Op 2 december 2022 is het wetsvoorstel Verzamelwet gegevensbescherming (“de verzamelwet” of “het wetsvoorstel”) ingediend. De verzamelwet is bedoeld om bestaande wetgeving op het gebied van privacy en gegevensbescherming te stroomlijnen en aan te passen aan de behoeften die (digitale) ontwikkelingen met zich meebrengen. Met het wetsvoorstel worden de UAVG en enkele andere wetten gewijzigd. Wat er gaat veranderen?
In het Nederlandse recht wordt iedereen in staat geacht zijn eigen keuzes te kunnen maken. Echter, voor minderjarigen tot een bepaalde leeftijd en personen die onder curatele, bewind of mentorschap staan geldt dat de wettelijk vertegenwoordiger van deze persoon (mede) bevoegd is om deze keuzes te maken. Daaronder ook toestemming voor verwerking van persoonsgegevens. Met het nieuwe wetsvoorstel krijgen jongeren tussen de 12 en 16 jaar meer regie toebedeeld over de verwerking van hun persoonsgegevens.
Onder de huidige situatie kunnen jongeren tot 16 jaar niet zelf beslissen over de verwerking van hun persoonsgegevens. Volgens artikel 5 UAVG is namelijk altijd toestemming van de wettelijk vertegenwoordiger nodig. Met het nieuwe wetsvoorstel kunnen jongeren vanaf 12 jaar de door hun wettelijk vertegenwoordiger gegeven toestemming zelfstandig intrekken als zij van mening zijn dat er geen gegevensverwerking zou moeten plaatsvinden. De ratio achter deze nuancering is het idee dat jongeren vanaf 12 jaar geacht worden om beslissingen over de verwerking van hun persoonsgegevens te kunnen nemen. De door de jongere ingetrokken toestemming kan echter wel weer opnieuw verleend worden door de wettelijk vertegenwoordiger.
Het is aan de verwerkingsverantwoordelijke om hier zorgvuldig mee om te gaan en een belangenafweging te maken om al dan niet door te gaan met de gegevensverwerking. Hierbij weegt de wens van de minderjarige om geen toestemming te verlenen zwaar mee.
In de praktijk betekent dit dat een 12-jarige scholier toestemming kan intrekken om zijn foto in de schoolkrant te laten plaatsen. De ouder geeft vervolgens opnieuw toestemming om de foto wel te plaatsen. Er zal dan door de school een belangenafweging moeten worden gemaakt om de foto al dan niet te plaatsen. In deze belangenafweging wordt gekeken naar het belang de ouder heeft om de foto wel te plaatsen en welk belang de jongere heeft om de foto niet te plaatsen.
Daarnaast zijn jongeren tussen de 12 en 16 jaar door de verzamelwet bevoegd om, naast hun wettelijk vertegenwoordiger, de rechten uit hoofdstuk 3 van de AVG zelfstandig uit te voeren. Zo kunnen ze bijvoorbeeld zelfstandig een verzoek om inzage, verwijdering en correctie van hun persoonsgegevens indienen.
Volgens artikel 8 van de AVG geldt een minimale leeftijdsgrens van 13 jaar waar toestemming van de wettelijk vertegenwoordiger nodig is. Deze grens ziet alleen op verwerkingen van persoonsgegevens voor een rechtstreeks aanbod van diensten van de informatiemaatschappij. In dit wetsvoorstel wordt, afwijkend van artikel 8 AVG, voor andere verwerkingen van persoonsgegevens gekozen voor een lagere leeftijdsgrens. Dit sluit aan bij het Nederlandse recht waar jongeren vanaf 12 jaar deels eigen keuzes kunnen maken en jongeren vanaf 16 jaar geheel eigen keuzes kunnen maken. Bijvoorbeeld in de Wet op de geneeskundige behandelingsovereenkomst (“WGBO”) wordt deze leeftijdsgrens ook gehanteerd en kunnen jongeren tussen de 12 en 16 jaar (deels) zelf over hun medische behandeling beslissen.
Artikel 29 UAVG formuleert een uitzondering op het verbod op verwerken van biometrische gegevens. Biometrische gegevens mogen wel verwerkt worden voor authenticatie en beveiligingsdoeleinden. Met het wetsvoorstel wordt deze uitzondering verduidelijkt.
Er wordt een passage toegevoegd waardoor een dubbele noodzakelijkheidstoets voor de toepassing van de uitzondering ontstaat. De verwerking moet namelijk noodzakelijk zijn voor de authenticatie of beveiligingsdoeleinden én noodzakelijk zijn om een zwaarwegend algemeen belang te dienen.
