Blog

Overheid en privacy, best ingewikkeld

Naar verluidt was het minister Opstelten die met een vooruitziende blik in Brussel voorstelde dat de boetes waarin de AVG als sanctie voorziet, niet zouden gelden voor overheden.

Bij deze meld ik een datalek, dat ik bovendien niet dichten kan: de Belastingdienst heeft van mijn BSN mijn BTW-nummer gemaakt en ik ben bij wet verplicht om dat BTW-nummer her en der te publiceren samen met mijn NAW-gegevens, veelal in combinatie met mijn IBAN.

Als de gemeente Amsterdam een dergelijke gegevenscombinatie per ongeluk – akkoord, drieduizendvoudig, maar toch – naar de verkeerde ontvanger verstuurt, moet die dat tenslotte ook melden bij de Autoriteit Persoonsgegevens (AP). Overheid en privacy, best ingewikkeld.

Deze meldplicht datalekken is de opmaat naar de Europese Algemene Verordening Gegevensbescherming (AVG) die nu al voor flink wat onrust zorgt binnen de burelen van de overheid. Niet in het minst omdat er iets tegennatuurlijks in zit: de verordening dwingt tot terughoudendheid met persoonsgegevens waar de efficiënte overheidsorganisatie het liefst zoveel mogelijk data verzamelt en combineert.
Het lijkt echter bijkans onmogelijk dat de overheid in mei 2018 volledig AVG-proof zal zijn. Bijvoorbeeld omdat de vereiste accountability – waar bevinden zich alle gegevens en wat gebeurt ermee – onhaalbaar is voor het gros van de gemeenten waar eindeloos veel kopieën van gegevensbestanden over evenzoveel afdelingen zwerven. Of omdat de noodzakelijke inhaalslag van de beveiliging blijft steken bij de halte ‘back-up en software-upgrade’. Of simpelweg omdat de bepalingen over de verwerking van persoonsgegevens in uiteenlopende wetten niet matchen! Niet alleen bij het inrichten van processen, maar ook bij het opstellen van wetten is ‘privacy by design’ een voorwaarde. Daarnaast wringt de strikte doelbinding – en daarmee de controleerbaarheid – die de verordening oplegt met de huidige praktijk van creatief hergebruik van big data. Denk bijvoorbeeld aan de Belastingdienst en de snelwegfoto’s.

Naar verluidt was het toenmalig minister Opstelten die met een vooruitziende blik in Brussel voorstelde dat de draconische boetes waarin de AVG als sanctie voorziet, niet zouden gelden voor overheden. Dat wist u niet? Lees er artikel 83, lid 7 van de AVG op na: ‘Het is aan de lidstaten om in regels vast te leggen of boetes kunnen worden opgelegd aan overheidsorganisaties.’ Onlangs publiceerde het ministerie van VenJ het voorontwerp van de Uitvoeringswet AVG. Daarin is de mogelijkheid voor het opleggen van boetes aan overheden niet opgenomen.

Zoals gezegd: overheid en privacy, best ingewikkeld!

  • PJ Westerhof | 18 januari 2017, 18:06

    Artikel 83, lid 7 van de AVG luidt toch iets anders, nl. : “Onverminderd de bevoegdheden tot het nemen van corrigerende maatregelen van de toezichthoudende autoriteiten overeenkomstig artikel 58, lid 2, kan elke lidstaat regels vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen.”
    Dat is dus in aanvulling op de boetebevoegdheid van art 58 lid 2 sub i AVG.

    Art. 14 en 18 + toelichting Voorontwerp /suggereren/ dat de sanctiebepalingen van art. 83 AVG onverminderd van toepassing zijn op overheids-instanties en -organen.
    Maar gelet op de formulering van art. 83 lid 7 AVG mag het Voorontwerp op dat punt wel wat explicieter. In ieder geval in de Toelichting.

  • Peter van Schelven | 19 januari 2017, 09:58

    De uitleg van Westerhof klopt niet.

