|
WBP |
AVG |
WBP |
AVG |
WBP |
AVG |
|
1 |
4 |
21 |
9 lid 2(h) |
47 |
77, 79 |
|
1(a) |
4 onder 1 |
21 lid 1(a) |
9 lid 2(h) |
48 |
79 |
|
1(b) |
4 onder 2 |
21 lid 1(b) |
9 lid 2(h) |
49 |
82 |
|
1(c) |
4 onder 6 |
21 lid 1(c) |
9 lid 2(h) |
50 |
80, 82 |
|
1(d) |
4 onder 7 |
21 lid 1 (d) |
9 lid 2(h) |
51 |
36, 51, 57 |
|
1(e) |
4 onder 8 |
21 lid 1(e) |
— |
51a |
51 |
|
1(f) |
— |
21 lid 1(f) |
9 lid 2(b) |
52 |
52 |
|
1(g) |
4 onder 10 |
21 lid 2 |
9 lid 3 |
53 |
53, 54 |
|
1(h) |
4 onder 9 |
21 lid 3 |
9 lid 3 |
54 |
53 |
|
1(i) |
4 onder 11 |
21 lid 4 |
9 lid 4, 89 |
55 |
53 |
|
1(j) |
— |
21 lid 5 |
— |
56 |
52 |
|
1(k) |
4 onder 22 |
22 |
10 |
57 |
— |
|
1(l) |
37 |
23 |
9 |
58 |
59 |
|
1(m) |
36 |
23 lid 1(a) |
9 lid 2(a) |
59 |
52, 54 |
|
1(n) |
— |
23 lid 1(b) |
9 lid 2(e) |
59a |
52, 54 |
|
1(o) |
— |
23 lid 1(c) |
9 lid 2(f) |
60 |
55, 77 |
|
1(p) |
— |
23 lid 1(d) |
9 lid 2(c) |
61 |
31, 50, 55, 58, 61, 90 |
|
1(q) |
— |
23 lid 1(e) |
9 lid 2(g) |
62 |
37 |
|
1(r) |
— |
23 lid 1(f) |
9 lid 2(g+i) |
63 |
38 |
|
2 |
2 |
23 lid 2 |
9 lid 2(g), 89 |
64 |
39 |
|
3 |
85 |
23 lid 3 |
9 lid 2(j) |
65 |
83, 84 |
|
4 |
3, 27 |
24 |
87 |
66 |
83 |
|
5 |
7-8 |
25 |
40-41 |
67 |
83 |
|
6 |
5 lid 1(a) |
26 |
40-41 |
71 |
83 |
|
7 |
5 lid 1(b) |
27 |
— |
75 |
83, 84 |
|
8 |
6 lid 1 |
28 |
30 |
76 lid 1 |
45 lid 1 |
|
8 (a) |
6 lid 1(a) |
29 |
30 |
76 lid 2 |
45 lid 1 |
|
8(b) |
6lid 1(b) |
30 |
30 |
76 lid 3 |
45 lid 2 |
|
8(c) |
6 lid 1(c) |
31 |
36 |
77 |
46, 47, 49 |
|
8(d) |
6 lid 1(d) |
32 |
36 |
77 lid 1(a) |
49 lid 1(a) |
|
8(e) |
6 lid 1(e) |
33 |
12, 13 |
77 lid 1(b) |
49 lid 1(b) |
|
8(f) |
6 lid 1(f) |
34 |
12, 14 |
77 lid 1(c) |
49 lid 1(c) |
|
9 |
5 lid 1(b), 6 lid 4, 89 |
34a |
12, 33, 34 |
77 lid 1(d) |
49 lid 1(d+e) |
|
10 |
5 lid 1(e), 89 |
35 |
12, 15 |
77 lid 1(e) |
49 lid 1(f) |
|
11 lid 1 |
5 lid 1(c) |
36 |
12, 16, 17 |
77 lid 1(f) |
46 lid 3, 49 lid 1(g ) |
|
11 lid 2 |
5 lid 1(d) |
37 |
8, 12 |
77 lid 1(g) |
46 lid 3 |
|
12 |
29 |
38 |
12, 19 |
77 lid 2 |
46 lid 3, 47 |
|
13 |
5 lid 1(f), 24, 25, 28, 32 |
39 |
12 |
78 |
45 lid 5 |
|
14 |
28, 32 |
40 |
12, 21 |
79 |
45 lid 9, 46 lid 5, 96, ov. 171* |
|
15 |
5 lid 2 |
41 |
12, 21 |
80 |
97 lid 1 |
|
16 |
9, 10 |
42 |
12, 22 |
81 |
94 |
|
17 |
9 lid 2(d) |
43 |
23 |
82 |
99 |
|
18 |
9 lid 2(g) |
44 |
23, 89 |
83 |
aanhef |
|
19 |
9 lid 2(d) |
45 |
79 |
||
|
20 |
9 lid 2(d) |
46 |
79 |
*legenda: ov. = overweging uit AVG
|
UAVG |
AVG |
UAVG |
AVG |
UAVG |
AVG |
|
|
|
|
|
|
|
|
1 |
4, 10 |
18 |
83 lid 7 |
33 |
10 |
|
2 |
2 |
19 |
|
34 |
79 |
|
2a |
1 |
20 |
58 lid 5 |
35 |
79 |
|
3 |
2 |
21 |
43 |
36 |
58 lid 6, 79 |
|
4 |
3 |
21a |
57, 58, 83 |
37 |
80 |
|
5 |
7, 8 |
22 lid 1 |
9 lid 1 |
38 |
83 |
|
6 |
54 lid 1(a) |
22 lid 2(a) |
9 lid 2(a) |
39 |
38 lid 5 |
|
6 lid 1+2 |
51 |
22 lid 2(b) |
9 lid 2(c) |
40 |
22 |
|
7 |
52 lid 1-3 |
22 lid 2(c) |
9 lid 2(d) |
41 |
23 |
|
7 lid 2 |
54 lid 1(b) |
22 lid 2(d) |
9 lid 2(e) |
42 |
34 |
|
7 lid 3 |
53, 54 lid 1(c) |
22 lid 2(e) |
9 lid 2 (f) |
43 |
85 |
|
7 lid 4 |
54 lid 1(b) |
23 |
9 lid 2(g) |
44 |
89 |
|
7 lid 5 |
54 lid 1(d) |
24 |
9 lid 2(j) |
45 |
89 |
|
7 lid 6 |
54 lid 1(e) |
25 |
9 lid 2(g) |
46 |
87 |
|
8 |
52 lid 1-3, 54 lid 1(f) |
26 |
9 lid 2(g) |
47 |
23 |
|
9 |
52 lid 1-3 |
27 |
9 lid 2(g) |
48 lid 1-9 |
|
|
10 |
52 lid 1-3, 52 lid 4+5 |
28 |
9 lid 2(g), 9 lid 4 |
48 lid 10 |
79, 82 |
|
11 |
52 lid 1-3 |
29 |
9 lid 2(g) |
48 lid 11 |
10, 36 |
|
12 |
52 lid 1-3 |
