankelijkheid van de taakuitoefening van de Autoriteit persoonsgegevens (vergelijkbaar met artikel 28, eerste lid, van richtlijn 95/46/EG i) worden de artikelen 21 (bevoegdheid Minister tot het stellen van beleidsregels over de taakuitoefening van een zbo) en 22 (bevoegdheid Minister tot vernietiging van besluiten van een zbo) van de Kaderwet zelfstandige bestuursorganen niet van toepassing verklaard op de Autoriteit persoonsgegevens. Daarnaast wordt voorgesteld om in verband met de onafhankelijke positie van de Autoriteit persoonsgegevens in het tweede lid het taakverwaarlozingsartikel (artikel 23 van de Kaderwet zelfstandige bestuursorganen) alleen van toepassing te verklaren op het gevoerde financiële beheer en de administratieve organisatie van de Autoriteit persoonsgegevens.

Artikel 14

De Autoriteit persoonsgegevens vervult de taken en oefent de bevoegdheden uit die bij of krachtens de verordening zijn toegekend aan de toezichthoudende autoriteit

In het tweede lid wordt voorgesteld om de openbare voorbereidingsprocedure van de Awb van toepassing te laten zijn op de voorbereiding van een besluit tot goedkeuring, wijziging of uitbreiding van een gedragscode als bedoeld in artikel 40 van de verordening.

Ook het de huidige artikel 25, vierde lid, van de Wbp voorziet in een vergelijkbare regeling zij het dat deze regeling niet alleen betrekking heeft op goedkeuringsbesluiten, maar ook op besluiten tot verlenging van de goedkeuring omdat goedkeuringsbesluiten op grond van de Wbp gelden voor een maximale periode van vijf jaar na de bekendmaking van het besluit. Op grond van de verordening is de goedkeuring van een gedragscode niet in tijd gelimiteerd, zodat de regeling met betrekking tot verlenging is komen te vervallen.

Het derde lid bepaalt dat de Autoriteit persoonsgegevens een bestuurlijke boete kan opleggen in geval van overtreding van het bepaalde in artikel 83, vierde, vijfde of zesde lid. De verordening hanteert de term «administratieve geldboete». Dergelijke boetes worden in Nederland bestuurlijke boetes genoemd. In dit voorstel wordt dan ook gesproken van bestuurlijke boetes. Op grond van artikel 5:46 van de Awb bepaalt de wet het boetemaximum. In dit geval gelden er verschillende boetemaxima op grond van de leden vier tot en met zes. Daarom is verwezen naar de boetemaxima in de verordening. Titel 5.4 van de Awb, die specifiek betrekking heeft op bestuurlijke boetes, is - naast titel 5.1 - van toepassing op de opgelegde boetes.

Artikel 58, tweede lid, van de verordening bevat een scala aan zogenaamde «corrigerende maatregelen». Het kan bijvoorbeeld gaan om het berispen van een verwerkingsverantwoordelijke of om het opleggen van tijdelijke of definitieve verwerkingsbeperkingen, waaronder een verwerkingsverbod. Ook het opleggen van een bestuurlijke boete is op grond van artikel 58, tweede lid, een corrigerende maatregel. Het vierde lid verklaart de Awb-bepalingen die betrekking hebben op bestuurlijke sancties van overeenkomstige toepassing op de oplegging van de corrigerende maatregelen genoemd in de onderdelen b tot en met j. De in onderdeel a genoemde waarschuwing dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op de bepalingen van de verordening wordt gemaakt, is geen bestuurlijke sanctie. Op deze wijze wordt rechtszekerheid gecreëerd over het formele karakter van het optreden van de Autoriteit persoonsgegevens op grond van deze bevoegdheid uit de verordening.

Het vijfde lid gaat over de opschorting van beslistermijnen van de Autoriteit persoonsgegevens. De verordening regelt niets over de mogelijkheid tot opschorting en verlenging van beslistermijnen. Artikel 4:15 van de Awb biedt onvoldoende de mogelijkheid om de beslistermijn op te schorten in het specifieke geval dat de Autoriteit persoonsgegevens, in het kader van het geven van een beschikking op een aanvraag, de samenwerkings- en coherentieprocedures in hoofdstuk VII van de Verordening moet volgen (artikelen 60 tot met 66). Om praktische uitvoeringsproblemen te voorkomen, wordt een aanvullende mogelijkheid tot opschorting voorgesteld in het vijfde lid. De Autoriteit persoonsgegevens zal van de voorgestelde opschortingsbevoegdheid waarschijnlijk gebruik moeten maken in geval van bijvoorbeeld het geven van toestemming voor individuele contractbepalingen of het geven van goedkeuring aan bindende bedrijfsvoorschriften (artikelen 46, derde lid, en 47 van de verordening).

Artikel 15

Artikel 15 regelt welke personen zijn of kunnen worden belast met het toezicht op de naleving van deze wet. Deze personen worden beschouwd als «toezichthouder» in de zin van artikel 5:11 van de Awb en beschikken derhalve over de bevoegdheden van titel 5.2 van de Awb. Het betreft hier onder meer het vragen van inlichtingen, het vorderen van inzage in zakelijke gegevens en bescheiden en het onderzoeken van zaken en vervoermiddelen. Voorts geldt op grond van artikel 5:13 van de Awb de beperking dat de toezichthouder de bevoegdheid slechts mag gebruiken voor zover dat redelijkerwijs nodig is voor de vervulling van zijn taak. De verordening spreekt in artikel 51, eerste lid, overigens van «toezicht op de toepassing». In dit artikel wordt in aansluiting op de vaste terminologie van de Awb evenwel gesproken van «toezicht op de naleving».

In aanvulling op dit basispakket bevoegdheden is in het tweede lid de bevoegdheid opgenomen om onder bepaalde voorwaarden een woning te betreden zonder toestemming van de bewoner. Deze bevoegdheid bestaat ook thans al op grond van artikel 61 van de Wbp. De in het derde lid opgenomen extra waarborg inhoudende dat de toezichthouder voor de uitoefening van de bevoegdheid van het tweede lid de uitdrukkelijke en bijzondere volmacht van de Autoriteit persoonsgegevens, behoeft, bestaat eveneens reeds op grond van artikel 61 van de Wbp.

Het vierde lid is gelijk aan het huidige artikel 61, vijfde lid, van de Wbp. Artikel 2:5 van de Awb verplicht de Autoriteit persoonsgegevens als bestuursorgaan tot geheimhouding. Afhankelijk van de omstandigheden, bijvoorbeeld wanneer dit nodig is om misstanden aan de kaak te stellen, zal het echter tot haar taak behoren dat bepaalde - door haar ontdekte - zaken bekend worden gemaakt. Het is niet uitgesloten dat ook de daarbij betrokken verwerkingsverantwoordelijke wordt bekendgemaakt. Doorslaggevend is of een goede taakuitoefening van de Autoriteit persoonsgegevens daartoe noodzaakt. In andere gevallen zullen bij een eventueel beroep op de Wet openbaarheid van bestuur de belangen van de verwerkingsverantwoordelijke zwaarder moeten worden afwogen tegen het belang van het verstrekken van informatie aan een geïnteresseerde verzoeker.

Het vijfde lid ten slotte bepaalt duidelijkheidshalve dat dit artikel en titel 5.2 van de Awb (getiteld «Toezicht op de naleving») van overeenkomstige toepassing zijn voor zover dit noodzakelijk is voor een goede uitoefening van de taken die de Autoriteit persoonsgegevens uitvoert in het kader van hoofdstuk VII van de verordening. Dit hoofdstuk heeft betrekking op de samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten. Dit zijn de taken die de Autoriteit persoonsgegevens verricht in het kader van ondersteuning van andere toezichthoudende autoriteiten. De Autoriteit persoonsgegevens is in dat verband geen toezichthouder. Daardoor kunnen de bepalingen niet in alle gevallen geheel letterlijk worden toegepast. Dat is de reden om ze van overeenkomstige toepassing te verklaren.

Artikel 16

Artikel 58, zesde lid, van de verordening biedt de ruimte om, naast de bevoegdheden waarin de verordening voorziet, bij lidstatelijk recht aanvullende bevoegdheden te geven, mits deze geen afbreuk doen aan de doeltreffende werking van hoofdstuk VII. In de praktijk blijken de last onder bestuursdwang en de last onder dwangsom effectieve middelen te zijn om overtredingen van regels inzake de bescherming van persoonsgegevens snel te beëindigen.

De last onder bestuursdwang kan worden opgelegd in dezelfde gevallen als waarin een administratieve boete kan worden opgelegd op basis van artikel 83 van de verordening en voor inbreuken op het bepaalde in artikel 10 van de verordening en de daarop gebaseerde bepalingen in dit wetsvoorstel. Hiermee is het dus bijvoorbeeld ook mogelijk om de verplichting voor verwerkingsverantwoordelijken en verwerkers om toegang te verschaffen tot alle persoonsgegevens en alle informatie die noodzakelijk is voor de uitoefening van de taken van de Autoriteit persoonsgegevens (op grond van artikel 58, eerste lid, onderdeel e, van de verordening) af te dwingen door het opleggen van een last onder dwangsom.

Artikel 17

Artikel 84 van de verordening verplicht de lidstaten ertoe regels vast te stellen inzake andere sancties die van toepassing zijn op inbreuken op deze verordening, in het bijzonder op inbreuken die niet aan bestuurlijke boetes onderworpen zijn overeenkomstig artikel 83. Artikel 83 biedt echter reeds een zeer uitgebreide catalogus van artikelen die bij overtreding kunnen leiden tot een bestuurlijke boete. In feite zijn hiermee overtredingen op vrijwel alle artikelen die enige materiële normstelling voor de verwerkingsverantwoordelijke inhouden in de verordening reeds beboetbaar op grond van de verordening. Een artikel is in de opsommingen evenwel afwezig: artikel 10 van de verordening. Dit artikel voorziet in de mogelijkheid om bij lidstatelijk recht verwerking van persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen toe te staan. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid. Het voorgestelde artikel bepaalt dat inbreuken op artikel 10 en inbreuken op de artikelen van deze wet die zien op de verwerking van persoonsgegevens van strafrechtelijke aard, eveneens kunnen worden beboet.

De maximale hoogte van de bestuurlijke boete sluit aan bij de maximale hoogte van de bestuurlijke boetes die kunnen worden opgelegd op grond van artikel 83, vijfde lid, van de verordening. In dat artikel is het sterk vergelijkbare artikel 9, dat ziet op de verwerking van bijzondere categorieën van persoonsgegevens, gesanctioneerd.

Artikel 18

In dit artikel wordt invulling gegeven aan artikel 83, zevende lid, van de verordening dat aan lidstaten de mogelijkheid laat om te bepalen dat ook aan overheidsinstanties en overheidsorganen, bestuurlijke boetes worden opgelegd wegens overtreding van de in het vierde tot en met het zesde lid opgenomen feiten. Onder de Wbp was de mogelijkheid tot het opleggen van boetes voor bijvoorbeeld datalekken ook van toepassing op datalekken bij overheidsorganen. Het bieden van de mogelijkheid tot het opleggen van boetes bij een inbreuk door een bestuursorgaan geeft daarenboven het belangrijke signaal af dat ook de overheid zelf zich heeft te houden aan de materiele verplichtingen van de verordening en hierin niet anders wordt behandeld dan het bedrijfsleven. Indien er een boete wordt opgelegd zijn de leden 1 tot en met 3 eveneens van toepassing. Dit volgt uit het tweede lid.

Artikel 19

Dit artikel komt overeen met het huidige artikel 51a van de Wbp en bevat een wettelijke basis voor samenwerking en gegevensuitwisseling tussen toezichthouders. Onverminderd de eigen verantwoordelijkheid van elk van de in aanmerking komende toezichthouders is het voor een efficiënt en effectief toezicht op de naleving van belang dat de Autoriteit persoonsgegevens en de andere daarvoor in aanmerking komende toezichthouders elkaar zo nodig over en weer toezichtgegevens kunnen verstrekken. In de praktijk blijkt dat zich van tijd tot tijd de noodzaak voordoet dat daarbij ook persoonsgegevens moeten worden verstrekt. Daarvoor is een behoorlijke wettelijke grondslag vereist.

Artikel 20

Dit artikel bewerkstelligt dat de verzoekschriftprocedure zoals die met het wetsvoorstel tot wijziging van de Wbp naar aanleiding van de uitspraak van het Hof van Justitie van de Europese Unie van 6 oktober 2015 (C-362/14) inzake de Veiligehavenbeginselen65 in artikel 78a van de Wbp wordt opgenomen, ook in dit wetsvoorstel wordt opgenomen. Voor een uitgebreide toelichting op het artikel wordt verwezen naar de in de voetnoot genoemde Kamerstukken. Het betreft een - uitsluitend door de Autoriteit persoonsgegevens in te stellen - verzoekschriftprocedure bij de Afdeling bestuursrechtspraak van de Raad van State, gericht op het verkrijgen van een verklaring voor recht met betrekking tot een door de Europese Commissie genomen besluit waarin zij heeft geoordeeld dat een bepaald land of bepaalde internationale organisatie of bepaalde (contractuele) standaardbepalingen een passend niveau van gegevensbescherming waarborgen.

De Autoriteit persoonsgegevens kan de in dit artikel geregelde procedure gebruiken in het geval zij, in het kader van een door een belanghebbende ingesteld verzoek om handhaving met betrekking tot een gegevensdoorgifte aan een derde land of internationale organisatie, gegronde redenen heeft om aan te nemen dat het onderliggende Commissiebesluit waarop de gegevensdoorgifte wordt gebaseerd geen passende bescherming biedt. Zij kan dan de Afdeling bestuursrechtspraak van de Raad van State vragen om een verklaring voor recht met betrekking tot de geldigheid van het onderliggende Commissiebesluit. De Afdeling zal op dit verzoekschrift een uitspraak doen, al dan niet na prejudiciële verwijzing naar het Hof van Justitie van de Europese Unie. De Afdeling bestuursrechtspraak van de Raad van State kan het verzoek ook aanhouden als er al een prejudiciële vraag omtrent de geldigheid van het desbetreffende besluit aanhangig is. Deze verzoekschriftprocedure vormt een sluitstuk op het stelsel van rechtsbescherming bij doorgifte van persoonsgegevens naar derde landen (artikel 58, vijfde lid, van de verordening). De reikwijdte is beperkt tot besluiten van de Europese Commissie als bedoeld in artikel 45, eerste lid, (adequaatheidsbesluiten) en in artikel 46, tweede lid, onderdelen c en d (besluiten ter vaststelling dan wel goedkeuring van standaardbepalingen inzake gegevensbescherming) van de verordening.

Artikel 21

Op grond van artikel 43, eerste lid, van de verordening dient de lidstaat ervoor te zorgen dat de certificeringsorganen worden geaccrediteerd door ofwel de Autoriteit persoonsgegevens ofwel door de Raad voor Accreditatie ofwel door hen beide. In 2010 is de Raad voor Accreditatie aangewezen als nationale accreditatie-instantie, op basis van de Europese Verordening 765/2008 i. Sindsdien is de Raad voor Accreditatie een zelfstandig bestuursorgaan, dat verantwoording aflegt aan de Minister van Economische Zaken en Klimaat. Op grond van het onderhavige voorgestelde artikel 21 zal de aanwijzing van de instantie of instanties die verantwoordelijk is respectievelijk zijn voor deze accreditatie plaatsvinden bij ministeriële regeling.

Artikel 22

Dit artikel is een weergave van de rechtstreeks toepasselijke bepalingen van de verordening inzake de verwerking van bijzondere categorieën van persoonsgegevens. Van belang hierbij is op te merken dat, anders dan onder de Wbp, persoonsgegevens van de strafrechtelijke aard op grond van de verordening niet worden aangemerkt als een bijzondere categorie van persoonsgegevens. Op persoonsgegevens van strafrechtelijke aard is artikel 10 van de verordening van toepassing. In het wetsvoorstel is met betrekking tot deze gegevens een regeling getroffen in de artikelen 31 tot en met 33.

Eerste lid: verwerkingsverbod bijzondere categorieën persoonsgegevens (artikel 9, eerste lid, van de verordening, komt overeen met het thans geldende artikel 16 van de Wbp)

Het eerste lid bevat de hoofdregel: de verwerking van bijzondere categorieën van persoonsgegevens is verboden (overeenkomstig artikel 9, eerste lid, van de verordening).

