Geachte dames en heren,
Op 20 mei a.s. spreekt u in een Algemeen Overleg over privacybescherming en knelpunten bij de uitvoering van de AVG. Ondernemers signaleren ook diverse knelpunten. In deze brief brengen we graag een aantal aanbevelingen onder uw aandacht voor een betere uitvoering en handhaving van de AVG.
Wat is er nodig in het kort?
- Minder complexiteit. Meer harmonisatie binnen Europa;
- Meer gebalanceerde uitleg van de AVG (waarbij privacyregels worden bezien in relatie tot andere fundamentele rechten en gerechtvaardigde belangen);
- Oog hebben voor de praktijk;
- Stappen zetten naar een volwassen toezichtsysteem;
- Risicogebaseerde benadering van de AVG, ook voor internationale datadoorgifte.
Harmonisatie, nog een weg te gaan.
Hoewel de AVG is bedoeld om de privacyregels in de Europese Unie gelijk te trekken, komt daar in de praktijk vaak niet veel van terecht. In de praktijk wordt het bedrijfsleven helaas nog te vaak geconfronteerd met verschillende nationale interpretaties en invullingen van de AVG.
Dit maakt de toepassing van de AVG nog complexer en dit leidt tot rechtsonzekerheid bij bedrijven, niet in de laatste plaats bij het mkb1. Ook leidt het tot fragmentatie binnen de Europese Unie en verzwakt de positie van de EU op de wereldmarkt.
No privacy is an island
Terecht wordt in de Tweede Kamer aandacht gevraagd voor het probleem van 'datadominantie', waarbij persoonsgegevens in handen zijn van een beperkt aantal (grote) spelers. Het concept van dataeigendom en protectionistische maatregelen zijn echter niet de beste optie om dit probleem aan te pakken.
Juist een probleem als dit moet op Europees niveau aangepakt worden. We zijn dan ook voorstander van de nieuwe Europese regelgeving, in de vorm van de Digital Services Act en de daarmee samenhangende Digital Market Act. Bovendien bieden fundamentele rechten (zoals de bescherming van persoonsgegevens en het verbod op discriminatie) een bescherming die sterker is dan een eigendomsrecht op data. Eigendom kan immers worden vervreemd maar een fundamenteel recht niet.
Wat is nodig om de privacy te beschermen en tegelijk de economische positie van Nederland en Europa te versterken?
Ten eerste is het van belang privacyregels niet geïsoleerd te bekijken, maar in relatie tot andere fundamentele rechten en gerechtvaardigde belangen waarbij ook oog is voor de praktijk waarin de regels moeten worden toegepast. Alleen op die manier kan Nederland, en in het verlengde daarvan Europa, haar strategische positie uitbouwen en verstevigen op terreinen als Artificiële Intelligentie (AI). Dit laatste is nodig om minder afhankelijk te zijn van andere landen.
In dit kader baart de meermaals restrictieve uitleg van de AVG door de toezichthouder dan ook zorgen2. Er is sprake van een disbalans tussen de privacy en andere maatschappelijke belangen in de uitleg van de AVG. We zijn dan ook voorstander van het scheppen van duidelijkheid in wet- en regelgeving. Denk aan een wettelijke grondslag voor cross-sectorale gegevensdeling voor het met voldoende waarborgen omkleed voorkomen en bestrijden van fraude. Alsook een wettelijke grondslag voor het verwerken van bijzondere categorieën van persoonsgegevens om discriminatie in (algoritmische) systemen te voorkomen3.
Kennis van de praktijk en brede visie
Het is dan ook van groot belang dat de toezichthouder kennis heeft van de uiteenlopende manieren waarop persoonsgegevens verwerkt worden, bijvoorbeeld in AI-systemen, maar ook andere nieuwe en bestaande technologieën en diensten. In ieder geval moet deskundig personeel behouden blijven en nieuw personeel (inclusief de voorzitter) moet beschikken over de kennis van technologieën, kennis van de praktische toepassing van privacyregels en bereid zijn met een open vizier de maatschappij te betrekken bij het ontwikkelen van nieuw beleid.
