32 761 Verwerking en bescherming persoonsgegevens

Nr. 60 BRIEF VAN DE STAATSSECRETARIS VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 22 april 2014

In het algemeen overleg van 7 maart 2012 (Kamerstuk 32 761, nr. 27) heb ik toegezegd u periodiek op de hoogte te houden van de stand van zaken over de onderhandelingen in Brussel over de Algemene verordening gegevensbescherming en de richtlijn gegevensbescherming opsporing en vervolging.

In deze brief doe ik verslag van de onderhandelingen in de maanden december 2013 tot en met maart 2014, met inbegrip van de raadswerkgroep die eindigde op 1 april 2014.

De onderhandelingen in december 2013 betroffen uitsluitend de richtlijn gegevensbescherming opsporing en vervolging. In de eerste drie maanden van 2014 is zowel over deze richtlijn, als over de Algemene verordening gegevensbescherming onderhandeld. De onderhandelingen over de Algemene verordening gegevensbescherming zijn onder Grieks voorzitterschap gestart met als doel op de JBZ Raad van 3 en 4 maart 2014 een gedeeltelijk akkoord te bereiken. Dat gedeeltelijk akkoord zou moeten bestaan uit een akkoord op enkele afzonderlijke onderdelen uit de hoofdstukken I tot en met IV, uit hoofdstuk V en, zo mogelijk, het onestopshop-mechanisme. Over de uitkomsten van deze Raad bent u inmiddels separaat geïnformeerd bij brief van de Minister van Veiligheid en Justitie en ondergetekende gezamenlijk van 18 maart 2014, Kamerstuk 32 317, nr. 222. Daarna zou op de JBZ Raad in juni 2014 een «general approach» moeten worden bereikt. Wat de richtlijn betreft, geldt dat deze inhoudelijk afhankelijk is van de verordening. De richtlijn staat daardoor wat meer op de achtergrond. Het voorzitterschap, de Europese Commissie en het Europees Parlement houden wel vast aan de pakketbenadering.

Raadswerkgroep 10 december 2013

In deze raadswerkgroep is de tweede behandeling van de tekst van de ontwerprichtlijn gegevensbescherming opsporing en vervolging voortgezet, op basis van de door het voorzitterschap opgestelde nieuwe tekst. De behandeling betrof de artikelen 7a tot en met 26 van de richtlijn.

Nederland is positief over het voorstel voor een nieuw artikel 7a, dat de lidstaten de mogelijkheid biedt om specifieke voorwaarden voor de verwerking van persoonsgegevens, op grond van de Europese of de nationale wetgeving, te handhaven ten opzichte van andere lidstaten. Wel vraagt Nederland zich af waarom wordt verwezen naar het Unierecht en wat precies wordt bedoeld met de term «specifieke omstandigheden». Met het tweede lid, waarin is vastgelegd dat geen andere beperkingen mogen worden opgelegd dan die welke van toepassing zijn op de overdragende autoriteit zelf, wordt afgeweken van de tekst van een soortgelijke bepaling in het kaderbesluit dataprotectie (artikel 12 kaderbesluit dataprotectie). Deze voorwaarde kan in de praktijk te beperkend zijn; op dit punt maakt Nederland een studievoorbehoud.

Voor wat betreft artikel 8 (verwerking van bijzondere categorieën van persoonsgegevens) steunt Nederland het pleidooi van een andere delegatie om uit te gaan van de formulering van een soortgelijke bepaling in het kaderbesluit dataprotectie (artikel 6 kaderbesluit dataprotectie), omdat het niet duidelijk is waarom van die tekst afgeweken moet worden. Nederland vraagt zich verder af wat precies wordt bedoeld met de term «afdoende waarborgen» in het tweede lid en steunt de delegaties die hebben gevraagd om voorbeelden hiervan, op dit punt maakt Nederland een studievoorbehoud.

Over artikel 9 (maatregelen op basis van profilering en geautomatiseerde verwerking) heeft de Nederlandse delegatie geen opmerkingen ingebracht.

Artikel 10 betreft de modaliteiten voor de uitoefening van de rechten van de betrokkene. Nederland kan in beginsel met de voorgestelde tekst leven, maar acht de aanduiding «zonder onredelijke vertraging» in het vierde lid wat vaag. Nederland stelt een termijn van een maand voor, zoals in de ontwerpverordening. Voorts heeft Nederland twijfels over het kosteloze karakter van het recht op inzage vanwege het mogelijk aanzuigende effect. Mede vanwege eventuele budgettaire consequenties wordt op dit punt een studievoorbehoud gelegd.

Over de artikelen 11 tot en met 14 heeft de Nederlandse delegatie geen opmerkingen ingebracht.

Artikel 15 betreft het recht van rectificatie. Nederland vraagt zich af wat precies wordt bedoeld met de woorden aan het slot van het eerste lid. Ook heeft Nederland aarzelingen over de tekst van het eerste lid, onderdeel b, omdat het betwisten van de juistheid van de gegevens volstaat voor de restrictie van de gegevensverwerking. Bij de verwerking van politiegegevens zal dit in de praktijk snel aan de orde zijn. Hiermee wordt afgeweken van het systeem van het kaderbesluit dataprotectie, op dit punt maakt Nederland een studievoorbehoud.

Over de artikelen 17 tot en met 25 heeft de Nederlandse delegatie geen opmerkingen ingebracht.

Nederland heeft twijfels over de precieze reikwijdte van de verplichting in artikel 26, dat handelt over de voorafgaande raadpleging van de toezichthoudende autoriteit, nu de verwijzing naar de fundamentele rechten en de persoonlijke levenssfeer is geschrapt. Het verdient de voorkeur te verwijzen naar de persoonlijke levenssfeer. Alternatieven zijn om dit in de overwegingen te verhelderen dan wel aan te sluiten bij de tekst van het kaderbesluit dataprotectie, waarin wordt verwezen naar «fundamentele rechten en vrijheden, en in het bijzonder het recht op bescherming van de persoonlijke levenssfeer» (artikel 23 kaderbesluit dataprotectie).

Raadswerkgroep 8, 9 en 10 januari 2014

Het nieuwe voorzitterschap heeft de keuze gemaakt om een aantal bepalingen uit Hoofdstuk IX van de verordening te bespreken. Dit betreft bepalingen met betrekking tot de verwerking van gegevens in bijzondere situaties. Het gaat dan om gegevensverwerking in verhouding tot de vrijheid van meningsuiting en de openbaarheid van bestuur. Daarnaast betreft het de verwerking van nationale identificatienummers, gegevens betreffende de gezondheid, gegevensverwerking in de context van de arbeidsrelatie, de verwerking van gegevens ten behoeve van wetenschappelijke, statistische en historische doeleinden, de verhouding tussen gegevensbescherming en beroepsbeoefenaren met een verschoningsrecht en de gegevensverwerking door kerkgenootschappen en vergelijkbare instellingen. Het is bij dit hoofdstuk altijd de bedoeling geweest dat de lidstaten een ruime mate van beleidsvrijheid zou worden toebedeeld.

De vergadering begint met een breed ondersteund verzoek van enkele lidstaten om gezien de voornemens van het voorzitterschap voor de JBZ Raad een routekaart voor het komende half jaar voor te leggen. Ook Nederland ondersteunt dit verzoek. Dit verzoek wordt niet ingewilligd door het voorzitterschap. Ook geeft het voorzitterschap, daartoe uitgenodigd, geen definitieve duidelijkheid over de geplande vergaderingen het komende half jaar. Nederland betreurt deze houding.

Artikel 80 betreft de verhouding tussen gegevensbescherming en de vrijheid van meningsuiting. Deze discussie wordt sterk bepaald door het nationale recht en de nationale grondwetten. Nederland ziet in het voorliggende voorstel voor artikel 80 een ruime bevoegdheid voor de lidstaten om die verhouding mede vorm te geven. De nationale (grond)wetgever heeft de plicht om het gegevensbeschermingsrecht goed in te bedden in het nationale recht. De vraag is of gegevensbescherming als een beperking van de vrijheid van meningsuiting kan worden aangemerkt. In de Nederlandse traditie kent de vrijheid van meningsuiting weinig beperkingen. Nederland mist in deze bepaling nog een verwijzing naar de academische vrijheid als aspect van de vrijheid van meningsuiting. Dat laat natuurlijk onverlet dat de regelingen in de artikelen 83a en 83c nodig zijn. Nederland stelt daarom voor om «artistic, or literary expression» te vervangen door: academic, artistic or literary expression. Inzake artikel 80a, waarin de verhouding tussen gegevensbescherming en openbaarheid van bestuur is geregeld, meldt Nederland dat het deze bepaling steunt. Artikel 80b betreft de mogelijkheid voor het regelen van nationale identificatienummers, zoals het BSN. Nederland kan voorwaardelijk akkoord gaan met deze bepaling. Enige tekstvoorstellen van andere lidstaten verdienen nader beraad. Nederland maakt daarom een positief studievoorbehoud.