Tweede lid: algemene uitzonderingen uit de verordening

Het tweede lid bevat een weergave van de rechtstreeks toepasselijke uitzonderingen, genoemd in artikel 9, tweede lid, onderdelen a, c, d, e en f, van de verordening. Hierbij is omwille van de samenhang en begrijpelijkheid gebruikgemaakt van de door overweging 8 van de verordening geboden mogelijkheid om af te wijken van het zogenaamde overschrijfverbod.

Onderdeel a: uitdrukkelijke toestemming (artikel 9, tweede lid, onderdeel a, van de verordening en komt overeen met het thans geldende artikel 16 van de Wbp en artikel 23, eerste lid, onderdeel a, van de Wbp)

Onderdeel a staat toe dat bijzondere categorieën van persoonsgegevens worden verwerkt wanneer de betrokkene daartoe zijn uitdrukkelijke toestemming heeft gegeven.

Onderdeel b: vitale belangen (artikel 9, tweede lid, onderdeel c, van de verordening en komt overeen met het thans geldende artikel 23, eerste lid, onderdeel d, van de Wbp)

Van een vitaal belang is sprake als het belang voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is, bijvoorbeeld indien acuut gevaar voor iemands leven of gezondheid dreigt. Overweging 46 van de verordening voegt daaraan als voorbeeld toe de situatie waarin «de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen».

Verwerking van persoonsgegevens op grond van het vitale belang voor betrokkene is alleen mogelijk als de betrokkene niet in staat is toestemming te geven. Dit kan zich zowel in fysieke (bijvoorbeeld wegens bewusteloosheid) als in juridische (bijvoorbeeld handelingsonbekwaamheid) zin voordoen.

Onderdeel c: instantie op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied (artikel 9, tweede lid, onderdeel d, van de verordening en komt overeen met de thans geldende artikelen 17, eerste lid, onderdelen a en b, en tweede lid, 19, eerste lid, onderdeel a, en 20 van de Wbp)

Kort gezegd gaat het hier om verwerking van specifieke bijzondere categorieën van persoonsgegevens van leden en naaste betrokkenen door organisaties waarvoor de verwerking van de bijzondere categorieën van persoonsgegevens onlosmakelijk verbonden is met hun doelstellingen.

Onderdeel d: kennelijk openbaar gemaakte gegevens (artikel 9, tweede lid, onderdeel e, van de verordening en komt overeen met het thans geldende artikel 23, eerste lid, onderdeel b, van de Wbp)

Evenals bij onderdeel a ligt de rechtvaardigingsgrond voor de uitzondering besloten in het handelen of het gedrag van de betrokkene zélf. Anders dan bij onderdeel a is er echter geen sprake van op de gegevensverwerking gerichte toestemming, maar van een spontane gedraging van de betrokkene waar niet door enig ander persoon met het oog op een eventuele gegevensverwerking om is gevraagd. Dat de gegevens openbaar zijn, moet derhalve volgen uit gedrag van de betrokkene waaruit de intentie om openbaar te maken uitdrukkelijk blijkt.

Van vrijwillige openbaarmaking kan ook impliciet sprake zijn. Een voorbeeld van een dergelijke vrijwillige openbaarmaking zijn gegevens in een telefoongids, indien daarin ook gevoelige gegevens zouden voorkomen. Ieder is immers vrij de vermelding daarin te voorkomen.66

Indien een bepaald persoonsgegeven openbaar is, maar niet uit vrije wil van de betrokkene, dan mag het gegeven niet op grond onderdeel d worden verwerkt.

Onderdeel e: verdediging van een recht in rechte (artikel 9, tweede lid, onderdeel f, van de verordening en komt overeen met het thans geldende artikel 23, eerste lid, onderdeel c, van de Wbp)

Verwerking van bijzondere categorieën van persoonsgegevens kan toelaatbaar zijn indien dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte. Particulieren kunnen onder omstandigheden hun rechten in een rechterlijke procedure niet effectueren zonder dat zij beschikken over bepaalde gegevens van hun wederpartij. Het begrip «noodzakelijk» in onderdeel e betekent dat de betreffende gegevens niet zonder meer mogen worden verwerkt: er zal een afweging moeten plaatsvinden tussen het recht van de betrokkene om zijn gegevens geheim te houden en het recht van de wederpartij op een eerlijk proces.67

De onderhavige uitzondering op het verwerkingsverbod van bijzondere categorieën van persoonsgegevens strekt zich ook uit tot bezwaarschriftprocedures. Deze ruime beoogde uitleg van artikel 9, tweede lid, onderdeel f, van de verordening is tijdens de onderhandelingen bevestigd door de Europese Commissie.68

Artikel 23

In dit artikel wordt invulling gegeven aan de ruimte die artikel 9, tweede lid, onderdeel g, van de verordening laat voor het opnemen van een uitzondering op het verbod om bijzondere categorieën van persoonsgegevens te verwerken wanneer deze verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang. Het artikel is ontleend aan de artikelen 23, eerste lid, onderdelen e en g, en 22, vijfde lid, van de Wbp. Materieel wordt geen verandering beoogd.

Onderdeel a: volkenrechtelijke verplichting (is ontleend aan het thans geldende artikel 23, eerste lid, onderdeel e, van de Wbp)

Onderdeel a brengt mee dat het verwerken van bijzondere categorieën van persoonsgegevens geoorloofd kan zijn indien daarmee wordt gehandeld overeenkomstig een volkenrechtelijke verplichting en deze verplichting tot het verwerken van zulke gegevens noodzaakt. In een dergelijk geval is het verwerken van de gegevens als zodanig niet formeelwettelijk geregeld, maar is het voldoende duidelijk dat de wel in de volkenrechtelijke regeling - bijvoorbeeld een verdrag - geregelde verplichting enkel kan worden uitgevoerd indien daartoe bepaalde gegevens kunnen worden verwerkt. Voorts dient deze bepaling, indien landen buiten de Europese Unie zijn betrokken, in samenhang te worden gezien met hoofdstuk V van de verordening, dat doorgifte aan derde landen en internationale organisaties betreft.69

Onderdeel b: Autoriteit persoonsgegevens en ombudslieden (is ontleend aan het thans geldende artikel 23, eerste lid, onderdeel g, van de Wbp)

Deze uitzondering is opgenomen omdat bijzondere categorieën van persoonsgegevens met grote regelmaat binnenkomen bij de Nationale ombudsman, de overige ombudslieden en de Autoriteit persoonsgegevens en de verwerking daarvan inherent is aan hun wettelijke (onderzoeks)taken.70

Onderdeel c: aanvulling op verwerking persoonsgegevens van strafrechtelijke aard (is ontleend aan het thans geldende artikel 22, vijfde lid, van de Wbp)

Het is mogelijk dat gegevens van strafrechtelijke aard tevens betrekking hebben op bijvoorbeeld gegevens omtrent het seksuele leven. Denkbaar is dat in de ondernemingsraad bijvoorbeeld afspraken worden gemaakt over de bestrijding van seksuele intimidatie op de werkvloer. Voor zover daarbij gegevens met een strafrechtelijke relevantie moeten worden vastgelegd, laat deze bepaling dat toe.71

Artikel 24 (is ontleend aan het thans geldende artikel 23, tweede lid, van de Wbp)

In dit artikel wordt invulling gegeven aan de ruimte die artikel 9, tweede lid, onderdeel j, van de verordening biedt om bijzondere categorieën van persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek of statistische doelen te verwerken. Het artikel is van gelijke strekking als artikel 23, tweede lid, van de Wbp.

Artikel 24 heft het verwerkingsverbod van bijzondere categorieën persoonsgegevens op ten behoeve van wetenschappelijk onderzoek en statistiek. Daarbij is ten dele aansluiting gezocht bij artikel 458 van Boek 7 van het Burgerlijk Wetboek. Die bepaling bevat reeds een regeling voor het gebruik van gegevens die zijn vergaard in het kader van een geneeskundige behandelingsovereenkomst voor wetenschappelijk onderzoek. Aan deze bepaling wordt geen afbreuk gedaan: als lex specialis behoudt deze onverkort zijn gelding. Het bijzondere karakter van de verhouding arts tot patiënt is de basis voor een regeling die echter niet zonder meer kan worden toegepast op andere categorieën van bijzondere persoonsgegevens. De hier voorgestelde regeling is in overeenstemming met artikel 9, tweede lid, onderdeel j, van de verordening, doch niet zo strikt als die van het Burgerlijk Wetboek.

Voor de verwerking van bijzondere categorieën van persoonsgegevens voor wetenschappelijke of statistische doeleinden staan twee wegen open. In de eerste plaats is verwerking mogelijk op grond van uitdrukkelijke toestemming van de betrokkene. Deze optie - die is gebaseerd op artikel 9, tweede lid, onderdeel a, van de verordening en artikel 22, tweede lid, onderdeel a, van dit wetsvoorstel - heeft de voorkeur.

In de tweede plaats kan, indien het vragen van de uitdrukkelijke toestemming voor het gebruik van gegevens voor wetenschappelijke doeleinden onmogelijk blijkt of een onevenredige inspanning kost, de verwerking worden gebaseerd op het onderhavige artikel 24.

Artikel 25 (is ontleend aan het thans geldende artikel van de 18 van de Wbp)

Dit artikel is van gelijke strekking als artikel 18 van de Wbp, en voorziet in de mogelijkheid om om redenen van zwaarwegend algemeen belang af te wijken van het verbod om persoonsgegevens te verwerken waaruit iemands ras of etnische afkomst blijkt. De verordening biedt hiertoe ruimte om redenen van zwaarwegend algemeen belang als bedoeld in artikel 9, tweede lid, onderdeel g, van de verordening. Het begrip «ras» als bedoeld in artikel 18 van de Wbp wordt ook thans reeds ruim uitgelegd en omvat ook het begrip «etnische afkomst».72 Er is, met andere woorden, door het toevoegen van «etnische afkomst» aangesloten bij de terminologie van de verordening maar er is daarmee geen materiële wijziging ten opzichte van artikel 18 van de Wbp beoogd.

Onderdeel a bepaalt dat het verbod om gegevens waaruit iemands ras of etnische afkomst blijkt te verwerken met het oog op de identificatie van de betrokken persoon niet van toepassing is voor zover dat voor dat doel onvermijdelijk is.

Onderdeel b maakt het mogelijk om van onder andere leden van etnische of culturele minderheidsgroeperingen gegevens te verwerken om een voorkeursbehandeling te geven indien daarmee wordt beoogd feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen. Hieronder valt ook de verwerking door scholen van gegevens met het oog op het verkrijgen van extra financiële middelen om onderwijsachterstanden van onder andere allochtone leerlingen in te lopen.

Er gelden in dat geval drie voorwaarden:

    • 1. 
      De verwerking is alleen toegestaan voor zover deze noodzakelijk is voor het doel van de verwerking, te weten de verwezenlijking van het voorkeursbeleid. Deze voorwaarde vloeit ook voort uit artikel 2, derde lid, van de Algemene wet gelijke behandeling.
    • 2. 
      In de tweede plaats moet de verwerking beperkt blijven tot gegevens omtrent iemands geboorteland, het geboorteland van diens ouders of van diens grootouders of een ander, bij formele wet vastgesteld criterium, op grond waarvan op objectieve wijze kan worden vastgesteld dat betrokkene tot een bepaalde culturele of etnische minderheidsgroep behoort.
    • 3. 
      De verwerking van gegevens waaruit iemands ras of etnische afkomst blijkt in het kader van voorkeursbeleid is niet toegestaan, indien de betrokkene daartegen schriftelijk bezwaar maakt, ongeacht de vraag of dit bezwaar ook effect zou hebben gesorteerd onder artikel 21 van de verordening.

Artikel 26 (is ontleend aan het thans geldende artikel 19, eerste lid, onderdeel b, van de Wbp)

In dit artikel wordt voorzien in continuering van artikel 19, eerste lid, onderdeel b, van de Wbp. Voor het overige wordt artikel 19 van de Wbp overbodig, vanwege het bepaalde in artikel 9, tweede lid, onderdeel d, van de verordening.

Voor verwerkingen van persoonsgegevens waaruit politieke opvattingen blijken, kan in verband met benoemingen in bepaalde openbare functies een beroep worden gedaan op het onderhavige artikel. Dergelijke gegevens spelen bijvoorbeeld een belangrijke rol bij burgemeestersbenoemingen. De verwerking van de gegevens omtrent politieke opvattingen kan alleen als er ook eisen met betrekking tot politieke gezindheid zijn gesteld. Dit is onder omstandigheden toegestaan door artikel 5 van de Algemene wet gelijke behandeling.73

Artikel 27 (is ontleend aan het thans geldende artikel 17, eerste lid, onderdeel c, van de Wbp)

Voor het continueren van artikel 17, eerste lid, onderdeel c, van de Wbp is het noodzakelijk om een nationale wettelijke basis te creëren. In artikel 27 wordt hierin voorzien. Het regelt een uitzondering op het verwerkingsverbod inzake persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken ten behoeve van de geestelijke verzorging in of ten behoeve van het leger, gevangenissen, ziekenhuizen, verpleeghuizen en andere instellingen die zelf geen religieuze doelstelling hebben. Deze instellingen vallen wegens het ontbreken van een dergelijke doelstelling niet onder de rechtstreeks werkende uitzondering van artikel 9, tweede lid, onder d, van de verordening (artikel 22, tweede lid, onderdeel c, van dit wetsvoorstel).

Artikel 28 (is ontleend aan het thans geldende artikel 21, vierde lid, van de Wbp)

In artikel 28 van de Uitvoeringswet wordt invulling gegeven aan de ruimte die artikel 9, vierde lid, van de verordening laat voor het handhaven van bijkomende voorwaarden met betrekking tot de verwerking van genetische gegevens. Het artikel is ontleend aan artikel 21, vierde lid, van de Wbp. Materieel wordt geen wijziging beoogd van de voorwaarden waaronder deze gegevens verwerkt kunnen worden.

De onderhavige bepaling laat onverlet dat de voorwaarden waaronder bij betrokkenen erfelijke gegevens mogen worden vergaard, zijn te vinden in specifieke wetgeving, zoals (artikel 5 van) de Wet op de medische keuringen.

Het eerste lid regelt dat de verwerking van genetische gegevens alleen is toegestaan met betrekking tot de betrokken persoon die de genetische gegevens heeft geleverd. De verwerking is dus niet toegestaan in andere gevallen: wanneer de verwerking zou plaatsvinden met betrekking tot anderen in dezelfde genetische lijn. Het is niet relevant of de betrokkene of enig familielid in dezelfde genetische lijn daarvoor uitdrukkelijke toestemming zou geven.74 Het doel van het eerste artikellid is namelijk om te voorkomen dat mogelijke erfelijke tekortkomingen buiten de betrokken persoon om, aan hen worden tegengeworpen.

Het tweede lid geeft twee uitzonderingen op deze regel en regelt het zogenoemde «bovenpersoonlijk gebruik». Genetische gegevens mogen buiten hetgeen in het eerste lid is bepaald ook worden verwerkt wanneer:

    • a. 
      een zwaarwegend geneeskundig belang prevaleert. Dat is bijvoorbeeld het geval wanneer uit erfelijkheidsonderzoek blijkt dat behandeling van anderen dan de betrokkene (namelijk familieleden) wellicht noodzakelijk is. In dat geval moet het in het belang van die anderen niet zonder meer verboden zijn op grond van de Uitvoeringswet om hen daaromtrent te benaderen;75 of
    • b. 
      de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek of statistiek en:
      • betrokkene hiervoor uitdrukkelijke toestemming heeft gegeven;
      • het onderzoek een algemeen belang dient; en
      • bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

Het woord «uitsluitend» in de aanhef van het tweede lid brengt tot uitdrukking dat de uitzonderingsgronden van artikel 9, tweede lid, van de verordening, niet van toepassing zijn op de verwerking van genetische gegevens met betrekking tot anderen dan degene bij wie de gegevens oorspronkelijk zijn verkregen. Artikel 9, vierde lid, van de verordening, laat op dit punt ruimte voor bijkomende voorwaarden in het lidstatelijk recht, die aldus wordt benut.

Het derde lid bepaalt dat toestemming achterwege kan blijven voor zover het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning vergt. Deze voorwaarden golden ook onder de Wbp via het van toepassing verklaren van artikel 23, eerste lid, onderdeel a, en tweede lid, van de Wbp.