30 lid 1 |
9 lid 2(b) |
48a |
52 lid 1-4 |
|
13 |
52 lid 1-3 |
30 lid 2 |
9 lid 2(g) |
49 |
|
|
14 lid 1 |
57, 58 lid 1+3 |
30 lid 3 |
9 lid 2(h) |
50 |
97 |
|
14 lid 4 |
58 lid 4 |
30 lid 4 |
9 lid 3 |
51 |
|
|
15 |
58 lid 6 |
30 lid 5 |
9 lid 3 |
52 |
|
|
15 lid 1 |
51, 58 lid 1+3 |
30 lid 6 |
9 lid 3 |
53 |
|
|
16 |
58 lid 6 |
31 |
10 |
54 |
|
|
17 |
84 |
32 |
10 |
|
|
Een verordening werkt in beginsel rechtstreeks en behoeft geen omzetting naar nationaal recht. In de AVG wordt echter op een aantal punten ruimte gelaten voor lidstatelijk recht, hetzij voor een nadere concretisering van de verordening, hetzij voor afwijkingen van en uitzonderingen op specifieke bepalingen van de verordening. Ook verplicht de AVG soms tot het treffen van een regeling in nationaal recht.
In onderstaande tabel is weergegeven hoe de bepalingen uit de AVG waarbij rechtstreekse werking niet volstaat, zijn of worden geïmplementeerd (kolom 3). Ook is een kolom opgenomen waarin wordt aangegeven of het betreffende verordening-artikel een facultatieve bepaling is, en, zo ja, hoe deze is ingevuld in het onderhavige wetsvoorstel.
Tussen haakjes zijn artikelleden en –onderdelen vermeld.
|
AVG artikel |
Onderwerp |
UAVG |
Overweging uit AVG |
Aanwezigheid en invulling van facultatieve bepalingen |
Wbp artikel |
|
Hoofdstuk I AVG – Algemene bepalingen |
|||||
|
1 |
Onderwerp en doelstellingen |
ov. 1-14 |
– |
– |
|
|
2 |
Materiële toepassingsgebied van de AVG |
ov. 14-21, 27 |
– |
2 |
|
|
3 |
Territoriaal toepassingsgebied |
ov. 22-25 |
– |
4 |
|
|
4 |
Definities |
ov. 26-37 |
– |
1 |
|
|
5 |
Beginselen |
ov. 39 |
– |
6, 7, 9-11, 13, 15 |
|
|
Hoofdstuk II AVG – Beginselen voor verwerking |
|||||
|
6(1) |
Grondslagen |
ov. 40-50 |
– |
8 |
|
|
6(2) |
Specifiekere bepalingen inzake wettelijke plicht en taak van algemeen belang |
– |
Van deze mogelijkheid is in dit wetsvoorstel geen gebruikgemaakt. |
– |
|
|
6(3) |
Bepalingen wettelijke plicht/taak van algemeen belang |
ov. 45 |
Deze bepalingen zijn opgenomen in sectorspe-cifieke regelgeving |
– |
|
|
6(4) |
Verenigbaarheid |
ov. 50 |
– |
9 |
|
|
7 |
Voorwaarden voor toestemming |
ov. 32, 33, 42, 43 |
– |
1(i) |
|
|
8 |
Voorwaarden voor toestemming in geval van kind bij internet- en mobieletelefoniediensten |
ov. 38 |
Van de mogelijkheid uit lid 1, slotzin, om te voorzien in een lagere leeftijdsgrens dan 16 jaar is geen gebruikgemaakt. |
5(1) |
|
|
9(1) |
Verbod verwerking bijzondere persoonsgegevens |
22(1) UAVG |
ov. 34, 35, 51 |
– |
16 |
|
9(2) aanhef |
Uitzonderingen |
ov. 51-56 |
– |
||
|
9(2)(a) |
Uitdrukkelijke toestemming |
22(2)(a) UAVG |
ov. 33 |
Van de mogelijkheid om deze uitzonderingsgrond uit te sluiten, is geen gebruikgemaakt. |
23(1)(a) |
|
9(2)(b) |
Socialezekerheidsrechtelijke verwerkingen |
30(1) UAVG |
ov. 52 |
Van deze uitzonderingsbepaling is gebruikge-maakt. |
21(1)(f) |
|
9(2)(c) |
Vitale belangen |
22(2)(b) UAVG |
– |
– |
23(1)(d) |
|
9(2)(d) |
Instelling op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied |
22(2)(c) UAVG |
ov. 55, 56 |
– |
17, 19, 20 |
|
9(2)(e) |
Kennelijk openbaar gemaakte gegevens |
22(2)(d) UAVG |
– |
– |
23(1)(b) |
|
9(2)(f) |
Verdediging van een recht in rechte |
22(2)(e) UAVG |
ov. 52 |
– |
23(1)(c) |
|
9(2)(g) |
Zwaarwegend belang |
23, 25, 26, 27, 28, 29, 30(2) UAVG |
– |
Van deze uitzonderingsbepaling is gebruikgemaakt. |
23(1)(e+ g), 22(5), 18, 19(1) (b), 17(1) (c), 21(4), 21(1)(c,d,e) |
|
9(2)(h) |
Medische redenen en beheer van gezondheidsdiensten en sociale stelsels |
30(3) UAVG |
ov. 52-53 |
Van deze uitzonderingsbepaling is gebruikgemaakt. |
21(1)(a+) |
|
9(2)(i) |
Gezondheidszorg algemeen |
ov. 52, 53, 54 |
Van deze uitzonderingsbepaling is geen gebruikgemaakt. |
23(1)(f) |
|
|
9(2)(j) |
Archivering in alg. belang of wetenschappelijk of historisch onderzoek of statistische doel-einden |
24 UAVG |
– |
Van deze uitzonderingsbepaling is gebruikge-maakt. |
23(2) |
|
9(3) |
Geheimhouding |
30(4) UAVG |
– |
– |
21(2) |
|
9(4) |
Aanvullend recht genetische, biometrische of gezondheidsgegevens |
28 UAVG |
ov. 53 |
Van deze bepaling inzake aanvullende vereisten is gebruikgemaakt. |
21(4) |
|
10 |
Strafrechtelijke persoonsgegevens |
31-33 en 17 UAVG |
– |
Van de mogelijkheid tot uitzonderingen op deze grondslag is gebruikge-maakt. |
16, 22 |
|
11 |
Geen identificatie vereist |
ov. 57 |
– |
– |
|
|
Hoofdstuk III AVG – Rechten van de betrokkene |
|||||
|
12 |
Transparantie algemeen |
ov. 58-59 |
– |
33-42 |
|
|
13 |
Informatieverstrekking (bij direct verkregen persoons-gegevens) |
ov. 60-62 |
– |
33 |
|
|
14 |
Informatieverstrekking (bij indirect verkregen persoons-gegevens) |
ov. 60-62 |
– |
34 |
|
|
15 |
Inzagerecht |
ov. 63-64 |
– |
35 |
|
|
16 |
Correctierecht |
– |
– |
36 |
|
|
17 |
Recht op gegevenswissing / ‘recht op vergetelheid’ |
ov. 65-66 |
– |
36 |
|
|
18 |
Recht op beperking van de verwerking |
ov. 67 |
– |
– |
|
|
19 |
Kennisgevingsplicht inzake rectificatie, wissing of beperking |
ov. 66 |
– |
38 |
|
|
20 |
Dataportabiliteit |
ov. 68 |
– |
– |
|
|
21 |
Recht van bezwaar |
ov. 69-70 |
– |
40, 41 |
|
|
22 |
Geautomatiseerde besluitvorming |
40 UAVG |
ov. 71-72 |
De mogelijkheid tot uitzondering uit lid 2, onderdeel b, is gebruikt. |
42 |
|
23 |
Uitzonderingen/ beperkingen op 5, 12–22, 34 AVG |
41, 42 en 47 UAVG |
ov. 73 |
Van de mogelijkheid tot uitzonderingen is gebruikgemaakt. |
43, 34a(11), 36(5) en 40(4) |
|
Hoofdstuk IV AVG – Verwerkingsverantwoordelijke en verwerker |
|||||
|
24 |
Reikwijdte verantwoordelijkheid van de verwerkingsver-antwoordelijke |
ov. 74-77 |
– |
– |
|
|
25 |
Privacy by design and default |
ov. 78 |
– |
– |
|
|
26 |
Gezamenlijke verwerkingsverantwoor-delijken |
ov. 79 |
– |
– |
|
|
27 |
Vertegenwoordiger van niet in EU geves-tigde verwerkings-verantwoordelijken of verwerkers |
ov. 80 |
– |
4(3) |
|
|
28 |
Verwerker |
ov. 81 |
– |
14, 12 |
|
|
29 |
Verwerking onder gezag |
– |
– |
12(1) |
|
|
30 |
Register verwerkingen |
ov. 82 |
– |
– |
|
|
31 |
Medewerkingsplicht met toezichthouder |
ov. 82 |
– |
61, 66 jo. 5:20 Awb |
|
|
32 |
Beveiliging van verwerking |
ov. 83 |
– |
13, 14 |
|
|
33 |
Meldplicht datalekken aan toezichthouder |
ov. 85, 87, 88 |
– |
34a(1) |
|
|
34 |
Meldplicht datalekken aan betrokkene |
ov. 86-88 |
– |
34a(2) |
|
|
35 |
PIA / GEB |
ov. 84, 89-93 |
– |
– |
|
|
36(1–3) |
Voorafgaande raadpleging toezicht-houder |
ov. 94, 95 |
– |
– |
|
|
36(4) |
Wetgevingsadvisering toezichthouder |
ov. 96 |
– |
51(2) |
|
|
36(5) |
Voorafgaande toestemming bij taak van algemeen belang |
– |
Van de mogelijkheid om in deze gevallen categorisch voorafgaande toestemming verplicht te stellen, is geen gebruikgemaakt. |
– |
|
|
37 |
Aanwijzing functionaris gegevensbescherming |
ov. 97 |
Van de mogelijkheid uit lid 4 om in meer gevallen dan genoemd in lid 1 te verplichten tot aanwijzing van fg’s, is geen gebruikgemaakt. |
62, 63(1) |
|
|
38(1- |
Positie functionaris gegevensbescher-ming |
