[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

34851 Advies Afdeling advisering Raad van State inzake Uitvoeringswet Algemene verordening gegevensbescherming

Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming)

Advies Afdeling advisering Raad van State

Nummer: 2017D36903, datum: 2017-12-12, bijgewerkt: 2024-02-19 10:56, versie: 1

Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.

Gerelateerde personen:

Onderdeel van zaak 2017Z17843:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


RAADNo.W03.17.0166/II 's-Gravenhage, 10 oktober 2017

...................................................................................

Bij Kabinetsmissive van 15 juni 2017, no.2017000979, heeft Uwe Majesteit, op voordracht van de Staatssecretaris van Veiligheid en Justitie, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming), met memorie van toelichting.

Het wetsvoorstel geeft uitvoering aan de Algemene Verordening Gegevensbescherming (AVG). Zo regelt het voorstel onder meer de instelling en inrichting van een nationale toezichthouder (de Autoriteit Persoonsgegevens) en de bevoegdheid van die toezichthouder om bestuurlijke boetes op te leggen. De AVG is geen gemiddelde verordening. Zij beoogt bescherming te bieden aan een – ook in de Nederlandse Grondwet gewaarborgd – fundamenteel recht en geeft daarmee uitwerking aan artikel 7 en 8 van het Handvest van de Grondrechten van de Europese Unie (het Handvest) en artikel 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU). Dit fundamentele recht zal op grond van de AVG nader worden uitgewerkt door middel van pseudo-regelgeving (‘soft law’) van het onafhankelijke Europees Comité voor gegevensverwerking, regelgeving die zich aan de invloedssfeer van de lidstaten onttrekt. De AVG is bovendien niet gemiddeld omdat zij richtlijn-achtige kenmerken draagt; weliswaar is het grootste gedeelte ervan rechtstreeks toepasselijk in de lidstaten en behoeft zij op die onderdelen dan ook geen omzetting in nationaal recht, maar op bepaalde onderdelen laat de AVG ruimte aan de lidstaten om bij nationale wet nadere regels te stellen. De Uitvoeringswet vult die ruimte op enkele belangrijke onderdelen in. Het gaat dan bijvoorbeeld om de uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken en de mogelijkheden om beperkingen aan te brengen op de rechten en verplichtingen die voortvloeien uit de AVG.

De Afdeling advisering van de Raad van State wijst erop dat de bescherming van persoonsgegevens in steeds sterkere mate een Europeesrechtelijke aangelegenheid is geworden. Dat heeft geleid tot een constitutioneel relevante verschuiving; het grondrecht op bescherming van persoonsgegevens wordt als gevolg van de AVG hoofdzakelijk geregeld en bepaald op EU-niveau. De ontwikkeling in de richting van verdere Europese integratie op dit punt zal naar verwachting de komende jaren doorgaan. De Afdeling adviseert inzichtelijk te maken wat de consequenties hiervan zijn, in het bijzonder als het gaat om de in de AVG vastgelegde systematiek van samenwerking en coherentie van toezichthouders. Voorts is – voor zover de AVG ruimte laat voor regeling door de nationale wetgever – een inhoudelijkere afweging nodig als het gaat om de vraag of en zo ja, op welke wijze van die ruimte gebruik wordt gemaakt. De toelichting zou op dit punt aangevuld moeten worden.

De AVG voorziet in een gelaagde toezichtsstructuur, waarbinnen zowel nationale toezichthouders als het Europees Comité voor gegevensverwerking taken en bevoegdheden hebben. Gegeven de onafhankelijkheid van de toezichthouders op beide niveaus in samenhang met hun verstrekkende taken en bevoegdheden, dient duidelijkheid te bestaan over de openbaarheid van hun werkwijze, over de wijze waarop de toezichthouders belanghebbenden bij hun besluiten en bij andere handelingen die zij verrichten, betrekken en hoe zij verantwoording afleggen over de uitoefening van hun taken en bevoegdheden. Dit geldt in het bijzonder voor het Europees Comité voor gegevensverwerking dat op grond van de AVG bevoegd is pseudo-regels (in de vorm van richtsnoeren, aanbevelingen en beste praktijken) vast te stellen. De toelichting zou onder meer inzichtelijk moeten maken op welke wijze de raadpleging en verantwoording door het Comité zal plaatsvinden en daarbij duidelijk te maken of de ‘checks and balances’ zoals voorzien in de AVG als toereikend worden beoordeeld.

De Afdeling adviseert de toelichting ook met betrekking tot de uitvoeringsaspecten substantieel te versterken. De gevolgen van de AVG voor burgers, bedrijven en overheden zullen aanzienlijk zijn. Ook de bekendheid met de naderende veranderingen lijkt nog te wensen over te laten. Gevoegd bij de structurele problemen in de uitvoeringspraktijk onder de bestaande wetgeving, zal de komende periode een majeure inspanning nodig zijn om de AVG en de daarmee samenhangende wetgeving op een aanvaardbaar niveau uitgevoerd te krijgen. De toelichting geeft van de urgentie daarvan onvoldoende blijk. Daarbij merkt de Afdeling op dat de regering, ondanks de Europese oorsprong van de nieuwe regels en de rechtstreekse toepasselijkheid daarvan, mede verantwoordelijk is voor een effectieve uitvoering van de AVG in de Nederlandse samenleving. In het licht van de technologische ontwikkelingen zou in de noodzakelijke uitvoeringsbegeleiding ook nadrukkelijk aandacht besteed dienen te worden aan de wijze waarop deze ontwikkelingen kunnen worden geïncorporeerd in de praktische toepassing van de AVG en de Uitvoeringswet.

1. Inleiding

Het voorliggende wetsvoorstel geeft uitvoering aan de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 van kracht zal worden. De AVG vervangt Richtlijn 95/46/EG waarop de huidige Wet bescherming persoonsgegevens is gebaseerd. De AVG is, samen met de Richtlijn gegevensbescherming opsporing en vervolging,1 de weerslag van een integrale herziening van het EU-gegevensbeschermingsrecht.2 Het implementatiewetsvoorstel voor de Richtlijn gegevensbescherming opsporing en vervolging en de aanpassingswetgeving voor verschillende sectorale wetten volgen op een later moment. Deze integrale herziening van het gegevensbeschermingsrecht is inhoudelijk en procedureel ingrijpend. Zij heeft vergaande gevolgen voor de Nederlandse wetgeving en de daarop gebaseerde uitvoeringspraktijk.

a. Inhoud AVG

De AVG waaraan het onderhavige wetsvoorstel uitvoering geeft, brengt een aantal forse veranderingen, maar is tegelijkertijd een voortzetting van de huidige Richtlijn 95/46/EG.3 In verhouding tot het bestaande wettelijk regime kan de AVG als volgt worden samengevat:

  • De beginselen van de verwerking van persoonsgegevens komen in hoofdlijnen overeen met die van de richtlijn (beginselen van rechtmatigheid, behoorlijkheid en transparantie, beginsel van doelbinding, beginsel van dataminimalisatie, beginsel van juistheid, beginsel van opslagbeperking, beginsel van integriteit en vertrouwelijkheid). Wel is de verplichting om gegevens transparant te verwerken grotendeels nieuw en uitgebreider geregeld ten opzichte van de richtlijn.

  • De belangrijkste definities en het materiële toepassingsbereik blijven in beginsel gelijk. Verandering is er in het territoriale toepassingsbereik: de verordening kan ook van toepassing zijn op een niet in de Unie gevestigde verantwoordelijke.

  • De rechten van betrokkene komen voor een belangrijk deel overeen met de richtlijn, maar zijn ook op een aantal punten uitgebreid. Nieuw zijn het recht om te worden vergeten en het recht om gegevens mee te nemen (gegevensoverdraagbaarheid).4 Deels nieuw is voorts het recht om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming, waaronder profilering.

  • In de positie van de verwerkingsverantwoordelijke en de verwerker vinden enkele grote wijzigingen plaats. De AVG introduceert een algemene verantwoordingsplicht voor de verwerkingsverantwoordelijke.5 De voorafgaande meldingsplicht bij alle gegevensverwerkingen verdwijnt, maar wordt vervangen door een aantal andere verplichtingen voor de verwerkingsverantwoordelijke.

  • In het toezicht brengt de AVG forse veranderingen. De nationale toezichthoudende autoriteit wordt onder de AVG nog onafhankelijker van de lidstaat gepositioneerd dan thans het geval is. Bovendien worden de nationale toezichthouders ingebed in een Europese structuur onder het Europees Comité voor gegevensbescherming. Het doel hiervan is om een zo eenduidig mogelijke uitleg van de verordening te bewerkstelligen (samenwerking en coherentie).6 De verordening bevat ter uitwerking van dit gelaagde toezichtssysteem uitvoerige en gecompliceerde voorschriften.7

  • Ook het hoofdstuk dat ziet op beroep, aansprakelijkheid en sancties verschilt substantieel ten opzichte van de richtlijn.8 De meest in het oog springende hiervan is een uitgebreide bepaling over sancties, waarin de basis wordt gelegd om administratieve geldboetes op te leggen, oplopend tot €20 miljoen of 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar.9

b. Toekomstige ontwikkelingen

De AVG reguleert een terrein dat sterk beïnvloed wordt door de steeds sneller gaande technologische ontwikkelingen. Hoewel de AVG op hoofdlijnen een voortzetting vormt van het in Richtlijn 95/46/EG neergelegde regelgevingskader, brengt de AVG met het oog op deze ontwikkelingen op een (beperkt) aantal punten vernieuwingen. Voorbeelden daarvan zijn het uitgebreide recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming (waaronder profilering)10 en de verplichting voor de verwerkingsverantwoordelijke om gebruik te maken van ‘privacy by design’ en ‘privacy by default’.11 Gezien de snelheid van innovatie op dit gebied realiseert de Afdeling zich dat ook de ontwikkeling van het gegevensbeschermingsrecht door zal (moeten) gaan. Een voorbeeld daarvan biedt het voorstel voor een e-Privacyverordening dat begin 2017 gepubliceerd is en dat de e-Privacyrichtlijn (Richtlijn 2002/58/EG) moet vervangen. Deze verordening dient ter aanvulling van het beschermingskader van de AVG waar het betreft elektronische communicatie. Het voorstel bevat onder meer regels over het gebruik van cookies en vergelijkbare technieken en regels die – rekening houdend met moderne technieken – het communicatiegeheim moeten beschermen in de elektronische communicatiesector. Het is de bedoeling dat ook die verordening op 25 mei 2018 in werking treedt.12

Het vorenstaande maakt duidelijk dat het nieuwe gegevensbeschermingsrecht geen rustig bezit is. De technologische ontwikkelingen hebben op termijn mogelijk ook gevolgen voor de beginselen die ten grondslag liggen aan de AVG, zoals het beginsel van doelbinding en het beginsel van dataminimalisatie. Met het oog daarop zal moeten blijken in hoeverre het nu tot stand gekomen regelingskader toekomstbestendig is. De gevolgen van de technologische ontwikkelingen zullen echter ook nu al merkbaar zijn in de uitvoeringspraktijk. In punt 4b van dit advies vraagt de Afdeling daarvoor nadere aandacht.

c. Karakter AVG en gevolgen voor implementatie

De Afdeling onderstreept het belang van de AVG en van de daarmee beoogde bescherming. Burgers moeten het vertrouwen kunnen hebben dat er met hun persoonsgegevens op een zorgvuldige en transparante wijze wordt omgegaan. In het licht daarvan is kwalitatief goede wetgeving met betrekking tot de bescherming van persoonsgegevens, ook vanwege de snel toenemende technische mogelijkheden, cruciaal. De AVG gaat daarom terecht uit van een hoog beschermingsniveau. Tegelijkertijd meent de Afdeling dat het nieuwe EU-gegevensbeschermingsrecht, ook in verhouding tot het bestaande wettelijke regime, zeer complex is en met het oog op de nadere uitwerking in de wetgeving en in de uitvoeringspraktijk veel vragen oproept en nog zal oproepen. Deze komen in dit advies, dat alleen betrekking heeft op de onderhavige Uitvoeringswet, maar beperkt aan bod.

De AVG is geen gemiddelde verordening. Zij beoogt bescherming te bieden aan een – ook in de Nederlandse Grondwet gewaarborgd – fundamenteel recht en geeft daarmee uitwerking aan artikel 7 en 8 Handvest en artikel 16 VWEU. Dit fundamentele recht zal op grond van de AVG nader worden uitgewerkt door middel van pseudo-regelgeving (‘soft law’) van het onafhankelijke Europees Comité voor gegevensverwerking, regelgeving die zich aan de invloedssfeer van de lidstaten onttrekt. De AVG is bovendien niet gemiddeld omdat het grootste gedeelte daarvan weliswaar rechtstreeks toepasselijk is en op die onderdelen dan ook geen omzetting behoeft in nationaal recht, maar op bepaalde onderdelen ruimte laat aan de lidstaten om bij nationale wet nadere regels te stellen. De AVG heeft daardoor een gemengd karakter; naast rechtstreeks toepasselijke bepalingen bevat zij voorschriften met richtlijn-achtige kenmerken. De ruimte die de AVG biedt vraagt om goed beargumenteerde keuzes van de nationale wetgever.

De regering heeft er voor gekozen de vorengenoemde ruimte zo veel mogelijk beleidsneutraal in te vullen. De noodzaak om de uitvoeringswetgeving tijdig tot stand te brengen is blijkens de toelichting voor die keuze een belangrijke factor geweest. Dat leidt ertoe dat volstaan wordt met een Uitvoeringswet waarin hoofdzakelijk alleen een toezichthouder wordt ingesteld en een beperkt aantal bevoegdheden wordt toegekend en die voorzien is van een beperkte memorie van toelichting. De Afdeling merkt echter op dat het bijzondere karakter van de AVG zoals hiervoor beschreven daardoor niet voldoende tot uitdrukking komt. Gegeven de beschreven aard van de verordening kiest de Afdeling in haar advies dan ook voor een bredere benadering en maakt zij enkele opmerkingen over de rol van de wetgever, het belang van een goede toelichting bij deze Uitvoeringswet en de noodzaak om te komen tot een samenhangend uitvoeringsprogramma.

d. Leeswijzer advies

De Afdeling beperkt zich in dit advies tot enkele hoofdlijnen. In deel I maakt zij enkele algemene opmerkingen over het nieuwe regime. Deze hebben met name betrekking op de verschuiving van bevoegdheden van de lidstaten naar de Europese Unie op het terrein van de bescherming van persoonsgegevens en de gevolgen van die verschuiving voor de wetgever, het toezicht en de uitvoeringspraktijk. Deel II van het advies bevat specifiekere opmerkingen die samenhangen met de verhouding tussen de AVG enerzijds en de keuzes die gemaakt zijn in de Uitvoeringswet anderzijds. De Afdeling beperkt zich daarbij tot enkele wezenlijke onderdelen van de AVG.