Indien het verbod op verwerking van genetische gegevens is opgeheven, dan moet er vanzelfsprekend nog steeds een grondslag voor de gegevensverwerking worden gevonden in artikel 6 van de verordening. Dit geldt voor iedere verwerking van bijzondere categorieën van persoonsgegevens die zijn uitgezonderd van het verwerkingsverbod op grond van artikel 9, eerste lid, van de verordening. Daarnaast kunnen bepalingen uit andere wetten ook van toepassing zijn, zoals artikel 458 van Boek 7 van het Burgerlijk Wetboek wanneer het gaat om wetenschappelijk onderzoek met genetische gegevens die zijn verkregen in de sfeer van de gezondheidszorg.

Artikel 29

In dit artikel wordt invulling gegeven aan de ruimte die artikel 9, tweede lid, onderdeel g, laat voor het opnemen van een uitzondering op het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken. De technische mogelijkheden om met behulp van biometrische kenmerken van een persoon iemand te identificeren zijn sterk in ontwikkeling.

Bij biometrische gegevens kan het gaan om bijvoorbeeld vingerafdrukken, gezichtsherkenning of irisscans. Verder is overweging 51 van de verordening relevant: «De verwerking van foto's mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën van persoonsgegevens, aangezien foto's alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken.»

Biometrische gegevens werden onder richtlijn 95/46/EG i niet aangemerkt als een bijzonder persoonsgegeven. In de afgelopen jaren is het belang van biometrische gegevens voor de identificatie van personen sterk toegenomen. In sommige gevallen, zoals bijvoorbeeld in het vreemdelingenrecht, gebeurt dit op basis van een specifieke Europeesrechtelijke grondslag in de Eurodac-verordening en op basis van een specifieke grondslag in de Vreemdelingenwet 2000. Ook voor andere identiteitsdocumenten (reisdocumenten en rijbewijzen) geldt dat de verwerking van biometrie is geregeld in Europese verordeningen en nationale specifieke wetgeving.

In de publieke en private sector zijn biometrische systemen sterk in opkomst voor bijvoorbeeld het reguleren van de toegang tot bepaalde plaatsen en gebouwen, maar ook toegang tot informatiesystemen. Veel voorkomend is de situatie waarin bijvoorbeeld klanten of werknemers zich identificeren met behulp van biometrie. De huidige rechtsgrondslag hiervoor is het gerechtvaardigd belang van de verwerkingsverantwoordelijke, opgenomen in artikel 8, onderdeel f, van de Wbp. Hoewel deze rechtsgrondslag ook is opgenomen in artikel 6, eerste lid, onderdeel f, van de verordening zal deze zonder nadere lidstatelijke regeling geen basis kunnen zijn voor verwerking van biometrische gegevens, omdat biometrische gegevens straks onder het verbod van artikel 9, eerste lid, van de verordening vallen.

Net als bij andere bijzondere categorieën van persoonsgegevens is het onder omstandigheden ook bij biometrische gegevens mogelijk om de toestemming van de betrokkene als grondslag te hanteren voor het verwerken, maar hiervoor is wel vereist dat betrokkene de toestemming in vrijheid kan geven (op grond van artikel 9, tweede lid, onderdeel a, van de verordening jo. het voorgestelde artikel 22, tweede lid, onderdeel a). Of deze toestemming in vrijheid wordt gegeven, hangt af van de omstandigheden van het geval. In de relatie tussen klant en aanbieder zal in sommige gevallen wel kunnen worden uitgegaan van de vrije toestemming. Juist in de relatie tussen werknemer en werkgever zal de werknemer in de praktijk in redelijkheid echter nauwelijks toestemming kunnen weigeren, zeker wanneer de toegang tot bepaalde plaatsen noodzakelijk is voor de uitoefening van de werkzaamheden, in het bijzonder de toegang tot specifieke plaatsen, gebouwen, apparatuur en informatiesystemen.

Het afzien van een nationale uitzondering voor biometrische gegevens zou, gelet op het voorgaande, betekenen dat de bestaande ontwikkelingen in het gebruik van biometrie als identificatiemiddel sterk gehinderd zouden worden. Bestaande verwerkingen van biometrische gegevens, zoals bijvoorbeeld die in de relatie tussen werkgever en werknemer zouden hun rechtsgrondslag verliezen. Dit is niet wenselijk.

Er dient wel een afweging te worden gemaakt of identificatie met biometrische gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden. De werkgever zal dan moeten afwegen of de gebouwen en informatiesystemen zodanig beveiligd moeten zijn dat dit met biometrie dient plaats te vinden. Dit zal het geval zijn als de toegang beperkt dient te zijn tot bepaalde personen die daartoe geautoriseerd zijn, zoals bij een kerncentrale. Het verwerken van biometrische gegevens dient ook proportioneel te zijn. Als het om de toegang tot een garage van een reparatiebedrijf gaat, zal de noodzaak van de beveiliging niet zodanig zijn dat werknemers alleen met biometrie toegang kunnen krijgen en daartoe deze gegevens worden vastgelegd om de toegangscontrole uit te oefenen. Aan de andere kant kan biometrie soms juist een belangrijke vorm van beveiliging zijn voor bijvoorbeeld informatiesystemen, die zelf veel persoonsgegevens bevatten, waarbij onrechtmatige toegang, ook van werknemers, moet worden voorkomen.

Om deze afweging mogelijk te maken in omstandigheden waarin toestemming niet in vrijheid kan worden gegeven, is in het wetsvoorstel een bepaling opgenomen die een uitzondering op het verbod voor verwerking van biometrische gegevens mogelijk maakt met het oog op de identificatie van de betrokkene, indien dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Uit artikel 32 van de verordening vloeit onder meer reeds voort dat in dat geval passende technische en organisatorische maatregelen moeten worden getroffen ter beveiliging van deze gegevens.

Artikel 30 (is ontleend aan het thans geldende artikel 21 van de Wbp)

Dit artikel gaat over persoonsgegevens over gezondheid. Volgens overweging 35 van de verordening omvat die term «alle gegevens (...) die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst».

In het onderhavige artikel wordt invulling gegeven aan de ruimte die artikel 9, tweede lid, onderdelen b, g en h, laat voor het opnemen van een uitzondering op het verbod om bijzondere categorieën van persoonsgegevens te verwerken indien dit noodzakelijk is op het terrein van arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, om redenen van zwaarwegend algemeen belang en voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten. Het voorgestelde artikel 30 is materieel van gelijke strekking als artikel 21 van de Wbp.

Het onderhavige artikel bevat geen uitputtende regeling van de verwerking van gegevens over iemands gezondheid. Artikel 30 dient ook steeds in samenhang te worden bezien met het medisch beroepsgeheim (artikel 457 van Boek 7 van het Burgerlijk Wetboek en artikel 88 van de Wet op de beroepen in de individuele gezondheidszorg). Het kan zich voordoen dat in een geval waarin op grond van artikel 30 het verbod om medische gegevens te verwerken niet van toepassing is, het medische beroepsgeheim toch aan de gegevensverwerking in de weg kan staan. Dit betekent dat verstrekking van gezondheidsgegevens eerst moet worden getoetst aan de regels voor doorbreking van het medisch beroepsgeheim. Pas wanneer verstrekking van gezondheidsgegevens niet in strijd is met het medisch beroepsgeheim, komt men toe aan toetsing aan het onderhavige artikel. Als daaraan is voldaan (een beroep op de uitzondering op het algemene verbod van artikel 9, eerste lid, van de verordening is mogelijk), dan moet nog een grondslag aanwezig zijn in de zin van artikel 6 van de verordening. Afhankelijk van het geval kan worden gedacht aan de grondslag van de wettelijke plicht (artikel 6, eerste lid, onderdeel c), de uitvoering van een (behandel)overeenkomst (artikel 6, eerste lid, onderdeel b) of uitdrukkelijke toestemming (artikel 9, tweede lid, onderdeel a, jo. 6, eerste lid, onderdeel a).

Naast de algemene bepalingen die in de Wbp stonden, gelden ook andere bepalingen in bijzondere wetten over de verwerking van gezondheidsgegevens door werkgevers in verband met het tot stand komen van dienstbetrekkingen. Deze bepalingen blijven van kracht, zoals de Wet op de medische keuringen en Wet gelijke behandeling op grond van handicap of chronische ziekte. Daarnaast geldt op grond van de Ziektewet de keuzevrijheid van de werknemer om zijn werkgever niet direct bij aanvang van de dienstbetrekking op verzoek te informeren over bepaalde beperkingen (artikel 38b Ziektewet).

Eerste lid: socialezekerheidsrechtelijke verwerkingen (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel f, van de Wbp)

Dit onderdeel omvat de verwerking van gegevens over gezondheid in de sfeer van de sociale zekerheid door bestuursorganen, pensioenfondsen en werkgevers, alsmede instellingen die voor hen werkzaam zijn.

Onderdeel a: aanspraken die afhankelijk zijn van de gezondheidstoestand (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel f, subonderdeel 1°, van de Wbp)

In dit onderdeel is bepaald dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen of werkgevers, dan wel instellingen die voor hen werkzaam zijn, voor zover dat noodzakelijk is voor een goede uitvoering van wettelijke voorschriften of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van betrokkene. Zo zijn werkgevers op grond van artikel 7:629 van het Burgerlijk Wetboek (loondoorbetalingsverplichting) verplicht om zieke werknemers twee jaar lang loon door te betalen. In samenhang gelezen met het onderhavige artikel 30, eerste lid, onderdeel a, mag de werkgever gegevens over de gezondheid van zieke werknemers verwerken voor zover die noodzakelijk zijn om het recht op loondoorbetaling vast te stellen. Indien een werknemer zich ziek meldt, hoeft hij zijn werkgever dus niet tevens de aard en de oorzaak van de ziekte mede te delen, want dat is niet noodzakelijk voor de vaststelling van het recht op loondoorbetaling.76

De verwerking van gegevens over gezondheid kan ook noodzakelijk zijn om te beoordelen of een bepaalde voorziening noodzakelijk is. Daarbij valt te denken aan uitkeringen in verband met arbeidsongeschiktheid of andere materiële voorzieningen of verstrekkingen die samenhangen met de gezondheidstoestand waarin de betrokkene zich bevindt, zoals speciale voorzieningen in een woning in verband met een lichamelijke handicap. Al deze regelingen zijn ondergebracht onder de noemer «aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene».

Onderdeel b: re-integratie of begeleiding van werknemers of uitkeringsgerechtigden (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel f, subonderdeel 2°, van de Wbp)

Uit dit onderdeel volgt dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen of werkgevers, dan wel instellingen die voor hen werkzaam zijn, voor zover de verwerking noodzakelijk is voor de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden. De noodzakelijkheidseis begrenst ook hier de aard en omvang van de gegevens die mogen worden verwerkt. Een duidelijk voorbeeld hiervan betreft de arbeidsongeschiktheidswetgeving. Gegevens over de medische achtergronden van de arbeidsongeschiktheid mogen niet door de werkgever worden verwerkt. Werkgevers mogen enkel gegevens verwerken omtrent het feit dat en de mate waarin iemand arbeidsongeschikt is, alsmede de periode van arbeidsongeschiktheid.77

Tweede lid: verwerkingen in verband met zwaarwegend algemeen belang

Onderdeel a: scholen (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel c, van de Wbp)

Dit onderdeel regelt voor scholen op beperkte schaal een uitzondering om gezondheidsgegevens te verwerken. Het betreft hier onderwijs aan leerlingen die speciale begeleiding nodig hebben of voor wie in verband met hun gezondheidstoestand bijzondere voorzieningen moeten worden getroffen. Om aan deze doelstelling te kunnen voldoen, moeten de scholen gezondheidsgegevens kunnen vastleggen. De noodzakelijkheidseis brengt met zich dat alleen gezondheidsgegevens mogen worden verwerkt van leerlingen die in verband met hun gezondheidstoestand voor de hier bedoelde speciale begeleiding of bijzondere voorziening in aanmerking komen. Verwerking van gezondheidsgegevens van andere leerlingen is niet toegestaan. Voorts mag verwerking alleen plaatsvinden voor zover dat voor dat doel noodzakelijk is. Dit stelt niet alleen grenzen aan de aard en omvang van de gegevens die mogen worden verwerkt, maar ook aan de kring van personen die binnen een school van deze gegevens kennis mogen nemen.78

Onderdeel b: reclasseringsinstellingen en jeugdinstellingen (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel d, van de Wbp)

Dit onderdeel biedt de reclassering, de raad voor de kinderbescherming en gecertificeerde instellingen in de zin van de Jeugdwet de mogelijkheid hun taken uit te voeren voor zover deze een basis hebben in de wet. Daarnaast heeft dit onderdeel betrekking op de in artikelen 256, eerste lid, en 302, tweede lid, van Boek 1 van het Burgerlijk Wetboek bedoelde rechtspersoon. Volgens het Besluit aanvaarding rechtspersoon Burgerlijk Wetboek Boek 1 gaat het hier om Nidos.79

Onderdeel c: vrijheidsbenemende maatregelen (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel e, van de Wbp)

Dit onderdeel bepaalt dat het verbod om gezondheidsgegevens te verwerken niet van toepassing is indien de verwerking geschiedt door de Minister voor Rechtsbescherming of de Minister van Justitie en Veiligheid voor zover dat noodzakelijk is in verband met de tenuitvoerlegging van vrijheidsbenemende maatregelen. Afgezien van verwerking ten behoeve van een adequate medische behandeling en verzorging kunnen gezondheidsgegevens van belang zijn voor de bejegening van de betrokkene door het personeel en voor de verstrekking van een eventueel dieet. Verder kunnen gegevens omtrent gezondheid relevant zijn voor de wijze waarop betrokkenen moeten worden vervoerd. Voorts valt te denken aan gegevensverwerking in het kader van de tenuitvoerlegging van de vreemdelingenbewaring.80

Ten opzichte van artikel 21 van de Wbp is het toepassingsbereik van dit onderdeel beperkt tot vrijheidsbenemende maatregelen door het schrappen van vrijheidsstraffen. De reden hiervoor is dat de tenuitvoerlegging van vrijheidsstraffen onder de reikwijdte van de richtlijn gegevensbescherming opsporing en vervolging valt en derhalve niet in de uitvoeringwet thuishoort, maar in de implementatiewetgeving voor deze richtlijn. In de praktijk zal dit geen betekenis hebben.

Derde lid: verwerkingen om medische redenen en voor het beheer van gezondheidsdiensten en sociale stelsels

Onderdeel a: hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel a, van de Wbp)

Dit onderdeel is een uitzondering op het verbod om gezondheidsgegevens te verwerken voor hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening. Dit betekent dat gegevens omtrent gezondheid niet alleen mogen worden verwerkt door ziekenhuizen en andere medische instellingen, maar ook door instanties op het terrein van de maatschappelijke dienstverlening voor zover een goede behandeling van de betrokkene dit noodzakelijk maakt of wanneer het voor het beheer van de desbetreffende instelling of voorziening noodzakelijk is. Te denken valt aan verzorgingshuizen en instanties voor jeugdzorg. Voorts staat deze bepaling toe dat individuele hulpverleners die niet bij voornoemde instellingen werkzaam zijn, maar bijvoorbeeld een zelfstandige praktijk uitoefenen, gezondheidsgegevens verwerken.81 Het begrip «beheer» dient in dit onderdeel te worden uitgelegd als het waarborgen van de kwaliteit van de verleende zorg, intercollegiale toetsing door hulpverleners onderling (kwaliteitsbeheer) en de betaling van rekeningen voor medische behandeling. Dit laatste geldt zowel voor een instelling als bijvoorbeeld een ziekenhuis als een beroepspraktijk van een individuele hulpverlener.82

Onderdeel b: verzekeraars (is ontleend aan het thans geldende artikel 21, eerste lid, onderdeel b, van de Wbp)

Uit de verwijzingen naar artikel 1:1 van de Wft volgt dat het in dit onderdeel uitsluitend gaat om herverzekeringen, levensverzekeringen, natura-uitvaartverzekeringen en schadeverzekeringen. Voorbeelden van schadeverzekeringen zijn de zorgverzekering en de ongevallenverzekering.

Verzekeraars hebben weliswaar veelal een contractuele relatie met een verzekerde, maar daarbij kan niet steeds worden uitgegaan van een op gegevensverwerking gerichte, uitdrukkelijke toestemming van de betrokkene. In veel gevallen zal daarom de verwerking van gegevens over gezondheid door verzekeraars niet gebaseerd kunnen worden op artikel 9, tweede lid, onderdeel a, van de verordening. Om elke twijfel daarover uit te sluiten bevat dit onderdeel een uitzondering voor deze verwerkingen op het algemene verbod van artikel 9, eerste lid, van de verordening.

