Nationale uitvoeringswet voor Europese privacy verordening (UAVG) gepubliceerd

24 January 2018

Op de valreep zo voor het einde van het jaar is de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) bij de tweede kamer ingediend. De verordening treedt op 25 mei 2018 in werking. Op hetzelfde tijdstip zal de uitvoeringswet in werking moeten treden. De huidige Wet bescherming persoongegevens (Wbp) zal dan worden ingetrokken. Deze wet is nodig, ondanks de rechtstreekse werking van de AVG,  omdat de nationale wetgeving o.a. dient te voorzien in de voor de uitvoering van de verordening noodzakelijke uitvoerings- en handhavingsstructuren (zie ook onze eerdere blog hierover). Hiernaast laat de AVG op bepaalde onderdelen ruimte aan de lidstaten om aanvullende regels te stellen of uitzonderingen te maken. Hoe ziet dit eruit voor Nederland?

Beleidsneutraal
In het wetsvoorstel voor de UAVG is gestreefd naar een beleidsneutrale uitvoering. Dit betekent dat daar waar de verordening ruimte laat voor nationale keuzes, de bestaande keuzes die gemaakt waren in de huidige Wbp zoveel mogelijk ongewijzigd zijn overgenomen. Dit is belangrijk om de overgang van de oude naar de nieuwe situatie zo goed mogelijk te laten verlopen en draagt ook bij aan de rechtszekerheid. Hoe kleiner de verschillen, des te makkelijker de overgang.

Bijzondere persoonsgegevens
Deze beleidsneutrale uitvoering is bijvoorbeeld te zien in het overnemen van de bestaande uitzonderingen op het verbod van verwerking van bijzondere categorieën van persoonsgegevens. Echter de AVG introduceert twee nieuwe type gegevens die onder de bijzondere categorieën vallen: genetische gegevens en biometrische gegevens die worden verwerkt met het oog op de unieke identificatie van een persoon. Genetische gegevens vielen onder de Wbp onder bijzondere persoonsgegevens over gezondheid waaraan nadere eisen aan de verwerking werden gesteld. Zij worden worden nu in de UAVG expliciet genoemd en uitgezonderd als een afzonderlijke categorie. De uitzondering inzake biometrische gegevens die worden verwerkt met het oog op de unieke identificatie van een persoon wordt in een aparte bepaling in de UAVG geregeld. Deze gegevens mogen worden verwerkt wanneer dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Nationaal identificatienummer
Het nationaal identificatienummer, BSN, werd onder de Wbp aangemerkt als een bijzonder persoonsgegevens, in de UAVG niet langer. Echter inhoudelijk verandert er niets in de UAVG mag, net als onder de Wbp, het BSN alleen worden verwerkt als daar een wettelijke grondslag voor is.

Archiefbescheiden die berusten in een archiefbewaarplaats
De UAVG geeft uitzonderingen voor de verwerking van persoonsgegevens die deel uitmaken van archiefbescheiden die berusten in een archiefbewaarplaats. Deze uitzonderingen waren nog niet expliciet geregeld in de Wbp, wel bevatte de memorie van toelichting bij de Wbp een specifieke uitleg van de artikelen betreffende het recht op inzage en het recht op rectificatie voor archiefbescheiden. In de UAVG wordt de lijn uit de memorie van toelichting bij de Wbp door getrokken. Hiernaast wordt in deze betreffende bepaling Artikel 20 AVG buiten toepassing gesteld, omdat het nieuwe recht op gegevensoverdraagbaarheid in strijd is met het wezen van de bewaring van archiefbescheiden in een archiefbewaarplaats.

Territoriale reikwijdte
In artikel 4 van de UAVG wordt de territoriale reikwijdte bepaald en uitgebreid. De UAVG is niet alleen van toepassing op iedere gevestigde in Nederland die persoonsgegevens verwerkt, maar ook op de verwerking van persoonsgegevens van betrokkenen die zich in Nederland bevinden door een verwerkingsverantwoordelijke of verwerker buiten de Europese Unie (aanwezig zijn in Nederland is voldoende).

Autoriteit persoonsgegevens
De Autoriteit Persoonsgegevens (AP) krijgt meer bevoegdheden onder de UAVG, zoals de bevoegdheid om advies te verlenen aan het nationale parlement, de regering en andere instellingen en organen. Daarnaast dient de AP ook formeel als toezichthouder aangewezen te worden.

Boetes voor overheden
Een andere, opmerkelijke, nieuwe bevoegdheid is die tot het geven van een bestuurlijke boete aan overheden voor overtredingen van de AVG. Hierover bestond nog enige onduidelijkheid, maar deze is nu dus expliciet weggenomen. De wetgever geeft hiermee een duidelijk signaal dat alle organisaties zich aan de wet moeten houden, ook de overheid zelf.

Tot slot
Dit artikel is niet geschreven om een volledig en uitputtend overzicht van de UAVG te geven. Enkele, voor ons in het oog springende wijzigingen, zijn er uitgelicht.

Meer weten over privacy of over de AVG en wat dit voor u betekent? Neem vrijblijvend contact op met een van de leden van de Praktijkgroep Privacy.