WODC: naleving AVG door overheden

De AVG bestaat uit open normen die zich in de praktijk niet altijd makkelijk laten toepassen. Invulling daarvan door de Uitvoeringswet AVG is niet goed uit de verf gekomen. Dit komt door de ‘beleidsneutrale’ opzet van de Uitvoeringswet AVG en het gebrek aan (latere) concretisering van die open normen. De UAVG heeft daarmee niet veel toegevoegde waarde ten opzichte van de AVG. Voor de uitvoeringspraktijk draagt de UAVG niet bij tot meer duidelijkheid. Dit is de hoofdconclusie van de wetsevaluatie die Pro Facto en Hooghiemstra & Partners hebben gedaan in opdracht van het WODC. Het onderzoek ‘Bescherming gegeven?’ is op 6 september 2022 aangeboden aan de Tweede Kamer.

De onderzoekers raden aan de wet te verbeteren. Dit kan door de UAVG en de sectorale wetgeving te benutten om tot concretisering te komen. Hierbij kan inspiratie worden opgedaan in andere landen waar de AVG ook geldt.

Ook gedragscodes zouden een veel effectievere rol kunnen spelen bij het toepassen van algemene beginselen in een specifieke sector. Specifiek voor het verwerken van persoonsgegevens door de overheid adviseren de onderzoekers de rechtsbescherming voor burgers tegen de verwerking van persoonsgegevens te vereenvoudigen. Dit kan door een brug te slaag tussen de (U)AVG en de Awb. Ook het gat dat nu bestaat tussen de AVG en de Awb bij geautomatiseerde besluitvorming zou gedicht kunnen worden. De toezichthouder, de Autoriteit Persoonsgegevens, zou de werkwijze rondom de bestuurlijke boete meer transparant kunnen vormgegeven en bij de meldplicht datalekken het toezicht op niet-melders kunnen intensiveren.  [einde intro]

Achtergrond

Sinds 25 mei 2018 geldt de Algemene Verordening Persoonsgegevens (AVG). Deze Europese verordening regelt de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens. De Uitvoeringswet Algemene verordening persoonsgegevens (UAVG) vult de ruimte in die Nederland als lidstaat heeft om op bepaalde punten meer specifieke nationale regelingen te treffen.

Open normen

In het evaluatieonderzoek is gekeken naar de uitvoering van de UAVG en is de werking van de wet geëvalueerd. Hierbij hebben de onderzoekers veel hulp gekregen van experts uit het veld, van Functionarissen Gegevensbescherming (FG’s), staatsraden en advocaten tot aan academische experts.

De AVG gaat uit van open normen. Deze normen zijn voor een belangrijk deel een voortzetting van regelgeving die er voor de AVG ook al was. Een verdere concretisering en specifieke invulling in de UAVG heeft niet plaatsgevonden. Ook heeft per branche via zogenaamde gedragscodes amper een operationalisering van normen plaatsgevonden, nu de gedragscode als instrument nauwelijks van de grond komt. De onderzoekers formuleren dan ook verschillende aanbevelingen die gelet op het samenstel van AVG, UAVG, bijzondere wetgeving en sectorale gedragscodes handvatten kunnen zijn voor de praktijk van het gegevensbeschermingsrecht.

Besluitvorming en rechtsbescherming

Bij de rechtsbescherming tegen het handelen van de overheid heeft het besluit een sleutelrol. Dit wringt met de systematiek van de (U)AVG waarin de verwerking van persoonsgegevens en daarmee de verwerkingsactiviteit – een feitelijke handeling – een meer centrale rol inneemt. De onderzoekers raden aan om een brug te slaan tussen de (U)AVG en de Awb, zowel op het vlak van geautomatiseerde besluitvorming als op het vlak van rechtsbescherming. Ook pleiten de onderzoekers ervoor om de toegang tot de civiele rechter laagdrempeliger te maken door de toegang tot de verzoekschriftprocedure in de UAVG te verruimen.

Kinderen

Speciale aandacht is nodig voor de huidige zwakke positie van kinderen en hun persoonsgegevens. Juist van de jonge generatie worden ongekend veel persoonsgegevens vastgelegd en verspreid, soms ook door ouders. Zij zouden beter beschermd moeten worden.  

Toezichts- en handhavingsbeleid nodig

Behalve naar de werking van de UAVG is ook gekeken naar het functioneren van de boetebevoegdheid van de AP. Het onderzoek plaatst kanttekeningen bij de wijze waarop de toezichthouder deze bevoegdheden hanteert. Zo hebben de onderzoekers niet kunnen vaststellen hoe het toezicht er in de praktijk uit ziet. Er is geen gepubliceerd toezichts- en handhavingsbeleid, zoals dat bij veel andere toezichthouders het geval is. Ook hebben de onderzoekers, na bestudering van cases waarin een bestuurlijke boete is opgelegd, niet goed duidelijk kunnen krijgen hoe de AP de hoogte van de boetes vaststelt. Zij verwachten dat een meer transparante werkwijze voor het vaststellen en opleggen van boetes kan zorgen voor meer begrip en grotere acceptatie door de ondertoezichtstaanden.

Geef niet gemelde datalekken meer aandacht

Het onderzoek stelde ook de meldplicht datalekken aan de orde. Opvallende bevinding is dat de toezichthouder relatief veel handhavingscapaciteit steekt in gemelde datalekken. Ook wanneer de ondertoezichtstaande maatregelen heeft genomen en het probleem heeft opgelost, leidt dat soms tot stevige sancties. De vraag is of in het toezicht het evenwicht tussen gemelde en niet-gemelde datalekken niet op een andere manier zou kunnen worden gevonden.

Klik HIER om het eindrapport te downloaden. 

Search