Subonderdeel 1 regelt de situatie waarin iemand een aanvraag invult voor het verkrijgen van een bepaalde verzekering en in dat kader gegevens omtrent gezondheid verstrekt. Deze gegevens zijn nodig ter beoordeling van het door de verzekeraar te verzekeren risico. De aspirant-verzekerde dient voorafgaand aan de afsluiting van de overeenkomst de gelegenheid te worden geboden om tegen een zodanige verwerking bezwaar te maken (artikel 13, tweede lid, onderdeel b, van de verordening). Het aantekenen van bezwaar kan uiteraard tot gevolg hebben dat de verzekeraar afziet van het sluiten van de overeenkomst indien naar zijn opvatting onvoldoende gegevens beschikbaar zijn om het risico adequaat te beoordelen.83

Subonderdeel 2 gaat over situaties die zich vervolgens kunnen voordoen bij de uitvoering van de verzekeringsovereenkomst, waarbij verzekeraars gezondheidsgegevens verwerken. Daarvoor regelt deze bepaling dat de verwerking van gegevens over gezondheid geoorloofd is voor zover dat met het oog op dat doel noodzakelijk is. Deze norm zal toepassing kunnen vinden gedurende de periode dat de overeenkomst wordt uitgevoerd.84

Onderdeel b is blijkens de aanhef niet alleen van toepassing op verzekeraars als bedoeld in artikel 1:1 Wft, maar ook op financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 Wft (tussenpersonen). Onder «bemiddelen» wordt in de Wft mede verstaan: «het assisteren bij het beheer en de uitvoering van een verzekering». In subonderdeel 2 is ten opzichte van artikel 21 van de Wbp een redactionele verheldering toegevoegd, waardoor tot uitdrukking komt dat verwerking van gegevens betreffende de gezondheid ook noodzakelijk kan zijn bij het assisteren bij het beheer en de uitvoering van de verzekering.

Vierde lid: geheimhouding (artikel 9, derde lid, van de verordening en is ontleend aan het thans geldende artikel 21, tweede lid, van de Wbp)

Deze bepaling regelt dat persoonsgegevens over iemands gezondheid in principe alleen mogen worden verwerkt door personen met een geheimhoudingsplicht die voortvloeit uit ambt, beroep, wettelijk voorschrift of overeenkomst (dat kan bijvoorbeeld een arbeidsovereenkomst zijn). Indien echter op grond van het eerste, tweede of derde lid personen die niet zijn gebonden aan een dergelijke geheimhoudingsplicht, gegevens over de gezondheid verwerken, dan geldt door het vierde lid een «gelijkwaardige geheimhoudingsplicht».85 Deze bepaling is een invulling van het laatste zinsdeel van artikel 9, derde lid, van de verordening.

Vijfde lid: aanvulling op verwerking persoonsgegevens over gezondheid (is ontleend aan het thans geldende artikel 21, derde lid, van de Wbp)

Het vijfde lid betreft de specifieke situatie waarin in het belang van een goede geneeskundige behandeling en verzorging van patiënten, in aanvulling op gezondheidsgegevens, andere bijzondere categorieën van persoonsgegevens moeten worden verwerkt. Het vijfde lid biedt een uitzondering op het verbod voor de verwerking van andere gevoelige persoonsgegevens in deze specifieke situatie.86

Zesde lid: delegatiegrondslag (is ontleend aan het thans geldende artikel 21, vijfde lid, van de Wbp)

Het zesde lid bepaalt dat omtrent de toepassing van het eerste lid en het derde lid, aanhef en onderdeel b, nadere regels kunnen worden gesteld. De mogelijkheid hiertoe dient om te kunnen komen tot een precisering van de noodzakelijkheidseis met het oog op de verwerking van gezondheidsgegevens in de sociale zekerheid en verzekeringen.

Artikel 31

Artikel 31 regelt dat de verwerking van persoonsgegevens van strafrechtelijke aard alleen is toegestaan met inachtneming van de artikelen 32 en 33. Dit geldt uiteraard onverminderd artikel 10 van de verordening, waarin de verwerking van persoonsgegevens van strafrechtelijke aard ook wordt toegestaan indien dit geschiedt onder toezicht van de overheid. De artikelen 32 en 33 van de Uitvoeringswet zijn een uitwerking van de mogelijkheid die artikel 10 van de verordening biedt om de verwerking van persoonsgegevens van strafrechtelijke aard toe te staan bij lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Het begrip persoonsgegevens van strafrechtelijke aard heeft betrekking op zowel veroordelingen als op min of meer gegronde verdenkingen. Het begrip «strafrechtelijke gegevens» omvat mede gegevens omtrent de toepassing van het formele strafrecht, bijvoorbeeld het gegeven dat iemand is gearresteerd of dat tegen hem proces-verbaal is opgemaakt wegens een bepaald vergrijp.87 Doordat artikel 10 van de verordening ook de term «strafbare feiten» bevat (in de Engelse versie: offences)88 is duidelijk dat ook onder de verordening zowel verdenkingen als veroordelingen onder het bereik van de bepaling vallen.89 Op grond van de definitiebepaling van artikel 1 van de Uitvoeringswet vallen ook persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag onder de definitie van persoonsgegevens van strafrechtelijke aard.

Anders dan onder de Wbp zijn strafrechtelijke gegevens niet aangemerkt als bijzondere categorie van persoonsgegevens onder de verordening. Artikel 10 bevat evenwel de voorwaarden voor het verwerken van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. In de artikelen 32 en 33 van de Uitvoeringswet wordt invulling gegeven aan de ruimte die artikel 10 van de verordening biedt. Inhoudelijk wordt nauw aangesloten bij het thans geldende artikel 22 van de Wbp. Vanwege het vervallen van het voorafgaand onderzoek is artikel 22, vierde lid, onderdeel c, van de Wbp in aangepaste vorm overgenomen in artikel 33, vierde lid, onderdeel c, en vijfde lid, van de Uitvoeringswet (zie de toelichting op artikel 33).

Artikel 32

Deze uitzonderingen zijn kopieën van diverse algemene uitzonderingen voor bijzondere categorieën van persoonsgegevens. Wat hiervoor over die bepalingen is gezegd, geldt mutatis mutandis ook voor persoonsgegevens van strafrechtelijke aard, met dien verstande dat de basis voor artikel 32 te vinden is in artikel 10 van de verordening.

Bijzondere categorieën van persoonsgegevens

Persoonsgegevens van strafrechtelijke aard

uitdrukkelijke toestemming

Art. 22, eerste lid, onderdeel a

Art. 32, onderdeel a

vitale belangen

Art. 22, eerste lid, onderdeel b

Art. 32, onderdeel b

kennelijk openbaar gemaakte gegevens

Art. 22, eerste lid, onderdeel d

Art. 32, onderdeel c

verdediging van een recht in rechte

Art. 22, eerste lid, onderdeel e

Art. 32, onderdeel d

volkenrechtelijke verplichting

Art. 23, onderdeel a

Art. 32, onderdeel e

verwerking door ombudslieden of Autoriteit persoonsgegevens

Art. 23, onderdeel b

Art. 32, onderdeel e

verwerking voor wetenschappelijk en historisch onderzoek en statistische doeleinden

Art. 24

Art. 32, onderdeel f

Artikel 33 (is ontleend aan het thans geldende artikel 22 van de Wbp)

Eerste lid (is ontleend aan het thans geldende artikel 22, eerste en zesde lid, van de Wbp)

Het eerste lid regelt vier situaties:

    • Verwerking door organen belast met strafrechtelijke handhaving (is ontleend aan het thans geldende artikel 22, eerste lid, van de Wbp). Hiermee is vastgelegd dat strafrechtelijke persoonsgegevens mogen worden verwerkt door organen die op basis van de wet belast zijn met de strafrechtelijke handhaving. Dit laat toepasselijkheid van de Wet justitiële en strafvorderlijke gegevens en de Wet politiegegevens onverlet.
    • Verwerking na verkrijging op grond van Wpg of Wjsg (is ontleend aan het thans geldende artikel 22, eerste lid, van de Wbp). Hiermee is geregeld dat persoonsgegevens van strafrechtelijke aard mogen worden verwerkt als derden deze krachtens de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevens hebben verkregen. Voornoemde wetten regelen de rechtmatige gegevensverstrekking aan derden in specifieke gevallen en voor bepaalde doeleinden. Zodra de derde de gegevens op basis van die wetten ontvangen heeft, regelt de onderhavige bepaling dat die derde deze gegevens mag verwerken (uiteraard mits er een grondslag in de zin van artikel 6, eerste lid, van de verordening aanwezig is).
    • Verwerking door of ten behoeve van publiekrechtelijke samenwerkingsverbanden (is ontleend aan het thans geldende artikel 22, zesde lid, van de Wbp). In dit onderdeel is vastgelegd dat persoonsgegevens van strafrechtelijke aard mogen worden verwerkt door en ten behoeve van publiekrechtelijke samenwerkingsverbanden. Dit onderdeel gaat over samenwerkingsverbanden die bestaan uit bestuursorganen of privaatrechtelijk vormgegeven organen die bij of krachtens de wet zijn belast met een publiekrechtelijke taak.90
    • Verwerking in aanvulling op de verwerking van gegevens over gezondheid door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, met het oog op een goede behandeling of verzorging van de betrokkene (is ontleend aan het thans geldende artikel 21, derde lid, van de Wbp). Dit artikel is vergelijkbaar met artikel 30, vijfde lid, van de Uitvoeringswet.

Tweede lid: verwerking voor zichzelf (is ontleend aan het thans geldende artikel 22, tweede lid, van de Wbp)

Het tweede lid regelt dat persoonsgegevens van strafrechtelijke aard mogen worden verwerkt als de verwerkingsverantwoordelijke deze gegevens voor zichzelf verwerkt. Uit het tweede lid vloeit niet voort dat de gegevens aan derde mogen worden verstrekt; daarover gaat het vierde lid. Bovendien mag volgens het tweede lid de strafrechtelijke gegevensverwerking ten eigen behoeve alleen ter:

    • a. 
      beoordeling van een verzoek van de betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren, of
    • b. 
      bescherming van zichzelf met betrekking tot (gepleegde of te plegen) strafbare feiten jegens hem of zijn werknemers.

Onderdeel b machtigt de verwerkingsverantwoordelijke tevens om gegevens vast te leggen wanneer zijn eigen personeel strafbare feiten jegens hem heeft gepleegd of dreigt te plegen.91

Derde lid: betrokkenheid ondernemingsraad bij arbeidsgerelateerde gegevens (is ontleend aan het thans geldende artikel 22, derde lid, van de Wbp)

Deze bepaling stelt zeker dat strafrechtelijke gegevens in de arbeidsrechtelijke sfeer slechts mogen worden verwerkt in overeenstemming met de procedure als bedoeld in de Wet op de ondernemingsraden. Op grond van artikel 27 van die wet hebben ondernemingsraden een instemmingsrecht voor regelingen omtrent de registratie van, de omgang met en de bescherming van de persoonsgegevens van de in de onderneming werkzame personen. Ook heeft de ondernemingsraad op basis van artikel 27 van die wet een instemmingsrecht ten aanzien van regelingen inzake voorzieningen voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen.

Vierde lid: verwerking voor derden (is ontleend aan het thans geldende artikel 22, vierde lid, van de Wbp)

Het vierde lid regelt enkele bijzondere gevallen waarin particulieren voor een derde gegevens van strafrechtelijke aard mogen verwerken. Dit betekent dat particulieren onderling in die gevallen dergelijke gegevens mogen uitwisselen.

Onderdeel a: particuliere beveiligingsorganisaties

Een verwerkingsverantwoordelijke mag strafrechtelijke persoonsgegevens aan derden verstrekken indien die verwerkingsverantwoordelijke optreedt op basis van een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus. Deze particuliere organisaties kunnen met een vergunning en onder toezicht van de overheid taken verrichten die verband houden met criminaliteitsbestrijding. In de vergunningsvoorwaarden kunnen nadere voorschriften worden gegeven die een zorgvuldige verwerking van persoonsgegevens door die organisaties bevorderen.

Onderdeel b: strafrechtelijke gegevens binnen een concern

Dit onderdeel regelt dat, indien is voldaan aan de voorwaarden genoemd in het derde lid, het binnen een concern mogelijk is om strafrechtelijke gegevens te verwerken.

Onderdeel c: verwerking in andere gevallen met vergunning van de Autoriteit persoonsgegevens

De derde uitzondering betreft de verwerking ten behoeve van derden in andere gevallen. Te denken valt daarbij aan bijvoorbeeld branchewaarschuwingssystemen. De verwerking van strafrechtelijke gegevens in dergelijke gevallen kan met een vergunning van de Autoriteit Persoonsgegevens. Op grond van het vijfde lid kan een dergelijke vergunning slechts worden verleend indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. De Autoriteit persoonsgegevens kan aan de vergunning voorschriften verbinden.

Artikel 34

Op grond van de artikelen 15 tot en met 22 van de verordening hebben betrokkenen een aantal rechten, zoals het recht op uitsluitsel van verwerkingsverantwoordelijken over het al dan niet verwerken van hen betreffende persoonsgegevens, op rectificatie van onjuiste persoonsgegevens en het recht op vergetelheid. Betrokkenen zullen deze rechten over het algemeen uitoefenen door middel van verzoeken aan verwerkingsverantwoordelijken. Voor zover de verwerkingsverantwoordelijke een bestuursorgaan in de zin van de Awb is, is de Awb van toepassing. De beslissing op het verzoek is dan een besluit waartegen desgewenst bezwaar kan worden gemaakt. Een vergelijkbare bepaling bestaat thans ook al op grond van de Wbp. Reeds in de toelichting op de Wbp stond dat een bepaling als deze strikt genomen als overbodig kan worden beschouwd omdat de bestuursrechter beslissingen als deze als besluiten zal beschouwen.92 Bij de tenuitvoerlegging van de verordening is zoveel mogelijk aangesloten bij het bestaande stelsel van de Wbp en in verband daarmee is de systematiek hetzelfde gebleven. In artikel 12, derde lid, van de verordening is bepaald dat de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek informatie dient te ontvangen over het gevolg dat aan het verzoek is gegeven. Wanneer het om een complex verzoek gaat, kan ervoor worden gekozen de verzoeker binnen een maand te informeren dat de beslistermijn met twee maanden wordt verlengd. Dit betekent dat verzoeker binnen een maand in ieder geval een eerste reactie dient te krijgen op zijn verzoek. Indien deze reactie uitblijft is er op grond van artikel 6:2, aanhef en onderdeel b, van de Awb derhalve sprake van een besluit en is artikel 6:12 van de Awb van toepassing. Dit betekent dat beroep kan worden ingesteld tegen het niet tijdig nemen van het besluit op voorwaarde dat het bestuursorgaan in gebreke is gesteld en twee weken de tijd heeft gekregen om alsnog te besluiten. De mogelijkheid die artikel 6:12 van de Awb biedt, geldt eveneens indien het bestuursorgaan nog geen beslissing heeft genomen binnen twee maanden na de kennisgeving dat de termijn met twee maanden is verlengd.

Artikel 35

Indien de verwerkingsverantwoordelijke geen bestuursorgaan is en de Awb dus niet van toepassing is, kan de betrokkene de verzoekschriftprocedure uit het Wetboek van Burgerlijke Rechtsvordering volgen. Deze procedure bestaat ook thans al op grond van artikel 46 van de Wbp. Evenals op grond van de Wbp staat de verzoekschriftprocedure open voor de betrokkene en voor andere belanghebbenden die via de rechtbank willen opkomen tegen een beslissing van de verwerkingsverantwoordelijke op een verzoek op grond van de artikelen 15 tot en met 22 van de verordening.

