Voor de overheid: wetgevingstoetsing

De Autoriteit Persoonsgegevens moet gevraagd worden om een toets bij het opstellen van wet- en regelgeving die betrekking heeft op verwerking van persoonsgegevens. 

Deze verplichting volgt uit artikel 36, vierde lid, van de Algemene verordening gegevensbescherming (AVG). De AP kan ook op eigen initiatief wetgeving toetsen. Het doel van wetgevingstoetsing (voorheen aangeduid als 'wetgevingsadvisering') is dat de voorgenomen wetgeving voldoet aan de AVG. En dat de privacyrisico's voor de betrokkenen worden beperkt.

Op deze pagina

In welk geval vraagt u de AP om een toets?

U beoordeelt zelf of u de AP om een toets moet vragen. Dit doet u door te toetsen aan artikel 36, vierde lid, AVG. Hierin staat:

"De lidstaten raadplegen de toezichthoudende autoriteit bij het opstellen van een voorstel voor een door een nationaal parlement vast te stellen wetgevingsmaatregel, of een daarop gebaseerde regelgevingsmaatregel die betrekking heeft op verwerking."

Bij wetsvoorstellen én lagere regelgeving

Uit de AVG volgt dat u de AP dus niet alleen om een toets moet vragen bij wetsvoorstellen, maar ook bij algemene maatregelen van bestuur (AMvB's) en ministeriële regelingen.

Ruim criterium

Het criterium 'betrekking hebben op verwerking' is vrij ruim. U moet een toets vragen bij voorgenomen wet- of regelgeving als deze op enigerlei wijze de verwerking van persoonsgegevens in juridische zin wijzigt, raakt of beïnvloedt.

Dat is in elk geval aan de orde bij wetgeving die ruimte benut die de AVG de nationale wetgever biedt. Zoals in artikel 6 van de AVG: wetgeving die beoogt een nieuwe grondslag te bieden voor een gegevensverwerking (in de zin van artikel 6, eerste lid, onder c of e) of die beoogt wetgeving te wijzigen die daarover gaat.

U moet uiteraard ook een toets vragen bij wetgeving die bijvoorbeeld een uitzondering inhoudt op het verbod op de verwerking van bijzondere persoonsgegevens (artikel 9 AVG) of strafrechtelijke persoonsgegevens (artikel 10 AVG).

Wanneer geen toets

De voorgenomen wet- of regelgeving moet wel zien op, of in verband staan met, verwerkingen van persoonsgegevens. Het gaat dus niet om wetgeving die niet een specifieke basis biedt voor verwerkingen en ook niets bepaalt over verwerkingen.

Ook niet als de wetgeving in de praktijk feitelijk wel zou kunnen leiden tot nieuwe of extra verwerkingen. Bijvoorbeeld wanneer de beoogde wetgeving niets bepaalt over persoonsgegevens in een aanvraag, maar wel zal leiden tot meer aanvragen en dus meer verwerkingen.

Een toets is ook niet nodig als wet- of regelgeving geen enkele wijziging brengt in het regime dat al geldt voor de betrokken verwerkingen (qua omvang, soort verwerkingen, juridisch regime, impact, doelen of anderszins). Bijvoorbeeld wanneer alleen beoogd wordt bestaande bepalingen ongewijzigd in een andere of meer omvattende wet op te nemen.

Op welk moment vraagt u de AP om een toets?

Op welk moment u de AP om een toets vraagt, hangt af van de vraag of het concept al voldoende is uitgewerkt en – bij voorgenomen lagere regelgeving – of de delegatiegrondslag al voldoende vaststaat.

Toets van wetsvoorstel

U kunt de AP om een toets vragen van het concept zodra hierin de afwegingen en de bepalingen over de verwerking van persoonsgegevens voldoende zijn uitgewerkt. Dat betekent in de praktijk dat u aan deze eisen moet voldoen:

  • u heeft de 'data protection impact assessment' (DPIA) afgerond, als u die moet doen;
  • de afwegingen en keuzes over de nodige verwerkingen zijn gemaakt;
  • een verantwoording daarvan is in een toelichting beschikbaar.

Als dat nodig is voor uw planning, mag u alvast een toets vragen in de periode dat ook een internetconsultatie plaatsvindt. Mits de relevante bepalingen en gemaakte afwegingen dan al voldoende uitgewerkt zijn.

Toets van lagere regelgeving zonder bestaande delegatiegrondslag

  • Bij een AMvB of een regeling kunt u uw toetsaanvraag doen zodra het wetsvoorstel met de delegatiegrondslag is aangenomen door de Tweede Kamer.
  • Gaat het om een ministeriële regeling op basis van een delegatiebepaling in een AMvB? Dan kunt u uw toetsaanvraag doen zodra deze delegatiegrondslag voor advies is voorgelegd aan de afdeling Advisering van de Raad van State.