I. ALGEMEEN

2. Verschuiving bevoegdheidsverdeling tussen lidstaten en EU

a. De ontwikkeling naar een Europees gegevensbeschermingsrecht

Reeds bij het begin van het wetgevingsproces in 2012 dat uiteindelijk geleid heeft tot de AVG en de Richtlijn gegevensbescherming opsporing en vervolging was te voorzien dat sprake zou zijn van een constitutioneel relevante verschuiving.13 De bescherming van persoonsgegevens werd aanvankelijk primair op nationaal niveau geregeld. Daarvoor bestaat ook een grondwettelijke basis. Sinds 1983 bevat artikel 10, tweede en derde lid, van de Grondwet een opdracht aan de formele wetgever om ter bescherming van de persoonlijke levenssfeer regels te stellen over de bescherming van persoonsgegevens. Dat hangt samen met de keuze van de Grondwet om bij de beperking en uitwerking van de daarin opgenomen grondrechten, de formele wetgever een vooraanstaande rol toe te kennen. Dat geldt ook voor het terrein van de gegevensbescherming. De Wet persoonsregistraties die daarna in 1988 tot stand is gekomen, is op deze grondwetsbepalingen gebaseerd.

In dezelfde periode is op dit terrein een proces van Europese integratie op gang gekomen. Hierdoor is de bescherming van persoonsgegevens in steeds sterkere mate een Europeesrechtelijke aangelegenheid geworden. In 1995 is – wat achteraf gezien kan worden beschouwd als een tussenstation – Richtlijn 95/46/EG vastgesteld. Deze richtlijn reguleert de bescherming van persoonsgegevens in de Europese Unie ter bevordering van de werking van de interne markt. Deze richtlijn is in Nederland geïmplementeerd in de Wbp.

De Europese integratie op dit punt is daarna geleidelijk geïntensiveerd. De nadere uitleg van Richtlijn 95/46/EG vond weliswaar vooral plaats op het niveau van de lidstaten maar werd in de loop van de tijd steeds sterker gestuurd door richtinggevende opinies van de zogeheten artikel 29-werkgroep14 en door uitspraken van het Hof van Justitie van de EU (HvJEU).15 In het Verdrag van Lissabon in 2009 werd voorts voor de bescherming van persoonsgegevens een zelfstandige algemene rechtsgrondslag (met inbegrip van een regelingsopdracht aan de Europese wetgever) opgenomen in artikel 16 VWEU. Bij hetzelfde verdrag heeft het Handvest van de grondrechten van de EU en het daarin in artikel 8 vastgelegde recht op bescherming van persoonsgegevens juridisch bindende werking gekregen. In dit artikel zijn ook de uitgangspunten waaraan bij de toepassing van dat recht moet worden voldaan, vastgelegd.16 Deze ontwikkeling laat zien dat de problematiek van de bescherming van persoonsgegevens in EU-verband inmiddels niet meer uitsluitend in het kader van de werking van de interne markt wordt geplaatst, maar ook in het bredere perspectief van de bescherming van grondrechten.

Deze ontwikkeling komt met de totstandkoming van de AVG in een nieuwe fase. Voor de thans gemaakte keuze voor een verordening in plaats van een richtlijn bestaan overtuigende argumenten. Onder Richtlijn 95/46/EG werden persoonsgegevens in de lidstaten zeer verschillend beschermd. Deze verschillen kunnen een belemmering vormen voor de uitoefening van grensoverschrijdende economische activiteiten en nadelig zijn vanuit het perspectief van eerlijke concurrentie.17 Het gevolg van die keuze is dat de nationale beleidsruimte van de lidstaten in vergelijking tot de huidige situatie verder wordt ingeperkt. De AVG is, anders dan Richtlijn 95/46/EG, rechtstreeks toepasselijk in de lidstaten. De Wbp zal hierdoor – te effectueren door het onderhavige wetsvoorstel – komen te vervallen. Slechts op een beperkt aantal, door de AVG begrensde terreinen en onder door de AVG gestelde voorwaarden mag de nationale wetgever nog regels stellen.

De ontwikkeling in de richting van verdere Europese integratie zal naar verwachting de komende jaren doorgaan. De AVG kent een gedetailleerde regeling van samenwerking van toezichthouders in het Comité voor de gegevensverwerking in het kader waarvan de in de AVG opgenomen normen verder zullen worden ingevuld en gepreciseerd. Goed denkbaar is dat de AVG in de toekomst, mede op grond van door het Comité vastgestelde pseudo-regelgeving (zie hierna punt 3), zal worden aangepast. Ook deze wijzigingen zullen in de lidstaten rechtstreeks toepasselijk zijn.

b. Algemene Verordening Gegevensbescherming: voorlopig sluitstuk?

Als gevolg van de aldus geschetste ontwikkeling is er sprake van een verschuiving in de bevoegdheidsverdeling tussen de lidstaten en de Europese Unie; de bescherming van het grondrecht op bescherming van persoonsgegevens wordt hoofdzakelijk geregeld en bepaald op EU-niveau. De bewegingsruimte van de lidstaten is hierdoor geleidelijk beperkt. Deze beperking heeft ook constitutionele implicaties. De betekenis van de in artikel 10, tweede en derde lid, van de Grondwet voorziene rol van de nationale wetgever neemt af. De memorie van toelichting bij het wetsvoorstel wijst er terecht op dat de AVG materieel grotendeels voorziet in de regelgeving waartoe artikel 10, tweede en derde lid, van de Grondwet opdraagt. Deze regelingsopdracht aan de formele wetgever dient dan ook, aldus de toelichting, buiten toepassing te blijven, voor zover een dergelijke wet zou overlappen met de bepalingen uit de AVG die rechtstreeks gelden.18 De AVG en het daarop gebaseerde wetsvoorstel vormen daarmee het voorlopige sluitstuk van een proces van verschuiving van de bevoegdheidsverdeling tussen lidstaten en EU op het terrein van de bescherming van persoonsgegevens.

De ontwikkeling in de richting van verdere Europese integratie zal naar verwachting de komende jaren doorgaan. Een belangrijke stap in deze richting ligt besloten in de AVG zelf. De AVG kent een gedetailleerde regeling van samenwerking en coherentie van toezichthouders. Deze samenwerking houdt onder meer in dat de in de AVG opgenomen normen verder zullen worden uitgewerkt en verfijnd door pseudo-regels (in de vorm van richtsnoeren, aanbevelingen en beste praktijken) door het Europees Comité voor gegevensbescherming.19 Voorzienbaar is dat deze door de (Europese) rechter worden betrokken bij de interpretatie en toepassing van de AVG en langs deze weg de bewegingsruimte op het niveau van de lidstaten verder zullen verkleinen. De toelichting gaat hier niet op in. De toelichting vermeldt alleen dat veel van de veranderingen die voor de toezichthoudende autoriteit van het grootste belang zijn, waaronder de taken in het kader van Europese samenwerking, rechtstreeks voortvloeien uit de AVG en derhalve geen nationale rechtsbasis behoeven.20 Deze veranderingen blijven om die reden in de toelichting buiten beschouwing, aldus de regering.

De Afdeling meent evenwel dat het feit dat de bepalingen over de Europese samenwerking van de toezichthoudende autoriteiten rechtstreeks toepasselijk zijn, niet betekent dat deze in het kader van deze Uitvoeringswet niet toegelicht zouden moeten worden. Om een goed inzicht te krijgen in de nieuwe positie van de Autoriteit Persoonsgegevens (de Autoriteit), waarvan oprichting, inrichting en de wijze van uitoefening van haar taken wel in deze wet geregeld wordt, dient de toelichting uitvoeriger te zijn. Het gaat daarbij in het bijzonder om de samenwerkingsverplichtingen en het coherentiemechanisme,21 alsook de taken van het Europees Comité voor de gegevensbescherming, waarin de verschillende autoriteiten, dus ook de Autoriteit, vertegenwoordigd zijn. Een nadere toelichting vanuit een breder constitutioneel perspectief is te meer van belang omdat de interpretatie en toepassing van de AVG door het Comité de bewegingsruimte op het niveau van de lidstaten verder zullen verkleinen.

De Afdeling adviseert in de toelichting nader in te gaan op de voorziene werking van de in de AVG vastgelegde systematiek van samenwerking en coherentie en de mogelijke gevolgen daarvan voor de rechtsontwikkeling en voor de bevoegdheidsverdeling tussen de Europese Unie en de lidstaten.

c. De afwegingsruimte van de nationale wetgever

Het gevolg van bovenstaande ontwikkeling is zoals opgemerkt dat onder de AVG de rol van de nationale wetgever beperkter wordt. Die rol is echter niet volledig uitgespeeld. De AVG heeft op bepaalde onderdelen een richtlijn-achtig karakter. Dit uit zich in de toekenning van de bevoegdheid in een aantal bepalingen van de AVG om op het niveau van de lidstaten nadere regels te stellen. In de Uitvoeringswet wordt in bepaalde gevallen van deze mogelijkheid gebruik gemaakt en invulling gegeven aan deze bevoegdheid. In andere gevallen waarin de AVG deze mogelijkheid biedt, is dat niet het geval. Zo is bijvoorbeeld geen gebruik gemaakt van de mogelijkheid om nadere regels vast te stellen over de verwerking van persoonsgegevens in het kader van de arbeidsverhouding.22 Ook is geen of althans niet uitdrukkelijk invulling gegeven aan de ruimte om – als uitzondering op het wettelijk verbod – bijzondere persoonsgegevens te verwerken in verband met het algemeen belang op het gebied van de volksgezondheid.23

De daaraan ten grondslag liggende keuze wordt alleen in algemene zin toegelicht met het uitgangspunt van de beleidsneutrale implementatie. De memorie van toelichting zegt daarover het volgende:

“Conform het algemene uitgangspunt bij implementatie van Europese regelgeving is gestreefd naar een beleidsneutrale invulling van de ruimte die de verordening biedt. Dat wil zeggen dat bij de invulling van de ruimte die de verordening laat voor nationaal recht steeds is bezien of en in hoeverre het bestaande nationale recht en de bestaande nationale beleidskeuzes gehandhaafd kunnen worden onder de verordening. Waar dat niet, of niet geheel mogelijk is, is er steeds voor gekozen om zo dicht mogelijk te blijven bij het bestaande nationale recht.”24

Een beleidsneutrale invulling is op zichzelf een legitieme keuze binnen de ruimte die de AVG aan de lidstaten biedt. Vanuit het oogpunt van een tijdige uitvoering van de AVG is de keuze voor beleidsneutrale implementatie ook begrijpelijk. Tegelijkertijd ontbreekt hierdoor een helder inzicht in mogelijke inhoudelijke redenen om wel of niet van de geboden mogelijkheden gebruik te maken. Tegen die achtergrond merkt de Afdeling op dat een inhoudelijke afweging per afzonderlijke bevoegdheid van de nationale wetgever een belangrijke toegevoegde waarde zou hebben. Een dergelijke afweging gaat verder dan een verwijzing naar het beleidsneutrale karakter van de Uitvoeringswet.25

De Afdeling meent dat met betrekking tot alle bepalingen van de AVG die ruimte bieden aan de nationale wetgever alsnog een inhoudelijke afweging als hiervoor bedoeld zou moeten plaatsvinden. Deze afweging ontbreekt op dit moment in de toelichting. Een inhoudelijke argumentatie is met name ook van belang in de gevallen waarin van de door de AVG geboden ruimte geen gebruik wordt gemaakt. Dit geldt bijvoorbeeld ten aanzien van de door de AVG toegekende bevoegdheden aan de lidstaten om over de verwerking van persoonsgegevens in het kader van de arbeidsverhouding en de verwerking van bijzondere persoonsgegevens in verband met het algemeen belang op het gebied van de volksgezondheid, nadere regels te stellen. Zij adviseert met het oog daarop de toelichting aan te vullen en het wetsvoorstel zo nodig aan te passen. Indien de tijdige uitvoering van de AVG daaraan in de weg staat, adviseert zij in de toelichting aan te geven op welke wijze zo snel mogelijk na de inwerkingtreding van de AVG en de Uitvoeringswet alsnog hieraan uitvoering wordt gegeven.

d. Uitleg van de AVG tijdens het wetgevingsproces

Bij de voorbereiding van het wetsvoorstel is de vraag gerezen hoeveel ruimte de regering heeft om de rechtstreeks toepasselijke bepalingen van de AVG toe te lichten. In de toelichting heeft de regering aangegeven dat het niet aan haar is om de in de consultatiereacties gevraagde nadere duiding van de in de AVG opgenomen normen te geven, maar dat de Autoriteit als toezichthouder hier meer helderheid over kan verschaffen.26 Daarmee volgt zij het standpunt zoals door de Autoriteit ingenomen in haar consultatiereactie. Het gevolg hiervan is dat de toelichting in het algemeen slechts een beperkte weergave bevat van de in de AVG opgenomen bepalingen.

De Afdeling onderschrijft het uitgangspunt dat nu het om een verordening gaat, de regering niet een eindoordeel kan geven over de interpretatie daarvan. Dat is uiteindelijk aan de (Europese) rechter. Zij meent echter dat dit niet kan afdoen aan de behoefte aan nadere toelichting met het oog op de uitvoering van de verordening. De regering heeft namens Nederland de onderhandelingen over de AVG gevoerd en is daardoor in eerste instantie degene die, in aanvulling op de vaak summiere overwegingen van de AVG, informatie kan geven over de wijze waarop en de redenen waarom de bepalingen van de AVG in hun huidige vorm tot stand zijn gekomen. Belangrijke bronnen daarbij zijn de kwartaaloverzichten die de staatssecretaris aan de Tweede Kamer heeft gezonden over de stand van zaken over de onderhandelingen in Brussel over de AVG27 en de verslagen van de Commission Expert group on the Regulation van de besprekingen waaraan de regering heeft deelgenomen.28 Op deze wijze kan de inhoud van de bepalingen en hun onderlinge samenhang beter worden begrepen. Vanwege de complexiteit van de AVG bestaat daaraan een grote maatschappelijke behoefte, zo blijkt ook uit de vele vragen daaromtrent in de consultatiereacties.

Daarnaast is van belang dat het parlement, ook al gaat het om een uitvoeringswet, zijn medewetgevende taak op een juiste wijze kan uitoefenen. Een duidelijke toelichting tijdens de parlementaire behandeling waarbij objectief en met bronvermelding wordt weergegeven wat met de diverse bepalingen blijkens hun totstandkoming door de Uniewetgever bedoeld is, kan bijdragen aan het noodzakelijke maatschappelijke en politieke draagvlak voor de AVG. Een dergelijke toelichting is ook van belang voor de beoordeling door de wetgever of (toekomstige) bepalingen over de verwerking van persoonsgegevens in sectorale wetgeving binnen de kaders van de AVG blijven. Dat het eindoordeel over de toekomstige interpretatie uiteindelijk grotendeels bij anderen ligt, doet daaraan niet af.

De Afdeling adviseert de toelichting in het licht van het bovenstaande aan te passen.