Het tweede lid heeft betrekking op de termijn voor indiening van een verzoek bij de rechtbank. Indien de verwerkingsverantwoordelijke binnen de termijn heeft gereageerd op het verzoek van de betrokkene, heeft de betrokkene vervolgens zes weken de tijd om, indien hij zich niet kan verenigen met de beslissing van de verwerkingsverantwoordelijke, een verzoekschrift in te dienen bij de civiele rechter. De verwerkingsverantwoordelijke moet binnen de in artikel 12, derde lid, van de verordening genoemde termijnen beslissen op het verzoek, dat wil zeggen dat hij binnen een maand een eindbeslissing dan wel een verlengingsbeslissing moet nemen (zie verder de toelichting bij artikel 34). Deze termijn is derhalve voor alle verwerkingsverantwoordelijken hetzelfde, ongeacht of ze bestuursorgaan zijn of niet (vergelijk artikel 34). Heeft de verwerkingsverantwoordelijke niet binnen de termijn gereageerd, dan geldt er geen termijn voor indiening van het verzoekschrift bij de civiele rechter omdat het niet nodig is en ook niet erg redelijk om de rechtzoekende een betrekkelijk korte termijn te geven om het verzoekschrift in te dienen als de verwerkingsverantwoordelijke in gebreke is. Op deze wijze gelden voor bestuursrechtelijke en civielrechtelijke procedures dezelfde termijnen (vergelijk artikel van de 6:12 Awb).

In het derde tot en met zesde lid zijn de thans bestaande bepalingen van de Wbp overgenomen. In het zesde lid is het woord «verantwoordelijke» vervangen door «verwerkingsverantwoordelijke». De verordening gaf geen aanleiding tot andere wijzigingen in deze artikelen.

Artikel 36

Op grond van artikel 58, zesde lid, van de verordening bestaat ruimte voor lidstaten om bij wet te voorzien in bijkomende bevoegdheden voor de toezichthoudende autoriteit. Ook dit artikel is ontleend aan de Wbp (artikel 47) en biedt de belanghebbende naast de mogelijkheid een procedure te voeren bij de bestuursrechter (artikel 34) of de civiele rechter (artikel 35), nog andere mogelijkheden:

    • 1. 
      Ten eerste kan hij de Autoriteit persoonsgegevens vragen te bemiddelen bij of te adviseren over geschillen met de verwerkingsverantwoordelijke.
    • 2. 
      Als er een goedgekeurde gedragscode bestaat waarin een procedure is opgenomen voor de beslechting van geschillen tussen verwerkingsverantwoordelijken en betrokkenen, kan hij daarnaast gebruikmaken van deze procedure.

Artikel 36 van de Uitvoeringswet stelt veilig dat de betrokkene ook als hij kiest voor een van deze mogelijkheden, daarna nog naar de rechter kan. Ingeval bemiddeling door de Autoriteit persoonsgegevens wordt ingeroepen of gebruik wordt gemaakt van een geschilbeslechtingsprocedure uit een goedgekeurde gedragscode, wordt de termijn waarbinnen beroep kan worden ingesteld of de verzoekschriftprocedure aanhangig kan worden gemaakt, geschorst. Voor zover het gaat om de schorsing van de beroepstermijn als bedoeld in de Awb, betekent de schorsing een afwijking van artikel 6:7 Awb. Dit is in het eerste lid expliciet tot uitdrukking gebracht. De termijn waarbinnen alsnog beroep kan worden ingesteld of een verzoekschriftprocedure aanhangig kan worden gemaakt, vangt in geval van schorsing aan nadat de belanghebbende bericht heeft gehad van de Autoriteit persoonsgegevens of de instantie genoemd in de gedragscode dat het geschil is beëindigd.

Artikel 37

Dit artikel is ontleend aan artikel 50, tweede lid, van de Wbp, met dien verstande dat er een terminologische verbetering is aangebracht ten opzichte van de tekst uit de Wbp in verband met het feit dat de Awb uitgaat van beroepen en niet van vorderingen. Deze terminologie wordt ook elders gehanteerd (vergelijk artikel 10, tweede lid, Algemene wet gelijke behandeling). Rechtspersonen kunnen onder bepaalde voorwaarden in rechte optreden ter behartiging van algemene en collectieve belangen. Voor het bestuursrecht is dit het geval op grond van artikel 1:2, derde lid, van de Awb en voor het privaatrecht op grond van artikel 305a, van Boek 3, van het Burgerlijk Wetboek. Voor het optreden in rechte kan het nodig zijn dat aan de vordering of het beroep een verwerking van persoonsgegevens ten grondslag wordt gelegd. Indien degene die door deze verwerking wordt getroffen, daar bezwaar tegen heeft, mag deze verwerking niet aan de vordering of het beroep ten grondslag worden gelegd. Artikel 80, tweede lid, van de verordening biedt de ruimte om een dergelijke bepaling op te nemen in nationaal recht.

Artikel 38

Dit artikel stemt overeen met het thans bestaande artikel 71 van de Wbp. Als hoofdregel geldt in het bestuursrecht dat het maken van bezwaar dan wel het instellen van beroep of hoger beroep de werking van het bestreden besluit niet schorst, tenzij bij wettelijk voorschrift anders is bepaald (zie de artikelen 6:16 en 6:24 van de Awb). Op advies van de Commissie voor de toetsing van wetgevingsprojecten (CTW) is destijds in artikel 71 van de Wbp bepaald dat het maken van bezwaar en het instellen van beroep tegen de bestuurlijke boete de werking van de boete schorst. De verordening biedt geen aanknopingspunten om hierin verandering te brengen.

Artikel 39

In dit artikel wordt invulling gegeven aan artikel 38, vijfde lid, van de verordening. Voor de formulering van de geheimhoudingsplicht is aangesloten bij artikel 63, vierde lid, van de Wbp.

De functionaris voor gegevensbescherming moet aan bepaalde vereisten voldoen. Hij moet bijvoorbeeld over toereikende kennis beschikken. Hieronder wordt verstaan kennis van de organisatie, van de gegevensverwerkingen die zich binnen de organisatie afspelen, van de belangen die daarbij betrokken zijn en uiteraard kennis van de privacywetgeving die op de verwerkingen binnen zijn organisatie van toepassing is. Ook moet hij voldoende betrouwbaar worden geacht. Deze betrouwbaarheid uit zich bijvoorbeeld in het vermogen alle bij de verwerkingen betrokken belangen op een onafhankelijke wijze tegen elkaar te kunnen afwegen.

Artikel 40

Artikel 15 van de huidige richtlijn 95/46/EG i en artikel 42 van de Wbp kennen een recht voor betrokkene om niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft en dat louter wordt genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag, enz. te evalueren. De ratio van deze bepaling is dat het kwetsbaar is om besluitvorming te baseren op enkele persoonskenmerken, zoals de automatische weigering van een online ingediende kredietaanvraag of van verwerking van sollicitaties via internet zonder menselijke tussenkomst. De negatieve kenmerken van een bepaalde groep kunnen op deze wijze immers tegengeworpen worden aan een individu, die deze kenmerken helemaal niet hoeft te hebben.

Geautomatiseerde individuele besluitvorming is alleen aan de orde wanneer er sprake is van een besluit in de zin van de verordening. Dit begrip is niet slechts beperkt tot het besluitbegrip in de zin van de Awb, maar kan ook privaatrechtelijke rechtshandelingen betreffen. Kenmerkend is dat er ofwel rechtsgevolgen aan zijn verbonden ofwel dat de betrokkene er in aanmerkelijke mate door wordt geraakt.

Artikel 22, eerste lid, van de verordening bevat derhalve geen verbod op profilering, noch een verbod op het gebruiken van geautomatiseerde processen als onderdelen van het proces dat aan de besluitvorming zelf voorafgaat. In velerlei contexten heeft het gebruikmaken van geautomatiseerde processen toegevoegde waarde (denk aan verzekeringsbranche) en de verordening laat dit, als onderdeel van besluitvorming zolang er in ieder geval sprake is van een vorm van menselijke tussenkomst, ongemoeid.

Artikel 22, tweede lid, van de verordening biedt drie gronden om af te wijken van het verbod van het eerste lid: ter uitvoering van een overeenkomst (onder a), wanneer betrokkene uitdrukkelijk toestemming heeft gegeven (onder c) of op basis van lidstatelijk recht (onder b). Deze afwijkingsmogelijkheden lijken sterk op de bestaande afwijkingsmogelijkheden van artikel 42 van de Wbp. In onderhavig artikel wordt invulling gegeven aan de ruimte voor lidstatelijk recht die de verordening biedt.

Niet in alle gevallen van geautomatiseerde besluitvorming is er sprake van het tegenwerpen van generieke kenmerken aan een persoon, of van verwerkingen van persoonsgegevens die risicovol zijn in het licht van potentiele discriminatie. Er kan ook sprake zijn van geautomatiseerde individuele besluitvorming op basis van strikt individuele kenmerken, bijvoorbeeld bij gebonden besluitvorming in het kader van het toekennen van bepaalde toeslagen. Er is geen reden om bij dergelijke besluitvorming menselijke tussenkomst te vergen, omdat dit geen toegevoegde waarde heeft. Daarenboven geldt voor alle overheidsbesluiten, ook voor overheidsbesluiten op basis van geautomatiseerde besluitvorming, dat de gebruikelijke bestuursrechtelijke rechtsbescherming openstaat.

Gelet hierop is ook verruiming van de mogelijkheden voor afwijking wenselijk. Voor de uitvoering van de publieke taak, en voor het vervullen van wettelijke verplichtingen is het niet wenselijk om geautomatiseerde besluitvorming geheel te verbinden aan een specifieke wettelijke grondslag. Dit zou een vergaande verstarring van de ontwikkelingen in de uitvoering van de publieke taak betekenen. Wanneer er sprake is van uitoefening van gebonden bevoegdheden, waarbij er daarenboven zeer geringe beoordelingsruimte is, heeft menselijke tussenkomst bij besluitvorming in beginsel geen meerwaarde. Men denke hierbij bijvoorbeeld aan het toekennen van kinderbijslag, het opleggen van een boete in het kader van de Wet administratiefrechtelijke handhaving verkeersvoorschriften (Wahv), het bijstellen van de hoogte van het recht op studiefinanciering op basis van veranderingen in het inkomen van een van de ouders of het zonder menselijke tussenkomst vaststellen van een overtreding van de maximumsnelheid. Dit zijn allemaal besluiten die genomen worden zonder menselijke tussenkomst. Er is geen reden vanuit het belang van bescherming van persoonsgegevens om geautomatiseerde besluitvorming in dit kader onmogelijk te maken. De risico's die de verordening, blijkens de overweging 71, beoogt in te dammen met dit artikel, doen zich hier feitelijk niet voor.

Dit is de reden dat in artikel 40 van onderhavige Uitvoeringswet een uitzondering wordt voorgesteld. Als er sprake is van geautomatiseerde individuele besluitvorming, anders dan op basis van profilering, en deze noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of ter uitvoering van een taak van algemeen belang, dan is het verbod van artikel 22, eerste lid, van de verordening niet van toepassing. Een verwerkingsverantwoordelijke kan alleen een beroep doen op deze uitzondering als het een verwerking betreft die gebaseerd is op de onderdelen c en e, van het eerste lid van artikel 6 van de verordening. Het biedt ook aan de private sector ruimte om, bij de vervulling van wettelijke verplichtingen, gebruik te maken van geautomatiseerde besluitvorming zonder menselijke tussenkomst. Bij deze wettelijke verplichtingen kan het ook gaan om zorgplichten. Het is daarbij echter wel van belang dat de verwerkingsverantwoordelijke kan uitleggen dat de geautomatiseerde besluitvorming daadwerkelijk noodzakelijk is voor het vervullen van de desbetreffende zorgplicht.

Ter bescherming van de belangen van betrokkene is in dit kader vereist dat de verwerkingsverantwoordelijke passende maatregelen treft die strekken tot bescherming van het gerechtvaardigd belang van de betrokkene (voorgestelde tweede lid). Het voorgestelde derde lid bepaalt vervolgens dat verwerkingsverantwoordelijken, die geen bestuursorgaan zijn, in ieder geval hebben voldaan aan die eis dat zij dergelijke «passende maatregelen» moeten treffen als ze het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, hebben geborgd.

Die waarborgen zijn ontleend aan het direct werkende derde lid, van artikel 22, van de verordening. Voor de situatie waarin het verbod uit het eerste lid, van artikel 22 niet geldt omdat het besluit noodzakelijk is in het kader van een overeenkomst (tweede lid, onderdeel a) of omdat betrokkene er uitdrukkelijk toestemming voor heeft gegeven (tweede lid, onderdeel c), dient de verwerkingsverantwoordelijke immers ten minste die maatregelen te treffen. Ook het derde lid van artikel 42 van de Wbp bepaalt dat een passende maatregel is getroffen als betrokkene in de gelegenheid wordt gesteld om omtrent het besluit zijn zienswijze naar voren te brengen. Met het oog op de voorwaarde dat het lidstatelijke recht waarmee van het voornoemde verbod kan worden afgeweken (artikel 22, tweede lid, onderdeel b) ook voorziet in dergelijke passende waarborgen, is het voorgestelde derde lid in combinatie met het tweede lid opgenomen in artikel 40.

Voor zover het gaat om besluitvorming door een bestuursorgaan gelden uiteraard de gebruikelijke en zeer vergelijkbare bestuursrechtelijke waarborgen zoals neergelegd in de Awb, waaronder het zorgvuldigheids- en evenredigheidsbeginsel, en kan betrokkene, zij het achteraf, altijd tegen een besluit opkomen.

Verder dient een verwerkingsverantwoordelijke sowieso op grond van artikel 13, tweede lid, onderdeel f, onderscheidenlijk artikel 14, tweede lid, onderdeel g, van de verordening, aan de betrokkene «nuttige informatie» te verstrekken over «de onderliggende logica» van de verwerking alsmede over het belang en de verwachte gevolgen van de verwerking voor de betrokkene. Deze waarborgen sluiten aan bij de bestaande waarborgen onder de Wbp (onder meer artikel 42, vierde lid, van de Wbp).

Ook met betrekking tot de geautomatiseerde individuele besluitvorming, bedoeld in artikel 40, geldt voorts dat de besluiten niet mogen worden gebaseerd op bijzondere categorieën van persoonsgegevens, tenzij dit geschiedt met uitdrukkelijke toestemming van de betrokkene of noodzakelijk is om redenen van zwaarwegend algemeen belang, en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen (artikel 22, vierde lid, van de verordening).

Voor verwerkingsverantwoordelijken kan deze bepaling in de Uitvoeringswet geen grondslag zijn voor profilering in het kader van de uitvoering van een wettelijke verplichting of in het kader van een taak van algemeen belang. Voor geautomatiseerde besluitvorming waarbij wel gebruik gemaakt zou worden van profilering in het kader van een wettelijke verplichting of in het kader van een taak van algemeen belang geldt dat een specifieke wettelijke grondslag in een sectorale wet zou moeten worden gecreëerd. In dat geval zouden immers zich juist wel de risico’s kunnen voordoen, die in overweging 71 zijn benoemd.

Artikel 41

In dit artikel wordt invulling gegeven aan de ruimte die artikel 23 van de verordening biedt om onder andere de rechten van betrokkene te beperken. In paragraaf 4.6 van het algemeen deel van deze memorie is op deze bepaling uitgebreid ingegaan. Het artikel sluit deels aan bij het bepaalde in het thans geldende artikel 43 van de Wbp en ook het strikte noodzakelijkheidscriterium uit dit laatste artikel blijft onverkort gelden. Dat houdt in ieder geval in dat dit artikel geen grondslag biedt voor structurele categorische beperkingen van rechten van betrokkenen maar louter als vangnet fungeren kan in individuele gevallen waarin dat incidenteel noodzakelijk is. Dat is ook de reden dat er geen gebruik is gemaakt van de mogelijkheid die de verordening biedt om in dit kader ook af te mogen wijken van het recht om onderworpen te worden aan uitsluitend geautomatiseerde besluitvorming (artikel 22 van de verordening). Geautomatiseerde besluitvorming verhoudt zich naar zijn aard niet tot de voornoemde toepassing die louter in uitzonderlijke individuele situaties mogelijk is.

Artikel 42

Artikel 34a van de Wbp bevat in het negende en elfde lid een tweetal uitzonderingen op de meldplicht datalekken. Allereerst is, in het negende lid, de meldplicht, zowel jegens de Autoriteit persoonsgegevens als jegens de betrokkene niet van toepassing indien de verwerkingsverantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatiedienst een kennisgeving heeft gedaan bedoeld in artikel 11.3a, eerste en tweede lid, van de Telecommunicatiewet. Deze meldplicht heeft een basis in artikel 4, derde lid, van de herziene richtlijn 2002/58/EG i. De reden voor de uitzondering in de Wbp is het voorkomen van dubbelingen in de meldplicht aan de betrokkene respectievelijk aan verschillende toezichthouders.

In artikel 95 van de verordening is reeds voorzien in een bepaling die voorkomt dat er sprake is van dubbele meldplichten voor aanbieders van een openbare elektronische communicatiedienst. Hierdoor is artikel 34a, negende lid, van de Wbp overbodig geworden.

