Kamerbrief minister Dekker | Eerste ervaringen met de UAVG

Tijdens de behandeling van het voorstel voor de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) heb ik uw Kamer toegezegd direct na afronding van dit wetsvoorstel de mogelijkheden te verkennen voor verdere modernisering en verbetering van het gegevensbeschermingsrecht.[1] In lijn met deze toezegging heb ik toen ook de motie Koopmans c.s. overgenomen, waarin de regering wordt verzocht de ervaringen met betrekking tot de UAVG te inventariseren en in het licht daarvan zo nodig maatregelen te treffen.[2] In het licht van deze toezegging en deze motie zijn in het afgelopen half jaar de eerste ervaringen met de UAVG geïnventariseerd. In deze brief informeer ik u mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties over het resultaat van deze inventarisatie. Ik richt mij daarbij op de punten die in de motie-Koopmans c.s. zijn genoemd.

De uitgevoerde inventarisatie[3] geeft op hoofdlijnen het volgende beeld: 

1. Over de uitleg van de AVG en UAVG leven velerlei vragen. Er is en blijft daarom behoefte aan goede voorlichting. Deze behoefte zien we vooral bij kleinere maatschappelijke organisaties, zoals vrijwilligersverenigingen, sportverenigingen en kerkgenootschappen. Uit de inventarisatie leid ik evenwel ook af dat in deze behoefte over het algemeen al in voldoende mate wordt voorzien door voorlichtingsactiviteiten van de Autoriteit persoonsgegevens (AP), van koepelorganisaties of van een voorziening als de AVG-helpdesk Zorg, Welzijn en Sport van het ministerie van VWS.[4]
2.  Er zijn punten van zorg over de ruimte voor gegevensverwerking. Er is evenwel vaak meer ruimte dan wordt aangenomen. Zo wordt soms verondersteld dat het niet meer mogelijk is kerkdiensten via radio of televisie uit te zenden, terwijl dat zeer wel mogelijk is en blijft, mits aan bepaalde voorwaarden wordt voldaan en passende waarborgen zijn getroffen.[5] Hetzelfde geldt met betrekking tot het publiceren van foto’s op websites van sportclubs. Een ander voorbeeld is dat, anders dan lijkt te worden verondersteld, de AVG geen nieuwe beperkingen aan het gebruik van persoonsgegevens voor journalistieke doeleinden oplegt ten opzichte van wat onder de Wet bescherming persoonsgegevens (Wbp) gold.
   
3. Er zijn klachten over de toename van de administratieve lasten. Zo wordt gewezen op het vereiste dat een verleende toestemming om persoonsgegevens te verwerken, moet worden vastgelegd. Dit vereiste is eigenlijk niet echt nieuw: ook onder de Wbp moest men in beginsel al kunnen aantonen dat men toestemming had verkregen om iemands persoonsgegevens te verwerken. In zo’n geval lijkt er sprake van achterstallig onderhoud, hetgeen de zorg over de administratieve lasten relativeert. Daar komt bij dat in sommige gevallen toestemming ook periodiek, bijvoorbeeld één keer per jaar kan worden gevraagd, zoals bij publicatie van foto’s door sportclubs, of is publicatie op een afgeschermde website een oplossing. Wel echt nieuw is de registerplicht, waarover ook zorgen zijn geuit. Gelet op de signalen die het kabinet heeft ontvangen over de lasten van de registerplicht die door kleine ondernemingen en kleine maatschappelijke organisaties in de praktijk zijn ervaren, zal het kabinet in overleg met de betrokken koepelorganisaties bezien wat deze signalen voor de evaluatie van de AVG zullen kunnen betekenen. Deze evaluatie moet uiterlijk 25 mei 2020 zijn afgerond.
   
4. Er is behoefte aan meer duidelijkheid of men in specifieke gevallen de (U)AVG goed naleeft. Met het oog daarop kunnen organisaties binnen eenzelfde branche of sector gezamenlijk een gedragscode opstellen en die laten goedkeuren door de AP. De website van de AP bevat instructies over hoe zo’n gedragscode moet worden opgesteld.[6] Daarnaast kan een AVG-certificaat worden aangevraagd, zodra er een hiertoe door de Raad voor Accreditatie geaccrediteerde certificatie-instelling is. Andere punten van zorg die men eveneens op eigen initiatief kan wegnemen, betreffen bijvoorbeeld de veiligheid van de opslag van persoonsgegevens (mogelijke oplossing: opslag in een cloud) en de (on)mogelijkheden om cross-sectoraal strafrechtelijke gegevens uit te wisselen ten behoeve van fraudebestrijding (mogelijke oplossing: vergunningaanvraag bij de AP).
   
5. Tot slot is er een punt dat volgens sommigen lijkt te knellen, zonder wijziging van de UAVG niet is op te lossen, maar eerst nog nadere studie vergt. Dit betreft de leeftijdsgrens van 16 jaar voor kinderen om in een online-omgeving rechtsgeldig toestemming te geven voor het gebruik van hun persoonsgegevens. Bij de internetconsultatie van de UAVG en in de aanloop naar de parlementaire behandeling van de UAVG was er discussie over devraag of deze leeftijdsgrens lager zou moeten zijn. Het gaat hier evenwel om een breed maatschappelijk vraagstuk dat nog nadere studie vergt. De Universiteit Leiden rondt medio 2019 een onderzoek af dat behulpzaam kan zijn bij het beantwoorden van die vraag. Ook zal nog een aantal stakeholders over deze vraag worden geconsulteerd. Een goed antwoord valt dan ook niet eerder te geven dan rond het zomerreces.
   

Al met al komt uit de inventarisatie het beeld naar voren dat er sowieso een sterke behoefte bestaat en voorlopig blijft bestaan aan voorlichting en uitleg. Daarnaast blijkt dat sommige knelpunten ook door voorlichting zijn op te lossen, bijvoorbeeld de gevallen waarin er meer ruimte is dan wordt verondersteld. Ook zijn er knelpunten opgevoerd die betrekking hebben op sectorale wetgeving en die niet gerelateerd zijn aan de invoering van de AVG en de UAVG als zodanig. Voor deze knelpunten die al onder het regiem van de Wbp bestonden, wordt nu opnieuw aandacht gevraagd. Dergelijke punten heb ik onder de aandacht gebracht van de collega bewindspersoon die het aangaat. Weer andere punten dienen te worden meegenomen met de evaluatie van de AVG zelf en daarnaast zijn er ook punten waar eigen initiatief kan helpen. Tot slot is er een enkel punt uit de motie dat nog nadere studie vergt.

Uit de inventarisatie blijkt ook dat de komst van de AVG en de UAVG tot veel aandacht voor de bescherming van persoonsgegevens heeft geleid. Ik juich dit toe. Verder wijs ik er graag op dat het hier nieuwe wetgeving betreft waarvan de invoering nu eenmaal tijd en energie kost en waaraan men nog verder moet wennen. Tegelijkertijd besef ik dat de uitwerking van de AVG en de UAVG in de verschillende sectoren van de samenleving de aandacht van het kabinet moet blijven houden. Dit is ook relevant met het oog op de verplichte evaluatie van de AVG en de UAVG, die uiterlijk 25 mei 2020, respectievelijk 25 mei 2021 moet zijn afgerond. In dit licht is van belang dat deze eerste inventarisatie, zoals eerder vermeld, uitsluitend de punten uit de motie Koopmans c.s. betreft. Ik blijf dan ook in gesprek met alle partijen om te bezien of praktijkervaringen aanleiding geven het gegevensbeschermingsrecht te verbeteren. Rond de zomer zal ik u informeren over de punten die verder nog onder mijn aandacht zijn gebracht.[7] Bij die gelegenheid zal ik u ook berichten op welke punten een wijziging van de UAVG zal worden voorbereid. Ook zal daarbij aandacht besteed worden aan de eventuele reacties op deze brief.

De Minister voor Rechtsbescherming,
Sander Dekker

In deze bijlage worden de ervaringen met de (U)AVG beschreven die zijn opgedaan met de verschillende aspecten, zoals genoemd in de motie Koopmans c.s. Aan het eind wordt ook ingegaan op de rol van het Hof van Justitie van de Europese Unie en de toepasselijkheid van het Europese Handvest van de grondrechten op die terreinen waarop de AVG van overeenkomstige toepassing wordt verklaard in de UAVG.

Vrijwilligersverenigingen en sportverenigingen

Inleiding
Over de ervaringen van kleine organisaties als vrijwilligersverenigingen is navraag gedaan bij de Vereniging Nederlandse Organisaties Vrijwilligerswerk (NOV), de belangenorganisatie binnen het vrijwilligerswerk in Nederland. Bij NOV zijn 370 (koepel)organisaties aangesloten. De NOV heeft in aanloop naar de inwerkingtreding van de AVG een stappenplan voor de implementatie daarvan en voorbeelden beschikbaar gesteld op haar webportaal. Op dat portaal kunnen ook vragen worden gesteld. Daarnaast is er voorlichting gegeven en zijn er trainingen geweest.

