033 200 30 83
Wat is de UAVG?
De AVG is sinds 25 mei 2018 dé privacywetgeving die voor de hele EU geldt. Internationaal heet de wet de General Data Protection Regulation (GDPR). Daarnaast geldt er in Nederland in aanvulling op de AVG nog de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). Wat is deze UAVG en waar vult deze UAVG de AVG aan?
AVG
De AVG geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen uit de EU. Dit betekent dat ook de overheid, scholen, verenigingen en stichtingen zich aan deze verordening moeten houden. Het doel van de AVG is met name om twee belangen beter te waarborgen: de bescherming van natuurlijke personen in verband met de verwerking van hun gegevens én het vrije verkeer van persoonsgegevens binnen de EU. De AVG heeft ervoor gezorgd dat er voor de hele Europese Unie dezelfde regels en voorschriften gelden in plaats van allerlei nationale wetten. In Nederland ziet de Autoriteit Persoonsgegevens toe op de naleving van deze regels en kan in bepaalde gevallen een boete opleggen. Maar naast de AVG bestaat ook de UAVG.
UAVG[i]
Hoewel het doel van de verordening een geharmoniseerd gegevensbeschermingsrecht is, biedt de verordening de lidstaten toch op een heel aantal punten ruimte om specifieke bepalingen op te nemen of uitzonderingen te maken. Bijvoorbeeld met betrekking tot arbeid, zorg en sociale zekerheid. Maar ook van bijzondere categorieën van persoonsgegevens en de invulling van de rechten van betrokkenen. In Nederland zijn deze specifieke bepalingen vastgelegd in de Uitvoeringswet Algemene verordening gegevensbescherming oftewel de ‘Uitvoeringswet’. Daarnaast is het mogelijk dat de Nederlandse wetgever ook in sectorale wetten nadere regels stelt over de verwerking van persoonsgegevens. In de praktijk betekent dit in veel gevallen dat men meerdere wetten moet raadplegen om het 'wettelijk kader' van een gegevensverwerking in beeld te brengen. Wanneer u wilt weten wat uw rechten en plichten zijn met betrekking tot de verwerking van persoonsgegevens, moet u eerst de AVG raadplegen. Wanner de AVG verwijst naar (mogelijk) Unierecht of lidstatelijk recht, dan moet u daarnaast de Uitvoeringswet en/of de specifieke sectorale wetgeving raadplegen.
Voorbeelden
De UAVG biedt dus ruimte voor nationale keuzes. Er zijn verwerkingen opgenomen, waarbij er een uitzondering geldt voor deze verwerking ten opzichte van de AVG. We beschrijven in hoofdlijnen enkele uitzonderingen:
Biometrische gegevens
Onder de AVG zijn biometrische gegevens bijzondere persoonsgegevens (artikel 9 AVG). Dat betekent dat verwerking daarvan in beginsel is verboden, tenzij aan strenge voorwaarden is voldaan. De UAVG bevat ten aanzien hiervan een uitzondering. De verwerking van biometrische gegevens is - indien dit noodzakelijk is - toegestaan voor authenticatie en beveiligingsdoeleinden (artikel 29 UAVG).
Gezondheidsgegevens
Onder de AVG zijn gezondheidsgegevens bijzondere persoonsgegevens (artikel 9 AVG). Dat betekent dat verwerking in beginsel is verboden, tenzij aan strenge voorwaarden is voldoen. De UAVG bevat ten aanzien hiervan een uitzondering. De verwerking van gezondheidsgegevens is, mits voldaan wordt aan de specifieke bepalingen, toegestaan voor bijvoorbeeld pensioenfondsen, scholen, hulpverleners of instellingen voor gezondheidszorg of maatschappelijke dienstverlening.
Religieuze of levensbeschouwelijke overtuiging
Onder de AVG zijn religieuze of levensbeschouwelijke overtuiging bijzondere persoonsgegevens (artikel 9 AVG). Dat betekent dat verwerking in beginsel is verboden, tenzij aan strenge voorwaarden is voldoen. De UAVG bevat ten aanzien hiervan een uitzondering. De verwerking van religieuze of levensbeschouwelijke overtuiging is toegestaan als deze verwerking, voor haar leden, wordt verricht door een stichting, een vereniging of ander instantie zonder winstoogmerk die op godsdienstig gebied werkzaam is (artikel 22 lid 2c).
BSN
De AVG bepaalt dat lidstaten de voorwaarden voor de verwerking van een nationaal identificatienummer kunnen vaststellen (art 87 AVG). Op grond van de UAVG blijft de verwerking van het Burger Service Nummer verboden, tenzij sprake is van uitvoering van een wet dan wel voor doeleinden bij een wet bepaald of een Algemene Maatregel van Bestuur. Overheid, werkgevers, zorgverleners (zoals huisarts en tandarts) en het onderwijs hebben bijvoorbeeld een wettelijke verplichting op basis waarvan het BSN geregistreerd moet worden.
Advies
Dit is natuurlijk maar een kleine opsomming van alle bepalingen die in de UAVG staan beschreven. Heeft u ondersteuning nodig bij het juist toepassen van de uitzonderingen in de UAVG? De privacy specialisten van PrivacyTeam zijn altijd op de hoogte van de huidige regelgeving en helpen u graag.
[i] NB. Op het moment is een voorstel van wet tot wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (Verzamelwet gegevensbescherming) aanhangig bij de Raad van State. Het voorstel is tot stand gekomen mede naar aanleiding van de behandeling van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) in de Tweede Kamer. Het bevat een aantal inhoudelijke en technische wijzigingen. Zo worden onder meer wijzigingen voorgesteld inzake de uitoefening van rechten op basis van de Algemene verordening gegevensbescherming (AVG). Ook biedt het voorstel een grondslag voor de verwerking van (bijzondere) persoonsgegevens door curatoren, bewindvoerders, Wsnp-bewindvoerders, de Raad voor Rechtsbijstand en accountants, en een delegatiegrondslag voor verwerkingen door adviescolleges en commissies. Daarnaast bevat het voorstel voorschriften voor het verwerken van persoonsgegevens in het kader van transactiemonitoring, inclusief geautomatiseerde besluitvorming.