Het elfde lid van artikel 34a van de Wbp sluit de meldplicht aan betrokkene uit voor financiële ondernemingen bedoeld in de Wft. Deze uitzondering kan worden gecontinueerd in de Uitvoeringswet op grond van de ruimte die artikel 23, eerste lid, onderdeel e, van de verordening daarvoor biedt. Conform het tweede lid van artikel 23 van de verordening is de toepassing van deze uitzondering beperkt tot een specifieke beperking voor een specifieke categorie van verwerkingsverantwoordelijken.

Artikel 43

Artikel 85, tweede lid, van de verordening verplicht staten ertoe om uitzonderingen of afwijkingen van de belangrijkste materieelrechtelijke bepalingen van de verordening vast te stellen voor verwerking voor journalistieke doeleinden of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen. In artikel 9 van richtlijn 95/46/EG i was een vergelijkbare verplichting opgenomen voor de lidstaten om een uitzonderingsregeling te treffen voor de journalistiek. Aan deze verplichting wordt uitvoering gegeven in het thans geldende artikel 3 van de Wbp. De desbetreffende bepalingen uit richtlijn 95/46/EG i en de verordening lijken op elkaar, maar er zijn ook enkele verschillen.

Ten eerste wordt in de verordening (artikel 85), naast gegevensverwerkingen ten behoeve van artistieke en literaire doeleinden, ook gegevensverwerking in het kader van academische uitdrukkingsvormen expliciet genoemd. Voor het overige is de reikwijdte van de beide bepalingen gelijk. Hoewel de verordening hiertoe niet verplicht, is ervoor gekozen om deze verbreding mee te nemen in dit wetsvoorstel. Grondrechtelijke bescherming van de persvrijheid omvat in Europees verband namelijk de uitingsvrijheid in brede zin, blijkens artikel 10 van het EVRM, waaronder de vrijheid om inlichtingen te ontvangen of te verstrekken.

In de verordening worden gegevensverwerkingen voor academische en artistieke doeleinden, zoals gegevensverwerkingen die plaatsvinden bij universiteiten, bibliotheken en musea, op één lijn geplaatst met journalistieke gegevensverwerkingen. Daarbij kan bijvoorbeeld worden gedacht aan verwerkingen die de Koninklijke Bibliotheek uitvoert ten behoeve van haar wettelijke taken op grond van onder meer artikel 1.5 van de Wet op het hoger onderwijs en wetenschappelijk onderzoek (Whw) en de artikelen 4, 5 en 9 van de Wet stelsel openbare bibliotheekvoorzieningen (Wsob). Het past in de geest van deze ruime bescherming om gegevensverwerking ten behoeve van academische uitdrukkingsvormen tevens expliciet in dit wetsvoorstel te noemen. Daarnaast ligt het ook in het licht van harmonisatie van terminologie voor de hand om dit element in de Nederlandse wetgeving op te nemen. In consultatie is steun uitgesproken door de FOBID93 en de Koninklijke Bibliotheek voor deze benadering.

Een tweede verschil is dat de ruimte die de verordening voor afwijkingen laat niet geheel overeenkomt met de ruimte die richtlijn 95/46/EG i biedt. Op een aantal punten laat de verordening meer ruimte. Om beide grondrechten met elkaar in balans te brengen, heeft de Nederlandse wetgever in artikel 3 van de Wbp invulling gegeven aan de ruimte voor afwijkingen van richtlijn 95/46/EG i voor de journalistieke praktijk. Op grond van dit artikel zijn de volgende onderdelen van de Wbp van toepassing op verwerking van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden:

    • De algemene bepalingen en definities;
    • De beginselen en rechtsgrondslagen voor verwerking;
    • Verplichtingen inzake zorg voor de gegevens, zoals technische en organisatorische maatregelen;
    • De mogelijkheid om gedragscodes voor te leggen aan de Autoriteit persoonsgegevens;
    • Het recht op schadevergoeding wanneer een betrokkene schade lijdt;
    • Het verbod om bijzondere categorieën van persoonsgegevens te verwerken geldt niet voor zover dit noodzakelijk is voor het journalistieke, artistieke of literaire doel.

Artikel 85, tweede lid, van de verordening verplicht lidstaten ertoe voor verwerking voor journalistieke doeleinden of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen uitzonderingen of afwijkingen vast te stellen van de hoofdstukken II t/m VII en van hoofdstuk IX, indien deze noodzakelijk zijn om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met de vrijheid van meningsuiting en van informatie.

Vanuit het oogpunt van beleidsneutrale implementatie is ervoor gekozen om het huidige regime voor journalistieke gegevensverwerkingen grotendeels te handhaven. Dit betekent dat de algemene bepalingen en definities (artikelen 1 t/m 4), de beginselen en rechtsgrondslagen voor gegevensverwerking (artikelen 5 t/m 11, eerste lid, met uitzondering van artikel 7, derde lid, van de verordening), de plichten van de verwerkingsverantwoordelijke en verwerker (artikelen 24, 25, 28 en 29 van de verordening), de verplichting persoonsgegevens op een passende wijze te beveiligen (artikel 32 van de verordening) en bepalingen rond specifieke situaties op het gebied van gegevensverwerking (hoofdstuk IX) niet uitgezonderd worden voor verwerkingen van persoonsgegevens voor journalistieke doeleinden noch ten behoeve van academische, artistieke of literaire uitdrukkingsvormen. Dit zijn onderwerpen die ook in de Wbp geregeld zijn en die onder het huidige regime niet zijn uitgezonderd voor de journalistiek.

Uitsluitend daar waar de ontwikkelingen in de jurisprudentie of de huidige praktijk daartoe noodzaak geven, worden de afwijkingsmogelijkheden verbreed. Om te beginnen wordt de mogelijkheid voor betrokkene om zijn of haar toestemming voor het verwerken van persoonsgegevens te allen tijde in te kunnen trekken (artikel 7, derde lid, van de verordening) uitgezonderd. Een eenmaal verkregen toestemming, bijvoorbeeld voor het publiceren of uitzenden van een gegeven interview, kan in beginsel niet worden ingetrokken. Dit is in lijn met de vaste jurisprudentie.

Daarnaast zijn er bepalingen in de verordening die nieuw zijn of een andere formulering kennen ten opzichte van richtlijn 95/46/EG i en de Wbp. Zo is in de verordening ook het toezicht op gedragscodes en certificering geregeld; de verordening kent, in tegenstelling tot artikel 25 van de Wbp, bijvoorbeeld een verplichting om een gedragscode voor te leggen aan de bevoegde toezichthoudende autoriteit. De bepalingen over certificering en gedragscodes (artikelen 41 tot en met 43 van de verordening) worden uitgezonderd. Dit laat onverlet dat het de partijen in het veld vrij staat om op vrijwillige basis gebruik te maken van gedragscodes en certificering. Deze instrumenten kunnen immers behulpzaam zijn, onder meer bij het voldoen aan de verplichtingen omtrent de beveiliging van persoonsgegevens.

Ten slotte is ervoor gekozen om in het voorgestelde derde lid, artikel 10 van de verordening en de op dat artikel gebaseerde bepalingen uit onderhavige Uitvoeringswet, waarin geregeld is dat persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten/overtredingen enkel onder strenge voorwaarden mogen worden verwerkt, buiten toepassing te laten, indien dit noodzakelijk is voor journalistieke, wetenschappelijke, artistieke of literaire doeleinden. Deze categorie persoonsgegevens betrof onder de Wbp geen afzonderlijke categorie, maar werd onder de bijzondere persoonsgegevens geschaard. Aangezien het verbod op verwerking van bijzondere categorieën van persoonsgegevens onder het huidige regime niet van toepassing is als dit noodzakelijk is voor het journalistieke doel, betekent het creëren van een vergelijkbare afwijkingsmogelijkheid van artikel 9 en 10 van de verordening en de op die artikelen gebaseerde bepalingen in de Uitvoeringswet, feitelijk een continuering van het huidige regime onder de Wbp (artikel 3, tweede lid, van de Wbp).

De bepalingen van de verordening die wel van toepassing zijn op gegevensverwerking voor journalistieke, academische, artistieke of literaire doeleinden, kunnen in deze specifieke context een eigen betekenis krijgen, die recht doet aan de praktijk waarbinnen de verwerking plaatsvindt. Daarbij kan bijvoorbeeld worden gedacht aan de betekenis van artikel 25 van de verordening, dat voorschriften bevat omtrent gegevensbescherming door ontwerp en door standaardinstellingen. In het tweede lid van artikel 25 van de verordening is bepaald dat maatregelen worden getroffen om ervoor te zorgen dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt. Er zijn in de journalistieke praktijk echter situaties denkbaar waarin zonder menselijke tussenkomst informatie toegankelijk wordt gemaakt die tevens persoonsgegevens bevat, zoals bij een journalistiek platform waarbij de reacties van bezoekers niet vooraf gemodereerd worden of het automatisch in een live-app weergeven wie er gescoord heeft tijdens een sportwedstrijd. Hoe meer de technologie doordringt in de journalistieke praktijk, hoe sneller dergelijke situaties kunnen ontstaan. Gelet op de formulering van de bepaling, namelijk dat persoonsgegevens in beginsel niet op deze wijze toegankelijk worden gemaakt, is er voldoende ruimte voor uitzonderingen binnen de journalistieke context.

Artikel 44

Dit artikel bevat een specifieke regeling inzake de verwerking van persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden, die zijn grondslag vindt in artikel 89 van de verordening (zie ook overweging 157). Op grond van artikel 89, tweede lid, van de verordening kan bij lidstatelijk recht worden voorzien in afwijkingen van bepaalde rechten van de verordening, te weten de rechten van de artikelen 15, 16, 18 en 21, bij verwerking van persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden. Bij de artikelen 15 en 16 van de verordening gaat het om het recht van inzage van de betrokkene en het recht op rectificatie. Artikel 18 van de verordening ziet op de beperking van de verwerking. Artikel 21 van de verordening betreft het recht van bezwaar, voorheen het recht van verzet.

Artikel 44 van de Wbp kende een specifieke regeling voor instellingen of diensten voor alleen wetenschappelijk onderzoek of statistiek, die konden weigeren om aan een verzoek om inzage te voldoen. Het recht op rectificatie, dat in het verlengde ligt van het recht op inzage, kon hiermee ook worden geweigerd. Deze bepaling implementeerde artikel 13, tweede lid, van richtlijn 95/46/EG i. Hoewel de bepaling van de verordening verschilt in de formulering, is de strekking gelijkblijvend. Op het eerste gezicht lijkt het zelfs of artikel 89 van de verordening meer ruimte biedt voor afwijking, nu artikel 13, tweede lid, van richtlijn 95/46/EG i bepaalde dat mocht worden afgeweken van de opgenomen rechten wanneer de verwerking «uitsluitend met het oog op wetenschappelijk onderzoek» geschiedt. Het begrip «uitsluitend» is niet teruggekeerd in de tekst van de verordening. Tegelijkertijd staat de verordening afwijking slechts toe wanneer de afwijkingen noodzakelijk zijn. Ook wetssystematisch is het juist om, gelet op het belang van de rechten van betrokkene, eventuele wettelijke uitzonderingen op deze rechten, zo precies mogelijk te formuleren. Voorgesteld wordt om de bestaande bepaling van artikel 44, eerste lid, van de Wbp te continueren.

In het voorgestelde artikel 44 wordt de mogelijkheid geboden om de artikelen 15 en 16 van de verordening uit te sluiten. Ook artikel 18 van de verordening, het recht op beperking van de verwerking, is in de voorgestelde regeling uitgesloten. Artikel 21 van de verordening, het recht van bezwaar, is daarentegen niet uitgesloten, hoewel de verordening hier ruimte voor biedt. Dit recht is ook onder de Wbp ook niet uitgesloten bij wetenschappelijk onderzoek en er is geen aanleiding om dit in deze Uitvoeringswet wel te doen. De formulering van artikel 44 van de Wbp is, behoudens een taalkundige correctie, ongewijzigd gehandhaafd. Materieel is hiermee ook op dit punt sprake van beleidsneutrale implementatie.

Het artikel biedt een grondslag voor afwijking van de rechten van betrokkene. Het is aan de verwerkingsverantwoordelijke om in concrete gevallen af te wegen of en in hoeverre van deze mogelijkheid gebruik zal worden gemaakt. Er is dus geen verplichting voor de verwerkingsverantwoordelijke om van de genoemde rechten af te wijken.

Artikel 45

Dit artikel bevat een specifieke regeling inzake de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang. De oorspronkelijke richtlijn 95/46/EG i kende geen specifieke bepalingen inzake archivering. Wel bevatte de memorie van toelichting bij de Wbp een specifieke uitleg van de artikelen 35 en 36 van de Wbp (het recht op inzage en het recht op rectificatie) voor archiefbescheiden. Die uitleg hield verband met de eigen aard van archiefwerkzaamheden:

«De artikelen 35 e.v. van het wetsvoorstel zijn in beginsel wel op archiefbescheiden van toepassing. Voor zover het gaat om de toepassing van artikel 35 geldt in het algemeen dat verzoeken om kennisneming niet ongericht mogen zijn. Onder omstandigheden kan dit neerkomen op misbruik van recht. Zie in dit verband ook hetgeen hierover wordt opgemerkt in de toelichting bij artikel 1, onder d. Voor archiefbescheiden die naar een archiefbewaarplaats zijn overgebracht, geldt overigens dat zij in beginsel openbaar zijn. Van dergelijke bescheiden kan dus een ieder op grond van de Archiefwet 1995 kennisnemen. Hoewel het archiefwezen er volledig op ingericht is om aan dergelijke verzoeken tot kennisneming te voldoen, geldt ook hier dat die dienstverlening niet onbegrensd is. Dat geldt zowel voor verzoeken die op de Archiefwet 1995 zijn gebaseerd als voor verzoeken die hun basis vinden in artikel 35 van het onderhavige wetsvoorstel.

De betrokkene heeft voorts op grond van artikel 36 van dit wetsvoorstel recht op correctie in geval van onrechtmatige verwerking. Ondanks het ontbreken van een wettelijke plicht daartoe zijn dergelijke verzoeken door het archiefwezen tot op heden altijd in behandeling genomen, zij het dat in geval van honorering van het verzoek, gegevens niet worden verwijderd of vernietigd, maar dat de mogelijkheid wordt geboden aan de betrokkene zijn eigen lezing aan de desbetreffende stukken toe te voegen. Deze praktijk zal onder artikel 36 van dit wetsvoorstel kunnen worden voortgezet.» 94

In onderhavig wetsvoorstel wordt de ruimte die de verordening biedt (artikel 89, derde lid, van de verordening), gebruikt om de lijn uit de memorie van toelichting bij de Wbp door te trekken. Het recht op inzage heeft in een archiefbewaarplaats de vorm van inzage in de archiefstukken. Omdat het recht op inzage in de verordening een aantal nadere vereisten kent dat voor inzage in archiefstukken niet aan de orde is, is er in het voorgestelde artikel 45 voor gekozen om af te wijken van artikel 15 van de verordening, en tegelijkertijd een specifiek recht op inzage in archiefstukken in een archiefbewaarplaats op te nemen (tweede lid).

Ook voor het recht op rectificatie en het - nieuwe - recht op beperking van de verwerking geldt dat deze in de context van archiefbescheiden in een archiefbewaarplaats een specifieke betekenis hebben. Omwille van de integriteit van het archief kunnen gegevens in de oorspronkelijke archiefbescheiden niet worden gewijzigd, zelfs niet wanneer de stukken onjuiste gegevens zouden bevatten. Om deze reden worden de artikelen 16 en 18, eerste lid, onderdeel a, van de verordening niet van toepassing verklaard, maar wordt wel de mogelijkheid geboden om een eigen lezing aan de desbetreffende archiefbescheiden toe te voegen. Dit is wat betreft het recht op rectificatie in overeenstemming met de bestaande praktijk.

Het recht op gegevensoverdraagbaarheid is in strijd met het wezen van de bewaring van archiefbescheiden in een archiefbewaarplaats, omdat het meenemen van archiefbescheiden zou afdoen aan de integriteit van het archief. Artikel 20 van de verordening wordt daarom voor die archiefbescheiden buiten toepassing gesteld.