– |
– |
63 |
|
|
4,6) |
|||||
|
38(5) |
Geheimhoudingsplicht functi-onaris gegevensbescherming |
39 UAVG |
– |
– |
63(4) |
|
39 |
Taken functionaris gegevensbescher-ming |
ov. 97 |
– |
64 |
|
|
40 |
Gedragscodes |
14(2) UAVG t.b.v. 40(5) AVG |
ov. 98-99 |
– |
25-26 |
|
41 |
Toezicht op goedgekeurde gedragscode |
– |
– |
25-26 |
|
|
42 |
Certificering |
ov. 100 |
– |
– |
|
|
43 |
Certificeringsorganen |
21 UAVG |
– |
– |
|
|
Hoofdstuk V AVG – Doorgifte aan derde landen en internationale organisaties |
|||||
|
44 |
Algemeen beginsel inzake doorgiften |
ov. 101, 102 |
– |
– |
|
|
45 |
Doorgiften op basis van adequaatheidsbesluiten |
ov. 103-107, 114 |
– |
76, 78 |
|
|
46 |
Doorgiften op basis van passende waarborgen |
ov. 108-109 |
– |
77(1)(g) en 77(2) |
|
|
47 |
Bindende bedrijfsvoorschriften |
ov. 110 |
– |
– |
|
|
48 |
Niet bij EU-recht toegestane doorgiften of verstrekkingen |
ov. 115 |
– |
– |
|
|
49 |
Afwijkingen voor specifieke situaties internationale doorgifte |
ov. 111-115 |
Eerste lid, onderdeel d, jo. vierde lid: deze mogelijkheid om wegens gewichtige redenen van algemeen belang door-gifte toe te staan, zal in sectorspecifieke regelge-ving moeten worden vast-gesteld, indien passend. Eerste lid, onderdeel g: gegevensverwerkingen uit openbare registers zijn geregeld in de wetge-ving ter zake. |
77 |
|
|
50 |
Samenwerking toezichthouders |
ov. 116 |
– |
61(6) |
|
|
Hoofdstuk VI AVG – Onafhankelijke toezichthoudende autoriteiten |
|||||
|
51 |
Instelling toezichthouder |
6(1+2) en 15(1) UAVG |
ov. 117, 123 |
Van de mogelijkheid om meer dan één toezicht-houder aan te wijzen is geen gebruikgemaakt. |
51 |
|
52(1–3) |
Onafhankelijkheid toezichthouder |
7-13 UAVG |
ov. 118, 120 |
– |
52(2), 59, 59a |
|
52(4+5) |
Lidstaat zorgt voor personele, techni-sche en financiële middelen en voor door toezichthouder gekozen personeel |
10 UAVG |
ov. 120, 121 |
– |
56 |
|
52(6) |
Financieel toezicht |
Huidige Kader-wet zbo’s |
ov. 118 |
– |
– |
|
53 |
Voorwaarden leden toezichthouder, procedure |
7(3) UAVG |
ov. 121 |
– |
53, 54, 55 |
|
54(1)(a) |
Regels inzake instelling toezichthouder |
6 UAVG |
– |
– |
53, 59, 59a |
|
54(1)(b) |
Benoemingsvoorwaarden leden |
7(4+2) UAVG |
– |
– |
53(2+1) |
|
54(1)(c) |
Benoemingsprocedure leden |
7(3) UAVG |
– |
– |
53(3) |
|
54(1)(d) |
Ambtstermijn leden |
7(5) UAVG |
– |
– |
53(3) |
|
54(1)(e) |
Mogelijkheid herbenoeming leden |
7(6) UAVG |
– |
Van de mogelijkheid tot herbenoeming is gebruik-gemaakt |
53(3) |
|
54(1)(f) |
Integriteitsregels |
8 UAVG, huidig 13 Kader-wet zbo’s en 61(4) ARAR |
– |
– |
54 |
|
54(2) |
Geheimhoudingsplicht |
Huidig 125a(3) Ambte-naren-wet |
– |
– |
– |
|
55 |
Competentie toezichthouder |
ov. 20, 122, 123 |
– |
60, 61 |
|
|
56 |
Competentie leidende toezichthouder en one stop shop mechanisme |
ov. 124-128 |
– |
– |
|
|
57 |
Taken toezichthouder |
14(1) UAVG |
ov. 129 |
– |
51 |
|
58(1–3) |
Bevoegdheden toezichthouder |
14(1) en 15(1) UAVG |
ov. 122, 129 |
– |
61, 65 |
|
58(4) |
Waarborgen van toepassing op optreden toezichthouder |
14(4) UAVG en huidige Awb, m.n. hfd. 5 en 8 |
– |
– |
|
|
58(5) |
In rechte optreden tegen inbreuken op AVG |
20 UAVG |
ov. 129 |
– |
– |
|
58(6) |
Mogelijkheid voor lidstaten om toezichthouder bijkomende bevoegdheden te geven |
15, 16 en 36 UAVG en huidige titel 5.2/ 5.3 Awb |
– |
Beleidsruimte gebruikt om Awb-bevoegdheden inzake toezicht op de naleving (titel 5.2 Awb) en last onder dwangsom en last onder bestuurs-dwang te behouden. Ook behoud van bevoegdheid betreden woning (huidig art. 61(2) Wbp). |
47, 61, 65 |
|
59 |
Jaarverslag toezichthouder |
– |
– |
58 |
|
|
Hoofdstuk VII AVG – Samenwerking en coherentie |
|||||
|
60 |
Samenwerking leidende toezichthouder en andere betrokken toezicht-houders |
ov. 130, 131, 138 |
-‑ |
||
|
61 |
Informatie en wederzijdse bijstand |
ov. 133 |
– |
61(6) |
|
|
62 |
Gezamenlijke werkzaamheden toezichthouders |
ov. 134 |
Lid 3: het betreft hier een algemene verwijzing naar het lidstatelijk recht dat voorziet in bevoegdheden voor de toezichthouden-de autoriteit. |
– |
|
|
63 |
Coherentiemechanisme |
ov. 135 |
– |
– |
|
|
64 |
Advies van het Comité |
ov. 136 |
– |
– |
|
|
65 |
Geschillenbeslechting door het Comité |
ov. 136 |
– |
– |
|
|
66 |
Spoedprocedure betrokken toezicht-houder |
ov. 137 |
– |
– |
|
|
67 |
Informatie-uitwisseling |
– |
|||
|
68 |
Europees Comité voor gegevensbe-scherming |
ov. 139 |
– |
– |
|
|
69 |
Onafhankelijkheid Comité |
ov. 139 |
– |
– |
|
|
70 |
Taken Comité |
ov. 139 |
– |
– |
|
|
71 |
Jaarverslag Comité |
– |
– |
– |
|
|
72 |
Procedurevoorschriften Comité |
‑ |
|||
|
73 |
Voorzitter Comité |
– |
– |
– |
|
|
74 |
Taken voorzitter Comité |
ov. 139 |
– |
– |
|
|
75 |
Secretariaat Comité |
ov. 140 |
– |
– |
|
|
76 |
Vertrouwelijkheid Comité |
– |
– |
– |
|
|
Hoofdstuk VIII AVG – Beroep, aansprakelijkheid en sancties |
|||||
|
77 |
Klachtrecht bij toezichthouder |
ov. 141 |
– |
60 |
|
|
78(1, 4) |
Voorziening in rechte tegen toezichthouder |
Huidig hfd. 6-8 Awb |
ov. 143 |
– |
– |
|
78(2) |
Voorziening bij niet behandelen klacht |
Huidig 4:13, 6:2 en 6:12 Awb |
ov. 143 |
– |
– |
|
79 |
Voorziening in rechte tegen verwerkingsverantwoordelijke of verwerker |
34/35/ 36 UAVG en hui-dig hfd. 8 Awb en Wetboek Burg. Rv |
ov. 145 |
– |
45-48 |
|
80 |
Vertegenwoordiging van betrokkenen |
37 UAVG |
ov. 142 |
Lid 2: er is geen behoefte aan de ruimte die dit ar-tikel laat voor lidstatelijk recht. |
50(2) |
|
81 |
Schorsing procedure i.v.m. litispendentie |
ov. 144 |
– |
– |
|
|
82 |
Recht op schadevergoeding en aansprakelijkheid |
Huidige titel 8.4 Awb of civiele rechter |
ov. 146-147 |
– |
49, 50 |
|
83(1–6,9) |
Voorwaarden aan opleggen van administratieve boetes |
14(3) UAVG |
ov. 148-152 |
– |
66-71 |
|
83(7) |
Mogelijkheid van regels over boetes aan overheden |
18 UAVG |
– |
Van de mogelijkheid is gebruikgemaakt. |
– |
|
83(8) |
Procedurele waarborgen |
Huidige titel 5.4 en hfd. 6-8 Awb |
ov. 148 |
– |
– |
|
83(9) |
Rechtsstelsel zonder administratieve boetes |
ov. 151 |
– |
||
|
84 |
Andere sancties van nationaal recht |
17 UAVG |
– |
– |
75 |
|
Hoofdstuk IX AVG – Specifieke verwerkingen |
|||||
|
85 |
Verwerking en vrijheid van meningsuiting en informatievrijheid |
43 UAVG en 7(1) Grondw. |
ov. 153 |
– |
3 |
|
86 |
Verwerking en toegang tot officiële documenten |
Huidig 10(1)(d) Wob |
ov. 154 |
– |
– |
|
87 |
Verwerking nationaal identificatienummer |
46 UAVG, huidige Wabb en Wet aanv. bep. verw. per-soonsge-gevens in de zorg |
– |
– |
24 |
|
88 |
Verwerking in kader arbeidsverhouding |
ov. 155 |
Van de mogelijkheid tot specifieke bepalingen over gegevenswerking in het kader van arbeids-verhoudingen is geen gebruikgemaakt. |
– |
|
|
89 |
Archivering in het algemeen belang en wetenschappelijke, historische of statis-tische doeleinden |
44 en 45 UAVG |
ov. 156-163 |
De mogelijkheden uit lid 2 en 3 om uitzonderingen te maken, zijn gebruikt. |
9(3), 10(2), 44 |
|
90 |
Geheimhoudingsplicht aanvullend nationaal recht |
15(4) UAVG |
ov. 164 |
De mogelijkheid van lid 1 van een uitzondering op geheimhoudingsplichten i.v.m. toezicht is gebruikt. |
61(5) |
|
91 |
Bestaande regels kerken en religieuze verenigingen |
ov. 165 |
– |
– |
|
|
Hoofdstuk X AVG – Gedelegeerde handelingen |
|||||
|
92 |
Uitoefening van bevoegdheidsdelegatie |
ov. 166, 167 |
– |
– |
|
|
93 |
Comitéprocedure |
ov. 168-169 |
– |
– |
|
|
Hoofdstuk XI AVG – Slotbepalingen en overgangsrecht |
|||||
|
94 |
Intrekken richtlijn 95/46/EG |
ov. 171 |
– |
– |
|
|
95 |
Verhouding tot richtlijn 2002/58/EG |
ov. 173 |
– |
– |
|
|
96 |
Verhouding tot eerder gesloten over-eenkomsten |
– |
– |
– |
|
|
97 |
Commissieverslagen |
– |
– |
– |
|
|
98 |
Toetsing andere EU-regels gegevens-bescherming |
– |
– |
– |
|
|
99 |
Inwerkingtreding en toepassing |
– |
– |
– |
|
De AVG introduceert een uitgebreid nieuw stelsel van boetemogelijkheden. Meer soorten overtredingen kunnen worden beboet en boetes kunnen aanzienlijk hoger uitvallen dan onder de Wbp het geval was. Naleving van de privacyregels is daarmee niet vrijblijvend meer. De AVG introduceert twee typen overtredingen:
overtredingen die zien op de basisbeginselen uit de AVG;
overtredingen die voornamelijk zien op administratieve verplichtingen.
Overtredingen van de eerste categorie kunnen worden bestraft met een geldboete van maximaal € 20.000.000 of 4% van de wereldwijde jaaromzet in het voorgaande boekjaar indien dit hoger is (art. 83 lid 5 AVG). Voor overtredingen van de tweede categorie is dit maximaal € 10.000.000 of 2% van de wereldwijde jaaromzet in het voorgaande boekjaar indien dit hoger is (art. 83 lid 4 AVG). De AVG schrijft geen minimale boete voor. Art. 83 lid 3 AVG bevat een anti-cumulatiebeding.
Uit de AVG volgt verder dat een toezichthouder zorgvuldig moet afwegen of het opleggen van een geldboete passend (doeltreffend, evenredig en voldoende afschrikwekkend) is voor de overtreding. Wanneer het gaat om een kleine inbreuk kan ook gekozen worden voor een berisping in plaats van een geldboete (art. 58 lid 2 AVG). Een combinatie van een corrigerende maatregel en een boete is ook mogelijk. De AVG noemt enkele specifieke (verzachtende) omstandigheden waar de AP rekening mee moet houden bij het opleggen van een boete (art. 83 lid 2 AVG). Een boete moet niet worden verward met een (last onder) dwangsom.
Het is gebruikelijk dat bestuurlijke toezichthouders zoals de AP de wijze waarop zij de hoogte van een boete bepalen, vastleggen in beleidsregels. De AP beschikt over een dergelijk boetebeleid (Boetebeleidregels Autoriteit Persoonsgegevens 2019). Deze beleidsregels hebben de oude beleidsregels uit 2016 vervangen.
Het besluit tot oplegging van een boete is een besluit in de zin van de Algemene wet bestuursrecht (Awb) en zal aan de voorwaarden van, in het bijzonder, titel 5.4 Awb moeten voldoen. De opgelegde boete zal proportioneel moeten zijn in het licht van de geconstateerde overtreding (art. 5:46 Awb). Het boetebesluit zal onderworpen zijn aan de gebruikelijke bestuursrechtelijke rechtsbescherming bij punitieve bestuurlijke sancties. Dit betekent allereerst dat er bezwaar openstaat tegen het opleggen van de boete. Vervolgens staat beroep open bij de bestuursrechter, en ten slotte hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State.
In art. 18 UAVG is voorts bepaald dat boetes ook kunnen worden opgelegd aan overheden.
