Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 juni 2012

Bij brief van 22 mei 2012 heeft de Voorzitter van de Tweede Kamer der Staten-Generaal op de voet van artikel 21a, eerste lid, van de Wet op de Raad van State aan de Afdeling advisering van de Raad van State gevraagd haar van voorlichting te dienen inzake de voorstellen van de Europese Commissie die strekken tot de herziening van het Europese regelgevend kader inzake verwerking en bescherming van persoonsgegevens.

De Europese Commissie heeft op 25 januari jl. twee voorstellen gepresenteerd die strekken tot herziening van de regels voor de bescherming van persoonsgegevens binnen de Europese Unie. Het eerste voorstel betreft een verordening over de bescherming van personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens.1 Deze verordening vervangt de huidige Richtlijn 95/46/EG die in Nederland geïmplementeerd is in de Wet bescherming persoonsgegevens (hierna: Wbp). Het tweede voorstel betreft een richtlijn over de bescherming van personen met betrekking tot de verwerking van persoonsgegevens door de bevoegde autoriteiten ten behoeve van de voorkoming, het onderzoek, de ontdekking of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en het vrije verkeer van dergelijke gegevens.2 Deze richtlijn vervangt het huidige Kaderbesluit 2008/977/JBZ, dat is geïmplementeerd in de Wet politiegegevens en de Wet strafvorderlijke en justitiële gegevens.

Naar aanleiding van de voorstellen van de Europese Commissie heeft de Tweede Kamer een parlementair behandelvoorbehoud geplaatst. Tijdens het Algemeen Overleg van 7 maart 20123 heeft een eerste gedachtewisseling plaatsgevonden tussen regering en Tweede Kamer en zijn procedurele afspraken gemaakt over de informatievoorziening aan de Kamer gedurende het Europese besluitvormingsproces. De Voorzitter van de Tweede Kamer heeft op 22 mei 2012 op verzoek van de vaste commissie voor Veiligheid en Justitie de Afdeling advisering van de Raad van State op grond van artikel 21a, eerste lid, van de Wet op de Raad van State, om voorlichting gevraagd over bepaalde aspecten van beide voorstellen. (Kamerstukken 32 761, nr. 28) De Voorzitter van de Tweede Kamer heeft een vijftal vragen aan de Afdeling voorgelegd. Het voorlichtingsverzoek kan worden geplaatst in de context van een toenemende betrokkenheid van nationale parlementen bij de totstandkoming van Europese wetgeving.4 Sinds de inwerkingtreding van het Verdrag van Lissabon in 2009 is een bepaling opgenomen waarin de rol van nationale parlementen in de Europese Unie nader wordt omschreven. Daarbij behoort de beoordeling van de subsidiariteit van EU-regelgeving tot één van de taken van de nationale parlementen.5 Een vroegtijdige betrokkenheid van een van de of beide Kamers bij de totstandkoming van Europese wetgeving in bepaalde gevallen is erop gericht om de regering tijdig kennis te kunnen laten nemen van de gevoelens van de Kamers opdat zij daarmee tijdens de besprekingen in EU-verband rekening kan houden6.

Sinds de inwerkingtreding van het Verdrag van Lissabon en vervolgens van de gewijzigde Wet op de Raad van State is het de eerste maal dat de Afdeling advisering op verzoek van de Tweede Kamer voorlichting uitbrengt over EU-ontwerpwetgeving. Het betreft complexe en ingrijpende voorstellen op een maatschappelijk en constitutioneel belangrijk terrein. De Afdeling heeft daarin aanleiding gezien om in dit geval de voorstellen diepgaand te analyseren als grondslag van de beantwoording van de gestelde voorlichtingsvragen.

Het verzoek om voorlichting is gericht op Europese ontwerpregelgeving, die na vaststelling in EU-verband (deels) geïmplementeerd moet worden in nationale regelgeving. Voorop staat dat de (Afdeling advisering van de) Raad van State ingevolge de Grondwet de plicht heeft om de regering en de beide kamers der Staten-Generaal van advies te dienen over voorstellen van wet. Dit impliceert dat de Afdeling zich in een voorlichting als de onderhavige terughoudend zal opstellen ten aanzien van kwesties die raken aan keuzes die aan de orde kunnen komen in het nationale wetgevingsproces dat volgt op de vaststelling van Europese wetgeving.

De voorstellen vormen tezamen een omvangrijk wetgevingspakket, deels uitgewerkt in gedetailleerde regels. Op dit moment wordt over beide voorstellen in EU-verband onderhandeld en dientengevolge zullen de voorstellen vermoedelijk in de loop van de tijd nog worden aangepast. Voorts is van belang dat een substantiële toelichting op de voorgestelde bepalingen niet voorhanden is zodat op dit moment nog onzeker is hoe de bepalingen – ook als het gaat om de hoofdlijnen – moeten worden uitgelegd. Voor zover de Afdeling standpunten over de ontwerpverordening en -richtlijn naar voren brengt, zien deze uitsluitend op deze voorstellen in dit ontwerpstadium. Zij kunnen niet worden geïnterpreteerd als vooruitlopend op de wetgevingsadvisering die in een later stadium bij de uitvoering en omzetting van eenmaal op Europees niveau tot stand gebrachte regelgeving zal plaatsvinden.

De Afdeling beperkt zich in deel I van deze voorlichting tot een korte beschouwing over de belangrijkste gevolgen van de nieuwe voorstellen. Voorts zal in deel I in samenvattende zin antwoord worden gegeven op de voorlichtingsvragen. Deel II van de voorlichting bevat een uitvoeriger analyse van de beide voorstellen waarin de beantwoording van de voorlichtingsvragen nader wordt uitgewerkt en toegelicht. Bij de beschouwingen en antwoorden in deel I wordt telkens doorverwezen naar de corresponderende paragrafen uit de analyse in deel II.

I. HOOFDPUNTEN

De wens van de Tweede Kamer die aan de voorlichtingsvragen ten grondslag ligt is, zo begrijpt de Afdeling, het verkrijgen van inzicht in de consequenties van de voorliggende ontwerpverordening en ontwerprichtlijn voor de lidstaten, in het bijzonder voor Nederland. De belangrijkste veranderingen vloeien voort uit de ontwerpverordening. Een belangrijke consequentie is naar het oordeel van de Afdeling in de eerste plaats de verschuiving in de bevoegdheidsverdeling tussen de lidstaten en de Europese Unie. De nadruk komt veel sterker dan voorheen te liggen op de bevoegdheden van de Europese Unie. Deze verschuiving manifesteert zich niet alleen in de keuze voor een verordening in plaats van een richtlijn maar met name ook in de ruime toekenning van bevoegdheden aan de Europese Commissie en in een versterkt Europees toezicht. Het toezicht wordt meer dan nu het geval is in handen gelegd van het uit de nationale toezichthouders bestaande Europees Comité voor de gegevensbescherming en de Europese Commissie.

Het is in dit stadium moeilijk te bepalen tot welk eindresultaat de voorgestelde bevoegdheidsverschuiving exact zal leiden. De ontwerpverordening kan leiden tot een uniformere en coherente regeling van de bescherming van persoonsgegevens. Op de noodzaak van een dergelijke regeling die moet leiden tot meer rechtszekerheid en een gelijk speelveld binnen de Europese Unie, hebben ook betrokken economische actoren gewezen. Het gevolg hiervan is echter wel dat indien de verordening wordt uitgevoerd zoals beoogd, op het maatschappelijk en constitutioneel belangrijke gebied van de bescherming van persoonsgegevens de nationale beleidsruimte van de lidstaten in vergelijking tot de huidige situatie aanzienlijk zal worden ingeperkt. Op de rechtsgrondslag van artikel 16 VWEU zal de invulling van het grondrecht op bescherming van persoonsgegevens, ook in relatie tot andere grondrechten, voornamelijk plaatsvinden op Europees niveau. Dezelfde verschuiving naar Europees niveau zal gelden voor toekomstige wijzigingen van de verordening, in welke zin dan ook. De verordening, die anders dan een richtlijn rechtstreeks toepasselijk is, zal dan ook ingrijpende gevolgen hebben voor de nationale wetgeving. De Wbp zal grotendeels komen te vervallen en een groot aantal bepalingen uit de bijzondere wetgeving zal vermoedelijk moeten worden geschrapt. [Zie § 2.2. tot en met 2.4. en § 7 van deel II]

Een tweede belangrijk gevolg van de ontwerpverordening betreft de doelstelling van de Europese Commissie om de wetgeving in overeenstemming te brengen met technologische ontwikkelingen. Daartoe worden de rechten van de betrokkene uitgebreid en de verplichtingen van de voor de verwerking verantwoordelijken versterkt. De Afdeling onderschrijft de hiervoor genoemde doelstelling. De voortschrijdende technologische ontwikkelingen dwingen de wetgever nader te bezien in hoeverre de bestaande regels nog voldoende bescherming bieden en voor zover dat niet het geval is de wetgeving aan te passen. Tegelijkertijd dient te worden gewaakt voor te hooggespannen verwachtingen. Naar het oordeel van de Afdeling dienen de voorgestelde nieuwe rechten in de ontwerpverordening inhoudelijk nauwkeuriger te worden omschreven om daadwerkelijk toegevoegde waarde te kunnen hebben. Voorts merkt de Afdeling op dat tegenover de lastenverlichting die voortvloeit uit de afschaffing van de meldingsplicht, aanzienlijke lastenverzwaringen voor de verantwoordelijken in de ontwerpverordening besloten liggen. Aandacht verdient de vraag in hoeverre het op zichzelf terechte uitgangspunt dat primair de verantwoordelijke moet kunnen worden aangesproken op de bescherming van persoonsgegevens die door hem worden verwerkt, de aard en de omvang van de voorgestelde verplichtingen van de verantwoordelijken rechtvaardigt [Zie § 4.3. en 4.4. van deel II].

Mede in het licht van het voorgaande komt de Afdeling tot de volgende antwoorden op de gestelde vragen.

De bepalingen over de voorwaarden waaronder persoonsgegevens kunnen worden doorgegeven naar een derde land vormen in belangrijke mate een voortzetting van de bestaande regelgeving gebaseerd op Richtlijn 95/46. Op grond van de voorgestelde teksten moet voorshands worden aangenomen dat het huidige beschermingsniveau van Richtlijn 95/46 in de verordening zal worden gehandhaafd. Wel bevat de regeling in de ontwerpverordening op bepaalde punten een nadere specificatie ten opzichte van de geldende regels. Bijzondere aandacht vergt de verhouding met bestaande internationale overeenkomsten en de formulering van bepaalde uitzonderingen op grond waarvan gegevens kunnen worden doorgegeven aan een derde land waarvoor de Commissie geen passend beschermingsniveau heeft vastgesteld. [Zie § 6 van deel II]

II. ANALYSE

De hierna volgende analyse geeft de motivering van de beschouwingen van deel I en meer in het bijzonder van de daarin gegeven antwoorden op de vragen. In § 1 schetst de Afdeling eerst kort de voorgeschiedenis van de voorliggende voorstellen. Vervolgens onderzoekt de Afdeling in § 2 de rechtsgrondslag van zowel de ontwerpverordening als de ontwerprichtlijn en de daarmee verband houdende instrumentkeuze (ten behoeve van vraag 1, eerste en derde deel). In § 3 komen de bevoegdheden van de Europese Commissie op grond van artikel 290 en 291 VWEU aan bod (ten behoeve van vraag 4). In § 4 wordt een aantal belangrijke verschillen tussen de bestaande regelgeving op het gebied van de bescherming van persoonsgegevens en de ontwerpverordening en ontwerprichtlijn geanalyseerd en van enkele kanttekeningen voorzien (ten behoeve van vraag 2). Daarna komen in § 5 de belangrijkste grondrechtelijke aspecten aan de orde waarbij specifiek wordt ingegaan op een aantal daarmee samenhangende bepalingen uit de ontwerpverordening en de ontwerprichtlijn (ten behoeve van vraag 1, tweede deel). Vervolgens wordt in § 6 en § 7 ingegaan op het specifieke thema van de uitwisseling van persoonsgegevens met derde landen (ten behoeve van vraag 3) en op de voorgestelde Europese toezichts- en handhavingsstructuur (ten behoeve van vraag 5).

Inhoudsopgave
1.	Voorgeschiedenis
1.1.	Ontwikkeling gegevensbeschermingsrecht
1.2.	Aanleiding voor de voorstellen
2.	Rechtsgrondslag en instrumentkeuze
2.1.	Afzonderlijke instrumenten
2.2.	Keuze voor verordening
2.3.	Nadere analyse keuze verordening
	a. Nationale wetgeving
	b. Zelfregulering
	c. Maatregelen Europese Commissie
2.4.	Conclusie
3.	De bevoegdheden van de Europese Commissie
3.1.	Onderscheid gedelegeerde handeling – uitvoeringshandeling
3.2.	Gedelegeerde handelingen
3.3.	Uitvoeringshandelingen
4.	Verschillen met bestaande regelgeving
4.1.	Hoofdlijnen
4.2.	Doelbinding
4.3.	Rechten van de betrokken
4.4.	Verplichtingen verantwoordelijke
5.	Verhouding met andere grondrechten
5.1.	Afweging van grondrechtelijke belangen
5.2.	Vrijheid van meningsuiting
5.3.	Discriminatieverbod
5.4.	Rechten van het kind
5.5.	Kerkgenootschappen
6.	Uitwisseling gegevens met derde landen
6.1.	Internationalisering
6.2.	Bestaande internationale overeenkomsten
6.3.	Afwijkingsmogelijkheden
7.	Toezichts- en handhavingsstructuur
7.1.	Effectieve handhaving
7.2.	Nationaal toezicht
7.3.	Europees toezicht
7.4.	Sanctionering

1. Voorgeschiedenis

1.1. Ontwikkeling gegevensbeschermingsrecht

De bescherming van persoonsgegevens werd aanvankelijk primair op nationaal niveau geregeld. In 1988 kwam na een lange voorgeschiedenis de Wet persoonsregistraties tot stand.7 Deze was gebaseerd op artikel 10 Grondwet dat sinds 1983 in de Grondwet is opgenomen. Artikel 10, tweede en derde lid, bevat een opdracht aan de formele wetgever om ter bescherming van de persoonlijke levenssfeer regels te stellen over het vastleggen en verstrekken van persoonsgegevens en over bepaalde rechten die personen met betrekking tot hun persoonsgegevens kunnen doen gelden. Recente voorstellen om deze bepalingen mede met het oog op de Europese rechtsontwikkeling te wijzigen8, zijn door de regering niet overgenomen.9

Geleidelijk is de bescherming van persoonsgegevens in steeds sterkere mate een Europeesrechtelijke aangelegenheid geworden. In 1981 is op het niveau van de Raad van Europa ter nadere uitwerking van artikel 8 EVRM een verdrag tot stand gekomen (Dataprotectieverdrag).10 Dit verdrag bevat beginselen voor de verwerking van persoonsgegevens, maar geen gedetailleerde regelgeving.11 Aan het verdrag is in 2001 een protocol toegevoegd waarin de doorgifte van persoonsgegevens aan derde landen is geregeld en dat verplicht tot de instelling van een onafhankelijke toezichthoudende autoriteit.12

Een belangrijke volgende stap is de regulering van de bescherming van persoonsgegevens in de Europese Unie ter bevordering van de werking van de interne markt. In 1995 is de eerste Europese richtlijn vastgesteld. Richtlijn 95/46 is tot op heden de algemene basisrichtlijn voor de bescherming van persoonsgegevens. De richtlijn bouwt voort op de beginselen uit het Dataprotectieverdrag en bevat onder meer nader uitgewerkte regels met betrekking tot rechten van de betrokkenen, verplichtingen van de verantwoordelijke voor de gegevensverwerking, het toezicht en de handhaving en het gegevensverkeer met derde landen. Deze richtlijn is in Nederland in 2001 geïmplementeerd in de Wbp, de opvolger van de Wet persoonsregistraties. De werking van de Wbp is in 2008 geëvalueerd. Uit de evaluatieonderzoeken blijkt dat de wet slechts in beperkte mate leeft bij burgers en bedrijven. De vele abstract geformuleerde normen in de Wbp zijn in de rechtspraktijk onvoldoende ingevuld. De vooronderstelling van de wetgever dat die open normen sectoraal of branchegewijs (met gedragscodes) nader zouden worden ingevuld, blijkt maar ten dele juist te zijn.13

Naast de algemene richtlijn zijn op deelterreinen Europese regels tot stand gebracht.14 In de toenmalige derde pijler van de EU is in 2008 het Europese Kaderbesluit voor de verwerking van persoonsgegevens op het terrein van politiële en strafvorderlijke samenwerking vastgesteld. Dit Kaderbesluit is in Nederland geïmplementeerd in de al bestaande Wet politiegegevens en Wet justitiële en strafvorderlijke gegevens. In het Verdrag van Lissabon is vervolgens de pijlerstructuur opgeheven en is voor de bescherming van persoonsgegevens een zelfstandige algemene rechtsgrondslag opgenomen in artikel 16 VWEU. Bij hetzelfde verdrag heeft het EU-Handvest voor de grondrechten en het daarin in artikel 8 vastgelegde recht op bescherming van persoonsgegevens juridisch bindende werking gekregen. Deze ontwikkeling laat zien dat de problematiek van de bescherming van persoonsgegevens in EU-verband niet meer uitsluitend in het kader van de werking van de interne markt wordt geplaatst, maar ook in het bredere perspectief van de bescherming van grondrechten.

1.2. Aanleiding voor de voorstellen

De Europese Commissie constateert in haar mededeling van 25 januari 2012 dat de doelstellingen van Richtlijn 95/46 – de werking van de eengemaakte markt en een effectieve bescherming van de fundamentele rechten en vrijheden van natuurlijke personen waarborgen – nog steeds gelden.15 In de toelichting bij de ontwerpverordening stelt de Commissie echter dat het huidige rechtskader niet heeft voorkomen dat persoonsgegevens in de Unie en in de lidstaten op gefragmenteerde wijze worden beschermd. Dat heeft geleid tot rechtsonzekerheid. Zij constateert ook dat de richtlijn is vastgesteld in een tijd dat het internet nog in de kinderschoenen stond. Daarnaast hebben ook de terroristische aanslagen van 11 september 2001 bijgedragen aan een toenemende vraag naar uitwisseling van gegevens. In de toelichting bij de ontwerprichtlijn stelt de Commissie dat de rechtshandhavingsautoriteiten in de lidstaten steeds vaker en sneller gegevens moeten verwerken en uitwisselen met het oog op de voorkoming en bestrijding van grensoverschrijdende criminaliteit en terrorisme. Duidelijke en consequente EU-voorschriften voor gegevensbescherming vergemakkelijken daarbij de samenwerking tussen die autoriteiten, aldus de Commissie.16

Bovenstaande heeft ertoe geleid dat de Europese Commissie nu een fundamentele hervorming van het EU-kader voor gegevensbescherming voorstelt. De Europese Commissie is in 2009 een proces gestart dat via openbare raadplegingen en een mededeling in november 2010 uiteindelijk heeft geleid tot de onderhavige ontwerpwetgeving. Zij heeft daarbij gekozen voor twee afzonderlijke instrumenten:

• – een verordening tot vaststelling van een algemeen EU-kader voor gegevensbescherming (ter vervanging van Richtlijn 95/46);

• – een richtlijn voor de gegevensbescherming specifiek gericht op het terrein van justitie en politie (ter vervanging van Kaderbesluit 2008/977).

De Commissie heeft overeenkomstig haar beleid gericht op betere regelgeving een effectbeoordeling van de voorstellen uitgevoerd. Daarbij zijn drie beleidsopties onderzocht die verschillen wat betreft de reikwijdte van het optreden van de Europese wetgever. De eerste optie betrof minimale wijzigingen van de wetgeving en het gebruik van interpretatieve mededelingen en beleidsondersteunende maatregelen zoals financieringsprogramma’s en technische instrumenten. De tweede optie was een pakket wettelijke bepalingen om werk te maken van de punten die uit de effectenanalyse naar voren waren gekomen. Bij de derde optie werd de gegevensbescherming op EU-niveau gecentraliseerd door voor alle sectoren precieze en gedetailleerde regels vast te stellen en een EU-agentschap op te richten voor toezicht op en handhaving van de bepalingen. Aan de hand van de effectanalyse is de tweede optie verder uitgewerkt en uitgebreid met een aantal elementen van de twee andere opties. Dit heeft geleid tot de voorliggende voorstellen.17

2. Rechtsgrondslag en instrumentkeuze

2.1. Afzonderlijke instrumenten

De ontwerpverordening en de ontwerprichtlijn hebben beiden artikel 16 VWEU als rechtsgrondslag. Artikel 16, tweede lid, VWEU schrijft voor dat het Europees Parlement en de Raad volgens de gewone wetgevingsprocedure voorschriften vaststellen over – kort gezegd – de verwerking van persoonsgegevens door de instellingen18 en door de lidstaten, voor zover deze activiteiten uitoefenen binnen het toepassingsgebied van het EU-recht. De bepaling schrijft tevens voor dat op de naleving van deze voorschriften toezicht wordt uitgeoefend door onafhankelijke autoriteiten. Naast artikel 16 VWEU is ook artikel 114 VWEU grondslag voor de ontwerpverordening.19

Ondanks de overeenkomstige rechtsgrondslag van artikel 16 VWEU heeft de Commissie ervoor gekozen twee afzonderlijke wetgevingsinstrumenten voor te stellen: een ontwerpverordening en een ontwerprichtlijn. Die keuze is niet geheel vanzelfsprekend. Voor het gemeenschappelijk buitenlands en veiligheidsbeleid (de voormalige tweede pijler) is in artikel 16 VWEU een expliciete uitzondering gecreëerd. Voor de verwerking van persoonsgegevens op dit terrein bestaat een specifieke rechtsgrondslag.20 Een dergelijke uitzondering wordt in artikel 16 VWEU niet gemaakt voor de verwerking van persoonsgegevens op politieel en justitieel gebied.

Niettemin is de keuze voor twee afzonderlijke instrumenten op grond van artikel 16 VWEU mogelijk. Het artikel dwingt niet tot een allesomvattend rechtskader. In dit verband is ook van belang dat verklaring 21 bij het Verdrag van Lissabon duidelijk maakt dat specifieke voorschriften kunnen worden opgesteld voor de sector politie en justitie. Daarvoor is ook inhoudelijk gezien aanleiding. De wettelijke taken van politie en justitie dragen zodanig bijzondere kenmerken dat als het gaat om de verwerking van persoonsgegevens in veel gevallen een op de uitvoering van die taken toegespitste afweging is vereist. Belangrijke onderdelen van het reguliere gegevensbeschermingsregime zoals bijvoorbeeld de informatieverplichting van de verantwoordelijke, kunnen in dat licht bezien op het onderhavige terrein niet gelden. De keuze voor een bijzonder regime sluit ook aan bij de bestaande Nederlandse wetgeving. Mede gelet op de gemeenschappelijke rechtsgrondslag voor zowel de verordening als de richtlijn dienen de verschillen in beschermingsniveau tussen de beide regelingen zoveel mogelijk beperkt te worden.21

Verder wijst de Afdeling erop dat naast de verordening zelf sprake kan zijn van aanvullende regels voor een specifiek gebied, ook als dit specifieke gebied binnen de reikwijdte van de verordening valt. Zo wijst de Afdeling op de e-privacy richtlijn (Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie) die aanvullend is bedoeld ten opzichte van richtlijn 95/46/EG. Omdat deze laatste richtlijn wordt vervangen door de verordening wordt in artikelen 88 en 89 van de ontwerpverordening de verhouding tot de e-privacy richtlijn geregeld.22 Met deze bepalingen wordt de e-privacyrichtlijn met de ontwerpverordening in overeenstemming gebracht.

2.2. Keuze voor verordening

De keuze voor een verordening zoals thans voorgesteld bepaalt in belangrijke mate de vrijheid van de lidstaten om de regelgeving over de bescherming van persoonsgegevens zelf vorm te geven. Een verordening is verbindend in al haar onderdelen en rechtstreeks toepasselijk in de lidstaat.23 Bepalingen neergelegd in verordeningen lenen zich daarom in beginsel voor rechtstreekse toepassing door nationale bestuursorganen en nationale rechters. Omzetting van een verordening in nationaal recht is, aanwijzing van instanties en toezicht en handhavingsregels uitgezonderd,24 dan ook niet toegestaan. Een verordening kan op één lijn worden gesteld met een Nederlandse wet.25 De keuze voor een verordening kan in dat licht bezien een belangrijke verandering betekenen ten opzichte van de huidige situatie waarin alleen Richtlijn 95/46 geldt. Een richtlijn moet worden omgezet in het nationale recht, waarbij lidstaten vrij zijn om te bepalen in welke vorm en met welke middelen zij de in die richtlijn voorgeschreven doelstellingen gaan bereiken. Het instrument van de richtlijn biedt naar zijn aard dan ook meer mogelijkheden om rekening te houden met het nationale rechtssysteem.

In de mededeling «Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie» uit 2010 concludeerde de Europese Commissie dat de EU een meer integraal en coherent beleid inzake het grondrecht op bescherming van persoonsgegevens nodig heeft. Ook in de toelichting op de ontwerpverordening wijst de Commissie op de gefragmenteerde bescherming van persoonsgegevens in de Unie en op de rechtsonzekerheid die daarvan het gevolg is.26 Met name economische actoren – te denken valt in het bijzonder aan bedrijven die op grotere schaal grensoverschrijdende activiteiten verrichten – hebben kritiek geuit op de huidige fragmentatie van de persoonsgegevensbescherming in de Europese Unie.27 Daarom is volgens de Commissie een verordening het meeste geschikte rechtsinstrument voor de vaststelling van het kader voor de bescherming van persoonsgegevens in de EU.28 Door de rechtstreekse toepasselijkheid zal een verordening de juridische fragmentatie verminderen en de rechtszekerheid bevorderen door een geharmoniseerd pakket basisregels in te voeren en tot de werking van de eengemaakte markt bijdragen, aldus de Europese Commissie.29 De uniformerende werking van een verordening moet derhalve leiden tot meer rechtszekerheid en een gelijk speelveld in de Europese Unie.

De voorgestelde ontwerpverordening roept vragen op over de consequenties van deze keuze voor het nationale recht en de onderlinge verhouding tussen het nationale recht en het EU-recht. De toelichting op en de overwegingen bij de ontwerpverordening geven daarvan onvoldoende blijk. Als gevolg hiervan rijst tevens de vraag in hoeverre de verordening de nagestreefde doelstelling van uniformering van regels zal weten te bereiken. Daarom behoeven de consequenties van de verordening zoals thans voorgesteld een nadere analyse. In de navolgende paragraaf wordt een aanzet tot een zodanige analyse gegeven.

2.3. Nadere analyse keuze verordening

De reikwijdte van de ontwerpverordening is zodanig geregeld dat gemakkelijk verschillen tussen lidstaten kunnen optreden. De huidige praktijk met Richtlijn 95/46, die als het gaat om de reikwijdte grotendeels dezelfde regels bevat als de ontwerpverordening, illustreert dat. In de richtlijn gedefinieerde begrippen als «persoonsgegevens», «bestand» en «voor de verwerking verantwoordelijke»30 die essentieel zijn voor het toepassingsbereik van de Europese regels, kunnen blijkens de rechtspraak zeer verschillend worden uitgelegd. Deels zullen deze begrippen in de rechtspraak nog verder tot ontwikkeling moeten komen. Andere begrippen uit de ontwerpverordening echter verdienen nadere overweging om zo mogelijk te komen tot een precisering in de wetgeving zelf. Een voorbeeld daarvan is artikel 2, tweede lid, onderdeel d, van de ontwerpverordening waarin wordt bepaald dat de verordening niet van toepassing is op de verwerking van persoonsgegevens «door een natuurlijke persoon zonder commercieel belang bij de uitoefening van zijn uitsluitend persoonlijke of huiselijke activiteiten.» Door de opkomst van de sociale media op internet is minder duidelijk dan voorheen welke verwerkingen nog uitsluitend tot de persoonlijke of huiselijke activiteiten mogen worden gerekend.31 Ook de uitsluiting van verwerkingen op het gebied van de nationale veiligheid op grond van artikel 2, tweede lid, onderdeel a, kent geen duidelijke begrenzing. Het is van belang om – mede gelet op de keuze voor een verordening – de reikwijdte van de verordening zo precies mogelijk in de verordening zelf te formuleren.

In de tweede plaats biedt de ontwerpverordening op verschillende punten ruimte om de daarin neergelegde bepalingen nader in of aan te vullen of daarvan af te wijken. In hoeverre dit afbreuk doet aan het streven van de ontwerpverordening om te komen tot uniformere regels is afhankelijk van degene die bevoegd is de door de ontwerpverordening geboden ruimte nader in te vullen. De ontwerpverordening bevat ten minste drie vormen van bevoegdheidstoekenning:

• – De toekenning van de bevoegdheid tot nadere regelgeving aan de nationale wetgever;

• – De toekenning van de bevoegdheid tot zelfregulering door de verantwoordelijke dan wel groepen van verantwoordelijken;

• – De toekenning van delegatie- en uitvoeringsbevoegdheden aan de Europese Commissie;

Nadere analyse van deze bevoegdheidstoekenning levert het volgende beeld op.

a. Nationale wetgeving

Het valt op dat ondanks de keuze voor een verordening het huidige voorstel op bepaalde onderdelen aanzienlijke ruimte laat aan de nationale wetgever tot het stellen van regels. Het wellicht belangrijkste voorbeeld daarvan is artikel 21. Deze bepaling schept de mogelijkheid om de reikwijdte van de verplichtingen en rechten die zijn neergelegd in artikel 5, onder a tot met e, en de artikelen 11 tot en met 20 en 32 bij nationale wetgeving door middel van een wettelijke maatregel te beperken, wanneer een dergelijke beperking in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van de in de in het eerste lid, onder a tot en met f genoemde belangen. Deze bevoegdheid kan er toe leiden dat in de afzonderlijke lidstaten de nationale wetgever uiteenlopende uitzonderingen vaststelt op cruciale onderdelen van de verordening. De doelstelling van de verordening om te komen tot een grotere uniformiteit zou in dat geval moeilijker kunnen worden gerealiseerd. Hetzelfde geldt voor andere bepalingen van de verordening waarin een ruime bevoegdheid van de nationale wetgever tot nadere regelgeving wordt vastgelegd.32

Het algemene kader voor de bescherming van persoonsgegevens wordt in de toekomst gevormd door de rechtstreeks toepasselijke verordening die niet omgezet mag worden in nationale wetgeving, aanwijzing van instanties en toezicht en handhavingsregels uitgezonderd. Dit heeft ingrijpende gevolgen voor de bestaande wetgeving. De huidige Wbp zal grotendeels moeten worden ingetrokken. De bijzondere wetgeving die valt onder de werkingssfeer van het EU-recht zal moeten worden doorgelicht en waar nodig moeten worden aangepast. Omdat de verordening in beginsel geen ruimte biedt voor preciseringen door de nationale wetgever op specifieke terreinen zou deze doorlichting grotendeels kunnen neerkomen op schrapping van bepalingen. De hierdoor ontstane leemte kan volgens de voorgestelde systematiek alleen worden opgevuld door zelfregulering, door aanvullende EU-regels of door rechtsvorming door de rechter.

Het valt voorts op dat de ontwerpverordening in veel van de gevallen waarin de nationale wetgever ruimte wordt gelaten, uitdrukkelijk ook de mogelijkheid noemt dat die ruimte nader ingevuld wordt door de EU-wetgever. Zo is bijvoorbeeld in artikel 9, tweede lid, van de ontwerpverordening bepaald dat het verbod op de verwerking van bijzondere categorieën persoonsgegevens niet geldt indien de betrokkene toestemming heeft gegeven voor de verwerking van die persoonsgegevens, mits de EU-wetgeving of de nationale wetgeving niet bepaalt dat het verbod niet door betrokkene kan worden opgeheven.33 Onduidelijk is of in een dergelijk geval EU-wetgeving en nationale wetgeving naast elkaar kunnen bestaan of dat de bevoegdheid van de nationale wetgever vervalt op het moment dat op EU-niveau nieuwe wetgeving tot stand komt. De Afdeling meent dat de verordening meer duidelijkheid moet verschaffen over het niveau – Europees dan wel nationaal – waarop aanvullende regels kunnen worden gesteld.

b. Zelfregulering

De ontwerpverordening laat op verschillende plaatsen ruimte om door middel van zelfregulering een nadere invulling te geven aan de rechten en verplichtingen van de verordening. Op grond van artikel 22, eerste lid, is de voor de verwerking verantwoordelijke verplicht beleid vast te stellen en passende maatregelen te nemen om ervoor te zorgen dat de verwerking van persoonsgegevens in overeenstemming met de verordening wordt uitgevoerd. Op grond van deze bepaling zullen beleidsregels en reglementen34 tot stand komen. Voorts kent artikel 38 een regeling voor de totstandkoming van gedragscodes. De lidstaten, de toezichthoudende autoriteiten en de Commissie dienen met het oog op een juiste toepassing van de verordening de opstelling van gedragscodes te bevorderen. De ontwerpverordening laat open of deze gedragscodes op EU-niveau of op dat van de lidstaten tot stand dienen te komen. Op artikel 38, vierde lid, kan de Commissie uitvoeringshandelingen vaststellen waarbij gedragscodes algemeen geldend worden verklaard.

Het antwoord op de vraag of de doelstelling van de verordening om te komen tot een sterkere uniformering, zal mede afhangen van de nadere regels en maatregelen die door de verantwoordelijke of door verenigingen van verantwoordelijken zullen worden getroffen. Dat geldt te meer nu de verordening op veel plaatsen een ruime interpretatiemarge bevat. Voorts kan de voorgestelde systematiek invloed hebben op de constitutionele verhoudingen binnen de lidstaten. Daar waar de nationale wetgever in belangrijke mate zal terugtreden zal er in beginsel meer ruimte komen voor zelfregulering binnen de onderscheiden maatschappelijke sectoren. Deze ruimte zal alleen kunnen worden ingeperkt door nadere EU-regels. Daarnaast is de rol van de rechter van belang. Of en in hoeverre de rechtsvormende taak van de rechter zal toenemen is mede afhankelijk van de mate waarin – op nationaal of Europees niveau – nadere regels worden gesteld.

c. Maatregelen Europese Commissie

Hoewel de ontwerpverordening enerzijds de nodige ruimte lijkt te laten voor een nationale invulling, wordt anderzijds veelvuldig aan de Europese Commissie de bevoegdheid toegekend om gedelegeerde handelingen35 en uitvoeringshandelingen36 vast te stellen. Hierdoor wordt de kans groter dat althans op bepaalde punten verregaande uniformering van de in de ontwerpverordening neergelegde materie alsnog op EU-niveau plaatsvindt, zij het niet in de verordening zelf, maar op een lager niveau.37 Een dergelijke uniformering draagt bij aan een van de doelstellingen van de verordening. Indien de Commissie deze bevoegdheden daadwerkelijk gaat uitoefenen, heeft dit echter wel tot gevolg dat er voor de lidstaten minder ruimte overblijft voor een aan de nationale situatie aangepaste invulling die recht doet aan de specifieke omstandigheden in de betreffende lidstaat.

Op de vraag in hoeverre de bevoegdheden van de Europese Commissie zich verhouden tot artikel 290 en 291 VWEU wordt hierna afzonderlijk ingegaan.38 Als het gaat om de nadere invulling van de verordening is in elk geval van belang om de bevoegdheidsverdeling tussen de Commissie en de lidstaten nader te bezien. Daartoe zal in elk afzonderlijk geval de bevoegdheid van de Commissie getoetst dienen te worden aan de artikel 5 VEU neergelegde beginselen van subsidiariteit en evenredigheid.39 Op grond van het subsidiariteitsbeginsel dient te worden aangetoond dat de doelstelling van de verordening niet kan worden verwezenlijkt als de nadere invulling van de daarin opgenomen regels uitsluitend aan de lidstaten wordt overgelaten. Daarnaast dient op grond van het evenredigheidsbeginsel een gedelegeerde handeling of uitvoeringshandeling van de Europese Commissie niet verder te gaan dan nodig is om de doelstelling van de verordening te realiseren.

In de afwegingen omtrent de instrumentkeuze is voorts van belang de wijze waarop de gedelegeerde en uitvoeringshandelingen van de Commissie tot stand komen. Voor beide soorten handelingen geldt dat de lidstaten, hetzij via de Raad, hetzij via de comitologieprocedure, invloed kunnen uitoefenen. Bij gedelegeerde handelingen is ook het Europees Parlement nadrukkelijk betrokken.40 Daarnaast zal de Commissie zich laten adviseren door het uit de nationale toezichthouders bestaande Europees Comité voor gegevensbescherming.41 Dit ziet toe op de consequente toepassing van de verordening. Met het oog daarop is het Comité op grond van artikel 66, eerste lid, onderdeel b, bevoegd om richtsnoeren, aanbevelingen en beste praktijken voor de toezichthoudende autoriteiten vast te stellen. Het Comité zendt deze op grond van artikel 66, derde lid, toe aan de Commissie. Deze informeert het Comité over de maatregelen die zij naar aanleiding daarvan heeft genomen. Richtsnoeren, aanbevelingen en beste praktijken kunnen langs deze weg een basis vormen voor de Commissie om een gedelegeerde handeling of uitvoeringshandeling vast te stellen of te wijzigen. Het voorgaande betekent dat de Commissie niet autonoom beslist maar pas tot besluitvorming zal komen nadat vele nationale en Europese actoren zijn geraadpleegd.

2.4. Conclusie

Het bovenstaande levert geen eenduidig beeld op. Enerzijds wordt aan de Commissie veelvuldig de bevoegdheid toegekend om gedelegeerde handelingen of uitvoeringshandelingen vast te stellen. Anderzijds laat de ontwerpverordening op specifieke onderdelen de nodige ruimte om op nationaal niveau hetzij via nationale wetgeving, hetzij via zelfregulering de regels nader in te vullen. Het is in dit stadium moeilijk te bepalen tot welk eindresultaat dit zal leiden. Vaststaat echter dat een verordening in deze vorm ingrijpende gevolgen zal hebben voor de nationale wetgeving. De Wbp zal grotendeels komen te vervallen en een groot aantal bepalingen uit de bijzondere wetgeving zal vermoedelijk moeten worden geschrapt. De gevolgen zullen te meer ingrijpend zijn gezien de vergaande mate waarin in de voorgestelde verordening bevoegdheden aan de Commissie worden toegekend.

De ontwerpverordening kan leiden tot een uniformere en coherente regeling van de bescherming van persoonsgegevens. Op de noodzaak van een dergelijke regeling die moet leiden tot meer rechtszekerheid en een gelijk speelveld binnen de Europese Unie, hebben ook betrokken economische actoren gewezen. Onvoldoende duidelijk is echter welke gevolgen de verordening heeft voor het nationale recht en voor de verhouding tussen het nationale recht en het EU-recht. Enerzijds rijst de vraag in hoeverre de verordening zoals thans voorgesteld vanwege het gebruik van open normen en de ruimte die de verordening laat voor nationale invulling, afbreuk zal doen aan de nagestreefde doelstelling van uniformering van regels. Anderzijds brengt de keuze voor een verordening als instrument in samenhang met de omvang van de voorgestelde bevoegdheidsdelegatie aan de Commissie met zich dat in vergelijking tot de huidige situatie de nationale beleidsruimte van de lidstaten hoe dan ook aanzienlijk kan worden beperkt.

3. De bevoegdheden van de Europese Commissie

3.1. Onderscheid gedelegeerde handeling – uitvoeringshandeling

Als het gaat om de bevoegdheden die in de ontwerpverordening aan de Europese Commissie zijn toegekend, wordt een onderscheid gemaakt tussen gedelegeerde handelingen en uitvoeringshandelingen. Zij zijn op verschillende verdragsartikelen gebaseerd. Bij gedelegeerde handelingen gaat het volgens artikel 290 VWEU om «niet-wetgevingshandelingen van algemene strekking». Deze kunnen worden vastgesteld ter aanvulling of wijziging van bepaalde niet-essentiële onderdelen van de wetgevingshandeling (in dit geval de verordening).42 Naast delegatiebevoegdheden zijn in de ontwerpverordening en -richtlijn ook bevoegdheden voor de Commissie neergelegd tot het vaststellen van uitvoeringshandelingen in de zin van artikel 291 VWEU. Zij dienen ter uitvoering van de juridisch bindende handelingen van de Unie, zoals bijvoorbeeld een verordening of een richtlijn. Het onderscheid tussen gedelegeerde en uitvoeringshandelingen bestaat pas sinds het Verdrag van Lissabon. Er is nog weinig ervaring mee opgedaan en er is nog geen rechtspraak van het Hof van Justitie voorhanden. Het onderscheid is met name ook relevant voor de totstandkomingsprocedure van deze handelingen.

De voorgestelde delegatie van bevoegdheden leidt ertoe dat een substantieel aantal normen voor de verwerking van persoonsgegevens niet op het niveau van de ontwerpverordening zal worden verankerd. Dit betekent dat niet het Europees Parlement en de Raad volgens de gewone wetgevingsprocedure maar de Commissie de maatregel vaststelt. Dat wil echter niet zeggen dat het Europees Parlement en de Raad niet betrokken zijn bij de totstandkoming daarvan. De betrokkenheid van de Raad43 en het Europees Parlement bij de totstandkoming van gedelegeerde handelingen en uitvoeringshandelingen verschilt echter. Voor de gedelegeerde handelingen geldt dat het Europees Parlement of de Raad kan besluiten de delegatie in te trekken.44 Voorts treedt de gedelegeerde handeling van de Commissie alleen in werking indien noch het Europees Parlement, noch de Raad binnen een termijn van twee maanden na kennisgeving geen bezwaar daartegen hebben gemaakt.45

Indien het Europees Parlement of de Raad bezwaar maakt, betekent dit dat de door de Commissie vastgestelde gedelegeerde handeling niet in werking treedt. De Commissie stelt zich op het standpunt dat zij in dat geval een nieuwe gedelegeerde handeling kan vaststellen, waarin rekening wordt gehouden met de bezwaren, of een wetgevingsvoorstel kan indienen overeenkomstig de verdragen, wanneer het bezwaar is gegrond op een overschrijding van de gedelegeerde bevoegdheden.46 Het is ook denkbaar dat de Commissie gelet op de naar voren gebrachte bezwaren volledig afziet van optreden. Voor zover Nederland bezwaren heeft tegen een door de Commissie vastgestelde gedelegeerde handeling is het noodzakelijk om binnen de Raad een gekwalificeerde meerderheid te vinden die dezelfde mening is toegedaan. Uit artikel 290, tweede lid, VWEU volgt verder dat het Europees Parlement en de Raad alleen kunnen voorkomen dat de gedelegeerde handeling in werking treedt. Er is niet voorzien in de mogelijkheid om amendementen in te dienen.47

Bij uitvoeringshandelingen zijn het Europees Parlement en de Raad veel minder sterk48 betrokken. Wel geldt bij uitvoeringshandelingen de comitologieprocedure.49 Dit houdt in dat een comité waarin vertegenwoordigers van de lidstaten zitting hebben en dat wordt voorgezeten door de Commissie, hun visie geven op de door de Commissie voorgestelde uitvoeringshandelingen. Indien het comité negatief adviseert stelt de Commissie de uitvoeringshandeling niet vast.50

3.2. Gedelegeerde handelingen

Op grond van artikel 290, eerste lid, VWEU kan aan de Commissie de bevoegdheid worden overgedragen om niet-wetgevingshandelingen van algemene strekking vast te stellen, ter aanvulling of wijziging van bepaalde niet-essentiële onderdelen van de wetgevingshandeling. Voorgeschreven is dat in de verordening of richtlijn zelf uitdrukkelijk de doelstellingen, de inhoud, de strekking en de duur van de bevoegdheidsdelegatie worden afgebakend. Essentiële onderdelen van een gebied worden uitsluitend in de verordening of richtlijn geregeld en kunnen dan ook niet gedelegeerd worden.51 Nog niet is uitgekristalliseerd wat onder essentiële onderdelen in de zin van artikel 290, eerste lid, VWEU moet worden verstaan. De Commissie laat zich in de mededeling van december 2009 hierover niet duidelijk uit.52 Ook het Hof van Justitie heeft zich over deze vraag nog niet uitgesproken.53

Omdat het begrip «niet-essentiële onderdelen» vooralsnog geen duidelijke invulling heeft gekregen is de vraag of de in de ontwerpverordening aan de Commissie toegekende bevoegdheden binnen de grenzen blijven van artikel 290 VWEU niet in alle gevallen eenduidig te beantwoorden. In bepaalde gevallen is sprake van een zeer ruime uitleg van «niet-essentiële onderdelen» van de ontwerpverordening. Het betreft met name de volgende bepalingen:

– Artikel 6, vijfde lid

Op grond van 6, vijfde lid, mag de Commissie gedelegeerde handelingen vaststellen met het oog op de nadere invulling van de in het eerste lid, onder f, bedoelde voorwaarden. Laatstgenoemd artikel bepaalt dat de verwerking van persoonsgegevens rechtmatig is «indien de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke, mits het belang of de grondrechten en fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens noodzaken, niet boven dat belang prevaleren, met name wanneer de betrokkene een kind is». Het gaat hier om een voor de particuliere sector belangrijke grondslag voor gegevensverwerking die in de betreffende bepaling zeer open is geclausuleerd. In die clausule gaat het bovendien om de interpretatie van essentiële grondrechtelijke belangen.

– Artikel 9, derde lid

Op grond van artikel 9, derde lid, is de Commissie bevoegd om delegatiehandelingen vast te stellen met het oog op de nadere invulling van de criteria, de voorwaarden en de passende garanties voor de verwerking van bijzondere categorieën persoonsgegevens en de daarop vastgestelde uitzonderingen. Het gaat om gevoelige gegevens, zoals persoonsgegevens waaruit ras of etnische afkomst, politieke opvatting, religie of overtuiging, of het lidmaatschap van een vakvereniging blijkt, en de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen of daarmee verband houdende veiligheidsmaatregelen. Het gaat hier om de interpretatie van essentiële grondrechtelijke belangen op een zeer breed terrein. De afweging van deze belangen is in bepaalde onderdelen van artikel 9 bovendien ruim geclausuleerd. Voorbeeld van een criterium waarvan de invulling door de Europese Commissie in een gedelegeerde handeling mogelijk verstrekkende gevolgen heeft is het criterium «de vervulling van een taak van algemeen belang», uit onderdeel g van het tweede lid.54

– Artikel 17, negende lid

In artikel 17, eerste lid, wordt – kort gezegd – bepaald onder welke voorwaarden de betrokkene zijn gegevens kan laten wissen. De Commissie mag op grond van artikel 17, negende lid, de in het artikel genoemde criteria en vereisten nader invullen met betrekking tot specifieke sectoren en in specifieke situaties op het gebied van gegevensverwerking. Het gaat hier om een nieuw recht dat niet of althans niet in deze vorm is vastgelegd in Richtlijn 95/46. Het is een uitvoerige en complex geformuleerde bepaling die sterk bepalend kan zijn voor mate waarin de rechten van de betrokkene op Internet worden beschermd.

– Artikel 20, vijfde lid

Artikel 20, eerste lid, bepaalt – kort gezegd – dat iedere natuurlijke persoon het recht heeft om niet te worden onderworpen aan een voor de betrokkene nadelige maatregel die louter wordt genomen op grond van een geautomatiseerde verwerking van persoonsgegevens (profilering). In het tweede lid worden hierop enkele uitzonderingen toegestaan. De aan deze uitzonderingen te stellen eisen zijn ruim geclausuleerd. In de meeste gevallen is vereist dat een persoon passende maatregelen zijn aangeboden ter bescherming van de gerechtvaardigde belangen van de betrokkene. Ingevolge het vijfde lid is de Commissie bevoegd om gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de genoemde criteria en voorwaarden. Het betreft hier een recht dat in zijn vormgeving en praktische toepassing complex is en waarmee grote economische belangen zijn gemoeid.

– Artikel 31, vijfde lid en 32, vijfde lid

Artikel 31 en 32 verplichten de voor de verwerking verantwoordelijke een inbreuk in verband met persoonsgegevens te melden aan de toezichthoudende autoriteit respectievelijk aan de betrokkene. Hierbij valt te denken aan het ontstaan van datalekken als gevolg van het feilen van beveiligingssystemen. Wat dient te worden verstaan onder de algemene noemer van «een inbreuk in verband met persoonsgegevens» wordt in de ontwerpverordening niet nader omschreven. Op grond van artikel 31, vijfde lid en 32, vijfde lid is de Commissie bevoegd om gedelegeerde handelingen vast te stellen teneinde nader te bepalen wat onder een zodanige inbreuk moet worden begrepen en de bijzondere omstandigheden te omschrijven waarin de verantwoordelijke verplicht is de inbreuk te melden. Deze delegatie komt erop neer dat de regeling van deze belangrijke verplichting vrijwel geheel aan de Commissie wordt overgelaten.

– Artikel 44, zevende lid

Artikel 44, eerste lid, onder d, bepaalt dat doorgifte van persoonsgegevens naar een derde land of een internationale organisatie onder omstandigheden kan plaatsvinden op voorwaarde dat de doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang. Op grond van artikel 44, zevende lid, is de Commissie bevoegd om gedelegeerde handelingen vast te stellen met het oog op onder meer de nadere invulling van het begrip «gewichtige redenen van algemeen belang». Het betreft hier een zeer ruime clausule op een zeer gevoelig terrein. Gezien de mogelijke verstrekkende gevolgen van een eventuele ruime invulling van deze uitzonderingsmogelijkheid is de vraag of hier niet sprake is van een essentieel element.55

De Afdeling is in elk geval bij de hiervoor besproken artikelen niet op voorhand overtuigd dat de bevoegdheidsdelegatie binnen de grenzen van artikel 290 VWEU blijft.

3.3. Uitvoeringshandelingen

Naast de op basis van artikel 290 VWEU toegekende bevoegdheden zijn in de ontwerpverordening en -richtlijn ook bevoegdheden voor de Commissie neergelegd tot het vaststellen van uitvoeringshandelingen in de zin van artikel 291 VWEU. Blijkens deze bepaling is het de hoofdregel dat de lidstaten uitvoeringshandelingen vaststellen. Alleen indien het nodig is dat juridisch bindende handelingen van de Unie volgens eenvormige voorwaarden worden uitgevoerd, worden bij die handelingen aan de Commissie uitvoeringsbevoegdheden toegekend. Kort gezegd gaat het bij een uitvoeringshandeling om een maatregel van individuele aard of van algemene strekking die slechts zuiver uitvoering geeft aan bestaande regels van de basishandeling (in casu de verordening). Een uitvoeringshandeling van algemene strekking die beoogt een wetgevingshandeling aan te vullen of te wijzigen, is niet mogelijk. In dat geval dient op grond van artikel 290 VWEU een gedelegeerde handeling te worden vastgesteld.

Uit artikel 291 VWEU volgt dat voor elke bevoegdheid van de Commissie tot vaststelling van een uitvoeringshandeling moet worden gemotiveerd waarom de betreffende uitvoeringshandeling niet aan de lidstaten kan worden overgelaten. De hoofdregel van artikel 291, eerste lid, VWEU is immers dat de lidstaten met de uitvoering van het EU-recht zijn belast. Alleen indien kan worden aangetoond dat het noodzakelijk is dat de verordening «volgens eenvormige voorwaarden» wordt uitgevoerd, is toekenning van een uitvoeringsbevoegdheid aan de Commissie op grond van artikel 291, tweede lid, toegestaan. In de toelichting op en de overwegingen bij de ontwerpverordening wordt hier niet specifiek op ingegaan. Hoewel het heel wel denkbaar is dat met het oog op een eenvormige toepassing van de verordening het noodzakelijk is om bepaalde uitvoeringsbevoegdheden aan de Commissie toe te kennen, is de noodzaak daartoe op dit moment niet steeds duidelijk.

Voorts rijst de vraag of steeds terecht is gekozen voor een bevoegdheid tot het vaststellen van uitvoeringshandelingen en niet voor de bevoegdheid tot vaststelling van een gedelegeerde handeling. Over de vraag of een handeling een uitvoeringshandeling is (art. 291) of een niet-wetgevingshandeling van algemene strekking (art. 290) zal niet altijd consensus bestaan. Het onderscheid is ook daarom van belang omdat de procedure waarlangs de Commissie tot besluitvorming komt, verschillend is.56 Hoewel ook op de hier gemaakte keuzes in de toelichting op de ontwerpverordening niet is ingegaan, is het denkbaar dat, gelet op de veelal technische aard van de te regelen materie, in deze gevallen wordt gekozen voor de toekenning van een bevoegdheid tot het vaststellen van uitvoeringshandelingen in de zin van artikel 291 VWEU.

4. Verschillen met bestaande regelgeving

4.1. Hoofdlijnen

Zowel de ontwerpverordening als de ontwerprichtlijn bevat een aantal belangrijke veranderingen ten opzichte van de huidige Europese regelgeving en de implementatie daarvan in het Nederlandse recht. In een aantal opzichten wordt de bescherming van persoonsgegevens versterkt. Deze versterking kan niet los worden gezien van de wijziging van het constitutionele kader dat aan de ontwerpverordening en de ontwerprichtlijn ten grondslag ligt. De verankering van het recht op bescherming van persoonsgegevens en een aantal daarmee samenhangende beginselen in artikel 8 EU-Handvest57 betekent dat de nieuwe ontwerpverordening en ontwerprichtlijn niet buiten de kaders van deze beginselen mogen treden. Ze hebben daardoor een hogere status, namelijk die van primair Unierecht, verkregen dan toen ze nog «slechts» in richtlijnbepalingen, secundair Unierecht, stonden. Daarnaast heeft het Verdrag van Lissabon in artikel 16 VWEU een expliciete rechtsgrondslag gecreëerd voor Europese regelgeving inzake de verwerking van persoonsgegevens. De keuzemogelijkheden voor de Uniewetgever zijn in dat opzicht derhalve beperkter dan ten tijde van de totstandkoming van Richtlijn 95/46. Tegelijkertijd betekenen deze ontwikkelingen ook dat de ruimte voor de lidstaten om terzake van het fundamenteel recht op bescherming van persoonsgegevens eigen afwegingen te maken, beperkter is dan voorheen. De ontwerpverordening zal dat effect nog aanzienlijk versterken.

Voor de ontwerpverordening geldt dat zij veel uitgebreider is dan de huidige Richtlijn 95/46. In de ontwerpverordening wordt een aantal nieuwe onderwerpen geregeld terwijl de thans al in Richtlijn 95/46 geregelde thema’s in de ontwerpverordening ongewijzigd blijven dan wel terugkeren in de vorm van een gedetailleerdere regeling. Het belangrijkste verschil tussen het Kaderbesluit 2008/977 en de ontwerp-richtlijn is dat de laatste anders dan Kaderbesluit 2008/977 ook betrekking heeft op de verwerking van politiële en justitiële gegevens die uitsluitend binnen een en dezelfde lidstaat plaatsvindt. Dit heeft geen gevolgen voor de Nederlandse rechtsorde, omdat de Wpg en Wjsg dezelfde normen voor binnenlandse gegevensverwerking al bevatten.

Het voert te ver om in deze voorlichting alle verschillen uitputtend te behandelen. Op enkele essentiële aanpassingen ten opzichte van het thans geldende recht wordt wel ingegaan. Het betreft:

• – het doelbindingsbeginsel;

• – de rechten van de betrokkene;

• – de verplichtingen van de verantwoordelijke.

Belangrijke verschillen met de huidige situatie die zien op de verhouding tot andere grondrechten, op de voorgestelde toezichts- en handhavingsstructuur en op de uitwisseling van gegevens met derde landen komen in de desbetreffende paragrafen aan de orde. Voor het overige zij verwezen naar de bijlage waarin de verschillen tussen de voorstellen van de Commissie en de op dit moment geldende regels zijn opgesomd.

4.2. Doelbinding

Een van de beginselen die in artikel 8 EU-Handvest zijn verankerd is het beginsel van doelbinding. Dat beginsel houdt in dat het doel waarvoor gegevens worden verzameld duidelijk en specifiek omschreven moet worden, zodat voor de betrokkene kenbaar is waarvoor zijn gegevens gebruikt gaan worden. De doelbinding gaat niet zover dat gegevens alleen mogen worden verwerkt voor het doel waarvoor zij zijn verkregen. Evenals in de huidige Richtlijn 95/4658 wordt in de ontwerpverordening59 bepaald dat het doel voor verdere verwerking «verenigbaar» dient te zijn met het doel waarvoor de gegevens oorspronkelijk zijn verzameld. Uitzonderingen op het voorschrift van verenigbaar gebruik zijn onder strikte voorwaarden mogelijk.60

De grenzen van het aldus geregelde doelbindingsbeginsel zijn relatief onbepaald. Wat in een bepaalde situatie als «verenigbaar gebruik» heeft te gelden, is onduidelijk. Deze norm lijkt bovendien moeilijk toepasbaar in een Internetomgeving. Moeilijk te controleren valt op welke wijze en voor welke doeleinden persoonsgegevens worden gebruikt indien zij eenmaal op Internet zijn geplaatst. De vraag is daarmee hoe het doelbindingsbeginsel mede gelet op de technologische ontwikkelingen, in de nieuwe wetgeving moet worden vormgegeven en vervolgens moet worden gehandhaafd. Ter precisering van Richtlijn 95/46 is in artikel 9, tweede lid, Wbp een niet-limitatieve lijst van afwegingsfactoren opgenomen waarmee bij de interpretatie van de norm van «verenigbaar gebruik» rekening dient te worden gehouden. Het is van belang dat bij de totstandkoming van de ontwerpverordening en van de ontwerprichtlijn ernaar wordt gestreefd om enerzijds de betekenis van het doelbindingsbeginsel te concretiseren en anderzijds aandacht te besteden aan de wijze waarop dit beginsel kan worden gehandhaafd.

Artikel 6, vierde lid, van de ontwerpverordening bevat ten opzichte van Richtlijn 95/46 een nieuwe bepaling betreffende verwerkingen die niet verenigbaar zijn met het doel waarvoor persoonsgegevens oorspronkelijk zijn verzameld. De verwerking moet in dat geval minstens gegrond zijn op een van de in artikel 6, eerste lid, onder a tot en met e genoemde gronden. Deze bepaling kan zo worden gelezen dat indien een met het oorspronkelijk doel onverenigbare verwerking een rechtsgrondslag heeft in een van de in artikel 6, eerste lid, onder a tot en met e genoemde gronden, de verwerking reeds om die reden rechtmatig is. Daarmee wordt miskend dat de vereisten van doelbinding en van een rechtmatige grondslag complementair zijn. Een rechtmatige grondslag is op zichzelf onvoldoende reden om gegevens te gebruiken voor doeleinden die niet verenigbaar zijn met het doel waarvoor zij oorspronkelijk zijn verzameld. Dit blijkt ook uit artikel 8, tweede lid, van het EU-Handvest waarin beide uitgangspunten zelfstandig naast elkaar worden gewaarborgd. Voorts is de vraag hoe artikel 6, vierde lid, zich verhoudt tot de algemene uitzonderingsbepaling van artikel 21. Op grond van deze bepaling zijn reeds algemene uitzonderingen op het doelbindingsbeginsel mogelijk.61 Artikel 6, vierde lid, betekent daarom in zijn huidige vorm in vergelijking tot de huidige situatie, een substantiële verlaging van het beschermingsniveau.62

Artikel 7 van de ontwerprichtlijn lijkt een met artikel 6, vierde lid van de ontwerpverordening vergelijkbare beperking van het doelbindingsbeginsel tot gevolg te hebben. Dit artikel bepaalt dat het verwerken van persoonsgegevens slechts rechtmatig is wanneer de verwerking noodzakelijk is op een van de onder a tot en met d genoemde gronden. Een van die gronden (onderdeel a) betreft het uitvoeren van een taak door een bevoegde autoriteit met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.63 De overige in artikel 7 opgesomde gronden noemen geen enkel concreet doel of een doel dat buiten het toepassingsgebied van de richtlijn valt.64 De formulering van artikel 7 lijkt daarmee de verwerking van persoonsgegevens mogelijk te maken voor doeleinden die niet verenigbaar zijn met het oorspronkelijke doel. Ook deze bepaling lijkt daarmee het zelfstandige belang van doelbinding te miskennen naast het vereiste van een rechtmatige grondslag.65

Een kanttekening is ook mogelijk bij de algemene beperkingsclausule van artikel 21 van de ontwerpverordening. Zij constateert dat de in artikel 21, eerste lid, genoemde doelstellingen verder gaan dan de doelstellingen zoals geformuleerd in artikel 13 Richtlijn 95/46. Artikel 21, eerste lid, maakt uitzonderingen mogelijk op een groot aantal bepalingen van de ontwerpverordening ter bescherming van algemene belangen van de Unie of van een lidstaat. Blijkens de formulering van artikel 21, eerste lid, onderdeel c, betreft het, anders dan in het geldende artikel 13 Richtlijn 95/46, geen limitatieve opsomming. Indien geen verlaging van het huidige beschermingsniveau is beoogd, is van belang om in lijn met het huidige artikel 13 Richtlijn 95/4666 de publieke belangen ter bescherming waarvan de in de ontwerpverordening neergelegde rechten mogen worden beperkt, nader te specificeren.67

4.3. Rechten van de betrokkene

Hoofdstuk III van de ontwerpverordening bevat de rechten van de betrokkene. In vergelijking met de bestaande wetgeving zijn enkele nieuwe rechten toegevoegd. De belangrijkste daarvan zijn:

• – Het algemene recht om gegevens te laten uitwissen dat ook in Richtlijn 95/46 was opgenomen68 is in artikel 17 omgevormd tot een recht om – kort gezegd – vergeten te worden. Het recht is er vooral op gericht om persoonsgegevens op Internet te laten wissen en verdere verspreiding van die gegevens te voorkomen;

• – Het recht op gegevensoverdraagbaarheid in artikel 18. Het vormt een versterking van de positie van de betrokkene om zelf de regie over de verwerking van zijn persoonsgegevens te houden door een kopie te krijgen van zijn gegevens en deze langs electronische weg over te dragen naar een ander geautomatiseerd verwerkingssysteem;

• – Het recht niet te worden onderworpen aan profilering in artikel 20. Het artikel is een uitbreiding van artikel 15 Richtlijn 95/46 en heeft als doel te voorkomen dat voor burgers nadelige besluiten uitsluitend worden gebaseerd op door middel van geautomatiseerde verwerking van persoonsgegevens tot stand gebrachte persoonsprofielen.

Deze nieuwe rechten trachten een invulling te geven aan de doelstelling van de voorstellen om de wetgeving inzake bescherming van persoonsgegevens in overeenstemming te brengen met de technologische ontwikkelingen.

De Afdeling onderschrijft deze doelstelling. De voortschrijdende technologische ontwikkelingen dwingen de wetgever nader te bezien in hoeverre de bestaande regels nog voldoende bescherming bieden en voor zover dat niet het geval is de wetgeving aan te passen. Tegelijkertijd dient te worden gewaakt voor te hooggespannen verwachtingen. Wat de nieuwe rechten in de ontwerpverordening precies inhouden en onder welke voorwaarden deze rechten mogen worden beperkt, is nog niet voldoende geconcretiseerd. Ook rijst de vraag in hoeverre deze rechten in de praktijk effectief zullen zijn. Naar het oordeel van de Afdeling dienen de genoemde nieuwe rechten in de ontwerpverordening inhoudelijk nauwkeuriger te worden ingevuld om daadwerkelijk toegevoegde waarde te kunnen hebben. Zonder de noodzakelijke duidelijkheid zou de schijn van toegenomen bescherming van persoonsgegevens kunnen ontstaan, terwijl daarvan in de praktijk niet of slechts in beperkte mate sprake zal zijn.

4.4. Verplichtingen verantwoordelijke

Hoofdstuk IV van de ontwerpverordening bevat de belangrijkste verplichtingen van de verantwoordelijke voor de gegevensverwerking. In deze verplichtingen hebben zich belangrijke verschuivingen voorgedaan in vergelijking met Richtlijn 95/46. Het meest in het oog springt de afschaffing van de meldingsplicht aan de nationale toezichthoudende autoriteiten, voorafgaand aan verwerkingen van persoonsgegevens.69 Deze meldingsplicht werd door veel verantwoordelijken als een forse administratieve belasting ervaren. De naleving bleek gebrekkig terwijl met de binnengekomen meldingen weinig werd gedaan. Een belangrijke lastenverlichting is voorts gelegen in het feit dat de verantwoordelijke die in meer dan één lidstaat is gevestigd voortaan slechts te maken heeft met de toezichthoudende autoriteit van de lidstaat waar zich de belangrijkste vestiging van de verantwoordelijke bevindt.70

Tegenover deze lastenverlichtingen staat een substantieel aantal grotendeels nieuwe verplichtingen die voor de verantwoordelijke een aanzienlijke lastenverzwaring met zich kunnen brengen. Daarbij gaat het in de eerste plaats om bepalingen die beogen de transparantie van de gegevensverwerking en de verantwoording door de verantwoordelijke te bevorderen. Deze verplichtingen zijn vastgelegd in artikel 22 van de ontwerpverordening en uitgewerkt in de daaropvolgende artikelen. Uit het voorgestelde artikel 22, tweede lid, blijkt dat de maatregelen die een verantwoordelijke in elk geval moet nemen, betrekking hebben op:

• – het bewaren van documentatie inzake alle verwerkingen die onder hun verantwoordelijkheid hebben plaatsgevonden;71

• – het voldoen aan vereisten inzake de gegevensbeveiliging;72

• – het uitvoeren van een privacyeffectbeoordeling;73

• – het voldoen aan eisen inzake voorafgaande toestemming of voorafgaande raadpleging van de toezichthoudende autoriteit74 en

• – het aanwijzen van een functionaris voor gegevensbescherming.75

Daarnaast bevat artikel 23 een verplichting tot gebruikmaking van privacy by design en privacy by default. Deze verplichting leidt ertoe dat al bij het vaststellen en ontwerpen van de middelen van verwerking (over het algemeen zijn dat geprogrammeerde elektronische verwerkingsmiddelen) passende technische en organisatorische maatregelen worden getroffen die erop gericht zijn de rechten van betrokkenen overeenkomstig de verordening te beschermen. Voorts kan nog gewezen worden op de verplichting tot melding van inbreuken in verband met persoonsgegevens op grond van artikel 31 en 32.76 Deze verplichtingen komen bovenop de reeds bestaande verplichting voor de verantwoordelijke om de betrokkene uit eigen beweging te informeren over de door hem verwerkte persoonsgegevens.77

De Afdeling onderschrijft het uitgangspunt dat primair de voor de verwerking verantwoordelijke moet kunnen worden aangesproken op de bescherming van persoonsgegevens die door hem worden verwerkt. Ook is met het oog op een effectieve bescherming noodzakelijk dat verantwoordelijken burgers zo goed mogelijk informeren. Deze doelstellingen worden echter niet vanzelfsprekend gediend door een opeenstapeling van wettelijke verplichtingen. Bovendien dient een afweging plaats te vinden tussen het belang van een optimale bescherming van persoonsgegevens en het belang van een adequate taakuitvoering door verantwoordelijken. Het laatste brengt met zich dat zekere grenzen worden gesteld aan de verplichtingen die aan verantwoordelijken worden opgelegd.

Gezien de aard en de omvang van de in de ontwerpverordening neergelegde verplichtingen is het de vraag of de vermindering van administratieve lasten die de ontwerpverordening beoogt te realiseren, daadwerkelijk zal worden bereikt.78 Wellicht is eerder het tegendeel het geval. Voor zover in de toelichting op de voorstellen op de omvang van de administratieve lasten wordt ingegaan, is deze toelichting te beperkt. In de effectenanalyse die de Commissie heeft laten uitvoeren wordt betoogd dat de verplichting om documenten te bewaren inzake alle verwerkingen die onder de verantwoordelijkheid van de verantwoordelijke plaatsvinden79 niet meer is dan een minimumvereiste dat deel uitmaakt van de standaard interne administratie en daarom op zichzelf geen extra last zou vormen.80 Naar het oordeel van de Afdeling is deze motivering niet overtuigend. Ook overigens krijgen de administratieve lasten in de voorstellen tot dusverre onvoldoende aandacht. Een beter inzicht in hoeverre de voorstellen leiden tot een af- dan wel een toename van de administratieve lasten en hoe gelet daarop het belang van de verantwoordelijke om de administratieve lasten te beperken enerzijds en het belang van het individu tot uitoefening van het recht op bescherming van zijn persoonsgegevens anderzijds dienen te worden afgewogen, is gewenst. Op grond daarvan dient nader bekeken te worden in hoeverre deze afweging ertoe moet leiden de voorstellen op bepaalde punten te vereenvoudigen.

Sommige verplichtingen zijn alleen van toepassing op bedrijven met meer dan 250 medewerkers.81 Het is de vraag of bedrijfsgrootte het juiste criterium is voor afwijkende rechtsregels en of de keuzes in de ontwerpverordening op dit punt niet beter kunnen worden gegrond op de risico’s die verwerkingen veroorzaken uit een oogpunt van de bescherming van de persoonlijke levenssfeer.82

5. Verhouding met andere grondrechten

5.1. Afweging van grondrechtelijke belangen

De toelichtingen bij zowel de ontwerpverordening als de ontwerprichtlijn besteden aandacht aan de grondrechtelijke vraagstukken rondom de beide voorstellen. In de toelichting bij de ontwerpverordening staat voorop dat deze uitwerking geeft aan het recht op bescherming van persoonsgegevens zoals gewaarborgd in artikel 8 EU-Handvest, artikel 16 VWEU en artikel 8 EVRM. De toelichting wijst er op dat het Hof van Justitie in het arrest Schecke en Eifert heeft beklemtoond dat het recht op bescherming van persoonsgegevens geen absolute gelding heeft, maar in relatie tot de functie ervan in de maatschappij moet worden beschouwd.83 Dit brengt met zich dat het belang dat gediend wordt met de uitoefening van het recht op bescherming van persoonsgegevens moet worden afgewogen tegen andere in het geding zijnde belangen. Daarbij kunnen ook andere grondrechten dan het recht op bescherming van persoonsgegevens in het geding zijn.

De toelichting op de ontwerpverordening verwijst naar diverse bepalingen die raken aan specifieke grondrechten.84 Niet al deze bepalingen geven de Afdeling op dit moment aanleiding hierop in te gaan. In de hierna volgende paragrafen wordt alleen ingegaan op de verhouding met de vrijheid van meningsuiting (artikel 11 Handvest), het verbod op discriminatie (artikel 21 Handvest), de rechten van het kind (artikel 24 Handvest) en de vrijheid van godsdienst, meer in het bijzonder de positie van kerkgenootschappen (artikel 17 VWEU jo. artikel 10 Handvest).

5.2. Vrijheid van meningsuiting

Artikel 80 van de ontwerpverordening bevat een specifieke bepaling gericht op journalistieke of artistieke en literaire doeleinden. Deze houdt in dat de lidstaten met het oog op deze doeleinden voorzien in uitzonderingen op of afwijkingen van belangrijke onderdelen van de verordening. De uitzondering voor journalistieke doeleinden moet, gelet op de rechtspraak van het Hof van Justitie zeer ruim worden uitgelegd.85 Deze rechtspraak wordt in overweging 121 bij de ontwerpverordening vastgelegd:

«Voor de in het kader van deze verordening vast te stellen uitzonderingen en afwijkingen dienen de lidstaten activiteiten derhalve als «journalistiek» aan te merken, indien deze activiteiten de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebben, ongeacht het voor de doorgifte gebruikte medium. Het hoeft niet noodzakelijkerwijs om activiteiten van mediaondernemingen te gaan en zij kunnen met of zonder winstoogmerk worden uitgevoerd.»

De Afdeling meent dat het vanuit het oogpunt van een juiste afstemming met de vrijheid van meningsuiting de voorkeur verdient in de tekst van artikel 80 aan te sluiten bij de formulering van het Hof van Justitie en de uitzondering toe te spitsen op uitingen die «tot doel hebben de bekendmaking aan het publiek van informatie, meningen of ideeën, ongeacht het overdrachtsmedium».86

De voorwaarden waaronder op grond van artikel 80 van de ontwerpverordening mag worden afgeweken, wijken af van het thans geldende artikel 9 van Richtlijn 95/46. Hierin is vastgelegd dat de uitzonderingen op of afwijkingen van de bepalingen van de richtlijn alleen zijn toegestaan «voor zover deze nodig blijken» om het recht op persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting. De afwezigheid van de noodzakelijkheidseis in de clausulering van het voorgestelde artikel 80 kan de suggestie wekken dat de uitzonderingsmogelijkheid verruimd is. In de toelichting op de ontwerpverordening wordt de wijziging van de formulering niet toegelicht. Naar het oordeel van de Afdeling verdient het de voorkeur in de tekst van de ontwerpverordening aan te sluiten bij het thans geldende artikel 9 Richtlijn 95/46.87

5.3. Discriminatieverbod

Artikel 9 van de ontwerpverordening en artikel 8 van de ontwerprichtlijn bevatten een verbod op de verwerking van bijzondere categorieën persoonsgegevens. In het tweede lid van beide bepalingen zijn limitatief de uitzonderingen op het verbod geformuleerd. De inhoud en systematiek van beide artikelen sluiten grotendeels aan bij het huidige artikel 8 van Richtlijn 95/46. Uitzonderingsmogelijkheden zijn limitatief opgenomen in het tweede lid van de beide bepalingen.

De in artikel 9, tweede lid, van de ontwerpverordening geregelde uitzonderingen bevatten allen een noodzakelijkheidscriterium.88 Dit betekent dat steeds moet worden aangetoond dat een uitzondering op het verbod om gevoelige gegevens te verwerken noodzakelijk en proportioneel is. Artikel 8, tweede lid, van de ontwerprichtlijn wijkt echter van deze systematiek af. Op grond van artikel 8, tweede lid, onder a, is het verbod van verwerking van gevoelige persoonsgegevens niet van toepassing indien de verwerking is toegestaan op grond van wetgeving die passende waarborgen biedt. De noodzakelijkheidseis ontbreekt. Dit wijkt tevens af van het thans geldende artikel 6 van Kaderbesluit 2008/977 dat bepaalt dat een uitzondering op het verbod van verwerking van gevoelige gegevens alleen mogelijk is «wanneer dit strikt noodzakelijk is». De Afdeling meent dat de formulering van artikel 8, tweede lid, onder a, van de ontwerprichtlijn uit grondrechtelijk oogpunt tekortschiet. Omdat artikel 8, tweede lid, onder a bescherming beoogt te bieden aan het verbod van discriminatie en uit dien hoofde het maken van onderscheid bij de verwerking van gevoelige persoonsgegevens alleen geoorloofd moet worden geacht voor zover dat onderscheid noodzakelijk is, dient de formulering van artikel 8, tweede lid, van de ontwerprichtlijn naar het oordeel van de Afdeling in overeenstemming te worden gebracht met het huidige artikel 6 van Kaderbesluit 2008/977.

5.4. Rechten van het kind

De ontwerpverordening houdt op diverse plaatsen rekening met de rechten van het kind zoals gewaarborgd in artikel 24 Handvest. Dit is een belangrijke wijziging in vergelijking tot Richtlijn 95/46. Deze geeft geen specifieke regels ter bescherming van de rechten van het kind. Zo is in artikel 8 van de ontwerpverordening een bepaling ter bescherming van de rechten van kinderen opgenomen in de vorm van een toestemmingsvereiste voor ouders voor de rechtmatige aanbieding van «diensten van de informatiemaatschappij» aan kinderen onder de 13 jaar. In een internetomgeving is dit relevant. Hoewel de Afdeling voorstander is van een zodanige bescherming vraagt zij aandacht voor de effectiviteit van deze bepaling. Deze lijkt sterk afhankelijk van de verifieerbaarheid van de vereiste toestemming. Hier is een belangrijke taak weggelegd voor de Commissie. Op grond van artikel 8, derde lid, zal de Commissie nadere invulling moeten geven aan de criteria en vereisten voor de methoden ter verkrijging van deze verifieerbare toestemming.

Anders dan de ontwerpverordening bevat de ontwerprichtlijn geen specifieke bepalingen over kinderen.89 Gezien de bijzondere positie van kinderen in justitiële- en strafzaken is dat opvallend. Met name het bewaren en verder verwerken van strafrechtelijke gegevens van jeugdigen zou met de nodige waarborgen omgeven moeten zijn. In de huidige Nederlandse wetgeving is dat reeds het geval.90 De Afdeling is van oordeel dat parallel aan de voorgestelde ontwerpverordening, in de ontwerprichtlijn daar waar nodig bijzondere regels ter bescherming van de rechten van kinderen moeten worden opgenomen.91

5.5. Kerkgenootschappen

Artikel 85 van de ontwerpverordening bevat een bijzondere bepaling omtrent reeds bestaande regels voor gegevensbescherming binnen kerken en religieuze verenigingen. Zij beoogt daarmee uitvoering te geven aan de waarborg van artikel 17, eerste lid, VWEU. Hierin wordt bepaald dat de EU de nationaalrechtelijke status van kerkgenootschappen en religieuze verenigingen en gemeenschappen eerbiedigt en daaraan geen afbreuk doet. Artikel 17 VWEU vormt een concretisering van een belang dat beschermd wordt door de vrijheid van godsdienst, zoals vastgelegd in artikel 10 EU-Handvest. Een bepaling als artikel 85 ontbreekt in Richtlijn 95/46. Ook naar de huidige stand van het Nederlands recht zijn voor kerken geen uitzonderingen gecreëerd. Zij zijn onderworpen aan de Wbp en aan het door het Cbp uitgeoefende toezicht.

Artikel 17, eerste lid, VWEU dwingt niet tot het opnemen in de ontwerpverordening van een bepaling als het voorgestelde artikel 85. De ontwerpverordening laat vanwege de veelvuldig daarin voorkomende open normstelling de nodige ruimte voor een op de specifieke positie van de betreffende verantwoordelijke toegespitste afweging. Dat geldt ook voor kerkgenootschappen. De clausulering van het voorgestelde artikel 21 staat immers beperkingen toe voor zover deze noodzakelijk en evenredig zijn ter waarborging van «de bescherming van de rechten en vrijheden van anderen». In het licht van het voorgaande wordt een motivering van de noodzaak van een bijzondere regeling zoals thans voorgesteld, node gemist.

Het voorgestelde artikel 85 lijkt voorts in zichzelf tegenstrijdig. Het artikel bepaalt immers dat bestaande eigen voorschriften van kerken en religieuze verenigingen en gemeenschappen met betrekking tot de verwerking van persoonsgegevens van toepassing kunnen blijven, mits zij in overeenstemming worden gebracht met de bepalingen van de verordening. Deze voorwaarde van inhoudelijke overeenstemming met de verordening lijkt de vrijheid om de eigen voorschriften in stand te houden grotendeels teniet te doen. Dat doet tevens de vraag rijzen hoe het voorgestelde artikel 85 zich verhoudt tot artikel 17, eerste lid, VWEU. Gezien het bovenstaande dient de formulering van artikel 85 van de ontwerpverordening voor het geval het wordt gehandhaafd, te worden verduidelijkt.

6. Uitwisseling gegevens met derde landen

6.1. Internationalisering

De technologische ontwikkelingen hebben het in sterk toenemende mate mogelijk gemaakt persoonsgegevens over de grenzen van landen heen met elkaar uit te wisselen. Zeker in een internetomgeving spelen landsgrenzen een steeds marginalere rol. Om een effectieve bescherming mogelijk te maken wordt in de voorstellen dan ook terecht veel aandacht besteed aan de extraterritoriale kenmerken van het stelsel. Een belangrijke vernieuwing is vanuit dit perspectief gelegen in artikel 3 van de ontwerpverordening waarin het geografisch toepassingsgebied van de regeling nader is bepaald. In artikel 3, tweede lid, is geregeld dat de verordening van toepassing is op de verwerking van persoonsgegevens van in de Unie wonende betrokkenen door een niet in de EU gevestigde verantwoordelijke wanneer de verwerking betrekking heeft op het aanbieden van goederen of diensten aan deze betrokkenen of op het observeren van hun gedrag. Deze bepaling betekent een belangrijke uitbreiding van de werkingssfeer van het Europese gegevensbeschermingsrecht in vergelijking tot de huidige situatie. De huidige Richtlijn 95/46 is in beginsel alleen van toepassing op verantwoordelijken voor zover zij een vestiging hebben in een of meer lidstaten.92

Daarnaast besteden de voorstellen veel aandacht aan de relatie tussen de lidstaten en derde landen. Hoofdstuk IV van de ontwerpverordening en Hoofdstuk V van de ontwerprichtlijn bevatten de voorwaarden waaronder persoonsgegevens kunnen worden doorgegeven naar een derde land. Deze bepalingen vormen in belangrijke mate een voortzetting van de bestaande regelgeving gebaseerd op Richtlijn 95/46. Het uitgangspunt van de voorgestelde regeling is met het oog op doorgifte van persoonsgegevens aan een derde land een passend beschermingsniveau gewaarborgd moet zijn in het betreffende derde land. De criteria van artikel 41, tweede lid, van de ontwerpverordening op basis waarvan de Commissie bepaalt of derde landen een passend beschermingsniveau van persoonsgegevens waarborgen om doorgifte van gegevens dit land mogelijk te maken, zijn in belangrijke mate gebaseerd op de bestaande criteria uit Richtlijn 95/46.93 Indien geen passend beschermingsniveau aanwezig is of een zodanig niveau nog niet door de Commissie is vastgesteld zijn er grosso modo twee categorieën van situaties waarin doorgifte van gegevens aan een derde land mogelijk is. Het betreft:

• – Doorgiften op basis van een juridisch bindend instrument (bijvoorbeeld een contract of een bedrijfsvoorschrift) dat passende garanties biedt voor de bescherming van persoonsgegevens (art. 42–43).

• – Doorgiften op grond van een van de uitdrukkelijk in de verordening genoemde uitzonderingsgronden (art. 44).

Deze systematiek komt overeen met die van Richtlijn 95/46. Op grond van de voorgestelde teksten moet voorshands worden aangenomen dat het huidige beschermingsniveau van Richtlijn 95/46 in de verordening zal worden gehandhaafd. Wel bevat de regeling in de ontwerpverordening op bepaalde punten een nadere specificatie ten opzichte van de geldende regels. Bijzondere aandacht vergt de verhouding met bestaande internationale overeenkomsten en voor de formulering van bepaalde uitzonderingen op grond waarvan gegevens kunnen worden doorgegeven aan een derde land waarvoor de Commissie geen passend beschermingsniveau heeft vastgesteld.

6.2. Bestaande internationale overeenkomsten

De ontwerpverordening bevat geen specifieke bepalingen omtrent internationale overeenkomsten tussen de EU en derde landen omtrent de uitwisseling van persoonsgegevens. Overweging 79 bij de ontwerpverordening bepaalt echter dat de verordening geen afbreuk doet aan dergelijke internationale overeenkomsten. Overweging 90 gaat in op de situatie waarin een derde land wettelijke voorschriften met extraterritoriale werking heeft vastgesteld waarmee wordt beoogd gegevensverwerkingen die vallen onder de jurisdictie van de lidstaten, rechtstreeks te regelen. In genoemde overweging wordt gesteld dat de extraterritoriale toepassing van deze voorschriften een belemmering kan vormen voor de bij deze verordening gewaarborgde bescherming. Doorgiften dienen ook in die gevallen alleen te kunnen plaatsvinden indien voldaan is aan de voorwaarden die in deze verordening worden gesteld aan doorgifte aan derde landen, aldus overweging 90.

Het onderwerp is de afgelopen jaren herhaaldelijk onderwerp van maatschappelijk debat geweest. Voorbeelden daarvan zijn de PNR-overeenkomsten aangaande de verstrekking van passagiersgegevens, de verstrekking van financiële transactiegegevens via SWIFT en de gevolgen van de USA Patriot-Act voor de bescherming van persoonsgegevens. Hoe deze verstrekkingen zich verhouden tot de ontwerpverordening, blijkt op dit moment nog niet uit de ontwerpverordening zelf. De tekst zou kunnen worden verduidelijkt door in de ontwerpverordening vast te leggen dat de verordening alleen buiten toepassing blijft bij reeds bestaande internationale overeenkomsten. Daarbij zou ook kunnen worden voorzien in overgangsrechtelijke maatregelen.94 Voor het overige zou overeenkomstig overweging 90 als uitgangspunt kunnen gelden dat toekomstige doorgiftes aan derde landen al dan niet op grond van een internationale overeenkomst alleen kunnen plaatsvinden indien voldaan is aan de in de verordening gestelde voorwaarden. Dit betekent enerzijds dat doorgifte aan een derde land op grond van extraterritoriale toepassing van in dat land geldende wettelijke voorschriften niet wordt erkend als de doorgifte niet in overeenstemming is met de verordening, anderzijds dat doorgifte aan een derde land waarvoor geen passend beschermingsniveau is vastgesteld, onder de in de verordening gestelde voorwaarden mogelijk blijft.

6.3. Afwijkingsmogelijkheden

Artikel 44 van de ontwerpverordening bepaalt onder welke voorwaarden persoonsgegevens doorgegeven kunnen worden aan derde landen of internationale organisaties in de gevallen waarin geen besluit over een passend beschermingsniveau op grond van artikel 41 is genomen en er ook geen juridisch bindend instrument met passende garanties als bedoeld in artikel 42 voorhanden is op grond waarvan doorgifte naar een derde land kan worden gebaseerd. Vanwege het open karakter van sommige van de in artikel 44 opgenomen clausuleringen95 kan bij een al te ruimhartige toepassing de hoofdregel van de verordening – alleen doorgifte in geval van een passend beschermingsniveau – gemakkelijk worden ondermijnd. Dat risico kan worden beperkt door in de overwegingen vast te leggen dat de uitzonderingsmogelijkheden van artikel 44 strikt dienen te worden geïnterpreteerd.

In artikel 44, eerste lid, is voor de specifieke uitzonderingsgrond onder h vastgelegd dat doorgifte alleen is toegestaan voor zover deze niet als frequent of massaal kan worden beschouwd. De vraag is in hoeverre in overeenstemming daarmee niet ook voor alle overige in artikel 44 geregelde uitzonderingsgronden als uitgangspunt moet worden geformuleerd dat het alleen kan gaan om incidentele gevallen en niet om doorgiftes die veelvuldig en massaal moeten plaatsvinden. Voor dergelijke doorgiftes dient zo mogelijk in artikel 41 of 42 van de ontwerpverordening een grondslag te worden gevonden.

Artikel 44, eerste lid, onder d, maakt doorgifte naar een derde land mogelijk indien die doorgifte noodzakelijk is wegens «gewichtige redenen van algemeen belang». Uit overweging 87 bij de ontwerpverordening blijkt dat het daarbij kan gaan om internationale gegevensuitwisselingen tussen mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten, diensten met bevoegdheid op het gebied van de sociale zekerheid of de autoriteiten belast met de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten. Blijkens de formulering gaat het om een niet-limitatieve opsomming. In dit licht bezien is de in artikel 44, eerste lid, onder d, opgenomen clausule te ruim. Het is van belang om in lijn met artikel 8, tweede lid, EVRM en in overeenstemming met de opzet van de algemene beperkingsclausule van artikel 21 van de ontwerpverordening96, in artikel 44, eerste lid, de publieke belangen die een gewichtige reden kunnen opleveren voor doorgiftes naar een derde land, te specificeren.

7. Toezichts- en handhavingsstructuur

7.1. Effectieve handhaving

Hiervoor is opgemerkt dat de ontwerpverordening als uitgangspunt kiest dat primair de verantwoordelijke dient te worden aangesproken op de bescherming van de persoonsgegevens die door hem worden verwerkt. Daartoe zijn in de ontwerpverordening de nodige verplichtingen voor de verantwoordelijke opgenomen. Los van de vraag of hier steeds de juiste keuzes zijn gemaakt97 zullen deze bepalingen hoe dan ook onvoldoende effect sorteren indien niet is voorzien in een effectief systeem van toezicht en handhaving. Dat geldt te meer nu uit de evaluaties van de op Richtlijn 95/46 gebaseerde Wbp blijkt dat de uitvoering van deze wet tekortschiet. Een sterk systeem van toezicht en handhaving vormt mede in dat licht bezien een onontbeerlijk sluitstuk.

Met name de in de ontwerpverordening voorziene toezichts- en handhavingsstructuur is ingewikkeld. Deze structuur is gelaagd. Enerzijds regelt de ontwerpverordening de instelling, de samenstelling, de status en de taken en bevoegdheden van de nationale toezichthoudende autoriteiten. Anderzijds voorziet zij in een versterkt Europees toezicht waarbij een rol is weggelegd voor het Europees Comité voor gegevensbescherming, de Europese Toezichthouder voor de gegevensbescherming en de Europese Commissie. Ook als het gaat om het handhavingsinstrumentarium zullen zowel op nationaal als op Europees niveau regels gaan gelden. Het is op dit moment nog onduidelijk hoe deze regels op de verschillende niveaus zich precies tot elkaar zullen gaan verhouden. Vaststaat wel dat in vergelijking tot de huidige situatie het toezicht en de handhaving in sterkere mate op EU-niveau zal plaatsvinden.

De Afdeling acht het nog te vroeg om zinvolle uitspraken te kunnen doen over de doeltreffendheid van de voorgestelde toezichts- en handhavingsregels. In dit stadium volstaat zij met een aantal beschouwingen die een nader licht kunnen werpen op enkele constitutioneelrechtelijke aspecten van de gedane voorstellen.

7.2. Nationaal toezicht

De ontwerpverordening voorziet in de eerste plaats in de oprichting, de samenstelling, de status en de taken en bevoegdheden van de nationale toezichthoudende autoriteiten. Een aantal van deze aspecten moet bij nationale wet worden geregeld.98 De bepalingen van de ontwerprichtlijn sluiten hier grotendeels bij aan. De lidstaten zijn vrij om voor het toezicht op de verwerkingen waarop de richtlijn betrekking zal hebben, een of meer afzonderlijke toezichthouders aan te wijzen. Op grond van artikel 39, tweede lid van de ontwerprichtlijn kunnen lidstaten evenwel ook de toezichthoudende autoriteit aanwijzen die bevoegd zal zijn om toezicht te houden op de naleving van de verordening.

In artikel 52 en 53 van de ontwerpverordening is een lange opsomming opgenomen van taken en bevoegdheden die aan de nationale toezichthoudende autoriteit worden toegekend.99 Het betreft onder meer de behandeling van klachten, het geven van voorlichting en advies, de beoordeling en goedkeuring van bepaalde verwerkingen, de toepassing van uiteenlopende handhavingsbevoegdheden en de samenwerking met en bijstand aan de toezichthoudende autoriteiten van andere lidstaten. De prestaties van de toezichthouder zijn voor de betrokkene in beginsel kosteloos.100 De kosten van deze activiteiten zijn vooralsnog niet op toereikende wijze in kaart gebracht.101 Uit de Nederlandse praktijk is bekend dat het Cbp uit capaciteitsoverwegingen besloten heeft om binnen zijn takenpakket bepaalde prioriteiten te stellen.102 Dat heeft tot gevolg gehad dat bepaalde taken niet meer of slechts zeer beperkt worden uitgevoerd. Dit doet de vraag rijzen in hoeverre de voorgestelde taken en bevoegdheden in deze vorm moeten worden gehandhaafd en zo ja, hoe de financiering daarvan zal plaatsvinden.

Een belangrijk onderdeel van de voorgestelde regeling betreft de onafhankelijkheid van de toezichthouder. De ontwerpverordening schrijft in artikel 47, eerste en tweede lid, voor dat de toezichthouder bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk optreedt en haar leden van wie dan ook geen instructies mogen ontvangen. Deze onafhankelijke positie was ook al vastgelegd in Richtlijn 95/46103 maar is nadien versterkt in de rechtspraak van het Hof van Justitie EU en in het primaire EU-recht. In het arrest Commissie tegen Duitsland104 heeft het Hof overwogen dat artikel 28, eerste lid, van Richtlijn 95/46 zo moet worden uitgelegd dat niet alleen elke beïnvloeding door de organen waarop toezicht wordt uitgeoefend, is uitgesloten maar ook elk bevel of elke andere beïnvloeding van buitenaf, hetzij rechtstreeks hetzij indirect, die de taakvervulling van de toezichthouder in het gedrang zou kunnen brengen. De onafhankelijkheid van de toezichthouder wordt ook gewaarborgd door artikel 16, tweede lid VWEU en artikel 8, derde lid, van het EU-Handvest.

Het bovenstaande past in de algemene tendens waarin het EU-recht steeds vaker en op verschillende terreinen regels stelt die beogen de onafhankelijkheid van nationale toezichthouders te waarborgen.105 In een aantal EU-richtlijnen is de onafhankelijkheid van de betreffende toezichthouder op een vergelijkbare wijze als in artikel 47 van de ontwerpverordening gewaarborgd.106 In sommige van deze richtlijnen wordt bepaald dat de onafhankelijkheidseis geen beletsel vormt voor toezicht overeenkomstig het nationale constitutionele recht.107 De Afdeling heeft eerder uit laatstgenoemde clausule afgeleid dat de door het EU-recht gestelde onafhankelijkheidseis geen afbreuk doet aan het door de bevoegde minister uit te oefenen toezicht op het beleid van de toezichthouder.108 Een dergelijke clausule ontbreekt echter in artikel 47 van de ontwerpverordening.

De toezichthouder zal ook toezicht moeten uitoefenen op de verwerking van persoonsgegevens waarvoor de overheid verantwoordelijk is. Het is om die reden begrijpelijk dat de onafhankelijkheid van de toezichthouder in dit geval sterk in het EU-recht is verankerd en de toezichthouder als gevolg hiervan in beginsel gevrijwaard is van ministerieel toezicht. Dat laat echter onverlet dat de toezichthouder dient te voldoen aan algemene beginselen van goed bestuur («good governance»). Zeker indien de toezichthouder – zoals thans wordt voorgesteld – beschikt over sterke sanctionerende bevoegdheden dient naar het oordeel van de Afdeling duidelijkheid te bestaan over de openbaarheid van zijn werkwijze, over de wijze waarop de toezichthouder belanghebbenden bij zijn beslissingen betrekt en waarop de toezichthouder verantwoording aflegt over de uitoefening van zijn bevoegdheden. Afgezien van het recht van de betrokkene om in bepaalde gevallen beroep in te stellen bij de rechter109 en de verplichting voor de toezichthouder om een jaarverslag op te stellen en naar het nationaal parlement te zenden110, is hieromtrent niets in de ontwerpverordening of in de ontwerprichtlijn geregeld.111

7.3. Europees toezicht

De verordening voorziet in de instelling van een onafhankelijk112 Europees Comité voor gegevensbescherming.113 Dit bestaat uit de nationale toezichthouders van de lidstaten en de Europese Toezichthouder voor gegevensbescherming.114 Het ziet toe op de consequente toepassing van de verordening en is met het oog op dat doel gericht op versterking van de samenwerking tussen de nationale toezichthouders onderling en tussen de nationale toezichthouders en de Commissie. Het Comité is de opvolger van de op Richtlijn 95/46 gebaseerde artikel 29-werkgroep.115 Het beschikt echter over uitgebreidere taken. Deze hebben onder meer betrekking op advisering aan de Commissie, onderzoek naar de toepassing van de verordening, het opstellen en evalueren van richtsnoeren, aanbevelingen en beste praktijken en het bevorderen van samenwerking en uitwisseling van kennis en informatie.116

De instelling van het Europees Comité voor gegevensbescherming sluit aan bij de ontwikkeling van een steeds verdergaande Europeanisering van het markttoezicht.117 Door Europese netwerkvorming worden nationale toezichthouders geleidelijk ingebed in de institutionele structuur van de EU. Dit kan ertoe leiden dat nationale toezichthouders losser komen te staan van hun nationale rechtsstelsel en zich steeds sterker gaan richten op hun Europese partners, meer in het bijzonder hun collega-toezichthouders in de andere lidstaten en de Europese Commissie. Dit roept nieuwe vragen op betreffende democratische legitimatie, verantwoording en rechtsbescherming die in bredere zin meer aandacht behoeven.

Verwacht mag worden dat de activiteiten van het Comité de harmonisatie van het gegevensbeschermingsrecht in de EU verder zullen stimuleren. Daarvoor is met name van belang de bevoegdheid van het Comité om op grond van artikel 66, eerste lid, onderdeel b, van de ontwerpverordening richtsnoeren, aanbevelingen en beste praktijken voor de toezichthoudende autoriteiten vast te stellen. Deze zijn strikt genomen juridisch niet bindend maar bepalen wel in hoge mate de inhoud van de handhaving. Het Comité zendt de richtsnoeren, aanbevelingen en beste praktijken toe aan de Commissie. Deze informeert het Comité over de maatregelen die zij naar aanleiding daarvan heeft genomen.118 Langs deze weg kunnen de door het Comité opgestelde richtsnoeren, aanbevelingen en beste praktijken de basis vormen voor gedelegeerde handelingen en uitvoeringsmaatregelen van de Commissie.

Het bovenstaande roept de vraag op hoe de werkwijze van het Comité zal zijn, in hoeverre en op welke wijze het Comité belanghebbenden bij de voorbereiding van aanbevelingen en richtsnoeren zal betrekken en op welke wijze en door wie het Comité op zijn activiteiten kan worden aangesproken. In de voorstellen wordt hieraan weinig aandacht besteed.119 Overwogen zou moeten worden hierover een aantal regels in de ontwerpverordening op te nemen. Voorts is van belang dat als het gaat om beleidsaangelegenheden zoals de vaststelling van richtsnoeren, aanbevelingen en beste praktijken, openbaarheid de hoofdregel is. Artikel 72, eerste en tweede lid, van de ontwerpverordening waarin de vertrouwelijkheid van de besprekingen van het Comité en van de aan het Comité voorgelegde documenten wordt geregeld, dienen naar het oordeel van de Afdeling in het licht van het voorgaande te worden aangepast.

Het Europees Comité voor gegevensbescherming speelt ook een belangrijke rol bij de in de ontwerpverordening voorziene conformiteitstoetsing. Deze toetsing is erop gericht om in gevallen waarin grensoverschrijdende activiteiten worden verricht die een aanzienlijke invloed kunnen hebben op het vrije verkeer van persoonsgegevens binnen de EU, op Europees niveau vast te stellen of de verordening correct en consequent wordt toegepast. Daartoe bevat de ontwerpverordening een complexe procedure120 die op verzoek van een nationale toezichthouder, het Comité of de Commissie kan worden gestart.121 Het Comité brengt vervolgens advies uit dat de bevoegde nationale toezichthouder in aanmerking moet nemen.122 Daarnaast heeft de Commissie een machtige positie. Zij kan advies uitbrengen123, een voorgenomen maatregel van een nationale toezichthouder schorsen124 en een uitvoeringsmaatregel vaststellen.125 Deze regeling komt erop neer dat de Commissie in de hier aan de orde zijnde gevallen de nationale toezichthouder kan «overrulen».

Het is begrijpelijk dat de Commissie in gevallen met sterke grensoverschrijdende effecten waarbij de consistente toepassing van de EU-regels nadrukkelijk in het geding kan zijn, bevoegdheden krijgt toegekend. Niettemin is de vraag hoe de dwingende bevoegdheden van de Commissie van artikel 60 en 61 zich verhouden tot de onafhankelijkheid van de nationale toezichthouders zoals gewaarborgd in artikel 8, derde lid, EU-Handvest, artikel 16 VWEU en artikel 47, eerste lid, van de ontwerpverordening zelf. Voorts is de vraag of, gezien de in de ontwerpverordening voorziene advisering door het Comité en gezien het feit dat de Commissie aan de beraadslagingen van het Comité zal deelnemen, de genoemde bevoegdheden noodzakelijk zijn om een consistente toepassing van de verordening te waarborgen. Tegen deze achtergrond dient te worden afgewogen of aan de Commissie zodanige sterke toezichthoudende bevoegdheden moeten worden toegekend als thans wordt voorgesteld.126

7.4. Sanctionering

In de artikelen 78 en 79 van de ontwerpverordening is een sanctieregeling neergelegd. Artikel 78 bevat een algemene regeling die de nodige ruimte laat aan de lidstaten. Hieronder vallen alle sancties anders dan die in artikel 79 worden geregeld. Deze kunnen met name strafsancties en bestuurlijke herstelsancties betreffen zoals de last onder bestuursdwang en de last onder dwangsom. Voor deze sancties verandert er weinig ten opzichte van Richtlijn 95/46.127 De sanctionering zal moeten worden geregeld in de Nederlandse uitvoeringswetgeving waarin kan worden aangesloten bij het Wetboek van Strafrecht en titel 5.3 van de Awb (herstelsancties). Daarbij dienen de in artikel 78 geregelde randvoorwaarden van doeltreffendheid, evenredigheid en afschrikking in acht worden genomen.

Nieuw en van groot belang is de bijzondere regeling van de bestuurlijke boete in artikel 79. In artikel 79, vierde tot en met het zesde lid, is geregeld dat de toezichthoudende autoriteit voor bepaalde inbreuken op de ontwerpverordening een maximale boete oplegt van respectievelijk € 250 000,–, € 500 000,– en € 1 000 000,–. Het gaat steeds om een zogenoemde gebonden bevoegdheid. Dit betekent dat de toezichthoudende autoriteit verplicht is om een boete op te leggen als een of meer van de in het vierde tot en met zesde genoemde inbreuken zich voordoen en bovendien sprake is van opzet of nalatigheid. Het gebonden karakter van de bevoegdheden komt ten eerste tot uitdrukking in de formulering van de betreffende leden: «De toezichthoudende autoriteit legt een geldboete tot (...) op.» Ten tweede is ook in de toelichting op het voorstel uitdrukkelijk aangegeven dat een verplichting is beoogd.128 De in artikel 79, vierde tot en met het zesde lid, opgenomen bedragen zijn maximale boetes. Een toezichthoudende autoriteit kan derhalve besluiten tot het opleggen van een lagere boete. Daarbij is deze autoriteit echter gebonden aan artikel 79, tweede lid, waarin is bepaald dat de op te leggen administratieve sanctie in elke zaak doeltreffend, evenredig en afschrikkend moet zijn. Deze eisen zijn nader ingevuld in de rechtspraak van het Hof van Justitie EU. In artikel 79, tweede lid, zijn voorts nog andere factoren genoemd waarmee de toezichthouder bij het bepalen van de hoogte van de boete rekening dient te houden.129

De regeling van de bestuurlijke boete roept verschillende vragen op. Deze betreffen in de eerste plaats het feit dat het gaat om een verplichting. In de eerste plaats is het zeer de vraag of het realistisch is te veronderstellen dat de toezichthouders in de lidstaten feitelijk in staat zullen om zijn bij elke geconstateerde overtreding een boete op te leggen.130 Het gaat om overtreding van een grote hoeveelheid bepalingen van de verordening. Vanwege de vaagheid van de meeste van deze bepalingen of belangrijke onderdelen daarvan gaat het potentieel om zeer omvangrijke aantallen zaken. De onbepaaldheid van de normstelling zou weliswaar in een aantal gevallen kunnen afnemen doordat de Commissie op grond van de verordening gedelegeerde handelingen vaststelt maar de vraag is of dat – los van de wenselijkheid daarvan – voldoende soelaas zal kunnen bieden.

Naast praktische zijn er juridische vragen. Op het eerste gezicht laat artikel 79, mede gelet op de daarop gegeven toelichting, geen ruimte om een boete achterwege te laten. Niettemin kan de vraag rijzen of de toezichthouder in bepaalde gevallen, rekening houdend met de in artikel 79, tweede lid, genoemde afwegingsfactoren, de boete op € 0,– mag stellen zodat de facto geen boete wordt opgelegd. Verder is van belang hoe de voorwaarde van artikel 79, vierde tot en met zesde lid, dat de overtreding van de regels «opzettelijk» of «uit nalatigheid» moet zijn gepleegd, zal worden uitgelegd. Zeker in de bepaald niet uitzonderlijke gevallen dat het een vage norm betreft en de overtreder zich in redelijkheid op het standpunt kan stellen dat hij de regel niet overtreedt dan wel zich van een overtreding niet bewust is geweest, behoeft van opzet of nalatigheid geen sprake te zijn. Aannemelijk is dat in de praktijk hieromtrent de nodige geschillen zullen ontstaan.

Gelet op het bovenstaande is de vraag of de verplichting van de toezichthouder niet moeten vervangen door een discretionaire bevoegdheid. Daarmee wordt meer recht gedaan aan de werkelijkheid en stelt het systeem de toezichthouder beter in staat prioriteiten te stellen en rekening te houden met bijzondere omstandigheden. Een dergelijke wijziging betekent niet dat de toezichthouder vrij is om niet te handhaven. Op grond van het EU-recht is de toezichthouder immers gehouden om de effectieve werking van de verordening te garanderen en in geval van overtreding van de verordening sancties te treffen die doeltreffend, evenredig en afschrikkend zijn.

Voorts kan de vraag rijzen of vanwege de onbepaaldheid van de normstelling de procedure die kan leiden tot de oplegging van een bestuurlijke boete niet moet worden gepreciseerd. Overwogen zou kunnen worden om de toezichthouder de bevoegdheid toe te kennen een aanwijzing te geven tot naleving van de verordening. In die aanwijzing zou de toezichthouder ter concretisering van de wettelijke norm moeten aangeven welke gedraging op grond van de verordening van de verantwoordelijke wordt verwacht en hem zo mogelijk moeten opdragen om de overtreding geheel of gedeeltelijk te herstellen. Indien de aanwijzing niet binnen een bepaalde termijn wordt opgevolgd, kan vervolgens een boete worden opgelegd. Elders in de Nederlandse wetgeving worden ter uitvoering en handhaving van Europese regels vergelijkbare constructies gehanteerd.131

Voor zover het gaat om de boeteregeling rijst ten slotte de vraag in hoeverre deze ruimte laat voor toepassing van het nationale recht. In de Nederlandse situatie gaat het in het bijzonder om titel 5.4 van de Awb waarin algemene regels zijn opgenomen aangaande het opleggen van bestuurlijke boetes. Uit de jurisprudentie van het Hof van Justitie blijkt dat aanvulling van een verordening door vaststelling of toepassing van het nationale recht in beginsel niet is toegestaan, voor zover de verordening uitputtend is bedoeld. De verordening dient in dat geval te worden beschouwd als een volledig stelsel.132 Nader bezien dient te worden of in aanvulling op de verordening en op de in het EU-Handvest gewaarborgde rechten133 ruimte zou dienen te bestaan voor toepassing van nationale regels zoals titel 5.4 Awb.

De vice-president van de Raad van State, J. P. H. Donner