Voor de sportverenigingen is in oktober 2018 door NOC*NSF online een vragenlijst uitgezet binnen het panel van de Sportaanbiedersmonitor. Daarnaast is de vragenlijst verspreid via de sociale media van NOC*NSF, via een nieuwsbrief en via verschillende bonden naar hun verenigingen. NOC*NSF en de daarbij aangesloten sportbonden hebben in aanloop naar de inwerkingtreding van de AVG de sportverenigingen geholpen door in samenwerking met de Stichting AVG[8] een stappenplan AVG voor de sport te ontwikkelen. In het Stappenplan als ook via de websites van diverse sportbonden en via www.sport.nl/voorclubs zijn verschillende voorbeelddocumenten te downloaden door verenigingen. Denk aan een voorbeeld van een geheimhoudingsverklaring, privacy statement, etc. Daarnaast is ook een Q&A-document te vinden waarin de belangrijkste vragen zijn beantwoord. Voorts is via de websites van sportbonden en via www.sport.nl/voorclubs in de vorm van diverse artikelen op meerdere momenten de aandacht gevestigd op de invoering van de AVG en de impact daarvan op sportverenigingen.[9] Daarnaast zijn overal in het land diverse themabijeenkomsten over de AVG georganiseerd. Dit gebeurde veelal in opdracht van gemeenten.

Beeld NOV
Het algemene beeld dat de NOV schetst is dat ook nu – een half jaar na inwerkingtreding van de AVG – er behoefte blijft aan goede toegankelijke en vooral praktische informatie over de AVG. Waar het verenigingen vaak wel lukt om hun privacybeleid op poten te zetten, zitten de knelpunten meestal in de praktische uitvoering daarvan. Het beeld is dat verenigingen het liefst eenstempel “goed gekeurd” op hun privacybeleid zouden krijgen. Een oplossing zou kunnen zijn dat verenigingen met een min of meer vergelijkbare functie gezamenlijk gedragscodes gaan opstellen en die laten goedkeuren door de AP. Daarnaast kan een AVG-certificaat worden aangevraagd, zodra er een hiertoe geaccrediteerde certificatie-instelling is. Hiermee kunnen verenigingen aantonen volgens de regels van de AVG te werken.

Een knelpunt in de praktische uitvoering – met name bij kleinere organisaties – is de fysieke opslag van persoonsgegevens. Vaak staan de bestanden bij bestuursleden op eigen computers en vindt uitwisseling van bestanden plaats via onbeveiligde e-mail. Dit is op te lossen door opslag van bestanden in een cloud.

Ook leven er verschillende vraagstukken rondom het bewaren van persoonsgegevens. Dit speelt met name bij bijzondere persoonsgegevens en gegevens van strafrechtelijke aard. Het liefst bewaren verenigingen gegevens voor langere tijd, maar dat is vaak niet noodzakelijk en daarmee niet conform de AVG. Daarnaast leidt het tot bestanden met verouderde gegevens. NOV raadt de verenigingen aan om dit soort gegevens niet of slechts kort te bewaren voor de tijd dat het nodig is (zoals medische gegevens bij een zomerkamp).

Met betrekking tot bewaartermijnen biedt de AVG geen nieuwe regeling ten opzichte van het oude gegevensbeschermingsrecht. Dit geldt ook voor het vragen van toestemming. Dit vereiste wordt nogal eens als belemmerend ervaren om beeldmateriaal te publiceren. Het betreft onder meer het publiceren van foto’s van evenementen en van een smoelenboek. Het lijkt erop dat de AVG hier vooral heeft geleid tot bewustwording, met name voor de gevallen dat beeldmateriaal wordt aangemerkt als bijzonder persoonsgegeven. Met goede voorlichting via de ‘AVG-Helpdesk voor Zorg, Welzijn en Sport’[10] en door de AP kan duidelijk worden gemaakt hoe het best met het publiceren van beeldmateriaal kan worden omgegaan.

Beeld NOC*NSF
Het algemene beeld uit de monitor van NOC*NSF is dat het overgrote deel van de verenigingen actief aan de slag is gegaan met de implementatie van de AVG en hiervoor ook over voldoende informatie beschikt. Ruim 39% van de ondervraagde verenigingen heeft bij de implementatie geen knelpunten ervaren. 61% van de verengingen heeft wel knelpunten ervaren, waarbij 5% van de verenigingen aangeeft hulp nodig te hebben. Kleine verenigingen (0-100 leden) ervaren het minst knelpunten.

Ook bij sportverenigingen worden de administratieve lasten en het niet hebben van voldoende informatie als grootste knelpunten ervaren. De meest genoemde oplossingen zijn een centrale AVG-helpdesk (56%) en ondersteuning vanuit desportbond (46%). Andere genoemde oplossingen hebben grotendeels betrekking op het aanpassen van de AVG zelf (29%), bijvoorbeeld met het maken van uitzonderingen op de AVG voor sportorganisaties. Voor informatie kunnen sportverenigingen terecht bij de AVG-helpdesk, maar voor de administratieve verplichtingen (toestemmingenregistratie en register van verwerkingen) die voortvloeien uit de AVG hebben verenigingen een eigen verantwoordelijkheid.

Gezondheidsgegevens (14%) en gegevens gerelateerd aan topsport (11%) worden door een minderheid van de ondervraagde verenigingen geregistreerd. Bij leden met een beperking worden gezondheidsgegevens vaker geregistreerd (13,6%) dan bij de overige leden (7,0%). Minder dan 3% van de ondervraagden ervaart het verwerken van gezondheidsgegevens als een knelpunt. Deze ondervraagden zien ook hier de bijkomende administratie als grootste knelpunt. Ook geven verenigingen hier aan dat ze nog niet precies weten wat ze moeten doen.

Met betrekking tot de informatievoorziening wordt door de ondervraagde verenigingen de sportbond het vaakst genoemd als informatieverschaffer rondom de AVG (69%). De informatievoorziening door de AP wordt door 46% van de respondenten als goed ervaren en door 3% als zeer goed. Een kleine 40% is daarover neutraal. De hulp van de AVG-helpdesk en de sportbonden wordt gewaardeerd, maar verenigingen blijven twijfelen in hoeverre zij nu werkelijk duurzaam AVG-proof zijn. Een meerderheid van de sportverenigingen (58%) is bekend met, en heeft gewerkt met het Stappenplan AVG voor sportverenigingen. Grote verenigingen zijn vaker bekend met het stappenplan en hebben er ook vaker mee gewerkt dan kleine.

Conclusie
Het algemene beeld dat NOV geeft en dat ook uit de monitor van NOC*NSF blijkt, is dat ook nu – een half jaar na inwerkingtreding van de AVG – er vooral behoefte blijft aan goede, praktische informatie over de AVG. De AVG-Helpdesk voor Zorg, Welzijn en Sport voorziet hierin. De AVG-Helpdesk is bedoeld voor koepelorganisaties. Verenigingen kunnen met vragen over de AVG bij hen terecht. Naast de informatievoorziening via de AVG-Helpdesk en de koepelorganisaties voorziet natuurlijk ook de AP in informatie over de AVG.

Kerkgenootschappen

Uit een inventarisatie door het Interkerkelijk Contact in Overheidszaken (CIO) blijkt dat alle kerken die lid zijn, de implementatie van de AVG serieus hebben opgepakt. Men heeft gesprekken georganiseerd op lokaal niveau en werkprocessen aangepast. De ervaringen lopen uiteen: enerzijds ervaart men een beperking van het “kerk-zijn” doordat de AVG beperkend werkt in de mate van “out-reachend” zijn naar de samenleving. Ook ervaart men een algemene toename van de regel- en administratiedruk. Kerken zijn in die zin vergelijkbaar met vrijwilligersorganisaties: welwillende mensen die het “er allemaal even bij doen”, verantwoordelijkheid voelen en belasting ervaren.

De mate van sturing door kerkgenootschappen op landelijk niveau varieert sterk per kerk. Dat maakt dat de interpretatie van bepaalde begrippen soms op landelijk niveau, soms op lokaal niveau wordt besproken. De interpretatie en uitleg van de AVG is in de kerkelijke wereld een aandachtspunt waar de Expertgroep-AVG van het CIO zelf ook op stuurt. In gesprekken probeert het CIO te komen tot een meer eenduidige interpretatie en uitvoering van de normen. Het zoekt hierin, indien nodig, ook afstemming met de AP en met het ministerievan Justitie en Veiligheid. Zo is er overleg met het CIO over het online uitzenden en streamen van kerkdiensten, waarbij ook recht wordt gedaan aan het openbare karakter van de erediensten. Tijdens dit overleg is bevestigd dat het zeer wel mogelijk is en blijft kerkdiensten via radio of televisie uit te zenden, mits aan bepaalde voorwaarden wordt voldaan en passende waarborgen worden getroffen. Zo kan men denken aan het vragen van toestemming van iemand die in een gebed wordt genoemd of de inrichting van een vak in de kerk voor mensen die niet in beeld willen komen.

Vanuit de kerkelijke wereld wordt de inwerkingtreding van de AVG gezien als een blijvende aanpassing in de verwerking en omgang met persoonsgegevens en persoonlijke informatie in het algemeen. Hoe zich dat verhoudt tot de eigenheid van kerk-zijn en het dienstbaar kunnen en mogen zijn aan de samenleving, is hierbij een dilemma dat overal onderwerp van gesprek is.

Door werkgevers is in het kader van de inwerkingtreding van de AVG aandacht gevraagd voor de ervaren knelpunten met betrekking tot de verwerking van gezondheidsgegevens in geval van ziekte. Het gaat daarbij met name over de reintegratie van zieke werknemers tot zes weken vanaf het moment van ziekmelding en het bijhouden van lichamelijke beperkingen van werknemers door werkgevers zonder tussenkomst van de bedrijfsarts. Bij de behandeling van de UAVG in de Tweede Kamer is hier ook aandacht voor gevraagd. Ik heb toen gewezen op het uitgangspunt in de Nederlandse wetgeving dat de werknemer de gezondheidsgegevens niet deelt met de werkgever, maar alleen met de bedrijfsarts. Het is immers niet de taak van de werkgever (en evenmin van de zieke werknemer) om een oordeel te vellen over de arbeids(on)geschiktheid van de zieke werknemer en hij is ook niet deskundig op dat terrein. Wel moet de werkgever samen met zijn zieke werknemer de re-integratie en terugkeer naar werk gestalte geven. Bovendien speelt in de arbeidsverhouding mee dat de werknemer zich in een ongelijke positie bevindt ten opzichte van de werkgever. Dit staat er echter niet aan in de weg dat werkgever en werknemer samen het gesprek aangaan over de invulling van de terugkeer naar werk, waarbij de werknemer zelf kan aangeven welke taken, functies of werkzaamheden hij weer denkt te kunnen verrichten. Een bedrijfsarts kan de werknemer en werkgever hierbij adviseren. De werknemer is zelf mede verantwoordelijk voor zijn herstel en de terugkeer naar werk, dat brengt het beginsel van ‘goed werknemerschap’ (artikel 611 van Boek 7 van het Burgerlijk Wetboek) ook mee. Gelet op deze overwegingen is het treffen van aanvullende wetgeving voorshands niet opportuun. Wel is het ministerie van SZW met betrekking tot dit onderwerp in gesprek gegaan met diverse stakeholders om te komen tot een praktische uitleg van de Beleidsregels ‘De zieke werknemer’ van de AP (publicatiedatum 21 april 2016) waar het gaat om het vragen naar en het verwerken van gegevens door de werkgever bij een ziekmelding. De uitkomst van dit traject heeft geresulteerd in een uitleg die SZW op 27 juli 2018 heeft gepubliceerd op het Arboportaal en die onder de aandacht is gebracht van de AP [11], waarin volgens de ook hier geschetste lijnen een nadere uitleg is gegeven aan de beleidsregels van de AP. De bedoeling van de tekst is vooral dat werkgever en werknemer hiermee handvatten worden gegeven voor in de praktijk.

Het vervolg van dit traject is een uitvraag onder de diverse stakeholders. Die kunnen zo hun ervaringen delen met de nieuwe regelgeving mede in het licht van de door SZW op 27 juli 2018 gepubliceerde praktische uitleg, waarin gewezen wordt op de eigen verantwoordelijkheid van de werknemer en goed werknemerschap. De uitkomsten hiervan zullen met de stakeholders en de AP worden besproken.

Naar aanleiding van een voorstel van VNO-NCW en MKB Nederland om een wettelijke grondslag te creëren voor het afnemen van alcohol- en drugstesten door werkgevers met het oog op de veiligheid van medewerkers en omwonenden of de continuïteit van vitale infrastructuren, zal de staatssecretaris van SZW met de sociale partners bespreken in welke specifieke gevallen de behoefte daaraan precies bestaat. Hierbij dient rekening gehouden te worden met weging van eerdergenoemde belangen evenals met het belang van werknemers bij bescherming van hun privacy. Over de uitkomst van deze bespreking zult u worden geïnformeerd in de hiervóór al aangekondigde brief waarmee ik u zal berichten welke conclusies worden verbonden aan de punten die buiten de motie Koopmans onder mijn aandacht zijn gebracht.

In hun brief van 19 september 2018 stellen VNO-NCW en MKB Nederland dat de schade voor het bedrijfsleven door fraude jaarlijks in de miljarden euro’s loopt. Zij noemen in dat verband het sjoemelen met creditcards, verzekeringen en spooknota’s. In navolging van de succesvolle aanpak in Engeland willen volgens deze organisaties ook bedrijven in Nederland informatie over wangedrag en fraudeurs onderling kunnen uitwisselen. Op dit moment zou dat echter niet mogelijk zijn tussen bedrijven uit verschillende sectoren. Hoewel ‘zwarte lijsten’ binnen bepaalde sectoren wel zijn toegestaan, zou de AP geen fiat geven voor het cross-sectoraal delen van informatie. Volgens VNO-NCW en MKB Nederland zou een mogelijke oplossing zijn gelegen in het treffen van een expliciete wettelijke grondslag voor cross-sectoraal uitwisselen van kennis over deze fraudeurs.

In reactie op dit voorstel wijs ik erop dat het aanleggen van zwarte lijsten naar zijn aard vaak gepaard gaat met het verwerken van persoonsgegevens van strafrechtelijke aard. Het verwerken daarvan is op grond van artikel 10 van de AVG alleen toegestaan indien dit geschiedt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkene bevatten. De UAVG maak het op die grond mogelijk om persoonsgegevens van strafrechtelijke aard ten behoeve van derden te verwerken, onder meer indien de AP hiervoor een vergunning heeft verleend (artikel 33, vierde lid, aanhef en onderdeel c). De AP kan een dergelijke vergunning verlenen, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad (artikel 33, vijfde lid).

Het tegengaan van fraude kan als een zwaarwegend belang voor een bedrijf of onderneming worden aangemerkt. Het is dus op grond van deze bepaling mogelijk om zwarte lijsten te delen. De AP zal dan wel vooraf, in het kader van de vergunningaanvraag, noodzaak en evenredigheid toetsen. Hierbij laat zij onder meer de volgende omstandigheden een rol spelen:

• de mate waarin opname van een individu in het systeem waarop de gegevensuitwisseling betrekking heeft, kan betekenen dat betrokkene wordt uitgesloten van bijvoorbeeld eerste levensbehoeften of van goederen of diensten die betrekking hebben op een (klassiek of sociaal) grondrecht; 
• de kwetsbaarheid van bepaalde groepen betrokkenen, zoals klanten en werknemers die minderjarig zijn of oudere werknemers; 
• de reikwijdte van het systeem, in termen van zowel degenen die het systeem kunnen vullen, degenen die gegevens in het systeem kunnen raadplegen en degenen van wie persoonsgegevens in het systeem worden verwerkt. Hoe groter de reikwijdte, hoe ingrijpender de gevolgen voor opname van de betrokkene in het systeem kunnen zijn. Naarmate de reikwijdte van een systeem groter is, zullen derhalve de waarborgen voor betrokkenen zwaarder moeten wegen of zal het systeem in het geheel niet door de toetsing komen. Het beperken van de reikwijdte van het systeem (geografisch, sectoraal of anderszins) kan bijdragen aan een positieve uitkomst van de proportionaliteitsafweging.[12]

Wil er aanleiding zijn te overwegen de UAVG te wijzigen overeenkomstig het voorstel van VNO/NCW en MKB Nederland, dan zullen eerst ervaringen moeten zijn opgedaan met het indienen van een aanvraag tot een vergunning als bedoeld in artikel 33, vijfde lid, UAVG en de reactie daarop van de AP. Met het oog hierop en gelet op de nieuwe toepasselijke aanvraagprocedure zal ik, samen met VNO/NCW en MKB Nederland, in gesprek gaan met de AP over de betekenis hiervan voor nieuwe aanvragen voor cross-sectorale uitwisseling van gegevens over fraudeurs. De ervaringen die door bedrijven met deze procedure zijn opgedaan kunnen worden betrokken in het door mijn ambtgenoot van Justitie en Veiligheid toegezegde vergelijkende onderzoek naar cross-sectorale gegevensuitwisseling tussen private partijen in Nederland en in het Verenigd Koninkrijk. Daarbij zal in het bijzonder worden gekeken naar de eventuele meerwaarde van het systeem Cifas, dat in het Verenigd Koninkrijk bestaat, en hoe dit eventueel toepasbaar is in het Nederlandse rechtssysteem.[13] 

Artikel 2, tweede lid, onderdeel c, AVG bepaalt dat de AVG niet van toepassing is op een verwerking van persoonsgegevens “door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit”. Overweging 18 voegt daaraan toe dat dit “een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit” moet betreffen.

In de nota naar aanleiding van het verslag bij de UAVG, alsmede bij de Aanpassingswet AVG, heeft de regering aandacht besteed aan de reikwijdte van deze bepaling, naar aanleiding van vragen van uw Kamer. Daarbij is ingegaan op de jurisprudentie onder richtlijn 95/46/EG en de standpunten van de AP in dezen.[14] Van belang in dit verband is dat het gaat om begrippen uit de AVG, die nationale wetgevers niet zelf nader kunnen invullen. De uitleg van deze begrippen is aan de toezichthoudende autoriteiten en uiteindelijk aan de rechter.

De AP wijst erop dat bij de uitzondering voor persoonlijke of huishoudelijke activiteit op de toepasselijkheid van de AVG van belang is het onderscheid tussen de situatie waarin de gegevens toegankelijk zijn voor iedereen, dan wel slechts voor een beperkte kring. Op haar site staat dat de uitzondering voor persoonlijkof huishoudelijk gebruik bij het publiceren van persoonsgegevens van andere mensen op internet alleen geldt “als u privé publiceert, dus niet namens een bedrijf. En als u uitsluitend publiceert voor uw eigen persoonlijke of huishoudelijke doeleinden. Dus niet (ook) voor professionele of commerciële doeleinden. U moet er daarbij voor zorgen dat de informatie alleen zichtbaar is voor een beperkte kring mensen, zoals uw familieleden of vrienden. De gegevens mogen dus niet openbaar zijn voor iedereen (ook niet voor ‘vrienden van vrienden’ op Facebook). Via zoekmachines mogen de gegevens ook niet te vinden zijn.”[15] Hiermee geeft de AP enkele handvaten voor de toepassing van deze bepaling uit de AVG.

Verder heeft het Hof van Justitie van de Europese Unie in juli 2018 een uitspraak gedaan ten aanzien van de uitzondering voor persoonlijke of huishoudelijk activiteit.[16] In deze uitspraak ging het om leden van een geloofsgemeenschap die tijdens hun van-huis-tot-huisverkondiging aantekeningen maakten over de bezoeken die zij hebben gebracht aan voor hen onbekende personen.[17] Het Hof verwijst naar zijn eerdere jurisprudentie, waaruit blijkt dat de uitzondering uitsluitend betrekking heeft op de activiteiten die tot het privéleven of het gezinsleven van particulieren behoren.[18] In het voorliggende geval stelt het Hof vast dat de activiteit zich richtte op de sfeer buiten de privésfeer van de ledenverkondigers. Hoewel artikel 10, lid 1, van het Handvest van de Grondrechten van de EU de van-huis-tot-huisverkondiging door de leden van een geloofsgemeenschap beschermt als belijdenis van het geloof van de verkondiger of de verkondigers, wordt die verkondiging daardoor nog geen met uitsluitend persoonlijke of huishoudelijke doeleinden verrichte activiteit, aldus het Hof. Het Hof concludeert dat hier geen sprake is van een activiteit die uitsluitend voor persoonlijke of huishoudelijk doeleinden wordt verricht.

Met deze uitspraak geeft het Hof een beperkte uitleg aan de uitzonderingen op het toepassingsbereik van het Europeesrechtelijke gegevensbeschermingsrecht.. Dat is in lijn met eerdere jurisprudentie van het Hof. Hoewel deze jurisprudentie ziet op de toepasselijkheid van Richtlijn 95/46/EG, kan worden aangenomen dat deze uitleg ook voor het toepassingsbereik van de AVG geldt, nu daarin vergelijkbare begrippen zijn opgenomen.

Dit voorjaar zal de Kamer een reactie worden toegezonden op de motie van de leden Verhoeven en Van Nispen waarin de Kamer zal worden geïnformeerd over de capaciteit en middelen van de AP in relatie tot haar taken. Daarin zal tevens worden ingegaan op de eerste ervaringen van de AP met individuele verzoeken en klachten onder de AVG.

Het eerste lid van artikel 8 van de AVG bepaalt dat een persoon met ouderlijke verantwoordelijkheid toestemming moet geven als er sprake is van een rechtstreeks aanbod van een ‘dienst van de informatiemaatschappij’[19] aan een kind dat jonger is dan 16 jaar, waarbij dan tevens toestemming de grondslag voor die gegevensverwerking vormt. Bij ‘diensten van de informatiemaatschappij’ moet met name worden gedacht aan betaalde internetdiensten en mobiele telefoniediensten. Verder staat in overweging 38 van de AVG dat “in de context van preventieve of adviesdiensten die rechtstreeks aan een kind worden aangeboden” de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, niet vereist is.[20]

Op grond van artikel 8 van de AVG kunnen lidstaten er ook voor kiezen om een lagere leeftijdsgrens van 13, 14 of 15 jaar vast te stellen voor het zelfstandig toestemming kunnen geven voor het verwerken van de eigen persoonsgegevens in het kader van dergelijke diensten. [21]

In de UAVG is uitdrukkelijk gekozen voor een zogenaamde ‘beleidsneutrale implementatie’. Dat betekent dat, voor zover mogelijk, het bestaande nationale recht en de bestaande nationale beleidskeuzes die al golden onder de Wet bescherming persoonsgegevens gehandhaafd zijn onder het nieuwe regime. In de UAVG is dan ook vooralsnog geen gebruik gemaakt van de ruimte die de AVG biedt om een andere leeftijdsgrens te kiezen en is de leeftijdsgrens van 16 jaar uit de Wbp gehandhaafd.

In de motie-Koopmans c.s. wordt de regering verzocht uw Kamer nader te berichten over ervaringen met en voornemens inzake de huidige “leeftijdsgrens voor kinderen om in een online-omgeving rechtsgeldig toestemming te geven voor het gebruik van zijn/haar persoonsgegevens”. [22] Vervolgens wordt de regering in de motie-Verhoeven/Van Toorenburg[23] verzocht bij deze heroverweging van de leeftijdsgrens tevens de uitkomsten mee te nemen van het onderzoek, dat inmiddels door de Raad voor Volksgezondheid en Samenleving (RVS) is uitgevoerd, naar de willekeurigheid van leeftijdsgrenzen in het recht, aangezien dat onderzoek wellicht ook relevante inzichten zou kunnen opleveren voor de keuze van een leeftijdsgrens in de UAVG.

De RVS bepleit in zijn advies ‘Leeftijdsgrenzen. Betere kansen voor kwetsbare jongeren’ van juni 2018 dat de aangeboden zorg en ondersteuning flexibel moeten aansluiten bij de levensdoelen, ontwikkeling en behoeften van jongeren, ongeacht hun leeftijd. De RVS adviseert een verhoging van de huidige leeftijdsgrens in de Jeugdwet van 18 jaar, waarbij juridisch mogelijk gemaakt zou moeten worden dat flexibel hulp aangeboden en vergoed kan worden vanuit verschillende wettelijke kaders. Inmiddels hebben de Minister van Volksgezondheid, Welzijn en Sport en de Minister voor Rechtsbescherming, bij brief van 5 november 2018[24], aan uw Kamer op dit specifieke advies van de RVS over de Jeugdzorg gemeld dat er niet is besloten tot een algehele verhoging van de leeftijdsgrens in de Jeugdwet.

Daarnaast geeft de RVS in zijn advies ook een overzicht van de verschillende leeftijdsgrenzen in het Nederlandse recht en een afwegingskader dat nuttig en bruikbaar kan zijn bij de uiteindelijke besluitvorming over de leeftijdsgrens voor zelfstandig toestemming in de digitale wereld voor het verwerken van de eigen persoonsgegevens.

Op dit moment is er tevens een onderzoek gaande dat, in opdracht van het WODC, wordt uitgevoerd door de Universiteit Leiden over de positie van de minderjarige in het Nederlandse civiele procesrecht. De Staatscommissie Herijking Ouderschap heeft in haar rapport ‘Kind en ouders in de 21ste eeuw’ aanbevolen om de positie van minderjarigen te (her)bezien en geadviseerd om het hoorrecht van kinderen te betrekken in deze bezinning. Ondanks het feit dat onderzoek plaatsvindt in een andere context is het wat het kabinet betreft toch raadzaam om dit onderzoek in ieder geval af te wachten voordat er in de onderhavige discussie een standpunt wordt ingenomen. Het onderzoek is namelijk breed van opzet. Zo wordt er onder andere gekeken naar pedagogische en ontwikkelingspsychologische aspecten[25] waardoor de uitkomsten van dit onderzoek mogelijk ook van belang zou kunnen zijn voor de nu voorliggende vragen rond het beoordelingsvermogen van kinderen in de digitale wereld.

Dat is namelijk een complex vraagstuk waarbij inhoudelijk tegengestelde belangen spelen. Enerzijds geldt het recht op privacy immers ook voor kinderen[26] - tot op zekere hoogte -, en anderzijds hebben ouders de plicht hun kinderen te beschermen.

Dat jongeren gebruik moeten kunnen maken van diverse online diensten is evident. Zij kunnen op deze manier toegang krijgen tot informatie en geven zo ook hun persoonlijke en sociale leven vorm. Dat het ongestoord en ongezien experimenteren (en daarbij ook fouten mogen maken) een belangrijk onderdeel uitmaakt van de zoektocht naar de eigen identiteit en daarmee hoort bij hun levensfase, staat ook niet ter discussie. Wel is de vraag vanaf welke leeftijd kinderen, gemiddeld genomen, in staat moeten kunnen worden geacht om de reikwijdte te overzien van de digitale keuzes die zij maken. Relevante factor is hierbij de relatieve kwetsbaarheid van kinderen ten opzichte van veelal commerciële wederpartijen met soms grote financiële belangen. Kinderen worden dan ook specifiek in de AVG genoemd als te beschermen groep juist vanwege de ongelijkwaardige uitgangspositie ten opzichte van dergelijke partijen die hun persoonsgegevens gebruiken voor commerciële en marketing doeleinden.[27]

Ouders moeten echter aan de andere kant soms zo snel mogelijk kunnen ingrijpen als er zaken echt dreigen mis te lopen of al uit de hand zijn gelopen. Het gaat dan bijvoorbeeld om fenomenen als cyberpesten, ‘sexting’ of ongewenst pornografisch materiaal. Ook wanneer kinderen zich bijvoorbeeld begeven op dating sites of bepaalde platforms kan het noodzakelijk zijn dat ouders op een relatief eenvoudige wijze kunnen ingrijpen. Het intrekken van de toestemming kan dan in sommige gevallen een zekere ‘noodremfunctie’ vervullen. Ook hier is weer de kernvraag tot welke leeftijd een dergelijke noodrem voor ouders nog noodzakelijk, wenselijk en opportuun is. 