3. Onafhankelijk toezicht: raadpleging en verantwoording

a. Gelaagde structuur

De AVG voorziet in een gelaagde toezichtsstructuur. Enerzijds regelt de AVG de instelling, de samenstelling en de taken en bevoegdheden van de nationale toezichthouders. Anderzijds voorziet zij in gedetailleerde bepalingen die de taken en bevoegdheden van het Europees Comité voor gegevensverwerking regelen. Het Comité bestaat uit de voorzitters van de nationale toezichthouders en de Europese Toezichthouder voor gegevensbescherming.29 Zowel de nationale toezichthouders30 als het Comité zijn bij de uitoefening van hun taken en bevoegdheden op grond van de AVG onafhankelijk. Voor zover het gaat om de nationale toezichthouders sluit de AVG hier aan bij de rechtspraak van het HvJEU31 en bij artikel 16, tweede lid, VWEU en artikel 8, derde lid, van het Handvest.

Op beide niveaus geldt dat de taken en bevoegdheden van de toezichthouders ruim zijn. Op grond van 70 AVG kan het Comité met betrekking tot de toepassing van de AVG richtsnoeren, aanbevelingen en beste praktijken vaststellen. Deze activiteiten leiden in de regel32 weliswaar niet of althans niet direct tot juridisch bindende besluiten maar aannemelijk is dat zij – voortbouwend op de opinies van de huidige artikel 29 Werkgroep – in de rechtsontwikkeling van het gegevensbeschermingsrecht een belangrijke rol zullen gaan spelen. De taken en bevoegdheden van de nationale toezichthouders zoals neergelegd in artikel 57 en 58 AVG zijn eveneens ruim en zeer uiteenlopend. Zij omvatten onder meer voorlichting, behandeling van klachten, onderzoek naar de toepassing van de AVG, de goedkeuring van diverse besluiten, voorschriften en standaardbepalingen, wetgevingsadvisering en handhaving. Met name als het gaat om de handhaving wordt de positie van de toezichthouder (in Nederland de Autoriteit) versterkt.33

Gegeven de onafhankelijkheid van de toezichthouders op beide niveaus in samenhang met hun verstrekkende taken en bevoegdheden, dient naar het oordeel van de Afdeling duidelijkheid te bestaan over de openbaarheid van hun werkwijze, over de wijze waarop de toezichthouders belanghebbenden bij hun besluiten en bij andere handelingen die zij verrichten, betrekken en hoe zij verantwoording afleggen over de uitoefening van hun taken en bevoegdheden.34 De AVG is op dit punt summier. Ook de toelichting bij het wetsvoorstel gaat er niet op in.

Tegen deze achtergrond maakt de Afdeling de volgende opmerkingen.

b. Pseudo-regelgeving Europees Comité voor gegevensverwerking

De taken en bevoegdheden van het Comité hebben een aanzienlijk ruimer bereik dan toezicht op de naleving van de AVG in strikte zin. Zoals gezegd dient het Comité door middel van richtsnoeren, aanbevelingen en beste praktijken de algemene regels en beginselen van de AVG nader uit te werken. Weliswaar wordt in artikel 70, eerste lid, AVG deze taak van het Comité op een aantal punten gespecificeerd maar in wezen bestrijkt deze de gehele AVG. In het bijzonder is van belang dat het Comité op grond van artikel 70, eerste lid, onder e, bevoegd is om, ook op eigen initiatief, onderzoek te doen naar de toepassing van de verordening en in dat kader mag overgaan tot het ‘uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken om te bevorderen dat deze verordening consequent wordt toegepast.

De Afdeling merkt op dat deze taak nagenoeg onbegrensd is. Feitelijk komt het er op neer dat in het geval er, blijkend uit de praktijk in de lidstaten, onduidelijkheid bestaat over hoe een bepaald voorschrift uit de AVG moet worden uitgelegd, het Comité in eerste instantie mag bepalen wat de juiste interpretatie is. Omdat de AVG op veel punten open normen bevat, betreft het een ruime bevoegdheid bij de uitoefening waarvan Comité over een ruime beoordelingsvrijheid beschikt. Het gaat om beoordelingen met een algemeen karakter die, hoewel juridisch niet bindend, feitelijk neerkomen op pseudo-regelgeving (‘soft law’). Aangenomen moet worden dat deze pseudo-regels in de praktijk een belangrijke richtsnoer zullen vormen voor het handelen van wetgevers, rechters, bestuursorganen, bedrijven en burgers in de lidstaten.

De Afdeling merkt op dat deze ‘soft law’ zich aan de invloedssfeer van de lidstaten onttrekt. Deze komt immers tot stand in een Europees orgaan (het Comité) bestaande uit onafhankelijke toezichthouders die hierover geen verantwoording schuldig zijn aan de regeringen en parlementen van de lidstaten. Omdat ook het Comité als zodanig bij de uitoefening van zijn taken en bevoegdheden onafhankelijk is, lijken ook op EU-niveau de ‘checks and balances’ slechts beperkt aanwezig. De AVG treft enkele summiere voorzieningen; het Comité raadpleegt ‘waar passend’ de belanghebbende partijen en geeft hun de gelegenheid om binnen een redelijk tijdsbestek commentaar te leveren.35 Daarnaast bepaalt artikel 71 AVG dat het Comité een jaarverslag op moet stellen en toezenden aan het Europees Parlement, de Raad en de Commissie, dat een evaluatie van de praktische toepassing van de richtsnoeren, aanbevelingen en beste praktijken moet omvatten.36 Niet duidelijk is of het Comité, gelet op zijn onafhankelijke positie, verantwoording zal afleggen aan een van de genoemde instituties over wat in het jaarverslag aan de orde komt en zo ja, op welke wijze die verantwoording zal plaatsvinden.

De Afdeling is van oordeel dat, gelet op het te verwachten belang van de door het Comité vast te stellen pseudo-regels voor de Nederlandse wetgeving, rechtspraak en uitvoeringspraktijk, inzichtelijker moet worden op welke wijze de raadpleging en verantwoording door het Comité zal plaatsvinden. Zij adviseert in de toelichting in het licht van het vorenstaande hierop in te gaan en daarbij tevens duidelijk te maken of de ‘checks and balances’ zoals voorzien in de AVG als toereikend worden beoordeeld.

c. Voorbereiding van goedkeuringsbesluiten door de Autoriteit

Zoals hiervoor aangeduid heeft de nationale toezichthouder, in Nederland de Autoriteit, binnen het kader van de AVG en van de door het Comité te ontwikkelen standaarden, ruime en uiteenlopende bevoegdheden. Net als voor het Comité geldt voor de Autoriteit dat haar taken en bevoegdheden meer omvatten dan het toezicht op de naleving van de AVG in strikte zin. Blijkens de artikelen 57 en 58 AVG gaat het ook om de goedkeuring van onder meer gedragscodes en bedrijfsvoorschriften.

Een belangrijke waarborg die van toepassing is op bepaalde bindende beslissingen van de toezichthouder is dat daartegen beroep openstaat bij de rechter. Dit wordt ook door de AVG voorgeschreven.37 Naast rechterlijke controle is evenwel ook een goede voorbereiding van besluiten van belang. Goedkeuringsbevoegdheden die op grond van de AVG aan de Autoriteit zijn toegekend kunnen betrekking hebben op regelingen met een algemeen karakter die met het oog op het relatief groot aantal belanghebbenden zorgvuldig moeten worden voorbereid.

De Afdeling ondersteunt dan ook het verzoek van de Autoriteit in haar advies om te bepalen dat de uniforme openbare voorbereidingsprocedure als bedoeld in Afdeling 3.4 Awb van toepassing is op de voorbereiding van een beslissing op een verzoek om een ontwerpgedragscode goed te keuren. Thans is dit geregeld in artikel 25, vierde lid, van de Wbp. De regering heeft in reactie op het advies van de Autoriteit aangegeven het opnemen van deze procedure niet in overeenstemming met artikel 40 AVG te vinden, omdat dit onnodige procedurele belemmeringen zou kunnen opwerpen die het opstellen van gedragscodes niet bevorderen.38 De Afdeling merkt echter op dat artikel 40 AVG niet voorschrijft de wijze waarop goedkeuring op nationaal niveau plaats moet vinden. Er wordt slechts een procedure voorgeschreven wanneer het Comité moet worden betrokken, namelijk als het gaat om een gedragscode die betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten. Wat betreft de overweging van de regering dat dit onnodige procedurele belemmeringen zou kunnen opleveren, acht de Afdeling dit standpunt niet overtuigend gemotiveerd in het licht van het belang van een zorgvuldige voorbereiding van dergelijke besluiten met een brede werking. Artikel 40 AVG sluit de toepassing van daarop betrekking hebbende zorgvuldigheidseisen niet uit. Ook bij de andere goedkeuringsbesluiten die de Autoriteit op grond van de AVG neemt, dient te worden nagegaan of Afdeling 3.4 Awb van toepassing moet worden verklaard. De Afdeling adviseert in het licht van het bovenstaande de toelichting aan te vullen en zo nodig het voorstel aan te passen.

4. Uitvoering en evaluatie

a. Spanning tussen regelgeving en uitvoeringspraktijk

De toepassing van de gegevensbeschermingswetgeving is van oudsher een bron van aandacht en zorg. De consistente lijn lijkt blijkens ervaringen en onderzoeken uit het verleden te zijn dat deze toepassing ernstig te wensen overlaat. De Afdeling wijst bijvoorbeeld op de evaluatie van de huidige Wbp uit 2008 waarin het beeld naar voren kwam van een wet ‘die in de rechtspraktijk niet erg leeft, betrekkelijk lastig hanteerbaar wordt geacht en waarbij een op de toepassing gerichte privacygemeenschap en –cultuur nog niet in de volle breedte tot ontwikkeling is gekomen’.39 Hoewel er in algemene zin maatschappelijke aandacht is voor gegevensbescherming en er op deelonderwerpen een strengere handhaving en nieuwe rechtspraak tot stand zijn gekomen, zijn er geen aanwijzingen dat de toepassingspraktijk van de Wbp sindsdien wezenlijk is verbeterd.40

Tegen deze achtergrond dient de AVG nadrukkelijk op haar uitvoeringsaspecten te worden bezien. Daarbij wijst de Afdeling erop dat de AVG ten opzichte van Richtlijn 95/46/EG en de daarop gebaseerde Wbp op een aantal punten gedetailleerder en complexer is. De verplichtingen van de verwerkingsverantwoordelijken worden aanzienlijk uitgebreid. Weliswaar is de voorafgaande meldingsplicht van Richtlijn 95/46/EG komen te vervallen,41 maar daar is een aantal andere verplichtingen voor in de plaats gekomen. Naast de algemene verantwoordingsplicht van de verantwoordelijke42 zijn er onder meer verplichtingen tot het bijhouden van een register van verwerkingsactiviteiten,43 het voeren van gegevensbeschermingsbeleid,44 het uitvoeren van een gegevensbeschermingseffectbeoordeling,45 het gebruikmaken van ‘privacy by design’ en ‘privacy by default’46 en het aanwijzen van een functionaris voor de gegevensbescherming.47 Ook als het gaat om de rechten van de betrokkene is de AVG op een aantal punten complexer dan Richtlijn 95/46/EG. Nieuwe rechten zoals het ‘recht op vergetelheid’,48 het recht op overdraagbaarheid van gegevens49 en het uitgebreide recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming (waaronder profilering)50 zijn nog niet van een werkbare concretisering voorzien.

In het licht van het voorgaande gaat de toelichting slechts summier in op de uitvoeringsaspecten. Gesteld wordt dat de uitvoeringslasten van het wetsvoorstel voor overheden, bedrijfsleven en burgers volgen uit de verordening zelf of uit verplichtingen die reeds bestaan op grond van de huidige Wbp. Op de administratieve lasten en nalevingskosten die uit de AVG voortvloeien, heeft het wetsvoorstel geen invloed. Om deze reden en omdat de implementatie – ten opzichte van de huidige Wbp – beleidsneutraal wordt uitgevoerd, zijn er van de Uitvoeringswet geen zelfstandige effecten te verwachten op de regeldruk en de nalevingslasten, aldus de toelichting.51

De Afdeling acht deze toelichting niet toereikend. De gevolgen van de AVG voor burgers, bedrijven en overheden zullen aanzienlijk zijn. Ook de bekendheid met de naderende veranderingen lijkt nog te wensen over te laten.52 Gevoegd bij de gebrekkige uitvoeringspraktijk gedurende een lange reeks van jaren onder de bestaande wetgeving, zal de komende periode een majeure inspanning nodig zijn om de AVG en de daarmee samenhangende wetgeving op een enigszins aanvaardbaar niveau uitgevoerd te krijgen. De toelichting geeft van de urgentie daarvan onvoldoende blijk. Daarbij merkt de Afdeling op dat de regering, ondanks de Europese oorsprong van de nieuwe regels en de rechtstreekse toepasselijkheid daarvan, mede verantwoordelijk is voor een effectieve uitvoering van de AVG in de Nederlandse samenleving. 53

Het is de Afdeling bekend dat op dit moment al de regering en de Autoriteit Persoonsgegevens de nodige aandacht besteden aan voorlichting en informatievoorziening, met name over de nieuwe verplichtingen van bedrijven als verwerkingsverantwoordelijke. Ook juridische dienstverleners bieden op grote schaal hun diensten aan om de implementatie van de nieuwe regels in goede banen te geleiden. De vraag is evenwel of die inspanningen, gelet op de reeds bestaande spanning tussen de gegevensbeschermingswetgeving en de uitvoeringspraktijk, voldoende zullen zijn. Overwogen zou moeten worden of in samenspraak met de Autoriteit persoonsgegevens en met diverse partijen in de samenleving een samenhangend uitvoeringsprogramma moet worden ontwikkeld dat de uitvoering geleidelijk op het gewenste niveau kan brengen.

De Afdeling adviseert in de toelichting op het bovenstaande in te gaan.

b. Technologische ontwikkelingen

De uitvoeringsproblematiek wordt verder gecompliceerd door de steeds sneller gaande technologische ontwikkelingen. Zo zijn er steeds meer mogelijkheden om op grote schaal gegevens te analyseren en te gebruiken, met behulp van zogeheten ‘Big data’: grote hoeveelheden gestructureerde data die uit verschillende bronnen afkomstig zijn en die op geautomatiseerde wijze op mogelijke correlaties kunnen worden doorzocht en geanalyseerd. Een ander voorbeeld van technologische vernieuwing biedt de opkomst van blockchaintechnologie54, waarvan het gebruik ook dwingt tot het opnieuw onder ogen zien van belangrijke vragen rondom gegevensbescherming en het toezicht daarop. Het gebruik van Big Data analyses biedt kansen, ook voor gebruik door de overheid. Zo kan het volgens de regering bijdragen aan een efficiënter en effectiever gebruik van gegevens door politie en justitie, bijvoorbeeld om preventief op te kunnen treden.55

Deze technologische ontwikkelingen lijken vergaande gevolgen te gaan hebben voor de wetgeving en voor de basisprincipes die daaraan ten grondslag liggen. De WRR wijst er in zijn rapport Big Data in een vrije en veilige samenleving op dat hierdoor de traditionele beginselen van doelbinding en noodzakelijkheid zoals deze in de huidige wetgeving inzake gegevensbescherming zijn neergelegd onder druk komen te staan.56 Er tekent zich een fundamentele verschuiving af, waarbij de aandacht in het proces van gegevensverwerking voor het verzamelen van gegevens verschuift naar de analyse en het gebruik daarvan. De WRR benadrukt weliswaar de waarde van het huidige regelgevende kader, maar stelt dat, in aanvulling daarop, de aandacht zou moeten worden verlegd van het reguleren van het verzamelen van data – het zwaartepunt in de huidige juridische kaders – naar de regulering van en het toezicht op de fases van de analyse en het gebruik van gegevens. Alleen door extra eisen te stellen aan het toepassen van Big Data-analyses kan het vertrouwen bij burgers worden gecreëerd en bevestigd dat verwerkingsverantwoordelijken niet sluipenderwijs doordringen in de persoonlijke vrijheid van burgers.57

De AVG is in hoofdzaak een voortzetting van het in Richtlijn 95/46/EG neergelegde regelgevingskader. In aanvulling daarop brengt de AVG met het oog op de technologische ontwikkelingen op een beperkt aantal punten vernieuwingen.58 Ondanks deze aanpassingen is de vraag in hoeverre de AVG en daarmee verwante wetgeving zodanig is toegerust op de technologische ontwikkelingen dat zij in de uitvoeringspraktijk kan leiden tot een effectieve bescherming van algemene beginselen van gegevensbescherming. Tegen deze achtergrond zou in de noodzakelijke uitvoeringsbegeleiding (zie hiervoor punt a) nadrukkelijk aandacht besteed dienen te worden op welke wijze de technologische ontwikkelingen zoals hiervoor geschetst kunnen worden geïncorporeerd in de praktische toepassing van de AVG en de Uitvoeringswet.

De Afdeling adviseert in de toelichting op het bovenstaande in te gaan.

c. Evaluatie

De Autoriteit Persoonsgegevens heeft geadviseerd om de Uitvoeringswet periodiek te evalueren. De regering heeft dat advies niet overgenomen onder verwijzing naar de evaluatiebepaling in de AVG die betrekking heeft op de verordening zelf.59 In de Uitvoeringswet worden geen zelfstandige beleidsdoelen nagestreefd. In dat licht ligt een evaluatie niet voor de hand, aldus de toelichting.60

De Afdeling acht deze reactie niet toereikend. Zij merkt allereerst op dat ter invulling van de door de AVG toegekende nationale beleidsruimte in de Uitvoeringswet verschillende keuzes worden vastgelegd. Tegelijkertijd worden bepaalde mogelijkheden om bij lidstatelijk recht de AVG aan te vullen of ervan af te wijken juist niet ingevuld. De reden hiervoor is vaak gelegen in het uitgangspunt de AVG zo veel mogelijk beleidsneutraal uit te voeren. In die zin zijn nationale beleidskeuzes wel aan de orde.

Voorts acht de Afdeling het met het oog op een effectieve uitvoering van de AVG, ook op termijn, van groot belang dat in aanvulling op de evaluatie van de AVG op EU-niveau, binnen een redelijke termijn deugdelijk onderzoek wordt gedaan naar de uitvoeringspraktijk. Deze kan verschillen per lidstaat. Evaluatie is te meer nodig vanwege de gebrekkige uitvoering gedurende een lange reeks van jaren onder de bestaande wetgeving in samenhang met de toenemende complexiteit van het gegevensbeschermingsrecht.

De Afdeling adviseert een evaluatiebepaling in de Uitvoeringswet op te nemen.

II. VERHOUDING UITVOERINGSWET EN VERORDENING

5. Toepassingsbereik

a. Verhouding tot het Unierecht

Artikel 2, tweede lid, onderdeel a, AVG bepaalt dat de verordening niet van toepassing is op de verwerking van persoonsgegevens ‘in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen.’ De memorie van toelichting wijst erop dat het begrip “activiteiten die buiten de werkingssfeer van het Unierecht vallen” in de regel wordt uitgelegd als: activiteiten waarop geen norm van Unierecht van toepassing is en waarbij geen grensoverschrijdende aspecten aan de orde zijn. Deze lezing impliceert een ruime uitleg van deze uitzondering. Deze ruime uitleg zou er echter toe leiden dat de grenzen van de werkingssfeer van de verordening onzeker en vaag worden. Dit zou afbreuk doen aan de doelstellingen van de verordening, aldus de toelichting.61 Om deze reden heeft het HvJEU de bestaande uitzondering in Richtlijn 95/46/EU – die een vergelijkbare bepaling kent als artikel 2, tweede lid, onder a, AVG – beperkt uitgelegd. Op grond van deze rechtspraak62 is Richtlijn 95/46/EG van toepassing op iedere verwerking van persoonsgegevens, tenzij het gaat om specifieke door Richtlijn 95/46/EG uitgezonderde verwerkingsactiviteiten.63

De regering gaat ervan uit dat deze vaste rechtspraak ook van toepassing zal zijn op de uitzondering, bedoeld in artikel 2, tweede lid, onderdeel a, AVG. Bij de totstandkoming van de AVG is het immers nooit de bedoeling geweest van deze op Richtlijn 95/46/EG betrekking hebbende vaste rechtspraak af te wijken. Dit betekent volgens de regering dat uitsluitend gegevensverwerkingen die in hun geheel zijn uitgezonderd van de werking van het Unierecht – te weten verwerkingen in het kader van de nationale veiligheid – onder de uitzondering van artikel 2, tweede lid, onderdeel a, AVG zullen vallen. De AVG is daarmee – ongeacht of er sprake is van een grensoverschrijdend aspect – in beginsel64 van toepassing op alle gegevensverwerkingen, aldus de toelichting.

De Afdeling onderschrijft het oogmerk de bestaande situatie met betrekking tot de reikwijdte van de wet te continueren. De stelling dat de genoemde rechtspraak van toepassing zal zijn op de AVG acht zij met het oog daarop op zichzelf gezien verdedigbaar. Niettemin is de vraag of op grond van deze rechtspraak volledig kan worden uitgesloten dat er – buiten het terrein van de nationale veiligheid – soorten gegevensverwerking blijven bestaan die buiten het toepassingsbereik van de AVG zullen vallen.65 De Afdeling wijst er in dat verband op dat de uitzonderingsbepalingen van Richtlijn 95/46/EG en AVG niet volledig identiek zijn. Voorts is van belang dat de huidige Wbp uitdrukkelijk bepaalt dat de wet, behoudens de daarin genoemde uitzonderingen66, van toepassing is op alle gegevensverwerkingen. Dat leidt ertoe dat de werkingssfeer van de Nederlandse wetgeving op dit punt niet afhankelijk is van de rechtspraak van het HvJEU. Door het wetsvoorstel verandert die systematiek doordat de werkingssfeer van de Uitvoeringswet aansluit op die van de AVG.67 Daardoor zal in de nieuwe situatie, anders dan op dit moment onder de Wbp het geval is, de werkingssfeer van de Nederlandse wetgeving worden bepaald door die van de AVG en door de uitleg die het HvJEU zal geven aan de in AVG opgenomen uitzonderingsbepaling.

Gelet op het voorgaande zou met het oog op de rechtszekerheid en met het oog op de kenbaarheid van het wettelijk stelsel overwogen moeten worden om de huidige systematiek van de Wbp te continueren. Dit is mogelijk door in de Uitvoeringswet te bepalen dat de AVG van overeenkomstige toepassing is op alle verwerkingen van persoonsgegevens als bedoeld in artikel 2, eerste lid, AVG68 die buiten het Unierecht vallen, behoudens de in die wet te noemen uitzonderingen.69

De Afdeling adviseert in de toelichting op het bovenstaande in te gaan en zo nodig het wetsvoorstel aan te passen.

b. Afbakening AVG en Richtlijn gegevensbescherming opsporing en vervolging

Artikel 2, tweede lid, onderdeel d, van de AVG sluit toepassing van de verordening uit op de materie waarop de richtlijn gegevensbescherming opsporing en vervolging van toepassing is. De reikwijdte van richtlijn en verordening sluiten elkaar volgens de toelichting woordelijk uit: “waar de richtlijn van toepassing is, is de verordening dit niet en omgekeerd”.70 Daarnaast vermeldt de toelichting dat verschillende uitvoeringsorganisaties op het terrein van politie en justitie te maken zullen krijgen met twee verschillende normatieve kaders: de bepalingen van de verordening die rechtstreeks toepasselijk zijn en de nationale regelgeving die de richtlijn implementeert. Het toepasselijk kader is afhankelijk van de taak die wordt uitgevoerd. Bij de voorstellen die strekken tot implementatie van de richtlijn gegevensbescherming opsporing en vervolging zal uitgebreid worden ingegaan op de vraag welke taken van de verschillende organisaties onder de richtlijn, en welke taken onder de verordening zullen vallen wat betreft de verwerking van persoonsgegevens, aldus de toelichting.71

De Afdeling merkt op dat deze toelichting niet volstaat en dat het met het oog op de zelfstandige begrijpelijkheid en toepasbaarheid van de Uitvoeringswet AVG van belang is dat ook de memorie van toelichting bij het voorliggende wetsvoorstel uitvoeriger ingaat op de afbakening tussen de reikwijdte van de AVG en de richtlijn.

De Afdeling adviseert de toelichting in het licht van het vorenstaande aan te vullen.

6. Gegevensverwerking taak van algemeen belang

a. Inleiding: artikel 6 AVG

Artikel 6 AVG is een bepaling van cruciaal belang. Hierin zijn de grondslagen van de gegevensverwerking opgenomen. De bepaling vormt een voortzetting en uitbreiding van artikel 7 Richtlijn 95/46/EG. Deze bepaling is in de Nederlandse wetgeving omgezet in het huidige artikel 8 Wbp.

Wil een gegevensverwerking onder de AVG rechtmatig zijn dan moet deze gebaseerd kunnen worden op een van de in artikel 6, eerste lid, opgesomde gronden. Artikel 6, eerste lid, onderdeel f, kan worden beschouwd als een restbepaling. Hierin wordt bepaald dat verwerking kan plaatsvinden als deze noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, tenzij de belangen of de grondrechten van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen. Anders dan in Richtlijn 95/46/EG wordt in artikel 6, eerste lid, bepaald dat deze algemene verwerkingsgrond niet geldt voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

Het laatste betekent dat gegevensverwerking door de overheid onder de AVG uitsluitend kan worden gebaseerd op artikel 6, eerste lid, onderdelen c of e. Verwerking op deze gronden is alleen mogelijk als de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting (onderdeel c) of als de verwerking noodzakelijk is ‘voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.’ (onderdeel e).

In aanvulling op deze bepalingen zijn voor de gegevensverwerking door de overheid in artikel 6, tweede en derde lid, specifiekere bepalingen opgenomen. Voorts vindt in artikel 6, vierde lid, een nadere uitwerking plaats van het in artikel 5, eerste lid, onderdeel b, geregelde doelbindingsbeginsel. Zij bevat een aantal criteria om in een geval waarin gegevens worden verwerkt voor een ander dan het oorspronkelijke doel, te bepalen wanneer – in het verlengde van artikel 5, eerste lid, onderdeel b – dat andere doel met het oorspronkelijke doel ‘verenigbaar’ is.

Artikel 6, tweede, derde en vierde lid, AVG zijn allen nieuw ten opzichte Richtlijn 95/46/EG. Deze bepalingen zijn gecompliceerd en moeilijk leesbaar. Met name als het gaat om gegevensverwerking in de publieke sector roepen zij veel vragen op. De Afdeling acht het voor de uitvoeringspraktijk van groot belang dat over de betekenis van artikel 6 AVG, in het bijzonder voor de publieke sector, meer duidelijkheid komt.

Over artikel 6, tweede, derde en vierde lid, AVG in relatie tot de Uitvoeringswet merkt de Afdeling het volgende op.

b. Specifieke wettelijke grondslag

De grondslagen voor gegevensverwerking volgen rechtstreeks uit de AVG en zijn dus niet opgenomen in de Uitvoeringswet. Niettemin is in het kader van de Uitvoeringswet de vraag aan de orde in hoeverre artikel 6 AVG verplicht tot het creëren van een specifieke wettelijke grondslag voor gegevensverwerkingen door de overheid. Daarvoor is van belang hoe de grondslagen van artikel 6, eerste lid, onderdelen c en e, zich verhouden tot het nieuwe artikel 6, derde lid, AVG. In laatstgenoemde bepaling wordt bepaald dat de rechtsgrond voor de in het eerste lid, onderdelen c en e, bedoelde verwerking moet worden vastgesteld bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is. Artikel 6, derde lid, wordt toegelicht in overweging 45 bij de AVG. Daarin staat dat de AVG niet voorschrijft dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is. Er kan, aldus deze overweging, worden volstaan met wetgeving die als basis fungeert voor ‘verscheidene verwerkingen’ als bedoeld in artikel 6, eerste lid, onderdelen c (verwerking ter uitvoering van een wettelijke verplichting) en e (verwerkingen noodzakelijk ter vervulling van een publieke taak).

De regering gaat ervan uit dat het nieuwe artikel 6, derde lid, AVG het wettelijk kader zoals dat geldt onder Richtlijn 95/46/EG en de Wbp niet wijzigt. Niet noodzakelijk is dat in de sectorspecifieke wetgeving expliciet is opgenomen dat ten behoeve van de wettelijke taak gegevens verwerkt mogen worden. Indien het noodzakelijk is om voor de uitvoering van de publieke taak persoonsgegevens te verwerken, kan de wettelijke grondslag voor de publieke taak tevens worden beschouwd als grondslag voor de verwerking van persoonsgegevens, aldus de toelichting.72 Deze lezing strookt volgens de regering ook met artikel 8, tweede lid, EVRM dat vereist dat een beperkingen van het recht op bescherming van het privé-leven voorzienbaar moet zijn bij wet. Het gaat hier, aldus de toelichting, om een materieel wetsbegrip; voldoende is dat uit ‘een samenstel van wettelijke regels die tezamen een publieke taak aanduiden’ voldoende kenbaar is dat persoonsgegevens worden verwerkt.

De Afdeling acht deze toelichting ontoereikend. Zij wijst er allereerst op dat op grond van artikel 10, eerste lid, Grondwet en artikel 8 EVRM geldt dat voor verwerkingen van persoonsgegevens die een inbreuk zijn op het recht op bescherming van het privé-leven een specifieke wettelijke grondslag moet bestaan. In dit verband is relevant dat in de Straatsburgse en Nederlandse rechtspraak de afgelopen jaren tegen de achtergrond van het legaliteitsbeginsel enkele belangrijke uitspraken gedaan zijn, waarin afhankelijk van de specifieke context, een meer toegespitste wettelijke grondslag voor de verwerking van persoonsgegevens noodzakelijk wordt geacht.73

Voorts merkt de Afdeling op dat uit artikel 6, derde lid, AVG in samenhang met de genoemde overweging 45 bij de AVG niet kan worden afgeleid dat de wettelijke grondslag voor de publieke taak in alle gevallen tevens kan worden beschouwd als de grondslag voor de verwerking van persoonsgegevens. Genoemde overweging vermeldt slechts dat niet voor elke afzonderlijke verwerking specifieke wetgeving vereist is; volstaan kan worden, aldus deze overweging, met een wettelijke basis voor ‘verscheidene verwerkingen’ in de gevallen dat de overheid optreedt ter uitvoering van een wettelijke verplichting of publieke taak.74 Dat wil echter niet zeggen dat met de wettelijke grondslag voor een publieke taak of verplichting steeds ook de wettelijke grondslag voor de gegevensverwerking gegeven is.