Ten slotte is in Nederland geen behoefte gebleken aan de mogelijkheid om in het kader van artikel 89, derde lid, van de verordening af te wijken van de kennisgevingsplicht van artikel 19 van de verordening of het recht van bezwaar van artikel 21 van de verordening.

De weging ten behoeve van de uitzondering op het verbod van verwerking van bijzondere categorieën van persoonsgegevens voor archivering in het algemeen belang, zoals voorgeschreven in artikel 9, tweede lid, onderdeel j, van de verordening, zal worden geconcretiseerd in een bepaling in de Archiefwet 1995. Voor een aantal specifieke archiefwettelijke verwerkingen zal het verbod buiten toepassing worden gesteld. Daarnaast is het wenselijk om ook in het kader van de verwerking van strafrechtelijke gegevens ruimte voor archiefwettelijke handelingen te behouden. Vanuit beleidsneutraal perspectief is het wenselijk om voor strafrechtelijke gegevens bij verwerking voor specifieke archiefwettelijke verwerkingen hetzelfde regime te gebruiken als voor de bijzondere categorieën van persoonsgegevens. Een en ander betekent dat het huidige artikel 2a van de Archiefwet 1995 zal worden geactualiseerd. Dit zal in de aanpassingswet die in voorbereiding is worden meegenomen.

Voor het archiefwezen is voorts van belang dat artikel 44, tweede lid, van de Wbp komt te vervallen. Die bepaling bevat een uitzondering op de informatieplicht van de verwerkingsverantwoordelijke jegens de betrokkene bij verwerking van persoonsgegevens die deel uitmaken van archiefbescheiden in archiefbewaarplaatsen. In de plaats hiervan treedt artikel 14 van de verordening, dat rechtstreeks geldt. Op basis van dit artikel wordt in beginsel mededeling gedaan aan betrokkene door de verwerkingsverantwoordelijke wanneer de persoonsgegevens niet van de betrokkene zijn verkregen, tenzij een van de uitzonderingen van het vijfde lid zich voor doet. Het vijfde lid, onderdeel b, van artikel 14 van de verordening bevat een uitzondering voor archivering in het algemeen belang. Daaronder vallen in ieder geval de verwerkingen die nu worden genoemd in artikel 44, tweede lid, van de Wbp.

Artikel 46

Dit artikel voorziet in een algemene regeling voor gebruik van identificatienummers, waaronder als belangrijkste het burgerservicenummer (BSN). Het artikel komt overeen met het thans geldende artikel 24 van de Wbp en artikel 87 van de verordening maakt het mogelijk om deze regeling te continueren.

Uit een oogpunt van bescherming van de persoonlijke levenssfeer is het noodzakelijk geacht om aan het gebruik van identificatienummers beperkingen te stellen. Vast staat immers dat persoonsnummers de koppeling van verschillende bestanden aanzienlijk vergemakkelijken en daarmee een extra bedreiging voor de persoonlijke levenssfeer vormen. De voorgestelde bepaling laat in de eerste plaats toe dat een wettelijk voorgeschreven persoonsnummer wordt verwerkt ter uitvoering van de wet waarin het voorschrift over het nummer is opgenomen.

Vanwege de extra risico’s die het gebruik van dergelijk nummers met zich kan brengen voor de bescherming van de persoonlijke levenssfeer, wordt in het onderhavige artikel daarenboven bepaald dat verwerking van persoonsnummers voor andere doeleinden dan de uitvoering van de desbetreffende wet (verdere verwerking) alleen mogelijk is voor zover dat bij de wet is bepaald. Aldus is een afweging op het niveau van de formele wet in beginsel gegarandeerd. Er is met andere woorden voor gekozen om op dit punt geen delegatie door de formele wetgever toe te staan en eventuele andere gebruiksdoeleinden dienen derhalve door de formele wetgever zelf te worden vastgesteld. Wel is het op grond van het tweede lid mogelijk om bij algemene maatregel van bestuur andere gevallen aan te wijzen waarin een persoonsnummer mag worden gebruikt. Ook bestaat hier voor verdere verwerking van een dergelijk nummer dus geen ruimte voor een eigen afweging van de verwerkingsverantwoordelijke.

Artikel 47

In dit artikel wordt een uitzondering gecreëerd op enkele rechten voor betrokkenen voor bij wet ingestelde openbare registers. Deze rechten zijn ook uitgezonderd onder artikel 36 en 40 van de Wbp maar bijvoorbeeld ook in specifieke sectorwetgeving zoals artikel 107a, eerste lid, van de Kadasterwet zoals die luidde voor inwerkingtreding van de Aanpassingswet Algemene verordening gegevensbescherming, en dit kan worden gehandhaafd op basis van de ruimte die artikel 23 van de verordening biedt voor afwijking van bepaalde rechten van betrokkene in dit geval ter waarborging van een «belangrijke doelstelling van algemeen belang» (artikel 23, eerste lid, onderdeel e, van de verordening). Overweging 73 van de verordening expliciteert dat het houden van openbare registers die nodig zijn om redenen van algemeen belang, een reden kan zijn om beperkingen te stellen aan specifieke rechten van betrokkenen.

In het artikel is een uitzondering opgenomen op het recht van inzage van betrokkene (artikel 15 van de verordening), het recht op rectificatie (artikel 16 van de verordening), het recht op beperking van de verwerking (artikel 18 van de verordening), de kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking (artikel 19 van de verordening) en het recht op bezwaar (artikel 21 van de verordening). Overigens is ook het recht op wissing van gegevens (artikel 17 van de verordening) niet van toepassing indien de verwerking nodig is voor het nakomen van een wettelijke verplichting of een wettelijke taak. Dit is aan de orde bij openbare registers die bij wet zijn ingesteld.

Openbare registers vervullen een specifieke functie. De registers bevatten kwalitatief hoogwaardige gegevens over bijvoorbeeld personen of zaken, verrichtingen of gebeurtenissen. De registers zijn bij wet erkend als de enig officieel erkende registratie voor de desbetreffende gegevens. Bepaalde registers zijn bij wet als basisregistratie aangemerkt, zoals de basisregistraties adressen en gebouwen, de basisregistratie kadaster en het Handelsregister, die bij gelijknamige wetten zijn ingesteld. Het gebruik van gegevens uit basisregistraties is door alle overheidsinstellingen verplicht en de gegevens mogen worden gebruikt zonder nader onderzoek bij de uitvoering van publiekrechtelijke taken. Gelet daarop is het van het grootste belang dat de gegevens accuraat en volledig zijn. De taak die openbare registers ten behoeve van het algemeen belang vervullen, rechtvaardigt een uitzondering op de algemene rechten van betrokkenen, zoals bijvoorbeeld ten aanzien van het recht op wissing van gegevens. Teneinde hierover geen onduidelijkheid te laten bestaan, is dit expliciet opgenomen in de Uitvoeringswet.

Overigens kennen de openbare registers die bij wet zijn ingesteld, een eigen regime ten aanzien van inzage en wijzigen van gegevens. Een voorbeeld is titel 1 van hoofdstuk 7 van de Kadasterwet, waarin de inzageprocedure is geregeld hetgeen als nadere uitwerking van artikel 15 van de verordening zal blijven gelden. In de Kadasterwet is tevens voorzien in een onkostenvergoeding in de gevallen dat een verzoek om inzage wordt gedaan (de artikelen 108 en 109 van de Kadasterwet). Aangezien het Kadaster een met een publieke taak belaste instelling is en ter bestrijding van de kosten van de uitvoering van de publieke taak vergoedingen in rekening mag brengen, dient de onkostenvergoeding aangemerkt te worden als nadere uitwerking of verbijzondering van het geregelde in artikel 15, derde lid, van de verordening. Daarmee is sprake van een bijzondere procedure en aldus een uitzondering op het recht op inzage als beschreven in artikel 15 van de verordening (recht op inzage). Overigens wordt het recht van inzage door het Kadaster reeds ingevuld door de mogelijkheid voor de betrokkene om (gratis) via MijnOverheid.nl een deel van de eigen gegevens in te zien van hetgeen het Kadaster in de basisregistratie kadaster van de desbetreffende persoon heeft geregistreerd. Gegevens uit de basisregistraties adressen en gebouwen, het gemeentelijke beperkingenregister en de gemeentelijke beperkingenregistratie - deze laatste twee zijn ingesteld bij de Wet kenbaarheid publiekrechtelijke beperkingen onroerende zaken - zijn in beginsel ook openbaar, waardoor sprake is van een bijzondere procedure in de zin van artikel 47 van de Uitvoeringswet en een uitzondering op het algemene recht van inzage voor die openbare registers aan de orde is.

Hoofdstuk 6 van de Handelsregisterwet 2007 is een voorbeeld van een eigen regime ten aanzien van het wijzigen van gegevens. De artikelen 7s en 7t van de Kadasterwet zijn in die zin ook een bijzondere regeling die een gerechtvaardigde afwijking vormen op het recht tot wijzigen van gegevens onder de verordening (artikel 16). In genoemde artikelen is geregeld dat er ambtshalve of op verzoek correctie of herstel kan plaatsvinden van gegevens in de basisregistratie kadaster. In artikel 33 in samenhang met artikel 42 van de Kadasterwet is geregeld dat er verbeteringen kunnen worden ingeschreven op reeds ingeschreven stukken in de openbare registers van het Kadaster.

De uitzondering op het recht van beperking van de verwerking (artikel 18 van de verordening) is voor de openbare registers terug te vinden in de artikelen 7n, 7o en 7r van de Kadasterwet waarin geregeld is dat ten behoeve van de gegevens in de basisregistratie kadaster een terugmelding kan worden gedaan indien een gegeven niet juist (b)lijkt te zijn. Gedurende de periode dat het gegeven wordt onderzocht, staat het gegeven «in onderzoek» (en dit is als zodanig ook kenbaar in de basisregistratie kadaster). Voor bestuursorganen betekent dit dat zij het betreffende gegeven niet verplicht hoeven te gebruiken. Voor andere gebruikers is het signaal dat er nader onderzoek nodig is of kan zijn naar de juistheid van het gegeven.

Voor wat betreft de kennisgevingsplicht inzake rectificatie gelden voor de registers van het Kadaster de bijzondere procedures als bedoeld in de artikelen 7t, vierde lid, en 7n, zesde lid, van de Kadasterwet. In deze artikelen is geregeld dat het Kadaster de betrokkene informeert over de wijziging van een gegeven. Deze in de Kadasterwet vastgelegde informatieverplichtingen kunnen als bijzondere procedure beschouwd worden waarmee artikel 16 van de verordening buiten toepassing gelaten kan worden voor de basisregistratie kadaster.

De uitzondering op het recht van bezwaar komt overeen met artikel 40, vierde lid, van de Wbp en voorgesteld wordt om vanwege een beleidsneutrale invulling dit over te nemen in de Uitvoeringswet. Voor openbare registers geldt dat de wetgever reeds heeft beslist dat er in het belang van het rechtsverkeer sprake dient te zijn van bepaalde registers met een nauwkeurig omschreven inhoud die door een ieder moeten kunnen worden geraadpleegd.

Artikel 48

In deze bepaling is voorzien in overgangsrecht met betrekking tot de benoeming van de voorzitter, de andere leden en de ambtenaren in het secretariaat van het College bescherming persoonsgegevens. Gelet op de rechtszekerheid van diegenen die thans als lid van het College zijn benoemd, wordt in het voorgestelde vierde lid eerbiedigende werking verleend aan de mogelijkheid tot meer dan eenmalige herbenoeming, zoals dat was vastgelegd in artikel 53, derde lid, eerste, tweede en derde volzin, van de Wbp persoonsgegevens zoals dat luidde voor 1 januari 2014.

Daarnaast is voorzien in een overgangsbepaling ten aanzien van besluiten die het College bescherming persoonsgegevens heeft genomen, en een overgangsbepaling ten aanzien van wettelijke procedures en rechtsgedingen.

De verordening kent geen eigen overgangsregeling. De verordening laat ook geen ruimte voor nationaal overgangsrecht ten aanzien van de materiële verplichtingen van de verordening. Wel is in overweging 171 met betrekking tot toestemming als rechtsgrondslag voor de verwerking het volgende opgenomen:

«Om de verwerkingsverantwoordelijke in staat te stellen na de datum van toepassing van deze verordening de verwerking voort te zetten, hoeft de betrokkene voor een verwerking waarmee hij krachtens Richtlijn 95/46/EG i heeft ingestemd op een manier die aan de voorwaarden van deze verordening voldoet, niet nog eens toestemming te geven».

De voorwaarden zijn opgesomd in artikel 7 van de verordening. Het is hiermee primair aan de verwerkingsverantwoordelijke zelf om af te wegen of is voldaan aan deze voorwaarden bij de gegeven toestemming. De verwerkingsverantwoordelijke zal vanaf 25 mei 2018 moeten voldoen aan deze voorwaarden voor toestemming.

Verder stelt overweging 171 van de verordening:

«Besluiten van de Commissie en door de toezichthoudende autoriteiten verleende toestemmingen die op Richtlijn 95/46/EG i zijn gebaseerd, blijven van kracht totdat zij worden gewijzigd, vervangen of ingetrokken.»

Ten aanzien van de verplichting op grond van artikel 35 van de verordening om een gegevensbeschermingseffectbeoordeling te doen in bepaalde gevallen, heeft de Article 29 Data Protection Working Party bepaald dat dit niet verplicht is voor verwerkingen die op 25 mei 2018 al worden verricht. Wel wordt dit overigens ten zeerste aanbevolen voor verwerkingen «already underway prior to May 2018 as a matter of good practice and accountability».95

Artikel 49

Dit artikel bevat een samenloopbepaling waardoor op het moment dat artikel 168 van de Wet op de inlichtingen- en veiligheidsdiensten 2017 inwerking treedt, artikel 3, derde lid, onderdeel b van onderhavig wetsvoorstel (eerste lid, artikel 49) onderscheidenlijk van de Uitvoeringswet (tweede lid, artikel 49) daaraan wordt aangepast.

Artikel 50

Op grond van artikel 97 van de verordening zal de eerste evaluatie van de verordening uiterlijk op 25 mei 2020 zijn afgerond en daarna periodiek om de vier jaar worden uitgevoerd. In aanvulling op deze evaluatie zal ook de Uitvoeringswet worden geëvalueerd. Om te zorgen dat bij de evaluatie van de keuzes die zijn gemaakt in onderhavige Uitvoeringswet gebruik kan worden gemaakt van de gegevens die worden verzameld in het kader van de evaluatie van de verordening, wordt een evaluatietermijn van drie jaar na inwerkingtreding van de Uitvoeringswet voorgesteld en daarna dezelfde interval van vier jaar voor de vervolgevaluaties.

De eerste evaluatie zal zich met name richten op de uitvoeringspraktijk en daarmee tevens op effecten van de keuze voor de beleidsneutrale implementatie. Onderwerpen die dan geëvalueerd zullen worden zullen onder meer de uitvoerbaarheid en handhaafbaarheid zijn en daar direct mee samenhangend de duidelijkheid en toegankelijkheid.

Artikel 51

In dit artikel wordt de Wbp ingetrokken. Waar bepalingen van de Wbp inhoudelijk zijn overgenomen in onderhavige Uitvoeringswet, is dit in de artikelsgewijze toelichting vermeld.

Artikel 52

In deze bepaling is, omwille van het vergemakkelijken van het verwijzen naar bepalingen van de verordening in andere wetgeving, een citeertitel voor de verordening opgenomen.

Artikel 53

Dit artikel voorziet in de inwerkingtreding bij koninklijk besluit. Het is van groot belang dat de Uitvoeringswet op 25 mei 2018 in werking treedt omdat op die datum de verordening van toepassing wordt.

Artikel 54

Dit artikel bepaalt de citeertitel van deze wet.

Deze toelichting wordt mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties gegeven.

De Minister voor Rechtsbescherming, S. Dekker

Noot 1

Europees Parlement, «Q&A on EU data protection reform» (http://www.europarl.europa.eu/

news/en/news-room/content/20130502BKG07917/html/QA-on-EU-dataprotection-reform)

Noot 2

Kamerstukken II 2011/12, 32 761, nrs. 17, 32 en 34; Kamerstukken II 2012/13, 32 761, nrs. 44, 46, 48 en 51; Kamerstukken II 2013/14, 32 761, nrs. 54, 57, 60 en 68; Kamerstukken II 2014/15, 32 761, nr. 75, 80 en 86; Kamerstukken II 2015/16, 32 761, nr. 90 en 92.