We bepleiten in dit verband meer aandacht en inzet om het mkb te helpen bij de toepassing van de ingewikkelde privacyregels (een eerder door ons gesignaleerd knelpunt; de AVG staat stipt op nummer 1 qua regeldruk4) en om de jarenlange achterstanden bij vergunning- en goedkeuringsprocedures in te lopen. Er gelden nu achterstanden van jaren, in sommige gevallen zelfs van 5 jaar. Dit is onwerkbaar. Meer budget alleen is niet voldoende.
Stevige positie FG
Het is tijd dat de positie van functionarissen gegevensbescherming (FG) wordt verstevigd in Nederland. We moeten toe naar een volwassen toezichtsysteem, zoals de AVG bedoeld is. Meer concreet vragen we om een kwaliteitsborging van functionarissen gegevensbescherming. Hierbij valt te denken aan een landelijk kwaliteitssysteem. Hiermee sluiten we aan bij een van de conclusies van de evaluatie van Tobias van Gent waarin hij knelpunten van de AVG in Nederland in kaart heeft gebracht5. Hierin stelt hij terecht dat het goed is te realiseren dat toezicht en handhaving primair zijn belegd bij de FG6. We onderschrijven dat. Het is immers de FG die bij uitstek de vertaalslag kan maken van de generieke privacy verplichtingen naar de specifieke toepassing op organisatieniveau. Het verstevigen van de FG zal de toezichthouder ontzien.
Ontlasting van de AP kan ook bereikt worden door het bevorderen van gedragscodes en certificeringsmechanismes, inclusief klachtenafhandelingssystemen voor het afhandelen van individuele (sectorspecifieke) klachten. Gedragscodes kunnen een vlucht nemen als het instellen van een kosten slurpende geaccrediteerde toezichthouder voor elke afzonderlijke gedragscode niet langer verplicht zou worden.
Op deze manier kan de AP zich toeleggen op het onderzoeken en aanpakken van grootschalige misstanden en op haar systeemtoezichtstaken, zoals BCRs, gedragscodes en certificeringen, verlenen van vergunningen en ontheffingen en het geven van voorlichting.
Risicogedreven aanpak
In zijn rapportage stelt Tobias van Gent tevens dat de AVG verplicht tot een risicogedreven aanpak. Een aanpak waarbij de beoordeling of en in hoeverre een gegevensverwerking risicovol is, moet plaatsvinden op basis van objectieve reële factoren. We onderschrijven dit volledig. Het moet ook gaan om het wegnemen en beperken van feitelijke risico’s bij internationale datadoorgifte. Het is van groot belang dat dit standpunt op Europees niveau breed wordt gedragen. Gebeurt dit niet dan wordt een uitsluitend op politiek niveau op te lossen probleem (overheidstoegang tot data), op het bord van het bedrijfsleven gelegd. Deze zullen niet in staat zijn een oplossing te bieden, hoe graag ze ook willen.
Met vriendelijke groet,
Guusje Dolsma
Plaatsvervangend directeur Beleid
1 Zie ook het Panteia rapport Differentiatie regelgeving MKB, Onderzoek in het kader van de motie-Aartsen, d.d. 28 september 2020, p. 29-35.
2 Zie pagina’s 10-11 van het verslag van Tobias van Gent "Twee jaar toepassing van de AVG".
3 Brief van Ministerie van Justitie en Veiligheid aan de Tweede Kamer van 4 december 2020 met een reactie op mededelingen Europese Commissie over de AVG, p. 3, onderste alinea.
4 Zie het Panteia rapport 'Differentiatie regelgeving MKB', Onderzoek in het kader van de motie-Aartsen, d.d. 28 september 2020, p. 23-27.