In artikel 81 is regeling met betrekking tot gegevens betreffende de gezondheid neergelegd. Nederland is ontevreden met dit artikel, al zijn er vorderingen gemaakt. Er is een studievoorbehoud aangetekend bij deze bepaling.

Allereerst is het de vraag wat nu precies de bedoeling van deze bepaling is. Er moet hier een duidelijke keuze worden gemaakt. Ofwel het gaat om het beschermen van de betrokkene bij de verwerking van bepaalde gegevens (gevoelig of niet). Ofwel het gaat erom met deze bepaling de wetgever van de lidstaten ruimte te geven. Dat is bij dit onderwerp nu eenmaal onvermijdelijk. De organisatie van gezondheidszorg verschilt per lidstaat. Het gaat er dan niet om de bescherming voor de betrokkene maar te zoeken in beperking van ruimte van de nationale wetgever, omdat die ruimte zo moeilijk in overeenstemming te brengen valt met het rechtskarakter van een verordening, meent Nederland. Als het eerste het geval is, moeten de waarborgen voor de betrokkene in artikel 9 (gevoelige gegevens) worden geregeld. Dat is in systematisch opzicht de beste plaats om dat te doen. Als het tweede het geval is, dan schiet de regeling tekort. Nederland heeft daar bij de behandeling van artikel 9 herhaalde malen op gewezen. Vervolgens is het de vraag wat de verhouding tussen de artikelen 9 en 81 is. Artikel 9, lid 2, onder h, regelt – in de ogen van Nederland een veel te beperkte – opheffing van het verbod om gegevens betreffende de gezondheid te verwerken. De voorwaarden waaronder dat verbod kan worden opgeheven wanneer het gaat om gegevens betreffende de gezondheid moeten dan worden gevonden in artikel 81. Het zou dan toch zo moeten zijn dat artikel 81 zich beperkt tot het vaststellen van die voorwaarden en zich niet verliest in een gedeeltelijke herhaling van hetgeen in artikel 9 staat. Nederland vraagt zich af wat heeft de verwijzing naar artikel 9, lid 2, onderdeel g, voor effect heeft. Want daar wordt al geregeld dat de wetgeving van de lidstaten waarborgen moet bieden. Nederland is voorstander van de toevoeging door het Voorzitterschap dat voor «gezondheidsdoeleinden» alle gegevens, genoemd in artikel 9, verwerkt mogen worden. Maar dit is niet genoeg. In de justitiële jeugdzorg is het een dringende noodzaak om gezondheidsgegevens in combinatie van strafrechtelijke gegevens te verwerken. Nederland stelt daarom voor om de verwijzing naar «Article 9 (1)» uit te breiden naar: Article 9 (1) and (2a). Voor het overige schiet de opsomming in artikel 81 echt tekort. Nederland mist een expliciete verwijzing naar: risicobeoordeling voorafgaand aan het sluiten van verzekeringsovereenkomsten; de uitvoering van verzekeringsovereenkomsten (ook andere dan zorgverzekeringen); het onderwijs dat rekening moet houden met beperkingen van leerlingen voortvloeiend uit hun gezondheidstoestand; het hele terrein van de justitiële vrijheidsbeneming, strafrechtstoepassing en de justitiële jeugdzorg en de sociale zekerheid en de private pensioenvoorzieningen. Omdat Nederland zich kan voorstellen dat deze maatschappelijk toch algemeen aanvaardbare redenen van algemeen belang kunnen uiteenlopen per lidstaat, is het een beter idee om in artikel 81 de nodige ruimte aan de lidstaten te geven in plaats van deze te beperken. Nederland ziet daarom weinig ruimte voor artikel 81, derde lid. In dat artikellid wordt voorzien in een gedelegeerde handeling van de Commissie om de bepaling verder uit te werken. Dat is niet verenigbaar met de bevoegdheid van nationale wetgevers. Dat kan beter worden geschrapt.

Artikel 82 bevat de regeling voor de verwerking van gegevens in de context van de arbeidsrelatie. Nederland ondersteunt een bevoegdheid tot het vaststellen van regels door de nationale wetgever. Het is wel zo dat deze bepaling aanleiding geeft tot zorg over een mogelijk gebrek aan flexibiliteit. Net als in veel andere lidstaten zijn belangrijke delen van het arbeidsrecht neergelegd in collectieve arbeidsovereenkomsten. En als gevolg van de negatieve economische ontwikkeling verliezen heel veel mensen een reguliere baan, met de daarbij behorende bescherming die de wet of de CAO kan bieden. De individuele arbeidsovereenkomst of de overeenkomsten van dienstverlening, inhuur of aanneming van werk bieden die zekerheden niet. En het is ook zo dat belangrijke delen van de sociale verzekeringswetgeving die een ruimere strekking hebben dan alleen de positie van werknemers, wel sterke samenhang vertoont met de werknemersverzekeringen. Er zijn bovendien belangrijke relaties met de pensioen- en de belastingwetgeving. «Employment context» reikt dus nogal ver. Mogelijk wordt dat deels ondervangen door het nieuwe artikel 82a. Nederland zou zich kunnen voorstellen dat «Within the limits of this Regulation» niet uitsluit dat een hoger beschermingsniveau kan worden vastgesteld voor het verzamelen, gebruiken en verstrekken van persoonsgegevens in de context van de arbeidsverhouding, en dat de verordening dan – in het bijzonder de artikelen 26, 30 tot en met 33 en 40 tot en met 44 – fungeert als minimumniveau. Tenslotte is Nederland geen voorstander van het derde lid. Dat lid bevat een delegatiegrondslag voor regels te stellen door de Commissie. Beperkingen stellen aan de bevoegdheid van de nationale wetgever behoeft een behoorlijke grondslag in het primaire EU-recht. Een gedelegeerde handeling biedt die onvoldoende.

Bij artikel 82a, een nieuwe bepaling over gegevensbescherming ten behoeve van sociale beschermingsdoeleinden, is Nederland in beginsel positief over deze toevoeging. Nederland plaatst een positief studievoorbehoud omdat deze bepaling nog nadere afstemming behoeft. De reikwijdte van «social protection» moet wel vaststaan. De vraag is ook hoe artikel 82a zich verhoudt tot artikel 34 van het Handvest voor de Grondrechten en of het meer mag omvatten dan daar is geregeld. Vraagstukken van volkshuisvesting, bijvoorbeeld. Voor toegang tot de markt van sociale huurwoningen gelden immers inkomenseisen. Nederland gaat er verder van uit dat artikel 82a zich niet verzet tegen de verwerking van persoonsgegevens ten behoeve van de bestrijding van sociale zekerheidsfraude en het daarmee sterk verwante terrein van de belastingfraude. De verwerking van bijzondere persoonsgegevens verdient in dit opzicht ook aandacht. De noodzaak een beroep te doen op sociale bescherming komt vaak voort uit achtergronden die verbonden zijn met bijzondere persoonsgegevens. Gezondheidsgegevens, strafrechtelijke gegevens en onder omstandigheden ook etniciteit. Dat zal dus nog nader in overeenstemming met de rest van de verordening moeten worden gebracht.

Artikel 83a bevat een afzonderlijke bepaling over de verwerking van gegevens voor historische doeleinden. Nederland tekent een studievoorbehoud aan. Over deze tekst is een hernieuwde consultatie bij de archiefsector nodig. Nederland heeft de verwerking van persoonsgegevens voor historische doeleinden altijd gezien als een apart verwerkingsdoeleinde dat in beginsel naast andere doeleinden van gegevensverwerking staat. Dat is van belang in twee opzichten. In de eerste plaats is dat van belang om een zinvolle reikwijdte van artikel 83a te formuleren. Het artikel richt zich nu op bestuursorganen en publiekrechtelijke lichamen waarvoor archiefwetgeving geldt. Maar voor bedrijven en kerkelijke instellingen die archieven bijhouden die ook van groot belang zijn uit historisch perspectief geldt die wetgeving niet. De vraag is hoe de status van die archieven onder de verordening wordt beoordeeld? In de tweede plaats is dat van belang om te kunnen vaststellen of artikel 83a beoogt een aparte rechtvaardigingsgrond voor de verwerking van gegevens voor archiefdoeleinden te regelen. Het lijkt de bedoeling te zijn de verwerking van gegevens voor archiefdoeleinde te zien als een vorm van «verder verwerken» of «compatible use». De vraag is of dat nodig is. De vraag is waarom dat in het privaatrechtelijk domein niet kan worden aangemerkt als een «gerechtvaardigd belang». Voor het publiekrechtelijke domein kan uiteraard een wettelijk verplichting fungeren als rechtvaardigingsgrond. Daarvoor kan dan wel een eis worden gesteld dat dit wettelijk voorschrift specifiek het aanleggen en beheren van archieven voor de openstelling aan het publiek tot doel heeft, omdat anders art. 80a van toepassing is. Op die grens moet wel worden gelet. De vraag is ook waarom in art. 83a, lid 1, een inhoudelijke eis wordt gesteld aan de duur van de bewaartermijn. In een archief – zeker een archief dat wordt beheerst door de regels van publiekrecht – worden gegevens principieel voor onbepaalde tijd opgeslagen. Zo'n bewaartermijn verliest sowieso betekenis, omdat na verloop van tijd de personen op wie de gegevens betrekking hebben overlijden en de bescherming van de verordening zich beperkt tot levende personen. Artikel 83a, tweede lid, legt een taak op de verantwoordelijke. Dat kan Nederland steunen, maar het vindt wel dat de nationale wetgever de mogelijkheid moet behouden om in bepaalde belangen – waarvan bescherming van persoonsgegevens er één is – beperkingen aan de openbaarheid van gegevens in archieven te stellen. Nederland steunt de uitzonderingen op de toepassing van de artikelen 14a, 15, 17, 17a en 18. Maar Nederland mist hier artikel 16. Het recht op correctie kan hier niet in volle omvang worden uitgeoefend. Gegevens in archieven zijn naar hun aard niet vatbaar voor daadwerkelijke correctie, zelfs al zijn ze onjuist. Toevoeging van een eigen lezing, dat in artikel 16 uitdrukkelijk mogelijk wordt gemaakt, is natuurlijk wel mogelijk. Als artikel 16 wordt toegevoegd in artikel 83a, lid 4, lijkt dat opgelost. Nederland steunt niet het voorstel tot schrapping van de verwijzing naar artikel 15 in artikel 83a, lid 4. Tot slot stelt Nederland dat de scheiding van archieven en verwerking van gegevens voor historische doeleinden een idee is dat nadere bespreking in Nederland vindt.

Artikel 83b bevat een afzonderlijke bepaling over de verwerking van gegevens voor statistische doeleinden. Nederland heeft een positief voorbehoud bij dat artikel, maar nader beraad met het Centraal Bureau voor de Statistiek is nodig. Nederland wijst erop dat artikel 83b vergaand afwijkt van eerdere voorstellen die op tafel lagen. Daarmee kon Nederland goed uit de voeten, maar de vergaande afwijkingen in de nieuwe tekst verdienen nadere studie. Nederland adviseert het voorzitterschap om de mening van de Raadswerkgroep statistieken te vragen om dit artikel te vervolmaken. Nederland wil ook de reikwijdte van dit artikel verbreden tot meer dan statistieken van overheidswege. De toegevoegde waarde is dat instanties die namens de overheid statistieken verwerken geheimhouding kan worden opgelegd. De structuur van artikel 83b kan verbeterd worden, aldus Nederland. Verder wil Nederland nog kijken naar alle keren dat «appropriate safeguards for the rights and freedoms of individuals» terugkomt. De verwijzing naar de rechten en vrijheden van individuen bij het maken van uitzonderingen op de rechten van betrokkenen in artikel 83b verschilt in die van artikel 83a. De vraag is of dat nodig is. Tot slot geeft Nederland aan dat er niet altijd een duidelijk verschil is tussen statistische en wetenschappelijke doeleinden. Dan is het reden te meer om de voorwaarden waaronder de verwerking plaatsvindt niet nodeloos van elkaar te laten verschillen.

Artikel 83c bevat een afzonderlijke bepaling over de verwerking van gegevens voor wetenschappelijke doeleinden. NL tekent een studievoorbehoud aan. NL heeft onvoldoende gelegenheid gehad om deze vergaande voorstellen intern te bespreken. Nederland deelt de zorg van enkele lidstaten over de compromistekst van het Europees Parlement op dit punt. De onderzoekssector in Nederland wil beslist niet akkoord gaan met deze voorstellen. Men toont zich zeer bezorgd over het verloop van onderzoeken waarbij in het verleden verzamelde persoonsgegevens worden verwerkt in lopend en toekomstig onderzoek. De onzekerheden over de continuïteit van de rechtvaardiging van deze verwerkingen is het grootst bij het medisch onderzoek. Als er op een andere regeling wordt overgestapt, moet de vraag naar overgangsrecht aan de orde komen. Nederland is dus zeer kritisch over artikel 83c. Nederland ziet geen enkele reden om bij de vormgeving van dit artikel het «verder verwerken»» als uitgangspunt te nemen. Het gaat hier om verwerking met afzonderlijk bepaalde doeleinden. Wat betreft artikel 83c, lid 1, onderdelen a tot en met d, wil Nederland het rechtskarakter verduidelijkt zien. Nederland is ook bezorgd over de effecten in economisch opzicht. De vraag is hoe een en ander in bijvoorbeeld de farmaceutische industrie gaat werken. Waar de uitwerking van nieuwe geneesmiddelen moet worden onderzocht, worden door onderzoekers de gegevens gepseudonimiseerd, maar ze moeten wel te herleiden zijn naar de betrokken personen om hen op de hoogte te stellen van later aan het licht getreden bijwerkingen. Dit lijkt nu niet langer mogelijk te zijn. NL is over artikel 83c, leden 2 en 3, van mening dat deze te prescriptief zijn. Zij zijn in wezen beperkingen op de vrijheid van meningsuiting en de academische vrijheid. Beide rechten worden geëerbiedigd in het Handvest voor de Grondrechten, maar van die bescherming wordt weinig werk gemaakt.

Nederland tekent een studievoorbehoud aan bij artikel 84. Daarin wordt de verhouding van de onderzoeksbevoegdheden van de toezichthouder geregeld wanneer het beroepsbeoefenaren met een geheimhoudingsplichten en een verschoningsrecht betreft. De vraag bij dit artikel is of het bedoeling is dat de onderzoeksbevoegdheden van de toezichthouder de bevoegdheid moet of mag omvatten om op het beroepsgeheim een inbreuk te maken, als het belang van de bescherming van gegevens dat vereist. Met andere woorden, of de toezichthouder openlegging van de dossiers van artsen, advocaten of notarissen mag verlangen. Nederland moet nog spreken met de organisaties van beroepsbeoefenaren die onder beroepsgeheim werken. De vraag is ook hoe het zit het met het situaties waarin geen formeel beroepsgeheim met verschoningsrecht bestaat, maar die daarmee wel enigszins te vergelijken zijn. Ambtenaren in Nederland hebben geen verschoningsrecht, maar moeten wel een eed afleggen en zijn ook onderworpen aan tuchtrecht. Dus de vraag is of dit artikel ook van toepassing is op ambtelijke organisaties.

Over artikel 85 (gegevensverwerking door kerkelijke instellingen) bepleit Nederland algehele schrapping. Nederland herhaalt kort een eerdere uiterst kritische interventie. Alles wat kan worden opgevat als een beperking van de vrijheid van godsdienst kan niet op instemming van Nederland rekenen. Daarnaast is het artikel ook tekstueel onbegrijpelijk.

Het resterende deel van de vergaderdag wordt besteed aan een bespreking over de procedure van de benoeming van een nieuwe Europese Toezichthouder voor de Gegevensbescheming. De raadswerkgroep verzoekt om een kennismakingsbijeenkomst met serieuze kandidaten. Dit verzoek zal naar het Coreper te beslissing worden doorgeleid.

Het voorzitterschap start vervolgens discussieronden over enkele thema's die al eerder zijn besproken, maar die nog verdere verdieping behoeven. Het voorzitterschap geeft aan dat deze keer de thema's anonimiseren en pseudonimiseren en profileren op de agenda staan.

Wat betreft het thema anonimiseren en pseudonimiseren heeft Nederland zich altijd goed kunnen vinden in de benadering die onder het Ierse voorzitterschap is gevolgd. Zowel de definitie van gepseudonimiseerde gegevens in artikel 4 (2a) als de uitwerking daarvan in de diverse andere artikelen en overwegingen is wat Nederland betreft in beginsel akkoord, al zijn daar wel enkele opmerkingen bij te maken. De definitie is in de Nederlandse onderzoekssector wel als prescriptief ervaren. Een verplichting tot het treffen van maatregelen om niet-herleidbaarheid te verzekeren is ook moeilijk uitvoerbaar. Een doelbepaling zou beter uitvoerbaar zijn. Het enkele gebruik van anonimisering of pseudonimisering moet worden gezien als een techniek. Het effect daarvan is het verkleinen van risico's.

Dat is in de visie van Nederland niet hetzelfde als het vaststellen van een gerechtvaardigd belang voor gegevensverwerking. Dat is wel wat nu wordt voorgesteld. Aan deze benadering zitten nadelen. Stelplicht en bewijslast voor het bestaan van een gerechtvaardigd belang liggen bij de verantwoordelijke. Wanneer in de verordening wordt aangegeven dat het gebruik van anominisering en pseudonimisering een gerechtvaardigd belang is, of vooronderstelt, kan het effect daarvan zijn dat de bewijslast wordt omgekeerd. Dat is niet wenselijk. Voor het overige kan Nederland, met de indiening van enkele kleinere tekstvoorstellen, een eind meekomen in de benadering van het voorzitterschap.

Nederland beschouwt het geheel van de bepalingen over profileren als een wezenlijke verbetering die de verordening biedt. Het is daarom zaak om bij deze bepaling er niet alleen voor te zorgen dat het bestaande beschermingsniveau gehandhaafd blijft, maar dat die verbetering ook tot uitdrukking komt in dat geheel. Het bestaande recht regelt dat iemand niet onderworpen mag worden aan een beslissing die geheel is totstandgekomen langs geautomatiseerde weg, behoudens uitzonderingen. Wat eraan moet worden toegevoegd is een specifieke regeling voor het opstellen van profielen en het vervolgens gebruiken van die profielen jegens individuen. Dat is wat Nederland betreft in het bijzonder nodig omdat er behoefte is aan een specifieke uitbreiding van de informatieverplichting op dit onderwerp. Het gaat er dus niet om om de tekst van artikel 15 van de bestaande richtlijn te vervangen door een tekst die het profileren regelt, maar die tekst uit te breiden met een dergelijke regeling. De definitie die de Raad van Europa in resolutie CM/REC (2010) 13 heeft vastgesteld levert daarvoor een goede oplossing. Nederland kan, behoudens enkele kleine tekstvoorstellen positief oordelen over de denkrichting in dit document.

Raadswerkgroep 20 en 21 januari 2014

Het voorzitterschap heeft voor deze raadswerkgroep discussiedocumenten opgesteld over de onderwerpen gegevensverwerking voor archiefdoeleinden en historische doeleinden, gegevensverwerking voor wetenschappelijke doeleinden, profilering, anonimisering en pseudonimisering en de verhouding tussen verantwoordelijke en bewerker.

Nederland acht de teksten op het onderdeel gegevensverwerking ten behoeve van archieven en historisch onderzoek verbeterd ten opzicht van de vorige voorstellen. Niettemin blijven er vragen. Nederland concentreert zich in de interventies voornamelijk op het behoud van de gezamenlijke structuur van de bepalingen met betrekking tot de verwerking van gegevens voor historische, statistische en wetenschappelijke doeleinden. Nederland heeft vragen bij het onderscheid dat wordt gemaakt tussen archieven die met het oog op publieke doeleinden of publieke raadpleegbaarheid worden bijgehouden en alle andere archieven. De eerstgenoemde doelstelling is in het stuk nogal breed omschreven, de tweede doelstelling acht Nederland onjuist omschreven. Archivering die niet plaatsvindt uit hoofde van de een specifieke wettelijke taakopdracht, zoals de Archiefwet 1995, is een eigen afzonderlijk doeleinde van een bepaalde gegevensverwerking en niet een vorm van verdere verwerking.

Nederland houdt veel kritiek op de teksten op het onderdeel gegevensverwerking voor wetenschappelijke doeleinden. Nederland is van mening dat in het nieuwe artikel 83c een aantal belemmeringen worden opgeworpen voor de uitoefening van de wetenschap. Zo ziet Nederland in de hele formulering van de bepaling steeds verdergaande nieuwe belemmeringen. Nederland herinnert eraan dat de huidige richtlijn 95/46/EG juist voorziet in enkele gerechtvaardigde uitzonderingen wanneer ten behoeve van de wetenschapsbeoefening grote hoeveelheden data moeten worden verwerkt en de rechten van de betrokkene bij deze massale dataverwerking lastig op individueel niveau kunnen worden uitgeoefend. In plaats van een verruiming wordt nu een beperking van de mogelijkheid om gegevens te verwerken voor wetenschappelijk onderzoek voorgesteld. De wetenschap moet in beginsel vrij zijn van belemmeringen. Vrijheid van wetenschappelijk onderzoek wordt apart gegarandeerd door art. 13 Handvest voor de Grondrechten. Er is bovendien een aspect van de vrijheid van meningsuiting aan verbonden. Het gaat dan niet alleen om gegevensbescherming, maar om een afweging van verschillende grondrechten. Het artikel is nu onvoldoende uitgebalanceerd. De benadering moet volgens Nederland niet zijn dat strikte voorwaarden moeten gelden wanneer een principieel voorondersteld verbod op gegevensverwerking voor historische en wetenschappelijke doeleinden wordt doorbroken. Wel moet men zich richten op de waarborgen die in acht genomen moeten worden wanneer gegevens voor historische en wetenschappelijke doeleinden worden verwerkt. Ook een voorondersteld verbod op wetenschappelijke publicaties waarin persoonsgegevens worden verwerkt, dat slechts onder bepaalde voorwaarden kan worden opgeheven, is niet de juiste weg. Ook hier is Nederland van oordeel dat er slechts ruimte is voor regels voor gegevensbescherming die aansluiten aan het specifieke doeleinde van de gegevensverwerking in wetenschappelijke publicaties.

Het voorzitterschap stelt een nieuw document inzake profilering aan de orde. Nederland plaatst daarbij een studievoorbehoud. Nederland is het eens met definitie waarin aansluiting is gezocht bij de definitie die de Raad van Europa hanteert. Het bewust uiteen laten lopen van definities acht Nederland niet behulpzaam voor de praktijk en voor de toezichthouders. Nederland heeft overigens begrip voor het verlangen van de Commissie om de bestaande regeling over het verbod van geheel geautomatiseerde beslissystemen te behouden. De regeling over het profileren moet daarop voortbouwen in plaats van deze te vervangen.

Een nieuw document over het gebruik van anonimisering en pseudonimisering geeft Nederland aanleiding tot het maken van slechts een enkele opmerking. Nederland meent dat het gebruik van volledige geanonimiseerde gegevens aan deze gegevens het karakter van persoonsgegevens ontneemt, maar dat dit bij pseudonimisering niet het geval is. Wel kan pseudonimisering dienen als een zinvolle risicobeperkende maatregel.

Vervolgens wordt een document aan de orde gesteld over de verhouding tussen verantwoordelijke en bewerker. Nederland pleit voor een totaalbenadering van deze verhouding in het licht van de risicogeoriënteerde benadering, de traditionele rolverdeling en snelle opkomst van cloudcomputing. De verantwoordelijke heeft een groot aantal verplichtingen in de verordening. En het is echt de vraag of al die verplichtingen wel volledig door de verantwoordelijke kunnen worden uitgeoefend in elke denkbare verhouding tussen verantwoordelijke en bewerker. Misschien is het een goed idee om een onderscheid te maken in verschillende verantwoordelijken, bijvoorbeeld op basis van economische criteria, zo suggereert Nederland. Cloudcomputing moet echt beter aan de orde komen in de verordening. De traditionele rolverdeling wordt bij dit fenomeen wezenlijk veranderd. De verordening gaat nog uit van de machtspositie van de verantwoordelijke, maar dat beeld bestaat bij clouddienstverlening niet meer. Daar worden de posities van verantwoordelijke en bewerker bepaald door het aanbod van de bewerker. Nederland acht het niet nodig om bewerkers ook te belasten met het organiseren van een Privacy Impact Assessment. Nederland acht suggesties voor standaardcontractsvoorwaarden tussen verantwoordelijke en bewerker nuttig, maar ziet geen toegevoegde waarde in een verplichtend karakter daarvan. Nederland vraagt verder aandacht voor enkele specifieke vraagpunten die verband houden met cloudcomputing, zoals een «whereabouts» regeling voor gegevens en voorzieningen in geval van faillissement van een cloudprovider. Een duidelijke reactie daarop wordt niet gegeven.

Raadswerkgroep 27 januari 2014

In deze raadswerkgroep is de tweede behandeling van de tekst van de richtlijn gegevensbescherming opsporing en vervolging voortgezet. De behandeling betrof de artikelen 27 tot en met 42 van de richtlijn.

De artikelen 27 tot en met 32 zijn door het Voorzitterschap gezamenlijk aan de orde gesteld.

Met betrekking tot artikel 27 (veiligheid van de verwerking) heeft de Nederlandse delegatie aangegeven in te kunnen stemmen met de schrapping van het derde lid, over de bevoegdheid van de Commissie tot de vaststelling van uitvoeringshandelingen. Ook is Nederland positief over de aanpassing van artikel 28 (notificatie van een datalek aan de toezichthoudende autoriteit). Wel lijkt het raadzaam om de betekenis van het woord «ernstig» in het eerste lid in een overweging nader toe te lichten. Nederland is minder gelukkig met het voorgestelde lid 1a, omdat daarmee de verplichting van het eerste lid wordt ondergraven, en dringt aan op schrapping van dit lid. Nederland plaatst een studievoorbehoud bij artikel 29 (mededeling van een datalek aan de betrokkene). Nederland heeft ernstige bedenkingen bij een meldplicht aan de betrokkene, in lijn met het standpunt over de informatieplicht aan de betrokkene (artikel 11 van de richtlijn). Verder wijst Nederland op de wenselijkheid van een informatieplicht jegens een lidstaat, van wie de gelekte gegevens afkomstig zijn, het lijkt wenselijk om de voorgestelde regeling uit te breiden met een meldplicht jegens die lidstaat. Tenslotte is Nederland geen voorstander van afzwakking van artikel 30 (aanwijzing van een functionaris gegevensbescherming) door in het eerste lid het woord «zal» te vervangen door het woord «kan».

Hoofdstuk V betreft de verstrekking van persoonsgegevens aan derde landen. Nederland handhaaft het studievoorbehoud bij dit hoofdstuk.

Met betrekking tot artikel 33 (algemene beginselen voor de overdracht van persoonsgegevens) steunt Nederland de voorgestelde aanpassing van dit artikel. De toevoeging van onderdeel c is een nuttige aanvulling maar in Nederland worden door de politie ook persoonsgegevens verstrekt aan het Internationaal Strafhof, ten behoeve van de beveiliging van personen. De tekst van onderdeel c biedt daartoe echter weinig ruimte. Voor wat betreft onderdeel e lijkt ook een verwijzing naar artikel 36 noodzakelijk. Ten slotte wijst Nederland op de regeling van artikel van artikel 11 van het kaderbesluit dataprotectie, die voorziet in de mogelijkheid van de verdere verwerking van de verstrekte gegevens voor andere doelen. De vraag is aan de orde of een dergelijke regeling wenselijk is voor de verstrekking van persoonsgegevens aan derde landen.

Met betrekking tot artikel 34 (overdracht met een beslissing over toereikendheid) geeft de Nederlandse delegatie aan dat de hoofdregel, de verstrekking van persoonsgegevens aan landen die volgens de Commissie een toereikend niveau van gegevensbescherming hebben, in de praktijk de uitzondering zal zijn omdat tot nu toe slechts zeven landen aan dit vereiste voldoen. Nederland verwacht dat de opsporing van strafbare feiten kan worden belemmerd, omdat de bronlanden van criminaliteit niet aan het vereiste van een toereikend niveau van gegevensbescherming zullen voldoen. De bescherming van de persoonlijke levenssfeer kan ook worden gewaarborgd door beperking van de aard en omvang van de gegevensverstrekking. Aan dat aspect zou meer aandacht geschonken kunnen worden. Het zesde lid kan worden geschrapt, omdat dit inhoudelijk niets toevoegt.

Met betrekking tot artikel 35 (overdracht op basis van behoorlijke waarborgen) heeft Nederland twijfels over de toegevoegde waarde van onderdeel b van het eerste lid, in het licht van de regeling van het voorgestelde artikel 36, onderdeel d (verstrekking in individuele gevallen). In voetnoot 149 wordt ten onrechte verwezen naar artikel 36, in plaats van artikel 35.

Met betrekking tot artikel 36 (specifieke situaties) verdient het aanbeveling te voorzien in een documentatieplicht, naar het model van artikel 35, tweede lid, evenals een adviesrol voor de nationale toezichthoudende instantie, zodat er meer afstemming kan komen met de beslissingen van de Europese Gegevensbeschermingsautoriteit over de gegevensverstrekkingen aan derde landen.

Naar aanleiding van de behandeling van hoofdstuk VI (artikelen 39 tot en met 42) heeft Nederland niet geïntervenieerd.

Raadswerkgroep 5 en 6 februari 2014

Allereerst wordt gesproken over de werkwijze. Veel lidstaten, Nederland daaronder begrepen, tonen zich geïrriteerd over het grote aantal documenten dat per vergadering wordt besproken en het gebrek aan een duidelijke agenda voor de komende JBZ Raad voor de komende maand. Het uit de verordening lichten van een groot aantal kleine onderwerpen met veronachtzaming van de onderlinge samenhang en de samenhang met de rest van de verordening kan niet op veel begrip bogen.

Vervolgens wordt het onderwerp dataportabiliteit aan de orde gesteld aan de hand van een document met concrete vragen om de discussie aan te scherpen. Nederland heeft bij dit onderwerp altijd aangegeven dat het recht op dataportabiliteit specifiek moet worden toegesneden op «user generated content» in de context van sociale netwerksites. De behoefte aan een specifieke bescherming van betrokkenen in die context kan Nederland zich goed voorstellen. Het voert volgens Nederland te ver om in de context van gegevensbescherming maatregelen in te voeren die consumentenrechten versterken. Het bevorderen van de mogelijkheid om te wisselen van energie- of telecomleverancier is geen taak voor de privacywetgever.

Ook moet het recht op dataportabiliteit in juridisch opzicht beter geformuleerd worden. Verduidelijkt moet worden of na het wegenemen van data een plicht tot wissen bestaat voor de oorspronkelijke verantwoordelijke, of juist niet, en hoe die eventuele plicht zich verhoudt tot wettelijke bewaarplichten en de verwerking van gegevens voor andere doeleinden dan waarvoor ze oorspronkelijk zijn verzameld.

Vervolgens wordt een nieuw discussiestuk over de verhouding verantwoordelijke – bewerker behandeld. Nederland tekent een studievoorbehoud aan. Wat Nederland opvalt is dat de gehanteerde teksten geheel uit van de gedachte dat de relatie controller – bewerker een één-op-één relatie is met een duidelijke onderlinge machtsverhouding. De realiteit is echter dat subbewerkers een belangrijke rol spelen in ketens van subbewerking en dat bij de inhuur van opslag-, transport- en infrastructuurcapaciteit de platformfaciliteiten de verwerking van persoonsgegevens naar de achtergrond raakt. Het zou helpen als er verder wordt nagedacht over deze rollen en er gedifferentieerd kan worden. Nederland meent dat de verordening ook in fundamentele zin meer moet ingaan op de veranderde verhoudingen. Nederland is zeker geen tegenstander van de ontwikkeling van Europese standaardcontracten, maar ziet deze kwestie als zo belangrijk dat regelgeving in dit opzicht niet op voorhand kan worden gemist.

Het onderwerp data protection impact assessments en voorafgaande consultatie van de toezichthouder acht Nederland uit oogpunt van beheersing van de administratieve lasten en nalevingskosten door middel van een risico-georiënteerde benadering een bijzonder belangrijk onderwerp. Nederland meent een beoordeling van de risico's gemoeid met de verwerking moet plaatsvinden aan de hand van criteria die in het lichaam van de verordening zelf en niet in de overwegingen worden vastgesteld. Het betreft criteria als het risico op financiële nadelen, identiteitsdiefstal, het voorkomen van discriminatie, de bescherming van eer en goede naam en het risico op ander onrechtmatig gebruik van gegevens. Een impact assessment moet het risico op het intreden van die gevolgen zichtbaar maken en aangeven welke maatregelen de verantwoordelijke moet treffen om dat verhinderen of te beperken. Wanneer die gevolgen gelet op de kosten van tenuitvoerlegging en de stand van de techniek niet zonder nadere waarborgen voor de bescherming van de persoonlijke levenssfeer kunnen worden aanvaard, is tussenkomst van de overheid gerechtvaardigd. Dat zal wat Nederland betreft niet in de vorm van raadpleging van de toezichthouder, maar in de vorm van instemming van de toezichthouder moeten gebeuren. Raadpleging geeft geen rechtszekerheid en vertroebelt de verhouding tussen hetgeen is gewisseld in een voorafgaande fase en een latere fase waarin misschien moet worden gehandhaafd.

Daarna komt de samenwerking tussen de toezichthouders (one-stop-shop) opnieuw op de agenda. Een gedachtenwisseling daarover is op zijn plaats, na het advies van Juridische Dienst van de Raad. Nederland wijst erop dat de denkrichting in het advies van de Juridische Dienst eigenlijk is dat de juridische problemen alleen volledig opgelost zullen zijn wanneer toezicht op de naleving en handhaving van de verordening in één Europees orgaan zijn geconcentreerd. Dat lijkt echter nauwelijks mogelijk. Daarom zal er een samenwerkingssysteem moeten komen en dat impliceert een competentieregeling en procedureregels. Daarbij moeten duidelijke keuzes worden gemaakt en die keuzes impliceren afwegingen. Het gaat om een afweging tussen belangen van betrokkenen en verantwoordelijken. Hierbij gaat het erom of die afweging redelijk uitvalt of niet. Nederland denkt dat dit wel het geval is geweest in een aantal voorstellen die het vorige voorzitterschap op tafel heeft gelegd. Ineffectiviteit van rechtsbescherming ziet Nederland niet in het feit dat iemand in uitzonderingsgevallen in een ander land naar een toezichthouder moet. Dat is het ook in het huidige model zo geregeld. Wel moet erkend worden dat daaraan doorgaans hogere kosten zijn verbonden. Een perfect model dat alle moeilijkheden oplost lijkt echter niet haalbaar.

Raadswerkgroep 18, 19 en 20 februari 2014

Het eerste onderwerp van deze raadswerkgroep is het onderwerp profileren. Nederland heeft bedenkingen bij de voorgestelde begripsbepaling. Er worden teveel zaken over één kam geschoren. Zo is het echt de vraag of het aanmaken van een profiel in alle gevallen zo schadelijk is dat het datasubject daartegen moet worden beschermd. Het aanmaken van profielen op basis van «big data» is, in die gevallen waarin die verwerking geanonimiseerd geschiedt – en daarom buiten bereik verordening blijft – niet vanzelfsprekend schadelijk. Voor een op één individu toegesneden profiel ligt dat waarschijnlijk anders. Onzekerheid over de reikwijdte kan worden voorkomen wanneer de definities van de Raad van Europa worden gehanteerd.

Daarna komt het onderwerp verwerking van gegevens voor archiefdoeleinden en historische doeleinden aan de orde. Deze onderwerpen zijn in het voorstel van het voorzitterschap nu in afzonderlijke bepalingen geregeld. Nederland moet hier meedelen dat de archiefsector kritisch heeft gereageerd op deze tekstvoorstellen. Bij het opnemen van gegevens in archieven is tevoren niet altijd duidelijk dat die gegevens ooit kunnen dienen bij het voorbereiden of nemen van maatregelen jegens een specifieke betrokkene. Hoe een archiefinstelling deze problemen moet voorkomen is nog niet duidelijk. Ook is niet duidelijk in welke gevallen een verwerking van gegevens wordt beheerst door de bepalingen inzake archieven, inzake historisch onderzoek, inzake de vrijheid van meningsuiting of inzake wetenschappelijk onderzoek valt. Die onzekerheid wordt veroorzaakt doordat in het voorstel niet, zoals in het huidige model, voor deze doeleinden wordt uitgegaan van uitzonderingen op de hoofdregels voor gegevensverwerkingen, maar hun zelfstandige karakter juist wordt benadrukt en op dat zelfstandige karakter vervolgens beperkingen worden aangebracht. Dat is niet alleen tegengesteld aan huidige recht, dat juist een bescheiden verruiming toestaat, maar dat is bovendien in strijd is met de bedoeling van Hoofdstuk IX, waarin nu juist de lidstaten de nodige vrijheid te geven.

Dan heeft Nederland nog veel opmerkingen over de verwerking van gegevens voor wetenschappelijke doeleinden. Nederland is met dit voorstel ontevreden. De gekozen benadering is restrictief ten opzichte van de wetenschap. Het zou juist moeten gaan om het regelen van de consequenties en voorwaarden waaronder persoonsgegevens in wetenschappelijk onderzoek worden verwerkt, in plaats van het opleggen van extra beperkingen naast de geldende regels. Het resultaat is zodoende dat persoonsgegevens alleen mogen worden verwerkt, als het onderzoek niet op een andere manier kan worden gehouden. Dat is geen goede onderlinge verhouding van de grondrechten. Het grondrecht op de vrijheid van wetenschappelijk onderzoek wordt immers ook gegarandeerd in het Handvest voor de Grondrechten. Er kunnen ook moeilijk voorafgaand allerlei beperkingen worden gesteld aan het publiceren van wetenschappelijk onderzoek om de enkele reden dat er persoonsgegevens worden verwerkt. Nederland is mening dat in wetenschappelijke publicaties de nodige waarborgen in acht moeten worden genomen voor de bescherming van de persoonlijke levenssfeer, maar Nederland is niet bereid om de beperkingen op de vrijheid van meningsuiting te aanvaarden.

Vervolgens komt opnieuw de samenwerking tussen de toezichthouders aan de orde. Het Voorzitterschap wil hier opnieuw een algemene discussie over voeren. Nederland bepleit opnieuw dat zowel bedrijven als burgers het meest gebaat zijn bij een onestopshop waarbij één toezichthouder in gevallen van grensoverschrijdende samenwerking de lijnen kan uitzetten, beslissingen kan voorbereiden en nemen, en die ook jegens een bedrijf met een hoofdvestiging kan uitoefenen. Bij competentiegeschillen moet de European Data Protection Board (EDPB) zonodig de knoop kunnen doorhakken met een bindend besluit. In het afgelopen half jaar is duidelijk geworden dat die visie door lang niet alle lidstaten wordt gedeeld. Aandacht is gevraagd vanwege een vermeend gebrek aan nabijheid van het stelsel met de burger om wie het allemaal gaat. Beweerd is dat dit zelfs zover gaat dat de handhaving van de grondrechten onvoldoende is verzekerd. Aandacht is gevraagd voor een gebrek aan voldoende rechtszekerheid bij bedrijven, welk gebrek niet binnen het onestopshop-stelsel kan worden opgelost. Aandacht is ook gevraagd voor grondwettelijke bezwaren die sommige lidstaten hebben opgeworpen. Het lijkt erop dat een de oplossing – die Nederland voor ogen had, en die in grote lijnen door het Voorzitterschap wordt bepleit – onvoldoende draagvlak lijkt te hebben. Nederland meent dat dan op zoek moet worden gegaan naar datgene was de lidstaten bindt, en niet datgene wat ze scheidt. Alternatieven moeten een eerlijke kans krijgen. Een van delegaties heeft een uitgebreid voorstel op tafel gelegd. Nederland wil dat bezien met een positieve blik.

Tenslotte wordt de verhouding tussen de onderhandelingen over de verordening en de lopende onderhandelingen over de herziening van het verdrag van de Raad van Europa over gegevensbescherming (Verdrag nr. 108) besproken.

Belangrijkste punt voor Nederland is dat Verdrag nr. 108 mede betrekking heeft op gegevensverwerking voor doeleinden verband houdende met de nationale veiligheid. Nationale veiligheid valt buiten de bevoegdheden van de Europese Unie. Daarom is de EU, die overigens nog geen lid is van de Raad van Europa en ook nog niet is toegetreden tot Verdrag nr. 108, niet exclusief bevoegd om namens de lidstaten te onderhandelen bij deze herziening. Nederland verlangt, met vele andere lidstaten, een heldere analyse van de bevoegdheidsverdeling en behoudt zich het recht voor om zelf over deze herziening te onderhandelen. Waar dat de onderwerpen betreft waarover de EU wel bevoegdheden heeft zal Nederland dat doen in overeenstemming met de artikelen 4 en 5 van het Verdrag inzake de Europese Unie. Aandacht verdient ook de verhouding tussen de EU en de lidstaten van de Raad van Europa die geen lid van de EU zijn. Voor de laatste groep landen is het geen vanzelfsprekendheid dat er onderhandeld wordt met de EU, die zelf geen lid is van de Raad.

Raadswerkgroep 26 februari 2014

In deze raadswerkgroep is de tweede behandeling van de tekst van de richtlijn gegevensbescherming opsporing en vervolging afgerond. De behandeling betrof de artikelen 48 tot en met 64 van de richtlijn.

Voor wat betreft de hoofdstukken VII en VIII van de richtlijn hebben verschillende delegaties aangedrongen op een nauwe afstemming met soortgelijke bepalingen in de ontwerpverordening. Daartoe zal de afronding van de discussie over die bepalingen afgewacht moeten worden. Verder hebben verschillende delegaties verzocht om verduidelijking van de regeling voor de aansprakelijkheid, in artikel 54 van de richtlijn. De Nederlandse delegatie heeft niet geïntervenieerd.

De behandeling van Hoofdstuk IX (Gedelegeerde handelingen en uitvoeringshandelingen) is door het Voorzitterschap aangehouden.

Hoofdstuk X betreft de slotbepalingen. Naar aanleiding van artikel 58 (intrekkingen) heeft het Voorzitterschap de delegaties verzocht aan te geven in hoeverre het kaderbesluit dataprotectie (kaderbesluit 977/2008) in hun lidstaat is geïmplementeerd. De Nederlandse delegatie heeft aangegeven dat de bepalingen van het kaderbesluit inmiddels zijn geïmplementeerd. Om onheldere situaties te voorkomen, is daarbij geen onderscheid gemaakt tussen de verwerking van persoonsgegevens uitsluitend op nationaal niveau en de verstrekking van persoonsgegevens aan andere lidstaten met het oog op de opsporing en vervolging van strafbare feiten. Nederland ziet meerwaarde in de voorgestelde richtlijn vanwege de toenemende gegevensuitwisseling tussen de lidstaten ten behoeve van de criminaliteitsbestrijding, het is daarvoor van belang dat op EU-niveau een eenduidig kader geldt voor de verwerking van persoonsgegevens met het oog op de opsporing en vervolging van strafbare feiten in de lidstaten.

In artikel 60 van de richtlijn wordt de verhouding tussen de ontwerprichtlijn en reeds bestaande overeenkomsten van de lidstaten met derde landen die regels bevatten over de bescherming van persoonsgegevens, nader geregeld. De Nederlandse delegatie heeft ingebracht dat de precieze betekenis van de door het Voorzitterschap voorgestelde bepaling nadere toelichting verdient, bijvoorbeeld ten aanzien van de gevolgen voor bestaande rechtshulpovereenkomsten. Het precieze onderscheid tussen de eerste twee zinnen van deze bepaling is niet geheel duidelijk. De vraag is aan de orde in hoeverre schrapping van de tweede zin, zoals door een aantal delegaties bepleit, mede in het licht van artikel 351 van het Verdrag inzake de werking van de Europese Unie (VWEU) strekt tot een verplichting tot heronderhandeling van de bestaande overeenkomsten.

Raadswerkgroep 12 en 13 maart 2014

Het Voorzitterschap stelt allereerst een bijgewerkte tekst van het voorstel over de samenwerking tussen de toezichthouders aan de orde. Nederland is positief over de nieuwe teksten, maar heeft nog wel de nodige vragen op detailniveau. De definitie van «lead authority» is verbeterd, maar de formulering van de hoofdregels en de uitzonderingen bij de regeling van de relatieve competentie kan beslist beter. Nederland herinnert nog eens aan een aantal opmerkingen die eerder zijn gemaakt over het niet expliciet voorkomen van de bevoegdheid tot het opleggen van een last onder bestuursdwang of dwangsom. De onzorgvuldige formulering van de bevoegdheid tot het verbieden van een bepaalde verwerking roept in Nederlandse ogen problemen op met de grondwettelijk gewaarborgde vrijheid van meningsuiting. Nederland meent verder dat een lokale autoriteit die in samenwerking met een leidende autoriteit een handhavingsonderzoek doet over een optimaal pakket van bevoegdheden moet blijven beschikken, ook al ligt het zwaartepunt bij de leidende autoriteit. Nederland wil ook in dit opzicht de lidstaten tegemoetkomen die veel belang hechten aan het proximiteitsbeginsel.

Problemen heeft Nederland nog wel met manier waarop competentieconflicten tussen toezichthouders moeten worden opgelost. Dit wordt in het voorstel van het Voorzitterschap trapsgewijs geregeld. Eerst krijgt de EDPB de mogelijkheid een niet bindende opinie uit te brengen. Als dit niet leidt tot overeenstemming is het een bevoegdheid van de Commissie om terzake een uitvoeringshandeling «van algemene strekking» in de zin van artikel 291, lid 2, VWEU vast te stellen. Nederland acht dit een ongelukkige keuze. De bevoegdheid van de Commissie doet onvoldoende recht aan de onafhankelijke positie van de toezichthouders en de EDPB die in de verordening is geregeld. Bovendien is de procedure waarin dit besluit tot stand komt weinig helder geformuleerd. Nederland blijft de voorkeur geven aan een bindende beslissing van competentiegeschillen door de EDPB. Het is Europeesrechtelijk mogelijk de EDPB voor deze beperkte taak als agentschap aan te merken dat bindende besluiten kan nemen. Voordeel daarvan is ook dat deze besluiten vatbaar zijn voor beroep bij het Gerecht.

Het Voorzitterschap stelt vervolgens de Duitse delegatie in staat een eigen voorstel te presenteren voor de oplossing van de samenwerkingsregeling. Het voorstel bestaat uit twee verschillende procedures. Eén om aan een verwerking voorafgaand een rechtmatigheidsoordeel te verkrijgen met een EU-brede werking, en één waarin EU-breed kan worden vastgesteld dat een verantwoordelijke de regels van de verordening niet naleeft. Nederland geeft in een eerste beoordeling aan dat het deze bijdrage aan de discussie zeer op prijs stelt omdat het debat daarmee een nieuwe impuls krijgt. De uiteindelijke doelstellingen van het geheel – rechtszekerheid en effectieve handhaving – deelt Nederland. Ook ziet Nederland positieve punten in onderdelen van de uitwerking, vooral op het onderdeel voorafgaande toestemming en een bindend besluit van de EDPB. Tegelijk ziet Nederland ook bezwaren bij de gecompliceerde opzet van het model en de uitwerking van andere onderdelen.

Raadswerkgroep 24 maart 2014

In deze raadswerkgroep is de derde behandeling van de tekst van de richtlijn gegevensbescherming opsporing en vervolging begonnen, op basis van de door het voorzitterschap opgestelde nieuwe tekst. De behandeling betrof de artikelen 1 tot en met 7 van de ontwerprichtlijn.

Artikel 1 betreft onderwerp en doelstellingen van de richtlijn. Nederland heeft zich redelijk positief getoond over de aanpassingen in dit artikel. De toevoeging «lichamen/entiteiten» vormt een welkome verruiming van de tekst, alhoewel Nederland dit wel graag preciezer gedefinieerd ziet. Nederland verwijst nogmaals naar voetnoot 31 over de administratieve taken van de politie, die zouden ook onder de richtlijn moeten vallen. Nederland heeft een lichte voorkeur voor «openbare orde» in plaats van «openbare veiligheid» in het eerste lid; in ieder geval verdient deze terminologie de nodige uitleg in de overwegingen. Verder steunt Nederland het voorstel van een andere delegatie voor schrapping van de woorden «en voor deze doeleinden», omdat deze woorden de reikwijdte van de bepaling te zeer beperken. Tenslotte Nederland spreekt steun uit voor het voorgestelde nieuwe lid 1a.

Over artikel 2 (toepassingsgebied) heeft Nederland geen opmerkingen ingebracht.

Artikel 3 betreft de definities. Nederland is voorstander van de term «blokkeren» in onderdeel 4, in plaats van «restrictie», en verzoekt te worden toegevoegd in voetnoot 64. Verder kan Nederland uit voetnoot 74 worden geschrapt. Nederland acht de definitie van «profileren» in onderdeel 12a niet erg duidelijk en consistent, de definitie van de Raad van Europa zou beter zijn. Bij onderdeel 14 heeft Nederland twijfels vanwege de beperking tot administratieve en gerechtelijke autoriteiten, de gegevensverwerking door de politie valt hier niet onder. Nederland geeft de voorkeur aan een verwijzing naar «autoriteiten met een publieke taak». Overigens lijkt de tekst van dit onderdeel aanzienlijk te kunnen worden ingekort, omdat er overlap lijkt met de bepalingen waarin het begrip «bevoegde publieke autoriteit» daadwerkelijk wordt gebruikt.

Naar aanleiding van het eerste lid, onderdeel b, van artikel 4 merkt Nederland op dat de verdere verwerking van persoonsgegevens voor verenigbare doelen niet is geregeld, dit betreft een omissie die aanvulling behoeft. In het kaderbesluit was een dergelijke verstrekkingsgrondslag niet noodzakelijk, omdat dit kaderbesluit uitsluitend regels bevatte voor de verstrekking van persoonsgegevens aan andere lidstaten. De voorliggende richtlijn is echter ook van toepassing op de nationale gegevensverwerking. Nederland steunt het voorstel van een andere delegatie om aan dit artikel een nieuw lid toe te voegen waarin wordt geregeld dat persoonsgegevens worden gewist of geanonimiseerd als ze niet meer nodig zijn voor de doelen waarvoor ze zijn verzameld of verwerkt.

Over artikel 5 (onderscheid tussen verschillende categorieën betrokkenen) heeft Nederland geen opmerkingen ingebracht, omdat deze bepaling is geschrapt.

Het Voorzitterschap licht toe dat de nieuwe tekst van artikel 6 is gebaseerd is op artikel 8 van het kaderbesluit dataprotectie en verwijst tevens naar een soortgelijk voorstel van een andere delegatie, dat is opgenomen in voetnoot 104.

Nederland signaleert dat de nieuwe tekst van dit artikel een meer verplichtend karakter heeft dan de regeling van het kaderbesluit dataprotectie, vanwege de schrapping van de woorden «voor zover mogelijk» en vraagt zich of tot wie deze bepaling zich precies richt. Anders dan het voorstel in voetnoot 104 geldt dit artikel ook voor de verstrekking van persoonsgegevens aan de autoriteiten in eigen land. Voorts heeft Nederland aangegeven te betwijfelen of de laatste zin van dit artikel wel uitvoerbaar is, mede gelet op de ontwikkeling van informatiesystemen die de mogelijkheid bieden gegevens langs geautomatiseerde weg beschikbaar te stellen. Dit artikel vereiste nadere studie.

Over artikel 7 heeft Nederland geen opmerkingen ingebracht.

Raadswerkgroep 31 maart en 1 april 2014

Ter uitvoering van de beslissing van de informele JBZ Raad van januari 2014 wordt allereerst een bijgewerkte tekst van Hoofdstuk V van de verordening (doorgifte van gegevens naar derde landen) besproken. In de bijgewerkte tekst is een voorstel opgenomen om het begrip «internationale organisatie» te definiëren. Dat is nodig omdat het nieuwe hoofdstuk ook voorziet in regeling van de doorgifte van gegevens naar deze organisaties. Het is dan van belang dat duidelijk is of ook organisaties die ter uitvoering van een niet-bindend MoU zijn opgericht of dat privaatrechtelijk vormgegeven organisaties ook als zodanig moeten worden aangemerkt. Nederland dringt aan op verduidelijking terzake.

Bij het stelsel van «toereikendheidsbeoordelingen» maakt Nederland nogmaals de opmerking dat in Hoofdstuk V een fundamentele keuze wordt gemaakt die niet alleen voordelen heeft. Thans is het primair zaak van de verantwoordelijke om te beoordelen of een derde land een voldoende niveau van gegevensbescherming heeft en waarbij een beslissing van de Europese Commissie terzake een hulpmiddel is. In de verordening verdwijnt die vrijheid en wordt die vervangen door regulering. Veel landen zijn hiervan voorstander, Nederland niet zonder meer.

Indien niet kan worden teruggevallen op een toereikendheidsoordeel, moet een doorgifte op een andere rechtsgrondslag worden gebaseerd. Dat kunnen bijvoorbeeld standaardcontractsvoorwaarden of intern bindende bedrijfsvoorschriften zijn. Het is echter niet altijd mogelijk om alle denkbare risico's goed te beheersen met deze grondslagen. Nederland is er daarom voorstander van om als sluitstuk van de regeling van de doorgiften een toestemmingsregeling te introduceren. Restrisico's kunnen dan onder voorwaarden worden gemitigeerd met vergunningvoorschriften, net zoals in het huidige stelsel. Nederland steunt een voorstel daartoe van een van de andere lidstaten. Dat voorstel moet echter technisch nader worden uitgewerkt.

Voor Nederland is de bescherming van nationale gegevensverwerkingen waarin de gegevens van burgers zijn opgeslagen van groot belang. Nederland heeft een voorstel ingediend dat de Uniewetgever en de nationale wetgever de bevoegdheid verleent om bij wet te bepalen dat om redenen van zwaarwegend algemeen belang gegevensverwerkingen kunnen worden aangewezen die niet aan derde landen mogen worden doorgegeven. Hoewel dit voorstel de steun krijgt van het Voorzitterschap en de Commissie, krijgt het niet voldoende steun van andere lidstaten om het met een redelijke kans op succes te verdedigen. Nederland moet daarom bezien hoe de beoogde bescherming op andere wijze kan worden gerealiseerd. De constructie van Hoofdstuk V laat echter niet veel ruimte voor voorstellen die gelijkwaardig zijn aan het Nederlandse voorstel. Bezien moet worden of een toestemmingsregeling toch een oplossing kan bieden.

Verder wordt het onderwerp dataportabiliteit opnieuw aan de orde gesteld. De bijgewerkte voorstellen van het Voorzitterschap bieden verbetering, met name in de vorm van een uitzondering voor de publieke sector, waar vele lidstaten – ook Nederland – om vroegen. Enkele hoofdzaken zijn echter nog niet naar tevredenheid geregeld. Zo is nog altijd niet duidelijk wat het «terugtrekken» (withdraw) van gegevens betekent. Vraag blijft of de verantwoordelijke nadat de gegevens zijn teruggetrokken door de betrokkene nu wel of niet mag blijven verwerken, en wat de verhouding is tot bestaande bewaarplichten. Nederland vindt ook dat de context waarin het recht moet worden uitgeoefend meer moet worden toegesneden op de sociale media, waarvoor het recht tenslotte bedoeld is. En de regeling van formats waarin de gegevens moeten worden gegoten kan volgens Nederland bij voorkeur in een gedragscode worden geregeld.

De Staatssecretaris van Veiligheid en Justitie, F. Teeven

Naar boven