Noot 3

Zie Kamerstukken 2007/08, 29 861 nr. 19. HvJ EG 5 februari 1963, C-26/62, ECLI:EU:C:1963:1 (Van Gend & Loos) en HvJ EG 15 juli 1964, C-6/64, ECLI:EU:C:1964:66 (Costa/ENEL).

Noot 4

Dat geldt ook voor defensie maar in de Uitvoeringswet is ervoor gekozen om gegevensverwerking door de krijgsmacht onder de werkingssfeer van deze wet te brengen en de verordening van overeenkomstige toepassing te verklaren, met dien verstande dat de Minister van Defensie in bepaalde gevallen hiervan kan afwijken.

Noot 5

HvJ EU 13 mei 2014, zaak C-131/12, ECLI:EU:C:2014:317 (Google/Costeja).

Noot 6

HvJ EG 20 mei 2003, gevoegde zaken C-465/00, C-138/01 en C-139/01, ECLI:EU:C:2003:294 (Österreichischer Rundfunk e.a.), HvJ EG 6 november 2003, C-101/01, ECLI:EU:C:2003:596 (Lindqvist) en HvJ EG 16 december 2008, C-73/07, ECLI:EU:C:2008:727 (Satakunnan Markkinapörssi en Satamedia).

Noot 7

Österreichischer Rundfunk e.a., overweging 42: In die omstandigheden kan de toepasselijkheid van richtlijn 95/46 i niet afhangen van de vraag of de concrete situaties in de hoofdgedingen voldoende verband houden met de uitoefening van de door het Verdrag gewaarborgde fundamentele vrijheden, in casu inzonderheid het vrije verkeer van werknemers. Iedere andere uitlegging brengt het gevaar met zich dat de grenzen van de werkingssfeer van de richtlijn bijzonder onzeker en vaag worden, hetgeen strijdig zou zijn met de voornaamste doelstelling van de richtlijn, namelijk de harmonisatie van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten teneinde de belemmeringen van de werking van de interne markt die voortvloeien uit de verschillen tussen nationale wetgevingen, weg te nemen.

Noot 8

Zie ook artikel 2, tweede lid, onderdeel b, Wbp.

Noot 9

Op de hier bedoelde gegevensverwerkingen wordt toezicht gehouden door de Commissie van toezicht op de inlichtingen- en veiligheidsdiensten.

Noot 10

HvJ EG 6 november 2003, C-101/01, ECLI:EU:C:2003:596 (Lindqvist).

Noot 11

COM (2017) 8 i (def).

Noot 12

Zie Kamerstukken II 2013/14, 32 761, nr. 54, blz. 8, tweede alinea, Kamerstukken II 2012/13, 32 761, nr. 48, overgang blz. 24-25 en Kamerstukken II 2011/12, 32 761, nr. 31, blz. 23, tweede alinea.

Noot 13

«De Autoriteit Persoonsgegevens onderhoudt (op individueel niveau) nauwelijks een dialoog met degenen op wie toezicht wordt gehouden en doet nauwelijks aan klachten behandelen.» B. Custers e.a., De bescherming van persoonsgegevens, Acht Europese landen vergeleken, Den Haag, SDU Uitgevers 2017, p. 12.

Noot 14

Dit mag vanzelfsprekend wel op vrijwillige basis. Zo heeft de Raad voor de rechtspraak al gedurende langere tijd een functionaris gegevensbescherming.

Noot 15

In dit wetsvoorstel wordt verder, in aansluiting op de vaste terminologie van de Awb, gesproken van «toezicht op de naleving».

Noot 16

Overweging 45: «(...) Deze verordening schrijft niet voor dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is. Er kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag. (...)»

Noot 17

HR 24 februari 2017, ECLI:NL:HR:2017:288.

Noot 18

ABRvS 3 februari 2016, ECLI:NL:RVS:2016:253.

Noot 19

Zie ook overweging 50: «Wanneer de betrokkene zijn toestemming heeft gegeven of wanneer de verwerking gebaseerd is op Unierecht of lidstatelijk recht dat in een democratische samenleving een noodzakelijke en evenredige maatregel vormt voor met name het waarborgen van belangrijke doelstellingen van algemeen belang, moet de verwerkingsverantwoordelijke de mogelijkheid hebben de persoonsgegevens verder te verwerken, ongeacht of dat verenigbaar is met de doeleinden.»

Noot 20

Kamerstukken II 1997/98, 25 892, nr. 3, blz. 101.

Noot 21

Verwerking van persoonsgegevens op grond van het vitale belang voor een ándere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd (overweging 46 van de verordening). Een voorbeeld is het geven van toegang tot een medisch dossier in een spoedgeval bij een bewusteloos persoon.

Noot 22

Overweging 8 luidt als volgt: «Voor zover deze verordening bepaalt dat de regels die zij bevat door lidstatelijk recht kunnen worden gespecificeerd of beperkt, kunnen de lidstaten indien nodig elementen van deze verordening in hun recht opnemen om de samenhang te garanderen en om de nationale bepalingen begrijpbaar te maken voor degenen op wie zij van toepassing zijn.»

Noot 23

Zie Kamerstukken II 2015/16, 32 761, nr. 89.

Noot 24

De meldplicht datalekken in de Wbp: beleidsregels voor toepassing van artikel 34a van de Wbp, Stcrt. 2015, nr. 46128.

Noot 25

Paragraaf 4.2 van de beleidsregels.

Noot 26

Kamerstukken II 2012/13, 26 643, nr. 282 en bijlage.

Noot 27

Kamerstukken II 2017/18, 26 643, nr. 490 (brief van 29 september 2017).

Noot 28

  • P. 
    6 van het model.

Noot 29

HvJ EU 13 mei 2014, zaak C-131/12, ECLI:EU:C:2014:317 (Google/Costeja).

Noot 30

Kamerstukken II 2015/16, 32 761, nr. 102.

Noot 31

Kamerstukken II 2015/16, 32 761, nr. 104.

Noot 32

Kamerstukken II 2016/17, 32 761, nr. 112.

Noot 33

Gedurende de onderhandelingen zijn deze in kaart gebracht door Sira consulting. Sira consulting, Toetsing Europese Dataprotectieverordening, mei 2013 (Kamerstukken II 2012/13, 32 761, nr. 50 en bijlage). Nadien is de verordening nog gewijzigd, maar er heeft geen nieuwe berekening plaatsgevonden.

Noot 34

Commission Staff working paper, Impact Assessment, SEC (2012) 72, met name paragraaf 7.1, 7.2 en 7.3.

Noot 35

Voorlichting Afdeling advisering van de Raad van State, Kamerstukken II 2011/2012, 32 761, nr. 32, blz. 24.

Noot 36

Hierbij is van belang te onderkennen dat deze analyse is gedaan op de op dat moment voor handen zijnde conceptteksten van de verordening; de definitieve tekst van de verordening is eerst op 27 april 2016 vastgesteld.

Noot 37

P.M.H.H.Bex e.a., Toetsing Europese Dataprotectieverordening, SIRA Consulting B.V., Nieuwegein, 31 mei 2013 (Kamerstukken II 2012/13, 32 761, nr. 50 en bijlage).

Noot 38

Bij de berekening hebben de onderzoekers de kanttekening geplaatst dat de feitelijke lasten hoger kunnen uitvallen omdat de lasten van meerdere verplichtingen niet konden worden gekwantificeerd. Het ging bijvoorbeeld om de artikelen die betrekking hadden op het minimaliseren van de verwerking van persoonsgegevens, de voorwaarden voor het verkrijgen en aantonen van toestemming, de verplichtingen inzake de verwerking van persoonsgegevens van kinderen, de bepalingen over het principe van transparantie van informatieverstrekking en communicatie en die over de gezamenlijk voor de verwerking verantwoordelijken en over vertegenwoordigers van niet in de EU gevestigde verantwoordelijken.

Noot 39

  • B. 
    Custers e.a., De bescherming van persoonsgegevens, Acht Europese landen vergeleken, Den Haag, SDU Uitgevers 2017, pagina 234 (Kamerstukken II 2017/18, 32 761, nr. 115 en bijlage).

Noot 40

  • B. 
    Custers e.a., De bescherming van persoonsgegevens, Acht Europese landen vergeleken, Den Haag, SDU Uitgevers 2017, samenvatting p. 12.

Noot 41

  • B. 
    Custers e.a., (pagina 11 en 12).

Noot 42

Hiervoor is vanuit de begroting van JenV voor 2017 € 1 mln., 2018 € 5 mln. en vanaf 2019 € 7 mln. structureel gereserveerd, zie tevens paragraaf 6.1 van de memorie van toelichting.

Noot 43

https://www.rijksoverheid.nl/documenten/brochures/2017/04/19/anticiperen-op-de-algemene-verordening-gegevensbescherming

Noot 44

Kamerstukken II 2017/18, 26 643, nr. 490.

Noot 45

In de Kamerbrief is dit als volgt toegelicht: «Het 17 punten model wordt verplicht voorgeschreven opdat er één standaard is in de gehele rijksdienst. Dit bevordert de eenduidigheid, vergelijkbaarheid en kwaliteit van de PIA’s. Het staat organisaties vrij om het model zelf aan te vullen met organisatiespecifieke onderdelenvragen, waardoor het instrument beter bruikbaar wordt.» (Kamerstukken II 2017/18, 26 643, nr. 490.)

Noot 46

Kamerstukken II 2017/18 26 643, nr. 490. Zie artikel 35 van de verordening en paragraaf 5.2.6 van deze memorie van toelichting.

Noot 47

In de periode van 1997 tot en met 2017 zijn er 250 officiële opinions, recommendations, guidelines, working documents, statements, models en checklists door Artikel 29 werkgroep gepubliceerd. Zie: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

Noot 48

Ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer

Noot 49

Ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer

Noot 50

Voor een uitgebreide beantwoording wordt ook verwezen naar paragraaf 10b van het nader rapport.

Noot 51

HvJ 20 maart 1959, C-18/57, ECLI:EU:C:1959:6 (Nold/Hoge Autoriteit), paragraaf A; HvJ EU 27 november 1984, C-50/84, ECLI:EU:C:1984:365 (Bensider/Commissie), r.o. 7.

Noot 52

Zie bijv. HvJ EU 2 mei 2006, C-417/04 P, ECLI:EU:C:2006:282 (Regione Siciliana/Commissie), r.o. 24.

Noot 53

HvJ EU 22 november 2001, C-452/98, ECLI:EU:C:2001:623 (Nederlandse Antillen/Raad), r.o. 50 e.v.

Noot 54

Zie in dit verband: K. Lenaerts, I. Maselis, K. Gutman, EU Procedural Law, Oxford, 2014, pp. 313-314.

Noot 55

Kamerstukken II 2016/17, 33 662, nr. 27.

Noot 56

ECLI:NL:RBMNE:2016:6795.

Noot 57

HvJ EU 6 oktober 2015, C-362/14, ECLI:EU:C:2015:650.

Noot 58

Kamerstukken II 2017/18, 34 809, nrs. 1-3.

Noot 59

Voor een nadere toelichting zij verwezen naar de brief van de toenmalige Minister van Veiligheid en Justitie van 30 november 2015 aan de Voorzitter van de Tweede Kamer (Kamerstukken II 2015/16, 32 317, nr. 363).

Noot 60

Dit overzicht is niet uitputtend en voor het toepasselijke recht zijn ook de keuzes in de uitvoeringswetgeving van de andere lidstaten van belang.

Noot 61

De omstandigheid dat Nederland geen gebruik maakt van de mogelijkheid naast de Autoriteit persoonsgegevens andere organen belast met de handhaving van de verordening in te stellen, doet niet af aan omstandigheid dat naast de Autoriteit persoonsgegevens ook de Autoriteit Consument en Markt een taak heeft bij de handhaving van de wetgeving inzake de verwerking van persoonsgegevens. De Autoriteit persoonsgegevens en de ACM hebben daartoe een samenwerkingsprotocol vastgesteld (Samenwerkingsprotocol tussen Autoriteit Consument en Markt en Autoriteit persoonsgegevens van 11 oktober 2016, Stcrt. 58078).

Noot 62

Stcrt. 2016, nr. 60236.

Noot 63

Stcrt. 2016, nr. 34156.

Noot 64

Wet van 21 december 2016 tot wijziging van de Telecommunicatiewet, de Boeken 3 en 6 van het Burgerlijk Wetboek, de Algemene wet bestuursrecht alsmede daarmee samenhangende wijzigingen van andere wetten in verband met de uitvoering van EU-verordening elektronische identiteiten en vertrouwensdiensten (uitvoering EU-verordening elektronische identiteiten en vertrouwens-diensten), Stb. 2017, 13.

Noot 65

Kamerstukken II 2017/18, 34 809, nrs. 1-3

Noot 66

Kamerstukken II 1997/98, 25 892, nr. 3, p.124.

Noot 67

Kamerstukken II 1997/98, 25 892, nr. 3, p. 123-124.

Noot 68

Kamerstukken II 2012/13, 32 761, nr. 44.

Noot 69

Kamerstukken II 1997/98, 25 892, nr. 3, p. 124.

Noot 70

Zie uitgebreid Kamerstukken II 2008/09, 31 841, nr. 3, p. 10-11 evenals Kamerstukken II 2008/09, 31 841, nr. 8, p. 12-13.

Noot 71

Kamerstukken II 1997/98, 25 892, nr. 3, p. 122.

Noot 72

Kamerstukken II 1997/98, 25 892, nr. 3, p.102 en 105.

Noot 73

Kamerstukken II 1997/98, 25 892, nr. 3, p. 107.

Noot 74

Kamerstukken II 1997/98, 25 892, nr. 3, p. 116.

Noot 75

Kamerstukken II 1997/98, 25 892, nr. 3, p. 117. Het kan zich overigens in een dergelijk geval wel voordoen dat het medische beroepsgeheim toch aan de gegevensverwerking in de weg staat.

Noot 76

Kamerstukken II 1997/98, 25 892, nr. 3, p. 113.

Noot 77

Kamerstukken II 1997/98, 25 892, nr. 3, p. 114.

Noot 78

Kamerstukken II 1997/98, 25 892, nr. 3, p. 112.

Noot 79

Nidos voert als onafhankelijke (gezins-)voogdij instelling, op grond van de wet, de voogdijtaak uit voor Alleenstaande Minderjarige Vreemdelingen.

Noot 80

Kamerstukken II 1997/98, 25 892, nr. 3, p. 112-113.

Noot 81

Kamerstukken II 1997/98, 25 892, nr. 3, p. 109-110.

Noot 82

Kamerstukken II 1997/98, 25 892, nr. 3, p. 110.

Noot 83

Kamerstukken II 1997/98, 25 892, nr. 3, p. 111.

Noot 84

Kamerstukken II 1997/98, 25 892, nr. 3, p. 111.

Noot 85

Kamerstukken II 1997/98, 25 892, nr. 3, p. 114.

Noot 86

Voor een uitgebreide beschrijving van voorbeelden wordt verwezen naar Kamerstukken II 1997/98, 25 892, nr. 3, p. 115.

Noot 87

Kamerstukken II 1997/98, 25 892, nr. 3, p. 118.

Noot 88

Op grond van een nog uit te brengen rectificatieblad zal «strafbare feiten» in de Nederlandse vertaling worden aangepast in «overtredingen».

Noot 89

Kamerstukken II 2012/13, 32 761, nr. 44.

Noot 90

Voor een uitgebreide toelichting wordt verwezen naar Kamerstukken II 2008/09, 31 841, nr. 3, p. 9 evenals Kamerstukken II 2008/09, 31 841, nr. 8, p. 10.

Noot 91

Voor een uitgebreide toelichting wordt verwezen naar Kamerstukken II 1997/98, 25 892, nr. 3, p. 120.

Noot 92

Kamerstukken II 1997/98, 25 892, nr. 3, p. 174.

Noot 93

FOBID Netherlands Library Forum is het nationale samenwerkingsverband en overlegforum van de landelijke bibliotheekorganisaties.

Noot 94

Kamerstukken II 1997/98, 25 892, nr. 3, blz. 44.

Noot 95

Article 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is «likely to result in a high risk» for the purposes of Regulation 2016/679, adopted on 4 April 2017, p. 11.


3.

Bijlagen

 
 
 

4.

Meer informatie

 

5.

Parlementaire Monitor

Met de Parlementaire Monitor volgt u alle parlementaire dossiers die voor u van belang zijn en bent u op de hoogte van alles wat er speelt in die dossiers. Helaas kunnen wij geen nieuwe gebruikers aansluiten, deze dienst zal over enige tijd de werkzaamheden staken.