15 maart 2018

Analyse: wat valt op bij de Nederlandse invulling van de Avg?

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), PRIVACY, VERTROUWEN

De Algemene Verordening Gegevensbescherming (Avg) trad al in 2016 in werking. Vanaf 25 mei 2018 is hij ook daadwerkelijk van toepassing. In de tussenliggende twee jaar moeten niet alleen bedrijven zorgen dat ze hun zaken op orde hebben, ook onze wetgever moet aan de bak. Deze week werd de zogenaamde ‘uitvoeringswet Avg’ (uAvg) aangenomen door de Tweede Kamer. Een formaliteit? Niet helemaal. In de uAvg zit een aantal punten die het vermelden waard zijn.

Wat staat er in de uAvg?

De nieuwe regels uit de Avg zijn grotendeels op Europees niveau bepaald en gaan direct gelden in Nederland. Toch moet de Nederlandse wet nog worden aangepast aan de nieuwe situatie. De uAvg regelt voor een deel de aansluiting van de Avg op de Nederlandse wet waar gaten vallen door het intrekken van de huidige privacywet (Wbp). Bovendien hebben ze in Brussel op sommige punten ruimte gelaten voor nationale invulling van de Avg. Ook dat wordt geregeld in de uAvg.

Nederland ICT heeft tijdens de totstandkoming van de uAvg op verschillende momenten aangedrongen op aanpassingen. Hieronder een overzicht van opvallende punten, wijzigingen en losse eindjes:

Aansprakelijkheid verwerker

Nederland ICT heeft tijdens de behandeling van de uAvg aandacht gevraagd voor de positie van verwerkers. Veel ICT-leveranciers zijn verwerker (check op onze Helpdesk Avg of jij ook verwerker bent). In het bijzonder verzette Nederland ICT zich tegen  de extra aansprakelijkheid voor verwerkers in Nederland ten opzichte van de Europese tekst. Deze verruimde aansprakelijkheid is na de consultatieronde uit het wetsvoorstel gehaald.

Publicatie van maatregelen door de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) krijgt onder de Avg extra bevoegdheden. In een eerdere versie van de uAvg stond dat de AP opgelegde maatregelen, bevindingen en/of adviezen openbaar mag maken. Nederland ICT heeft aangegeven dat dit niet zou mogen leiden tot naming and shaming van bedrijven. In de uiteindelijke tekst is het betreffende artikel verdwenen. Helaas is hiermee nu wel onduidelijk of en in hoeverre de AP besluiten opbaar mag maken. De uAvg biedt in ieder geval zelf geen wettelijke basis meer.

Extra collegelid voor Autoriteit Persoonsgegevens

We vinden het belangrijk dat in een tijdperk van verregaande digitalisering en elektronische communicatie voldoende kennis van digitale technologie aanwezig is bij de AP. Daarom hebben we gepleit voor een standaardzetel in het college van het AP voor iemand met affiniteit met de digitale economie. In een aangenomen motie van het CDA wordt er in ieder geval geregeld dat er een derde collegelid komt. De motie vraagt verder om diversifiëring van het college en een lid met praktijkervaring. We hopen dat het AP digitale expertise hierin zwaar laat wegen.

Plicht tot het melden van ‘interne logica’ verwijderd

In een eerdere versie van de uAvg stond dat een bedrijf bij geautomatiseerde verwerking van persoonsgegevens de betrokken persoon moet informeren over de ‘logica die ten grondslag ligt aan de verwerking’. Deze informatieplicht was anders geformuleerd als in de Avg. Wij hebben gevraagd om deze afwijkende tekst te verwijderen, dat is in de definitieve tekst van de uAvg gebeurd.

Andere opvallende punten

  • De Tweede Kamer heeft een motie aangenomen die het kabinet oproept bij de AP te benadrukken dat zo lang er nog vragen zijn over de implementatie van de Avg, de prioriteit van de AP moet liggen bij het voorlichten van organisaties.
  • De Tweede Kamer heeft een motie aangenomen die de AP vraagt om op korte termijn met duidelijke richtlijnen te komen voor wanneer een organisatie een functionaris voor de gegevensbescherming moet hebben.

Losse eindjes

Dat de uAvg nu is aangenomen door de Tweede Kamer betekent helaas niet dat de nationale invulling nu ook helemaal duidelijk is. Door tijdsgebrek is de discussie over een aantal ‘losse eindjes’ door minister Dekker op de lange baan geschoven. De Kamer ging hiermee akkoord. Er is daarom op verzoek van de Kamer een lijst gemaakt van 11 punten uit de Avg die over een half jaar nog eens besproken moeten worden. Dat betekent dat veel bedrijven nog zeker een jaar moeten wachten op de definitieve wettelijke kaders.

Twee opvallende openstaande punten:

  • Administratieve lasten voor het mkb. Eén van de punten die nog open staan is de interpretatie van een uitzondering op de registerplicht voor mkb-bedrijven. In onze interpretatie van de Avg is die uitzondering er voor de meeste bedrijven met minder dan 250 werknemers. In de interpretatie van het ministerie is die uitzondering echter nauwelijks van toepassing. In dat laatste geval betekent dat een administratieve last voor het mkb van honderden miljoenen. Het punt is in een motie van de VVD op de lijst gezet om later dit jaar te worden besproken.In dat kader biedt een aangenomen amendement van Kees van der Staaij (SGP) hoop. Dat amendement zorgt er voor dat de Autoriteit Persoonsgegevens in het algemeen nadrukkelijk rekening moet houden met de behoeften van het mkb, om administratieve lasten te beperken. In dat licht lijkt de mkb-vriendelijke interpretatie van de Avg voor de hand te liggen.
  • Leeftijd toestemming. De Avg laat het aan individuele landen over om te bepalen tot welke leeftijd kinderen toestemming nodig hebben van hun ouders om bijvoorbeeld apps te downloaden, of accounts aan te maken op sociale media. Een beslissing hierover is ook op de lijst beland van uitgestelde onderwerpen. Men wacht eerst een breder onderzoek af van de Raad voor Volksgezondheid en Samenleving af dat aankomende zomer wordt gepubliceerd. Hieruit moet blijken wat wenselijk is. Een amendement van GroenLinks om de minimumgrens van 13 jaar aan te houden haalde het niet.

Kijk op onze Helpdesk Avg voor meer informatie over de nieuwe regels en hulp met de implementatie.