Wet van 16 mei 2018, houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming)

Uitvoeringswet Algemene verordening gegevensbescherming

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.
Allen, die deze zullen zien of horen lezen, saluut! doen te weten:
Alzo Wij in overweging genomen hebben, dat het noodzakelijk is te voorzien in wettelijke regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119);

Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:

Hoofdstuk

1

Algemene bepalingen

Artikel

1

Definities

In deze wet en de daarop berustende bepalingen wordt verstaan onder:

  • bijzondere categorieën van persoonsgegevens: de categorieën van persoonsgegevens, bedoeld in artikel 9, eerste lid, van de verordening

  • Onze Minister: Onze Minister voor Rechtsbescherming;

  • persoonsgegevens van strafrechtelijke aard: persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen als bedoeld in artikel 10 van de verordening, alsmede persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag;

  • verordening: verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119).

Artikel

2

Materiële reikwijdte

Artikel

2a

Inachtneming behoeften kleine, middelgrote en micro-ondernemingen

De Autoriteit persoonsgegevens neemt bij de toepassing van de verordening de specifieke behoeften van kleine, middelgrote en micro-ondernemingen als bedoeld in artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PbEU 2003 L124) in aanmerking.

Artikel

3

Schakelbepaling verwerkingen buiten werkingssfeer verordening

Artikel

4

Territoriale reikwijdte

Artikel

5

Toestemming van wettelijk vertegenwoordiger

Hoofdstuk

2

De Autoriteit persoonsgegevens

Paragraaf

2.1

Oprichting en inrichting van de Autoriteit persoonsgegevens

Artikel

6

Oprichting en aanwijzing als toezichthoudende autoriteit

Artikel

7

Samenstelling

Artikel

8

Disciplinaire maatregelen voorzitter en andere leden

De artikelen 46c, 46d, tweede lid, 46f, 46g, 46i, met uitzondering van het eerste lid, onderdeel c, 46j, 46l, eerste en derde lid, 46m, 46n, 46o en 46p van de Wet rechtspositie rechterlijke ambtenaren zijn van overeenkomstige toepassing op de voorzitter en de andere leden van de Autoriteit persoonsgegevens, met dien verstande dat:

  • a.

    de disciplinaire maatregel bedoeld in artikel 46c, eerste lid, ten aanzien van de andere leden van de Autoriteit persoonsgegevens door de voorzitter van de Autoriteit persoonsgegevens wordt opgelegd;

  • b.

    het in artikel 46c, eerste lid, onderdeel b, genoemde verbod zich in een onderhoud of een gesprek in te laten met partijen of hun advocaten of gemachtigden of een bijzondere inlichting of schriftelijk stuk van hen aan te nemen, niet op de voorzitter en de andere leden van de Autoriteit persoonsgegevens van toepassing is;

  • c.

    de disciplinaire maatregel bedoeld in artikel 46c, eerste lid, ten aanzien van de voorzitter van de Autoriteit persoonsgegevens door de president van het gerechtshof Den Haag wordt opgelegd.

Artikel

9

Rechtspositie voorzitter, andere leden en buitengewone leden

De rechtspositie van de voorzitter, de andere leden en de buitengewone leden wordt geregeld bij of krachtens algemene maatregel van bestuur.

Artikel

10

Secretariaat

De Autoriteit persoonsgegevens heeft een secretariaat.

Artikel

11

Begroting, verantwoording en vertegenwoordigingsbevoegdheid

Artikel

12

Beperking inlichtingenplicht jegens minister

Artikel 20 van de Kaderwet zelfstandige bestuursorganen is niet van toepassing indien de Autoriteit persoonsgegevens de informatie van derden heeft verkregen onder de voorwaarde dat het geheime karakter daarvan wordt gehandhaafd.

Paragraaf

2.2

De uitoefening van de taken en bevoegdheden van de Autoriteit persoonsgegevens

Artikel

14

Taken en bevoegdheden

Artikel

15

Toezicht op de naleving

Artikel

16

Last onder bestuursdwang

Artikel

17

Boete bij onrechtmatige verwerking persoonsgegevens strafrechtelijke aard

Artikel

18

Bestuurlijke boete aan overheden

Artikel

19

Samenwerking met andere toezichthouders

Artikel

20

In rechte optreden tegen inbreuken op verordening inzake doorgifte naar derde land

Artikel

21

Aanwijzing accrediterende instantie

Bij ministeriële regeling wordt of de Autoriteit persoonsgegevens of de Raad voor Accreditatie of worden zij beide aangewezen als accrediterende instantie als bedoeld in artikel 43 van de verordening.

Artikel

21a

Hoofdstuk

3

Bepalingen ter uitvoering van de verordening

Paragraaf

3.1

Bijzondere categorieën van persoonsgegevens

Artikel

22

Verwerkingsverbod bijzondere categorieën persoonsgegevens en algemene uitzonderingen uit verordening

Artikel

23

Nationaalrechtelijke algemene uitzonderingen

Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing, indien:

  • a.

    de verwerking noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting;

  • b.

    de gegevens worden verwerkt door de Autoriteit persoonsgegevens of een ombudsman als bedoeld in artikel 9:17 van de Algemene wet bestuursrecht, en voor zover de verwerking noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken, onder voorwaarde dat bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; of

  • c.

    de verwerking noodzakelijk is in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt.

Artikel

24

Uitzonderingen voor wetenschappelijk of historisch onderzoek of statistische doeleinden

Gelet op artikel 9, tweede lid, onderdeel j, van de verordening, is het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing, indien:

  • a.

    de verwerking noodzakelijk is met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, eerste lid, van de verordening;

  • b.

    het onderzoek, bedoeld in onderdeel a, een algemeen belang dient;

  • c.

    het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost; en

  • d.

    bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

Artikel

25

Uitzonderingen inzake verwerking persoonsgegevens waaruit ras of etnische afkomst blijkt

Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om persoonsgegevens te verwerken waaruit ras of etnische afkomst blijkt, niet van toepassing, indien de verwerking geschiedt:

  • a.

    met het oog op de identificatie van de betrokkene, en slechts voor zover de verwerking voor dat doel onvermijdelijk is; of

  • b.

    met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen, verband houdende met de grond ras of etnische afkomst, op te heffen of te verminderen, en slechts voor zover:

    • 1°.

      de verwerking voor dat doel noodzakelijk is;

    • 2°.

      de gegevens betrekking hebben op het geboorteland van de betrokkene, diens ouders of diens grootouders, dan wel op andere, bij wet vastgestelde criteria op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een bepaalde etnische of culturele minderheidsgroep behoort; en

    • 3°.

      de betrokkene tegen de verwerking geen schriftelijk bezwaar heeft gemaakt.

Artikel

26

Uitzonderingen inzake verwerking persoonsgegevens waaruit politieke opvattingen blijken voor vervulling openbare functies

Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om persoonsgegevens te verwerken waaruit politieke opvattingen blijken, niet van toepassing, indien de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescolleges.

Artikel

27

Uitzonderingen inzake verwerking persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken voor geestelijke verzorging

Artikel

28

Uitzonderingen inzake genetische gegevens

Artikel

29

Uitzonderingen inzake biometrische gegevens

Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Artikel

30

Uitzonderingen inzake gegevens over gezondheid

Paragraaf

3.2

Persoonsgegevens van strafrechtelijke aard

Artikel

31

Uitzonderingen op de verplichting tot verwerking onder overheidstoezicht

Onverminderd artikel 10 van de verordening mogen persoonsgegevens van strafrechtelijke aard alleen worden verwerkt voor zover dit krachtens de artikelen 32 en 33 is toegestaan.

