Column


IT-jurist Peter van Schelven over...

The next step: de Uitvoeringswet AVG

Hij is er eindelijk: het voorstel voor de Uitvoeringswet AVG. De Nederlandse regering heeft op 13 december jongstleden een set met nieuwe spelregels op het gebied van de bescherming van de privacy bij de Tweede Kamer ingediend. Het voorstel voor deze nieuwe Nederlandse wet bevat regels die deels als aanvulling op de Europese privacyverordening dienen en deels ook afwijkingen daarvan bevatten.

Het voorstel voor de Uitvoeringswet AVG moet in volle vaart door de beide kamers van het parlement worden gejaagd. De tijd is kort. Deze ‘nationale kop’ op de Algemene Verordening Gegevensbescherming (AVG) moet immers uiterlijk op 25 mei 2018 van kracht zijn, de datum waarop ook de AVG van toepassing wordt. Het parlement heeft dus betrekkelijk weinig tijd om zijn ei over het wetsvoorstel te leggen, terwijl het voorstel een omvangrijk en complex document is. Het telt maar liefst 54 artikelen. De Tweede Kamer moet al in januari met een eerste reactie komen.

Boete over overheden
Kijken we naar het wetsvoorstel dan valt een aantal zaken op. Zo is onder meer vastgelegd dat de privacywaakhond, de Autoriteit Persoonsgegevens, geldboetes mag opleggen aan overheidsinstanties die de spelregels van de AVG overtreden. De AVG zelf laat de vraag of instanties uit de publieke sector beboet kunnen worden geheel over aan de nationale wetgever.

De Nederlandse regering heeft thans met de keuze in de Uitvoeringswet AVG om ook overheden onder het boetestelsel te brengen, de private en publieke sector op één lijn getrokken. De regering ziet deze boeteregeling als een ‘belangrijk signaal’ naar overheidsinstanties dat ook zij zich aan de AVG moeten houden. Op die manier kunnen overheden tot maximaal 10 miljoen euro beboet worden als hun security de toets der kritiek niet kan doorstaan.

Positie toezichthouder
Een ander belangrijk onderdeel van de Uitvoeringswet AVG is dat de huidige privacywet in ons land, de Wet bescherming persoonsgegevens (Wbp), wordt ingetrokken. Omdat de positie van de toezichthouder, de Autoriteit Persoonsgegevens, thans nog in de Wbp is geregeld, zal de Uitvoeringswet AVG dat moeten overnemen.

Een groot deel van het wetsvoorstel gaat dan ook over de taken en bevoegdheden van de Autoriteit Persoonsgegevens. De toezichthouder heeft een onafhankelijke positie in ons staatsbestel, dat wil zeggen dat de Nederlandse regering zich niet met de inhoud en de aanpak van het beleid van de Autoriteit Persoonsgegevens mag bemoeien. Die gedachte is iets versterkt in het wetsvoorstel, met name op het punt van de personele samenstelling van het bureau van de toezichthouder.

Bijzondere persoonsgegevens
Een derde brok van regels in de Uitvoeringswet AVG gaan over de zogeheten ‘bijzondere persoonsgegevens’, zoals bijvoorbeeld gezondheidsgegevens. De hoofdregel onder de AVG is dat je deze gegevens in beginsel niet mag verwerken, tenzij er ergens in de wetgeving een specifieke uitzondering op die hoofdregel is gemaakt.

In de Uitvoeringswet AVG tref je een groot aantal, zeer complexe uitzonderingen op dit verwerkingsverbod aan. Met name de zorgsector, de medische sector en het verzekeringswezen in ons land doen er verstandig aan die uitzonderingen nog eens goed onder de loep te nemen. De beoogde nieuwe wet raakt in dit opzicht deze sectoren in heel praktische zin. Datzelfde geldt voor organisaties die strafrechtelijke gegevens verwerken.

Zijn we er dan?
Is het plaatje van regels compleet als binnenkort naast de AVG de Uitvoeringswet AVG definitief rond is? Zeker niet! Door de komst van deze nieuwe spelregels moeten ook nog tal van andere bestaande nationale wetten in ons land worden aangepast aan de AVG. De regering heeft daarom aangekondigd dat er ook nog een derde set van spelregels moet komen, die deze aanpassingen moet gaan doorvoeren: de Aanpassingswet AVG. Dat wordt een soort veegwet. Hoe die er gaat uitzien, weten we nu nog niet. Duidelijk is wel dat het privacyrecht op die manier uitgroeit tot ‘a lawyer’s paradise… the extended version’.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over