Voor de overheid: wetgevingstoetsing

Deze verplichting volgt uit artikel 36, vierde lid, van de Algemene verordening gegevensbescherming (AVG). De AP kan ook op eigen initiatief wetgeving toetsen. Het doel van wetgevingstoetsing is dat de voorgenomen wetgeving voldoet aan de AVG. En dat de privacyrisico's voor de betrokkenen worden beperkt.

Wilt u weten of u een wetgevingstoets moet vragen aan de AP? En hoe het proces verloopt? Op deze pagina vindt u alle informatie bij elkaar.

In welk geval vraagt u de AP om een toets?

U beoordeelt zelf of u de AP om een toets moet vragen. Dit doet u door te toetsen aan artikel 36, vierde lid, AVG. Hierin staat:

"De lidstaten raadplegen de toezichthoudende autoriteit bij het opstellen van een voorstel voor een door een nationaal parlement vast te stellen wetgevingsmaatregel, of een daarop gebaseerde regelgevingsmaatregel die betrekking heeft op verwerking."

Politie en justitie
Toetsing van de verwerking van politiegegevens en justitiële gegevens valt doorgaans niet onder de AVG, maar onder de Richtlijn gegevensbescherming bij rechtshandhaving (2016/680). 

Toetsing vindt dan plaats op grond van artikel 35b, eerste lid, onder b, van de Wet politiegegevens of in voorkomend geval: jo artikel 27, derde lid, van de Wet justitiële en strafvorderlijke gegevens. Voor het proces van toetsing maakt dit geen verschil.

Bij wetsvoorstellen én lagere regelgeving

Uit de AVG volgt dat u de AP dus niet alleen om een toets moet vragen bij wetsvoorstellen, maar ook bij algemene maatregelen van bestuur (AMvB's) en ministeriële regelingen.

Ruim criterium

Het criterium 'betrekking hebben op verwerking' is vrij ruim. U moet een toets vragen bij voorgenomen wet- of regelgeving als deze op enigerlei wijze de verwerking van persoonsgegevens in juridische zin wijzigt, raakt of beïnvloedt.

Dat is in elk geval aan de orde bij wetgeving die ruimte benut die de AVG de nationale wetgever biedt. Zoals in artikel 6 van de AVG: wetgeving die beoogt een nieuwe grondslag te bieden voor een gegevensverwerking (in de zin van artikel 6, eerste lid, onder c of e) of die beoogt wetgeving te wijzigen die daarover gaat.

U moet uiteraard ook een toets vragen bij wetgeving die bijvoorbeeld een uitzondering inhoudt op het verbod op de verwerking van bijzondere persoonsgegevens (artikel 9 AVG) of strafrechtelijke persoonsgegevens (artikel 10 AVG).

Wanneer geen toets

De voorgenomen wet- of regelgeving moet wel zien op, of in verband staan met, verwerkingen van persoonsgegevens. Het gaat dus niet om wetgeving die niet een specifieke basis biedt voor verwerkingen en ook niets bepaalt over verwerkingen.

Ook niet als de wetgeving in de praktijk feitelijk wel zou kunnen leiden tot nieuwe of extra verwerkingen. Bijvoorbeeld wanneer de beoogde wetgeving niets bepaalt over persoonsgegevens in een aanvraag, maar wel zal leiden tot meer aanvragen en dus meer verwerkingen.

Een toets is ook niet nodig als wet- of regelgeving geen enkele wijziging brengt in het regime dat al geldt voor de betrokken verwerkingen (qua omvang, soort verwerkingen, juridisch regime, impact, doelen of anderszins). Bijvoorbeeld wanneer alleen beoogd wordt bestaande bepalingen ongewijzigd in een andere of meer omvattende wet op te nemen.

Wet- en regelgeving Caribisch Nederland
Let op: Gaat het om voorgenomen wet- of regelgeving die (ook) wijzigingen veroorzaakt in wet- en regelgeving in Caribisch Nederland? Dan is de Commissie toezicht bescherming persoonsgegevens BES bevoegd om te toetsen.

Op welk moment vraagt u de AP om een toets?

Op welk moment u de AP om een toets vraagt, hangt af van de vraag of het concept al voldoende is uitgewerkt en – bij voorgenomen lagere regelgeving – of de delegatiegrondslag al voldoende vaststaat.

Toets van wetsvoorstel

U kunt de AP om een toets vragen van het concept zodra hierin de afwegingen en de bepalingen over de verwerking van persoonsgegevens voldoende zijn uitgewerkt. Dat betekent in de praktijk dat u aan deze eisen moet voldoen:

• u heeft de 'data protection impact assessment' (DPIA) afgerond, als u die moet doen;
• de afwegingen en keuzes over de nodige verwerkingen zijn gemaakt;
• een verantwoording daarvan is in een toelichting beschikbaar.

Als dat nodig is voor uw planning, mag u alvast een toets vragen in de periode dat ook een internetconsultatie plaatsvindt. Mits de relevante bepalingen en gemaakte afwegingen dan al voldoende uitgewerkt zijn.

Let op: Een wettelijk verplichte toets is naar zijn aard iets anders dan een reactie op een internetconsultatie.

Toets van lagere regelgeving zonder bestaande delegatiegrondslag

• Bij een AMvB of een regeling kunt u uw toetsaanvraag doen zodra het wetsvoorstel met de delegatiegrondslag is aangenomen door de Tweede Kamer.
• Gaat het om een ministeriële regeling op basis van een delegatiebepaling in een AMvB? Dan kunt u uw toetsaanvraag doen zodra deze delegatiegrondslag voor advies is voorgelegd aan de afdeling Advisering van de Raad van State.

Voorafgaand aan het adviestraject (voorfase)

Maakt de voorgenomen wet- of regelgeving een bijzondere inbreuk op de privacy? Bijvoorbeeld door:

• de grootschaligheid;
• het nieuwe of vernieuwende karakter;
• de aard van de persoonsgegevens;
• de aard van de betrokkenen?

Dan kan het nuttig zijn om voorafgaand aan het toetsingstraject in een bijeenkomst uw voornemens aan de AP toe te lichten. Dit noemen we de voorfase. Doel van deze bespreking is niet om overeenstemming te bereiken, maar om in een informele setting informatie uit te wisselen over de:

• aan te pakken problematiek;
• beleidsmatige context hiervan;
• relevante aspecten van de privacywetgeving.

Dit in het wederzijdse belang van zo scherp mogelijk zicht op de problematiek.

Let op: De voorfase is alleen mogelijk als u de AP nog niet om een toets heeft gevraagd.

Verdragen die leiden tot doorgifte

Doorgifte van persoonsgegevens naar een land buiten de EER is alleen toegestaan als dat land een passend beschermingsniveau heeft, vergelijkbaar met dat van de AVG. Heeft een land dat niet, dan zijn maatregelen nodig om voldoende bescherming van persoonsgegevens te waarborgen. De AVG bevat hiervoor een specifiek regime, waarin ook verdragen een rol kunnen spelen. 

Het gaat dan om verdragen waarbij het Koninkrijk partij is, die beoogd worden te gaan gelden voor (ook) Europees Nederland en die geacht worden 'passende waarborgen' te bieden voor doorgifte van persoonsgegevens naar landen waarvoor (nog) geen adequaatheidsbesluit geldt.

Vraag bij een ontwerpverdrag de AP zo vroeg mogelijk om een toets, bij voorkeur in een stadium waarin de tekst van het verdrag nog in voorbereiding en/of onderhandeling is. Dit voorkomt knelpunten in de fase van ondertekening en/of parlementaire goedkeuring.

Aannemelijk is dat in de verdragspraktijk standaardbepalingen een belangrijke rol spelen, mogelijk ook voor de bescherming van persoonsgegevens. De AP kan u hierover informeren en bekijken of alleen een toets van standaardbepalingen voldoende is. De toets kan dan een lichte formaliteit zijn, mits het ontwerpverdrag niet afwijkt van een acceptabele standaard.

Waaraan moet uw toetsaanvraag voldoen?

Uw toetsaanvraag moet uit de volgende onderdelen bestaan:

• De tekst van het concept.
• De concepttoelichting. Hierin moet in een aparte paragraaf een verantwoording staan over de verwerking van persoonsgegevens in het licht van de (U)AVG. Zie ook:Aanwijzingen voor de regelgeving 4.43, onder d en Aanwijzingen voor de regelgeving 5.33.
  Ontbreekt deze paragraaf? Dan adviseert de AP die alsnog toe te voegen aan de toelichting. En daarna het concept opnieuw voor toetsing bij de AP in te dienen.
• Een begeleidende brief met contactpersoon (afzender) en kenmerk (afzender).
• Indien beschikbaar: een DPIA. 

Let op: Is uw toetsaanvraag niet compleet? Dan kan de AP besluiten uw aanvraag niet in behandeling te nemen.

Hoe stuurt u uw toetsaanvraag naar de AP?

Stuur uw toetsaanvraag bij voorkeur per e-mail naar de AP. Dit doet u via wetgevingsadvies@autoriteitpersoonsgegevens.nl.

Stuur een brief mee met een kenmerk, een datum en het concrete verzoek om een toets. Zodat vaststaat dat u voldoet aan uw wettelijke verplichting om namens de minister een toets te vragen. En dat u een toets vraagt van de desbetreffende versie van de voorgenomen wet- of regelgeving.

Per post

U kunt uw verzoek ook per post versturen. Dit doet u naar:

Autoriteit Persoonsgegevens
Afdeling Wetgeving en Normuitleg
Postbus 93374
2509 AJ DEN HAAG.

Binnen welke termijn voltooit de AP de toets?

De AP streeft ernaar de toets te voltooien binnen 8 weken na ontvangst van de formele toetsaanvraag. Maar door capaciteitstekort halen wij deze termijn momenteel meestal niet. Wij zijn bezig hiervoor een oplossing te zoeken. In de tussentijd doen wij ons best om in overleg met u knelpunten zo veel mogelijk te beperken.

Tip: Zorg ervoor dat de toelichting bij uw voorgenomen wet- of regelgeving een verantwoording bevat (in een aparte paragraaf) over de verwerking van persoonsgegevens. Als u dit zorgvuldig doet, is onze toets meestal sneller klaar.

Spoedverzoek wetgevingstoets

U kunt een spoedverzoek doen. Wij beoordelen dan of er genoeg spoedeisend belang is. Zo ja, dan geven wij uw toetsaanvraag zo veel mogelijk voorrang.

Let op: Neem bij een spoedverzoek zo vroeg mogelijk contact met ons op.

Wat staat in de toets van de AP?

De AP gebruikt een toetsingskader om het concept te beoordelen. Dit komt er kort gezegd op neer dat de AP toetst of het concept voldoet aan de AVG (artikel 6, derde lid) en (daarmee) aan het evenredigheidsbeginsel uit het Handvest van de grondrechten van de Europese Unie (artikel 52, eerste lid).

Concreet betekent dit dat de AP toetst of het concept aan deze eisen voldoet:

1. Geschiktheid: het concept is geschikt om de nagestreefde doelstelling van algemeen belang of de bescherming van de rechten en vrijheden van anderen te verwezenlijken.
2. Subsidiariteit: het doel kan niet redelijkerwijs even doeltreffend worden bereikt op een andere manier, die de grondrechten van de betrokkenen minder aantast.
3. Proportionaliteit: de inmenging is niet onevenredig aan dat doel. Dit impliceert met name een afweging van het belang van het doel en de ernst van de inmenging.
4. Rechtszekerheid: het concept is duidelijk en nauwkeurig genoeg over de reikwijdte en is in de toepassing voorspelbaar.
5. Inhoudelijke en procedurele waarborgen: het concept geeft voldoende aan in welke omstandigheden en onder welke voorwaarden persoonsgegevens kunnen worden verwerkt. Aldus waarborgt het concept dat de inmenging tot het strikt noodzakelijke wordt beperkt.
6. Verbindendheid naar nationaal recht: het concept is verbindend naar nationaal recht.

Voldoet uw concept niet aan het toetsingskader? Dan geeft de AP in de toets aan om welke punten het gaat. Aanpassing van de wettekst en/of de toelichting is dan noodzakelijk. In uitzonderlijke gevallen kunt u alleen gevolg geven aan de toets door het concept in te trekken.

Werklast voor de AP

De AP maakt in de toets ook een inschatting of de voorgenomen wet- of regelgeving leidt tot een grotere werklast voor de AP, omdat er intensiever toezicht nodig is. Bijvoorbeeld door:

• het grote aantal betrokkenen;
• de hoge impact van het concept;
• de bijzondere complexiteit, waardoor mogelijk veel en/of complexe klachten bij de AP zullen worden ingediend;
• de noodzaak van intensieve samenwerking met andere toezichthouders.

Let op: Wordt bij de voorbereiding van het concept al een flink grotere werklast voor de AP voorzien? Dan gaat de AP ervan uit al in die fase betrokken te worden bij het concept. Net als uiteraard wanneer de AP op grond van de voorgenomen wet- of regelgeving een nieuwe taak krijgt.

Wanneer maakt de AP de toets openbaar?

De AP maakt de toets uiterlijk binnen 2 weken na de datum van de toets openbaar. Dit is in lijn met de algemene norm zoals die nu is neergelegd in artikel 3.3, eerste en tweede lid, van de Wet open overheid (Woo). Openbaarmaking geschiedt door publicatie van de toets op de website van de AP. 

Uitzondering bij afbreuk

Hierop is 1 uitzondering. Zou publicatie van de toets binnen 2 weken afbreuk doen aan het beoogde doel van de voorgenomen wet- of regelgeving, bijvoorbeeld omdat normadressaten zullen anticiperen? Dan kunt u dit aangeven in uw toetsaanvraag. Geef daarbij ook aan waarom dat zo zou zijn. De AP kan dan beslissen om de toets eerder of later te publiceren. Ook dit is in overeenstemming met het regime van de Woo.

Overzicht wetgevingstoetsen

Bekijk Wetgevingstoetsen voor een overzicht van alle gepubliceerde wetgevingstoetsen van de AP vanaf 25 mei 2018.

Wat gebeurt er na de toets (nafase)?

Heeft de AP in de toets op belangrijke punten bezwaren geuit tegen het concept? En heeft u het concept aangepast om deze bezwaren weg te nemen, maar wordt door uw bewindspersoon veel belang gehecht aan de vraag of de AP dit voldoende acht? Dan kunt u contact opnemen met de AP. Wij kijken dan of we u nog verder kunnen helpen en zo ja, op welke manier.

Toets AP opnemen in toelichting

Wijkt u op hoofdpunten af van de toets van de AP? Dan moet u dit in de toelichting bij het concept vermelden, inclusief de reden dat u afwijkt. Doe dit door in een aparte paragraaf in te gaan op de toets van de AP en daarbij puntsgewijs aandacht te besteden aan de (hoofd)punten hiervan.

Meer weten?

De uitgebreide versie van deze informatie vindt u in de Circulaire wetgevingsadvisering AP. Dit is een brief die de AP aan alle ministeries heeft gestuurd met informatie over wijzigingen en ontwikkelingen op het gebied van wetgevingstoetsing per 1 september 2023.