De Afdeling adviseert de toelichting in het licht van bovenstaande aan te passen en in te gaan op de gevolgen die dit heeft voor de mogelijk noodzakelijke aanpassing van sectorale wetgeving waarin op dit moment geen specifieke grondslag is opgenomen voor verwerkingen van gegevens als bedoeld in artikel 6, eerste lid, onderdelen c en e, AVG.

c. Verstrekking aan andere bestuursorganen

De vraag in hoeverre een expliciete grondslag voor de gegevensverwerking door overheidsinstanties noodzakelijk is, komt ook naar voren als het gaat om de verwerking van gegevens door een andere verantwoordelijke dan degene die ze oorspronkelijk verzameld heeft. Anders dan artikel 7, onderdeel e, van Richtlijn 95/46/EG75 biedt artikel 6, eerste lid, onderdeel e, AVG geen grondslag voor een derde om gegevens te verstrekken aan een bestuursorgaan voor de uitoefening van een publieke taak. Onder de werking van laatstgenoemde bepaling mag een verwerkingsverantwoordelijke (zijnde een bestuursorgaan) alleen gegevens verwerken die voor zijn eigen publieke taak nodig zijn.76 Om dit te benadrukken geldt artikel 6, eerste lid, onderdeel f, AVG niet voor de gegevensverwerking door overheidsinstanties in het kader van de uitoefening van hun taken. Overweging 47 bij de AVG motiveert die uitsluiting met de opmerking dat het aan de wetgever is om de rechtsgrond voor persoonsgegevensverwerking door overheidsinstanties te creëren.

Uit de toelichting komt onvoldoende naar voren dat de AVG op dit punt gewijzigd is ten opzichte van de in de Wbp geïmplementeerde Richtlijn 95/46/EG. De Afdeling adviseert de toelichting op dit punt aan te vullen en daarbij in te gaan op de gevolgen die dit heeft voor de mogelijk noodzakelijke aanpassing van sectorale wetgeving.

d. Verdere verwerking van gegevens

Net als onder de werking van Richtlijn 95/46/EG, maakt de AVG het onder voorwaarden mogelijk af te wijken van het doelbindingsbeginsel ex artikel 5, eerste lid, onderdeel b, AVG. Dat betekent dat het onder omstandigheden mogelijk is om gegevens verder te verwerken voor een doel dat onverenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld. Een dergelijke verwerking is uitsluitend toegestaan indien dit berust op toestemming van de betrokkene of op een Unierechtelijke of lidstaatrechtelijke bepaling onder de in artikel 23 AVG gestelde voorwaarden.77 Voor verdere verwerking voor een onverenigbaar doel78 is dus, als er geen toestemming is, een specifieke wettelijke grondslag nodig. Die situatie is niet anders dan onder de werking van Richtlijn 95/46/EG. De bedoelde grondslagen zijn thans opgenomen in de sectorale wetgeving.

In bepaalde situaties is echter niet op voorhand duidelijk wanneer sprake is van een ‘verenigbaar doel’. Om dat te kunnen bepalen bevat artikel 6, vierde lid, AVG een aantal criteria. Indien op grond van deze criteria het doel van de gegevensverwerking verenigbaar is met het oorspronkelijke doel, dan is deze verwerking toegestaan. Deze bepaling in de AVG – die nieuw is ten opzichte van Richtlijn 95/46/EG – lijkt sterk op artikel 9 Wbp.79

Uit de toelichting blijkt dat de regering ervan uitgaat dat het juridisch kader voor de verdere verwerking van persoonsgegevens ten opzichte van de huidige situatie niet verandert. Dit standpunt wordt in de toelichting onvoldoende gemotiveerd. Artikel 6, vierde lid, AVG, in combinatie met overweging 50 bij de AVG,80 kan immers ook zo worden gelezen dat in het geval door de overheid ter uitvoering van een publieke taak gegevens worden verwerkt voor een ander doel dan het oorspronkelijke doel, er een wettelijke grondslag nodig is, ongeacht of dat andere doel verenigbaar is of niet. In dat geval zouden de in artikel 6, vierde lid, opgenomen criteria om te bepalen of het doel verenigbaar is, voor gegevensverwerking door de overheid niet van betekenis zijn. Daar staat tegenover de hiervoor onder punt b aangehaalde overweging 45 bij de AVG waaruit blijkt dat niet voor elke afzonderlijke verwerking – en dus ook niet voor verdere verwerking voor een verenigbaar doel – specifieke wetgeving vereist is. In dat licht bezien kan artikel 6, vierde lid, AVG ook zo worden uitgelegd dat de daarin opgenomen criteria voor verenigbare verdere verwerking alleen niet relevant zijn in het geval er een specifieke wettelijke grondslag voor verdere verwerking is gecreëerd. In gevallen waarin die specifieke wettelijke grondslag er niet is, is artikel 6, vierde lid volgens deze interpretatie ook van toepassing op verwerking door de overheid en zal de overheid als verantwoordelijke aan de hand van de criteria voor verenigbare verdere verwerking van artikel 6, vierde lid, AVG moeten beoordelen of verdere verwerking toegestaan is. De Afdeling acht deze laatste interpretatie beter verdedigbaar dan de eerste.

De Afdeling adviseert de toelichting in het licht van het vorenstaande aan te vullen.

7. Verwerking van bijzondere persoonsgegevens

a. Inleiding

Evenals Richtlijn 95/46/EG bevat de AVG, in aanvulling op de algemene beginselen van gegevensverwerking, specifieke bepalingen voor de verwerking van bijzondere gegevens. Dit zijn gegevens die vanwege hun gevoelige aard extra bescherming verdienen.81 De in de AVG neergelegde systematiek is dat verwerking van bijzondere gegevens verboden is, tenzij de verwerking kan worden gebaseerd op een van de door de AVG toegestane uitzonderingen.

In de Uitvoeringswet is in sommige gevallen waarin dat is toegestaan gebruik gemaakt van de ruimte die de AVG aan de nationale wetgever biedt om uitzonderingen te maken op het verbod om bijzondere persoonsgegevens te verwerken. De keuze van de regering voor een beleidsneutrale invulling van de ruimte die de AVG laat voor nationaal recht heeft er toe geleid dat de huidige bepalingen in de Wbp over de verwerking van bijzondere persoonsgegevens voor een groot deel zijn overgenomen in de Uitvoeringswet.

De Afdeling merkt over dit onderdeel van het wetsvoorstel het volgende op.

b. Uitzondering zwaarwegend algemeen belang – ontheffing Autoriteit

Artikel 9, tweede lid, onderdeel g, van de AVG, bepaalt dat het verbod op de verwerking van bijzondere persoonsgegevens niet van toepassing is als, kort gezegd, de verwerking ‘noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van lidstatelijk recht’.82 Dit is vanwege haar open formulering een belangrijke bepaling. Indien een van de specifieke uitzonderingen van artikel 9, tweede lid, AVG niet van toepassing is, zal de vraag kunnen rijzen of er een ander ‘zwaarwegend algemeen belang’ is dat de verwerking van bijzondere gegevens op grond van artikel 9, tweede lid, onderdeel g, kan rechtvaardigen.

Artikel 30, eerste lid, onderdeel c, van de Uitvoeringswet, heeft de ruimte die artikel 9, tweede lid, onderdeel g, AVG biedt zodanig ingevuld dat een uitzondering om redenen van zwaarwegend algemeen belang mogelijk is, mits de Autoriteit daarvoor ontheffing heeft verleend en passende waarborgen zijn geboden. Dit betekent dat naast de mogelijkheid van uitzondering bij wet, de Autoriteit ontheffing kan verlenen voor de verwerking van bijzondere persoonsgegevens als zij een zwaarwegend algemeen belang aanwezig acht. Zoals ook uit de toelichting blijkt,83 is hiermee vastgehouden aan bestaand recht in de Wbp.84

De Afdeling merkt het volgende op.

i. Allereerst rijst de vraag of de AVG handhaving van de genoemde bepaling toelaat. In de toelichting wordt geen rekening gehouden met het feit dat Richtlijn 95/46/EG (waarop de huidige bepaling in de Wbp is gebaseerd) en de AVG op dit punt van elkaar verschillen: de uitzonderingsbepaling in Richtlijn 95/46/EG bevat naast de bevoegdheid om vanwege redenen van zwaarwegend algemeen belang bij nationale wet een uitzondering te maken, expliciet ook de mogelijkheid dit te doen door “een besluit van de toezichthoudende autoriteit”.85 Deze laatste mogelijkheid ontbreekt echter met zoveel woorden in artikel 9, tweede lid, onderdeel g van de AVG. Op grond van laatstgenoemde bepaling is een uitzondering om redenen van zwaarwegend algemeen belang slechts mogelijk op grond van “lidstatelijk recht”.

De vraag is of dit laatste inhoudt dat afwijking slechts mogelijk is als in de nationale wet uitzonderingen vanwege redenen van algemeen zwaarwegend belang in algemene zin worden geregeld dan wel dat de AVG op dit punt ook ruimte biedt voor de nationale wetgever om een procedurele regeling te treffen op grond waarvan de Autoriteit om redenen van zwaarwegend algemeen belang ontheffing kan verlenen.

De Afdeling adviseert op het voorgaande in de toelichting in te gaan en toereikend te motiveren waarom de AVG ruimte laat voor het voort laten bestaan van de geldende ontheffingsbevoegdheid van de Autoriteit.

ii. Ingeval de AVG ruimte zou bieden voor een ontheffingsbevoegdheid, merkt de Afdeling het volgende op. Gelet op de rechtspraak van het EHRM omtrent artikel 8 EVRM en de gevoelige aard van de bijzondere gegevens ligt het in de rede om uit te gaan van de hoofdregel dat voor verwerking van dit soort gegevens een specifieke wettelijke grondslag nodig is.86 Dit betekent dat, voor zover er ruimte zou zijn voor een ontheffingsbevoegdheid, deze ruimte beperkt ingevuld moet worden. De ontheffing zou in de tijd beperkt moeten zijn totdat de grondslag in de wet is geregeld. In dit verband wijst de Afdeling er op dat de Autoriteit van haar huidige ontheffingsbevoegdheid zeer terughoudend gebruik maakt. Zij hanteert de gedragslijn dat een structurele verwerking van bijzondere persoonsgegevens om redenen van zwaarwegend algemeen belang slechts voor ontheffing in aanmerking komt wanneer er binnen een redelijke termijn wetgeving op komst is die de verwerking zal gaan regelen.87 Indien daarvan geen sprake is, wordt de ontheffing niet verleend.

Gelet op het voorgaande adviseert de Afdeling om de ontheffingsbevoegdheid, voor zover daarvoor nog ruimte bestaat, te beperken tot de periode die nodig is tot de totstandkoming van een wettelijke grondslag.

c. Uitzondering overschrijfverbod rechtstreeks toepasselijke onderdelen

Artikel 9 van de AVG over bijzondere persoonsgegevens heeft een hybride karakter: bepaalde onderdelen zijn rechtstreeks toepasselijk (waaronder het verbod om bijzondere persoonsgegevens te verwerken),88 terwijl andere onderdelen ruimte laten aan de nationale wetgever.89 Deze ruimte bestaat daarin dat in sommige gevallen bij lidstatelijk recht uitzonderingen kunnen worden bepaald op het verbod van verwerking van bijzondere persoonsgegevens.90

Omdat een verordening rechtstreeks toepasselijk is in de Nederlandse rechtsorde en het verboden is om bepalingen ervan in het nationale recht over te nemen (het zogenoemde "overschrijfverbod"91), zijn de rechtstreeks toepasselijke bepalingen van artikel 9 AVG niet in de Uitvoeringswet overgenomen. In de Uitvoeringswet is echter wel, zoals hiervoor opgemerkt, gebruik gemaakt van de ruimte die artikel 9 AVG biedt voor uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Dit leidt ertoe dat de rechtstreeks toepasselijke bepalingen (zoals het verbod om die gegevens te verwerken en een aantal uitzonderingen op dat verbod) alleen in de AVG staan, terwijl andere niet rechtstreeks toepasselijke uitzonderingen in de Uitvoeringswet staan.92

Met de regering hecht de Afdeling in algemene zin aan het overschrijfverbod van rechtstreeks toepasselijke bepalingen van verordeningen. Echter, in dit bijzondere geval acht de Afdeling een uitzondering op het overschrijfverbod aangewezen omwille van de samenhang en begrijpelijkheid van de bepalingen in de Uitvoeringswet omtrent bijzondere persoonsgegevens. Zoals ook hierboven in punt 1c vermeld, gaat het hier om een verordening met richtlijn-achtige kenmerken. Vanwege het hybride karakter staat overweging 893 bij de AVG expliciet toe dat lidstaten elementen van de verordening in hun recht opnemen ‘om de samenhang te garanderen en om de nationale bepalingen begrijpbaar te maken voor degenen op wie zij van toepassing zijn’.94 Hierdoor biedt de AVG met het oog op de samenhang en begrijpelijkheid een uitdrukkelijke basis voor een uitzondering op het overschrijfverbod.

De Afdeling wijst er op dat de onderdelen van artikel 9 AVG (het verbod om bijzondere persoonsgegevens te verwerken en de uitzonderingen op dat verbod) onderling zeer nauw met elkaar samenhangen: als de ene uitzondering niet van toepassing is op een bepaalde verwerking, dan kan wellicht een beroep worden gedaan op een andere uitzondering. Het uit elkaar trekken van de uitzonderingen in enerzijds de AVG en anderzijds de Uitvoeringswet, doet afbreuk aan de samenhang, begrijpelijkheid en het verkrijgen van een volledig en juist beeld van het regime van de bijzondere persoonsgegevens. Gelet op overweging 8 van de AVG en het grote belang van deze bepalingen voor burgers en verwerkingsverantwoordelijken, acht de Afdeling daarom in dit bijzondere geval van artikel 9 AVG een uitzondering op het overschrijfverbod aangewezen, in die zin dat rechtstreeks toepasselijke elementen in de Uitvoeringswet zouden moeten worden overgenomen.

De Afdeling adviseert het wetsvoorstel in het licht van het voorgaande aan te passen.95

d. Motivering in de toelichting

De toelichting op de artikelen over de verwerking van bijzondere persoonsgegevens is zeer summier. Er wordt niet of nauwelijks ingegaan op de afweging van het belang van de verwerking van de gegevens enerzijds en het belang van de bescherming van de persoonlijke levenssfeer van betrokkenen anderzijds. In het algemene deel van de toelichting wordt slechts vermeld dat vanwege het uitgangspunt van de beleidsneutraliteit nauw is aangesloten bij de bestaande uitzonderingen in de Wbp. Die uitzonderingen zijn om zwaarwegende maatschappelijke belangen opgenomen in de Wbp, aldus de toelichting.96 In reactie op het advies van de Autoriteit om onderdelen van de oorspronkelijke toelichting op te nemen, wordt vermeld dat de memorie van toelichting zo veel mogelijk moet worden toegesneden op hetgeen onder het wetsvoorstel verandert. Bovendien is de oorspronkelijke memorie van toelichting nog steeds raadpleegbaar voor wie er belang bij heeft, aldus de toelichting.97

De Afdeling merkt op dat een toelichting bij een wetsvoorstel toegankelijk en zelfstandig leesbaar moet zijn en een deugdelijke motivering moet bevatten voor alle relevante artikelen. Dit geldt ook in het onderhavige geval waar het gaat om een beleidsneutrale implementatie. Bovendien gaat het hier om een geheel nieuwe wet ter uitvoering van de AVG, en niet om een wijziging van de Wbp. Een deugdelijke en geactualiseerde toelichting is te meer van belang omdat het hier gaat om een bijzondere categorie persoonsgegevens die naar hun aard (zeer) gevoelig zijn en die op grond van de AVG onderworpen worden aan een verzwaard regime. Het is voor de uitvoeringspraktijk van belang dat de betreffende bepalingen op adequate wijze worden toegelicht.

De Afdeling adviseert de artikelen over bijzondere persoonsgegevens te voorzien van deugdelijke toelichting.

8. Geautomatiseerde besluitvorming

a. Inleiding

Artikel 22, eerste lid, AVG bevat een recht van burgers om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit. Onder geautomatiseerde verwerking valt ook (maar niet uitsluitend) profilering. Onder profilering wordt op grond van artikel 4 AVG gedoeld op geautomatiseerde verwerkingen van persoonsgegevens op grond waarvan een profiel van bepaalde personen wordt opgesteld. Op grond van dergelijke profielen kunnen analyses worden gemaakt van of voorspellingen worden gedaan over iemands gedrag, persoonlijke voorkeuren, gezondheid of beroepsprestaties. De bedoeling van het verbod ex artikel 22, eerste lid, om alleen op basis van dergelijke geautomatiseerde verwerkingen besluiten te nemen, is te voorkomen dat de negatieve kenmerken van een bepaalde groep worden tegengeworpen aan een individu, die deze kenmerken helemaal niet hoeft te hebben. De zorgvuldigheid vereist in de regel dat geen besluit wordt genomen zonder menselijke tussenkomst.98

Artikel 22, tweede lid, AVG bevat een aantal gronden op basis waarvan mag worden afgeweken van het verbod van het eerste lid. Zo kan op grond van een ‘lidstaatrechtelijke bepaling’ die voorziet in passende maatregelen ter bescherming van de rechten en gerechtvaardigde belangen van de betrokkene, een uitzondering worden gecreëerd. Artikel 37 Uitvoeringswet vult deze mogelijkheid in door een algemene uitzondering te regelen voor het verbod op geautomatiseerde besluitvorming, anders dan op basis van profilering. Op de uitzondering kan een beroep worden gedaan indien dat noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of voor de vervulling van een taak van algemeen belang.99 Grosso modo wordt daarmee de bestaande afwijkingsmogelijkheid van artikel 42 Wbp gecontinueerd.

De reden voor deze afwijking is blijkens de toelichting gelegen in het feit dat er volgens de regering niet in alle gevallen van geautomatiseerde besluitvorming sprake is van het tegenwerpen van generieke kenmerken aan een persoon, of van verwerkingen van persoonsgegevens die risicovol zijn in het licht van potentiele discriminatie. Indien er sprake is van geautomatiseerde individuele besluitvorming op basis van strikt individuele kenmerken, bijvoorbeeld bij gebonden besluitvorming in het kader van het toekennen van bepaalde toeslagen, is er geen reden om menselijke tussenkomst te vergen. Deze tussenkomst heeft in dat geval geen enkele toegevoegde waarde, aldus de toelichting. Bovendien geldt voor alle overheidsbesluiten, ook voor besluiten op basis van geautomatiseerde besluitvorming, dat de gebruikelijke bestuursrechtelijke rechtsbescherming openstaat.100

De Afdeling merkt over artikel 37 het volgende op.

b. Algemene grondslag toereikend?

Aan artikel 37 Uitvoeringswet ligt de gedachte ten grondslag dat in veel gevallen waarin besluiten geautomatiseerd worden genomen zich niet de risico’s voordoen waartegen artikel 22 AVG burgers beoogt te beschermen. In bepaalde situaties is dat inderdaad juist. Algemeen aanvaard is bijvoorbeeld dat in geval van overtreding van de maximumsnelheid automatisch een boete wordt opgelegd. De vraag is echter of dergelijke voorbeelden een generieke uitzondering zoals nu wordt voorgesteld, rechtvaardigen. In een geautomatiseerd besluitvormingsproces geldt dat bepaalde persoonlijke omstandigheden doorgaans niet meegewogen zullen worden. De aan die besluitvorming inherente automatismen kunnen onder omstandigheden leiden tot disproportionele gevolgen. De Afdeling wijst bijvoorbeeld op de automatische boetes voor onverzekerde voertuigen101 en de onmogelijkheid die in dergelijke gevallen vaak bestaat om fouten met terugwerkende kracht terug te draaien. In die gevallen kunnen geautomatiseerde besluiten, anders dan de regering lijkt te veronderstellen, onbillijk uitvallen voor betrokkenen. Deze gevolgen kunnen niet worden gerechtvaardigd met het argument dat bestuursrechtelijke rechtsbescherming openstaat. Naar het oordeel van de Afdeling kan een redelijke en zorgvuldige besluitvorming niet afhankelijk gemaakt worden van het al dan niet instellen van bezwaar of beroep.102

De vraag rijst daarom of niet een genuanceerdere aanpak geboden is door per wettelijke regeling af te wegen of geautomatiseerde besluitvorming in de specifieke situatie gerechtvaardigd is. Dit lijkt ook door artikel 22, tweede lid, onderdeel b, AVG te zijn beoogd. Deze bepaling regelt dat een afwijking alleen is toegestaan ’bij een ( …) lidstaatrechtelijke bepaling’ die voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van betrokkene. Deze formulering duidt op een specifieke wettelijke grondslag. Bovendien voorziet artikel 37 Uitvoeringswet vanwege zijn generieke karakter niet zelf in passende maatregelen maar laat dit geheel over aan de verwerkingsverantwoordelijke. Dit lijkt niet wat artikel 22 AVG beoogt en legt bovendien een zware last op de verwerkingsverantwoordelijke om op grond van de generieke norm van artikel 37 een afweging te maken.

De Afdeling adviseert nader te motiveren waarom er niet voor gekozen is specifieke uitzonderingen op het verbod op geautomatiseerde besluitvorming, waar dat noodzakelijk is, op te nemen in sectorale wetgeving.

9. Beperkingen

Een cruciale bepaling in de AVG is artikel 23. Op grond van het eerste lid van dit artikel zijn beperkingen mogelijk op de in dat artikel genoemde beginselen en rechten van de betrokkene indien dit noodzakelijk is met het oog op de daarin genoemde algemene belangen. Deze beperkingen moeten zijn vastgelegd in Unierechtelijke of lidstaatrechtelijke bepalingen. Het artikel is een voortzetting van artikel 13 Richtlijn 95/46/EG. Nieuw ten opzichte van Richtlijn 95/46/EG is echter artikel 23, tweede lid, AVG. Hierin wordt bepaald dat de in het eerste lid bedoelde wettelijke maatregelen ‘met name specifieke bepalingen’ moeten bevatten met betrekking tot ten minste de in dat lid opgesomde onderwerpen. Artikel 23 AVG is als gevolg hiervan complexer dan het huidige artikel 13 Richtlijn 95/46/EG. De regering merkt terecht op dat artikel 23, tweede lid, lijkt te indiceren dat op voorhand in specifieke wettelijke voorschriften nauwkeurige grenzen te stellen zijn waarin de in het eerste lid slechts in algemene termen benoemde gevallen zich voordoen. Hiermee is een zekere spanning tussen beide artikelleden gegeven, aldus de toelichting.103

Ter uitvoering van artikel 23 AVG is in het voorgestelde artikel 38 Uitvoeringswet, in lijn met het huidige artikel 43 Wbp, een algemene bepaling opgenomen op grond waarvan de verwerkingsverantwoordelijke zelf een belangenafweging moet maken. De beoordeling of een beperking noodzakelijk is als bedoeld in artikel 23, eerste lid, AVG wordt daarmee geheel aan de verwerkingsverantwoordelijke gelaten. De toelichting wijst er terecht op dat kenmerkend voor de in artikel 23, eerste lid, AVG genoemde belangen is dat in hoge mate onvoorzienbaar is wanneer zij moeten leiden tot een beperking van de rechten van betrokkene. De regering heeft ervoor gekozen de specifieke vereisten die artikel 23, tweede lid, AVG noemt, niet nader te regelen in specifieke wettelijke voorschriften maar deze vereisten via het voorgestelde artikel 38, tweede lid, Uitvoeringswet op te nemen als verplichte afwegingscriteria voor de verwerkingsverantwoordelijke bij de toepassing van het eerste lid. Ook in dat opzicht wordt aangesloten bij artikel 43 van de Wbp.104

In het licht van het bovenstaande acht de Afdeling de in artikel 38 Uitvoeringswet gemaakte keuze in de toelichting toereikend gemotiveerd. Daarbij is van belang dat in de toelichting wordt onderstreept dat op grond van deze bepaling, evenals onder het huidige artikel 43 Wbp, een strikt noodzakelijkheidscriterium geldt. 105 Dit impliceert dat artikel 38 alleen een mogelijkheid biedt om in individuele zaken van de in de AVG geregelde rechten en beginselen af te wijken. Een categorische beperking van de rechten van de betrokkene kan, wanneer dit noodzakelijk is in een democratische samenleving, eventueel in sectorspecifieke wetgeving worden opgenomen, zo stelt de toelichting. Daarmee maakt de toelichting voldoende duidelijk artikel 38 geen grondslag biedt voor structurele, categorische beperkingen.

De toelichting maakt naar het oordeel van de Afdeling echter niet duidelijk waarom de beperkingsmogelijkheid van artikel 38 moet zien op alle in artikel 23, eerste lid, genoemde artikelen van de AVG. In het bijzonder waar het de mogelijkheid tot beperking van de uit artikel 22 AVG voortvloeiende rechten en verplichtingen betreft, is deze onvoldoende gemotiveerd. Geautomatiseerde besluitvorming, zeker als deze is gebaseerd op profilering, kan ingrijpende gevolgen hebben voor betrokkenen. Een geautomatiseerd besluit verdraagt zich bovendien slecht met de vereiste individuele afweging die van de verwerkingsverantwoordelijke wordt gevraagd bij de beperking van rechten en verplichtingen op grond van artikel 38 Uitvoeringswet.

De Afdeling adviseert de verwijzing naar artikel 22 AVG uit artikel 38 Uitvoeringswet te schrappen.

10. Overige opmerkingen

a. Boetebevoegdheden: geen voorafgaande bindende aanwijzing

Op grond van de huidige Wbp is de Autoriteit verplicht om voorafgaand aan de oplegging van een bestuurlijke boete de verantwoordelijke een bindende aanwijzing te geven. De achtergrond hiervan is dat vanwege de onbepaaldheid van de normstelling in de Wbp verantwoordelijken niet altijd zullen en hoeven te weten dat zij in overtreding zijn. Daarom is met het oog op de waarborging van behoorlijk bestuur in de wet bepaald dat de Autoriteit bij een vermoeden van overtreding niet onmiddellijk een bestuurlijke boete kan opleggen maar eerst door middel van een aanwijzing moet aangeven welke gedraging op grond van de Wbp van de verantwoordelijke wordt verwacht. Daarbij kan de Autoriteit een termijn stellen waarin de aanwijzing moet worden opgevolgd.106

In de Uitvoeringswet keert deze verplichting niet terug. In de AVG is wel de bevoegdheid opgenomen voor de Autoriteit om te gelasten dat de verwerking in overeenstemming wordt gebracht met de AVG.107 Onder die last zou ook een bindende aanwijzing verstaan kunnen worden die zo nodig aan de oplegging van een bestuurlijke boete vooraf kan gaan. Verschil is wel dat het op grond van de AVG niet langer verplicht is eerst een aanwijzing te geven.

De regering gaat hierop in de toelichting niet in. Daarmee blijft de vraag onbeantwoord of de AVG ruimte biedt voor handhaving van de bestaande verplichting. De Autoriteit gaat er blijkens haar advies van uit dat dat, gezien de systematiek van de artikelen 83 en 58, zesde lid, van de AVG, in samenhang gelezen, niet het geval is.108 De Afdeling wijst echter op artikel 83, achtste lid, AVG, waarin is bepaald dat de uitoefening door de toezichthoudende autoriteit van de boetebevoegdheid onderworpen is aan passende procedurele waarborgen overeenkomstig het Unierecht en het lidstatelijk recht. De verplichte bindende aanwijzing voorafgaand aan de oplegging van een boete zou als een dergelijke procedurele waarborg gezien kunnen worden.

De Afdeling adviseert toereikend te motiveren waarom voor de verplichte voorafgaande bindende aanwijzing voor boeteoplegging binnen de systematiek van de AVG geen ruimte is. Indien een dergelijke motivering niet mogelijk is, adviseert zij de verplichting in de Uitvoeringswet op te nemen.

b. Beroepsmogelijkheden van de Autoriteit tegen besluiten van het Comité

De overwegingen bij de AVG wijzen op de mogelijkheid dat iedere natuurlijke persoon of rechtspersoon het recht heeft om bij het Hof van Justitie een beroep tot nietigverklaring in te stellen tegen een besluit van het Comité, op grond van artikel 263 van het VWEU.109 Wanneer de besluiten van het Comité een verwerkingsverantwoordelijke of een klager rechtstreeks en individueel raken, kunnen deze laatsten een beroep tot nietigverklaring van deze besluiten instellen binnen twee maanden vanaf de publicatie ervan op de website van het Comité. Er wordt ook vermeld dat de betrokken toezichthoudende autoriteiten die wensen op te komen tegen deze besluiten, binnen twee maanden na kennisgeving ervan beroep kunnen instellen.

In haar consultatiereactie geeft de Autoriteit aan dat voor haar in de Uitvoeringswet geen rechtspersoonlijkheid is voorzien, zodat zij niet in de categorieën natuurlijke en rechtspersonen van artikel 263 valt. In reactie op deze consultatieopmerking heeft de regering volstaan met een verwijzing naar de recente aanpassing van de Wbp naar aanleiding van het arrest Schrems.110 Dat ziet echter op een andere categorie van besluiten en een andere context. De enkele verwijzing in de toelichting naar het in voorbereiding zijnde wetsvoorstel dat de implementatie van het Schrems-arrest regelt, is derhalve niet toereikend.

De Afdeling adviseert in de toelichting op het bovenstaande nader in te gaan.

c. Benoeming en ontslag leden Autoriteit

Op grond van de Uitvoeringswet worden de voorzitter en de leden van de Autoriteit bij koninklijk besluit, op voordracht van de minister, benoemd.111 Daarbij is bepaald dat leden op eigen verzoek door de minister worden ontslagen.112 In het voorstel is dit niet geregeld voor de voorzitter, anders dan in het bestaande artikel 53, derde lid, Wbp. Zonder nadere toelichting is niet duidelijk waarom deze mogelijkheid niet voor de voorzitter is opgenomen. De Afdeling adviseert dit nader toe te lichten en zo nodig het voorstel aan te passen.

d. Aanvullende taken van de Autoriteit

Naast de taken die uit de verordening voortvloeien, mogen op grond van de verordening ook andere taken worden toegekend.113 Artikel 6, derde lid, van de Uitvoeringswet geeft daarvoor een basis. In de artikelsgewijze toelichting wordt niet gemotiveerd met het oog op welke situaties deze bepaling is opgenomen. In het algemene deel van de toelichting staat dat in artikel 6, derde lid, de Autoriteit expliciet is aangewezen voor het toezicht op de toepassing van de Richtlijn gegevensbescherming opsporing en vervolging.114 Dat staat echter niet als zodanig in de bepaling. Bovendien zal dat naar mag worden aangenomen bij de wet ter implementatie van de richtlijn worden bepaald.

De Afdeling adviseert artikel 6, derde lid, nader toe te lichten en zo nodig de bepaling aan te passen.

e. Reikwijdte adviesbevoegdheid bij wetgevingsinitiatieven
De AVG bepaalt dat de lidstaten de toezichthoudende autoriteit raadplegen bij het opstellen van een voorstel voor een door een nationaal parlement vast te stellen wetgevingsmaatregel, of een daarop gebaseerde regelgevingsmaatregel in verband met verwerking.115

In de Uitvoeringswet is een bepaling opgenomen die regelt dat de Autoriteit om advies wordt gevraagd over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur ‘die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens’.116

Nu de verplichting ten aanzien van het raadplegen van de Autoriteit bij deze voorstellen tot regelgeving reeds in de AVG is opgenomen, is er geen ruimte om dit in de Uitvoeringswet te bepalen. De Afdeling adviseert deze bepaling te schrappen.

f. Definitie “bijzondere persoonsgegevens”

De definitie van “bijzondere persoonsgegevens” in de Uitvoeringswet wijkt af van die in de AVG. In de Uitvoeringswet worden onder “bijzondere persoonsgegevens” tevens aangemerkt persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten.117 De AVG heeft echter persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten niet onder de “bijzondere categorieën van persoonsgegevens” van artikel 9 gebracht, maar in een aparte bepaling (artikel 10 AVG).118

Dit verschil in definities leidt met name bij de uitzonderingsbepalingen van de artikelen 29 en 30 van de Uitvoeringswet tot onduidelijkheden. In die artikelen wordt gesproken van de term “bijzondere persoonsgegevens”, dus volgens de definitie van de Uitvoeringswet inclusief persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. Echter, in die artikelen wordt vervolgens alleen verwezen naar de uitzonderingsgronden van artikel 9 AVG. Onduidelijk is dan ook of de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten onder die uitzonderingen vallen.

Gelet op het voorgaande adviseert de Afdeling om de definitie van “bijzondere persoonsgegevens” in de Uitvoeringswet aan te laten sluiten bij de definitie in de AVG.

11. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State geeft U in overweging het voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaal, nadat met het vorenstaande rekening zal zijn gehouden.


De waarnemend vice-president van de Raad van State,

(get.) Wortmann

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W03.17.0166/II

  • In het voorgestelde artikel 7, zesde lid, de passage “artikel 12 van de Kaderwet is niet van toepassing” verplaatsen naar een zelfstandig achtste lid, om te verduidelijken dat dit ook op de benoeming ziet.

  • In de artikelsgewijze toelichting bij artikel 10 ingaan op de wijziging ten opzichte van artikel 56 van de Wbp dat niet langer de minister maar de Autoriteit de ambtenaren van het secretariaat aanstelt.

  • Paragraaf 3.1, Bijzondere persoonsgegevens: waar in diverse artikelen wordt gesproken van “het verbod om gegevens over (…) te verwerken”, expliciet verwijzen naar het verbod van artikel 9, eerste lid, van de AVG.

  • In artikel 23, eerste lid, per onderdeel verwijzen naar de betreffende uitzonderingsgrond van artikel 9, tweede lid, AVG, zodat per onderdeel duidelijk is van welke uitzonderingsgrond van artikel 9 AVG (tweede lid, onder b, g of h) een nationale invulling is beoogd.

  • Artikel 25 als volgt formuleren:
    Het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken bedoeld in artikel 9, eerste lid, van de verordening, is om redenen van zwaarwegend algemeen belang als bedoeld in artikel 9, tweede lid, onderdeel g, van de verordening, niet van toepassing voor zover dit noodzakelijk is voor authenticatie en beveiligingsdoeleinden.

  • In artikel 28, vijfde lid, de woorden ‘tweede tot en met vierde lid’ vervangen door: eerste lid, onderdelen f en g, en het tweede tot en met het vierde lid.

  • Artikel 30, eerste lid, onderdeel c uit het eerste lid schrappen en in een apart lid (nieuw tweede lid) onderbrengen onder vernummering van het tweede lid tot het derde lid.
    Het nieuwe tweede lid kan als volgt luiden:
    2. Het verbod om bijzondere persoonsgegevens te verwerken bedoeld in artikel 9, eerste lid, van de verordening, is niet van toepassing als de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang als bedoeld in artikel 9, tweede lid, onderdeel g, van de verordening, en de Autoriteit ontheffing heeft verleend. De Autoriteit kan bij de verlening van ontheffing beperkingen en voorschriften opleggen.

  • De implementatietabel in paragraaf 6 van de toelichting aanvullen. Deze is op sommige onderdelen onvolledig, verwijst soms naar de verkeerde artikelen en in ander gevallen zeer algemeen naar sectorale wetgeving.

Bijlage bij punt 7 over bijzondere persoonsgegevens

Overzicht bijzondere persoonsgegevens en strafrechtelijke gegevens

AVG Artikel AVG Wel/niet RT119 Uitvoeringswet
Verbod verwerking bijz. p-gegevens Art. 9, lid 1 RT -
Uitz. uitdrukkelijke toestemming RW Art. 9, lid 2, onder a RT -
Uitz. arbeidsrecht, sociale zekerheidsrecht Art. 9, lid 2, onder b Niet RT Art. 23, lid 1, onder f
Uitz. bescherming vitale belangen Art. 9, lid 2, onder c RT -
Uitz. stichting/vereniging (politiek/levensbeschouwelijk/vakbond) Art. 9, lid 2, onder d RT -
Uitz. p-gegevens door betrokkene openbaar gemaakt Artikel 9, lid 2, onder e RT -
Uitz. uitoefening rechtsvordering/ verwerking door gerechten Art. 9, lid 2, onder f RT -
Uitz. gezondheidszorg, sociale diensten, arbeidsongeschiktheid Art. 9, lid 2, onder h Niet RT Art. 23, lid 1, onder a en b
Uitz. alg. belang volksgezondheid Art. 9, lid 2, onder i Niet RT - (geen gebruik vanwege beleidsneutraliteit)
Uitz. wetenschappelijk, statistische doeleinden, archivering Art. 9, lid 2, onder j Niet RT Art. 29
Uitz. zwaarwegend algemeen belang Art. 9, lid 2, onder g Niet RT

Art. 22 (ras/etnische afkomst)

Art. 23, lid 1, onder c, d, e (gezondheidsgegevens)

Art. 24 (genetische gegevens)

Art. 25 (biometrische gegevens)

Art. 26 (religie/levensovertuiging)

Art. 27 (politieke opvatting)

Art. 30, lid 1 a en b (volkenrecht. verplichting, verwerking door AP of ombudsman)

Art. 30, lid 1, onder c: restbepaling ‘zwaarwegend alg. belang’.

Strafrechtelijke veroordelingen en strafbare feiten Art. 10 Niet RT Art. 28

  1. Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB 2016, L 119)↩︎

  2. De Afdeling heeft over deze voorstellen op verzoek van de Tweede Kamer in 2012 een voorlichting uitgebracht. Zie zaak W03.12.0188, Kamerstukken II 2011/12, 32 761, nr. 32.↩︎

  3. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281).↩︎

  4. Artikelen 17 en 20 AVG. Het recht om te worden vergeten vloeit overigens al voort uit jurisprudentie van het HvJEU (arrest van 13 mei 2014, Google Spain, C-131/12, ECLI:EU:C:2014:317).↩︎

  5. Artikel 5, tweede lid, en artikel 24 AVG.↩︎

  6. Artikel 60 e.v. AVG.↩︎

  7. Artikel 55-59 AVG.↩︎

  8. Hoofdstuk VIII AVG.↩︎

  9. Artikel 83 AVG.↩︎

  10. Artikel 22 AVG. Het gaat om een uitbreiding ten opzichte van artikel 15 Richtlijn 95/46/EG.↩︎

  11. Artikel 25 AVG. Deze verplichtingen leiden ertoe dat al bij het vaststellen en ontwerpen van middelen van verwerking (zoals de ontwikkeling van programmatuur) passende technische maatregelen worden getroffen die erop gericht zijn persoonsgegevens overeenkomstig de AVG te beschermen.↩︎

  12. Artikel 29, tweede lid, van dat voorstel (COM(2017) 10 final).↩︎

  13. De Afdeling heeft hier eerder op gewezen. Zie Voorlichting 2012, Kamerstukken II 2011/12,
    32 761, nr. 32, hoofdstuk II, paragraaf 1.1.↩︎

  14. Deze werkgroep bestaat uit vertegenwoordigers van de nationale toezichthouders (voor Nederland de Autoriteit persoonsgegevens) en van de Commissie.↩︎

  15. Zie bijv. jurisprudentie over het begrip “persoonsgegevens”: HvJEU 17 juli 2014, Y.S., C-141/12 en C-372/12, ECLI:EU:C:2014:2081 en HvJEU 19 oktober 2016, Breyer,C-582/14, ECLI:EU:C:2016:779.↩︎

  16. Dit beperkt ook de speelruimte van de Uniewetgever.↩︎

  17. Overweging 9 en 13 AVG. Zie eerder Voorlichting 2012, Kamerstukken II 2011/12, 32 761,
    nr. 32. blz. 12).↩︎

  18. Memorie van toelichting, paragraaf 1.2↩︎

  19. Artikel 70 AVG.↩︎

  20. Paragraaf 3, inleiding.↩︎

  21. Artikel 63 AVG.↩︎

  22. Artikel 88 AVG. Ook de Autoriteit Persoonsgegevens wijst hierop in haar advies (punt 12, onder b).↩︎

  23. Artikel 9, tweede lid, onderdeel i, van de AVG. Overigens was in de versie die in internetconsultatie is geweest wel een artikel opgenomen die invulling gaf aan dit onderdeel van artikel 9 AVG (artikel 25 van de internetconsultatie versie). Dit artikel is echter eruit gehaald n.a.v. de opmerking van de Autoriteit en vanwege “voortschrijdend inzicht” (zie toelichting, punt 5.5.2, onder 9.c).↩︎

  24. Toelichting, paragraaf 2.4.↩︎

  25. Toelichting, paragraaf 2.4 en 12.↩︎

  26. Toelichting, paragraaf 2.4, in paragraaf 5.5. wordt dit enigszins genuanceerd door de opmerking dat een memorie van toelichting ook dient ter toelichting bij het voorliggende wetsvoorstel, en dat daarin de normen die op grond van de verordening zullen gaan gelden, niet geheel buiten beschouwing kunnen blijven.↩︎

  27. In het algemeen overleg van 7 maart 2012 (Kamerstukken II 2011/12, 32 761, nr. 27) heeft de staatssecretaris toegezegd de Kamer periodiek op de hoogte te houden van de stand van zaken over de onderhandelingen in Brussel over de Algemene verordening gegevensbescherming en de richtlijn gegevensbescherming opsporing en vervolging.↩︎

  28. Commission Expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680 (E03461).↩︎

  29. Artikel 68, derde lid, AVG. De Europese Toezichthouder houdt toezicht op de gegevensverwerking door de instellingen, organen en instanties van de EU, op grond van Verordening (EG) 45/2001.↩︎

  30. Artikel 52 AVG.↩︎

  31. HvJEU 9 maart 2010, Commissie/Duitsland, C-518/07, ECLI:EU:C:2010:125. In dit arrest geeft het HvJEU een ruime uitleg aan de onafhankelijkheidseis van artikel 28 Richtlijn 95/46/EG (punt 30).↩︎

  32. Het Comité kan op grond van artikel 65 en 66 AVG in voorkomende gevallen wel een bindende beslissing nemen in het kader van zijn geschilbeslechtende taak.↩︎

  33. Bijvoorbeeld door de mogelijkheid fors hogere boetes op te leggen (artikel 83 AVG).↩︎

  34. Zie eerder in deze zin de Voorlichting van de Afdeling Advisering, Kamerstukken II 2011/12,
    32 761, nr. 32, blz. 31.↩︎

  35. Artikel 70, vierde lid, AVG. Dat bepaalt tevens dat de resultaten ook openbaar gemaakt moeten worden. Op grond van artikel 76, tweede lid, van de AVG is op de toegang tot documenten die aan de leden van het Comité, deskundigen en vertegenwoordigers van derden worden voorgelegd, Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB 2001, L 145) van toepassing.↩︎

  36. Artikel 71 AVG.↩︎

  37. Artikel 58, vierde lid, AVG.↩︎

  38. Toelichting, paragraaf 5.5.2, onder 11i.↩︎

  39. H.B. Winter e.a., Wat niet weet, wat niet deert. Een evaluatieonderzoek naar de werking van de Wet bescherming persoonsgegevens in de praktijk, Pro Facto/Rijksuniversiteit Groningen 2008, p. 10.↩︎

  40. Zie bijvoorbeeld het jaarverslag 2015 van de Autoriteit (blz. 6) waaruit blijkt dat de meeste door de Autoriteit aangesproken verantwoordelijken (zowel publieke en private sector) de verplichtingen vaak onbewust of zonder opzet links lieten liggen. De uit zichzelf gevoelde noodzaak om conform de wet te handelen blijkt gering, aldus het jaarverslag.↩︎

  41. Wel is er op grond van artikel 33 AVG een specifieke verplichting om datalekken te melden. Deze bestaat ook al op grond van artikel 34a van de huidige Wbp.↩︎

  42. Artikel 5, tweede lid, en artikel 24 AVG.↩︎

  43. Artikel 30 AVG. Deze verplichting geldt in beginsel niet voor organisaties met minder dan 250 werknemers.↩︎

  44. Artikel 24, tweede lid, AVG.↩︎

  45. Artikel 35 AVG. Onder omstandigheden kan daaruit uit een verplichting voortvloeien om voorafgaand aan de verwerking de toezichthouder te raadplegen. Zie artikel 36 AVG.↩︎

  46. Artikel 25 AVG. Deze verplichtingen leiden ertoe dat al bij het vaststellen en ontwerpen van middelen van verwerking (zoals de ontwikkeling van programmatuur) passende technische maatregelen worden getroffen die erop gericht zijn persoonsgegevens overeenkomstig de AVG te beschermen.↩︎