Kortom, de vraag naar mogelijke aanpassing van de leeftijdsgrens voor het zelfstandig kunnen beslissen over het geven van toestemming voor de verwerking van de eigen persoonsgegevens heeft vele kanten. Naast meer wetssystematische aspecten rond de inpasbaarheid in het Nederlandse recht en de uitvoerbaarheid en handhaafbaarheid, moeten principiële vragen worden beantwoord over de belangenafweging tussen de emancipatie en de privacy van het kind[28] en de ouderlijke plicht tot het beschermen van het kind. Dat is een breed maatschappelijk vraagstuk waarbij het kabinet een zorgvuldige afweging wil maken. Daarbij vindt het kabinet het van groot belang om de relevante stakeholders te betrekken bij de oordeelvorming. Zoals gezegd, wil het kabinet tot slot ook voornoemd onderzoek van de Universiteit Leiden afwachten. Dat onderzoek zal naar verwachting medio 2019 gereed zijn.

De journalistieke exceptie

Op grond van artikel 85 van de AVG zijn lidstaten verplicht om “het recht op bescherming van persoonsgegevens overeenkomstig deze verordening wettelijk in overeenstemming (te brengen) met het recht op vrijheid van meningsuiting en van informatie, daaronder begrepen de verwerking voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen”. Het gaat hierbij om het vinden van een goed evenwicht tussen twee gelijkwaardige grondrechten[29]: enerzijds het recht op vrijheid van meningsuiting en informatie zoals vastgelegd in artikel 10 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) en artikel 11 van het Handvest van de Grondrechten van de Europese Unie (Handvest) en anderzijds het recht op privacy zoals vastgelegd in onder meer artikel 8 EVRM en artikel 7 van het Handvest. Uit jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) volgt dat de wetgever buitengewoon terughoudend moet zijn met het stellen van beperkingen aan de vrijheid van meningsuiting, nu dit recht van wezenlijk belang is met het oog op het functioneren van een democratische samenleving. In dat kader moet het begrip journalistiek ook ruim worden geïnterpreteerd.[30] Artikel 85 van de AVG laat dan ook expliciet ruimte aan de lidstaten om aanzienlijke onderdelen van de AVG uit te zonderen voor journalistieke doeleinden en academische, artistieke of literaire uitdrukkingsvormen. De Nederlandse wetgever heeft van deze mogelijkheid gebruik gemaakt in artikel 43 van de UAVG.

Ook de UAVG zelf is, met uitzondering van de definitiebepalingen en de bepalingen over de territoriale en materiële reikwijdte (artikelen 1 t/m 4) niet van toepassing op het verwerken van persoonsgegevens “voor uitsluitend journalistieke doeleinden en ten behoeve van uitsluitend academische, artistieke of literaire uitdrukkingsvormen”

Hierdoor geldt in Nederland een regime waarin in deze gevallen persoonsgegevens kunnen worden verwerkt zonder dat de betrokkenen van wie de persoonsgegevens worden verwerkt hiervan (te allen tijde) op de hoogte hoeven te worden gesteld, inzage kunnen vorderen of hun toestemming voor verwerking in kunnen trekken. Daarnaast geldt dat organisaties die persoonsgegevens uitsluitend voor voornoemde doelen of uitdrukkingsvormen verwerken niet hoeven mee te werken aan toezichthoudende activiteiten van de AP, geen register van verwerkingsactiviteiten bij hoeven te houden, noch een functionaris voor gegevensbescherming hoeven aan te stellen of een ‘data protection impact assessment’ hoeven op te stellen. Verder geldt dat de AP geen toezichthoudende bevoegdheden heeft in het geval dat persoonsgegevens uitsluitend worden verwerkt voor journalistieke doeleinden of ten behoeve van uitsluitend educatieve, literaire of artistieke uitdrukkingsvormen. Ook de regels omtrent gedragscodes en certificering zijn niet van toepassing in een uitsluitend journalistieke context.

De enige materiële norm van de UAVG die wel van toepassing is op dergelijke verwerkingen zijn de bepalingen over de vervangende toestemming door de wettelijke vertegenwoordiger als er sprake is van het verwerken van persoonsgegevens van kinderen onder de 16 of van bijvoorbeeld mensen die onder curatele staan (artikel 5, eerste en tweede lid, van de UAVG). Daarnaast zijn ook de algemene definities en beginselen uit de AVG wel van toepassing.

Belangrijk is dat daardoor de verwerking van persoonsgegevens, óók voor journalistieke doeleinden en academische, artistieke of literaireuitdrukkingsvormen, wel altijd moet geschieden ten behoeve van een duidelijk omschreven doel, dat er een rechtmatige grondslag moet zijn voor de verwerking, dat gegevens niet langer worden bewaard dan nodig is voor het doel, en dat de verwerkingsverantwoordelijke passende beveiligingsmaatregelen neemt. Daarnaast moet voldaan worden aan de vereisten van noodzakelijkheid, proportionaliteit, subsidiariteit en dataminimalisatie. Het kabinet is van oordeel dat door deze basisbeginselen wel van toepassing te verklaren - net zoals overigens voorheen onder de Wet bescherming persoonsgegevens (Wbp) het geval was - er een goede balans ontstaat tussen de plicht om zorgvuldig om te gaan met iemands persoonsgegevens, ook in journalistieke context, zonder dat daarmee de vrijheid van nieuwsgaring en informatieverstrekking wordt belemmerd.

Daarnaast betekenen de uitzonderingen voor, kort gezegd, journalistieke doeleinden op de rechten van betrokkenen in de AVG, niet dat betrokkene geen recht op bescherming van zijn persoonlijke levenssfeer in de journalistieke context heeft. Als een persoon van oordeel is dat zijn privacy geschonden is, maar er tevens sprake is van de journalistieke exceptie (en er dus mogelijk sprake is van botsende grondrechten), dan zal weliswaar de AP zich onbevoegd verklaren, maar staat voor de betrokkene uiteraard altijd wel de route naar de civiele rechter open. De rechter zal dan naast voornoemde van toepassing zijnde normen uit de AVG ook op individueel niveau het belang van bescherming van de persoonlijke levenssfeer afwegen tegen het belang van de specifieke publicatie en het algemene belang van de vrijheid van nieuwsgaring en meningsuiting.

Uitvoering motie Koopmans

Ten behoeve van de uitvoering van de motie Koopmans c.s. heeft het kabinet nogmaals zorgvuldig gekeken naar de ruimte voor het gebruik van persoonsgegevens voor - zoals specifiek verzocht - journalistieke doeleinden, en in het verlengde daarvan de ervaringen op dit vlak met de AVG en UAVG. Op 29 augustus jl. heeft de minister van Onderwijs, Cultuur en Wetenschap in dit kader de stakeholders gevraagd naar hun ervaringen.

Op het verzoek heeft NDP nieuwsmedia (hierna: NDP) bij brief van 12 september 2018 gereageerd. NDP geeft aan een rondgang te hebben gemaakt langs de bij haar aangesloten nieuwsbedrijven, en verwijst naar een memorandum dat tijdens de internetconsultatie van het wetsvoorstel UAVG was ingestuurd. NDP vraagt in haar brief om een verdere verruiming van de journalistieke exceptie voor de verwerking van persoonsgegevens conform het amendement Buitenweg.[31] Concreet betekent dit dat de hoofdstukken II (algemene beginselen), alle artikelen van hoofdstuk IV (ook de bepalingen over verwerkingsverantwoordelijke en verwerker) en hoofdstuk IX (bepalingen die niet zien op journalistieke doeleinden) van de AVG wat de NDP betreft in zijn geheel niet van toepassing zouden moeten zijn bij verwerking van persoonsgegevens voor journalistieke doeleinden.

Ter algemene onderbouwing van het verzoek stelt NDP dat de gekozen beleidsneutrale implementatie van de AVG een zwakkere bescherming voor de journalistiek betekent ten opzichte van de Wbp en dat dat het risico met zich meebrengt dat de media zich terughoudender gaan opstellen wegens angst voor claims (zgn. “chilling effect”). Dit alles versterkt door een toegenomen privacy bewustzijn, meer rechten voor betrokkenen en de toegenomen bevoegdheden van de AP. De NDP noemt daarbij praktijkvoorbeelden waarin fotojournalistenagressief zijn bejegend om foto’s te verwijderen en wijst op een toename van verzoeken om hen te bewegen berichten uit onlinearchieven te verwijderen.

Het kabinet hecht eraan allereerst te benadrukken dat, hoewel met de komst van de AVG de rechten van betrokkenen inderdaad zijn versterkt en de AP over meer bevoegdheden beschikt, dit geen belemmering met zich brengt voor verwerkingen voor journalistieke doeleinden. Immers, juist deze zaken (de rechten van betrokkene en het toezicht van de AP) zijn met de UAVG integraal uitgezonderd voor het verwerken van persoonsgegevens voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen en zijn dus niet van toepassing. Dat door de AVG het privacy bewustzijn is vergroot, is wat het kabinet betreft op zichzelf positief. Dat dit niet dient te ontaarden in agressief gedrag – zoals door de NDP gesteld - jegens wie dan ook is evident.

Hieronder wordt specifiek ingegaan op het verzoek van NDP tot verruiming van de uitzonderingen op drie punten.
Uitzonderen van de algemene beginselen (hoofdstuk II)

NDP verzoekt om de toepasselijkheid van de algemene bepalingen, reikwijdte en definities, alsook de beginselen en de rechtsgrondslagen voor een rechtmatige gegevensverwerking uit te zonderen voor verwerkingen met journalistieke doeleinden.

Naar het oordeel van het kabinet is het echter niet wenselijk om de journalistieke exceptie verder te verruimen door hoofdstuk II in zijn geheel uit te zonderen voor de verwerking van persoonsgegevens voor journalistieke doeleinden. Het gaat hier om de toepasselijkheid van basale zorgvuldigheidseisen die ook een journalist bij het verwerken van persoonsgegevens van een ander bij zijn werk in acht behoort te nemen en om de bescherming van persoonsgegevens afdoende te kunnen waarborgen. Dat betekent dat een inbreuk op het recht op bescherming van persoonsgegevens altijd in een redelijke verhouding moet staan tot het maatschappelijke belang, bijvoorbeeld van een journalistieke publicatie. Een civiele rechter zal daar ook naar kijken als hem een oordeel wordt gevraagd over botsende grondrechten in een concrete casus. Zoals eerder uiteengezet vereist artikel 85 van de AVG daarnaast dat het recht op bescherming van persoonsgegevens door de lidstaten in overeenstemming wordt gebracht met de vrijheid van meningsuiting en informatie, niet dat het ene grondrecht bij voorbaat moet prevaleren boven het andere. Een verdere uitbreiding van de journalistieke exceptie, waarbij ook algemene beginselen van de AVG geheel zouden worden uitgesloten, zorgt wat het kabinet betreft voor een onwenselijke disbalans tussen de beide grondrechten.

Verder heeft de NDP bezwaren tegen het feit dat het transparantievereiste (verwerkt in de algemene beginselen van artikel 5 van de AVG) van toepassing is. Hierover merkt het kabinet het volgende op. NDP vreest dat de rechten van betrokkene of verplichtingen van de verwerkingsverantwoordelijke, die voor genoemde groepen niet van toepassing zijn (zoals het recht op inzage en het recht op verwijdering, de plicht om de betrokkene te informeren), tóch via de band van het algemene transparantiebeginsel van toepassing worden. Bronnen en klokkenluiders zouden mede hierom, volgens NDP, minder geneigd zijn om misstanden via de media naar buiten te brengen, uit angst dat hun identiteit wordt onthuld. Het kabinet benadrukt dat dit niet het geval is. De rechten en plichten in de AVG die verbonden zijn aan de eis van transparantie zijn niet van toepassing op verwerkingen voor journalistieke doeleinden. Het beginsel van bronbescherming, zoals dat is vastgelegd in jurisprudentie van het Europees Hofvoor Rechten van de Mens en de Wet bronbescherming in strafzaken[32] is daarnaast ook niet veranderd door de (U)AVG en blijft onverkort van kracht. Men zou zelfs andersom kunnen redeneren: het is juist in het belang van journalistieke bronnen dat journalisten gehouden zijn aan bepaalde zorgvuldigheidsnormen bij de verwerking van hun persoonsgegevens (denk aan een adequate opslag en beveiliging).

Uitzonderen van de bepalingen over verwerkingsverantwoordelijke en verwerker (hoofdstuk IV)

NDP verzoekt uitzondering van de bepalingen over de verwerkingsverantwoordelijke en verwerker, wat betreft het uitgangspunt van “privacy by design” en “privacy by default”, de situatie waarin sprake is van meerdere verwerkingsverantwoordelijken en de situatie waarin de verwerkingsverantwoordelijke een verwerker inschakelt. NDP vreest wederom dat door de van toepassing zijnde vereisten op grond van hoofdstuk IV van de AVG, bijvoorbeeld als sprake is van een verwerker, ook andere bepalingen en verplichtingen (waaronder het toezicht en de boetebevoegdheid van de AP) alsnog van toepassing zouden worden op de journalistiek, ook al zijn deze specifiek uitgezonderd. Zo zouden er volgens NDP allerlei inhoudelijke eisen gaan gelden op basis van de verwerkersovereenkomst tussen een nieuwsbedrijf als verwerkingsverantwoordelijke en de drukker als verwerker. Zo zou de drukker wel moeten meewerken aan het beantwoorden van inzage-, rectificatie- of verwijderingsverzoeken.

Het kabinet benadrukt dat dit niet aan de orde is. Rechten van betrokkene en plichten van de verwerkingsverantwoordelijke die zijn uitgezonderd voor de verwerkingen voor journalistieke doeleinden blijven uitgezonderd ook als een verwerker wordt ingeschakeld. Hetzelfde geldt voor het feit dat de AP niet bevoegd is om toezicht te houden. Vanuit het oogpunt van bescherming van persoonsgegevens mag worden verwacht dat zorgvuldig met persoonsgegevens wordt omgegaan en dat met een verwerker nadere afspraken worden gemaakt om te waarborgen dat de normen worden nageleefd, maar uiteraard alleen voor zover van toepassing op de verwerkingsverantwoordelijke zelf.

Uitzonderen van de bepalingen die niet zien op journalistieke doeleinden (hoofdstuk IX)

NDP geeft aan dat de artikelen uit de AVG die geen betrekking hebben op de verwerking van persoonsgegevens voor journalistieke doeleinden (artikel 43, 85 en 88 t/m 91 van hoofdstuk IX, en artikel 8) uitgezonderd moeten worden.

Van belang is op te merken dat artikel 43 van de AVG al uitgezonderd is, en dat artikel 85 van de AVG wel degelijk relevant is omdat het juist de ruimte biedt voor het maken van uitzonderingen en afwijkingen voor de verwerking voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen. Wat betreft de overige artikelen merkt NDP terecht op dat deze artikelen niet relevant zijn. Het kabinet is vanuit wetstechnisch oogpunt van mening dat deze artikelen niet voor journalistieke doeleinden uitgezonderd moeten worden in de UAVG, omdat in dat geval immers voor álle situaties waar deze artikelen niet over gaan een uitzondering moeten worden opgenomen in de uitvoeringswetgeving. Dit is niet alleen onwerkbaar, maar ook onnodig omdat de tekst van de artikelen zelf aangeeft op welke situaties deze van toepassing zijn.

Conclusie met betrekking tot de ruimte voor het gebruik van persoonsgegevens voor journalistieke doeleinden

Alles overwegende concludeert het kabinet dat met de AVG en UAVG sprake is van een goede en noodzakelijke balans tussen het belang van bescherming van persoonsgegevens enerzijds en de vrijheid van meningsuiting en informatie anderzijds. Verdere aanpassingen of afwijkingen zouden leiden tot een ongewenste disbalans tussen deze gelijkwaardige grondrechten.

De verplichting tot het bijhouden van een register geldt op grond van artikel 30, vijfde lid, van de AVG niet voor een onderneming of een orgaan met minder dan 250 werknemers, tenzij (1) de verwerking waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkene of (2) indien er sprake is van een nietincidentele verwerking of (3) indien er sprake is van verwerking van bijzondere categorieën persoonsgegevens of persoonsgegevens van, kort gezegd, strafrechtelijke aard. Bij de parlementaire behandeling van de UAVG, is de verwachting uitgesproken dat – aangezien veruit de meeste verwerkingen nietincidenteel zijn – in de praktijk slechts in een beperkt aantal gevallen een beroep op deze uitzondering kan worden gedaan en dat het praktische gevolg van deze registerplicht voor veel kleine ondernemingen te overzien zal zijn. Het opstellen en bijhouden van een dergelijk register is immers minder tijdrovend naarmate er minder verwerkingen in een bedrijf plaatsvinden. De AP heeft desgevraagd ook aangegeven dat de uitzondering op de registerplicht inderdaad niet meer van toepassing is als zich maar één van de situaties, zoals opgesomd in het vijfde lid, voordoet. Daar het een bepaling uit de AVG betreft, zijn er geen mogelijkheden om deze bepaling nationaal ruimer uit te leggen, in de zin dat de uitzondering een groter bereik krijgt dan in overeenstemming met de tekst van deze bepaling is. De vraag of een ruimere uitzondering op de registerplicht al dan niet wenselijk zou zijn, hoort dan ook thuis in het proces van evaluatie van de AVG. Gelet op de signalen die het kabinet heeft ontvangen over de door kleine ondernemingen in de praktijk ervaren lasten van de registerplicht, zal het kabinet in overleg met het bedrijfsleven bezien wat deze signalen voor die evaluatie zullen kunnen betekenen.

In de motie Koopmans c.s. wordt naar de reikwijdte van de uitzonderingen op het verbod van geautomatiseerde individuele besluitvorming gevraagd. Dit verbod is neergelegd in artikel 22 AVG: ‘De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft’.

In dit artikel worden een aantal begrippen genoemd zoals ‘profilering’, ‘besluit’ en ‘hem in aanmerkelijke mate treft’. Deze begrippen dienen als volgt te worden uitgelegd.

In de AVG wordt profilering omschreven als geautomatiseerde verwerking van persoonsgegevens voor het evalueren van persoonlijke aspecten, met name om zaken over personen te analyseren of te voorspellen. Het gebruik van het woord "evalueren" suggereert dat bij profilering een zekere beoordeling over een persoon wordt gemaakt’.

In algemene bewoordingen betekent profilering het verzamelen van informatie over een persoon (of een groep personen) en het evalueren van hun kenmerken of gedragspatronen om deze persoon of personen in een bepaalde categorie of groep te plaatsen, met name om zijn of hun: vermogen om een taak uit te voeren; interesses; of waarschijnlijk gedrag te analyseren of hierover voorspellingen te doen.[33]

Het begrip “besluit” in artikel 22 moet ruimer worden gelezen dan in de Algemene wet bestuursrecht staat. Zo vallen beslissingen genomen door private partijen ook onder de reikwijdte van dit artikel.[34]

Wanneer een gevolg verbonden is aan het besluit dat iemand in “aanmerkelijke mate treft”, zelfs zonder dat er iets verandert aan zijn wettelijke rechten of plichten, dan kan een betrokkene toch in zodanige mate worden getroffen dat de bescherming van artikel 22 AVG geldt. De drempel voor aanmerkelijke mate moet dus vergelijkbaar zijn met de mate waarin de betrokkene wordt getroffen bij een besluit waaraan wèl een rechtsgevolg verbonden is.[35]

Op grond van artikel 22, tweede lid, onder b. AVG geldt het verbod op geautomatiseerde besluitvorming niet, indien het besluit is toegestaan bij – onder meer – een lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene.

