De voorzitter van de commissie,De RoonAdjunct-griffier van de commissie, Hessing-Puts

Inhoudsopgave

I.	Vragen en opmerkingen vanuit de fracties
	Vragen en opmerkingen vanuit de VVD-fractie
	Vragen en opmerkingen vanuit de PvdA-fractie
	Vragen en opmerkingen vanuit de PVV-fractie
	Vragen en opmerkingen vanuit de CDA-fractie
	Vragen en opmerkingen vanuit de SP-fractie
	Vragen en opmerkingen vanuit de D66-fractie
	Vragen en opmerkingen vanuit de GroenLinks-fractie
II.	Reactie van de staatssecretaris van Veiligheid en Justitie

I. Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen vanuit de VVD-fractie

Vragen en opmerkingen vanuit de PvdA-fractie

Vragen en opmerkingen vanuit de PVV-fractie

Vragen en opmerkingen vanuit de CDA-fractie

Vragen en opmerkingen vanuit de SP-fractie

Vragen en opmerkingen vanuit de D66-fractie

Vragen en opmerkingen vanuit de GroenLinks-fractie

II. Reactie van de staatssecretaris van Veiligheid en Justitie

VVD

De leden van de VVD-fractie hebben ten aanzien van de voorgestelde ontwerprichtlijn en de ontwerpverordening de volgende vragen:

– De leden van de VVD-fractie achten het onwenselijk en zelfs in zekere zin exemplarisch dat de Europese Commissie wel aandacht besteedt aan een vermeende daling van de administratieve lasten, maar geen berekening aanlevert van de nalevingskosten die de nieuwe regelgeving met zich meebrengt voor het Europese bedrijfsleven. Deze leden achten het essentieel dat een heldere berekening hiervan wordt opgesteld en aangeleverd. Met name de «privacyofficer» bij grotere bedrijven moet tot een enorme kostenpost leiden waarvan de opbrengst verre van zichtbaar is.

Het is niet zo dat de Europese Commissie in het geheel geen aandacht schenkt aan de invloed van uit de conceptontwerpverordening voortvloeiende stijging van de lasten voor het bedrijfsleven. In de Impact Assessment, opgesteld door de diensten van de Commissie (SEC 2012, 72), en gelijktijdig uitgebracht met de voorstellen wordt de uitbreiding van de informatieverplichtingen voor verantwoordelijken begroot op € 180 mln per jaar. De verplichtingen tot het melden van datalekken worden geraamd op € 20 mln – naar moet worden aangenomen – ook op jaarbasis. Beide kostenposten hebben betrekking op de EU als geheel. Het is echter onduidelijk of hiermee alle nalevingskosten zijn afgedekt. Ik ben overigens met de leden van de VVD-fractie teleurgesteld over het feit dat de Commissie aan de feitelijke lasten en nalevingskosten zo weinig aandacht schenkt. Ik heb dat in Brussel dan ook inmiddels duidelijk ter sprake gebracht, en zal dat ook blijven doen.

– Is het wenselijk om als criterium van het begrip persoonsgegevens op te nemen dat het gaat om gegevens waarmee een persoon van andere personen kan worden onderscheiden (individualiserende gegevens)? Ook VNO-NCW acht een betere omschrijving van het begrip «persoonsgegevens» noodzakelijk. Graag een reactie van de regering op dit punt.

Het is niet zonder meer wenselijk dat onder het begrip persoonsgegevens ook die gegevens moeten worden begrepen waarmee een persoon van andere personen kan worden onderscheiden door middel van (directe of indirecte) individualisering, zoals het College bescherming persoonsgegevens (Cbp) bepleit. Dit criterium acht ik onvoldoende duidelijk, en daardoor geen goede toevoeging aan een begrip dat naar zijn aard toch al tal van interpretatieproblemen oplevert. VNO/NCW – MKB Nederland (hierna: VNO/NCW) wijst er terecht op dat een uitbreiding van dit begrip leidt tot hogere lasten en kosten van naleving. Ik ben het met VNO/NCW eens dat de context waarin gegevens verzameld worden een relevant aandachtspunt is bij beantwoording van de vraag of een gegeven als persoonsgegeven moet worden aangemerkt. Ik meen echter dat dit niet noodzakelijkerwijs in de ontwerpverordening moet zijn neergelegd.

– Zijn de eisen aan de doelomschrijving van de opslag van de persoonsgegevens voldoende?

Artikel 5, onder b, van de ontwerpverordening regelt dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verwerkt. Die omschrijving stemt overeen met artikel 6, onder b, van de huidige ontwerprichtlijn 95/46/EG. Ik acht het behoud van deze bepaling van groot belang, omdat daarmee duidelijk wordt gemaakt dat niet de wetgever, maar de verantwoordelijke de doelomschrijving in concreto vaststelt. Verwerken omvat overigens mede de opslag van persoonsgegevens.

– Dient expliciet te worden opgenomen dat er ook bescherming moet zijn tegen het opvragen van persoonsgegevens bij Europese instellingen?

Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 (PbEG 2001, 8) regelt de bescherming van persoonsgegevens door de communautaire instellingen en organen. Er is dus ook op communautair niveau voorzien in een behoorlijk niveau van gegevensbescherming. Niettemin is de vraag gerechtvaardigd waarom die ontwerpverordening niet meteen is aangepast aan de nieuwe ontwerpverordening, aangezien het ongewijzigd laten voortbestaan van verordening (EG) nr. 45/2001 leidt tot verschillen in het beschermingsniveau dat de lidstaten en de EU moeten handhaven.

– De leden van de VVD-fractie vinden dat kleine en grote bedrijven die zich niet expliciet bezig houden met de verwerking van persoonsgegevens geen last moeten hebben van de regelgeving. Het zou dus niet de grootte van het bedrijf moeten zijn dat bepalend is voor het regime, maar de aard van het bedrijf. Kleine webbased bedrijven die handelen in e-mailadressen dienen zich aan de (strenge) eisen te houden en grote bedrijven die soortgelijke activiteiten hebben eveneens. Kleine en grote bedrijven die slechts een salarisadministratie voeren (denk aan bouwbedrijf met meer dan 250 werknemers) moet geen extra verplichtingen opgelegd krijgen. De drogist op de hoek die een mailing aan zijn klanten wil sturen om nieuwe haarverzorgingsproducten of bijvoorbeeld steunkousen gericht wil aanbieden (N.B. dit laatste voorbeeld is vermoedelijk de verwerking van bijzondere persoonsgegevens die de gezondheid van de betrokkene raken) moet niet verplicht zijn aan allerlei eisen te voldoen. Is dat voldoende gegarandeerd, zo nee, gaat de regering hierop inzetten?

Ik ben het met deze leden eens dat voor de private sector het maken van een onderscheid in verplichtingen gerechtvaardigd is, en dat voor dit onderscheid niet moet worden aangesloten bij de omvang van de onderneming, maar bij het risico dat de verwerking van persoonsgegevens door de onderneming voor de persoonlijke levenssfeer oplevert. Ik ben overigens wel van oordeel dat voor directmarketingactiviteiten voor alle ondernemingen – groot en klein – regels moeten worden gesteld die betrokkenen beschermen tegen excessen. Tenslotte associeer ik het aanbod van producten door een drogist via direct marketing aan zijn klanten niet als het verwerken van gegevens betreffende de gezondheid. Een drogist valt niet aan te merken als een zorgaanbieder of zorgverlener, ook niet als de drogist eenvoudige zelfzorggeneesmiddelen te koop aanbiedt.

– Wat vindt de regering van de opmerkingen van deskundigen dat de bescherming van internetgebruikers onvoldoende zou zijn gegarandeerd?

Het is mij niet duidelijk op welke deskundigen deze leden doelen. Een specifieke reactie op specifieke uitlatingen kan ik dan ook niet geven. De ontwerpverordening beoogt in elk geval het niveau van gegevensbescherming voor internetgebruikers te verhogen, onder meer door het recht om te worden vergeten en het recht op dataportabiliteit. Los van de vraag naar de uitvoeringsmodaliteiten van deze rechten, moet die stap positief worden gewaardeerd. Iets anders is dat de ontwerpverordening nog aanleiding geeft tot de nodige vragen over de toepasselijkheid van veel bepalingen op internetgebruik en gebruik van sociale media. Dat is in dit stadium van behandeling onvermijdelijk.

– Graag ontvangen de leden van de VVD-fractie een reactie op het specifieke commentaar van VNO-NCW d.d. 5 maart 2012.

Ik geef deze reactie hieronder puntsgewijs.

• – Op de definitie van persoonsgegevens is hierboven reeds een reactie gegeven.

• – Ik acht de toevoeging van elementen aan de definitie van «verwerking» die geassocieerd zijn aan organisatorische belangen en de mogelijkheden om diensten aan te bieden geen winstpunt. De verwerking van persoonsgegevens is een activiteit die ook buiten het organisatorisch belang van overheid en bedrijfsleven vraagt om bescherming van de belangen van betrokkenen.

• – Ik ben het met VNO/NCW eens dat onder artikel 6, onderdeel f, van de ontwerpverordening ten onrechte niet mede de belangen van derde partijen zijn begrepen.

• – Het is ontegenzeglijk zo dat artikel 7, eerste lid, van de ontwerpverordening leidt tot verzwaring van de last van de verantwoordelijke en de verplichting inderdaad ook zelfstandig leidt tot verwerking van persoonsgegevens. En het is de vraag of dat wenselijk is. Maar voor zover dat inderdaad te zijner tijd leidt tot de vaststelling van een verplichting, is dat niet in strijd met het beginsel van dataminimalisatie. Het betreft dan immers gegevens die op grond van een verplichting verwerkt worden.

• – Ik ben het met VNO/NCW eens dat artikel 8 van het voorstel nog onvoldoende rekening houdt met de omstandigheid dat werkelijk betrouwbare middelen om identiteit, leeftijd en toestemming via internet vast te stellen nog onvoldoende beschikbaar lijken. Gebruik van een creditcard lijkt mij ook geen oplossing, niet zozeer vanuit het oogpunt van dataminimalisatie, maar meer vanuit het gebrek aan mogelijkheden vast te stellen dat de gebruiker van de creditcard in een online transactie ook de kaarthouder is.

• – Bij artikel 9 snijdt VNO/NCW een bekend keuzeprobleem aan. Bij de beantwoording van de vraag welke gegevens als bijzondere persoonsgegevens moeten worden aangemerkt is de keuze tussen een open systeem van bijzondere persoonsgegevens – waarin een gegeven bijzonder wordt door context van de verwerking – en een gesloten systeem waarin de wetgever bepaalt wat bijzondere persoonsgegevens zijn en onder welke voorwaarden elk bijzonder persoonsgegeven mag worden verwerkt. Beide systemen hebben voor- en nadelen.

• – Ik ben het met VNO/NCW eens dat in artikel 9 ten onrechte geen mogelijkheden worden opengelaten voor de verwerking van strafrechtelijke gegevens ten behoeve van de gerechtvaardigde belangen van particulieren.

• – Wat de artikelen 13, 14 en 17 betreft is het de vraag op welke wijze de daarin neergelegde rechten van betrokkene volledig door de verantwoordelijke kunnen worden gehonoreerd indien de desbetreffende gegevens voorafgaand aan de uitoefening van het recht aan derde partijen zijn verstrekt. Uitgangspunt hierbij moet wel zijn dat de verantwoordelijke een redelijke inspanning moet verrichten om ook bij derden correcties of wissing te bewerkstelligen. Zou dat niet het geval zijn, dan verliest het recht op correctie teveel aan inhoud. Maar anderzijds geldt dat derde partijen onder omstandigheden een gerechtvaardigd belang kunnen hebben de gegevens, niettegenstaande de wens van betrokkene, toch verder te verwerken. Bovendien is het de vraag of het technisch en economisch haalbaar is alle derden te achterhalen. Die vragen zullen nog moeten worden beantwoord.

• – Ik deel de mening van VNO/NCW niet dat artikel 20, dat handelt over profiling sectorspecifiek is en daarom niet in de ontwerpverordening thuishoort. Het tegendeel is geval. Profileren is een speciale techniek, die zowel in de publieke als in de private sector kan worden gebruikt. Aan een regeling van het profileren bestaat juist grote behoefte in verband met de specifieke risico's voor de persoonlijke levenssfeer die deze techniek met zich brengt. Overigens ben ik het met VNO/NCW eens dat het begrip profileren kan worden gedefinieerd. Daarvoor biedt Resolutie CM (2010) 73 van de Raad van Europa een bruikbaar voorbeeld.

• – Het is duidelijk dat in de ontwerpverordening de rol van de bewerker ten opzichte van de verantwoordelijke meer wordt uitgewerkt. Ik het met VNO/NCW eens dat dit vraagt om een duidelijke bepaling van de rechtsverhouding tussen verantwoordelijke en bewerker enerzijds en betrokkenen en derden anderzijds. Dit lijkt echter geen kwestie van de formulering van de begripsbepaling van «bewerker». Die bepaling is ten opzichte van de huidige richtlijn onveranderd gebleven.

• – Ik zie geen overwegende bezwaren tegen het introduceren van een gezamenlijke of gedeelde verantwoordelijkheid, zoals artikel 24 van de ontwerpverordening doet. Integendeel, de wetgevingspraktijk leert dat daaraan behoefte bestaat. Voorwaarde daarvoor is echter dat de onderlinge rechtsverhouding tussen de desbetreffende verantwoordelijken helder geregeld is, en dat er geen misverstand over mag bestaan tot welke verantwoordelijke de betrokkene zich kan richten wanneer hij een beroep op een van zijn rechten doet.

• – Het is inderdaad de vraag of veel ondernemingen zich aangetrokken voelen tot het vertegenwoordigen van niet in de EU gevestigde verantwoordelijken. Ook onder het huidige stelsel ontbreken prikkels om dergelijke aanwijzingen te doen. Stimulering van de aanstelling van een vertegenwoordiger in de EU door een niet in de EU gevestigde verantwoordelijke voor de verwerking van persoonsgegevens is in de eerste plaats mogelijk door in de EU een aantrekkelijk gegevensbeschermingsrecht aan te bieden dat niet alleen voor de betrokkene, maar ook voor de verantwoordelijke duidelijke voordelen biedt. Ook verantwoordelijken hebben belang bij een goed gegevensbeschermingsrecht.

• – Wat de documentatieverplichting van artikel 28 betreft, is het uitgangspunt dat het accountabilitybeginsel met zich brengt dat aan verantwoordelijken meer eisen worden gesteld wat betreft de verantwoording van hun doen en laten met betrekking tot verwerkte persoonsgegevens. Dit houdt onder omstandigheden ook in dat er meer informatie wordt gegenereerd, opgeslagen en openbaargemaakt met betrekking tot de verwerking dan thans nog het geval is. Wel ben ik van oordeel dat beter moet worden nagedacht over de vraag of de documentatieverplichting over de volle breedte voor elke verantwoordelijke gelijkelijk moet gelden. Ik ben van oordeel dat daarin moet en kan worden gedifferentieerd naar gelang het risico van de verwerking. Wellicht kan ook aan een vrijstellingsregeling worden gedacht. Tenslotte is zo dat bij gedeelde verantwoordelijkheid aan de documentatieplicht gepaste eisen worden gesteld. Dit acht ik onvermijdelijk.

• – Ik ben het met VNO/NCW eens dat het voorstel voor de meldplicht datalekken in de ontwerpverordening nog een aantal vragen oproept. Zo is deze, zowel in de relatie naar ondernemingen, als in de relatie naar de toezichthouders, nogal ongenuanceerd. Een meldplicht voor elk datalek lijkt weinig zinvol. Ook betrokkenen zijn hier uiteindelijk niet mee geholpen. Dat wil echter niet zeggen dat op nationaal niveau de ontwikkeling van wetgeving moet worden stopgezet. De DigiNotar-zaak heeft mij geleerd dat een meldplicht wel degelijk toevoegde waarde heeft.

• – Een redelijke interpretatie van artikel 33 lijkt op te leveren dat ook de Europese Commissie beseft dat een Privacyeffectbeoordeling (PIA) alleen moet worden gehouden in de gevallen waarin de ontwerpverordening dit uitdrukkelijk aangeeft, en daarnaast in die gevallen waarin het aannemelijk is dat er sprake is van een verhoogd risico op aantasting van de persoonlijke levenssfeer. Ik zal de opmerkingen van VNO/NCW over de redactie van de bepaling bij de standpuntbepaling betrekken.

• – Ik sta niet afwijzend ten opzichte van een wat ruimere taakomschrijving van de Data Protection Officer. Ik ben echter ook van oordeel dat de nationale en Europese wetgever zich niet meer dan strikt noodzakelijk is met de bedrijfshuishoudingen moet bemoeien. Overigens voorziet artikel 34, vierde lid, van de ontwerpverordening in de mogelijkheid van aanstelling van collectieve Data Protection Officers in de private sector.

• – Aanpassing van de modelcontracten zal na vaststelling van de ontwerpverordening wellicht nodig zijn. Ik vertrouw erop dat de Europese Commissie daartoe tijdig het initiatief neemt.

• – Wat de uitoefening van toezichtsbevoegdheden betreft, meen ik dat een toezichthouder verplicht is zijn bevoegdheden op redelijke wijze toe te passen met inbegrip van de beginselen van proportionaliteit en subsidiariteit. Dat brengt met zich dat een onderzoek niet onredelijk lang mag duren. Voor zover de ontwerpverordening dit niet reeds zelf regelt, moet worden aangenomen dat de uitoefening van taken en bevoegdheden door de toezichtouder mede wordt beheerst door de Algemene wet bestuursrecht. De Algemene wet bestuursrecht biedt voldoende garantie voor een behoorlijke uitoefening van bevoegdheden. Ik zie in de ontwerpverordening overigens geen aanleiding te veronderstellen dat er reden is voor discriminatoir optreden van toezichthouders. Dit neemt overigens niet weg dat een toezichthouder naar mijn oordeel gerechtigd is recidive van overtredingen te betrekken bij de vraag of in een volgend geval een sanctie wordt opgelegd.

• – Ik betreur het met VNO/NCW dat in artikel 66 niet is voorzien in een meer transparante rol bij de vaststelling van algemene standpunten over de interpretatie van de ontwerpverordening. Inderdaad zou een rol voor het bedrijfsleven daarbij niet misplaatst zijn.

• – Ik zie geen aanleiding om in de ontwerpverordening de vrijheid van meningsuiting op een andere wijze te benaderen dan in richtlijn 95/46/EG is gebeurd. Naar het mij voorkomt is er ook geen sprake van een wezenlijk andere benadering.

• – De verwerking van persoonsgegevens met betrekking tot de gezondheid en de arbeidsverhoudingen is door de Commissie in belangrijke mate overgelaten aan de lidstaten. Ik acht dat een verstandige keuze. Dit stelt de lidstaten in staat het eigen gegevensbeschermingsrecht voor sectoren die per lidstaat zeer verschillend zijn georganiseerd met toepassing van maatwerk te regelen. De uitzonderingen op het verbod om gegevens betreffende de gezondheid te verwerken hebben mijn aandacht. Tegelijk moet worden gewaakt tegen een al te brede uitleg van deze verbodsbepaling. Leveranciers van sportartikelen of manicures, waarop VNO/NCW wijst, zijn naar mijn oordeel niet aan te merken als zorgaanbieders die gegevens betreffende de gezondheid verwerken.

– Kan de regering de zorg van de leden van de VVD-fractie wegnemen dat het systeem van 27 landelijk samenwerkende en één Europese toezichthouder zal leiden tot bureaucratie, een toename van ambtenaren, onnodige overlegstructuren en een geheel eigen dynamiek die niet dienstig is aan het doel van de regelgeving?

De keuze voor een samenwerkingsmechanisme waarbij 28 toezichthouders gaan samenwerken is een keuze die onverbrekelijk samenhangt met het doel van de ontwerpverordening. In het huidige systeem onder de ontwerprichtlijn is er sprake van implementatie- en interpretatieverschillen die in de afgelopen 15 jaar hebben geleid tot nadelen voor de Europese Unie en het bedrijfsleven bij de handhaving van het gegevensbeschermingsrecht. Een samenwerkingsmechanisme bij de handhaving is dus noodzakelijk. Een mechanisme waaraan zoveel partijen moeten deelnemen brengt echter onvermijdelijk met zich dat regels moeten worden gesteld met betrekking tot de uitoefening van bevoegdheden, feitelijke werkzaamheden, de beslistermijnen en de overige regels met betrekking tot de besluitvorming. Een alternatief daarvoor zie ik eigenlijk niet.

– Hoe beziet de regering de rol van de Europese Commissie in relatie tot de rol van het Europese parlement en de Nationale parlementen? Is hier sprake van evenwicht?

De verhouding tussen Europese Commissie, Europees Parlement en de nationale parlementen is geregeld in het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie en de daarbij behorende protocollen en verklaringen, en niet in de ontwerpverordening. Ik moet ook overigens terughoudendheid in acht nemen waar het gaat om de posities van parlementen.

– Hoe reageert de regering op de kritiek van belangengroepen dat de ontwerprichtlijn teveel mogelijkheden zou creëren voor justitie en politie om gegevens op te vragen?

De verwerking van persoonsgegevens door de verantwoordelijke in de private sector is geregeld in de ontwerpverordening. De ontwerprichtlijn regelt de gegevensverwerking door politie en justitie, ten behoeve van de opsporing en de vervolging van strafbare feiten. De ontwerprichtlijn bevat echter geen regels over de toegang van de politieautoriteiten tot de persoonsgegevens van de private sector. De vraag onder welke omstandigheden politie en justitie gegevens kunnen opvragen van de private sector moet worden beantwoord door de ontwerpverordening en de ontwerprichtlijn in hun onderlinge samenhang te bezien. De ontwerpverordening geeft regels voor de rechtmatigheid van de gegevensverwerking, dit is onder meer het geval als de verwerking noodzakelijk is om aan een wettelijke verplichting te voldoen waaraan de verantwoordelijke is onderworpen (artikel 6, eerste lid, onderdeel c). De ontwerprichtlijn geeft eveneens regels voor de rechtmatigheid van de gegevensverwerking door politie en justitie. De betreffende gronden zijn limitatief opgesomd en zijn beperkt tot de uitvoering van een wettelijke taak door een bevoegde autoriteit, ten behoeve van de opsporing en vervolging van strafbare feiten, de nakoming van een wettelijke verplichting waaraan de verantwoordelijke is onderworpen, de bescherming van een vitaal belang van de betrokkene of een andere persoon of om een onmiddellijke en ernstige bedreiging van de openbare veiligheid te voorkomen (artikel 7). Uit deze bepaling vloeit voort dat het opvragen van gegevens aan de private sector een wettelijke regeling veronderstelt. Ik kan de mening van belangengroepen, dat de ontwerprichtlijn voor politie en justitie teveel mogelijkheden zou creëren om gegevens op te vragen, niet delen. Naar mijn oordeel bevat het vereiste van een wettelijke grondslag voldoende waarborgen voor een afgewogen en evenwichtige regeling die op democratische wijze tot stand komt, met volledige betrokkenheid van het parlement.

– Is naar het oordeel van de regering voldoende gewaarborgd dat geen persoonsgegevens worden verstrekt aan buitenlandse, niet-Europese, overheden zonder dat hieraan duidelijke voorwaarden worden gesteld?

De ontwerpverordening biedt verschillende mogelijkheden voor de rechtmatige doorgifte van persoonsgegevens aan derde landen, ook als de ontvanger van de gegevens de overheid van het desbetreffende land is. Deze leden doelen dan ook vermoedelijk op de vraag of de doorgifte van persoonsgegevens naar derde landen ten aanzien waarvan niet is vastgesteld dat daar een passend niveau van gegevensbescherming bestaat en de doorgifte moet plaatsvinden ingevolge de wetgeving van het desbetreffende of een rechterlijk bevel uit dat land. Uit overweging 90 wordt voldoende duidelijk dat de ontwerpverordening beoogt het conflict van verplichtingen dat door dergelijke wetten en bevelen mede wordt veroorzaakt het hoofd te bieden. Het is mij echter nog niet geheel duidelijk hoe artikel 42 van de ontwerpverordening dit conflict precies oplost. Ik heb daarom de behoefte eerst eens naar de Commissie te luisteren.

Voor wat betreft de ontwerprichtlijn merk ik op dat deze geen bevoegdheden of verplichtingen bevat tot het verstrekken van persoonsgegevens aan derde landen. De voorgestelde regeling gaat ervan uit dat duidelijke voorwaarden worden gesteld aan de gegevensverstrekking, rekening houdend met het niveau van gegevensbescherming in het betreffende land. De regels van de ontwerprichtlijn zijn van toepassing als een dergelijke verstrekking aan de orde is, bijvoorbeeld naar aanleiding van een verdrag. Hieronder zal ik, onder meer naar aanleiding van vragen van de PvdA-fractie, nader ingaan op de verstrekking van persoonsgegevens aan derde landen.

– Is voldoende duidelijk waar een procedure over een eventuele inbreuk moet worden gevoerd? De leden van de VVD-fractie hechten eraan dat dit in ieder geval dichtbij de betreffende persoon kan gebeuren.

Het territorialiteitsbeginsel is uitgangspunt bij de bepaling van de bevoegdheid van de toezichthouders. Dat beginsel is nader uitgewerkt in de regel dat bij het verrichten van activiteiten van een verantwoordelijke in meer dan één lidstaat, de toezichthouder van de lidstaat waar de belangrijkste vestiging van de verantwoordelijke zich bevindt bevoegd is. Die keuze is op zichzelf genomen duidelijk en ook verklaarbaar uit hoofde van een effectieve handhaving, ervan uitgaande dat goed valt vast te stellen dat een vestiging als «de belangrijkste vestiging» kan worden aangemerkt. Maar toegegeven moet worden dat die regel als belangrijk nadeel heeft dat de betrokkene zich soms moet wenden tot een toezichthouder in een andere lidstaat dan de zijne. De daaruit mogelijk voortvloeiende problemen acht ik – met het Cbp – voldoende ernstig om daarvoor de aandacht te vragen.

– Hoe reageert de regering op de zorgen van onder andere PostNL op de verscherping van de regels voor direct marketing. De leden van de VVD-fractie erkennen dat het onwenselijk kan zijn dat ongevraagd post wordt verzonden, maar erkennen daarnaast het economisch belang van deze industrie en vragen zich af of dit voldoende in evenwicht is.

Artikel 19, tweede lid, van de ontwerpverordening is mijn optiek een belangrijke verduidelijking van het al bestaande recht van verzet van de betrokkene op grond van artikel 14, onder b, van ontwerprichtlijn 95/46/EG. Ik acht het niet zonder meer een kwestie van onevenwichtigheid wanneer dit recht wordt verduidelijkt en tot de essentie ervan teruggebracht. Op de specifieke zorgen van PostNL kan ik niet ingaan, aangezien PostNL zich niet tot mij heeft gericht.

– Bijzondere aandacht is volgens de leden van de VVD-fractie nodig voor de positie van het handelsregister van de Kamer van Koophandel en soortgelijke registraties van personen of bedrijven. Graag een reactie van de regering op de bezwaren van de Kamer van Koophandel (zie memo 3 maart 2012).

Het memo van de Kamer van Koophandel waarop deze leden doelen is niet aan mij gezonden, zodat een specifieke bespreking daarvan achterwege moet blijven. In reactie op een memo dat de Kamers van Koophandel, de Dienst Wegverkeer en het Kadaster gezamenlijk aan mij hebben gezonden, kan ik meedelen dat de ontwerpverordening wat mij betreft voldoende ruimte moet openlaten voor het nationale recht om de openbare registers zonder al te veel veranderingen te laten doorfunctioneren. Ik vraag mij af of dat wel in voldoende mate het geval is.

– Is het niet wenselijk de bestaande uitzonderingen voor verwerkingen die geen risico vormen voor de persoonlijke levenssfeer te laten staan, zie in dit kader ook het verzoek van VNO-NCW op dit punt?

In het huidige recht kunnen verwerkingen waarbij sprake is van zodanige risico's dat de inbreuk op de fundamentele rechten en vrijheden van de betrokkene onwaarschijnlijk is, worden vrijgesteld van de meldplicht. Die meldplicht keert in de ontwerpverordening niet meer terug. Dat betekent dat de bestaande uitzonderingen op de meldplicht niet zonder meer zullen terugkeren in de ontwerpverordening. Ik ben er voorstander van dat op het pakket verplichtingen dat de ontwerpverordening op verantwoordelijken legt meer differentiatie mogelijk wordt, zodanig dat wordt aangesloten bij het risico dat de verwerking met zich brengt. Op manier wordt het bedrijfsleven meer proportioneel belast.

– De leden van de VVD-fractie hechten aan een meldplicht voor een »security breach» en een meldplicht voor een«datalek». Aan beide meldplichten kunnen wat de leden van de VVD-fractie betreft voorwaarden worden gesteld omdat het moet gaan om gevallen waarbij daadwerkelijk risico bestaat op het openbaar maken van gevoelige persoonsgegevens. Kan de regeling hierop worden aangepast?

De ontwerpverordening bevat alleen een regeling voor een meldplicht voor datalekken waarbij het risico op verlies of onrechtmatige verwerking van persoonsgegevens aanwezig is. Andere meldplichten passen niet in het kader van de ontwerpverordening. Deze keuze acht ik juist. Artikel 32 van de ontwerpverordening waar de meldplicht voor datalekken is neergelegd, roept nog veel vragen op. Zo lijkt het de bedoeling te zijn dat elk datalek gemeld moet worden. Dat roept de vraag op of een minder vergaande regeling niet tot de mogelijkheden behoort teneinde verantwoordelijken en toezichthouders niet onevenredig te belasten.

– Zou het – zoals VNO-NCW – voorstelt niet verstandig zijn als cruciale interpretaties van de Europese toezichthouder worden getoetst door EC/EP of de Nationale lidstaten zodat ongewenste verruiming of verenging van de regelgeving kan worden voorkomen en daarmee draagvlak voor de vele verplichtingen die de regelgeving met zich meebrengt gegarandeerd blijft?

Het is een gemis dat de opinies van de artikel 29 Werkgroep tot stand komen zonder inbreng van belanghebbende partijen. Ik ben er voorstander van dat min of meer vergelijkbare documenten van het Europees Comité voor Gegevensbescherming niet aan dat manco lijden.

– Is er voldoende aandacht voor de voorlichting van Europese onderdanen over het risico van het verstrekken van persoonsgerelateerde gegevens aan bijvoorbeeld social media?

Ik zie het geven van voorlichting over de gevolgen van het verwerken van persoonsgegevens via sociale media niet primair als een taak van de Nederlandse of de Europese overheid. De exploitanten van de sociale media dienen invulling te geven aan hun verplichting betrokkenen daarover zorgvuldig, volledig en begrijpelijke taal te informeren, zodat betrokkenen zelf in staat zijn te beslissen of zij instemmen met de beoogde verwerking.

– De leden van de VVD-fractie vrezen dat de implementatie van de regelgeving die nu wordt voorgesteld ook op zich voor enorme nalevingskosten zal zorgen. Graag hiervan een inschatting beschikbaar stellen.

Het is op zichzelf genomen aannemelijk dat de uitbreiding van de verplichtingen van de verantwoordelijke leidt tot een verhoging van de nalevingskosten. Het zou echter een langdurig onderzoek vergen om dit voor het Nederlandse bedrijfsleven in kaart te brengen. Daar komt nog bij dat een dergelijk onderzoek onder alle omstandigheden grote onzekerheden met zich brengt, omdat de ontwerpverordening voorziet in de mogelijkheid van uitzonderingen op de verplichtingen, zonder dat duidelijk is wat de reikwijdte van die uitzonderingen zal zijn. Ik acht het bovendien niet mijn taak, maar die van de Europese Commissie om dergelijke berekeningen uit te voeren. In mijn beantwoording van de eerste vraag van deze leden heb ik de beschikbare cijfers gegeven.

– Is het juist dat bij invoering van art. 6 lid 1e en f van de ontwerpverordening bedrijven geen gebruik meer mogen maken van adresbestanden van derden?

Het verschil tussen het voorgestelde artikel 6, eerste lid, onder e en f, van de ontwerpverordening en artikel 7, eerste lid, onder e en f, van ontwerprichtlijn 95/46/EG is dat de rechtvaardigingsgrond voor het verwerken van persoonsgegevens in de ontwerpverordening voortaan beperkt blijft tot het publieke belang waarvan de verantwoordelijke zelf de drager is, respectievelijk het gerechtvaardigde private belang dat de verantwoordelijke zelf formuleert. In geen van beide gevallen mag de verantwoordelijke nog langer (mede) namens of ten behoeve van derden gegevens verwerken, zoals dat onder de ontwerprichtlijn nog wel is toegestaan. Dat betekent niet dat bedrijven geen gebruik meer zouden kunnen maken van adresbestanden van derden, maar dat zij de belangen van derden niet langer tot de hunne kunnen maken, buiten het verband van een gezamenlijke directe verantwoordelijkheid of een bewerkersovereenkomst. Het doelbindingsvereiste wordt daarmee strikter gehandhaafd.

– Het Cbp stelt dat de tekst van de algemene ontwerpverordening en de ontwerprichtlijn voor het terrein van politie en justitie op een aantal essentiële punten behoorlijk uiteen lopen, waardoor de alomvattendheid van het wetgevend pakket in gevaar komt. Volgens het Cbp moeten de volgende begrippen worden opgenomen in de ontwerpverordening en in de ontwerprichtlijn: 1) rechtmatigheid van de verwerking, 2) doelbinding, 3) accuratesse van gegevens, 4) de noodzaak tot het stellen van heldere bewaartermijn (niet langer dan strikt noodzakelijk). Daarnaast dienen volgens het Cbp ook de verplichtingen die van toepassing zijn op de verantwoordelijke en bewerker in beide instrumenten gelijkgeschakeld te worden, waaronder de verplichting tot het uitvoeren van privacy impact assessments en het zorgdragen voor privacy by design. De leden van de fractie van de VVD vragen zich af wat voor gevolgen deze suggesties van het Cbp hebben voor de uitvoerbaarheid en het doel van de wetgeving en of de regering de opvatting van het Cbp deelt.

Het Cbp heeft er op gewezen dat de tekst van de ontwerprichtlijn en de ontwerpverordening op een aantal essentiële punten behoorlijk uiteen lopen, waardoor de alomvattendheid van het wetgevend pakket in gevaar komt. Het Cbp heeft erop aangedrongen dat tijdens de onderhandelingen scherp in de gaten worden gehouden dat de samenhang tussen de beide instrumenten gewaarborgd wordt en op een aantal punten fors wordt versterkt. Dat is volgens het Cbp in de eerste plaats het geval voor de algemene beginselen voor gegevensverwerking. In het bijzonder begrippen als de rechtmatigheid van de verwerking, doelbinding, accuratesse van gegevens, en de noodzaak tot heldere bewaartermijnen dienen zowel in de ontwerpverordening als de ontwerprichtlijn te worden opgenomen. Daarnaast dienen ook de verplichtingen die van toepassing zijn op de verantwoordelijke en bewerker in beide instrumenten gelijkgeschakeld te worden, waaronder de verplichting tot het uitvoeren van privacy impact assessments en het zorgdragen voor privacy by design. Tenslotte dienen de bevoegdheden die worden toegekend aan de gegevensbeschermingsautoriteiten naar het oordeel van het Cbp gelijk getrokken te worden.

Naar aanleiding van de inbreng van het Cbp merk ik op hier in beginsel positief tegenover te staan, met dien verstande dat rekening moet worden gehouden met het verschil in toepassingsbereik van de beide rechtsinstrumenten. Het Cbp erkent dit tot op zekere hoogte ook, omdat het College opmerkt dat een zeker onderscheid in de regels begrijpelijk is, zeker gelet op het specifieke karakter van de politie- en justitiesector. Daarbij merk ik op dat bepaalde beginselen inzake gegevensverwerking, zoals de rechtmatigheid van de verwerking, de doelbinding, de accuratesse en de noodzaak tot het stellen van een heldere bewaartermijn, in de beide rechtsinstrumenten zijn opgenomen. Daarvoor kan worden verwezen naar artikel 4 van de ontwerprichtlijn en artikel 5 van de ontwerpverordening. Op dat punt lijkt het verschil niet erg groot, en lijkt ook de samenhang nauwelijks in het geding. Ten aanzien van de verplichtingen voor de verantwoordelijke en de bewerker zijn de verschillen groter. Anders dan de ontwerprichtlijn kent de ontwerpverordening een verplichting voor de verantwoordelijke of de bewerker tot het verrichten van privacy impactassessments (artikel 33). Vooralsnog staat de regering tamelijk gereserveerd ten opzichte van een dergelijke verplichting voor politie en justitie, omdat het weinig aantrekkelijk lijkt om de gegevensverwerking in een opsporingsonderzoek of een concrete strafzaak vooraf door een toezichthoudend orgaan te laten toetsen. Dit zal snel kunnen leiden tot het door elkaar lopen van de taken van het toezichthoudend orgaan en die van de rechterlijke macht. Bovendien zal de taakuitvoering van politie en justitie daardoor ernstig kunnen worden belemmerd. Een andere zaak is, dat nieuwe wettelijke regels op het gebied van de opsporing en vervolging van strafbare feiten aan een privacy impact assessment wordt onderworpen. Tijdens de behandeling van het rapport van de Commissie Brouwer-Korf heeft de regering dit, naar aanleiding van een motie van het lid Franken (Kamerstukken I, 2010/11, 31 051, D) toegezegd (Handelingen Eerste Kamer 17 mei 2011, EK 27-11-48). Dan gaat het echter om de totstandkoming van nieuwe wetgeving, waarbij van een beperking van het grondrecht van de bescherming van de persoonlijke levenssfeer sprake is. Minder gereserveerd staat de regering ten opzichte van de toepassing van de regels op het gebied van de privacy by design. Hiervoor zijn in de beide rechtsinstrumenten regels opgenomen. Daarvoor kan worden verwezen naar artikel 19 van de ontwerprichtlijn en artikel 23 van de ontwerpverordening. Deze regels vertonen een hoge mate van overeenstemming. Tenslotte kan de regering zich vinden in de door het Cbp voorgestelde gelijktrekking van de bevoegdheden van de gegevensbeschermingsautoriteiten.

– De ontwerpverordening gegevensbescherming zorgt ervoor dat de rechten van betrokkenen worden versterkt, met name het recht om te worden vergeten en het recht op dataportabiliteit. De leden van de VVD-fractie zien hier het belang van in. Hoe schat de regering de uitvoerbaarheid hiervan in? Indien dit volgens de regering moeilijk uitvoerbaar is, wat zou er gedaan kunnen worden om deze uitvoerbaarheid te verbeteren? Hoe zal het recht om te worden vergeten worden gehandhaafd/uitgevoerd? De VVD hecht hier aan, maar hoopt dit zo effectief mogelijk te realiseren zonder onuitvoerbaar te worden.

Ook ik hecht aan het belang van het recht om te worden vergeten en het recht op dataportabiliteit. Tegelijk moet worden bedacht dat beide rechten naar hun aard niet absoluut van karakter van zijn. Gerechtvaardigde belangen van de verantwoordelijke of van een derde kunnen vergen dat een verzoek van de betrokkene om zijn gegevens te wissen niet wordt ingewilligd. Wat het recht om te worden vergeten betreft, lijkt het recht om gegevens te wissen in de verhouding tussen betrokkene en verantwoordelijke eerder en eenvoudiger uitvoerbaar dan in de verhouding tussen betrokkenen, verantwoordelijke en derden. Via internet en sociale media kunnen gegevens zo snel en zo grootschalig worden verspreid dat het in veel gevallen niet goed mogelijk lijkt te achterhalen welke derden over de gegevens beschikken en aan wie die derden de gegevens op hun beurt hebben verstrekt. Het is dan aangewezen dat van de verantwoordelijke niet veel meer kan worden gevergd dan dat hij een redelijke, althans niet onevenredige inspanning verricht de derden mee te delen dat de betrokkene verzoekt zijn gegevens te wissen. Een dergelijke benadering is thans reeds geldend recht (art. 38 Wbp). De ontwerpverordening biedt aanknopingspunten voor het vorenoverwogene, maar roept ook vragen op, zoals de verplichte overname van verantwoordelijkheid voor publicaties door derden die op basis van rechtmatig verwerkte persoonsgegevens plaatsvond.

Het recht op dataportabiliteit is van andere orde, aangezien de betrokkene de uitoefening van dat recht veel meer in eigen hand heeft dan het recht om te worden vergeten. De vraag bij dit recht is nog wel hoe moet worden vastgesteld of een gebruikte dataset algemeen gebruikelijk is en of er voor een nieuwe verantwoordelijke die een dataset krijgt aangeboden wel een acceptatieplicht bestaat. Dit zal vermoedelijk sectorgewijs moeten worden vastgesteld.

– De ontwerpverordening voorziet in een brede informatieplicht aan personen van wie gegevens worden verwerkt. Hoe wordt dit in de praktijk uitgevoerd en is hier volgens de regering behoefte aan, welk probleem lost dit op? De leden van de VVD-fractie gaan er in ieder geval van uit dat er op korte en bondige manier informatie moet worden verstrekt, terwijl dit ook echt een doel moet dienen. Dit is te overzien voor de verstrekker, maar ook voor de ontvanger.

De informatieplicht is een essentieel onderdeel van de ontwerpverordening, evenals van de huidige ontwerprichtlijn. Informatie door de verantwoordelijke over diens identiteit, de doeleinden van de verwerking, de gegevens die hij verwerkt, en het verstrekkingenregime stellen de betrokkene in staat om te beoordelen wat er met zijn persoonsgegevens gebeurt en of hij daarop invloed wil uitoefenen. Aan die verplichting kan op uiteenlopende manieren uitvoering worden gegeven, eenprivacyverklaring op websites en in algemene voorwaarden, mededelingen op adreswikkels van tijdschriften of telefonische mededelingen. Uit artikel 11 van de ontwerpverordening volgt dat de informatie op transparante en gemakkelijk toegankelijke wijze moet worden gegeven.

– Er wordt in de ontwerpverordening voorzien in robuuste sanctionering, met name in de bevoegdheid tot het vaststellen van bestuurlijke boetes door toezichthouders. De hoogte van deze boetes wordt op EU-niveau vastgesteld. Wat zou hierbij volgens de regering de rol van de lidstaten moeten zijn en wordt deze voldoende gewaarborgd in het voorstel? Is het voorstel op dit gebied volgens de regering een verbetering ten opzichte van de huidige situatie in Nederland?

Waar de Europese wetgever de bevoegdheid tot het vaststellen van bestuurlijke boetebesluiten, de beboetbare feiten en het boetemaximum vaststelt, is er voor de wetgevers van de lidstaten geen ruimte meer om terzake nog wetgeving vast te stellen. Dat er in de hele EU een geharmoniseerd boetemaximum wordt vastgesteld, is beslist een verbetering van het handhavingsniveau.

– De regering stelt in het fiche dat de ontwerpverordening deels als niet proportioneel wordt beoordeeld, met name doordat het te gedetailleerd is uitgewerkt. De VVD-fractie ziet hierin eveneens een gevaar. Hoe kan dit volgens de regering worden verholpen zonder daarmee de doelen van het voorstel niet kunnen worden bereikt?

Dat zou kunnen worden bereikt door veel van de grondslagen voor het vaststellen van gedelegeerde handelingen door de Commissie te laten vervallen. Dat zou ook kunnen gebeuren door bij de vormgeving van rechten en verplichtingen meer verantwoordelijkheid te geven aan verantwoordelijke overheden en bedrijven, en aan betrokkenen zelf.

– De leden van de VVD-fractie vragen zich af waarom er niet is gekozen voor optie 1 uit de impact assessment en zou hierover graag de visie van de regering vernemen.

Optie 1 uit het Policy Impact Assessment hield in dat Commissie voorstellen zou doen voor «soft law» als interpretatieve verklaringen bij de huidige ontwerprichtlijn, bewustwordingscampagnes voor betrokkenen en stimuleringscampagnes voor verantwoordelijken. Daarnaast zou een beperkte wijziging van de ontwerprichtlijn worden voorgesteld. Ik ben het met de Commissie eens dat als gevolg van het niet bindende karakter van soft law de garantie zou ontbreken dat er daadwerkelijk een einde komt aan de implementatie- en interpretatieverschillen in de diverse lidstaten. Ik herinner eraan dat ook het Nederlands bedrijfsleven heeft aangegeven dit als een probleem te zien. Ook kan een aanpak met soft law de uiteenlopende bevoegdheden op het gebied van de handhaving niet voorkomen, aangezien die bij behoud van het huidige stelsel de bevoegdheid zouden blijven van de wetgevers van de lidstaten.

– De VVD-fractie ziet een rol voor het beter informeren van gebruikers bij online gebruiksovereenkomsten. Op dit moment krijgt iemand online een ellenlange tekst waar gewoonlijk onderaan snel akkoord wordt aangevinkt. Dit kan beter kort en bondig op basis van een paar criteria, zoals dat nu ook gebeurt bij financiële producten. Kan dit door Nederland bij de discussie ingebracht worden?

Ik ben het met deze leden eens dat de invulling van de informatieplicht en het verlenen van toestemming voor het verwerken van persoonsgegevens het beste op korte en bondige wijze onder de aandacht van de betrokkene kan worden gebracht. De artikelen 7 en 11 van de ontwerpverordening bieden daarvoor al de nodige regels. Het voorstel zal ik op deze punten zeker ondersteunen.

– Er wordt een aantal verplichtingen aan bedrijven opgelegd, zoals het aanstellen van Data Protection Officers en het verplicht uitvoeren van Data Protection Impact Assessments. Welke van deze verplichtingen zijn volgens de regering, a) noodzakelijk/effectief, b) proportioneel, c) uitvoerbaar? En welke zijn dat bij a, b en c niet?

Ik acht zowel het aanstellen van een Data Protection Officer als het uitvoeren van Data Protection Impact Assessments in algemene zin zinvol en uitvoerbaar. Of het noodzakelijk, effectief en proportioneel is moet van geval tot geval worden vastgesteld. Het zal zeker niet in alle gevallen waarin gegevens worden verwerkt noodzakelijk zijn dergelijke verplichtingen uit de voeren. Hoe groter het risico op de bescherming van de persoonlijke levenssfeer is dat aan de verwerking is verbonden, des te meer aanleiding zal er zijn een Data Protection Officer aan te stellen of een Data Protection Impact Assessment uit te voeren.

– Er wordt een One Stop Shop opgezet voor dataprotectie in de EU, naast de onafhankelijke dataprotectie-autoriteiten. De leden van de VVD-fractie vragen zich af of dit in de praktijk ook wel gaat werken. Heeft dit volgens de regering toegevoegde waarde? Wat is de Nederlandse inzet bij dit onderwerp?

De one stop shop procedure in gevallen van grensoverschrijdend nalevingstoezicht en handhaving beschouw ik als een belangrijk winstpunt op het gebied van toezicht en handhaving. Het bedrijfsleven heeft aangegeven hier ook veel winst in te zien. Het scheelt immers het onderhouden van contacten met uiteenlopende toezichthouders in verschillende lidstaten, met een telkens verschillend talenregime. Ik ben niet pessimistisch over de kansen op succes van het mechanisme. Onder het huidige regime werken de toezichthouders in individuele zaken ook al onderling samen en kunnen zij onder omstandigheden ook al ten behoeve van collegatoezichthouders onderzoekshandelingen in eigen land verrichten. Er is dus al de nodige ervaring beschikbaar.

– Voor de VVD is het van belang dat de ontwerprichtlijn het niet onmogelijk maakt om opsporing en vervolging van criminaliteit effectief te laten verlopen. Het voorstel moet dus uitvoerbaar en betaalbaar zijn. Hoe kan dat verbeterd worden ten opzichte van wat de commissie heeft gepresenteerd? In het fiche wordt een aantal keer gemeld dat de voorstellen gevolgen kunnen hebben voor politie en justitie. De leden van de VVD-fractie willen tevens weten wat precies deze gevolgen zijn in de praktijk? Hoe kunnen deze gevolgen zo veel mogelijk verminderd worden, zodat bescherming van persoonsgegevens kan blijven gewaarborgd en politie en justitie gewoon effectief hun werk kunnen blijven doen?

In antwoord op de gestelde vragen merk ik op dat er op dit moment nog geen gedetailleerd beeld bestaat van de precieze gevolgen van de voorstellen voor politie en justitie in de praktijk. Inmiddels is het voorstel voor de ontwerprichtlijn voorgelegd aan vertegenwoordigers van politie en justitie, die hebben aangegeven dat sommige onderdelen van het voorstel gevolgen kunnen hebben voor de effectiviteit van de opsporing en de vervolging. Zoals ook in het BNC-fiche is aangegeven, heeft dit vooral betrekking op het maken van onderscheid tussen de verschillende categorieën van personen en categorieën van persoonsgegevens, de verplichting tot het informeren van de betrokkene over de gegevensverwerking, het recht op verwijdering van gegevens en de melding van datalekken. Voor wat betreft het maken van onderscheid tussen categorieën van personen betekent dit dat politie en justitie, voor zover mogelijk, van ieder gegeven moeten vermelden of dit een verdachte, een veroordeelde of een slachtoffer betreft, en de graad van betrouwbaarheid van het betreffende gegevens moeten vermelden. Voor wat betreft het informeren van de betrokkene betekent dit dat politie en justitie in beginsel een persoon die in aanraking komt met de politie moeten informeren over een aantal aspecten rond de gegevensverwerking zoals de doelen van de verwerking, de periode gedurende welke de gegevens worden opgeslagen en de ontvangers van de gegevens. Voor wat betreft het recht op verwijdering betekent dit dat gegevens worden gemarkeerd als de juistheid daarvan door de betrokkene wordt betwist, hetgeen bij opsporing en vervolging bij uitstek aan de orde is. Voor wat betreft de melding van datalekken betekent dit dat de politie binnen 24 uur de toezichthoudende instantie informeert over iedere inbreuk in verband met persoonsgegevens, welk begrip in de ontwerprichtlijn zeer ruim is omschreven (artikel 3, negende lid), samen met aanbevelingen voor maatregelen om de nadelige gevolgen van de inbreuk te verminderen en een omschrijving van de maatregelen om de inbreuk aan te pakken. Gedurende de onderhandelingen over de ontwerprichtlijn zal nagegaan moeten worden welke mogelijkheden beschikbaar en haalbaar zijn om de uitvoerbaarheid en haalbaarheid van de maatregelen te verbeteren en de gevolgen van de maatregelen zodanig te verminderen dat politie en justitie effectief hun werk kunnen blijven doen.

– Artikel 75 lid 2 van de ontwerpverordening bepaalt dat de gerechtelijke instanties van de lidstaat waar de voor de verwerking verantwoordelijke of de verwerker is gevestigd, competent zijn om te oordelen over een vordering. Hoe verhoudt deze bepaling zich tot de competentieregels uit het EEX en waarom is er niet voor gekozen om deze regels te volgen in de ontwerpverordening? In het bijzonder in gevallen waarbij er meerdere verweerders zijn (art. 6 sub 1 EEX) en in het geval van een forumkeuze krachtens art. 23 EEX.

Artikel 75, tweede lid, van de ontwerpverordening stelt andere regels dan de EEX-Ontwerpverordening. In dat opzicht geldt de ontwerpverordening als bijzonder recht ten opzichte van het algemene recht van de EEX-Ontwerpverordening, voor zover het betreft geschillen die worden beheerst door het burgerlijk procesrecht. Wanneer de verwerende partij een bestuursorgaan is zal het geschil in veel lidstaten, Nederland niet uitgezonderd, worden beheerst door het bestuursprocesrecht. De EEX-Ontwerpverordening is niet van toepassing op het bestuursprocesrecht. Hoewel het Explanatory Memorandum geen specifieke toelichting op de gemaakte keuze bevat, is hier van belang dat tussen verantwoordelijke en betrokkene relatief vaak een ongelijkwaardige verhouding bestaat. Dat verklaart naar alle waarschijnlijkheid het keuzerecht van de betrokkene in artikel 75, tweede lid, tweede volzin, van de ontwerpverordening.

– Artikel 76 lid 2 voorziet in een regeling om parallelle procedures te voorkomen. Kan de regering aangeven wat onder een parallelle procedure wordt verstaan en hoe verhoudt artikel 76 zich tot de connexiteit-regel uit het EEX (art. 27 en 28 EEX).

Het is zeker denkbaar dat een verantwoordelijke in meer dan één lidstaat een vestiging heeft die aanknopingspunt vormt voor het opwerpen van een geschil. Dat kan heel goed hetzelfde geschil of een sterk vergelijkbaar geschil zijn. Hierboven gaf ik al aan dat de ontwerpverordening als bijzonder recht geldt ten opzichte van de EEX-Ontwerpverordening.

PvdA

Naar mijn oordeel biedt de Ontwerpverordening per saldo een betere bescherming aan burgers dan onder de huidige nationale regels. De huidige nationale regels op het gebied van de bescherming van persoonsgegevens zijn opgenomen in de Wet bescherming persoonsgegevens, de Wet politiegegevens voor wat betreft de verwerking van persoonsgegevens ten behoeve van de uitvoering van de politietaak als bedoeld in de artikelen 2 en 6, eerste lid, van de Politiewet 1993, en de Wet justitiële en strafvorderlijke gegevens voor wat betreft persoonsgegevens betreffende de toepassing van het strafrecht of de strafvordering en de verwerking van persoonsgegevens in een strafvorderlijk onderzoek. De Wet bescherming persoonsgegevens vormt de weerslag van de Europese Privacyrichtlijn 95/46/EG, die in 1995 is vastgesteld. De Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens zijn beïnvloed door het Europese kaderbesluit dataprotectie, dat in 2008 is vastgesteld. De commissie stelt nu een pakket voor tot herziening van de bestaande EU-regels op het gebied van de gegevensbescherming. Dit betreft een ontwerpverordening in de plaats van de huidige Privacyrichtlijn, en een ontwerprichtlijn in de plaats van het huidige kaderbesluit. In zijn algemeenheid vormen de ontwerpverordening en de ontwerprichtlijn een nadere uitwerking van de huidige Europese regels.

De ontwerpverordening belooft in zijn algemeenheid een hoger beschermingsniveau dan ontwerprichtlijn 95/46/EG nu kan bieden. Zeker wanneer dit wordt gezien in het perspectief van de EU als geheel. Dat valt toe te schrijven aan het feit dat burgers hun rechten in de gehele EU op dezelfde manier kunnen inroepen tegen verantwoordelijken, en op dezelfde manier toegang kunnen krijgen tot toezichthouders. Daarenboven worden strengere eisen gesteld aan het verlenen van toestemming en worden de rechten van betrokkenen uitgebreid met het recht om te worden vergeten en het recht op dataportabiliteit. De uitwerking van het accountabilitybeginsel leidt tot een uitbreiding van de verplichtingen van verantwoordelijken, waarmee uiteindelijk ook wordt beoogd de positie van betrokkenen te verbeteren. Daarnaast geldt dat met de conceptontwerpverordening natuurlijk niet alleen wordt beoogd de rechten van burgers te beschermen. Ook de positie van verantwoordelijken verdient aandacht. Dat hoort bij een evenwichtig voorstel. Ik zie die aandacht niet als een verlaging van het beschermingsniveau.

Voor wat betreft de ontwerprichtlijn ben ik van oordeel dat deze in ieder geval een hoger beschermingsniveau biedt dan het huidige kaderbesluit 2008/977/JBZ. Het huidige kaderbesluit is uitsluitend van toepassing op persoonsgegevens die tussen de lidstaten worden uitgewisseld of die worden verstrekt aan Europol of Eurojust. Daar komt bij dat sommige onderwerpen in de ontwerprichtlijn meer gedetailleerd zijn geregeld, zoals de instemming van de betrokkene met de gegevensverwerking, het recht op toegang voor de betrokkene en de taken en bevoegdheden van het toezichthoudende orgaan. Andere onderwerpen zijn geheel nieuw, zoals de verplichting tot het melden van datalekken, het recht te worden vergeten en de verplichting tot het houden van privacy impact assessments. In het licht van het totale pakket van nationale regels het gebied van de bescherming van persoonsgegevens die worden verwerkt ten behoeve van de opsporing en vervolging van strafbare feiten kunnen echter geen algemene uitspraken worden gedaan over het verschil in het niveau van gegevensbescherming tussen de ontwerprichtlijn en de nationale regelgeving.

– De leden zijn zeer verheugd met de versterking van het toestemmingsvereiste. De leden van de PvdA-fractie zijn van mening dat burgers moeten weten welke persoonsgegevens worden gebruikt en waarvoor. Zij moeten beschikking hebben en houden over hun persoonsgegevens. Dat betekent dat toestemming vereist is voor het gebruik van persoonsgegevens en als die toestemming wordt ingetrokken, ook de grond voor het gebruik van die persoonsgegevens wegvalt. Deelt de regering dit uitgangspunt en is de regering van mening dat dit principe voldoende gewaarborgd is in de nieuwe EU-regelgeving? Zo nee, waar kan op dit punt de ontwerpverordening nog worden aangescherpt?

De belangrijkste verandering in het toestemmingsvereiste is dat een einde wordt gemaakt aan de situatie waarin sprake is van twee verschillende vormen van toestemming. De ondubbelzinnige toestemming als rechtvaardigingsgrond voor de verwerking van persoonsgegevens in het algemeen en de uitdrukkelijke toestemming voor de verwerking van bijzonder persoonsgegevens. Dat is een winstpunt. En het is inderdaad zo dat verwerking van gegevens moet worden beëindigd wanneer een toestemming wordt ingetrokken en er geen andere rechtvaardigingsgrond rest. Maar er zijn zeker nog vragen over de exacte betekenis van de artikelen 6, eerste lid, onder a, en 7 van de ontwerpverordening. Zo is het de vraag of de rechtszekerheid niet gebiedt dat een toestemming expliciet wordt verleend. Ook is het de vraag of de bewijslast voor de verantwoordelijke niet met zich brengt dat juist meer persoonsgegevens verwerkt moeten worden dan zonder die eis nodig zou zijn. Tenslotte is de toevoeging dat geen beroep op een toestemming kan worden gedaan wanneer sprake is van een «aanzienlijke onevenwichtigheid» tussen betrokkene en verantwoordelijke een regel die zonder enige twijfel aanleiding zal geven tot interpretatieproblemen en conflicten.

– Begrijpen de leden het zo goed dat volgens de voorgestelde EU-ontwerpverordening het duidelijk moet zijn waarvoor de burger toestemming geeft en dat deze toestemming, bv voor het aanvaarden van algemene voorwaarden, niet gezien mag worden als toestemming voor het verwerken van persoonlijke gegevens? Zo nee, in hoeverre wordt de doelbinding te weinig gewaarborgd in de conceptontwerpverordening?

Artikel 6, eerste lid, onder a, van de ontwerpverordening regelt dat toestemming wordt gegeven voor de verwerking van persoonsgegevens voor een of meer specifieke doeleinden. Uit artikel 4, onder (8), van de ontwerpverordening vloeit voort dat toestemming op informatie over de verwerking moet berusten. In zoverre moet het de betrokkene dus voorafgaand duidelijk worden gemaakt wat de strekking van de toestemming is. Wanneer het verlenen van toestemming deel uitmaakt van het aanvaarden van, bijvoorbeeld, algemene voorwaarden, moet het verlenen van toestemming «duidelijk afzonderlijk» worden weergegeven van de andere voorwaarden.

– De Europese toezichthouders hebben in een gezamenlijk opiniestuk geoordeeld over de conceptontwerpverordening. Over het algemeen zijn zij positief over de voorstellen die zijn gedaan. Echter, op sommige punten hebben zij kritiek of maken zij zich zorgen over de ontwerpverordening. Zo zijn de gezamenlijk toezichthouders (Article 29 Working Party) van mening dat de ontwerpverordening de mogelijkheid opent voor «incompatible uses» voor zowel de private als de publieke sector dat kan leiden tot «highly undesirable results» (pagina 16). Met andere woorden, zo lezen de leden dit commentaar, is er sprake van uitholling van de doelbinding. Is de regering bereid notie te nemen van het commentaar van de Article 29 Working Party en te reageren op hun kritiek op dit punt?

Het standpunt van de artikel 29 Werkgroep en van de Europese Toezichthouder voor de Gegevensbescherming over de verhouding tussen de artikelen 5, onder b en 6, vierde lid, van de ontwerpverordening is mij bekend. Ik ben van oordeel dat het voorstel van de Commissie een nuttige bijdrage levert aan de discussie over de vraag wat de betekenis van het vereiste van doelbinding is in een omgeving waarin het verder verwerken van gegevens via internet en sociale media veel gemakkelijker en goedkoper is, en dit bovendien voor zeer velen ook veel vanzelfsprekender lijkt dan 20 jaar geleden nog het geval was toen richtlijn 95/46/EG werd ontworpen. Het is naar mijn mening de vraag of het in de thans bestaande verhoudingen nog wel reëel is onverkort vast te houden aan doelbinding als enig ijkpunt voor de verwerking van persoonsgegevens, of dat niet meer nadruk moet worden gelegd op compenserende waarden als dataminimalisatie. Dat is geen kwestie van het uithollen van doelbinding, maar het eigentijds invullen van die eis. Ik wijs erop dat dit vraagstuk bij de totstandkoming van de Wet bescherming persoonsgegevens ook al onder ogen is gezien. Dit heeft geleid tot artikel 9 van de Wbp dat de verantwoordelijke ook nu al een redelijk ruime armslag verschaft voor het zogeheten nevengebruik, mits hij zich daarvan in een door hem zelf te verrichten belangenafweging rekenschap geeft tegenover betrokkenen en de toezichthouders.

– De leden maken zich zorgen over het principe van de doelbinding in relatie tot de overheden. In hoeverre wijkt de doelbinding voor de overheden af van de doelbinding voor de private sector. Maw wat mag de overheid meer met betrekking tot de verzamelde persoonsgegevens wat een private partij niet mag. En in hoeverre is dit conform, dan wel in strijd met het doelbindingsprincipe?

De ontwerpverordening bepaalt niet zelf voor welke doeleinden publieke of private partijen in concreto persoonsgegevens mogen verwerken. Wel is er een betekenisvol verschil in de rechtvaardigingsgronden voor de verwerking van persoonsgegevens voor beide sectoren. Artikel 6, eerste lid, onder c en e, van de ontwerpverordening zijn specifiek bedoeld voor de gegevensverwerking in de publieke sector. Gegevens mogen door de overheid worden verwerkt wanneer daartoe een wettelijke verplichting bestaat en gegevens mogen worden verwerkt wanneer de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of een taak die deel uitmaakt van de uitoefening van het openbaar gezag dat aan de voor verwerking verantwoordelijke is opgedragen. Die rechtvaardigingsgronden verschillen niet wezenlijk van de rechtvaardigingsgronden die al in richtlijn 95/46/EG zijn opgenomen. Voor de publieke sector betekent dit dat de wetgever van geval tot geval moet vaststellen in welke gevallen persoonsgegevens worden verwerkt, en welke voorwaarden en beperkingen daaraan worden verbonden. Algemene beperkingen op deze bevoegdheid vloeien voort uit artikel 8, tweede lid, EVRM, artikel 52 van het Handvest voor de Grondrechten van de EU en de Grondwet.

– Deelt u de mening van de Staatscommissie Grondwet dat het doelbindingsprincipe zo sterk moet zijn dat het opgenomen moet worden in de Grondwet? Zo nee, waarom niet?

In antwoord op deze vraag verwijs ik deze leden graag naar het kabinetsstandpunt naar aanleiding van het rapport van de Staatscommissie Grondwet. Dit betreft de brief van 24 oktober 2011 van de Minister van Binnenlandse Zaken en Koninkrijksrelaties aan de Voorzitter van de Tweede Kamer der Staten-Generaal, Kamerstukken II 2011/12, 31 570, nr. 20.

– Naast de ontwerpverordening is een apart conceptontwerprichtlijn opgesteld waarin de verwerking van de persoonsgegevens door politie en justitie zijn opgenomen. De opslag en verwerking van persoonsgegevens in het justitieel kader heeft de laatste jaren een grote vlucht genomen. Camera’s in het publieke domein, toegang tot telecomgegevens etc. De ontwerprichtlijn geeft de lidstaten veel ruimte om af te wijken van de waarborgen die genoemd zijn in de ontwerprichtlijn. Het spijt de leden van de PvdA-fractie dat de ontwerprichtlijn niet een ambitieniveau heeft vergelijkbaar met de ontwerpverordening.

De leden vragen zich af welke regels gehanteerd worden als gegevens overgedragen worden naar een ander EU-land. Is de regering met de leden van de PvdA van mening dat beperkingen die op grond van nationale wetgeving aan de verwerking van persoonsgegevens zijn gesteld ook van toepassing moeten zijn als de gegevens met andere EU-lidstaten worden uitgewisseld? Zo nee, waarom niet? Zo ja, is de regering bereid om dit in te brengen bij de eerstvolgende mogelijkheid?

Toezichthouder

PVV

– In algemene zin: De Partij voor de Vrijheid is tegen Europese wetgeving. In Nederland kunnen wij namelijk prima onze eigen wetten maken. Wanneer wij willen samenwerken met andere landen – ook daar is de PVV groot voorstander van – dan kan dat op basis van aparte verdragen met die andere landen. We spreken dan van bilaterale of multilaterale verdragen.

– Verder wil de PVV graag weten welke beleidsvrije ruimte er overblijft indien de EU-wetgeving, zoals die nu in voorligt, aangenomen wordt.

De keuze van de Commissie om met een voorstel voor een ontwerpverordening te komen heeft tot gevolg dat het gegevensbeschermingsrecht in verdere mate geharmoniseerd wordt dan nu het geval is. Daaruit vloeit voort dat in er in algemene zin in elk geval geen sprake is van een uitbreiding van de mogelijkheden om op nationaal niveau regels vast te stellen. Toch is het niet zo dat die mogelijkheden in het voorstel volledig ontbreken. De lidstaten behouden vrijheid om op het terrein van het arbeidsrecht aanvullende wetgeving vast te stellen. Op het terrein van het gezondheidsrecht is er een verplichting tot het stellen van aanvullende regels. Dit is belangrijk, omdat er tussen de lidstaten grote verschillen bestaan op deze gebieden.

Voor de regelgeving die geen betrekking heeft op specifiek benoemde terreinen is er sprake van een geschakeerd beeld. Op veel gebieden is rechtvaardiging voor de verwerking van persoonsgegevens afhankelijk van hetzij nadere regelgeving van de EU, hetzij nadere regelgeving van de lidstaten. In veel gevallen zal dit neerkomen op de noodzaak regels vast te stellen op nationaal niveau. Het is ook nog onvoldoende duidelijk hoe de verhouding is van de ontwerpverordening tot bestaande regels van nationaal recht. De Europees Toezichthouder voor de Gegevensbescherming heeft terecht de aandacht gevraagd voor deze vragen.

– Onder dankzegging aan de Commissie Meijers verzoekt de PVV verder om de onderstaande vragen van de Commissie Meijers (zoals gesteld in de brief van 2 maart 2012 met kenmerk CM1206) zorgvuldig te beantwoorden:

Ten aanzien van profilering:

– Deelt de regering de mening van de Commissie Meijers dat de voorgestelde regeling inzake het gebruik van profilering in Artikel 20 en 21 van de concepterordening en in Artikel 9 van de conceptrichtlijn, door de vele uitzonderingsbepalingen en de resterende discretionaire bevoegdheid voor uitvoerende instanties, nog onvoldoende waarborgen biedt ter bescherming van de bovengenoemde rechten en vrijheden van individuen en met name het non-discriminatiebeginsel?

Ten aanzien van de toezichthoudende autoriteiten:

In antwoord op de vraag van de PVV-fractie kan ik meedelen dat ik graag voldoe aan het verzoek van deze fractie om de vragen van de Commissie Meijers zorgvuldig te beantwoorden. Bij brief van de Minister van Veiligheid en Justitie aan de Voorzitter van de Tweede Kamer der Staten-Generaal van 27 april 2012, Kamerstukken II 2011/12, 32 761, nr. 29, is een uitgebreide schriftelijke reactie gegeven op de schriftelijke vragen van de Commissie-Meijers van 2 maart 2012, nr. CM1206. Ik verwijs de leden van de PVV-fractie graag naar deze brief.

Overige vragen:

– Bent u van mening dat de verhouding tussen de e-Privacy Ontwerprichtlijn en de ontwerpverordening moet worden verduidelijkt?

Artikel 89 van de ontwerpverordening bevat enkele bepalingen met betrekking tot de verhouding van ontwerprichtlijn 2002/58/EG tot de ontwerpverordening. De bedoeling daarvan is dat de ontwerpverordening de rechten en verplichtingen bevat voor het gehele gegevensbeschermingsrecht, voor zover daarin niet specifiek wordt voorzien in ontwerprichtlijn 2002/58/EG. Als beginsel is dit op zichzelf genomen een voldoende duidelijk uitgangspunt. Toch kan niet op voorhand worden uitgesloten dat hier interpretatievragen rijzen. Aangezien ontwerprichtlijn 2002/58/EG is geïmplementeerd in de nationale wetgeving, zullen de lidstaten bij inwerkingtreding van de ontwerpverordening zorgvuldig moeten nagaan of die nationale wetgeving ook voldoende is toegesneden op de ontwerpverordening.

– Bent u van mening dat op basis van art. 50 lid 2 conceptontwerprichtlijn een achteruitgang in collectieve rechtsbescherming wordt bewerkstelligd in Nederland (wellicht ook in andere EU-lidstaten)? Vindt u dit tevens een belangrijk aandachtspunt dat een zorgvuldige behandeling behoeft en waarover de Kamer goed geïnformeerd dient te worden, zeker in het licht van het (AO) behandelvoorbehoud en de moties die in het daaropvolgende VAO zijn ingebracht?

Ik ben van mening dat niet op voorhand gezegd kan worden dat artikel 50, tweede lid, van de ontwerprichtlijn en 73, tweede lid, van de ontwerpverordening een achteruitgang voor Nederland betekent van het recht om collectiefbelangacties in te stellen. Ik wijs erop dat een specifiek voor het gegevensbeschermingsrecht bedoelde collectiefbelangactie momenteel ontbreekt. Wat artikel 50, derde lid, van de ontwerprichtlijn en artikel 73, derde lid, van de ontwerpverordening betreft, kan zelfs wel worden volgehouden dat er sprake is van een uitbreiding. Artikel 3:305a, vierde en vijfde lid, van het Burgerlijk Wetboek bieden de mogelijkheid dat een individuele belanghebbende zich verzet tegen een collectiefbelangactie die mede betrekking heeft op zijn belang, terwijl het recht een collectiefbelangactie in te stellen in geval van een datalek op grond van artikel 73, derde lid, van de ontwerpverordening ook onafhankelijk van een individuele klacht kan worden uitgeoefend. In het algemeen overleg van 7 maart 2012 heb ik toegezegd de Kamer specifiek over de ontwikkelingen rond het collectief actierecht te informeren.

– Waarom is er gekozen de ontwerpverordening niet risicogericht te laten zijn en waarom richt de ontwerpverordening zich nu op bedrijfsgrootte?

Het is mij niet bekend waarom de Commissie deze keuze heeft gemaakt.

– Waarom zijn er geen uitzonderingen voor verwerking gemaakt die bijvoorbeeld wel in de Nederlandse wet (in het Nederlandse Vrijstellingsbesluit) zijn opgenomen?

Het Vrijstellingsbesluit Wbp bevat de voorwaarden waaronder aan verantwoordelijken in de zin van de Wbp vrijstelling wordt verleend van de verplichting om een verwerking van persoonsgegevens te melden bij het Cbp of de functionaris voor de gegevensbescherming. Die meldplicht is niet in de ontwerpverordening opgenomen en verdwijnt dus. Er is dan ook geen reden meer voor vrijstelling van die verplichting. Niettemin is het voorstelbaar dat de ontwerpverordening een voorziening bevat die vrijstelling verleent van andere verplichtingen, en die zou zijn opgezet volgens de principes van de Vrijstellingsbesluit Wbp.

– Is de Ontwerpverordening wel specifiek genoeg daar waar het verschillende typen data betreft? Wordt er een onderscheid tussen on- en offline gebruik gemaakt? Wordt er gekeken naar de aard van de gegevens en de gevolgen die de Ontwerpverordening heeft voor verschillende typen bedrijvigheid?

Het is zeker voorstelbaar dat in de ontwerpverordening ten aanzien van de omvang van de rechten en verplichtingen van verantwoordelijken en ten aanzien van de rechtvaardigingsgronden voor het verwerken van bijzondere persoonsgegevens meer wordt gedifferentieerd naar de aard van de gegevens, het type van bedrijvigheid en de vraag of gegevens meer online of offline worden gebruikt.

– Hoe wordt er geanticipeerd op voorzienbare jurisdictieconflicten? Hoe wordt voorkomen dat het voor ondernemers onmogelijk wordt om in verschillende landen te ondernemen zonder de wet te overtreden?

Hoofdstuk V van de ontwerpverordening bevat een groot aantal bepalingen die het grensoverschrijdend verkeer van persoonsgegevens regelen. Met deze bepalingen bevat de ontwerpverordening een beter uitgewerkte verzameling grondslagen voor deze typen verwerkingen. De regering is van mening dat er op dit onderdeel van het gegevensbeschermingsrecht sprake is van een verbetering ten opzichte van richtlijn 95/46/EG. Waar het gaat om verplichtingen krachtens buitenlands recht aan in de Europese Unie gevestigde verantwoordelijken om buiten toestemming van de betrokkene gegevens te verstrekken aan de overheid van een derde land, beoogt de ontwerpverordening blijkens overweging 90 een oplossing te bieden. Hoe die oplossing precies luidt blijkt nog onvoldoende duidelijk uit de artikelen 42 en 44 van de ontwerpverordening.

– Waarom wordt er niet verder gedifferentieerd waar het datalekken betreft? Dienen alle typen datalekken gemeld te worden? Zo ja op welke termijn en zijn periodieke rapportages hierbij ook mogelijk? Hoe wordt dit verder uitgewerkt?

Volgens artikel 31 van de ontwerpverordening dienen alle datalekken zonder uitzondering te worden gemeld bij de toezichthoudende autoriteiten. In beginsel moet dat binnen 24 uur gebeuren. Volgens artikel 32 van de ontwerpverordening dienen alle datalekken die waarschijnlijk een nadelig effect hebben op de persoonsgegevens of de persoonlijke levenssfeer van de betrokkene ook aan de betrokkene te worden gemeld. In beginsel moet dit onverwijld gebeuren. Over de invulling van het criterium nadelig effect bevat overweging 67 enige voorbeelden. Beide bepalingen voorzien in de mogelijkheid van de vaststelling van gedelegeerde handelingen door de Commissie. Met die gedelegeerde handelingen kan een nadere invulling worden gegeven aan beide bepalingen. De Commissie heeft daarvoor nog geen voorstellen aangekondigd.

– Waarom wordt in het voorstel niet ingegaan op nalevingskosten (in aanvulling op de administratieve lasten)?

De Commissie heeft zich wat betreft de administratieve lasten en nalevingskosten beperkt tot een berekening van de voordelen die de ontwerpverordening oplevert in termen van verhoging van het harmonisatieniveau en het afschaffen van verplichtingen zoals de meldplicht. De Commissie heeft enige cijfers bijgevoegd over de effecten van de verplichtingen en de daarmee gemoeide nalevingskosten die de ontwerpverordening oplevert voor het bedrijfsleven. Het is de vraag of die cijfers volledig zijn. Ik verwijs de leden van de PVV-fractie graag naar mijn antwoord op de eerste vraag van de leden van de VVD-fractie.

– Hoe kijkt de Nederlandse overheid tegen de introductie van eventuele nieuwe wetgeving vanuit Europa aan? In welke mate voelt zij zich verantwoordelijk om burgers en bedrijfsleven te informeren, voor te lichten en te ondersteunen waar het (het voldoen aan) deze eventuele nieuwe wetgeving betreft?

Te zijner tijd zal samen met het Cbp worden bezien of de komende inwerkingtreding van de nieuwe regels specifieke publieksvoorlichting vereist.

– Hoe wordt omgegaan met gegevens die via internet worden verstrekt waarbij niet goed vast te stellen is of de gegevens van een minderjarige afkomstig zijn? Hoe wordt er voorkomen dat bedrijven en organisaties deze gegevens pas mogen verwerken (bijvoorbeeld voor het beantwoorden van een vraag) wanneer zij aanvullende informatie verkrijgen (die de privacy nader zouden kunnen schenden) zoals bijvoorbeeld creditcardgegevens (om de meerderjarigheid vast te stellen)?

De voorstellen van de Commissie voor de bescherming van de belangen van jeugdigen geven aanleiding tot het stellen van vragen. Het succes van die voorstellen is in belangrijke mate afhankelijk van de ontwikkeling van betrouwbare en gebruiksvriendelijke methoden om online identiteit en leeftijd van een persoon te kunnen vaststellen, zonder dat dit leidt tot de proliferatie van meer persoonsgegevens dan wenselijk is. Die methoden zijn nu nog onvoldoende voorhanden, zodat nog onzekerheid bestaat over de uitvoerbaarheid van de voorstellen.

– Welke moeilijkheden ontstaan er met het oog op fraudepreventie met de nu voorliggende EU-wetgeving? Blijven er mogelijkheden voor fraudepreventie bestaan en/of vergt dit ondersteuning, ontheffing of specifieke goedkeuring vanuit de overheid? Is hier überhaupt in voorzien?

Voor zover de leden van de PVV-fractie bedoelen te vragen of de ontwerpverordening de vaststelling van regels die de onderlinge verstrekking van persoonsgegevens in het belang van de fraudebestrijding tussen uitvoeringsinstanties in de sociale zekerheid, bestuursorganen en toezichthouders bemoeilijkt, lijkt dit niet het geval te zijn. Wel zijn er nog vragen bij de rechtvaardigingsgronden voor de verwerking van bijzondere persoonsgegevens – in het bijzonder gegevens betreffende de gezondheid en strafrechtelijke gegevens – door verzekeringsmaatschappijen en andere private partijen. De verwerking van laatstbedoelde categorieën van gegevens is belangrijk uit oogpunt van fraudebestrijding.

– Hoe wordt omgegaan met «het recht om vergeten te worden» wanneer de gegevens die iemand vrijwillig bij een aanbieder op internet heeft geplaatst openbaar zijn? Kan deze aanbieder dan verantwoordelijk worden gehouden voor de verspreiding van derden? Waarom is dit niet verder uitgewerkt en waarom is niet aangegeven wie hiervoor de verantwoordelijkheid heeft?

Er moet van worden uitgegaan dat – al dan niet via een intermediair – vrijwillig op internet geplaatste gegevens ook voor anderen toegankelijk zijn wanneer de desbetreffende site of het platform geen toegangsrestricties heeft. De betrokkene, en niet de verantwoordelijke, is primair verantwoordelijk voor de verstrekking van zijn gegevens. Het is ook de betrokkene die zichzelf primair moet vergewissen van hetgeen met de gegevens gebeurt nadat hij ze heeft verstrekt. Wanneer hij het recht om te worden vergeten gaat uitoefenen zal dat tot gevolg hebben dat de verantwoordelijke – in dit geval degene die er een website of platform op nahoudt – primair zorg moet dragen voor het wissen van de gegevens en op wie een inspanningsverplichting rust ervoor te zorgen dat de gegevens die na verstrekking door de betrokkene zijn doorverstrekt aan derden ook bij die derden worden gewist. Er is op zichzelf genomen geen onduidelijkheid over de vraag op wie een verplichting rust, maar meer over de vraag of die verplichting wel in alle opzichten uitvoerbaar is.

– Hoe worden niet in de Unie gevestigde bedrijven gestimuleerd toch met een representant te gaan werken? Kan dit worden afgedwongen, zo nee, waarom niet? Zo ja, op welke wijze?

Stimulering van de aanstelling van een vertegenwoordiger in de EU door een niet in de EU gevestigde verantwoordelijke voor de verwerking van persoonsgegevens is in de eerste plaats mogelijk door in de EU een aantrekkelijk gegevensbeschermingsrecht aan te bieden dat niet alleen voor de betrokkene, maar ook voor de verantwoordelijke duidelijke voordelen biedt. Ook verantwoordelijken hebben belang bij een goed gegevensbeschermingsrecht. Het niet aanstellen van een vertegenwoordiger in de gevallen waarin dit wel verplicht is, is – net als nu het geval is – met een bestuurlijke boete bedreigd. De uitvoerbaarheid van deze maatregel is afhankelijk van de begrensde mogelijkheden een dergelijke maatregel buiten het grondgebied van de EU ten uitvoer te leggen.

CDA

De leden van de CDA-fractie hebben tijdens het algemeen overleg d.d. 7 maart jl. reeds diverse punten aan de orde gesteld. Daarnaast hebben zij vragen kunnen stellen tijdens de technische briefings, waarvoor zij de diverse betrokkenen langs deze weg graag dank zeggen. Veel concrete vragen hebben genoemde leden niet, daar zij zich goed realiseren dat een en ander nog zeer in ontwikkeling is en veel nog dient te worden uitgewerkt. Een paar punten stellen de leden van de CDA-fractie in deze schriftelijke inbreng wel graag nog aan de orde.

– De leden van de CDA-fractie hebben bij diverse gelegenheden naar voren gebracht bijzonder veel waarde te hechten aan het actief en voorafgaand moeten geven van toestemming om gegevens te mogen gebruiken (vide discussie «opt-in» in plaats van «opt-out» en de motie-Van Toorenburg c.s., Kamerstukken II 2011/2012, 32 761, nr. 12). Genoemde leden begrijpen dat de voorliggende regelgeving hier ook meer op is gebaseerd, sterker nog, uitgangspunt is uitdrukkelijke toestemming. (Putting individuals in control of their personal data/Right tot be forgotten en Data breach notification). Genoemde leden zijn hiermee zeer ingenomen en wat hen betreft houdt de Staatssecretaris daar ook stevig aan vast.

Het is inderdaad zo dat de ontwerpverordening de toestemming van de betrokkene als rechtvaardigingsgrond voor de verwerking van persoonsgegevens heeft versterkt. Ik kan mij hierin vinden en zal daar stevig aan vasthouden.

– De indruk wordt gewekt dat er sprake is van lastenverlichting. Deze is gelegen in het feit dat de algemene meldplicht is vervallen. Daarnaast zal sprake zijn van één loketfunctie voor bedrijven. Dat zal beslist de duidelijkheid kunnen dienen, althans indien onomstotelijk vast staat waar een hoofdvestiging gelegen is. Is inmiddels al duidelijk op basis van welke criteria dat wordt vastgesteld? De leden van de CDA-fractie begrijpen dat veel bedrijven die op dit punt kwetsbaar zijn Ierland als hoofdvestiging kiezen, omdat daar de regels zo soepel zijn. De voorzitter van het College bescherming persoonsgegevens (Cbp) pleit ervoor bij onduidelijkheid uitsluitstel te vragen bij het European Data Protection Point. Wat het CDA betreft een verstandig voorstel. Hoe denkt de Staatssecretaris daarover?

De vaststelling van de criteria met behulp waarvan wordt bepaald waar een vestiging van een verantwoordelijke is gelegen, is onderwerp geweest van een intensieve bespreking in de betrokken raadswerkgroep. De Commissie heeft na deze besprekingen laten weten nader over de implicaties van dit onderdeel van het voorstel te willen nadenken. De vaststelling van een ontwerpverordening voor het algemene gegevensbeschermingsrecht heeft mede tot doel te voorkomen dat bedrijven in verschillende lidstaten van de EU verschillend worden behandeld. Ik meen met de leden van de CDA-fractie dat het voorstel van het Cbp om de European Data Protection Board een zekere rol toe kennen bij onduidelijkheid over de bevoegdheid van een van de Europese toezichthouders constructief is.

– Hoewel van lastenverlichting sprake zal zijn, wordt hiermee vooral gedoeld op de lasten die bedrijven ondervinden van de administratieplicht jegens de overheid. Over de uitvoeringskosten rijzen evenwel grote zorgen. Kan de Staatssecretaris hierover al iets meer zeggen? Hoe omvangrijk zullen deze naar verwachting zijn?

Het lijkt inderdaad plausibel dat de nalevingskosten die voortvloeien uit de ontwerpverordening hoger zullen zijn dan de nalevingskosten die uit richtlijn 95/46/EG voortvloeien. De Commissie heeft dit maar gedeeltelijk willen narekenen. Ik verwijs deze leden graag naar het antwoord op de eerste vraag van de leden van de VVD-fractie. Ik kan dus niet precies aangeven wat de omvang van die kosten is.

– De Kamer van Koophandel Nederland luidt de noodklok over artikel 17 (het recht om gegevens te kunnen laten wissen bij derden). Zij acht dat praktisch niet uitvoerbaar. Deelt de Staatssecretaris die zorg, zo vragen de leden van de CDA-fractie.

Ik ben niet van oordeel dat artikel 17 volledig onuitvoerbaar zou zijn. Het is veeleer de vraag of het recht om te worden vergeten in alle opzichten volledig uitvoerbaar is. Ook de inspanningsverplichting van een verantwoordelijke om bij derden te bewerkstelligen dat de van hem afkomstige en door derden verwerkte gegevens zullen worden gewist, zal vermoedelijk niet volledig kunnen voorkomen dat de persoonsgegevens waarop een verzoek om deze te wissen betrekking heeft in het verkeer zullen blijven. De verantwoordelijke zal niet in alle gevallen onder alle omstandigheden kunnen overzien welke derden de gegevens in enig stadium rechtmatig zijn gaan verwerken. Het recht om te worden vergeten zal dan ook niet als een absoluut recht van de betrokkene kunnen worden aangemerkt. Mijn zorg ligt dan ook niet zozeer bij het recht om te worden vergeten als zodanig, maar bij de mogelijke verkeerde indruk die ontstaat bij de naamgeving ervan.

– De ontwerpverordening voorziet ook in een meldpunt voor datalekken. Hoe verhoudt deze zich tot het nationale meldpunt die momenteel in Nederland onderwerp van debat is, zo vragen de leden van de CDA-fractie.

De ontwerpverordening voorziet in een meldplicht voor datalekken bij de toezichthouder. In Nederland is dat het Cbp. Het door mij in december 2011 in consultatie gegeven wetsvoorstel, waarin op nationaal niveau een meldplicht datalekken wordt voorgesteld, voorziet ook in een meldplicht bij het Cbp. In zoverre is er sprake van overeenstemming tussen beide voorstellen.

– Momenteel is het mogelijk om, zonder daartoe door individuele burgers gemachtigd te zijn, in het algemeen belang een privacyproces te voeren tegen de overheid. Die mogelijkheid lijkt straks niet meer te bestaan. Klopt die analyse? De leden van de CDA-fractie hebben hier zorgen over.

– De leden van de CDA-fractie hebben de Staatssecretaris gevraagd of het Cbp ook een voorafgaande adviserende rol zou kunnen spelen. Bij het ontwikkelen van nieuwe producten moet steeds meer al aan de tekentafel rekening worden gehouden met de bescherming van persoonsgegevens (privacy by design) en bedrijven hebben soms grote behoefte aan advies. Zouden zij, tegen betaling, een soort prejudiciële vraag kunnen stellen, dan zouden zij daar zeer mee geholpen kunnen zijn. Heeft de Staatssecretaris hierover inmiddels al overleg gevoerd met het Cbp?

Ik zal op dit onderwerp in een afzonderlijke brief terugkomen. Ik zal in die brief ook ingaan op een aantal andere onderwerpen die in het algemeen overleg van 7 maart 2012 aan de orde zijn gesteld.

– Tot slot hecht de CDA-fractie eraan nogmaals uit te spreken dat zij volledige openheid verwacht van de regering over de stand van de onderhandelingen over de voorstellen, zodat de Kamer effectief controle kan uitoefenen op de onderhandelingen en de inzet en successen van de Nederlandse regering in de Raad.

Voor zoveel nodig herinner ik de leden van de CDA-fractie aan de toezeggingen terzake die door mij zijn gedaan in het algemeen overleg van 7 maart 2012.

SP

De leden van de SP-fractie hebben met belangstelling kennis genomen van het nieuwe pakket van de Europese Commissie met voorstellen voor de bescherming van persoonsgegevens. De leden benadrukken dat dit een omvangrijk pakket is, wat van groot belang zal zijn voor de toekomstige privacywetgeving in Nederland. De leden benadrukken bij de regering dit pakket met voorstellen van buitengewoon groot belang te vinden en vragen de regering hieraan veel aandacht te besteden en bij iedere gelegenheid het belang van een hoog beschermingsniveau te benadrukken. Tevens hechten zij aan de toezeggingen, gedaan in het Algemeen Overleg over het behandelvoorbehoud van deze voorstellen, over de informatievoorziening aan de Kamer.

Algemeen

– De leden van de SP-fractie vragen de regering nog eens duidelijk aan te geven in hoeverre het na eventuele aanname van deze voorstellen (ontwerpverordening en ontwerprichtlijn) nog mogelijk is in Nederland af te wijken van de Europese regels. Beogen de Europese regels de gehele privacywetgeving in alle lidstaten te harmoniseren? Of beogen deze Europese regels minimumnormen neer te leggen, waarbij het is toegestaan naar boven af te wijken (méér bescherming te bieden)? Indien dat laatste niet het geval is, waarom niet?

– De leden van de SP-fractie benadrukken dat het niet alleen gaat om het maken van goede regels voor bescherming van persoonsgegevens, maar dat de regels vooral ook toegepast moeten worden in alle EU-lidstaten. Hoe kijkt de regering aan tegen het naleven van de huidige privacyregels in andere EU-lidstaten? Hoe wordt daar op toegezien?

Ik ben het met deze leden eens dat goede toepassing en handhaving van de regels van groot belang is. Ik moet mij echter onthouden van een oordeel over de wijze waarop in andere lidstaten van de EU de regels van gegevensbescherming worden nageleefd. De handhaving vindt daar, net als in Nederland, plaats door onafhankelijke toezichthouders.

Toezicht

– De leden van de SP-fractie benadrukken het van groot belang te vinden dat er in alle landen een robuuste toezichthouder aanwezig is om privacyschendingen aan te pakken. Ook Europees toezicht is noodzakelijk. Hoe ziet het kabinet dit voor zich?

Er is reeds in alle lidstaten en ook op Europees niveau een toezichthouder aangesteld. De ontwerpverordening voorziet in een eenvormig stelsel van bevoegdheden en bestuurlijk strafrecht voor deze toezichthouders. Het lijdt weinig twijfel dat het handhavingsniveau daarmee aanmerkelijk wordt versterkt.

– De leden van de SP-fractie plaatsen vraagtekens bij de capaciteit van het College Bescherming Persoonsgegevens. We hebben een (privacy-)waakhond met tanden nodig, die voldoende mankracht heeft om bepaalde signalen en meldingen uit de samenleving te onderzoeken. Daarover zijn de leden bezorgd. Vooral ook in het licht van de toekomstige meldplicht datalekken, waar de aan het woord zijnde leden groot voorstander van zijn, die naar alle waarschijnlijkheid veel werk op zal leveren voor het CBP. Graag een reactie.

Ik ben van oordeel dat het CBP zodanig met financiële en personele middelen moet worden uitgerust dat het in staat is zijn taken op redelijke wijze te vervullen. Naar mijn oordeel is daarvan thans sprake. Wat betreft de eventuele toename van taken van het Cbp als gevolg van het wetsvoorstel meldplicht datalekken zal in de memorie van toelichting terzake een korte beschouwing worden opgenomen.

– De leden van de SP-fractie vragen wanneer het wetsvoorstel waarmee de boetebevoegdheid van het CBP wordt uitgebreid de Kamer naar verwachting zal bereiken.

Ik zal op dit onderwerp in een afzonderlijke brief terugkomen. Ik zal in die brief ook ingaan op een aantal andere onderwerpen die in het algemeen overleg van 7 maart 2012 aan de orde zijn gesteld.

Specifieke vragen, op onderdelen

Meldplicht datalekken

– De leden van de SP-fractie zijn al langere tijd voorstander van een meldplicht datalekken, en vinden de huidige voorgestelde bepaling te beperkt: Niet de inbreuk op beveiligingsmaatregelen, maar de ongeautoriseerde toegang tot persoonsgegevens moet leidend zijn en bepalend zijn voor de vraag of het lek gemeld moet worden. Dus ook een meldplicht indien er per ongeluk een databestand met persoonsgegevens op internet wordt geplaatst. Ook dat zou moeten worden gemeld. Gaat de regering zich hiervoor inzetten?

Ik ben er geen voorstander van om de meldplicht datalekken zo breed op te rekken dat ook elk geval van ongeautoriseerde toegang onder deze meldplicht valt. Een binding van de meldplicht aan een andere reeds bestaande verplichting met betrekking tot de bescherming van persoonsgegevens is juist vanwege deze band beter handhaafbaar. Noch richtlijn 95/46/EG, noch de Wbp, noch de ontwerpverordening kennen een regeling voor de rechtmatige toegang tot persoonsgegevens. Het is niet mogelijk om een dergelijke regeling in wetgeving op te nemen, omdat richtlijn 95/46/EG daarin niet voorziet en het zeer de vraag is of op nationaal niveau de ruimte bestaat een dergelijk voorschrift vast te stellen. Daarnaast moet de overheid zich in algemene zin niet zonder dringende noodzaak bemoeien met de interne huishouding van niet tot de overheid behorende bedrijven of instellingen.

Behalve dit aspect geldt uit oogpunt van handhaafbaarheid nog dat het in concreto bijzonder moeilijk kan zijn een goed onderscheid te maken tussen ongeautoriseerde toegang tot gegevens – die overigens niet noodzakelijkerwijs een extern negatief effect op de persoonsgegevens van de betrokkene hoeft te hebben – en verkeerde handelingen met persoonsgegevens nadat op wel geautoriseerde wijze toegang tot die gegevens is verkregen. Het door deze leden aangehaalde voorbeeld van een verwerking die per ongeluk op internet is geplaatst, hoeft niet het gevolg te zijn van ongeautoriseerde toegang tot die gegevens.

Nalevingskosten

Bedrijven met minder dan 250 fte

– De leden van de SP-fractie vragen de regering wat de onderhandelingsinzet zal zijn op het punt dat bedrijven met minder dan 250 fte worden vrijgesteld van een aantal verplichtingen. Zou niet zo zeer de grootte van het bedrijf, maar de mate van risico bepalend moeten zijn voor de vraag of uitzonderingen moeten worden gecreëerd?

Ik ben het met de leden van de SP-fractie eens dat niet de omvang van het bedrijf, maar de aard van de gegevensverwerking en de daarmee gemoeide risico's bepalend moeten zijn voor de zwaarte van de verplichtingen die de ontwerpverordening op verantwoordelijken legt. Mijn inzet is er dus niet op gericht dat ondernemingen of instellingen met minder dan 250 fte principieel moeten worden vrijgesteld van de verplichtingen van de ontwerpverordening.

Uitwisseling met derde landen

– De leden van de SP-fractie vragen naar de garanties die er zijn indien gegevens worden uitgewisseld met derde landen. Vindt de regering dat het voorstel op dit punt voldoende waarborgen bevat voor de gegevensbescherming?

Hoofdstuk V van de ontwerpverordening bevat een groot aantal bepalingen die het grensoverschrijdend verkeer van persoonsgegevens regelen. Met deze bepalingen bevat de ontwerpverordening een beter uitgewerkte verzameling grondslagen voor deze typen verwerkingen. De regering is van mening dat er op dit onderdeel van het gegevensbeschermingsrecht sprake is van een verbetering ten opzichte van richtlijn 95/46/EG, ook waar het gaat om de daarbij in acht te nemen waarborgen.

Profilering

– De leden van de SP-fractie vragen de regering te reageren op de zorgen die de commissie Meijers heeft geuit over het gebruik van profilering op basis van persoonsgegevens.

In de eerder, naar aanleiding van vragen van de fractie van de PVV, genoemde brief van de Minister van Veiligheid en Justitie aan de Voorzitter van de Tweede Kamer der Staten-Generaal van 27 april 2012, is een reactie gegeven op de brief van de Commissie-Meijers. Ik verwijs de leden van de SP-fractie graag naar die brief.

Rechten van betrokkenen

– De leden van de SP-fractie vragen de regering of zij tevreden zijn over de uitwerking van de rechten van betrokkenen, zoals het «recht om vergeten te worden» en het «recht op informatie». Wat is de reactie op bijvoorbeeld de kritiek van het CBP dat de uitzonderingen op de informatieplicht te ruim geformuleerd zijn?

D66

– De leden van de D66-fractie verwelkomen het feit dat de Commissie een voorstel heeft gedaan om de EU-regels voor privacybescherming bij de tijd te brengen. Dit is hoognodig omdat zich sinds het opstellen van de huidige regels veel veranderingen hebben voorgedaan. Zij zijn daarbij verheugd dat het overgrote deel van de nieuwe EU-regels voor Bescherming Persoonsgegevens in de vorm van het instrument «Ontwerpverordening» is gegoten. Op deze wijze zullen de regels in elk EU-land gelijkluidend zijn. Deze leden juichen toe dat personen meer controle krijgen over hun eigen data met deze Ontwerpverordening. Ook moeten bedrijven in het vervolg explicieter dan voorheen aan burgers toestemming vragen als zij hun persoonsgegevens willen gebruiken en gaat voor hen een meldplicht voor datalekken gelden. Daarnaast wordt een «right to be forgotten» voorgesteld. Naar het oordeel van de leden van de fractie van D66 zijn dit stappen vooruit.

De leden van de D66-fractie zien echter ook een aantal uitdagingen en kansen voor verbetering. De Europese Commissie heeft gekozen voor meerdere instrumenten (in aanvulling op genoemde Ontwerpverordening wordt voor het politiële en justitiële domein een Ontwerprichtlijn voorgesteld), maar volgens D66 moet het uitgangspunt hetzelfde blijven: één alomvattend rechtskader om het verzekeren van een hoog niveau van gegevensbescherming voor de Europese burger. De aan het woord zijnde leden hebben geconstateerd dat op een aantal cruciale punten de ontwerprichtlijn en de ontwerpverordening tevens uit elkaar lopen. Is de regering bereid om gedurende de onderhandelingen in te zetten op het bewerkstelligen van een nauwere samenhang tussen beide instrumenten? Het gaat hierbij voornamelijk om de algemene beginselen voor gegevensverwerking (zoals doelbinding en bewaartermijn), de verplichtingen die van toepassing zijn op de verantwoordelijke alsook bewerker en de bevoegdheden die worden toegekend aan de autoriteiten verantwoordelijk voor gegevensbescherming. De aan het woord zijnde leden benadrukken dat deze discrepanties hen zorgen baren.

Ik ben van mening dat de keuze die de Commissie heeft gemaakt met betrekking tot de instrumenten verdedigbaar is. Er zijn belangrijke verschillen tussen het algemene gegevensbeschermingsrecht en het gegevensbeschermingsrecht voor politie en justitie. Die verschillen zijn ook gerechtvaardigd, omdat op het terrein van politie en justitie de onderzoeksbelangen steeds zullen moeten afgewogen tegen het belang van de bescherming van persoonsgegevens, hetgeen tot andere uitkomsten kan leiden dan bij de verwerking van persoonsgegevens door bedrijven of overheidsinstellingen. Voor de beantwoording van de vragen over het uit elkaar lopen van de ontwerprichtlijn en de ontwerpverordening verwijs ik de leden van de fractie van D66 naar het antwoord op een soortgelijke vraag van de fractie van de VVD.

– Deze leden lezen in de brief van staatssecretaris Teeven (32 761, nr. 17) het volgende: «Ook bij de ontwerprichtlijn heb ik kanttekeningen ten aanzien van de uitvoerbaarheid en werklast. Dit betreft het maken van onderscheid tussen categorieën van gegevens door politie en justitie en de informatieverplichtingen jegens degenen die met de politie en justitie in aanraking komen. Dergelijke verplichtingen zijn niet goed te verenigen met de aard van het politiewerk.» Zij ontvangen graag een nadere toelichting en precisering bij deze stelling. Waar doelt de staatssecretaris precies op?

– De leden van de D66-fractie achten het een gemiste kans dat er een apart, lager beschermingsniveau komt als de overheid persoonsgegevens gebruikt. De besluiten die de overheid neemt over burgers op basis van hun gegevens, kunnen minstens zo ingrijpend zijn als die van bedrijven. Is de regering bereid zich bij de onderhandelingen in te zetten voor één – zo hoog – beschermingsniveau die voor alle partijen geldt die gegevens verwerken, dus ook de overheden en de Europese instellingen? Zo nee, waarom niet?

Ik ben het niet eens met de leden van de D66-fractie als zij stellen dat er sprake is van een lager beschermingsniveau voor alle gevallen waarin de overheid gegevens verwerkt. Wel is het zo dat voor de overheid afzonderlijke rechtvaardigingsgronden gelden voor de verwerking van persoonsgegevens, en dat de mate waarin de Uniewetgever of de nationale wetgever regels kan of moet stellen voor specifieke verwerkingen in de sfeer van de overheid nu eenmaal ruimer is. Dat laatste acht ik gerechtvaardigd. De overheid heeft in de samenleving een bijzondere verantwoordelijkheid, die afwijkt van de verantwoordelijkheden van het bedrijfsleven. De overheid moet, anders dan het bedrijfsleven, ook garant staan voor de verwerkelijking van andere grondrechten dan alleen de bescherming van persoonsgegevens. Veiligheid, belastingheffing en sociale zekerheid kunnen niet worden georganiseerd wanneer er niet op een zekere schaal persoonsgegevens worden verwerkt. Het is dan ook veeleer de vraag of de overheid haar taken wel voldoende kan uitoefenen wanneer aangedrongen wordt op vermindering van de mogelijkheden om gegevens te verwerken.

– De voorgestelde regelgeving voorziet in nieuwe plichten voor bedrijven en nieuwe rechten voor burgers die bijdragen aan een betere bescherming van persoonsgegevens; hetgeen in beginsel positief is. Maar deze plichten en rechten moeten wel afdwingbaar zijn. De leden van de D66-fractie beschouwen het als winst dat de nationale colleges bescherming persoonsgegevens boetes zullen kunnen gaan opleggen. Nu bestond op nationaal niveau in Nederland dit voornemen al langer en vragen zij de regering wanneer de Kamer dit wetsvoorstel tegemoet kan zien, waarbij de aan het woord zijnde leden zeggen benieuwd te zijn naar de samenloop tussen beide (het Europese en nationale) trajecten.

Ik zal op dit onderwerp in een afzonderlijke brief terugkomen. Ik zal in die brief ook ingaan op een aantal andere onderwerpen die in het algemeen overleg van 7 maart 2012 aan de orde zijn gesteld.

– Zij vragen de regering eveneens hoe deze aankijkt tegen strafrechtelijke sancties voor gevallen van zware overtreding van deze regels.

Ik ben voorstander van handhaving van de gegevensbeschermingswetgeving door middel van een bestuurlijke boete. Tegen het voorstel van de Commissie terzake heb ik dan ook geen principieel bezwaar. Wel kan ik mij voorstellen dat over de exacte hoogte van de boetes en de vraag of alle overtredingen wel met juiste sanctie worden bedreigd nog de nodige discussie plaatsvindt.

– Ten slotte, vragen zij de regering om haar visie op het «minder dan 250 fte»-criterium toe te lichten. Graag zouden zij zien dat daarbij expliciet wordt ingegaan op de stelling van het CBP dat «niet de grootte van het bedrijf, maar de mate van risico verbonden aan de verwerking» bepalend dient te zijn voor het creëren van eventuele uitzonderingen.

Ik verwijs de leden van de D66-fractie graag naar mijn antwoorden terzake op gelijkluidende vragen van de leden van de SP-fractie.

– Voor de leden van de D66-fractie is het een belangrijk punt dat Europese burgers beschermd worden door Europese regels, ook als derde landen gebruik maken van gegevens van Europese burgers. In het fiche over de ontwerpverordening stelt de regering dat het probleem van conflicterende jurisdicties nog niet volledig sluitend lijkt te zijn geregeld. Leden van deze fractie hebben over dit onderwerp meerdere malen vragen gesteld. Kan de regering een nadere toelichting geven van de regeringsinzet op deze punten? Welke ondergrens hanteert de regering?

In overweging 90 van de ontwerpverordening heeft de Commissie voldoende duidelijk gemaakt dat zij zich bewust is van het ontstaan van mogelijke conflicten van plichten wanneer de verstrekking van gegevens verplicht is op grond van buitenlands recht en een rechtvaardigingsgrond voor die verstrekking in het Europese recht ontbreekt. Ik acht dat een belangrijk gegeven. Het is mij nog niet helemaal duidelijk hoe met de artikelen 42 en 44 van de ontwerpverordening die problemen worden opgelost. Ik ben er primair in geïnteresseerd van de Commissie te vernemen hoe deze bepalingen in het licht van overweging 90 moeten worden begrepen. Ik richt mij er dus in de eerste plaats op te luisteren naar de Commissie.

– In een brief van het College Bescherming Persoonsgegevens (CBP) over onderhavige materie aan de vaste Kamercommissie voor Veiligheid en Justitie (d.d. 2 maart 2012) meldt het CBP het volgende: «Een eerdere – openbaar geworden – conceptversie van de ontwerpverordening bevatte zo’n bepaling in artikel 42: «No judgment of a court or tribunal and no decision of an administrative authority of a third country requiring a controller or processor to disclose personal data shall be recognized or be enforceable in any matter , without prejudice to an mutual assistance treaty or an international agreement in force between the requesting third country and the Union or a Member State».« Kan de regering inzicht verschaffen in de reden(en) dat deze formulering verdwenen is uit het voorstel? Kan de regering tevens duidelijkheid verschaffen of zij voorstander zou zijn van het (her-)introduceren van een dergelijke bepaling? En zo niet, waarom niet.

Het is mij niet bekend waarom die bepaling niet in het voorstel, dat door de Commissie is ingediend, is opgenomen. Een dergelijke bepaling gaat uit van een zeer rigide model voor het doorgeven van persoonsgegevens uit de EU naar derde landen, wanneer een voorschrift van vreemd recht of een rechterlijke beslissing van een vreemde jurisdictie een verantwoordelijke of bewerker daartoe dwingt. Natuurlijk verdient het de voorkeur om dergelijke doorgiften te laten plaatsvinden op de grondslag van een rechtshulpverdrag, een ander bilateraal verdrag, of een bindend EU-besluit, maar met de totstandkoming van dergelijke instrumenten is doorgaans veel tijd gemoeid. Een dergelijke rigiditeit helpt de verantwoordelijke die in een acuut conflict van plichten verzeild raakt naar mijn mening niet. Daar zal dus een aanvullende oplossing voor gezocht moeten worden. Bij de verdere vormgeving van oplossing zullen bovendien ook andere elementen moeten worden betrokken zoals de vraag of het gegevensverstrekking in bulk betreft, of dat het om individuele gevallen gaat en de vraag naar de aard van de betrokken gegevens.

– De leden van de D66-fractie benadrukken ten slotte dat de uitwerking en verdere onderhandelingen over onderhavige voorstellen hun buitengewone belangstelling heeft. Zij worden dan ook graag tijdig en frequent geïnformeerd over de voortgang hiervan.

Voor zoveel nodig herinner ik de leden van de D66-fractie aan de toezeggingen terzake die door mij zijn gedaan in het algemeen overleg van 7 maart 2012.

GroenLinks

De leden van de fractie van GroenLinks hebben nog enkele navolgende vragen over de herziening van de EU-wetgeving over de bescherming van persoonsgegevens.

– Op welke wijze spant de regering zich in om een aantal algemene beginselen voor gegevenswerking van dermate groot belang zijn en aan de basis liggen van gegevensbescherming dat zij zowel in de ontwerpverordening als de ontwerprichtlijn te laten opnemen, in het bijzonder beginselen als de rechtmatigheid van de gegevensverwerking, doelbinding, accuratesse van gegevens, en de noodzaak tot het stellen van een heldere bewaartermijn (niet langer bewaren dan strikt noodzakelijk voor het doel)?

Voor de beantwoording van deze vraag verwijs ik de leden van de fractie van GroenLinks naar het antwoord op een soortgelijke vraag van de fractie van de VVD.

– Artikel 6, vierde lid van de ontwerpverordening doorbreekt in latere fases van gegevensverwerking het principe van doelbinding. Op welke wijze spant de regering zich om deze dreigende uitholling van het principe van doelbinding ongedaan te maken?

Er zal in de ontwerpverordening hoe dan ook een regeling moeten worden opgenomen voor de verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor zij oorspronkelijk zijn verzameld. Een dergelijke regeling ligt ook ten grondslag aan artikel 6, eerste lid, onder c, van richtlijn 95/46/EG en is nader uitgewerkt in artikel 9 van de Wbp. Als een dergelijke regeling ontbreekt zal het gegevensbeschermingsrecht zodanig rigide worden dat het maatschappelijke en economische ontwikkelingen blokkeert in plaats van stimuleert. Waar het mij om gaat is dat een regeling voor de zogeheten verdere verwerking de juiste voorwaarden biedt, waaronder die verdere verwerking nodig is. Artikel 6, vierde lid, van de ontwerpverordening biedt daarvoor in elk geval een bruikbaar beginpunt voor verdere discussie.

– In de ontwerpverordening zijn voor de overheid afwijkende bepalingen opgenomen over het gebruik van bijzondere persoonsgegevens, onverenigbaar gebruik, privacy impact assessments, en over de mogelijkheid van de overheid om beperkingen aan te brengen op de principes en rechten voor bepaalde belangen. Deelt de regering het standpunt dat door deze bepalingen wordt afgeweken van de doelstelling om te komen tot een alomvattend privacykader, een normenstelsel dat én voor de publieke en én voor de private sector zou gelden. En deelt de regering de mening dat zonder dat allesomvattende privacykader onzekerheid ontstaat bij burgers en verantwoordelijken over de vraag welke normen waarom wel of niet in welke situaties voor hen van toepassing zijn? Zo ja, op welke wijze spant de regering zich in opdat deze afwijkende bepalingen worden aangepast?

Ik ben het niet eens met de stellingname van de leden van de fractie van GroenLinks dat afbreuk wordt gedaan aan de doelstelling om een alomvattend wettelijk kader voor gegevensbescherming wanneer dat kader verschillende verplichtingen bevat voor overheid, bedrijfsleven en individuele burgers. Dat voor de overheid afzonderlijke rechtvaardigingsgronden gelden voor de verwerking van persoonsgegevens, en dat de mate waarin de Uniewetgever of de nationale wetgever regels kan of moet stellen voor specifieke verwerkingen in de sfeer van de overheid ruimer is, en dat er onder omstandigheden uitzonderingen op de rechten van de betrokkene moeten worden aanvaard acht ik gerechtvaardigd. De overheid heeft in de samenleving een bijzondere verantwoordelijkheid, die afwijkt van de verantwoordelijkheden van het bedrijfsleven. De overheid moet, anders dan het bedrijfsleven, ook garant staan voor de verwerkelijking van andere grondrechten dan alleen de bescherming van persoonsgegevens. Veiligheid, belastingheffing en sociale zekerheid kunnen niet worden georganiseerd wanneer er niet op een zekere schaal persoonsgegevens worden verwerkt. Het is dan ook veeleer de vraag of de overheid haar taken wel voldoende kan uitoefenen wanneer aangedrongen wordt op vermindering van de mogelijkheden om gegevens te verwerken. Daar staat tegenover dat de overheid, anders dan het bedrijfsleven, onderworpen is aan veel verschillende controlemechanismen op de uitoefening van haar bevoegdheden. Ik geloof niet dat verantwoordelijken en betrokkenen aan meer onzekerheid over het geldende recht zijn blootgesteld, wanneer er sprake is van verschil tussen bevoegdheden en verantwoordelijkheden van overheid en bedrijfsleven. De regels moeten natuurlijk wel duidelijk zijn.

– Op welke wijze spant de regering zich in om de verplichtingen die van toepassing zijn op de verantwoordelijke en bewerker in zowel de ontwerpverordening en de ontwerprichtlijn gelijk te schakelen, waaronder de verplichting tot het uitvoeren van privacy impact assessments en het zorgdragen voor privacy by design?

Voor de beantwoording van deze vraag verwijs ik de leden van de fractie van GroenLinks naar het antwoord op een soortgelijke vraag van de fractie van de VVD. Voor wat betreft de ontwerpverordening merk ik nog op dat de verplichting tot het uitvoeren van privacy impact assessments blijkens artikel 33, eerste lid, van de ontwerpverordening gelijkelijk op de verantwoordelijke en de bewerker rust. Wat de doorwerking van de verplichting tot installeren van privacy by design of privacy by default betreft, kan inderdaad de vraag worden gesteld of die verplichting noodzakelijkerwijs alleen op de verantwoordelijke rust, of dat die ook vatbaar is voor nadere vormgeving of uitwerking door de bewerker. Het zou niet misstaan wanneer in artikel 26 van de ontwerpverordening wordt opgenomen of, en zo ja hoe, de bewerker die verplichting op grond van een bewerkersovereenkomst kan overnemen van de verantwoordelijke. Ik zal aandacht vragen voor dit punt in de onderhandelingen.

– In artikel 22 van de ontwerpverordening worden verplichtingen rond «accountability» vastgelegd. Dit betekent dat bedrijven dienen te investeren in een zorgvuldige omgang met persoonsgegevens. Dit vertaalt zich in plichten als het zorgdragen voor «privacy by design», het doen van «privacy impact assessments» en het garanderen van adequate beveiliging. Op welke wijze spant de regering zich in om deze bepaling in de ontwerpverordening te behouden alsmede om de uitvoering ervan in de praktijk te realiseren, zowel met betrekking tot het overheidsdomein als met betrekking tot het stimuleren hiervan in het private domein?

Artikel 22 van de ontwerpverordening bevat inderdaad de uitwerking van het accountabilitybeginsel. Als zodanig ben ik daar voorstander van, maar ik ben wel van oordeel dat het pakket aan verplichtingen evenwichtig moet zijn aan het pakket aan bevoegdheden dat er tegenover staat en ook verantwoord moet zijn wanneer rekening gehouden wordt met de specifieke risico's van de verwerking waar het in concreto om gaat. Dat evenwicht is naar mijn mening nog onvoldoende bereikt in deze bepaling. Daarvoor zal ik de aandacht zeker vragen. Wanneer dat evenwicht is bereikt, zal ook de uitvoering van deze bepaling in de praktijk gemakkelijker worden aanvaard.

Artikel 51 (2) van de conceptverordening stelt dat de dataprotectie-autoriteit van de lidstaat waar een verantwoordelijke zijn hoofdvestiging heeft, wordt geacht de «leidende autoriteit» te zijn die bevoegd is toezicht te houden op de verwerkingen van dit bedrijf in andere EU-lidstaten. Op welke wijze spant de regering zich in om de ontwerpverordening op te laten nemen dat indien de hoofdvestiging van een bedrijf niet eenduidig kan worden vastgesteld de European Data Protection Board (EDPB) de bevoegdheid krijgt om te bepalen welke dataprotectie-autoriteit de leiding neemt bij een zaak en hoe de onderlinge rolverdeling met andere nationale toezichthouders is?

Deze suggestie – afkomstig van het Cbp – acht ik nuttig. Ik zal daarvoor tijdens de onderhandelingen in Brussel de aandacht vragen.

– Op welke wijze spant de regering zich in voor het versterken van de rechten van de burger, in het bijzonder voor het behoud van de door de ontwerpverordening gegarandeerde versterking van het toestemmingsvereiste (betreft artikelen 4 en 7 van de conceptontwerpverordening)?

De versterking van het toestemmingsvereiste, in die zin dat het verschil tussen uitdrukkelijke en ondubbelzinnige toestemming wordt afgeschaft, is een verbetering ten opzichte van ontwerprichtlijn 95/46/EG. Dat neemt echter niet weg dat artikel 7 van de ontwerpverordening ook de nodige vragen oproept. Zo leidt de verplichting van de verantwoordelijke om bij te houden of een toestemming is verleend tot nalevingskosten en, belangrijker, ook de tot de verwerking van meer persoonsgegevens. De rechtsgevolgen van het intrekken van een toestemming zijn nog onvoldoende in kaart gebracht. De regeling van de onevenwichtigheid tussen partijen is evenmin voldoende duidelijk.

– In de ontwerpverordening worden bedrijven met minder dan 250 werknemers vrijgesteld van een aantal verplichtingen. Deelt de regering het standpunt dat in het huidige tijdgewricht vaak juist bedrijven met slechts enkele medewerkers voor de bescherming van persoonsgegevens zeer risicovolle verwerkingen doen en dat om die reden niet de grootte van een bedrijf, maar de mate van risico verbonden aan de verwerking bepalend moet zijn als besloten wordt om uitzonderingen te creëren en zo ja, op welke wijze spant de regering zich in opdat de conceptontwerpverordening op dit punt wordt aangepast?

Dit standpunt van de leden van de GroenLinks-fractie deel ik. Ik heb inmiddels nadrukkelijk aandacht gevraagd voor dit punt in de onderhandelingen. Andere lidstaten hebben dit ook gedaan.