Wetsvoorstel update Uitvoeringswet AVG ingediend

De Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) is toe aan een update, zo vindt het kabinet. De UAVG is een verlengstuk van de Algemene verordening gegevensbescherming (AVG). De AVG heeft als Europese verordening rechtstreekse werking in alle EU-lidstaten. In de AVG wordt echter op verschillende onderwerpen ruimte aan lidstaten geboden om zelf keuzes te maken. In Nederland staan die keuzes in de Uitvoeringswet AVG (kortweg UAVG genoemd). Verschillende andere wetten verwijzen weer naar de regels van de UAVG. Wanneer de ene wet een update krijgt, kan het dus nodig zijn om de andere wet ook te wijzigen.

Op 16 onderwerpen zouden de UAVG en enkele andere wetten binnenkort aangepast moeten worden, volgens het kabinet. De UAVG mist op bepaalde punten noodzakelijke verduidelijking, sommige verwijzingen zijn verouderd en de rechter heeft zich uitgesproken tegen de strekking van een enkele bepaling. Er zijn kortom allerlei verbeterpunten verzameld in de bijna 5 jaar dat de wet nu in werking is. Ook voor bijvoorbeeld de Vreemdelingenwet, de Wegenverkeerswet en de Wet op het financieel toezicht worden namelijk wijzigingen voorgesteld, om ze beter op de AVG en de UAVG af te stemmen. Er is advies ingewonnen bij onder meer werkgeversorganisaties, de Vereniging van Nederlandse Gemeenten (VNG) en de Autoriteit Persoonsgegevens (AP). Hieronder enkele van de meest in het oog springende wijzigingen.

Meer rechten voor kinderen tussen 12 en 16 jaar

Met 16 jaar heeft Nederland de hoogst mogelijke leeftijdsgrens gekozen, vanaf wanneer een jongere zelf toestemming kan geven voor de verwerking van zijn persoonsgegevens voor ‘diensten van de informatiemaatschappij’. Ter vergelijking: in België ligt die grens met 13 jaar een stuk lager. Onder de wettelijke leeftijdsgrens is toestemming van de ouders nodig. De bedoeling is dat zo de privacy van kinderen onder 16 jaar beter wordt beschermd, doordat websites en apps niet zomaar op basis van hun toestemming persoonsgegevens kunnen verwerken. De aanbieder van een dienst moet redelijke inspanningen verrichten om te controleren of de toestemming voor een kind van een wettelijk vertegenwoordiger afkomstig is.

In de huidige situatie is het echter ook alleen de ouder die toestemming voor onlinediensten kan intrekken. Dat beperkt de privacyrechten van een kind tussen de 12 en 16 jaar: het kan een drempel zijn als een kind naar de ouders moet gaan met het verzoek om toestemming in te trekken. In de memorie van toelichting van het wijzigingsvoorstel wordt dat als volgt onderbouwd: “De leeftijd van 12 jaar […] sluit goed aan bij de keuze in het Nederlands recht om kinderen vanaf 12 jaar deels zelf en vanaf 16 jaar geheel zelfstandig persoonlijke keuzes te laten maken.” Pikant is dat de ouders vervolgens weer geldige toestemming kunnen verlenen, die het kind dan weer kan intrekken, enzovoort. De wens van de minderjarige moet daarbij wel zwaar meewegen voor de verwerkingsverantwoordelijke.

Ook de rechten van betrokkenen kunnen op dit moment nog niet zelfstandig worden uitgeoefend door een kind tussen 12 en 16 jaar. Het wetsvoorstel bevat een wijziging om ook op dit punt meer rechten toe te kennen aan deze leeftijdscategorie. Inzage-, correctie- en verwijderverzoeken kunnen straks dus worden ingediend door een betrokkene vanaf 12 jaar, als het voorstel het tot wet haalt.

Smallere uitleg van begrip strafrechtelijke persoonsgegevens

De huidige definitie van persoonsgegevens van strafrechtelijke aard in de UAVG is te ruim. Een door een rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag, zoals een contactverbod, zijn namelijk geen strafrechtelijke persoonsgegevens. Dat was de strekking van een uitspraak van het Gerechtshof Den Haag in december 2019. Dit, terwijl nu letterlijk in artikel 1 van de UAVG staat dat deze persoonsgegevens onder de definitie van strafrechtelijke persoonsgegevens vallen. Die tegenstrijdigheid wordt met dit wetsvoorstel aangepast: de toevoeging over rechterlijke verboden naar aanleiding van gedrag wordt geschrapt uit de definitie.

Makkelijker voor accountants om bijzondere persoonsgegevens te verwerken

Bijzondere persoonsgegevens mogen in beginsel niet worden verwerkt op grond van de AVG, tenzij een uitzonderingsgrond van toepassing is. Tot nu toe was zo’n uitzonderingsgrond er niet voor accountants, bij de uitvoering van wettelijke taken. Het wetsvoorstel brengt daar verandering in: als het noodzakelijk is voor de uitvoering van een wettelijk verplichte controle, mag een accountant bijzondere persoonsgegevens verwerken. 

Enkele andere noemenswaardige wijzigingen

  • Naast accountants wordt ook het werk van curatoren eenvoudiger gemaakt, doordat expliciet wordt toegevoegd aan de Faillissementswet dat zij bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en het BSN mogen verwerken als dat noodzakelijk is;
  • Het gebruik van biometrische gegevens mag op grond van het wetsvoorstel alleen met het doel toegang te krijgen tot bepaalde plaatsen, diensten, informatiesystemen enzovoort;
  • Bij het pensioen of overlijden van een hulpverlener wordt de overdracht van dossiers naar een andere hulpverlener, die ze gedurende de wettelijke bewaartermijn bewaart, beter geregeld.

Meer weten over dit onderwerp? Lees verder:

Terug naar overzicht