Mededeling gegevensbeschermingsregels

• a) 

  Titel voorstel

Mededeling gegevensbeschermingsregels als basis voor vertrouwen in de EU en daarbuiten - een inventarisatie

• b) 

  Datum ontvangst Commissiedocument

24 juli 2019

• c) 

  Nr. Commissiedocument

COM(2019) 374 final

• d) 

  EUR-Lex

https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=COM:2019:374:FIN

• e) 

  Nr. impact assessment Commissie en Opinie Raad voor Regelgevingstoetsing

n.v.t.

• f) 

  Behandelingstraject Raad

Raad Justitie en Binnenlandse Zaken

• g) 

  Eerstverantwoordelijk ministerie

Ministerie van Justitie en Veiligheid

In deze mededeling inventariseert de Commissie iets meer dan een jaar na het van toepassing worden van de Algemene verordening gegevensbescherming (AVG) op 25 mei 2018 de resultaten die tot op heden zijn behaald in verband met de consistente uitvoering van de gegevensbeschermingsregels in de hele EU, de werking van het nieuwe systeem van toezicht, de gevolgen voor burgers en ondernemingen en de inspanningen van de EU om de wereldwijde convergentie van gegevensbeschermingsstelsels te bevorderen. De mededeling vormt een bijdrage aan de eerste evaluatie van de AVG. De mededeling kan worden gezien als een tussenrapportage in dit proces en beslaat het eerste jaar waarin de AVG van toepassing is. Volgende stap in het proces is de eindrapportage die op grond van artikel 97 AVG op 25 mei 2020 moet zijn afgerond en die de eerste twee jaar waarin de AVG van toepassing is, zal beslaan. De mededeling volgt op een eerdere mededeling van januari 2018¹ en is gebaseerd op informatie uit de werkzaamheden van de groep van diverse belanghebbenden.²

Hoofdboodschap van deze mededeling is dat de toepassing van de AVG in het eerste jaar positief was, maar dat op een aantal gebieden nog vooruitgang moet worden geboekt.

Als het gaat om de consistente uitvoering van de gegevensbeschermingsregels in de hele EU zijn de doelen van de AVG volgens de Commissie grotendeels gehaald.³ Aan het gefragmenteerde landschap met 28 verschillende nationale wetgevingen onder de voormalige Privacyrichtlijn is grotendeels een einde gekomen.

Over de werking van het nieuwe systeem van toezicht wordt opgemerkt dat de meeste gegevensbeschermingsautoriteiten het afgelopen jaar steeds meer

¹ COM(2018) 43 final

² De groep van diverse belanghebbenden op het gebied van de verordening die de Commissie heeft ingesteld, bestaat uit vertegenwoordigers van het maatschappelijk middenveld en het bedrijfsleven, academici en mensen uit de praktijk.

³ Al zijn enkele lidstaten nog bezig met het aanpassen van hun nationale wetgeving aan de AVG (stand van zaken per 23 juli 2019).

middelen tot hun beschikking hebben gekregen, maar dat er nog altijd grote verschillen in budget voor de autoriteiten tussen de lidstaten bestaan.⁴ Het potentieel van het nieuwe systeem van toezicht is volgens de Commissie nog niet volledig benut.

Met betrekking tot de gevolgen voor burgers merkt de Commissie op dat de bekendheid met gegevensbeschermingsrechten toeneemt en dat steeds meer mensen deze rechten uitoefenen. De noodzaak om door te gaan met voorlichting blijft echter onverminderd.

Over de gevolgen voor het bedrijfsleven wordt opgemerkt dat ondernemingen over het algemeen blij zijn met het verantwoordelijkheidsbeginsel dat de tijdrovende ex ante-aanpak uit de oude Privacyrichtlijn vervangt.⁵ Ook zijn bedrijven gestart met het ontwikkelen van meer privacy-vriendelijke diensten. Tegelijkertijd vragen sommige bedrijven - in het bijzonder het MKB- om meer rechtszekerheid en aanvullende of duidelijkere richtsnoeren van gegevensbeschermingsautoriteiten.

Met betrekking tot de mondiale ontwikkelingen in het gegevensbeschermingsrecht signaleert de Commissie een duidelijke tendens richting opwaartse convergentie; steeds meer landen ontwikkelen nieuwe gegevensbeschermingsregels of actualiseren bestaande regels en nemen daarbij de AVG als voorbeeld. Dit biedt nieuwe mogelijkheden voor het bevorderen van gegevensstromen, en daarmee ook de handel en samenwerking tussen overheidsautoriteiten, terwijl tegelijkertijd de gegevens van personen in de EU beter worden beschermd.

⁴ De Commissie verwijst hierbij naar het rapport van de European Data Protection Board over de implementatie van de AVG voor de het LIBE-comité van het EP: https://edpb.europa.eu/news/news/2019/edpb-libe-report-implementation-qdpr en.

⁵ Onder andere het schrappen van notificatieverplichtingen, schaalbaarheid van verplichtingen, de flexibiliteit die wordt geboden door het beginsel 'data protection by design and by default' waardoor concurrentie op 'privacy-vriendelijkheid' van producten of diensten mogelijk wordt.

Tot slot wijst de Commissie erop dat de bescherming van persoonsgegevens onderdeel is geworden van verschillende beleidsterreinen waarop de EU actief is (telecommunicatie, gezondheidszorg, Al, transport, energie, mededinging, gegevensbescherming in de context van verkiezingen, rechtshandhaving).

• a) 

  Essentie Nederlands beleid op dit terrein

Nederland is voorstander van een sterk gegevensbeschermingsrecht waarin het recht op privacy van burgers is gewaarborgd, zowel in hun directe- als digitale omgeving. Nederland vindt het echter ook belangrijk dat er voldoende ruimte is voor overheden, bedrijven en burgers om persoonsgegevens te verwerken, voor zover zulke verwerkingen met passende waarborgen zijn omkleed. Nederland vindt het belangrijk dat er een goede balans is tussen een goed beschermingsbeleid enerzijds en de administratieve lasten voor burgers, bedrijven en overheid anderzijds.

Belangrijkste pilaar van het Nederlandse gegevensbeschermingsrecht is de Europese Algemene Verordening Gegevensbescherming (AVG) en de daarbij behorende Uitvoeringswet van de AVG (UAVG), die in algemene zin de verwerking van persoonsgegevens in Europa en Nederland regelen. De UAVG kent een beleidsneutraal karakter en vormt in een aantal opzichten een voortzetting van de oude Wet bescherming persoonsgegevens. Verder is er meer specifieke wetgeving gebaseerd op een Europese richtlijn die toeziet op verwerking van persoonsgegevens door justitie en politie.⁶ Naast de UAVG zijn er nog een aantal meer specifieke Nederlandse wetten die ook uitvoering geven aan de AVG en een grondslag bieden voor de verwerking van persoonsgegevens, zoals bijvoorbeeld de Wet basisregistratie personen en de Kieswet.

⁶ Richtlijn (EU) 2016/680. Deze richtlijn is in Nederland geïmplementeerd in de Wet justitiële en strafvorderlijke gegevens (Wjsg) en de Wet politiegegevens (Wpg).

• b) 

  Beoordeling + inzet ten aanzien van dit voorstel

Deze mededeling is een geschikte opstap richting de eindrapportage van de evaluatie van de AVG die de Commissie voor 25 mei 2020 moet opstellen. De inventarisatie geeft een eerste kijk op eventuele knelpunten en problemen bij de implementatie en toepassing van de AVG in de lidstaten. Nederland kan zich vinden in de positieve conclusies van de Commissie over de toepassing van de AVG, maar onderschrijft ook de bevindingen van de Commissie dat er op bepaalde terreinen nog vooruitgang te boeken is.

Nederland wil daarom gebruik maken van deze inventarisatie om een aantal aandachtspunten aan de Commissie mee te geven voor het evaluatierapport van 25 mei 2020, die nog niet in de mededeling voor komen.

Op grond van artikel 97 AVG moet de Europese Commissie bij de evaluatie van de AVG de standpunten en bevindingen van het Europees Parlement, de Raad, en andere relevante instanties of bronnen in aanmerking nemen. Er wordt momenteel gewerkt aan de totstandkoming van een Raadspositie. Nederland zal zich inzetten hierin de aandachtspunten terug te zien.

De Commissie heeft aangegeven de eindrapportage over de evaluatie en de toetsing van de AVG, zoveel mogelijk te willen beperken tot de in artikel 97, tweede lid, AVG met name genoemde onderwerpen (hoofdstuk V AVG betreffende de internationale doorgifte van persoonsgegevens en hoofdstuk VII inzake het samenwerkings- en coherentiemechanisme). De Commissie stuurt daarmee aan op een beperkte evaluatie van de AVG en heeft bovendien op voorhand aangegeven geen wijzigingen van de AVG te zullen voorstellen.

Belangrijkste argument van de Commissie voor een beperkte evaluatie is dat bedrijven, overheden en burgers nog bezig zijn om te wennen aan de regels en

verplichtingen die voortvloeien uit de AVG. De AVG heeft een grote impact heeft op burgers, bedrijven én overheden. Velen hebben zich, in meerdere of mindere mate, moeten aanpassen aan de regels en normen uit de AVG, die ten dele nieuw waren. Het zou daarom nog te vroeg zijn om de AVG 'breed' te evalueren, ook omdat veel open normen nog (verder) ingevuld moeten worden door toezichthouders en rechters.

Hoewel Nederland erkent dat het belangrijk is om een gerichte evaluatie uit te voeren, meent het dat ook kritisch moet worden gekeken naar een aantal bepalingen die buiten de in artikel 97 genoemde hoofdstukken staan. Dit is juist van belang om op een aantal punten meer rechtszekerheid te creëren. Artikel 97 laat ook alle ruimte om ook andere onderwerpen voor de evaluatie aan te dragen. Hierbij kan volgens Nederland om te beginnen worden gedacht aan bepalingen uit de AVG waarvan nu al is gebleken dat zij tot duidelijke knelpunten in de praktijk leiden, zoals bijvoorbeeld artikel 30, vijfde lid, AVG. Deze voor het MKB geformuleerde uitzondering op de plicht tot het bijhouden van een register van verwerkingsactiviteiten (de 'registerplicht') is zo stringent geformuleerd dat deze in de praktijk niet of nauwelijks kan worden toegepast. Dit leidt tot een onnodige lastenverzwaring voor het MKB. Het zoveel mogelijk oplossen van dergelijke knelpunten is ook belangrijk voor het (behoud van het) maatschappelijk draagvlak voor de AVG.

Daarnaast vindt Nederland dat de Commissie, gelet op artikel 97, vijfde lid, AVG⁷, bij de evaluatie ook oog zou moeten hebben voor relevante ontwikkelingen in de informatietechnologie en informatiemaatschappij. Van belang is dat niet alleen wordt teruggekeken naar het functioneren van de AVG tot nu toe, maar dat ook vooruit wordt gekeken naar technologische en maatschappelijke ontwikkelingen die in de toekomst wellicht tot aanpassing of aanvulling van de AVG zouden kunnen

⁷ 'Indien nodig dient de Commissie passende voorstellen in teneinde deze verordening te wijzigen, met name in het licht van de ontwikkelingen in de informatietechnologie en de stand van zaken in de informatiemaatschappij'

nopen. Nederland denkt daarbij in de eerste plaats aan de groeiende datamacht van grote technologiebedrijven, maar ook aan ontwikkelingen op het gebied van blockchain technologie of gezichtsherkenning.

Hoewel de publieke sector niet vertegenwoordigd was in de 'groep van belanghebbenden' die door de Commissie ten behoeve van deze mededeling is geraadpleegd, vindt het kabinet het belangrijk dat de gevolgen van de AVG voor de overheid ook worden meegenomen in de evaluatie. Overheidsorganisatie ondervinden praktische problemen bij de implementatie of uitvoering van de AVG. Het kabinet vindt het belangrijk dat er tijdens de evaluatie aandacht is voor de praktijkproblematiek omtrent de AVG.

In raadsverband zal Nederland richting de Commissie blijven pleiten voor een brede evaluatie en bovengenoemde punten daarbij aandragen.

• c) 

  Eerste inschatting van krachtenveld

Lidstaten zijn nog maar kort bezig met de toepassing van de AVG. Het is daarom nog niet duidelijk hoe de lidstaten staan in de uitvoering van de AVG en de opzet van de evaluatie.

• a) 

  Bevoegdheid

De grondhouding ten aanzien van de bevoegdheid voor deze mededeling is positief. De mededeling ziet op het beleidsterrein van de ruimte van vrijheid veiligheid en recht (RVVR). Op dit terrein is sprake van een gedeelde bevoegdheid tussen de EU en de lidstaten (zie artikel 4, lid 2, sub j, VWEU). Deze mededeling, waarin de Commissie de behaalde resultaten inventariseert in verband met de uitvoering van de EU-gegevensbeschermingsregels, sluit voorts aan bij de rol van de Commissie als hoedster van de verdragen (zie artikel 17 VEU) uit hoofde waarvan zij toeziet op de toepassing van het Unierecht. Voorts zij ook gewezen op artikel 97 van de AVG,

waarin aan de Commissie de taak wordt toegekend om de AVG periodiek te evalueren en toetsen. Onderhavig optreden sluit hierbij aan.

• b) 

  Subsidiariteit

De grondhouding ten aanzien van de subsidiariteit van de mededeling is positief. De inventarisatie, als bijdrage aan de evaluatie, ziet op toepassing/naleving van EU regelgeving. Het ligt daarom voor de hand dat dit op EU-niveau wordt vormgegeven.

• c) 

  Proportionaliteit

Nederland heeft een positieve grondhouding ten aanzien van de proportionaliteit van deze mededeling. De inventarisatie op de toepassing van de AVG is een geschikte opstap richting de evaluatie van de AVG in 2020.

• d) 

  Financiële gevolgen

Er zijn geen financiële gevolgen voorzien op basis van deze mededeling. Nederland is van mening dat eventuele benodigde EU-middelen gevonden dienen te worden binnen de in de Raad afgesproken financiële kaders van de EU-begroting 2014-2020 en dat deze moeten passen bij een prudente ontwikkeling van de jaarbegroting.

(Eventuele) budgettaire gevolgen worden ingepast op de begroting van het beleidsverantwoordelijke departement, conform de regels van de budgetdiscipline.

• e) 

  Gevolgen voor regeldruk, administratieve lasten en concurrentiekracht

Een goede werking van de AVG kan bijdragen aan het verlichten van administratieve lasten. In dat kader is een goede evaluatie van de AVG gewenst.