Daarnaast wordt de doelbeperking expliciet uitgewerkt. De verwerking van biometrische gegevens moet als doel hebben om rechtmatige toegang tot bepaalde plaatsen, gebouwen, diensten, producten, informatie- of werkprocessystemen te faciliteren.
In het wetsvoorstel wordt de reeds bestaande uitzondering op het verbod om gezondheidsgegevens te verwerken van artikel 30 UAVG verder uitgewerkt. Deze uitzondering ziet op het overdragen van medische dossiers met het oog op de bewaarplicht en het bijbehorende beheer aan een andere hulpverlener.
Opvallend is dat met de voorgestelde wijziging een doorbreking van het medisch beroepsgeheim mogelijk wordt gemaakt. Medische dossiers kunnen nu ook zonder uitdrukkelijke toestemming van de patiënt worden overgedragen. De wetgever benadrukt in de Memorie van Toelichting wel dat een doorbreking van het medisch beroepsgeheim niet lichtvaardig mag worden opgenomen. Hier zijn dan ook bepaalde voorwaarden aan verbonden. Zo rust er op de personen die de dossiers overdragen of bewaren en beheren een absolute geheimhoudingsplicht. Voorts geldt een informatieplicht voor hulpverleners en niet-hulpverleners die medische dossiers overdragen zonder toestemming van de patiënt. Wanneer het informeren van individuele patiënten onmogelijk is of onevenredig veel inspanning vergt, geldt de informatieplicht niet. Of sprake is van een onevenredige inspanning hangt af van de omstandigheden van het geval. De Memorie van Toelichting van het wetsvoorstel geeft als voorbeeld dat dit het geval is wanneer er kilometers aan oude dossiers liggen, bijvoorbeeld bij faillissement van een ziekenhuis.
De overdracht van het medisch dossier zonder toestemming van de patiënt, en daarmee het doorbreken van het medisch beroepsgeheim, heeft enerzijds een praktische overweging en is anderzijds ook in het belang van de patiënt. Voorafgaande toestemming voor overdracht is vaak niet werkbaar omdat het om grote aantallen dossiers gaat, bovendien is het ook in het belang van de patiënt en continuïteit van de zorg dat de medische dossiers beschikbaar zijn en beschikbaar blijven. Deze situatie speelde bijvoorbeeld bij het faillissement van het MC Slotervaart ziekenhuis. Er bestond onduidelijkheid over wat te doen met oude dossiers nog in beheer van het MC Slotervaart ziekenhuis waarvan de bewaartermijn nog niet was verstreken. Toentertijd voorzag de wet nog niet in een grondslag om zonder toestemming over te dragen terwijl dit in deze situatie wel een logische optie was. Mijn collega Sari schreef hier in 2022 al over: “Ziekenhuis failliet: wat gebeurt er met uw medische dossier?”
Op grond van artikel 9 AVG geldt een verbod op het verwerken van bijzondere persoonsgegevens. In de verzamelwet wordt hierop een extra uitzondering geformuleerd voor accountants en curatoren wanneer zij uitvoering geven aan een wettelijke taak.
Accountants mogen bijzondere persoonsgegevens verwerken indien dit noodzakelijk is voor het uitvoeren van werkzaamheden ter uitvoering van hun wettelijke taak. Indien het persoonsgegevens betreft die onder het medisch beroepsgeheim vallen moeten deze gegevens eerst worden gepseudonimiseerd.
Verder wordt in de Faillissementswet verduidelijkt dat de curator bij de uitoefening van zijn wettelijke taken bijzondere persoonsgegevens mag verwerken. Verder worden de bevoegdheden van de curator ten aanzien van het verwerken van strafrechtelijke gegevens en financiële gegevens uitgewerkt.
Het wetsvoorstel Verzamelwet gegevensbescherming brengt aantal technische en inhoudelijke veranderingen met zich mee. De belangrijkste ontwikkelingen voor individuen en organisaties nogmaals op een rij:
Voor een volledig overzicht van de voorgestelde wijzigingen verwijs ik je graag naar hoofdstuk 2 van de Memorie van Toelichting van het wetsvoorstel. Wanneer de Verzamelwet gegevensbescherming definitief wordt is nog onduidelijk. Het wetsvoorstel is momenteel in behandeling bij de Tweede Kamer. Wij houden je uiteraard op de hoogte.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.