Voorafgaand aan het adviestraject (voorfase)

Maakt de voorgenomen wet- of regelgeving een bijzondere inbreuk op de privacy? Bijvoorbeeld door:

  • de grootschaligheid;
  • het nieuwe of vernieuwende karakter;
  • de aard van de persoonsgegevens;
  • de aard van de betrokkenen?

Dan kan het nuttig zijn om voorafgaand aan het toetsingstraject in een bijeenkomst uw voornemens aan de AP toe te lichten. Dit noemen we de voorfase. Doel van deze bespreking is niet om overeenstemming te bereiken, maar om in een informele setting informatie uit te wisselen over de:

  • aan te pakken problematiek;
  • beleidsmatige context hiervan;
  • relevante aspecten van de privacywetgeving.

Dit in het wederzijdse belang van zo scherp mogelijk zicht op de problematiek.

Verdragen die leiden tot doorgifte

Doorgifte van persoonsgegevens naar een land buiten de EER is alleen toegestaan als dat land een passend beschermingsniveau heeft, vergelijkbaar met dat van de AVG. Heeft een land dat niet, dan zijn maatregelen nodig om voldoende bescherming van persoonsgegevens te waarborgen. De AVG bevat hiervoor een specifiek regime, waarin ook verdragen een rol kunnen spelen. 

Het gaat dan om verdragen waarbij het Koninkrijk partij is, die beoogd worden te gaan gelden voor (ook) Europees Nederland en die geacht worden 'passende waarborgen' te bieden voor doorgifte van persoonsgegevens naar landen waarvoor (nog) geen adequaatheidsbesluit geldt.

Aannemelijk is dat in de verdragspraktijk standaardbepalingen een belangrijke rol spelen, mogelijk ook voor de bescherming van persoonsgegevens. De AP kan u hierover informeren en bekijken of alleen een toets van standaardbepalingen voldoende is. De toets kan dan een lichte formaliteit zijn, mits het ontwerpverdrag niet afwijkt van een acceptabele standaard.

Waaraan moet uw toetsaanvraag voldoen?

Uw toetsaanvraag moet uit de volgende onderdelen bestaan:

  • De tekst van het concept.
  • De concepttoelichting. Hierin moet in een aparte paragraaf een verantwoording staan over de verwerking van persoonsgegevens in het licht van de (U)AVG. Zie ook:Aanwijzingen voor de regelgeving 4.43, onder d en Aanwijzingen voor de regelgeving 5.33.
    Ontbreekt deze paragraaf? Dan adviseert de AP die alsnog toe te voegen aan de toelichting. En daarna het concept opnieuw voor toetsing bij de AP in te dienen.
  • Een begeleidende brief met contactpersoon (afzender) en kenmerk (afzender).
  • Indien beschikbaar: een DPIA. 

Hoe stuurt u uw toetsaanvraag naar de AP?

Stuur uw toetsaanvraag bij voorkeur per e-mail naar de AP. Dit doet u via 
wetgevingstoetsing@autoriteitpersoonsgegevens.nl.

Stuur een brief mee met een kenmerk, een datum en het concrete verzoek om een toets. Zodat vaststaat dat u voldoet aan uw wettelijke verplichting om namens de minister een toets te vragen. En dat u een toets vraagt van de desbetreffende versie van de voorgenomen wet- of regelgeving.

Per post

U kunt uw verzoek ook per post versturen. Dit doet u naar:

Autoriteit Persoonsgegevens
Afdeling Wetgeving en Normuitleg
Postbus 93374
2509 AJ DEN HAAG.

Binnen welke termijn voltooit de AP de toets?

De AP streeft ernaar de toets te voltooien binnen 8 weken na ontvangst van de formele toetsaanvraag. Maar door capaciteitstekort halen wij deze termijn momenteel meestal niet. Wij zijn bezig hiervoor een oplossing te zoeken. In de tussentijd doen wij ons best om in overleg met u knelpunten zo veel mogelijk te beperken.

Spoedverzoek wetgevingstoets

U kunt een spoedverzoek doen. Wij beoordelen dan of er genoeg spoedeisend belang is. Zo ja, dan geven wij uw toetsaanvraag zo veel mogelijk voorrang.

Wat staat in de toets van de AP?

De AP gebruikt een toetsingskader om het concept te beoordelen. Dit komt er kort gezegd op neer dat de AP toetst of het concept voldoet aan de AVG (artikel 6, derde lid) en (daarmee) aan het evenredigheidsbeginsel uit het Handvest van de grondrechten van de Europese Unie (artikel 52, eerste lid).