    In artikel 83 lid 7 AVG staat dat – hoewel er alleen maar boetes aan overheidsorganen en -instanties mogen worden opgelegd als dat door een lidstaat zelf is geregeld – de nationale toezichthouder naar overheidsorganen en overheidsinstanties toe wel alle in artikel 58 lid 2 opgesomde bevoegdheden mag uitoefenen. Dus, de in artikel 58 lid 2 opgesomde bevoegdheden zijn er voor de Autoriteit Persoonsgegevens wel in reIatie tot overheden in ons land. In dat artikel 58 lid 2 vind je een hele reeks bevoegdheden, zoals het uitdelen van een waarschuwing (58.2.a), berispen (58.2.b), het opleggen van een verwerkingsverbod (58.2.f), intrekken van een certificering(art 58.2 sub h), opleggen van een opschorting tot export van persoonsgegevens (58.2 sub j).

    In deze opsomming van artikel 58 lid 2 komt onder i een regeltje voor over de geldboete. Maar dat regeltje is van een beperkte strekking. De tekst betreffende die bevoegdheid die aan de toezichthouder wordt gegeven luidt namelijk letterlijk: “i)   naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83.” Het venijn zit ‘m dus in deze vette, onderstreepte woorden. Er mogen volgens deze tekst alleen geldboetes worden opgelegd indien artikel 83 daar een grondslag voor biedt en het is nu juist zo dat artikel 83 die boete-bevoegdheid niet aan de toezichthouder geeft als overheidsorganen of overheidsinstanties de AVG overtreden. Immers, artikel 83 AVG legt dat laatste volledig bij de lidstaten zelf neer.

    In artikel 83 AVG is geen enkele grondslag te vinden voor een boetebevoegdheid naar overheden. Dat is ook logisch, want het zou anders zinloos zijn dat de AVG uitdrukkelijk bepaalt dat de lidstaten die boetebevoegdheid zelf moeten regelen.    

    De uitleg van Westerhof berust dus op een verkeerde lezing van art 58 lid 2 sub i.

    Het voorontwerp Uitvoeringswet AVG geeft die bevoegdheid ook niet. Dat valt nergens te lezen in de tekst van de voorgenomen wet en ook nergens in de toelichting.

  • P.J. Westerhof | 19 januari 2017, 23:08

    Niet helemaal.
    In de 1e alinea van mijn reactie corrigeer ik Lievense’s tekst.
    In de 2e alinea geef ik aan dat de tekst van het Voorontwerp onduidelijk is t.a.v. de boetebevoegdheid.
    Wellicht was ikzelf ook onduidelijk.

    Nergens in de AVG, óók niet in art. 83 AVG staat dat de AVG niet van toepassing zou zijn op organisaties belast met een overheidstaak. Zie ook overwegingen 8, 10 en 20 AVG welke organisaties betreffen belast met taken van openbaar belang of openbaar gezag. En art. 4 lid 7 AVG dat ook overheidsinstanties als ‘verwerkingsverantwoordelijke’ noemt.
    Echter, Overweging 150 AVG stelt “Het dient aan de lidstaten te zijn om te bepalen of en in hoeverre overheidsinstanties aan administratieve geldboeten moeten zijn onderworpen.”

    En dan wordt het interessant.

    Artikel 46 Voorontwerp bepaalt “De Wet bescherming persoonsgegevens wordt ingetrokken.” Het sanctieregime van de WBP wordt m.m. overgenomen in het Voorontwerp.
    Art. 2 lid 2 Voorontwerp bepaalt “Deze wet is niet van toepassing op verwerking van persoonsgegevens die is geregeld bij of krachtens de Wet basisregistratie personen.”
    Het sanctieregime van de Wbpr blijft dus gehandhaafd.
    De boetebevoegdheid van art 14 lid 2 jo. art. 18 Voorontwerp maakt geen voorbehoud t.a.v. overheidsinstanties.
    Als zodanig moet dus worden aangenomen dat art. 2 lid 2 en art. 14 lid jo. 18 Voorontwerp nadere invullingen zijn van art. 83 lid 7 AVG.
    Daarnaast stelt par. 3.1.2 van de toelichting op het Voorontwerp “Voor wat betreft de bestuurlijke boete op basis van de verordening, geldt dat titel 5.4 van de Awb van toepassing is, tenzij de verordening aan toepassing van enige bepaling in de weg staat.”

    Een eigen paragraaf in het Voorwerp t.a.v. sancties zou mijns inziens niet misstaan.
    Maar ik geef toe dat ik geen specialist ben op dit gebied.
    Dus ik laat mijn lezing graag voor een betere.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren