De Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) van minister Dekker, die uitvoering moet geven aan de Algemene verordening gegevensbescherming (AVG) is woensdag bij de Tweede Kamer ingediend. De UAVG zal gelijktijdig met de AVG in werking treden op 25 mei 2018, waardoor op dat moment de huidige Wet bescherming persoonsgegevens (Wbp) zal worden ingetrokken. De UAVG is beleidsneutraal. Dat wil zeggen dat daar waar de verordening ruimte laat voor nationale keuzes, de bestaande regels die gelden op grond van de Wbp, zoveel mogelijk ongewijzigd worden overgenomen.
Een voorbeeld van deze beleidsneutrale implementatie is artikel 22 UAVG. Hier gaat het om de verwerking van bijzondere categorieën van persoonsgegevens zoals gegevens over geloof, gezondheid of etnische afkomst. Alle bestaande uitzonderingen uit de Wbp op het verbod van verwerking van deze gegevens zijn in artikel 22 UAVG overgenomen. Ook met betrekking tot de verwerking van de persoonsgegevens van kinderen op basis van toestemming, is gekozen voor de beleidsneutrale implementatie. De AVG laat ruimte over om deze leeftijd naar 13 jaar te verlagen, maar in de UAVG is ervoor gekozen deze op 16 jaar te houden.
Wat valt er nog meer op in de UAVG?
-Een ruimer toepassingsbereik dan de AVG. In artikel 3 UAVG is bepaald dat de wet ook van toepassing is op verwerkingen van persoonsgegevens die buiten de werkingssfeer van het Unierecht vallen, waardoor de werking van de AVG nog universeler wordt.
-De UAVG bevat een specifieke regeling voor de verwerking van biometrische gegevens. In artikel 29 UAVG is bepaald dat de verwerking van biometrische gegevens is toegestaan voor authenticatie en beveiligingsdoeleinden. Volgens de memorie van toelichting van de UAVG is deze bepaling opgenomen, omdat het afzien van een nationale uitzondering voor biometrische gegevens zou betekenen dat de bestaande ontwikkelingen in het gebruik van biometrie als identificatiemiddel sterk gehinderd zouden worden. Bestaande verwerkingen van biometrische gegevens, zoals bijvoorbeeld die in de relatie tussen werkgever en werknemer zouden hun rechtsgrondslag verliezen en dat is niet wenselijk.
-BSN. Verwerking van het Burger Service Nummer (BSN) blijft verboden, tenzij er sprake is van een grondslag op grond van de wet of een Algemene Maatregel van Bestuur.
-Profilering. In artikel 40 UAVG is bepaald dat het verbod om mensen te onderwerpen aan geautomatiseerde besluitvorming niet geldt als de wet dat verplicht stelt. Dat betekent dat de overheid geen risicoprofilering mag toepassen, tenzij er een expliciete wettelijke basis voor is.
Verder is in de UAVG ook het toezicht op de naleving van de verordening en de UAVG zelf neergelegd bij de Autoriteit Persoonsgegevens, die in de uitoefening van dat toezicht strikt onafhankelijk is. U kunt de volledige UAVG hier en de memorie van toelichting op de UAVG hier inzien.