Concreet betekent dit dat de AP toetst of het concept aan deze eisen voldoet:

  1. Geschiktheid: het concept is geschikt om de nagestreefde doelstelling van algemeen belang of de bescherming van de rechten en vrijheden van anderen te verwezenlijken.
  2. Subsidiariteit: het doel kan niet redelijkerwijs even doeltreffend worden bereikt op een andere manier, die de grondrechten van de betrokkenen minder aantast.
  3. Proportionaliteit: de inmenging is niet onevenredig aan dat doel. Dit impliceert met name een afweging van het belang van het doel en de ernst van de inmenging.
  4. Rechtszekerheid: het concept is duidelijk en nauwkeurig genoeg over de reikwijdte en is in de toepassing voorspelbaar.
  5. Inhoudelijke en procedurele waarborgen: het concept geeft voldoende aan in welke omstandigheden en onder welke voorwaarden persoonsgegevens kunnen worden verwerkt. Aldus waarborgt het concept dat de inmenging tot het strikt noodzakelijke wordt beperkt.
  6. Verbindendheid naar nationaal recht: het concept is verbindend naar nationaal recht.

Voldoet uw concept niet aan het toetsingskader? Dan geeft de AP in de toets aan om welke punten het gaat. Aanpassing van de wettekst en/of de toelichting is dan noodzakelijk. In uitzonderlijke gevallen kunt u alleen gevolg geven aan de toets door het concept in te trekken.

Werklast voor de AP

De AP maakt in de toets ook een inschatting of de voorgenomen wet- of regelgeving leidt tot een grotere werklast voor de AP, omdat er intensiever toezicht nodig is. Bijvoorbeeld door:

  • het grote aantal betrokkenen;
  • de hoge impact van het concept;
  • de bijzondere complexiteit, waardoor mogelijk veel en/of complexe klachten bij de AP zullen worden ingediend;
  • de noodzaak van intensieve samenwerking met andere toezichthouders.

Wanneer maakt de AP de toets openbaar?

De AP maakt de toets uiterlijk binnen 2 weken na de datum van de toets openbaar. Dit is in lijn met de algemene norm zoals die nu is neergelegd in artikel 3.3, eerste en tweede lid, van de Wet open overheid (Woo). Openbaarmaking geschiedt door publicatie van de toets op de website van de AP. 

Uitzondering bij afbreuk

Hierop is 1 uitzondering. Zou publicatie van de toets binnen 2 weken afbreuk doen aan het beoogde doel van de voorgenomen wet- of regelgeving, bijvoorbeeld omdat normadressaten zullen anticiperen? Dan kunt u dit aangeven in uw toetsaanvraag. Geef daarbij ook aan waarom dat zo zou zijn. De AP kan dan beslissen om de toets eerder of later te publiceren. Ook dit is in overeenstemming met het regime van de Woo.

Overzicht wetgevingstoetsen

Bekijk Wetgevingstoetsen voor een overzicht van alle gepubliceerde wetgevingstoetsen van de AP vanaf 25 mei 2018.

Wat gebeurt er na de toets (nafase)?

Heeft de AP in de toets op belangrijke punten bezwaren geuit tegen het concept? En heeft u het concept aangepast om deze bezwaren weg te nemen, maar wordt door uw bewindspersoon veel belang gehecht aan de vraag of de AP dit voldoende acht? Dan kunt u contact opnemen met de AP. Wij kijken dan of we u nog verder kunnen helpen en zo ja, op welke manier.

Toets AP opnemen in toelichting

Wijkt u op hoofdpunten af van de toets van de AP? Dan moet u dit in de toelichting bij het concept vermelden, inclusief de reden dat u afwijkt. Doe dit door in een aparte paragraaf in te gaan op de toets van de AP en daarbij puntsgewijs aandacht te besteden aan de (hoofd)punten hiervan.

Meer weten?

De uitgebreide versie van deze informatie vindt u in de Circulaire wetgevingsadvisering AP. Dit is een brief die de AP aan alle ministeries heeft gestuurd met informatie over wijzigingen en ontwikkelingen op het gebied van wetgevingstoetsing (toen nog aangeduid als 'wetgevingsadvisering') per 1 september 2023.

Snelle antwoorden

Voor organisaties

1 vraag en antwoord

Moet ik als ministerie bij nieuwe wetgeving een voorafgaande raadpleging aanvragen?

Nee, meestal hoeft dat niet. Voor wetgeving over verwerking van persoonsgegevens geldt sowieso de verplichting om de AP om een toets te vragen, of er nou sprake is van hoog risico of niet (artikel 36, vierde lid, AVG).

In deze wetgevingstoets kijkt de AP al naar de privacyaspecten van de voorgenomen verwerking. Een aparte voorafgaande raadpleging zou in de systematiek van de AVG dubbelop zijn.

In de uitvoering of de uitvoeringssystemen kunnen zich vraagstukken van feitelijke aard voordoen waar de (nationale) wetgeving niet over gaat. Bijvoorbeeld omdat de regelgeving er niet voor nodig is of een ander abstractieniveau kent. Of omdat het onderwerp in beginsel al volledig door de AVG wordt geregeld (zoals beveiliging van de verwerking in artikel 32 AVG). 

Leveren dergelijke onderwerpen een hoog risico op? Dan kunt u daarover wél een voorafgaande raadpleging aanvragen bij de AP. Heeft u een dergelijke voorafgaande raadpleging aangevraagd? Vermeld dit dan bij uw verzoek om een wetgevingstoets.