  47. Artikel 37 AVG.↩︎

  48. Artikel 17 AVG. Het gaat om het recht om wissing van hem betreffende gegevens te verkrijgen. Onder de in het tweede lid nader omschreven omstandigheden is de verantwoordelijke verplicht aan het verzoek tot uitoefening van dat recht te voldoen. Zie ook HvJEU 13 mei 2014, Google Spain, C-131/12, ECLI:EU:C:2014:317.↩︎

  49. Artikel 20 AVG.↩︎

  50. Artikel 22 AVG. Het gaat om een uitbreiding ten opzichte van artikel 15 Richtlijn 95/46/EG.↩︎

  51. Toelichting, paragraaf 5.4.2.↩︎

  52. Zie bijvoorbeeld het artikel “Bedrijven in paniek over Europese privacywet”, in het Financieel Dagblad van 14 augustus 2017.↩︎

  53. VNO/NCW en MKB Nederland hebben hier in hun gezamenlijke advies over het wetsvoorstel ook op gewezen (brief van 20 januari 2017, briefnr. 17/10.021/DdN/jdb).↩︎

  54. Een blockchain is een decentrale database van onveranderbare transacties. Door de onveranderbaarheid zouden processen en diensten, ook die van de overheid mogelijk veilig geautomatiseerd kunnen worden. De regering onderzoekt de toepassingsmogelijkheden van blockchaintechnologie. Zie bijv. E.W. Verhelst, “Blockchain aan de ketting van de Algemene verordening gegevensbescherming?”, P&I, Afl. 1, blz. 17-23 en de Afsluitende brief programma toekomstbestendige wetgeving van de ministers van Economische Zaken en van Veiligheid en Justitie van 26 juni 2017, Kamerstukken II 2016/17, 33 009 nr. 42, paragraaf 2.3.↩︎

  55. Kabinetsreactie op WRR-rapport Big Data in een vrije en veilige samenleving (Kamerstukken II 2016/17, 26 643, nr. 426).↩︎

  56. WRR, Big Data in een vrije en veilige samenleving, Amsterdam University Press, Den Haag/Amsterdam 2016, blz. 136 e.v. Zie ook het advies van de Afdeling over het voorstel van Wet op de inlichtingen- en veiligheidsdiensten, Kamerstukken II 2016/17, 34 588, nr. 4.↩︎

  57. HvJEU 8 april 2014, Digital Rights Ireland e.a., C-293/12 en C-594/12, ECLI:EU:C:2014:238, punten 54 en 55; HvJEU 6 oktober 2015, Schrems, C-362/14, ECLI:EU:C:2015:650, punten 91 t/m 93, en HvJEU van 21 december 2016, Tele2 Sverige, C-203/15 en C-698/15, ECLI:EU:C:2016:970, punt 109.↩︎

  58. Zie hiervoor punt 1b voor enkele voorbeelden.↩︎

  59. Artikel 97 AVG. Hierin wordt bepaald dat uiterlijk op 25 mei 2020 en om de vier jaar daarna, de Commissie een verslag indient bij het Europees Parlement en de Raad over de evaluatie en de toetsing van de AVG.↩︎

  60. Toelichting, paragraaf 5.5.2, onder 13f.↩︎

  61. Toelichting, paragraaf 2.2.↩︎

  62. Zie voor een samenvatting van deze rechtspraak Toelichting, paragraaf 2.2.↩︎

  63. Zie artikel 3, tweede lid, Richtlijn 95/46/EG.↩︎

  64. Behalve gegevensverwerkingen die vallen onder een van de andere uitzonderingen van de AVG. Zie artikel 2, tweede lid, onderdelen b tot en met d, AVG.↩︎

  65. De AVG sluit dat zelf ook niet uit. Zie overweging 16 waarin staat dat de verordening niet van toepassing is op niet onder het Unierecht vallende activiteiten, ‘zoals activiteiten betreffende nationale veiligheid’.↩︎

  66. Artikel 2, tweede lid, Wbp.↩︎

  67. Daarop wordt in het wetsvoorstel één uitzondering gemaakt, namelijk in artikel 4. Daarin worden de AVG en de wet in beginsel van overeenkomstige toepassing verklaard op verwerking van persoonsgegevens door de krijgsmacht.↩︎

  68. Deze bepaling luidt: Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Deze bepaling komt vrijwel overeen met artikel 2, eerste lid, Wbp.↩︎

  69. In een dergelijke bepaling zouden, buiten de al in artikel 2, tweede lid, van het wetsvoorstel genoemde wetten, de verwerkingen in het kader van nationale veiligheid en de gevallen bedoeld in artikel 2, tweede lid, onderdeel b tot en met d, van de AVG uitgezonderd moeten worden.↩︎

  70. Toelichting, paragraaf 2.3 en artikelsgewijze toelichting bij artikel 2.↩︎

  71. Toelichting, paragraaf 2.3.↩︎

  72. Toelichting, paragraaf 4.2.2.↩︎

  73. Zie EHRM 4 december 2008 S. en Marper t. Verenigd Koninkrijk (no. 30562/04 30566/04), r.o. 95-99, waarin de vereisten aan het criterium “bij wet voorzien” in artikel 8, tweede lid, EVRM op een rij worden gezet. In de zaak L.H. t. Letland (EHRM 29 april 2014, (no. 52019/07), r.o. 47-60) heeft het EHRM geëxpliciteerd dat het nationaal recht bij de verwerking van persoonsgegevens, en zeker gezondheidsgegevens, met voldoende helderheid de reikwijdte van de bevoegdheid tot gegevensverwerking moet bepalen. Zie voor nationale rechtspraak HR 24 februari 2017 (ECLI:NL:HR:2017:286), waarin bepaald is dat artikel 55 AWR geen voldoende precieze grondslag geeft voor het verzamelen, vastleggen, bewaren, bewerken en gebruiken van de ANPR-gegevens. Zie ook ABRvS 3 februari 2016 (ECLI:NL:RVS:2016:253): Tegen de achtergrond van de geheimhoudingsplicht is de Afdeling van oordeel dat een verplichting tot verstrekking van gegevens aan woningcorporaties uitdrukkelijk en duidelijk in een wettelijk voorschrift moet zijn neergelegd en dat niet toelaatbaar is dat een dergelijke verplichting uitsluitend wordt afgeleid uit de totstandkomingsgeschiedenis van of de samenhang tussen wettelijke bepalingen of wordt verondersteld omwille van de effectiviteit van een wettelijke regeling. Vergelijkbaar ook Rb Den Haag 8 mei 2017 (ECLI:NL:RBDHA:2017:5165), waarin de Rechtbank oordeelt dat de inbreuk die het gebruik van de reisgegevens [van de OV-chipkaart] maakt op het recht op respect voor het privéleven van eiser, niet berust op een voldoende duidelijke en voorzienbare en met waarborgen omklede wettelijke grondslag.↩︎

  74. Ook de Autoriteit heeft in haar advies opgemerkt dat de toelichting nadrukkelijker in moet gaan op de verplichtingen die voortvloeien uit overweging 45, in samenhang met gelezen met artikel 6, derde lid van de AVG. Mogelijk is in reactie daarop in paragraaf 4.2.2 van de toelichting wel opgemerkt dat artikel 6, eerste lid, onder e, van de verordening als zodanig, gelet op het derde lid van deze bepaling, geen zelfstandige rechtsbasis is voor gegevensverwerking. Aan deze constatering wordt echter ten onrechte de conclusie verbonden dat er op dit punt wel materiële overeenstemming is tussen verordening en richtlijn en dat kan worden aangenomen dat de bestaande wet- en regelgeving waarmee invulling wordt gegeven aan de publieke taak voor wat betreft de rechtsgrondslagen voor verwerking van gegevens in de regel aan de verordening voldoet.↩︎

  75. Geïmplementeerd in artikel 8, onderdeel e, Wbp.↩︎

  76. Deze wijziging in de tekst van de AVG ten opzichte van artikel 7, onderdeel e, van RL 95/46/EG maakt een einde aan de verwarring over mogelijke overlap met de vereisten voor de verdere verwerking van gegevens in artikel 9 Wbp.↩︎

  77. Artikel 6, vierde lid, jo. artikel 23, eerste lid, AVG.↩︎

  78. Daarbij kan het gaan om een verwerking door één en dezelfde verwerkingsverantwoordelijke dan wel de verstrekking van gegevens aan een andere verwerkingsverantwoordelijke.↩︎

  79. De criteria zijn, geïnspireerd door artikel 9, tweede lid, Wbp, terecht gekomen in een opinie van de artikel 29-werkgroep. Bij de totstandkoming van de AVG is op dit punt aangesloten bij de opinie van de artikel 29-werkgroep (Opinion 3/2013 on purpose limitation, WP 203).↩︎

  80. In overweging 50 staat de volgende passage: “Indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, kan in het Unierecht of het lidstatelijke recht worden vastgesteld en gespecificeerd voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd.”↩︎

  81. Zie voor een nadere aanduiding artikel 9, eerste lid, AVG.↩︎

  82. Daarnaast moet ook aan een aantal andere voorwaarden van artikel 9, tweede lid, onderdeel g, AVG worden voldaan: evenredigheid, eerbiediging van de wezenlijke inhoud van het recht op bescherming van persoonsgegevens, passende en specifieke maatregelen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.↩︎

  83. Artikelsgewijze toelichting op artikel 30 Uitvoeringswet.↩︎

  84. Artikel 23, eerste lid, onderdeel f, Wbp.↩︎

  85. Artikel 8, vierde lid, Richtlijn 95/46/EG.↩︎

  86. Zie o.a. EHRM 4 december 2008 S. en Marper t. Verenigd Koninkrijk (no. 30562/04 30566/04) en EHRM 29 april 2014, L.H. t. Letland (no. 52019/07).↩︎

  87. Zie bijvoorbeeld ontwerpbesluit van de Autoriteit inzake de verklaring omtrent de rechtmatigheid van de verwerking Registratieplicht raamprostituees van de gemeente Utrecht; z2016-14894, blz. 8 en het besluit van het Cbp van 23 september 2008, kenmerk z2008-01027.↩︎

  88. Artikel 9, eerste lid, en tweede lid, onderdelen a, c, d, e en f, van de AVG.↩︎

  89. De verhouding is dat ongeveer de helft van de onderdelen van artikel 9 rechtstreeks toepasselijk is, en de andere helft ruimte biedt aan nationale wetgever.↩︎

  90. Artikel 9, onderdelen, b, g, h, i en j, en het vierde lid, van de AVG.↩︎

  91. Arresten HvJ EU 7 februari 1973, Slachtpremies, 39/72, ECLI:EU:C:1973:13, en HvJ EU 31 januari 1978, Fratelli Zerbone, 94/77, ECLI:EU:C:1978:17.↩︎

  92. In sommige gevallen staan de uitzonderingen in sectorspecifieke wetten.↩︎

  93. Deze overweging is ontleend aan de rechtspraak van het HvJEU. Zie HvJEU 28 maart 1985, Commissie/Italië, 272/83, ECLI:EU:C:1985:147, punten 26 en 27. In twee meer recente zaken verwijst de AG in zijn conclusie naar deze uitspraak van het Hof: Conclusie AG Kokott van 18 september 2007, Skoma-Lux s.r.o., C-161/06, punt 55 en Conclusie van AG H. Saugmandsgaard Øe van 19 juli 2016, Swiss International Air Lines AG, C-272/15, punt 32.↩︎

  94. Zie ook aanwijzing 335 van de Aanwijzingen voor de regelgeving.↩︎

  95. Teneinde te voorkomen dat daardoor het Unierechtelijk karakter van de overgenomen elementen wordt ondergraven, geeft de Afdeling in overweging om in de Uitvoeringswet uitdrukkelijk te vermelden dat die elementen zijn overgenomen uit de AVG. Hiervoor kan bijvoorbeeld de volgende formulering worden gekozen: “Overeenkomstig artikel … van de verordening … “).↩︎

  96. Toelichting, paragraaf 4.3 getiteld “Bijzondere persoonsgegevens”.↩︎

  97. Toelichting, paragraaf 5.5.2 getiteld “Advisering van de Autoriteit persoonsgegevens”, onder punt 11.↩︎

  98. Artikel 22 AVG is ruimer en biedt meer bescherming dan artikel 15 Richtlijn 95/46/EG. Zie toelichting, paragraaf 4.5.↩︎

  99. Het kan dus alleen gaan om verwerkingen die gegrond zijn op de artikelen 6, eerste lid, onderdelen c en e, AVG.↩︎

  100. Toelichting bij artikel 37.↩︎

  101. WRR-rapport Weten is nog geen doen (2017), paragraaf 6.5 en Nationale ombudsman, Gegijzeld door het systeem (2015), paragraaf 4.2.↩︎

  102. Dat alleen het bieden van de gebruikelijke rechtsbescherming onvoldoende waarborgen biedt, kan ook worden afgeleid uit overweging 71 bij de AVG, dat het volgende vermeldt: “In ieder geval moeten voor dergelijke verwerking passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten.”↩︎

  103. Toelichting, paragraaf 4.6.↩︎

  104. Zij het dat nu, anders dan onder de werking van de Wbp, expliciet wordt voorgeschreven met welke elementen van gegevensverwerkingen de verwerkingsverantwoordelijke rekening moet houden.↩︎

  105. Dit strookt met de benadering van het HvJEU. Zie HvJEU 6 oktober 2015, Schrems, C-362/14, ECLI:EU:C:2015:650, punt 92; HvJEU 8 april 2014, Digital Rights Ireland e.a., C-293/12 en C-594/12, ECLI:EU:C:2014:238, punt 52.↩︎

  106. Artikel 66, derde lid, Wbp. Zie Voorlichting Raad van State, Kamerstukken II 2011/12, 32 761, nr. 32, blz. 34 en het advies van de Afdeling advisering van 19 februari 2014, inzake de nota van wijziging bij de Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp, Kamerstukken II 2014/15, 33 662 nr. 10, punt 4.↩︎

  107. Artikel 58, tweede lid, onderdeel d, AVG. Die bepaling maakte nog geen onderdeel uit van de versie van de AVG waarover de Afdeling voorlichting heeft uitgebracht.↩︎

  108. Punt 11b van het advies van de Autoriteit.↩︎

  109. Overweging 143.↩︎

  110. Toelichting, paragraaf 5.5.2, onder 1.↩︎

  111. Artikel 7, derde lid, van de Uitvoeringswet.↩︎

  112. Artikel 7, vijfde lid, van de Uitvoeringswet.↩︎

  113. Overweging 129.↩︎

  114. Paragraaf 3.1.1.↩︎

  115. Artikel 36, vierde lid, van de AVG.↩︎

  116. Artikel 15 van de Uitvoeringswet.↩︎

  117. Artikel 1, eerste lid, Uitvoeringswet.↩︎

  118. Artikel 9, eerste lid, van de AVG noemt de persoonsgegevens die vallen onder “bijzondere categorieën persoonsgegevens”. Daaronder vallen niet persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. Deze gegevens zijn in een apart artikel (artikel 10 AVG) ondergebracht.↩︎

  119. RT=rechtstreeks toepasselijke bepaling van de AVG.↩︎