15/9/2022 Op 6 september dit jaar publiceerde het Wetenschappelijk Onderzoek en Documentatiecentrum (WODC) een rapport, waarin de onderzoekers een kritische blik werpen op de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). Zij stellen onder andere dat de UAVG een beperkte toegevoegde waarde heeft ten opzichte van de Algemene Verordening Gegevensbescherming (AVG). De UAVG zou geen specifieke invulling geven aan de open normen van de AVG en de open normen in de UAVG zouden niet voldoende geoperationaliseerd zijn. Ook zou de Autoriteit Persoonsgegevens (AP) de bestuurlijke boete transparanter aan kunnen pakken en het toezicht op de niet-melders van datalekken kunnen versterken. Maar heeft de UAVG nou echt zo weinig toegevoegde waarde of is het slechts een kwestie van tijd voordat deze waarde beter zichtbaar wordt? Deze blog beantwoord deze vragen door verder in te zoomen op het kritische rapport van de WODC.  

Het doel van de UAVG 

Sinds 25 mei 2018 zijn zowel de AVG als de UAVG van toepassing. Waar de AVG de omgang met persoonsgegevens op Europees niveau reguleert, werkt de UAVG de vereisten uit de AVG uit op nationaal niveau. Denk hierbij aan regelgeving met betrekking tot de inrichting van de nationale toezichthouder en verschillende uitzonderingen op regels uit de AVG.  

Het rapport van de WODC 

Het WODC stelt dat er in de UAVG geen sprake is van een verdere concretisering en specifieke invulling van de normen van de AVG. De normen in de UAVG zijn namelijk ook open geformuleerd en behoeven daarmee uitleg in concrete gevallen. Hierbij wordt veel verwacht van de nationale toezichthouder wat betreft de ontwikkeling van specifieke normen in de vorm van bijvoorbeeld gedragscodes. De onderzoekers stellen dat zo’n uitvoerings- en handhavingspraktijk maar beperkt tot stand is gekomen, aangezien de toezichthouder slechts beperkt daadwerkelijke gedragscodes heeft opgezet. Daarnaast is er volgens de onderzoekers sprake van een ‘’nog voortgaand proces van bewustwording en implementatie binnen organisaties’’. Desondanks kwam er uit het onderzoek, dat werd uitgevoerd onder verschillende functionarissen gegevensbescherming (FG’s), naar voren dat zij over het algemeen al goed uit de voeten kunnen met de normstelling in de UAVG.   

Het rapport voelt ook de boetebevoegdheid van de AP aan de tand. De onderzoekers stellen dat het feit dat er geen gepubliceerd toezichts- en handhavingsbeleid bestaat, ervoor zorgt dat er veel onduidelijkheid bestaat rondom de manier waarop de toezichthouder boetes oplegt. Het vastleggen van zo’n beleid kan veel duidelijkheid scheppen met betrekking tot de handelswijze van de toezichthouder. Hier ligt dan ook een taak voor de toezichthouder om de open normen op deze manier te concretiseren en een specifieke invulling te geven.  

Het onderzoek stelt ook dat het toezicht op de meldplicht datalekken versterkt moet worden. Organisaties die een datalek niet melden lijken er vaak goed vanaf te komen, terwijl de AP organisaties die een datalek wel melden soms forse boetes oplegt. Dit leidt mogelijk tot terughoudendheid bij potentiële melders. De AP houdt zich vast aan een risicogericht toezicht. Dit houdt in dat hij zich bij zijn toezicht focust op de grotere risico’s. Wat zou moeten betekenen dat de AP zich juist ook richt tot de niet-meldende organisaties, nu zich door het niet-melden grote risico’s voor kunnen doen. De onderzoekers stellen dat de AP zich beter aan dit risicogerichte toezicht moet vasthouden om deze terughoudendheid te voorkomen en om meer begrip te creëren bij de onder toezicht staande organisaties. Toch kwam er uit het onderzoek naar voren dat zowel de boetebevoegdheid als de meldplicht datalekken instrumenten zijn waarmee het toezicht op de naleving goed kan functioneren.  

Toegevoegde waarde UAVG? 

Het gebrek aan toegevoegde waarde van de UAVG is volgens de onderzoekers voornamelijk te danken aan het gebrek aan specifieke invulling en concretisering van de open normen in de UAVG. Een actievere rol van de toezichthouder en concrete gedragscodes zouden de waarde van de UAVG kunnen vergroten. Nu de FG’s al goed overweg kunnen met de normstelling in de UAVG en de boetebevoegdheid en meldplicht datalekken uiteindelijk toch goed uit de test komen, lijkt het erop dat de toegevoegde waarde van de UAVG na een proces van bewustwording en implementatie met de jaren zal groeien.  

Ondervindt u als organisatie, of FG, problemen met de normstellingen uit de UAVG wat betreft bijvoorbeeld de uitzonderingen op de verwerking van bijzondere persoonsgegevens? Considerati staat voor u klaar om over een en ander de adviseren. Neem bij vragen gerust vrijblijvend contact met ons op! 

 

 

Jet de Bruijn Legal Consultant

Meer weten?

Wilt u meer weten over bovenstaand onderwerp? Neem dan gerust contact met ons op. Onze collega's staan u graag te woord.