5 "Twee jaar toepassing van de AVG". Dit verslag is op 15 januari van dit jaar (2021) aan de vaste Tweede Kamer commissies voor Justitie en Veiligheid en van Europese Zaken gepresenteerd.
6 Artikel 37-39 AVG.
Geachte dames en heren,
Op 20 mei a.s. spreekt u in een Algemeen Overleg over privacybescherming en knelpunten bij de uitvoering van de AVG. Ondernemers signaleren ook diverse knelpunten. In deze brief brengen we graag een aantal aanbevelingen onder uw aandacht voor een betere uitvoering en handhaving van de AVG.
Wat is er nodig in het kort?
Harmonisatie, nog een weg te gaan.
Hoewel de AVG is bedoeld om de privacyregels in de Europese Unie gelijk te trekken, komt daar in de praktijk vaak niet veel van terecht. In de praktijk wordt het bedrijfsleven helaas nog te vaak geconfronteerd met verschillende nationale interpretaties en invullingen van de AVG.
Dit maakt de toepassing van de AVG nog complexer en dit leidt tot rechtsonzekerheid bij bedrijven, niet in de laatste plaats bij het mkb1. Ook leidt het tot fragmentatie binnen de Europese Unie en verzwakt de positie van de EU op de wereldmarkt.
No privacy is an island
Terecht wordt in de Tweede Kamer aandacht gevraagd voor het probleem van 'datadominantie', waarbij persoonsgegevens in handen zijn van een beperkt aantal (grote) spelers. Het concept van dataeigendom en protectionistische maatregelen zijn echter niet de beste optie om dit probleem aan te pakken.
Juist een probleem als dit moet op Europees niveau aangepakt worden. We zijn dan ook voorstander van de nieuwe Europese regelgeving, in de vorm van de Digital Services Act en de daarmee samenhangende Digital Market Act. Bovendien bieden fundamentele rechten (zoals de bescherming van persoonsgegevens en het verbod op discriminatie) een bescherming die sterker is dan een eigendomsrecht op data. Eigendom kan immers worden vervreemd maar een fundamenteel recht niet.
Wat is nodig om de privacy te beschermen en tegelijk de economische positie van Nederland en Europa te versterken?
Ten eerste is het van belang privacyregels niet geïsoleerd te bekijken, maar in relatie tot andere fundamentele rechten en gerechtvaardigde belangen waarbij ook oog is voor de praktijk waarin de regels moeten worden toegepast. Alleen op die manier kan Nederland, en in het verlengde daarvan Europa, haar strategische positie uitbouwen en verstevigen op terreinen als Artificiële Intelligentie (AI). Dit laatste is nodig om minder afhankelijk te zijn van andere landen.
In dit kader baart de meermaals restrictieve uitleg van de AVG door de toezichthouder dan ook zorgen2. Er is sprake van een disbalans tussen de privacy en andere maatschappelijke belangen in de uitleg van de AVG. We zijn dan ook voorstander van het scheppen van duidelijkheid in wet- en regelgeving. Denk aan een wettelijke grondslag voor cross-sectorale gegevensdeling voor het met voldoende waarborgen omkleed voorkomen en bestrijden van fraude. Alsook een wettelijke grondslag voor het verwerken van bijzondere categorieën van persoonsgegevens om discriminatie in (algoritmische) systemen te voorkomen3.
Kennis van de praktijk en brede visie
Het is dan ook van groot belang dat de toezichthouder kennis heeft van de uiteenlopende manieren waarop persoonsgegevens verwerkt worden, bijvoorbeeld in AI-systemen, maar ook andere nieuwe en bestaande technologieën en diensten. In ieder geval moet deskundig personeel behouden blijven en nieuw personeel (inclusief de voorzitter) moet beschikken over de kennis van technologieën, kennis van de praktische toepassing van privacyregels en bereid zijn met een open vizier de maatschappij te betrekken bij het ontwikkelen van nieuw beleid.
We bepleiten in dit verband meer aandacht en inzet om het mkb te helpen bij de toepassing van de ingewikkelde privacyregels (een eerder door ons gesignaleerd knelpunt; de AVG staat stipt op nummer 1 qua regeldruk4) en om de jarenlange achterstanden bij vergunning- en goedkeuringsprocedures in te lopen. Er gelden nu achterstanden van jaren, in sommige gevallen zelfs van 5 jaar. Dit is onwerkbaar. Meer budget alleen is niet voldoende.
Stevige positie FG
Het is tijd dat de positie van functionarissen gegevensbescherming (FG) wordt verstevigd in Nederland. We moeten toe naar een volwassen toezichtsysteem, zoals de AVG bedoeld is. Meer concreet vragen we om een kwaliteitsborging van functionarissen gegevensbescherming. Hierbij valt te denken aan een landelijk kwaliteitssysteem. Hiermee sluiten we aan bij een van de conclusies van de evaluatie van Tobias van Gent waarin hij knelpunten van de AVG in Nederland in kaart heeft gebracht5. Hierin stelt hij terecht dat het goed is te realiseren dat toezicht en handhaving primair zijn belegd bij de FG6. We onderschrijven dat. Het is immers de FG die bij uitstek de vertaalslag kan maken van de generieke privacy verplichtingen naar de specifieke toepassing op organisatieniveau. Het verstevigen van de FG zal de toezichthouder ontzien.
Ontlasting van de AP kan ook bereikt worden door het bevorderen van gedragscodes en certificeringsmechanismes, inclusief klachtenafhandelingssystemen voor het afhandelen van individuele (sectorspecifieke) klachten. Gedragscodes kunnen een vlucht nemen als het instellen van een kosten slurpende geaccrediteerde toezichthouder voor elke afzonderlijke gedragscode niet langer verplicht zou worden.
Op deze manier kan de AP zich toeleggen op het onderzoeken en aanpakken van grootschalige misstanden en op haar systeemtoezichtstaken, zoals BCRs, gedragscodes en certificeringen, verlenen van vergunningen en ontheffingen en het geven van voorlichting.
Risicogedreven aanpak
In zijn rapportage stelt Tobias van Gent tevens dat de AVG verplicht tot een risicogedreven aanpak. Een aanpak waarbij de beoordeling of en in hoeverre een gegevensverwerking risicovol is, moet plaatsvinden op basis van objectieve reële factoren. We onderschrijven dit volledig. Het moet ook gaan om het wegnemen en beperken van feitelijke risico’s bij internationale datadoorgifte. Het is van groot belang dat dit standpunt op Europees niveau breed wordt gedragen. Gebeurt dit niet dan wordt een uitsluitend op politiek niveau op te lossen probleem (overheidstoegang tot data), op het bord van het bedrijfsleven gelegd. Deze zullen niet in staat zijn een oplossing te bieden, hoe graag ze ook willen.
Met vriendelijke groet,
Guusje Dolsma
Plaatsvervangend directeur Beleid
1 Zie ook het Panteia rapport Differentiatie regelgeving MKB, Onderzoek in het kader van de motie-Aartsen, d.d. 28 september 2020, p. 29-35.
2 Zie pagina’s 10-11 van het verslag van Tobias van Gent "Twee jaar toepassing van de AVG".
3 Brief van Ministerie van Justitie en Veiligheid aan de Tweede Kamer van 4 december 2020 met een reactie op mededelingen Europese Commissie over de AVG, p. 3, onderste alinea.
4 Zie het Panteia rapport 'Differentiatie regelgeving MKB', Onderzoek in het kader van de motie-Aartsen, d.d. 28 september 2020, p. 23-27.
5 "Twee jaar toepassing van de AVG". Dit verslag is op 15 januari van dit jaar (2021) aan de vaste Tweede Kamer commissies voor Justitie en Veiligheid en van Europese Zaken gepresenteerd.
6 Artikel 37-39 AVG.