Van deze mogelijkheid heeft de Nederlandse wetgever gebruik gemaakt door in artikel 40, eerste lid, UAVG te bepalen dat het verbod uit het eerste lid van artikel 22 van de AVG niet geldt, indien de geautomatiseerde individuele besluitvorming, noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang. Deze nationaal rechtelijke uitzondering geldt echter expliciet niet voor besluiten die tot stand zijn gekomen op basis van profilering.

Branchevereniging VNO-NCW en MKB Nederland heeft mij bij brief van 19 september 2018 laten weten dat wanneer er geen geautomatiseerde besluiten op basis van profielen mogen worden genomen dit de ontwikkeling van nieuw profielgebaseerde technieken in de weg zit. Deze nieuwe technieken kunnen volgens de branchevereniging bijvoorbeeld worden gebruikt om beter op fraude te kunnen detecteren of witwaspraktijken te voorkomen. VNO-NCW en MKB Nederland stelt daarom als mogelijke oplossing voor artikel 40, eerste lid, UAVG aan te passen door te voorzien in een meer algemene uitzondering op het verbod van artikel 22 AVG, die wel ook geldt voor besluiten genomen op basis van profilering.

Geautomatiseerde besluitvorming op basis van profilering brengt echter het risico mee dat de betrokken individuele persoon een generiek kenmerk van een groep personen wordt tegengeworpen, terwijl dat kenmerk op hem niet van toepassing is en daarmee voor hem een zogenoemd false positive oplevert. Ook bestaat het risico dat de betrokken persoon niet aan alle kenmerken van de groep voldoet, maar wel tot die groep zou moeten worden gerekend en daarmee voor hem eenzogenoemd false negative oplevert. Deze risico’s zijn van dien aard dat het ongepast zou zijn de algemene grondslag voor geautomatiseerde besluitvorming die artikel 40 van de UAVG biedt, ook te laten gelden voor geautomatiseerde besluitvorming op basis van profilering.

Als er in de toekomst behoefte ontstaat in een concrete sector om geautomatiseerde besluitvorming op basis van profilering te laten plaatsvinden dan zal daarvoor een specifieke op de situatie/de sector toegespitste wettelijke grondslag nodig zijn, waarbij dan ook specifieke maatregelen dienen te worden getroffen om de genoemde risico’s te mitigeren en de rechten van betrokkene te waarborgen.[36]

Tegen deze achtergrond wijst het kabinet een algemene grondslag voor geautomatiseerde besluitvorming op basis van profilering, zoals door VNO-NCW en MKB Nederland voorgesteld, af, omdat zij onvoldoende specifiek is en ook geen specifieke maatregelen behelst waarmee eerder genoemde risico’s kunnen worden beperkt. Dit impliceert overigens niet dat profilering om fraude te detecteren niet mogelijk zou zijn. Artikel 22 AVG bevat immers geen algemeen verbod op profilering, noch een verbod op geautomatiseerde verwerking van persoonsgegevens als een onderdeel van besluitvorming. Het opstellen van bijvoorbeeld een risicoprofiel van een persoon met behulp van geautomatiseerde processen is op zichzelf dus niet verboden, zolang er op enig moment in het proces sprake is van menselijke tussenkomst. Om van “menselijke tussenkomst” te kunnen spreken moet de verwerkingsverantwoordelijke er dan wel voor zorgen dat het toezicht op de besluitvorming zinvol is en niet slechts een symbolische handeling vormt. Zo moet deze tussenkomst worden uitgevoerd door iemand die bevoegd en bekwaam is om het besluit te veranderen en die alle relevante gegevens in zijn analyse dient te betrekken.[37] Op deze wijze mag met behulp van profilering in beginsel ook een proces worden ingericht dat detectie van fraude tot doel heeft.

De minister van Justitie en Veiligheid en ik zullen een haalbaarheidsstudie laten uitvoeren naar het creëren van een laagdrempelige administratieve voorziening voor een burger om de inhoud van een publicatie op internet te laten beoordelen op onrechtmatigheid, bijvoorbeeld omdat deze geen toestemming (meer) geeft voor het online gebruik en verspreiding van beeldmateriaal waarmee deze persoon in verband kan worden gebracht. Daarbij wordt ervan uitgegaan dat er geen toestemming is gegeven om de getoonde beelden online toegankelijk te maken, tenzij degene die de beelden heeft geplaatst een bezwaarprocedure start en het tegendeel aantoont. In deze haalbaarheidsstudie wordt onderzocht of de beoogde taak bij de rechtbank of bij een reeds bestaande toezichthouder kan worden ondergebracht en welke kosten hiermee gemoeid zouden zijn.

Een voorziening als hier beoogd, zou tegemoet komen aan de strekking van dit onderdeel van deze motie om slachtoffers van evidente privacyschendingen een spoedprocedure bij de rechter te bieden om de schadelijke content van internet teverwijderen, naar analogie van het zgn. ex parte-verbod uit het intellectuele eigendomsrecht.[38] Daarbij moet wel steeds een beoordeling plaatsvinden ten opzichte van het recht op de vrijheid van meningsuiting.

Tot slot doe ik de toezegging gestand die tijdens de behandeling van de UAVG aan uw Kamer is gedaan naar aanleiding van vragen van mevrouw Buitenweg. Onderstaand licht ik de rol toe van het Hof van Justitie van de Europese Unie (HvJ-EU) alsmede de toepasselijkheid van het Handvest van de Grondrechten van de Europese Unie (Handvest EU) op die terreinen waarop de AVG in de UAVG van overeenkomstige toepassing wordt verklaard.

In artikel 3 van de UAVG wordt de AVG van overeenkomstige toepassing verklaard op de verwerking van persoonsgegevens in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen.[39] Hiermee wordt voorkomen dat op dergelijke verwerkingen in het geheel geen regels omtrent de bescherming van de persoonlijke levenssfeer van toepassing zouden zijn[40] én voor deze verwerkingen en verwerkingen die binnen de werkingssfeer van de AVG vallen een gelijke gegevensbescherming te waarborgen. Deze verwerkingen vallen dus niet binnen de werkingssfeer van het Unierecht, maar op deze verwerkingen is niettemin krachtens het nationale recht de AVG van overeenkomstige toepassing verklaard.

Volgens vaste jurisprudentie van het HvJ-EU is het Hof bevoegd uitspraak te doen over een verzoek om een prejudiciële beslissing in situaties die niet rechtstreeks binnen de werkingssfeer van het Unierecht vallen, maar waarin deze bepalingen door het nationale recht op rechtstreekse en onvoorwaardelijke wijze toepasselijk zijn gemaakt.[41] Het Hof wijst in deze jurisprudentie op het belang van uniforme uitleg van de uit het Unierecht overgenomen bepalingen en het vermijden van een uiteenlopende uitleg.

Deze situatie is hier aan de orde voor wat betreft de hiervoor bedoelde ‘overige verwerkingen’; de AVG is daarop immers van overeenkomstige toepassing verklaard. In geschillen (met inbegrip van prejudiciële verwijzingen) over deze verwerkingen is daarom de uitleg die het Hof aan de AVG geeft, van toepassing en leidend. Het Handvest EU kan een interpretatieve rol vervullen, maar uitsluitend voor zover relevant voor de uitleg van de AVG. In zekere zin is er dus gelet op voormelde jurisprudentie sprake van een uitbreiding van de bevoegdheid van het Hof. De zorg dat rechterlijke interpretaties op terreinen waar de AVG rechtstreeks van toepassing respectievelijk van overeenkomstige toepassing is verklaard, zullen afwijken, kan gelet op het vorenstaande worden weggenomen.

1. Handelingen II 2017/18, 59, item 4, p. 18. 
2. Kamerstukken II 2017/18, 34 851, nr. 19. 
3. In de bijlage bij deze brief wordt een meer uitgebreid beeld van deze inventarisatie gegeven. Aan het eind daarvan ga ik ook in op de rol van het Hof van Justitie van de Europese Unie en de toepasselijkheid van het Europese Handvest van de grondrechten op die terreinen waarop de AVG van overeenkomstige toepassing wordt verklaard in de UAVG. Daarmee doe ik mijn toezegging gestand die ik hierover heb gedaan aan mevrouw Buitenweg (Handelingen II 2017/18, 59, item 4, p. 32). 
4. In het licht van alle voorlichtingsactiviteiten aan de maatschappelijke organisaties die in § 1 van de bijlage zijn beschreven, is ook voldaan aan de toezegging die tijdens debegrotingsbehandeling van het ministerie van Justitie en Veiligheid aan de heer Van der Staaij is gedaan om te zorgen dat bij deze organisaties handzame vormen van voorlichting onder de aandacht worden gebracht (Handelingen II 2018/19, 27, item 10, p. 11). 
5. Zo kan men denken aan het vragen van toestemming van iemand die in een gebed wordt genoemd of de inrichting van een vak in de kerk voor mensen die niet in beeld willen komen. 
6. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/avg-gedragscode.
   
7. In dat verband zal ook worden teruggekomen op de toezegging die tijdens de begrotingsbehandeling van het ministerie van Justitie en Veiligheid aan de heer Van der Staaij is gedaan om, waar er sprake is van reële knelpunten, nog eens kritisch te kijken naar de UAVG en in voorkomende gevallen naar de AVG (Handelingen II 2018/19, 27, item 10, p. 11).
   
8. https://avgvoorhetmkb.nl/stichting-avg 
9. https://sport.nl/voorclubs/bestuur-en-organisatie/alles-over-de-avg
   
10. Het ministerie van VWS vindt het belangrijk om hulp te bieden aan haar achterban bij privacy- en securityvragen, ook al ligt de verantwoordelijkheid voor ”compliance” bij het veld zelf. Daarom is er sinds mei dit jaar de ‘AVG-Helpdesk voor Zorg en Welzijn’. Een initiatief voor en door inmiddels ruim twintig koepelorganisaties uit de zorg, het sociaal domein en de sport, in samenwerking met VWS. De AVG-Helpdesk bevat inmiddels ruim honderd, met de Autoriteit Persoonsgegevens afgestemde, FAQ’s. Sinds de lancering bezochten in 2018 meer dan 18.000 unieke bezoekers, meer dan 77.000 pagina’s op de AVG-Helpdesk. Daarnaast beantwoordde de AVG-Helpdesk in diezelfde periode bijna tweeduizend vragen. Sinds januari 2019 is Sport toegevoegd aan de AVG-Helpdesk en is de helpdesk omgedoopt tot AVG-Helpdesk voor Zorg, Welzijn en Sport.
    
11. https://www.arboportaal.nl/documenten/publicatie/2018/07/27/gezamenlijke-uitlegbeleidsregel-de-zieke...)
    
12. Kamerstukken II 2017/18, 34851, nr. 7, p. 55. 
13. Kamerstukken II 2018/19, 29911, nr. 210, p. 26. 
14. Kamerstukken II 2017/18, 34 851, nr. 7 en Kamerstukken II, 2017/18, 34 939, nr. 6.
    
15. https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-enpost/persoonsgegeven... 
16. HvJ EU 10 juli 2018, C-25/17, ECLI:EU:C:2018:551 (Jehovan todistajat). 
17. De aantekeningen bevatten onder meer de naam en het adres van deze personen en informatie over de geloofsovertuiging of gezinssituatie. Daarnaast werden de verzamelde gegevens doorgegeven aan de gemeenten van de gemeenschap, om bij te houden welke mensen geen bezoek meer wilden ontvangen. 
18. In dit verband kan een activiteit niet als een met uitsluitend persoonlijke of huishoudelijke doeleinden verrichte activiteit in de zin van die bepaling worden beschouwd wanneer zij erin bestaat, persoonsgegevens voor een onbepaald aantal personen toegankelijk te maken, of wanneer deze activiteit – zelfs gedeeltelijk – de openbare ruimte bestrijkt en daardoor is gericht op de sfeer buiten de privésfeer van degene die de gegevens verwerkt.
    
19. De definitie van een dienst van de informatiemaatschappij is (volgens Richtlijn (EU) 2015/1535): “een dienst die gewoonlijk tegen vergoeding , langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten wordt verricht”. Het gaat in de praktijk bijvoorbeeld om mobiele telefonie- en internetdiensten (online spelletjes en sociale netwerken). Onder diensten van de informatiemaatschappij worden bijvoorbeeld ook verstaan: *Diensten voor het doorgeven van informatie via een communicatienetwerk, voor het verschaffen van toegang tot een communicatienetwerk of het toegankelijk maken van informatie die verstrekt is door een afnemer van een dienst. * Diensten waarvoor afnemers niet betalen zoals diensten die instrumenten verschaffen voor het opzoeken en ophalen van en het toegang krijgen tot gegevens. * Diensten die van punt tot punt worden doorgegeven, zoals video op verzoek of het verlenen van commerciële communicatie via elektronische post. 
20. Om er geen twijfel over te laten bestaan dat een minderjarige (of curandus), ongeacht leeftijd, ook contact moet kunnen opnemen met een hulp- of adviesdienst zonder dat hij daarvoor eerst toestemming behoeft vragen aan zijn ouders (of de curator), is bij nota van wijziging op de UAVG geregeld dat kinderen zonder toestemming van hun ouders contact kunnen opnemen met de Kindertelefoon of een andere hulpverleningsinstantie. 
21. Artikel 8, eerste lid van de AVG: “Wanneer artikel 6, lid 1, punt a), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind rechtmatig wanneer het kind ten minste 16 jaar is. Wanneer het kind jonger is dan 16 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt. De lidstaten kunnen dienaangaande bij wet voorzien in een lagere leeftijd, op voorwaarde dat die leeftijd niet onder 13 jaar ligt”.
    
22. Kamerstukken II 2017/18, 34 851, nr. 19. 
23. Kamerstukken II 2017/18, 34 851, nr. 22. 
24. Kamerstukken II 2018/19, 34 880, nr. 12, p. 7. 
25. Twee van de onderzoeksvragen zijn bijvoorbeeld: “Wat weten we uit cognitief-(neuro-) wetenschappelijk onderzoek naar receptie, verwerking, speaking capacity én stress van hoorrecht regelingen (en dergelijke arrangementen) en de zelfstandige toegang tot de rechter (procesingang) door en voor kinderen?” en “Wat zijn de pedagogische en juridische voor- en nadelen van het horen van kinderen in de civiele procedures en in hoeverre zijn deze voor- en nadelen anders voor kinderen jonger dan 12 jaar?”.
    
26. Hier wordt dieper op ingegaan in de nota naar aanleiding van het verslag en de memorie van antwoord (Kamerstukken II 2017/18, 34 851, nr. 7, p. 42. en Kamerstukken II 2017/18, 34 851, D, p. 16-17).
27. Overwegingen 38 en 58. 
28. Opvattingen daarover kunnen overigens ook weer per domein verschillen. Aan kinderen van twaalf jaar en ouder wordt in het Nederlandse recht in bepaalde situaties (bijvoorbeeld bij het aangaan van een medische behandelingsovereenkomst en bij de invulling van het omgangsrecht na echtscheiding van de ouders) in toenemende mate zeggenschap toegekend.
    
29. Kamerstukken II 2017/18, 34 851, nr. 3, p. 49. 
30. HvJ EU 16 december 2008, ECLI:EU:C:2008:727.
    
31. Kamerstukken II 2017/18, 34 851, nr. 11.
    
32. EHRM 11 juli 2002, Goodwin t. Verenigd Koninkrijk, 28957/95, HR 31 maart 2015, ECLI:NL HR:2015:768.
    
33. Groep Gegevensbescherming artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, zoals laatstelijk gewijzigd en vastgesteld op 6 februari 2018, p. 7. Deze richtsnoeren zijn op 25 mei 2018 overgenomen door het Europees Comité voor gegevensbescherming (“de gezamenlijke toezichthouders”). 
34. Kamerstukken II 2017/18, 34 851, nr. 3, p. 46. 
35. Groep Gegevensbescherming artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, p. 25.
    
36. Kamerstukken II 2017/2018, 34 851, nr. 7, p. 72-73. 
37. Groep Gegevensbescherming artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, zoals laatstelijk gewijzigd en vastgesteld op 6 februari 2018, p. 24-25.
    
38. Kamerstukken II 2017/18, 34926, nr. 2, p. 4-5. 
39. Een uitzondering hierop vormen de verwerkingen in het kader van de Wet op de inlichtingen- en veiligheidsdiensten 2017, en - voor zover de Minister van Defensie hiertoe beslist - de verwerkingen door de krijgsmacht ten behoeve van de uitvoering van haar taken, bedoeld in artikel 97 van de Grondwet (de verdediging en bescherming van de belangen van het Koninkrijk en de handhaving en bevordering van de internationale rechtsorde). Dit is in lijn met artikel 2, tweede lid, onderdeel a, AVG, dat beoogt specifieke activiteiten van staten of overheidsdiensten, zoals nationale veiligheid, van de werking van de AVG uit te sluiten.
40. De Afdeling advisering van de Raad van State adviseert in haar advies over de UAVG om voor mogelijke toekomstige terreinen bedoeld in artikel 2, tweede lid, onderdeel a van de AVG een voorziening te treffen, omdat niet volledig kan worden uitgesloten dat er – buiten het terrein van de nationale veiligheid – soorten gegevensverwerking blijven bestaan die buiten het toepassingsbereik van de AVG zullen vallen (Kamerstukken II 2017/18, 34 851, nr. 4, p. 30.). Nu het HvJ-EU de bestaande uitzondering voor activiteiten die buiten de werkingssfeer van het Unierecht vallen beperkt uitlegt, zoals de Afdeling in voormeld advies ook onderkent, is vooralsnog onduidelijk welk terrein dit concreet zou kunnen betreffen.
41. HvJ EU 21 december 2011, C-482/10, ECLI:EU:C:2011:868, punt 19 (Cicala) ; HvJ EU 18 oktober 2012, C-583/10, ECLI:EU:C:2012:638, punt 47 (Nolan) en HvJ EU 7 november 2013, C-313/12, ECLI:EU:C:2013:718, punt 33 (Romeo), HvJ EU 7 november 2018, ECLI :EU:C:2018:877, punt 36 (K en B/Nederland), HvJ EU, 7 november 2018, ECLI :EU:C:2018:876, punt 33 (C en A/Nederland).