In onderstaande tabel is gemakshalve weergegeven welke boetecategorie bij welk artikel uit de AVG hoort:
|
Artikel |
Onderwerp |
Inbreuk onderworpen aan geldboete |
Boete* |
|
5 |
Beginselen inzake verwerking van persoonsgegevens |
– De basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming |
€ 0 – € 20.000.000 of 4% van omzet** |
|
6 |
Rechtmatigheid van de verwerking |
– De basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming |
€ 0 – € 20.000.000 of 4% van omzet** |
|
7 |
Voorwaarden voor toestemming |
– De basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming |
€ 0 – € 20.000.000 of 4% van omzet** |
|
8 |
Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
9 |
Verwerking van bijzondere categorieën van persoonsgegevens |
– De basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming |
€ 0 – € 20.000.000 of 4% van omzet** |
|
10 |
Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (in samenhang met art. 17 UAVG) |
– De basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming |
€ 0 – € 20.000.000 of 4% van omzet** |
|
11 |
Verwerking waarvoor identificatie niet is vereist |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
12 |
Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene |
– De rechten van de betrokkenen |
€ 0 – € 20.000.000 of 4% van omzet** |
|
13 |
Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld |
– De rechten van de betrokkenen |
€ 0 – € 20.000.000 of 4% van omzet** |
|
14 |
Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen |
– De rechten van de betrokkenen |
€ 0 – € 20.000.000 of 4% van omzet** |
|
15 |
Recht van inzage van de betrokkene |
– De rechten van de betrokkenen |
€ 0 – € 20.000.000 of 4% van omzet** |
|
16 |
Recht op rectificatie |
– De rechten van de betrokkenen |
€ 0 – € 20.000.000 of 4% van omzet** |
|
17 |
Recht op gegevenswissing (’recht op vergetelheid’) |
– De rechten van de betrokkenen |
€ 0 – € 20.000.000 of 4% van omzet** |
|
18 |
Recht op beperking van de verwerking |
– De rechten van de betrokkenen |
€ 0 – € 20.000.000 of 4% van omzet** |
|
19 |
Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking |
– De rechten van de betrokkenen |
€ 0 – € 20.000.000 of 4% van omzet** |
|
20 |
Recht op overdraagbaarheid van gegevens |
– De rechten van de betrokkenen |
€ 0 – € 20.000.000 of 4% van omzet** |
|
21 |
Recht van bezwaar |
– De rechten van de betrokkenen |
€ 0 – € 20.000.000 of 4% van omzet** |
|
22 |
Geautomatiseerde individuele besluitvorming, waaronder profilering |
– De rechten van de betrokkenen |
€ 0 – € 20.000.000 of 4% van omzet** |
|
25 |
Gegevensbescherming door ontwerp en door standaardinstellingen |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
26 |
Gezamenlijke verwerkingsverantwoordelijken |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
27 |
Vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
28 |
Verwerker |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
29 |
Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
30 |
Register van de verwerkingsactiviteiten |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
31 |
Medewerking met de toezichthoudende autoriteit |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
32 |
Beveiliging van de verwerking |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
33 |
Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
34 |
Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
35 |
Gegevensbeschermingseffectbeoordeling |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
36 |
Voorafgaande raadpleging |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
37 |
Aanwijzing van de functionaris voor gegevensbescherming |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
38 |
Positie van de functionaris voor gegevensbescherming |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
39 |
Taken van de functionaris voor gegevensbescherming |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
41 lid 4 |
Toezicht op goedgekeurde gedragscodes |
– De verplichtingen van het toezichthoudend orgaan |
€ 0 – € 10.000.000 of 2% van omzet** |
|
42 |
Certificering |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
43 |
Certificeringsorganen |
– De verplichtingen van de verwerkingsverantwoordelijke en de verwerker |
€ 0 – € 10.000.000 of 2% van omzet** |
|
44 |
Algemeen beginsel inzake doorgiften |
– De doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie |
€ 0 – € 20.000.000 of 4% van omzet** |
|
45 |
Doorgiften op basis van adequaatheidsbesluiten |
– De doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie |
€ 0 – € 20.000.000 of 4% van omzet** |
|
46 |
Doorgiften op basis van passende waarborgen |
– De doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie |
€ 0 – € 20.000.000 of 4% van omzet** |
|
47 |
Bindende bedrijfsvoorschriften |
– De doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie |
€ 0 – € 20.000.000 of 4% van omzet** |
|
48 |
Niet bij Unierecht toegestane doorgiften of verstrekkingen |
– De doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie |
€ 0 – € 20.000.000 of 4% van omzet** |
|
49 |
Afwijkingen voor specifieke situaties |
– De doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie |
€ 0 – € 20.000.000 of 4% van omzet** |
|
58 lid 1 |
Bevoegdheden |
– Niet-verlening van toegang |
€ 0 – € 20.000.000 of 4% van omzet** |
|
58 lid 2 |
Bevoegdheden |
– Niet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen |
€ 0 – € 20.000.000 of 4% van omzet** |
|
85 |
Verwerking en vrijheid van meningsuiting en van informatie |
– Alle verplichtingen uit door de lidstaten vastgesteld recht |
€ 0 – € 20.000.000 of 4% van omzet** |
|
86 |
Verwerking en recht van toegang van het publiek tot officiële documenten |
– Alle verplichtingen uit door de lidstaten vastgesteld recht |
€ 0 – € 20.000.000 of 4% van omzet** |
|
87 |
Verwerking van het nationaal identificatienummer |
– Alle verplichtingen uit door de lidstaten vastgesteld recht |
€ 0 – € 20.000.000 of 4% van omzet** |
|
88 |
Verwerking in het kader van de arbeidsverhouding |
– Alle verplichtingen uit door de lidstaten vastgesteld recht |
€ 0 – € 20.000.000 of 4% van omzet** |
|
89 |
Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden |
– Alle verplichtingen uit door de lidstaten vastgesteld recht |
€ 0 – € 20.000.000 of 4% van omzet** |
|
90 |
Geheimhoudingsplicht |
– Alle verplichtingen uit door de lidstaten vastgesteld recht |
€ 0 – € 20.000.000 of 4% van omzet** |
|
91 |
Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen |
– Alle verplichtingen uit door de lidstaten vastgesteld recht |
€ 0 – € 20.000.000 of 4% van omzet** |
* Indien het cijfer, voor ondernemingen, van het percentage van de omzet hoger is wordt deze als maximum aangehouden.
** Met omzet wordt bedoeld de totale wereldwijde jaaromzet in het voorgaande boekjaar.
Voorts heeft de AP nieuwe beleidsregels bekendgemaakt aan de hand waarvan de hoogte van bestuurlijke boetes wordt bepaald, de Boetebeleidsregels Autoriteit Persoonsgegevens 2019 (“Boetebeleidsregels”). Hiermee bepaalt de AP de hoogte van de boetes voor de overtreding van een aantal wetten. Het gaat om overtredingen van de AVG, UAVG, Tw, eIDAS-verordening, Awb, Wet politiegegevens en Wet justitiële en strafvorderlijke gegevens. De AP gebruikt hiervoor categorieën en boetebandbreedtes. De categorieën zijn opgedeeld naar rato van de hoogte van de boetemaxima. Vervolgens zijn per categorie drie of vier verschillende boetebandbreedtes vastgesteld.
Ook is er per categorie een basisboete. De basisboete is het startpunt voor de vaststelling van de hoogte. De basisboete wordt namelijk verhoogd of verlaagd door de mate waarin bepaalde factoren daartoe aanleiding geven (art. 7 Boetebeleidsregels). Deze factoren zijn:
de aard, ernst en duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie, alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
de opzettelijke of nalatige aard van de inbreuk;
de door de verwerkingsverantwoordelijke of verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;
de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is, gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig art. 25 en 32 AVG;
eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;
de mate waarin er met de AP is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen te beperken;
de categorieën persoonsgegevens waarop de inbreuk betrekking heeft;
de wijze waarop de AP kennis heeft gekregen van de inbreuk (met name de melding);
de naleving van de maatregelen van art. 58 lid 2 AVG, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;
het aansluiten bij een goedgekeurde gedragscode ex. art. 40 AVG of een goedgekeurd certificeringsmechanisme ex. art. 42 AVG; en
elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.
Alle overtredingen van artikelen van de AVG vallen onder art. 2 Boetebeleidsregels, zijnde een overtreding met een wettelijk boetemaximum van € 10.000.000 respectievelijk € 20.000.000 of, voor een onderneming, tot 2% respectievelijk 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar.
In onderstaande tabel staat weergegeven welke artikelen uit de AVG onder welke boetebandbreedte vallen. De AP kan hier overigens in een concreet geval van afwijken indien de betreffende bandbreedte geen passende bestraffing biedt (art. 8 Boetebeleidsregels). De tabel is een samenvatting van bijlage 1 en 2 van de beleidsregels en betreft alleen de overtredingen van de AVG.
|
Categorieën voor boetes met een maximum van € 10.000.000 resp. € 20.000.000, of 2% resp. 4% van de totale wereldwijze jaaromzet in het voorgaande boekjaar: |
|||
|
Categorie |
Boetebandbreedte |
Basisboete |
Artikelen uit de AVG/UAVG* |
|
I |
€ 0 – € 200.000 |
€ 100.000 |
11, 26, 28 lid 9, 29 (indien natuurlijk persoon), 30 lid 3, 35 lid 9, 37 lid 7, 38 lid 2 en 6, 41 lid 4, 42 lid 3 en 43 AVG. |
|
II |
€ 120.000 – € 500.000 |
€ 310.000 |
8, 12 lid 3-5, 18 lid 3, 19, 21 lid 4, 25, 27 lid 3, 28 (m.u.v. lid 9), 29 (indien rechtspersoon), 30 (m.u.v. lid 3), 32, 33 lid 3, 34 lid 2, 35 (m.u.v. lid 9), 36, 37 (m.u.v. lid 7), 38 (m.u.v. lid 2 en 6), 39, 42 (m.u.v. lid 3 en 6) AVG. |
|
III |
€ 300.000 – € 750.000 |
€ 525.000 |
5(1) (m.u.v. onder a), 6, 7, 12 (m.u.v. lid 3-5), 13-17, 18 (m.u.v. lid 3), 20, 21 (m.u.v. lid 4), 27 (m.u.v. lid 3), 31, 33 (m.u.v. lid 3), 34 (m.u.v. lid 2), 42 lid 6, 44-49 AVG; 87 AVG jo. 46 lid 2 UAVG, 89 AVG jo. 46 lid 2 UAVG. |
|
IV |
€ 450.000 – 1.000.000 |
€ 725.000 |
9, 22, 58 lid 1 en 2 AVG; 87 AVG jo. 46 lid 1 UAVG; 17 lid 1 UAVG. |
*Bepaalde overtredingen uit bijlage 1 en 2 van de beleidsregels zijn niet in bovenstaande tabel verwerkt. Dit zijn overtredingen die tevens een overtreding van een onderliggende bepaling vormen, waardoor de boete afhankelijk is van de onderliggende bepaling. Dit betreft overtredingen van art. 5 lid 1 sub a en lid 2 AVG, art. 85 t/m 91 AVG (voor zover ze niet in bovenstaande tabel zijn verwerkt) en art. 18 lid 1 UAVG.