Artikel

32

Algemene uitzonderingsgronden inzake gegevens van strafrechtelijke aard

Persoonsgegevens van strafrechtelijke aard mogen worden verwerkt, indien:

  • a.

    de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden;

  • b.

    de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon, indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;

  • c.

    de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;

  • d.

    de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;

  • e.

    de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang als bedoeld in artikel 23, onderdelen a en b; of

  • f.

    de verwerking noodzakelijk is met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, eerste lid, van de verordening, en is voldaan aan de voorwaarden, bedoeld in artikel 24, onderdelen b tot en met d.

Artikel

33

Overige uitzonderingsgronden inzake gegevens van strafrechtelijke aard

Paragraaf

3.3

Rechtsbescherming

Artikel

34

Toepasselijkheid Algemene wet bestuursrecht bij beslissing van bestuursorganen

Een schriftelijke beslissing op een verzoek als bedoeld in de artikelen 15 tot en met 22 van de verordening wordt genomen binnen de in artikel 12, derde lid, van de verordening genoemde termijnen en geldt, voor zover deze is genomen door een bestuursorgaan, als een besluit in de zin van de Algemene wet bestuursrecht.

Artikel

35

Toepasselijkheid burgerlijk recht bij beslissing van niet-bestuursorganen

Artikel

36

Geschilbeslechting door Autoriteit persoonsgegevens of via gedragscode

Artikel

38

Opschortende werking bezwaar en beroep

De werking van de beschikking tot oplegging van de bestuurlijke boete wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt of beroep is ingesteld, totdat op het bezwaar of het beroep is beslist.

Paragraaf

3.4

De functionaris voor gegevensbescherming

Artikel

39

Geheimhoudingsplicht

De functionaris voor gegevensbescherming, bedoeld in de artikelen 37 tot en met 39 van de verordening, is verplicht tot geheimhouding van hetgeen hem op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene in bekendmaking toestemt.

Hoofdstuk

4

Uitzonderingen en beperkingen

Artikel

40

Uitzonderingen op verbod geautomatiseerde individuele besluitvorming

Artikel

41

Uitzonderingen op rechten betrokkene en plichten verwerkingsverantwoordelijke

Artikel

42

Uitzondering op meldplicht datalekken aan de betrokkene

Artikel 34 van de verordening is niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht.

Artikel

43

Uitzonderingen inzake journalistieke doeleinden of academische, artistieke of literaire uitdrukkingsvormen

Artikel

44

Uitzonderingen inzake wetenschappelijk onderzoek en statistiek

Indien een verwerking wordt verricht door instellingen of diensten voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor statistische of wetenschappelijke doeleinden kunnen worden gebruikt, kan de verwerkingsverantwoordelijke de artikelen 15, 16 en 18 van de verordening buiten toepassing laten.

Artikel

45

Uitzonderingen inzake archivering in het algemeen belang

Artikel

46

Verwerking nationaal identificatienummer

Artikel

47

Uitzonderingen op rechten betrokkene bij openbare registers

Hoofdstuk

5

Overgangs- en slotbepalingen

Artikel

48

Overgangsrecht

Artikel

48a

Overgangsrecht II

Artikel

49

Samenloop

Wijzigt deze wet.

Artikel

50

Evaluatie

Onze Minister zendt binnen drie jaar na de inwerkingtreding van deze wet, en vervolgens telkens na vier jaar, aan de Staten-Generaal een verslag over de effecten van deze wet in de praktijk en over de uitvoering van de wet in de praktijk.

Artikel

52

Citeertitel verordening

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) wordt in overige wetgeving aangehaald als: Algemene verordening gegevensbescherming.

Artikel

53

Inwerkingtreding

De artikelen van deze wet treden in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

Artikel

54

Citeertitel wet

Deze wet wordt aangehaald als: Uitvoeringswet Algemene verordening gegevensbescherming.

Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.

Gegeven te

Wassenaar
Willem-Alexander
De Minister voor Rechtsbescherming, S. Dekker
De Minister van Binnenlandse Zaken en Koninkrijksrelaties, K.H. Ollongren
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus