Op 20 mei jl. nam de Tweede Kamer het wetsvoorstel tot wijziging van de UAVG aan. De Eerste Kamercommissie voor Digitalisering (DIGI) heeft op 1 juli 2025 een groot aantal vragen gesteld in het verslag (ook hier te vinden) naar aanleiding van het wetsvoorstel. Onder meer wordt gevraagd naar drie knelpunten die de UAVG:

volgens het Rathenau Instituut niet goed regelt, te weten: 1) de verwerking van genetische gegevens door commerciële analysebureaus en door werkgevers; 2) de verwerking van biometrische gegevens in de publiek ruimte; en 3) de verwerking van gezondheidsgegevens in het medische domein (WGBO) en daarbuiten (UAVG) en de verwerking van persoonsgegevens door hulpverleners in het kader van een «goede behandeling of verzorging c.q. beheer van de beroepspraktijk».

Er wordt gevraagd naar de reden voor een verwerkingsgrondslag van bijzondere persoonsgegevens door accountants:

De leden van de Volt-fractie wijzen erop dat de Raad van State heeft geadviseerd nader toe te lichten waarom het wetsvoorstel voorziet in een grondslag voor de verwerking van bijzondere persoonsgegevens door accountants in de UAVG. Deze leden vragen of de regering hierop kan reflecteren. Waarom is er bijvoorbeeld niet voor gekozen om deze specifieke bepaling uitsluitend in sectorale wetgeving vast te leggen?

Een fractie stelt vragen over de verwerking van persoonsgegevens door faillissementscuratoren en (Wsnp-)bewindvoerders:

De leden van de CDA-fractie vragen hoe de keuze voor deze algemene, weinig specifieke wettelijke grondslagen zich verhoudt tot het Europees Verdrag voor de Rechten van de Mens (EVRM), de Grondwet en de AVG.

Gegevensbescherming in het financiële recht
Ook de gegevensbescherming in het financiële recht komt aan bod. De kritiek van Privacy First dat de rechtsbescherming van klanten onvoldoende is, wordt genoemd:

De leden van de GL-PvdA-fractie hebben kennisgenomen van de voorgestelde wijziging van artikel 3:17 van de Wet op het financieel toezicht (Wft). In reactie op de voorgestelde wijziging stelt Privacy First dat «de rechtsbescherming van klanten in zaken op het gebied van de Wft en het financiële recht volstrekt onvoldoende is». 6 Dit geeft de leden van de GL-PvdA-fractie aanleiding tot het stellen van de volgende vragen. Deze leden vragen allereerst welke rechten een betrokkene heeft wanneer transacties worden geblokkeerd of opgeschort. Waar en op welke wijze zijn deze rechten verankerd? Voorts vragen zij wat de rol van het Klachteninstituut Financiële Dienstverlening (Kifid) is in dergelijke situaties voor consumenten. Kunnen ook zzp’ers en mkb’ers zich tot het Kifid wenden? Daarnaast vernemen deze leden graag of banken en betaalinstellingen wettelijk verplicht zijn om actief met betrokkenen te communiceren over de blokkering of opschorting van transacties. Zo ja, op welke wettelijke bepaling is die verplichting gebaseerd? Zo nee, acht de regering het wenselijk om dergelijke verplichting alsnog in te voeren?

6 Paper Privacy First inzake rondetafelgesprek Verzamelwet gegevensbescherming 4 december 2024, 1 december 2024, Externe link: https://privacyfirst.nl/wp-content/uploads/paper_UAVG_SPF_TK_1dec2024.pdf.

Ook de nieuwe bepalingen inzake transactiemonitoring in de Wft roepen vragen op:

De leden van de CDA-fractie hebben kennisgenomen van de twee voorgestelde leden die in artikel 3:17 van de Wet op het financieel toezicht (Wft) een verplichting tot het uitvoeren van een transactiemonitoring introduceren. Zij gaan ervan uit dat bij de uitvoering van transactiemonitoring gebruik wordt gemaakt van een zekere mate van artificiële intelligentie (AI). In dat verband wensen de leden enkele vragen te stellen. Deze leden vragen allereerst of door banken en betaalinstellingen randvoorwaarden worden verankerd die het mogelijk maken om achteraf te controleren hoe digitale uitvoering heeft plaatsgevonden en aan de hand van welke data algoritmen zijn getraind. Kan dit inzichtelijk worden gemaakt voor desbetreffende cliënten? Daarnaast vragen de leden van de CDA-fractie of banken en betaalinstellingen verplicht worden om jegens cliënten van wie transacties zijn geblokkeerd of opgeschort, inzichtelijk te maken op welke gronden dit besluit is genomen en op welke wijze algoritmen en AI hebben bijgedragen aan de totstandkoming ervan. Tot slot vragen deze leden welke mogelijkheden cliënten hebben om bezwaar te maken tegen het geautomatiseerd blokkeren of opschorten van een transactie.

Over het gebruik van digitale hulpmiddelen wordt ook het volgende opgemerkt:

De aan het woord zijnde leden merken op dat het wetsvoorstel niet voorziet in bijzondere bepalingen ten aanzien van de geautomatiseerde verwerking van persoonsgegevens. Naar het oordeel van deze leden kan daarvan wel sprake zijn, bijvoorbeeld bij het verwerken van biometrische gegevens, transactiemonitoring door banken of bankinstellingen en het delen van medische gegevens. Kan de regering toelichten of, en zo ja op welke wijze, zij voorziet dat er sprake zal zijn van de algoritmische uitvoering van dit wetsvoorstel of daaruit voortvloeiende regelgeving? En op welke wijze wordt gewaarborgd dat wordt voldaan aan de vereisten die de AVG stelt aan de geautomatiseerde verwerking van persoonsgegevens?

De leden van de GL-PvdA-fractie verzoeken de regering toe te lichten op welke wijze het toezicht op de uitvoering van dit wetsvoorstel wordt georganiseerd. Zij gaan ervan uit dat de Autoriteit Persoonsgegevens (AP) hierbij een centrale rol zal vervullen. Tegelijkertijd spreken deze leden hun zorgen uit over de vraag of de AP, gelet op haar reeds omvangrijke takenpakket, over voldoende capaciteit en middelen beschikt om ook de toezichttaken die uit dit wetsvoorstel voortvloeien adequaat te vervullen. Worden aan de AP hiervoor extra middelen toebedeeld?

Bij het afsluiten van deze tekst was het antwoord op de vele vragen nog niet bekend.

Meer informatie: het dossier van het wetsvoorstel bij de Eerste Kamer is op deze locatie te vinden.