News
NL

WODC: Rapport Bescherming gegeven Evaluatie UAVG meldplicht datalekken en de boetebevoegdheid

News
Jun 30, 2022 Source

Content

Onderzoek voor het WODC
Bescherming gegeven? Evaluatie UAVG,
meldplicht datalekken en de boetebe-
voegdheid
Groningen, juni 2022

Colofon

Pro Facto
Ossenmarkt 5
9712 NZ Groningen
www.pro-facto.nl
info@pro-facto.nl
050-3139853

Auteurs

Heinrich Winter, Thijs Drouen, Marlies van Eck, Lisanne Kramer, Bieuwe
Geertsema, Jeanne Cazemier, Chantal Ridderbos-Hovingh
Opdrachtgever WODC
Datum Juni 2022
Status DEFINITIEF

Dit onderzoek is – in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecen-
trum – uitgevoerd door Pro Facto, bureau voor bestuurskundig en juridisch onderzoek, ad-
vies en onderwijs en Hooghiemstra & Partners, strategisch en juridisch adviesbureau op het
raakvlak van data en recht.

Begeleidingscommissie:
Prof.dr.mr. Gerrit-Jan Zwenne (voorzitter; Universiteit Leiden)
Dr. Jef Ausloos (UvA)
Mr. Paul Breitbarth (Catawiki)
Mr. Taetske van der Reijt (DWJZ, JenV)
Dr. Leontien van der Knaap (WODC)

Voor de inhoud van het rapport zijn de onderzoekers verantwoordelijk. Het leveren van een bijdrage
(als medewerker van een organisatie of als lid van de begeleidingscommissie) betekent niet automa-
tisch dat de betrokkene instemt met de gehele inhoud van het rapport. Dat geldt eveneens voor het
ministerie van Justitie en Veiligheid en zijn minister.

© 2022 Pro Facto. Auteursrechten voorbehouden.

BESCHERMING GEGEVEN? EVALUATIE UAVG, MELDPLICHT DATALEKKEN EN DE BOETEBEVOEGDHEID
1

Inhoud
Veelgebruikte afkortingen 4
Samenvatting 5
Summary 12
1 Inleiding 18
1.1 Aanleiding 18
1.2 Vraagstelling 19
1.3 Aanpak 20
1.4 Afbakening/begrenzing 23
1.5 Leeswijzer 23
2 Juridisch kader 24
2.1 Inleiding 24
2.2 Totstandkoming AVG 24
2.3 Hoofdlijnen AVG en verhouding AVG en UAVG 26
2.3.1 Hoofdlijnen AVG 26
2.3.2 Verhouding AVG en UAVG 27
2.4 Hoofdlijnen UAVG 28
2.5 Verzamelwet Gegevensbescherming 33
2.6 Wijziging Wbp: meldplicht datalekken en bestuurlijke boete 35
2.6.1 Meldplicht datalekken 35
2.6.2 Bestuurlijke boete 37
3 Jurisprudentieonderzoek 40
3.1 Inleiding 40
3.2 Toetsing aan de UAVG 40
3.3 Rechtsbescherming 42
3.3.1 Bestuursrecht 42
3.3.2 Civiel recht 43
3.4 Laagdrempelige rechtsbescherming? 44
3.4.1 Bestuursrecht 44
3.4.2 Civiel recht 45
3.5 Conclusie 47

BESCHERMING GEGEVEN? EVALUATIE UAVG, MELDPLICHT DATALEKKEN EN DE BOETEBEVOEGDHEID
2

4 Vragenlijstonderzoek en interviews: FG’s aan het woord 49
4.1 Inleiding 49
4.2 Beeld van de respondenten 50
4.3 Rol van de FG als aanspreekpunt voor de AP 53
4.4 Duidelijkheid van normen in de UAVG 54
4.5 Meldplicht datalekken 57
4.6 Toezicht van de AP op naleving van de UAVG 61
4.7 Interventies door de AP 64
4.8 Conclusie: de belangrijkste bevindingen 65
5 De meldplicht datalekken en de bestuurlijke boete in de praktijk 67
5.1 Inleiding 67
5.2 Casestudy’s 68
5.2.1 Uber 68
5.2.2 GGD GHOR NL 72
5.2.3 Belastingdienst 75
5.2.4 VoetbalTV 78
5.2.5 BKR 82
5.3 Kenbaarheid toezichts- en handhavingsbeleid 86
5.4 De werking van de meldplicht datalekken en de boetebevoegdheid 87
5.4.1 Meldplicht datalekken 87
5.4.2 De boetebevoegdheid en de toepassing van open normen 90
6 Het functioneren van de UAVG 94
6.1 Inleiding 94
6.2 Het stelsel van de AVG en UAVG en de duidelijkheid van normen 94
6.2.1 Algemeen 94
6.2.2 Biometrische gegevens 99
6.2.3 Strafrechtelijke gegevens 103
6.3 De Gedragscode gezondheidsonderzoek 109
6.3.1 Schets van de situatie 109
6.3.2 Totstandkoming 110
6.3.3 Inhoud 111
6.3.4 Analyse 112
6.4 Uitvoerbaarheid van de normen in de UAVG 113
6.4.1 Algemeen 113
6.4.2 Medisch wetenschappelijk onderzoek 114
6.5 Geautomatiseerde besluitvorming 115
6.6 Kinderen 120
6.7 Handhaafbaarheid van de normen in de UAVG 121
7 Conclusies en aanbevelingen 123

BESCHERMING GEGEVEN? EVALUATIE UAVG, MELDPLICHT DATALEKKEN EN DE BOETEBEVOEGDHEID
3

7.1 Inleiding 123
7.2 Conclusies en aanbevelingen 123
7.3 Beantwoording onderzoeksvragen 127
7.4 Slotbeschouwing 129
Bijlage 1: Geraadpleegde bronnen 131
Bijlage 2: Gesprekspartners 142
Bijlage 3: Voorstel aanpassingen Verzamelwet 144

BESCHERMING GEGEVEN? EVALUATIE UAVG, MELDPLICHT DATALEKKEN EN DE BOETEBEVOEGDHEID
4

Veelgebruikte afkortingen

ABRvS Afdeling bestuursrechtspraak van de Raad van State
ACM Autoriteit Consument & Markt
A-G Advocaat-generaal
AP Autoriteit Persoonsgegevens
AVG Algemene Verordening Gegevensbescherming
Awb Algemene wet bestuursrecht
BSN Burgerservicenummer
BW Burgerlijk Wetboek
Cbp College bescherming persoonsgegevens
EDPB European Data Protection Board
EHRM Europese Hof voor de Rechten van de Mens
FG Functionaris voor Gegevensbescherming
HVJ-EU Hof van Justitie van de Europese Unie
NGFG Nederlands Genootschap van Functionarissen voor de Gegevensbescherming
UAVG Uitvoeringswet Algemene Verordening Gegevensbescherming
Wbp Wet bescherming persoonsgegevens
Wft Wet op het financieel toezicht
WGBO Wet geneeskundige behandelingsovereenkomst
Woo Wet open overheid
WP29 Artikel 29-werkgroep (article 29 Working Party)
Wpr Wet persoonsregistraties
Wwft Wet ter voorkoming van witwassen en financieren van terrorisme

BESCHERMING GEGEVEN? EVALUATIE UAVG, MELDPLICHT DATALEKKEN EN DE BOETEBEVOEGDHEID
5

Samenvatting
Inleiding
De Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) is op 25 mei 2018 in
werking getreden. Volgens artikel 50 UAVG zendt de minister binnen drie jaar een verslag aan
de Staten-Generaal over de effecten en de uitvoering in de praktijk van de UAVG. Deze evalu-
atie richt zich daarmee op beide elementen: hoe verloopt de uitvoering en wat zijn de effecten
van de wet?

De UAVG en de Algemene verordening gegevensbescherming (AVG) vervangen Richtlijn
95/46/EG en de Wet bescherming persoonsgegevens (Wbp). De Nederlandse wetgever heeft
ervoor gekozen in de UAVG – daar waar de verordening ruimte laat voor nationale keuzes, of
met het oog op een nadere invulling van regels – voort te bouwen op het normenkader uit
Richtlijn 95/46/EG en de Wbp. Voor het ontwikkelen van een nieuw kader zou volgens de me-
morie van toelichting de tijd ontbreken. Een ander argument voor zo klein mogelijke verschil-
len met de situatie van voor de AVG was de wens voor een soepele overgang van de oude naar
de nieuwe situatie.
1

De wetgever voorzag daarom in een evaluatie (neergelegd in artikel 50
UAVG) waarvan de uitkomsten gebruikt kunnen worden in een gesprek over de noodzaak van
wijziging van de wet. Daarmee is de reikwijdte van deze evaluatie gegeven.

