De toekomst van de AVG – wijziging in de marge of in de kern?
Zeven jaar AVG
De Algemene verordening gegevensbescherming (AVG) wordt deze maand zeven jaar oud – sinds 25 mei 2018 moeten overheden, bedrijven en zelfs particulieren voldoen aan de regels die onze persoonsgegevens beschermen. De AVG heeft grote gevolgen gehad voor betrokken partijen, die van alles in gang moesten zetten om aan de regels te voldoen, zoals verwerkingen in kaart brengen, privacy statements opstellen, toestemming vragen, en verwerkersovereenkomsten sluiten. Hoewel de AVG een belangrijk doel dient – de privacybescherming van betrokkenen – wordt de regeldruk vaak als hoog ervaren. Dit heeft ook te maken met de vaak vage normen en verschillende regels en interpretaties in de lidstaten.
Europese commissie: beperking van regeldruk voor kleine ondernemingen
De Europese Commissie overweegt om de AVG, samen met andere digitale regels, te versimpelen om kleinere ondernemingen te ontzien. Dit is te lezen in een document van de Europese Commissie van begin dit jaar en is vervolgens bevestigd in een interview met Eurocommissaris Michael McGrath. De versimpeling is onderdeel van een breder plan van de Commissie om regelgeving te verbeteren. Dit wordt gedaan via zogeheten omnibuspakketten, die een hele reeks samenhangende regelgeving in een keer aanpassen. Op die manier kunnen de regels beter op elkaar aansluiten en versimpeld worden. Ook de AVG zal aan bod komen in een toekomstig omnibuspakket. Volgens een Commissie-ambtenaar komt de aankondiging al in mei of juni 2025.
McGrath heeft het over versimpelen van “record keeping” voor kleine en middelgrote bedrijven. Het gaat dan om bedrijven met minder dan 500 werknemers. Volgens McGrath blijven de basisprincipes van de AVG echter overeind. Verschillende regels van de AVG kunnen onder de term “record keeping” vallen. Hierbij valt te denken aan de verplichting om een register van verwerkingsactiviteiten bij te houden, een verplichting die voor vrijwel elke onderneming geldt. Voor kleine ondernemingen, zeker degenen die veel met persoonsgegevens doen en door de opstartende fase nog veel wijzigingen doorlopen, kan deze verplichting een grote last zijn. Daarnaast kunnen Data Protection Impact Assessments (DPIA’s), die uitgevoerd moeten worden bij risicovolle verwerkingen, als grote last worden ervaren. Overigens heeft de Europese privacytoezichthouder aangegeven dat de DPIA-verplichting voor kleinere ondernemingen moet blijven bestaan, omdat ook kleine ondernemingen hoog risico verwerkingen kunnen uitvoeren. Het past bij een risicogebaseerde aanpak om in dat geval wel een DPIA uit te voeren.
Hoewel het gaat om welkome wijzigingen voor kleinere ondernemingen, lijken de kernverplichtingen van de AVG- te blijven staan: voor elke verwerking is nog steeds een grondslag nodig, gegevens mogen alleen worden verwerkt voor een specifiek doeleinde en het uitgangspunt blijft dat zo min mogelijk gegevens voor een zo kort mogelijke duur worden verwerkt.
Europarlementariër Axel Voss: de AVG rigoureus herzien
Europarlementariër Axel Voss meent dat de AVG veel verder op de schop moet. Volgens Voss vormt de AVG een blokkade voor de innovatie die nodig is om Europa weer mee te laten concurreren. De strenge regels van de AVG, verschillen in interpretatie en inconsistente handhaving zorgen ervoor dat het verwerken en delen van persoonsgegevens een administratieve nachtmerrie is geworden. Ook hij meent dat kleinere ondernemingen moeten worden ontzien van bepaalde verplichtingen, maar hij gaat nog een stap verder. Volgens Voss moet het hebben van absolute controle over persoonsgegevens door betrokkenen niet het uitgangspunt zijn, maar moeten we naar verantwoordelijk gebruik van persoonsgegevens toe. Hij lijkt hiermee te bedoelen dat het uitgangspunt moet zijn dat persoonsgegevens wel verwerkt mogen worden. Mogelijk vindt hij dat het beginsel van dataminimalisatie en het recht van betrokkenen op verwijdering van gegevens beperkt moet worden.
Of het zover gaat komen is nog maar de vraag. De Europese Commissie lijkt op het pad van de beperktere wijziging. Bovendien zou het openstellen van de AVG voor grotere wijzigingen ongewenste invloed kunnen toelaten. Het wetgevingstraject van de AVG is berucht door de sterke lobby van big tech bedrijven, die juist zoveel mogelijk ruimte zoeken om persoonsgegevens te verwerken. Mogelijk wil de Europese wetgever dat traject niet nog eens doorlopen.
Procedureverordening AVG
Ondertussen werkt de Europese Unie ook aan een nieuwe verordening, die grensoverschrijdende handhaving moet stroomlijnen: de Procedureverordening AVG. Deze verordening bevat onder meer regels over de ontvankelijkheid van klachten, de positie van de verwerkingsverantwoordelijke/verwerker en de wijze waarop verschillende betrokken toezichthouders samenwerken. De verordening moet de rechtspositie van de verschillende betrokken partijen verduidelijken en rechtszekerheid bieden.
Het voorstel van de Commissie is op 4 juli 2023 gepubliceerd. Inmiddels hebben het Europees Parlement en de Raad gereageerd. Discussie tussen de drie partijen in de zogeheten trilogen moet tot een uniform voorstel komen, dat vervolgens wordt aangenomen en kort daarna inwerking treedt. Privacyvoorvechter Max Schrems is kritisch op het huidige voorstel, omdat het procedures juist zou compliceren.
Verzamelwet gegevensbescherming
De Nederlandse wetgever werkt tegelijkertijd aan de Verzamelwet gegevensbescherming, die met name de Uitvoeringswet AVG (UAVG) moet wijzigen. Het huidige voorstel houdt onder meer het volgende in:
- Minderjarige betrokkenen krijgen meer zelfstandige rechten, onafhankelijk van de wettelijke vertegenwoordiger, zoals het intrekken van toestemming;
- De regels over het verwerken van biometrische persoonsgegevens, zoals bij vingerafdrukscanners en gezichtsherkenning, worden verduidelijkt, door het doel waarvoor deze gegevens mogen worden verwerkt te beschrijven; en
- Regels over het verwerken van medische dossiers worden verduidelijkt, onder meer door geen toestemming meer te vereisen voor de overdracht van dossiers wanneer een hulpverlener failliet gaat of stopt. In dat geval kan het dossier aan een andere instantie worden overgedragen, zodat het dossier goed bewaard blijft.
Het wetsvoorstel is op 15 april 2025 in de Tweede Kamer behandeld. Tijdens die behandeling zijn nog tal van andere onderwerpen naar voren gekomen, waaronder het tegengaan van discriminatie, het publiceren van boetes door de Autoriteit Persoonsgegevens en de regeldruk die de AVG veroorzaakt. Het is nu wachten op de verdere behandeling in de Tweede Kamer.
2025 belooft weer een interessant jaar te worden voor het privacyrecht. Houd ons vooral in de gaten voor updates en neem contact op bij vragen.