Daarnaast betreft het onderzoek de vraag in welke mate de meldplicht datalekken wordt na-
geleefd en in hoeverre de boetebevoegdheid van de toezichthouder bijdraagt aan een doel-
matige en doeltreffende uitvoering en handhaving van de UAVG. Op 1 januari 2016 – terwijl
de AVG op het punt stond te worden vastgesteld – werd de Wbp uitgebreid met de meldplicht
datalekken en kreeg de toezichthouder, vanaf dat moment aangeduid als Autoriteit Persoons-
gegevens (AP), een bevoegdheid tot het opleggen van een bestuurlijke boete. Deze onderde-
len zijn aan de evaluatie toegevoegd naar aanleiding van de motie van de Kamerleden Schouw
en Segers uit 2015 waarin de regering wordt verzocht de Wet meldplicht datalekken en boe-
tebevoegdheid binnen vier jaar na inwerkingtreding te evalueren.
2
De boetebevoegdheid en
de meldplicht datalekken zijn op 25 mei 2016 in de AVG opgenomen; de AVG is vanaf 25 mei
2018 van toepassing.

1
Kamerstukken II, 2017/18, 34851, nr. 3, p. 4.
2
Kamerstukken II 2015/16, 33662, nr. 20.

BESCHERMING GEGEVEN? EVALUATIE UAVG, MELDPLICHT DATALEKKEN EN DE BOETEBEVOEGDHEID
6

De UAVG is de organisatiewet die de toezichthouder, de AP, instelt en die regels stelt over
haar inrichting (organen, onafhankelijkheid etc.) en haar taken en bevoegdheden. Verder sluit
de UAVG aan bij de Wbp op punten waarvoor de AVG ruimte biedt voor de nationale wetgever
om aan te vullen. Het is van belang vast te stellen dat het onderzoek naar de UAVG met nadruk
geen onderzoek is naar de AVG. Ook is het geen evaluatie van de toezichthouder. Voorzover
de UAVG fungeert als instellingswet voor de AP hebben we die bepalingen buiten beschou-
wing gelaten in het onderzoek. Dat is een belangrijk uitgangspunt, maar tegelijkertijd valt niet
te vermijden dat het functioneren van de UAVG raakt aan de AVG en dat de effectiviteit van
de bestuurlijke boete en van de meldplicht datalekken beïnvloed wordt door de manier
waarop de AP het toezicht en de handhaving uitoefent. Helemaal is dus niet te vermijden dat
het onderzoek daarmee ook de AVG en de AP raakt.

Deze evaluatie betreft daarmee:
I de werking van de UAVG; en
II de naleving en effectiviteit van de meldplicht datalekken en de toepassing en effecti-
viteit van de bestuurlijke boete.
Vraagstelling
De overkoepelende vraag die in het onderzoek centraal staat luidt als volgt:

Hoe werden in de periode 2018 - 2020 de normen van de UAVG nageleefd en in hoeverre
heeft de UAVG bijgedragen aan een doelmatige en doeltreffende uitvoering en handhaving
van de AVG?

Het onderzoek is uitgevoerd langs de lijnen van de volgende zestiental onderzoeksvragen.

  1. Hoe beoordelen juristen, de AP en verwerkers van persoonsgegevens de duidelijkheid
    en toegankelijkheid van de UAVG?
  2. In hoeverre worden de normen van de UAVG verduidelijkt door de AP en de jurispru-
    dentie?
  3. Welke informatie wordt op welk moment aan de verschillende doelgroepen gegeven
    en op welke manier? Wat is de rol van de AP hierbij?
  4. Hoe beoordelen juristen, de AP en verwerkers van persoonsgegevens de uitvoerbaar-
    heid van de UAVG?
  5. Hoe beoordelen juristen, de AP en verwerkers van persoonsgegevens de handhaaf-
    baarheid van de UAVG?
  6. Hoe leven verwerkers van persoonsgegevens de bepalingen van de UAVG na?
  7. In welke mate wordt de meldplich