32 761 Verwerking en bescherming persoonsgegevens

Nr. 48 BRIEF VAN DE STAATSSECRETARIS VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 26 april 2013

In het algemeen overleg van 7 maart 2012 (Kamerstuk 32 761, nr. 27) heb ik u toegezegd u periodiek op de hoogte te houden van de stand van zaken over de onderhandelingen in Brussel over de Algemene verordening gegevensbescherming en de richtlijn gegevensbescherming opsporing en vervolging.

In deze brief doe ik verslag van de onderhandelingsronden die in januari, februari en maart 2013 hebben plaatsgevonden. Het betreft de eerste helft van de periode waarin Ierland het voorzitterschap van de Raad bekleedt. Het Ierse voorzitterschap heeft gegevensbescherming tot prioriteit uitgeroepen. Dat heeft zich vertaald in een sterke verhoging van de frequentie, duur en intensiteit van de onderhandelingen. Ierland heeft heeft daarbij de lijn van het voorgaand voorzitterschap voortgezet door enerzijds de artikelsgewijze behandeling van verordening en richtlijn voort te zetten en anderzijds algemene thema's te behandelen. In deze verslagperiode is slechts één vergadering aan de richtlijn gewijd. Alle overige vergaderingen betreffen de verordening.

Aan het slot van deze brief doe ik de toezegging gestand die ik deed in het algemeen overleg van 6 maart 2013 over de JBZ-Raad van 7 en 8 maart 2013 (Kamerstuk 32 317, nr. 171) om een korte reactie te geven op de brief van het College bescherming persoonsgegevens aan u van 4 maart 2013.

Onderhandelingen 8 en 9 januari 2013

Het voorzitterschap besluit om de onderhandelingen over de artikelen 43 tot en met 46 van de verordening uit te stellen en stelt daarom nu Hoofdstuk VI aan de orde, waarin de positie van de onafhankelijke toezichthouders is geregeld.

Artikel 46 voorziet in de verplichting van de lidstaten om een onafhankelijke toezichthouder in te stellen. Nederland stelt daarbij de vraag of dit artikel uitsluit dat meer dan één toezichthouder kan worden ingesteld, zodat de bestaande situatie kan worden gehandhaafd, waarbij het College bescherming persoonsgegevens (Cbp) en de Onafhankelijke Post- en Telecommunicatieautoriteit (OPTA) beiden taken vervullen voor de handhaving van de bescherming van persoonsgegevens. De verordening sluit dat niet uit, zo blijkt uit de behandeling.

In artikel 47 is de onafhankelijke positie van de toezichthouder gegarandeerd. Inzake art. 47, lid 5, spreekt het wat Nederland betreft voor zich dat elke lidstaat gehouden is de toezichthouder op redelijke en evenredige wijze in staat te stellen zijn taken en bevoegdheden onder de verordening en nationaal recht uit te kunnen oefenen. Nederland komt die verplichting na. Maar redelijkheid en evenwichtigheid staat onder de huidige omstandigheden ook in het teken van de dringende noodzaak overheidsuitgaven terug te dringen. Dit is te meer van belang nu dit artikellid met het grondwettelijk vastgelegd budgetrecht interfereert. Nederland meent dat de Nederlandse begrotingswetgever uiteindelijk bepaalt wat passend is in de zin van artikel 47, lid 5. En die redelijkheid en onevenwichtigheid mag ook niet gebaseerd zijn op de gedachte dat voor de handhavingstaak van de toezichthouder uitgegaan moet worden van een 100% handhavingsniveau. Dat is niet realistisch en vanuit een effectieve en efficiënte besteding van overheidsmiddelen ook niet wenselijk. Bij art. 47, lid 7, stelt Nederland dat controles op het Cbp en het Ministerie van Veiligheid en Justitie door de Algemene Rekenkamer geen probleem mogen vormen. Art. 47, lid 7, leidt tot de verplichting om het budget van de toezichthouder te scheiden van de budgetten van andere instellingen. Daaraan kunnen lastige interne gevolgen uit oogpunt van de Comptabiliteitswet 2001 verbonden zijn en daarom maakt Nederland hier een voorbehoud.

Artikel 48 bevat de algemene bepalingen voor de benoeming van leden van de toezichthouders. Nederland acht artikel 48, lid 2, dat kwaliteitseisen bevat voor deze leden te onbepaald. Artikel 48, lid 4, bevat de mogelijkheid om bij ontslag van een lid van de toezichthouder het pensioen te korten of pensioenrechten bij wijze van sanctie te ontnemen. Deze regeling is onverenigbaar met het Nederlands pensioen- en ambtenarenrecht en daarom voor Nederland onaanvaardbaar.

De artikelen 49 en 50 bevatten bepalingen over, respectievelijk, de inrichting van de nationale instellingswet en het ambtsgeheim voor de toezichthouder. Deze bepalingen gaven geen aanleiding voor een interventie.

In artikel 51 is de belangrijke regeling van de bevoegdheid van toezichthouders in de EU neergelegd. Hoofdregel is dat de toezichthouder op het eigen territoir de bevoegdheden uitoefent, maar dat bij grensoverschrijdende aspecten de toezichthouder bevoegd is van de lidstaat waar de hoofdvestiging van de verantwoordelijke is gevestigd. Deze bepaling is in het concept van de verordening zeer belangrijk. De bepaling geeft echter ook aanleiding tot zeer veel vragen. Nederland stemt in met het one stop shop-principe, maar heeft nog wel de nodige vragen bij de invulling daarvan. De eerste vraag van Nederland bij art. 51, lid 2, is wat het verwerken van persoonsgegevens in het kader van een vestiging betekent. De vraag is dus of er ook verwerkingen buiten het kader van een vestiging kunnen worden verricht. Het is immers zo dat iedereen uiteindelijk wel ergens gevestigd is, ook al worden data door de verantwoordelijke feitelijk mobiel verwerkt. De tweede vraag van Nederland is of het criterium van de hoofdvestiging dat gedefinieerd is in artikel 4, onder 13, van de verordening in de praktijk niet voor bijzonder veel interpretatieproblemen kan zorgen. Wanneer de plaats waar de beslissingen worden genomen verschilt van de plaats waar een eventuele centrale verwerking plaatsvindt, kan dat lastig te bepalen zijn. De derde vraag van Nederland is of de keuze van de hoofdvestigingsregel niet voor nodeloos veel problemen zal zorgen. Het is ogenschijnlijk aantrekkelijk voor bedrijven, die met één vaste toezichthouder te maken hebben, maar onaantrekkelijk voor betrokkenen die zich tot een buitenlandse toezichthouder moeten richten, als ze feitelijk al kunnen begrijpen dat dit de bedoeling is. Daarin ligt het gevaar dat dit leidt tot een overvraging van de nationale toezichthouder waartoe betrokkenen zich dan zullen moeten richten. Verder is het een redelijk belang van de toezichthouders om zonder middeling van de EDPB te kunnen zien wat zich aan gegevensbeschermingszaken op het eigen grondgebied afspeelt. Een alternatief is dan om de nationale toezichthouder algemeen bevoegd te maken voor elke verwerking die op het grondgebied van de nationale staat plaatsvindt te regelen, waarna bij bestaande grensoverschrijdende aspecten het consistency mechanisme moet worden geadresseerd met het doel een «lead authority» aan te wijzen die in het vervolg als enig contactpunt voor verantwoordelijke en betrokkenen kan fungeren, zo hebben vele lidstaten, en ook Nederland, voorgesteld. In dit verband verdient ook artikel 73 aandacht, omdat het om dezelfde redenen niet wenselijk is dat elke betrokkene in elke lidstaat naar elke toezichthouder mag gaan om daar elke klacht in te dienen.

In artikel 52 is een opsomming gegeven van de taken van de toezichthouder. Nederland vraagt of met de tekst van de verordening gesuggereerd wordt dat er een verplichting bestaat voor de toezichthouder om alle opgesomde bevoegdheden daadwerkelijk uit te oefenen. De vraag is of prioritering van de taken niet bij de toezichthouder zelf moet worden gelaten. Dat spreekt temeer nu de toezichthouders in een tijd van vergaande budgettaire beperkingen minder financiële armslag zullen hebben. Nederland mist ook de bevoegdheid van de toezichthouder om wetgevingsadvies te kunnen uitbrengen aan de wetgevers van de lidstaten. Het verdient de voorkeur die bevoegdheid hier te regelen in plaats van in artikel 34, lid 7. Bij artikel 52, lid 6, stelt Nederland dat de bevoegdheid om een vergoeding te vragen voor werkzaamheden in gevallen van nodeloos herhaalde of buitensporig omvangrijke verzoeken in verband met nationale begrotingssystematieken beter aan de wetgeving van de lidstaten kan worden overdragen. Verder is het de vraag van Nederland hoe deze regeling zich verhoudt tot artikel 53 van het Handvest voor de Grondrechten van de EU, omdat er een financiële drempel wordt opgeworpen bij de uitoefening van grondrechten.

Artikel 53 bevat een opsomming van de bevoegdheden van de toezichthouder.

Nederland plaatst een studievoorbehoud. Bij art. 53, lid 1, stelt Nederland dat de verhouding tussen artikel 53 en het nationale bestuursrecht van de lidstaten hier nadrukkelijk de aandacht vraagt. Nederland is bezorgd dat de regeling in artikel 53 ertoe kan leiden dat de toezichthouder op onderdelen minder bevoegdheden zal overhouden dan ze nu heeft. De vraag is daarom allereerst of de opsomming in art. 53, lid 1, limitatief van aard is en of de lidstaten in hun nationale bestuursrecht bevoegdheden die de toezichthouder nu heeft mogen houden. Naast de bevoegdheden als zodanig, vraagt ook de wijze van uitoefening ervan de nodige aandacht. De nationale bestuursrechtelijke wetgeving biedt thans regels voor de voorbereiding van besluitvorming, het evenredigheidsbeginsel, en een motiveringsplicht. Bij de oplegging van maatregelen die als sanctie moeten worden gekwalificeerd – en dat gaat veel verder dan alleen het opleggen van bestuurlijke boetes – biedt de wetgeving waarborgen die ook in het strafrecht voorkomen als het nemo tenetur-beginsel, de cautie en het zwijgrecht. Dit alles ontbreekt in de verordening, zodat moet worden teruggevallen op enkele bepalingen in het Handvest voor de Grondrechten en de de jurisprudentie van het Hof van Justitie, die minder veelomvattend is. Bij artikel 53, lid, 1, sub a, (een algemeen omschreven bevelsbevoegdheid) stelt Nederland dat deze bevoegdheid minder ver gaat dan de in het Nederlandse bestuursrecht bestaande bevoegdheid tot het opleggen van een last onder bestuursdwang, die in Nederland overigens met specifieke eisen en waarborgen is omringd. Het bestuursorgaan dat die bevoegdheid heeft, heeft in Nederland krachtens de Algemene wet bestuursrecht ook de bevoegdheid tot opleggen van een dwangsom. Dergelijke bevoegdheden zijn zeer effectief. Zij zijn niet gericht op het bestraffen van daders, maar gericht op het herstel van de toestand zoals die was voordat een overtreding plaatsvond. Die bevoegdheden bestaan ook in andere lidstaten. De vraag is waarom deze bevoegdheden geen plaats krijgen in de verordening. Verder is het de vraag waarom een bevel van de toezichthouder alleen mag worden gegeven wanneer de bescherming van de betrokkene daardoor verbetert. Dit is voor de toezichthouder een tamelijk zware bewijslast. Artikel 53, lid 1, sub e, (het waarschuwingsrecht) lijkt wat Nederland betreft een overbodigheid. Bovendien is een min of meer formeel ingeklede waarschuwing een bron van potentiële conflicten zijn over het rechtskarakter van een dergelijke waarschuwing. Bij art. 53, lid 1, sub g, (een bevoegdheid tot het verbieden van verwerkingen) vraagt Nederland wat de verhouding is van dit verbod tot andere grondrechten. Met name de vrijheid van meningsuiting en de vrijheid van godsdienst. Het kan wat Nederland betreft in geen geval ooit om een voorafgaand verbod gaan. Bij art. 53, lid 1, sub h, (opschortingsrecht voor data-export naar derde landen) stelt Nederland de vraag hoe moet het als de verantwoordelijke verplicht is krachtens buitenlands recht bepaalde gegevens aan een derde land door te geven. Bij art. 53, lid 1, sub j, (zelfstandig informatierecht jegens het parlement) stelt Nederland dat voor zover het betreft het informeren van het nationale parlement, deze bevoegdheid constitutioneelrechtelijk een probleem voor Nederland is. Ministers en staatssecretarissen informeren volgens de Grondwet het parlement, omdat zij als enige tegenover het parlement verantwoordelijkheid dragen. Toezichthouders zijn niet politiek verantwoordelijk. Daar past dan ook geen bijzondere positie op hert vlak van de informatievoorziening bij. Dat onderdeel zal moeten worden geschrapt. De vraag is ook wat de informatieplicht aan het publiek over «elke» zaak betreffende gegevensbescherming betekent. Verduidelijkt moet worden of dit dit bedoeld is als een bevoegdheid tot «naming and shaming» (het bekendmaken van de namen van aangepakte overtreders) door de toezichthouder. Nederland heeft hier aarzelingen bij. In het Nederlands recht kan deze bevoegdheid worden geschaard onder de Wet openbaarheid van bestuur en is de uitoefening ervan ingekaderd door de rechtspraak. Bij art. 53, lid 2, stelt Nederland dat ook wat de onderzoeksbevoegdheden betreft de verordening een stap terugdoet. Bevoegdheden tot het vorderen van inlichtingen moeten niet alleen tot de verantwoordelijke of de bewerker worden gericht, maar ook tot derden of de betrokkene. Er zijn geen bevoegdheden tot het vaststellen van de identiteit van ondervraagde personen. Er bestaat geen bevoegdheid tot het binnentreden van woningen – uiteraard onder de gebruikelijke wettelijke waarborgen. Er bestaat geen bevoegdheid tot het meenemen en kopiëren van gegevens en gegevensdragers. Er bestaat geen bevoegdheid tot het onderzoek van vervoermiddelen. Nederland kan zich voorstellen dat deze bevoegdheden in andere lidstaten niet bestaan, en daar misschien minder goed in het rechtsstelsel passen, maar deze regeling betekent voor Nederland een duidelijke stap achteruit. De vraag is daarom of het een oplossing is de regeling in de verordening als minimumniveau aan te merken, en de lidstaten de bevoegdheid te verlenen bij nationale wet aanvullende bevoegdheden te verlenen. Op art. 53, lid 3, komt Nederland terug bij de behandeling van de artikelen 74 en 75.

Artikel 54 bevat de verplichting van de toezichthouder een jaarverslag vast te stellen en openbaar te maken. Deze verplichting gaf geen aanleiding tot interventies door Nederland.

Het voorzitterschap stelt de behandeling van de artikelen 55 tot en met 63 uit en vervolgt met Hoofdstuk VII, afdeling 3, waarin het Europees Comité voor Gegevensbescherming (EDPB) wordt geregeld.

Artikel 64 regelt de instelling en samenstelling van de EDPB. Nederland is voorstander van een EDPB, maar heeft wel vragen bij de samenstelling van dat orgaan. Met name de rol van de Commissie daarin geeft aanleiding tot vragen. Nederland kan zich voorstellen dat de Commissie een bepaalde informatiebehoefte heeft over de manier waarop de verordening wordt uitgevoerd en de de afstemming met de eigen bevoegdheden tot handhaving van de Verdragen te verzekeren. Er zijn natuurlijk verschillende methoden om in die behoefte te voorzien. Een daarvan is dat de Commissie samenwerkt met de EDPB. Het komt er echter wel op aan die rol met inachtneming van de juiste verhoudingen in te vullen, vindt Nederland. De EDPB is onafhankelijk. Bovendien is de EDPB samengesteld uit leden die zelf ook onafhankelijk zijn. Die onafhankelijkheid brengt met zich dat de EDPB zijn taken en bevoegdheden onafhankelijk van alle andere instituties, hetzij op Unieniveau, hetzij op lidstaatniveau uitoefent. De Commissie heeft een andere positie. Zij is verantwoording schuldig aan het Europees Parlement, en als zodanig niet onafhankelijk. Dan past het niet dat de Commissie een afdwingbaar recht heeft om deel te nemen aan alle activiteiten en vergaderingen van de EDPB. Want de Commissie heeft het recht op deelname aan «alle activiteiten». Dat is volgens Nederland niet vrij van beïnvloeding van de EDPB. Het zou de Commissie – die blijkens verschillende inbreukprocedures zelf op weinig bescheiden wijze aangeeft uitzonderlijk veel belang te hechten aan de onafhankelijke positie van toezichthouders – sieren als ze hier een stap terugzet. Nederland kan zich voorstellen dat de EDPB de Commissie een «standing invitation» geeft.

In de artikelen 65 en 66 worden de onafhankelijke positie en de taken van de EDPB geregeld. Nederland vraagt zich af wat in artikel 65, lid 2, het woord «onverminderd» betekent. Een verzoek van de Commissie iets in behandeling te nemen kan toch niet een instructie zijn, aldus Nederland. Nederland is voor schrapping van dit gedeelte van de zin. Bij art. 66, lid 1, vraagt Nederland zich af of de EDPB geen adviesrecht moet krijgen op gedelegeerde en uitvoeringshandelingen. Verder is daar nog de kwestie van de representativiteit van de activiteiten van de EDPB. Een van de – naar het oordeel van Nederland terechte – kritiekpunten op het functioneren van het bestaande Artikel 29 Comité is dat de opinies tot stand komen in een sfeer van afgeslotenheid van de samenleving en te weinig contact met vertegenwoordigers van verantwoordelijken en betrokkenen. Dit doet afbreuk aan het gezag van de opinies. Voorkomen moet worden dat de opinies van de EDPB worden weggezet als «maar» een opinie. Dan is er nog de vraag van Nederland naar het rechtskarakter van een opinie van de EDPB op ontwerpbeslissingen van toezichthouders. Als het gaat om een beslissing naar het toepasselijk recht, dan kunnen daar soms grote belangen achter zitten. Dit kan in potentie leiden tot serieuze rechtsgeschillen. De vraag is ook of besluiten in de EDPB uiteindelijk toegerekend worden aan de toezichthouder die uiteindelijk worden aangewezen als bevoegd.

De artikelen 67 (activiteitenverslag EDPB) en 68 (procedureregeling EDPB) geven Nederland geen aanleiding voor een interventie.

Artikel 69 geeft de regeling over het voorzitterschap van de EDPB. De regeling voorziet in een vaste post als vicevoorzitter voor de Europese Toezichthouder voor de Gegevensbescherming (EDPS). Nederland vindt dat art. 69, lid 1, met alle respect voor het ambt van de EDPS, en de persoon die dit ambt thans bekleedt, geen gelukkige constructie. Gezien de omstandigheid dat de EDPS ook in het secretariaat moet voorzien, is het de vraag of dan een permanente verkiezing tot voorzitter nog te vermijden valt. Nederland heeft daarom de voorkeur de verkiezing van alle vicevoorzitters over te laten aan de EDPB zelf. Bij artikel 69, lid 2, vraagt Nederland zich af hoe het voorzitterschap moet worden gezien. Dat zal toch een kwestie van persoonlijke vervulling moeten zijn, en niet als vertegenwoordiger van een toezichthouder uit een lidstaat. De benoemingstermijn van vijf jaar houdt ook geen rekening met de omstandigheid dat de voorzitter op grond van de werking van het recht van de lidstaten zijn lidmaatschap van de EDPB kan verliezen. Geregeld moet daarom worden dat verlies van de hoedanigheid van toezichthouder op grond van het recht van de lidstaten van rechtswege leidt tot het verlies van het lidmaatschap en het voorzitterschap of vicevoorzitterschap van de EDPB.

De artikelen 70 (taken voorzitter), 71 (instelling secretariaat EDPB) en 72 (vertrouwelijkheid beraadslagingen EDPB) geven Nederland geen aanleiding tot interventies.

Het voorzitterschap stelt vervolgens Hoofdstuk VII, afdelingen 1 en 2, samenwerking en conformiteitsmechanisme voor toezichthouders aan de orde.

In artikel 55 is de verplichting tot wederzijdse bijstand geregeld. Nederland is het eens met deze regeling, maar meent dat de vormgeving aanzienlijk eenvoudiger geregeld kan worden, en zoveel mogelijk in praktische zin door de EDPB kan worden geregeld.

In artikel 56 is een regeling over gemeenschappelijke operaties van toezichthouders geregeld. Nederland heeft daarop niet geïntervenieerd.

In de artikelen 57, 58 en 59 zijn aspecten van het consistentiemechanisme opgenomen. Dit mechanisme voorziet in onderlinge gestructureerde afstemming van grensoverschrijdende handhavingszaken door toezichthouders in de EDPB. Nederland onderschrijft het belang van een samenwerkingsmechanisme, maar heeft wel zorgen over de kosten en de uitvoerbaarheid. Nederland heeft twijfels bij de reactie van de Commissie op een mogelijke overbelasting bij dit mechanisme. Waar bevoegdheden worden gegeven, worden deze ook gebruikt, zo is de ervaring. Nederland hecht verder zeer aan de onafhankelijkheid van de toezichthouders en de EDPB. Het is belangrijk dat deze organen vertrouwen krijgen en opbouwen. Nederland is daarom geen voorstander om dit te vermengen met bevoegdheden van de Commissie. Het is wel belangrijk om de stelsels op elkaar af te stemmen en overleg te plegen wanneer toepassing aan bevoegdheden moet worden gegeven en er gevaar voor collusie is. Op dit moment is volgens Nederland nog niet de juiste balans gevonden. Naar aanleiding van de toelichting van de Commissie moet ook art. 58, lid 8, worden aangepast, omdat er blijkbaar geen bindende besluiten door de EDPB genomen kunnen worden.

Friends of the Presidency 10 januari 2013

In deze bespreking is een uitsluitend oriënterende bespreking gevoerd over de bestuursrechtelijke boete (artikel 79) en de bepalingen over de bijzondere gegevensverwerkingen (artikelen 80 tot en met 85).

Wat artikel 79 betreft is Nederland voorstander van een robuust sanctieregime. Nederland kan de voorgestelde boetehoogte in zijn algemeenheid onderschrijven. Wel heeft Nederland ernstige bedenkingen bij het open karakter van veel bepalingen en het onvoldoende tonen van bereidheid door de Commissie om de consequenties van de keuze van het instrument verordening te aanvaarden. Een verordening is immers verbindend in al haar onderdelen en rechtstreeks toepasselijk. Het uit artikel 7 van het Europees Verdrag tot bescherming van de Rechten van de Mens en de fundamentele vrijheden (EVRM) voortvloeiende «lex certa» beginsel verplicht tot het verschaffen van duidelijkheid dor de wetgever over de inhoud van de normen in relatie tot hun sanctionering. Dat beginsel geldt ook voor de Europese Unie. Grote zorgen heeft Nederland over het ontbreken van expliciete procedurele waarborgen bij de oplegging van bestuurlijke boetes onder de verordening en onduidelijkheid over het al of niet bestaan van de bevoegdheid of verplichting van de nationale wetgever om naast de in de verordening geregelde sancties andere bestuurlijke sancties of strafsancties te stellen op overtreding van de verordening. Die bevoegdheid bestaat thans ook. Nederland meent dat een eventueel verlies daarvan een duidelijke stap achteruit is.

Bij de bespreking van de artikelen 80 tot en met 85 heeft Nederland veel inspiratie kunnen putten uit de voorlichting van de Afdeling advisering van de Raad van State van 28 juni 2012, nr. W03.12.0188. De onderhandelingsdelegatie heeft deze voorlichting als een steun in de rug ervaren.

Zo heeft Nederland zich bij artikel 80 dat betrekking heeft op de vrijheid van meningsuiting geconcentreerd op de vraag waarom de meest recente jurisprudentie van het Hof van Justitie van de EU hier niet tot uitgangspunt is genomen en op vraag hoe in een wereld van sociale netwerksites «journalistiek» dient te worden opgevat. Daarnaast is gekeken naar de betekenis van tekstuele verschillen tussen artikel 80 en artikel 9 van de geldende richtlijn.

Bij artikel 81 dat betrekking heeft op de verwerking van gegevens betreffende de gezondheid is Nederland sterk voorstander van de verplichting op lidstaatniveau eigen regel betreffende de verwerking van gegevens betreffende de gezondheid te verwerken. De reikwijdte van de bevoegdheid is echter te beperkt. Maatschappelijk volstrekt aanvaardbare beperkingen van de bescherming van persoonsgegevens ten behoeve van andere verzekeringen dan alleen ziektekostenverzekeringen zijn hard nodig. De vraag is ook of alle overige verwerkingen van gegevens betreffende de gezondheid van publiekrechtelijke en privaatrechtelijke aard wel afdoende zijn afgedekt door deze bepaling.

Artikel 82 bevat een bevoegdheid voor de lidstaten om eigen regels vast te stellen met betrekking tot de verwerking van gegevens in de arbeidsrechtelijke context. Nederland is blij met deze flexibiliteit, maar vraagt zich ook hier af waar die flexibiliteit wordt begrensd. Die vraag leeft bij veel lidstaten. Het arbeidsrecht heeft in Nederland een gelaagde structuur. Naast formele wetgeving is veel arbeidsrecht neergelegd in collectieve arbeidsovereenkomsten, en in steeds toenemende mate in individuele arbeidsovereenkomsten en dienstverrichtingsovereenkomsten. De vraag is of artikel 82 ook andere instrumenten dan alleen formele wetgeving bestrijkt. Ook wat betreft de wetgeving zijn er vragen. Met name over de vraag of de uitzondering beperkt moet worden opgevat, zodat deze alleen betekenis zou hebben voor de arbeidsovereenkomst op zichzelf, of dat beoogd is het publiekrechtelijk arbeidsrecht ook te bestrijken. En, samenhangende daarmee, of ook het sociale verzekeringsrecht (de werknemersverzekeringen) en het pensioenrecht mede worden begrepen.

Artikel 83 betreft de speciale problematiek van de verwerkingen voor statistische, historische en wetenschappelijke onderzoeksdoeleinden. Dit onderwerp is slecht zeer summier aan de orde geweest. Er volgt een afzonderlijk beraad over op een later tijdstip.

Artikel 84 betreft de mogelijkheid om op nationaal niveau te regelen dat toezichthouders onderzoeksbevoegdheden krijgen om ook onderzoeken te openen naar gegevensverwerking in sectoren waar een beroepsgeheim een bijzondere bescherming verschaft, zoals bij medische beroepsbeoefenaren en advocaten en notarissen. Het roept de vraag op of dit artikel dwingt tot het opzij zetten van dergelijke beroepsgeheimen ten behoeve van de toezichthouders.

Artikel 85 bevat een bepaling die bij inwerkingtreding van de verordening bestaande verwerkingen van persoonsgegevens door kerkelijke en levensbeschouwelijke instellingen beschermt, maar blijkbaar geen nieuwe verwerkingen toelaat. Nederland wijst dit artikel beslist van de hand. De vrijheid van godsdienst en de vrijheid van vereniging mogen op geen enkele manier ongerechtvaardigd worden beperkt. En het is de vraag of dat hier niet gebeurd, omdat het de schijn opwekt dat kerkelijke en levensbeschouwelijke instellingen in toekomst activiteiten ontzegd worden die zij thans wel zouden mogen verrichten. Artikel 17 van het Verdrag betreffende de werking van de Europese Unie (VWEU) dwingt bovendien niet tot het vaststellen van deze regeling.

Raadswerkgroep 21 januari 2013

Het Voorzitterschap zet de artikelsgewijze bespreking voort met de resterende bepalingen van Hoofdstuk VII.

Artikel 60 bevat de regeling tot opschorting van een voorgenomen maatregel door een nationale toezichthouder en artikel 61 een spoedprocedure. Artikel 60 vindt toepassing in normale gevallen: wanneer een voorgenomen maatregel van een nationale toezichthouder met grensoverschrijdende effecten wordt besproken in de EDPB, vindt in afwachting van de behandeling geen uitvoering van de voorgenomen maartregel plaats, tenzij het een spoedeisen belang betreft en dit ernstige consequenties voor e betrokkene zou kunnen hebben. Nederland kan zich voorstellen dat deze regelingen nodig zijn en onthoudt zich van inhoudelijk commentaar.

Artikel 62 voorziet in de vaststelling van uitvoeringshandelingen door de Commissie met betrekking tot de uitvoering van het consistentiemechanisme. Bij artikel 62, lid 1, sub a, heeft Nederland net als vele andere lidstaten bedenkingen tegen de manier waarop de verhouding tussen de EDPB en de Commissie is vormgegeven. De vraag is dan ook waarom hier een afzonderlijke uitvoeringshandeling nodig is (het gaat uiteindelijk om wetgeving) en de Commissie niet gewoon haar bevoegdheden op grond van de Verdragen uitoefent en een inbreukprocedure start. Subsidiair is het zo dat deze bevoegdheid nogal ver gaat, het is dan ook de vraag of deze uitvoeringshandeling wel verenigbaar is met art. 291 WEU, en of niet eigenlijk art. 290 VWEU (een gedelegeerde handeling) eerder in beeld komt. Bij artikel 62, lid 1, sub b, vraagt Nederland om nadere verduidelijking. Sub b verwijst naar de artikelen 59 en 58, maar het gaat in feite om een besluit over de bepaling van de algemeen verbindendheid van standaardcontractsvoorwaarden als bedoeld in artikel 42. In artikel 42 wordt voor de toepasselijke procedure weer verwezen naar art. 87. Nederland vraagt zich af hoe dit begrepen moet worden. Bij artikel 62, lid 2, vraagt Nederland naar de status van deze door de Commissie aangenomen spoeduitvoeringsbesluiten. De vraag is wat er gebeurt na afloop van de geldigheidstermijn van 12 maanden als het probleem waarvoor het besluit een oplossing wil vormen nog niet is opgelost. Neemt de Commissie dan een nieuw besluit, zo vraagt Nederland. Bij artikel 62, lid 3, vraagt Nederland zich af of dit echt nodig is, omdat de verordening toch geen afbreuk doen aan de bevoegdheden van de Commissie onder de Verdragen.

Artikel 63 formuleert het principe dat elke beslissing van elke toezichthouder overal in de Europese Unie ten uitvoer gelegd moet kunnen worden. Nederland begrijpt het principe en stemt daar ook mee in. Wel vraagt Nederland zich af of niet meer geregeld moet worden om aan dit principe uitvoering te geven. Dat houdt dan in dat een besluit van, bijvoorbeeld, de Franse toezichthouder dat zich mede uitstrekt tot verantwoordelijken die op Nederlands grondgebied gevestigd zijn, ook in Nederland uitvoerbaar moet zijn. Maar dat stuit op artikel 51, lid 1, dat zegt dat iedere toezichthouder alleen voor het eigen grondgebied bevoegdheden heeft. Moet dan niet expliciet worden geregeld dat het Nederlandse College bescherming persoonsgegevens met toepassing van de eigen bevoegdheden een besluit van de Franse toezichthouder uitvoert, zo vraagt Nederland zich af.

Vervolgens bracht de EDPS, de heer Hustinx, een bezoek aan de Raadswerkgroep. De heer Hustinx gaf zijn visie op de verordening en de richtlijn. Vervolgens vond een korte dialoog tussen de werkgroep en de heer Hustinx plaats.

Het Voorzitterschap brengt vervolgens de nog resterende bepalingen van Hoofdstuk V met betrekking tot het grensoverschrijdend gegevensverkeer in bespreking.

Artikel 43 geeft een regeling voor de zogeheten bindende bedrijfsvoorschriften of Binding Corporate Rules (BCR's). BCR's zijn intern bindende voorschriften met betrekking tot gegevensbescherming voor multinationale ondernemingen. Deze regelingen gelden voor een groep van verbonden ondernemingen, ongeacht de plaats van vestiging.

Bij artikel 43, lid 1, meldt Nederland dat zij zeer positief is over deze vernieuwing en stelt deze stap van de Commissie daarom ook op prijs. Nederland vraagt zich wel af of het denkbaar zou zijn om de BCR's een bredere reikwijdte te geven, of een ruime uitleg van «group of undertakings» te geven die het mogelijk maakt om allianties van bedrijven de mogelijkheid te gunnen een BCR op te stellen om de privacy van het hun klanten te beschermen. Nederland denkt dan met name aan de luchtvaartindustrie. Nederland vraagt of lid 1, onderdeel (a), met zich brengt dat de BCR bindend moet zijn voor werknemers. Bij artikel 43, lid 2, verzoekt Nederland of in de aanhef kan «specify» worden aangevuld met: «or give a general description». Nederland is van mening dat sub d «de purpose limitation» natuurlijk van tijd tot tijd kan veranderen als gevolg van de toepassing van artikel 6, eerste lid, (f), en vierde lid. Nederland vraagt bij lid 2, sub i, of dit mede een auditverplichting omvat. Bij artikel 43, lid 3, stelt Nederland dat het artikel al een behoorlijke mate van detaillering biedt. Nederland denkt dat de praktijk van het internationale zakenleven meer gediend is met vrijheid dan met regelgeving. Tenslotte vraagt Nederland zich af of de verstrekking aan derden buiten de groepsstructuur voldoende is afgedekt. Wanneer binnen de group of undertakings gewerkt wordt met cloudcomputing, dan is het strikt genomen zo dat een interne verstrekking van gegevens via de cloud loopt, en daarmee waarschijnlijk mede in andere derde landen terechtkomt dan het land van bestemming.

Artikel 44 bevat een serie uitzonderingen op de regels voor het doorgeven van gegevens aan derde landen. Die uitzonderingen zijn in wezen een grote verzameling van afzonderlijke grondslagen voor dergelijke doorgiften.

Artikel 44 is voor Nederland een van belangrijkste bepalingen uit de verordening. Nederland plaatst daarom nadrukkelijk een algemeen voorbehoud bij het gehele artikel. Wel zijn er de nodige vragen en Nederland heeft daarom een uitgebreide interventie op dit punt.

Bij art 44, lid 1, sub d, (doorgifte toegestaan op grond van zwaarwegend algemeen belang) vraagt Nederland aan de Commissie het volgende. Afgaande op overweging 87, lijkt het zo dat onderdeel (d) alleen betrekking heeft op gegevensdoorgiftes van overheid tot overheid. Maar overweging 90 lijkt erop te wijzen dat onderdeel (d) ook betrekking heeft op gegevensdoorgiftes van alle verantwoordelijken (zonder onderscheid) aan derde landen, zolang daar een zwaarwegend algemeen belang mee is gediend. Klopt dit, zo vraagt Nederland zich af. En als dit klopt, is een niet tot de overheid behorende verantwoordelijke wel in staat dat algemeen belang mee te wegen. Nederland stelt dan ook de vraag of het in dat geval denkbaar is dat de nationale wetgever een zwaarwegend algemeen belang in het licht van artikel 44, lid 5, zodanig uitlegt dat een verbod op het buiten de Europese Unie brengen van gegevens bij wet kan worden vastgesteld, wanneer dat in het belang van de bescherming van persoonsgegevens is. Het is hier natuurlijk wel de vraag hoe zich dat vervolgens verhoudt tot het EVRM, het Handvest voor de Grondrechten, de nationale grondrechten en de vrijheid van dienstenverkeer, al denkt Nederland dat dit mogelijk is. Daarbij is ook de vraag of dit onderdeel ook ziet op zowel incidentele als op structurele verstrekkingen.

Bij artikel 44, lid 1, sub e (doorgifte toegestaan bij de vestiging,uitoefening of verdediging van een recht in rechte) vraagt Nederland naar de reikwijdte van dit onderdeel. In civiele of bestuursrechtelijk zaken is dit evident, maar de vraag is ook of dit artikelonderdeel toepassing kan vinden in een strafrechtelijke context.

Inzake Artikel 44, lid 1, sub h (doorgifte toegestaan bij gerechtvaardigd belang verantwoordelijke of bewerker, mits het geen frequente of massale overdrachten betreft en de belangen zijn afgewogen)vraagt Nederland de Commissie ook naar de reikwijdte van dit onderdeel. Als het gaat om een doorgifte in een civiele zaak op grond van een bevel van een buitenlandse rechter, kan er niet altijd een beroep worden gedaan op onderdeel (e). Dat is bijvoorbeeld het geval in «discovery»-procedures. Er kan dan in beginsel worden teruggevallen op onderdeel (h) om de doorgifte te rechtvaardigen. Maar in dit soort procedures gaat het in de praktijk soms om doorgiften die misschien niet frequent, maar soms wel massaal kunnen zijn. Is het niet beter om «frequent or massive» te vervangen door: «structural»? Een andere kwestie speelt op het gebied van strafzaken die zich in het buitenland afspelen, zo stelt Nederland. Als er een vordering tot het verstrekken van gegevens wordt gedaan tot partijen die daardoor – onder strafbedreiging – gedwongen zijn gegevens uit de Europese Unie naar het derde land door te geven blijft het de vraag op welke grond dan een beroep kan worden gedaan om die doorgifte te rechtvaardigen. Is het niet zo, dat aan dergelijke partijen een uitweg moet worden geboden uit een soort «prisoners» dilemma», zolang er geen sprake is van een doorgifte die structureel van aard is, zo vraagt Nederland. De vraag aan de Commissie is of zij van oordeel is dat onder die omstandigheden de verantwoordelijke een beroep op onderdeel (h) toekomt en dat de waarborg voor de bescherming van persoonsgegevens dan moet worden gezocht in een voorafgaande afweging door de verantwoordelijke en toezicht en handhaving achteraf door de toezichthouder.

Bij artikel 44, lid 4, (beperking voor de overheid die bij doorgiften geen beroep mag doen op contracten of een eigen legitiem belang) stelt Nederland dat de betekenis van deze bepaling niet eenvoudig is te begrijpen. Houdt dit in dat de overheid geen beroep mag doen op de rechtvaardigingsgronden genoemd in het eerste lid, onder b en c, wanneer zij zich bedient van contracten, zo vraagt Nederland zich af. Gebruik van de contractsvorm (en het overige privaatrecht) komt veel voor. Nederland kan niet uitsluiten dat ook contracten waar de overheid partij bij is voorzien in doorgifte van gegevens naar derde landen.

Wat artikel 44, lid 5, (verplichting om een zwaarwegend algemeen belang dat doorgifte rechtvaardigt expliciet in het recht van de Unie of een lidstaat te regelen) betreft, is Nederland zeker voor een zo specifiek mogelijke wettelijke basis. Het punt is echter dat er op het raakvlak van de verordening en de richtlijn tal van situaties blijken te bestaan die niet allemaal specifiek geregeld kunnen worden. Gegevensoverdracht in de sfeer van politie en justitie die niet strikt strafrechtelijk van aard zijn: handhaving openbare orde (potentiële ordeverstoorders aan G8-landen), grensbewaking, asiel en immigratie en de preventie van strafbare feiten door middel van bestuursrechtelijke middelen. Die middelen nemen snel in belang toe. Dit is juist één van de terreinen waar flexibiliteit voor de publieke sector van groot belang is.

Een ander vraagpunt voor Nederland is nog of onder artikel 44, lid 5, ook de verdragsluitende bevoegdheid van de Unie of de lidstaten is begrepen. Dat is van groot belang, omdat structurele gegevensdoorgiften vanuit de Unie naar derde landen (in tegenstelling tot incidentele doorgiften) eigenlijk alleen bij verdrag goed kunnen worden geregeld. Bij passagiersgegevens en de gegevens voor het betalingsverkeer is gebleken dat die weg zinvol is. In plaats van artikel 44, lid 6, (verplichting van de verantwoordelijke tot beoordeling en afweging van een legitiem belang dat doorgifte rechtvaardigt) zou volgens Nederland wel kunnen worden volstaan met de documentatieplicht van artikel 28. Een melding aan de toezichthouder kan achterwege blijven. Op die manier kunnen administratieve lasten en bestuurlijke lasten worden beperkt.

Bij artikel 44, lid 7, is Nederland van mening dat deze gedelegeerde handeling bijzondere aandacht vereist. Aangezien het zwaarwegend algemeen belang blijkens artikel 44, lid 5, ook door de lidstaten kan worden ingeroepen, kan een gedelegeerde handeling hier interfereren met de nationale wetgevende competentie. Dat veroorzaakt rechtsonzekerheid. Dat probleem moet worden voorkomen. Tegelijkertijd kan zich volgens Nederland een noodzaak voordoen dat hetzij de Uniewetgever, hetzij de nationale wetgever gebruik moet maken van eigen competentie op korte termijn. Bijvoorbeeld wanneer in een derde land plotseling een wettelijke regeling wordt vastgesteld op grond waarvan bepaalde doorgiften uit de Unie of een lidstaat naar het derde land verplicht worden gesteld. Dan kan er een noodzaak zijn om hetzij op Unieniveau, hetzij op lidstaatniveau een spoedeisende regeling met tijdelijke werking vast te stellen. Artikel 26, tweede lid, van de richtlijn bevat een dergelijke regeling. Dat lijkt een betere variant dan een uitsluitende bevoegdheid van de Commissie.

In reactie op deze interventie heeft de Commissie onder meer aangegeven aangegeven dat naast de Unie de lidstaten zelf een zwaarwegend algemeen belang kunnen erkennen, hetzij in wetgeving, hetzij in bilaterale verdragen, mits die verenigbaar zijn met de verordening. Daarnaast hebben andere lidstaten betoogd dat ook de vergunning voor data-export als restcategorie nog niet kan worden gemist. Nederland heeft zich daarbij aangesloten. Bij een vergunning kunnen immers voorschriften en beperkingen in het belang van de persoonlijke levenssfeer worden vastgesteld.

Nederland is, al met al, met deze eerste behandeling van deze belangrijke bepaling, niet ongelukkig. Er lijkt begrip en herkenning te bestaan voor de door Nederland naar voren gebrachte problemen. Nederland is Commissie erkentelijk voor het adresseren van deze problematiek.

Artikel 45 voorziet in een verplichting voor de Commissie en de toezichthouders om de internationale samenwerking te bevorderen. Er is geen bezwaar tegen deze bepaling, al acht Nederland het misplaatst om bij die samenwerking een voorkeur uit te spreken voor landen ten aanzien waarvan is besloten dat zij over een passend niveau van gegevensbescherming beschikken. Dit zijn uit oogpunt van kwantiteit en kwaliteit van gegevensverkeer niet altijd de meest belangrijke staten.

Raadswerkgroep 29 en 30 januari 2013

Het voorzitterschap stelt hoofdstuk VIII aan de orde. Dat hoofdstuk betreft het klachtrecht, het aansprakelijkheidsrecht en de sanctionering.

Artikel 73 betreft het recht voor eenieder een klacht bij de toezichthouder in te dienen. Bij art. 73, lid 1, staat voorop dat Nederland het klachtrecht voor betrokkenen volledig steunt. Niettemin zijn er bij de vormgeving ervan wel een paar vragen te stellen. Net als veel andere lidstaten heeft ook Nederland aandacht gevraagd voor de samenhang met de artikelen 51 e.v. Bij die artikelen heeft Nederland de voorkeur uitgesproken voor aanstelling van een «lead authority». De vraag is of dat niet ook consequenties moet hebben voor de vormgeving van het klachtrecht. Zoals het er nu staat, is het klachtrecht een bijna universeel uit te oefenen recht, zonder directe relatie met de plaats waar de betrokkene hoofdverblijf houdt, of met de plaats waarmee het geschil de meeste aanknopingspunten heeft. Verder is de vraag wat precies «relating to them» betekent. De vraag is of dat slaat op het zijn van betrokkene, of dat het ook om een derde kan gaan. Nederland meent dat het aan het recht van de lidstaten kan worden overgelaten of er sprake is van voldoende belanghebbendheid volgens het burgerlijke of bestuursprocesrecht van de lidstaten.

Bij artikel 73, lid 2, stelt Nederland dat in het Nederlands privaatrecht ook nu al een collectiefactierecht in het Burgerlijk Wetboek kent. Nederland ziet graag dat dit actierecht integraal behouden blijft, ook voor mogelijke toepassing op het gebied van de gegevensbescherming. Nederland stelt dan ook voor dat ook het tweede lid begint met «Without prejudice to any other administrative or judicial remedy». Verder is het de vraag wie precies een beroep kunnen doen op dit actierecht. De vraag is of met «Any body, organisation or association» die «properly constituted according to Member State law» zijn ook aan andere figuren dan rechtspersonen wordt gedacht. In Nederland heeft de ondernemingsraad, krachtens de Wet op de ondernemingsraden een instemmingsrecht met betrekking tot regelingen die het bestuur van de onderneming of instelling vaststelt met betrekking tot de verwerking van persoonsgegevens. Zo is het dus de vraag of de ondernemingsraad ook van het klachtrecht gebruik kan maken. Die vraag werd door de Commissie overigens bevestigend beantwoord.

Een apart klachtrecht voor datalekken (artikel 73, lid 3) lijkt Nederland overbodig. De verantwoordelijke moet de melding van een datalek toch al verplicht doen. Laat hij dat na, dan kan hij worden beboet. Verder heeft dit klachtecht alle trekken van een «actio popularis». Elke collectiefbelangbehartiger kan met dit recht, ook zonder redelijk belang, een klacht indienen. Daaraan bestaat geen behoefte, ook niet bij nationale toezichthouders. Dit is een potentieel conflictopwekkende regeling. Mogelijk kan er worden nagedacht over een klachtrecht dat kan worden uitgeoefend bij een verzuim een datalek te melden.

Artikel 74 bevat het recht op een voorziening tegen besluiten van de toezichthouder. Dat is in beginsel geen problematisch uitgangspunt. Het vierde lid voorziet in een procedure om de toezichthouder namens de betrokkene in rechte te laten optreden. Deze bepaling aanleiding geeft tot veel vragen. Wat betekent – in de Engelse tekst – «concerned». In de NL vertaling staat «op wie de beslissing betrekking heeft», maar concerned kan ook betekenen: ergens zorgen over hebben. De enkele zorg van een subjectief persoon lijkt Nederland onvoldoende basis voor het recht op bezwaar of beroep. De vraag is overigens waarom hier een soort «ex parte» procedure wordt geregeld. Niet alleen passen die meer in het recht van Common Law landen, maar het zet uiteindelijk toezichthouders tegen elkaar op, terwijl de lidstaten juist verlangen van de toezichthouders dat ze goed samenwerken. Nederland is niet overtuigd van de toevoegde waarde van dit vorderingsrecht.

Bij artikel 74, lid 1, steunt Nederland het recht op de beschikbaarheid van rechtsmiddelen tegen besluiten van de nationale toezichthouder. Er zal echter nog wel duidelijkheid gegeven moeten worden over de verhouding tussen een eenmaal benutte rechtsgang en een procedure voor de EDPB. Dat is wel geregeld in artikel 75 maar niet in deze bepaling. Nederland is geen voorstander van artikel 74, lid 2. Daarin wordt een verplichting geregeld onmiddellijk gevolg te geven aan ingediende klachten. De toezichthouder is volledig onafhankelijk. Daarmee hangt onlosmakelijk samen dat het orgaan zijn eigen zaken prioriteert. Deze bepaling is bovendien gegrond op de vooronderstelling dat er een 100% handhaving moet zijn. Dat is niet reëel.

Er is bovendien begin januari gesproken over de financiële kant van de handhaving. Alle lidstaten hebben te maken met budgettaire tegenslag, die ook gevolgen heeft voor de financiële positie van toezichthouders. Nederland vindt dat aanvaard moet worden dat daaruit voortvloeit dat een toezichthouder niet kan worden gevraagd alles aan te pakken in de door klagers bepaalde volgorde. Mocht deze bepaling komen te vervallen, dan is er volgens Nederland eigenlijk niet veel aan de hand. Ieder die voldoende belang bij een beslissing kan aantonen, kan altijd op grond van het nationaal recht – zo nodig in een civiel kort geding of een bestuursrechtelijke voorlopigevoorzieningsprocedure – de rechter verzoeken een voorziening tegen de toezichthouder te treffen.

De verplichting van artikel 74, lid 5, om rechterlijke beslissingen elke lidstaat uitvoerbaar te maken spreekt volgens Nederland eigenlijk vanzelf. Als het al nodig is dit te regelen, is het overigens aangewezen die verplichting niet uitsluitend tot de lidstaat te richten. Die kan hooguit in het eigen recht een voorziening treffen om dit mogelijk te maken, maar niet zelf die uitvioering ter hand nemen. De uitvoering van afzonderlijke beslissingen is een zaak voor de procespartijen.

Artikel 75 bevat de het recht van eenieder op een daadwerkelijk rechtsmiddel tegen een verantwoordelijke voor de verwerking van gegevens of een bewerker. In beginsel is ook deze regel niet problematisch. Maar de vraag bij het eerste lid is waarom dit recht op een rechtsvordering toegekend wordt aan «een natuurlijke persoon». Het ligt meer voor de hand dat recht toe te kennen aan de betrokkene en, eventueel, de derde. De vraag is of ook beoogd is de functionaris gegevensbescherming hieronder mede te begrijpen. En het is ook de vraag waarom het recht wordt toegekend «onverminderd de mogelijkheden van administratief beroep». Er zijn – in elk geval in het Nederlands recht – ook civielrechtelijke en zelfs strafrechtelijke voorzieningen beschikbaar voor dit type geschillen. Verder is «administratief beroep» in het Nederlands bestuursrecht een specifieke procedure, zodat ook de vertaling van deze bepaling nogal wat aandacht vergt.

Bij artikel 75, lid 2, gaat de eerste zin uit van een beroepsrecht dat kan worden ingeroepen tegen de verantwoordelijke of bewerker in iedere lidstaat waar deze «een» vestiging heeft. Het Nederlands bedrijfsleven heeft aandacht gevraagd voor het feit dat deze competentietoedeling niet aansluit op het vennootschapsrecht, meer in het bijzonder het concernrecht, en geen rekening houdt met de manier waarop multinationale ondernemingen hun gegevensverweking organiseren. Niet iedere vestiging in de EU kan de hoedanigheid van verantwoordelijke worden toebedeeld. Het is daarom, volgens Nederland, beter hier aansluiting te zoeken aan het «man establishment» criterium, of de plaats waar de gegevensverwerking feitelijk plaats heeft.

De vraag is wat het in artikel 75, lid 3, geregelde opschortingsrecht voor procedures die in verschillende lidstaten gelijktijdig lopen en die aan het consistentiemechanisme zijn voorgelegd, omvat. De vraag is wie uitmaakt of de urgentie gemoeid met het afronden van de procedure in het consistency mechanisme zo groot is dat de rechter de aanhangige procedure moet opschorten. Uit de tekst wordt niet duidelijk of dat oordeel uitsluitend aan de rechter toekomt. De vraag is ook hoe de rechter wetenschap krijgt van een aanhangige procedure. Dat hoeft hij wat Nederland betreft niet zonder meer zelf na te gaan. Dat lijkt toch een verantwoordelijkheid van procespartijen.

Artikel 75, lid 4, bevat een vergelijkbare regeling als artikel 75, lid 4. Nederland maakt bij dit artikellid een gelijkluidende interventie.

De artikelsgewijze behandeling wordt onderbroken om de Juridische Dienst van de Raad op enige gerezen vragen te reageren. Zo wordt ingegaan op de mogelijkheid om aan de EDPB besluitvormende taken op te dragen. Dit blijkt alleen in zeer uitzonderlijke omstandigheden op beperkte wijze mogelijk.

Artikel 76 bevat enige voorschriften van procesrecht die gelden bij de uitoefening van de rechten van de artikelen 74 en 75. Nederland is kritisch over deze regeling. Dit type voorschriften kan beter aan het procesrecht van de lidstaten worden overgelaten. Bij artikel 76, lid 2, stelt Nederland procedurele rechten om een toezichthouder in rechte te laten optreden namens een belanghebbende partij eigenlijk niet in het Nederlandse recht past. Nederland wil dit niet principieel blokkeren, maar heeft wel vragen met betrekking tot de afgrenzing met het strafrecht, want dat is niet uitgezonderd in artikel 76, lid 2. De bevoegdheid tot strafvordering ligt bij uitsluiting bij het openbaar ministerie. Nederland zal daarin geen wijzigingen aanbrengen. Wanneer de toezichthouder stuit op overtredingen van de gegevensbeschermingswetgeving die als strafbaar feit zijn te kwalificeren, dan kan de Nederlandse toezichthouder daarvan aangifte doen bij het openbaar ministerie. In de praktijk volstaat dat. Verder is de vraag of de toezichthouder er zoveel aan heeft om ten behoeve van de rechtseenheid of de eenvormige uitleg van het dataprotectierecht te gaan procederen. Het is niet de toezichthouder maar de rechter die rechtstreeks op grond van de Verdragen beslist of een prejudiciële zaak aan het HvJEU wordt voorgelegd. In Nederland is het goed gebruik dat alle procespartijen, niet alleen de toezichthouder, de gelegenheid krijgen zich uit te laten over de wenselijkheid van het indienen van prejudiciële vragen en de formulering ervan.

Bij artikel 76, lid 4, stelt Nederland dat het hierin geregelde opschortingsrecht – dat kan worden ingeroepen als in meer dan een lidstaat geprocedeerd wordt over dezelfde zaak – ertoe zou kunnen leiden dat rechters op elkaar gaan zitten wachten. Het is dan beter dat er ofwel een procedureregeling wordt ontworpen, ofwel de zaak verder aan het procesrecht van de lidstaten wordt overgelaten. Dat laatste heeft wel de voorkeur van Nederland.

Artikel 77 bevat het recht op schadevergoeding en een aansprakelijkheidsregeling. Nederland stemt daar graag mee in. Maar het moet wel duidelijk worden gemaakt wat de reikwijdte van de schadevergoedingsplicht wordt wanneer die plicht aan de bevoegdheid van de nationale wetgever wordt onttrokken. En daar geeft de bepaling aanleiding tot zeer veel vragen. Waarom wordt het recht gegund aan «any person», en waarom niet de betrokkene? De verordening richt zich toch op de bescherming van die rechtssubjecten. Wat moet worden verstaan onder «damage»? Omvat dit alleen materiële schade, of ook immateriële schade en gevolgschade? Wat is «unlawful processing»? Kan er rekening worden gehouden met rechtvaardigings- en schulduitsluitingsgronden? Wat is het verschil tussen «unlawful processing» en een «action incompatible to the Regulation»? Hoe zit het met schuld of toerekenbaarheid? Is er een causaliteitsregel. Is er sprake van een relativiteitsregel? Het is wat Nederland betreft van tweeën een. Hetzij de verordening regelt deze vragen in totaliteit, hetzij de vormgeving van de schadevergoedingsactie wordt aan het recht van de lidstaten wordt overgelaten. Aangezien deze verordening op andere plaatsen ook verplichtingen geeft aan de lidstaten om het materiële recht uit te werken, is het wat Nederland betreft niet bezwaarlijk hier een uitzondering te maken op de regel dat verordeningen in beginsel niet door regels van nationaal recht mogen worden geïmplementeerd.

Artikel 78 geeft een verplichting aan lidstaten om zorg te dragen voor effectieve, evenredige en afschrikwekkende sancties bij overtreding van de regels van de verordening. Dit lijkt een standaardbepaling, maar dit artikel geeft aanleiding tot een zeer groot aantal vragen. In de Nederlandse taalversie heeft artikel 78 het opschrift «sancties» en art. 79 het opschrift «administratieve sancties». Dat zijn beide op zichzelf genomen ongelukkige keuzes, omdat ze geen goed gebruik betreffen van de in het Nederlandse recht gebruikte terminologie. Dit terminologisch probleem blijkt zich bij meer taalversies voor te doen. In onderlinge samenhang wordt het verwarrend, want artikel 78 betreft een verplichting gericht tot de lidstaten met betrekking tot het ogenschijnlijk meer omvattende begrip, terwijl de verordening zelf regels stelt in artikel 79 over minder omvattende begrip. Dan is het dus de vraag of deze bepaling zodanig moet worden opgevat dat er een verplichting tot strafrechtelijke sanctionering bestaat, of dat volstaan kan worden met de toch al in de verordening geregelde bestuursrechtelijke boete. Als de lidstaten enige marge voor het vaststellen van strafrechtelijke boetes hebben, is het de vraag hoe groot die is, wanneer artikel 79 al aangeeft wat de bestuursrechtelijke boetemaxima zijn. Het lijkt Nederland toch moeilijk uit te leggen dat de boetemaxima hier uiteenlopen. Bij artikel 78, lid 2, stelt Nederland dat het onder strafbedreiging plaatsen van een vertegenwoordiger als bedoeld in artikel 25 van de verordening niet helpt om de aanwijzing van deze functionarissen te stimuleren. Nederland heeft daarover al opmerkingen gemaakt bij artikel 25. Artikel 78, lid 2, is bovendien van een zodanige strekking dat het – toegepast in een strafrechtelijke context – een inbreuk maakt op het opportuniteitsbeginsel bij strafvervolging, en zelfs op de vrijheid van de rechter om al dan niet te veroordelen. Dit is voor Nederland niet acceptabel.

Artikel 79 bevat de al vaak behandelde regeling van de bestuurlijke boete. Het voorzitterschap geeft aan dat in opdracht van de informele JBZ Raad in Dublin van januari 2013 dit onderwerp nog diepgaand moet worden besproken. Dat zal later plaatsvinden. Nederland steunt die benadering. Op 10 januari 2013 heeft Nederland zijn positie ten opzichte van het sanctieregime reeds uitgebreid uiteengezet. Nederland toont zich teleurgesteld over het gebrek aan besef bij de Commissie dat procedurele en substantiële waarborgen bij sanctieoplegging dringende noodzaak zijn. Dit moet hetzij geheel in de verordening worden geregeld, hetzij geheel aan de lidstaten worden overgelaten. Wordt dit nagelaten, dan is het geen waarschijnlijkheid, maar een zekerheid dat sanctiebesluiten de rechterlijke toets niet zullen doorstaan. Nederland is enigszins gerustgesteld door de uitleg van de Commissie dat artikel 78 van de verordening de opnamen van reparatoire sancties als de last onder bestuursdwang of dwangsom niet a priori blokkeert. De redactie van de artikelen 78 en 79 schiet overigens nog ernstig tekort.

Het voorzitterschap stelt vervolgens hoofdstuk IX (bijzondere bepalingen met betrekking tot bijzondere gegevensverwerkingen) aan de orde.

In artikel 80 komt de verhouding van gegevensbescherming tot het belang van de vrijheid van meningsuiting aan de orde. Dat belang vergt dat een breed geformuleerde uitzondering op de hoofdonderdelen van de verordening noodzakelijk is. Het is ook de vraag of die uitzonderingen alleen betrekking moeten hebben op de vrijheid van meningsuiting in strikte zin, zoals overweging 121 suggereert, maar of direct aanverwante rechtsgebieden, als het auteursrecht of het intellectuele eigendomsrecht hierin niet ook betrokken moeten worden. Die rechtsgebieden leveren van tijd tot tijd ook conflicten op met het gegevensbeschermingsrecht. Nederland kan zich overigens voorstellen dat de tekst van artikel 80 zoveel mogelijk in lijn wordt gebracht met de uitspraak van het Hof inzake Satamedia (C-73/07), in plaats van dit in een overweging op te nemen. Nederland vraagt vervolgens naar het verschil tussen artikel 9 van richtlijn 95/46/EG en artikel 80. Artikel 9 bevat een noodzakelijkheidscriterium dat in artikel 80 ontbreekt. De vraag is of het de bedoeling is dat artikel 80 een ruimere strekking heeft dan artikel 9. Ook moet volgens Nederland de rest van de verordening ook de consequenties aanvaarden van een ruimhartige omgang met de vrijheid van meningsuiting. Het recht om te worden vergeten is daardoor beperkt en van een voorafgaand verbod op verwerking, dat immers niet door artikel 53, lid 1, sub g, wordt uitgesloten, moet worden afgezien. Tenslotte vraagt Nederland aandacht voor de spanning tussen de vrijheid van meningsuiting uit artikel 80 en het recht om vergeten te worden.

Artikel 81 betreft de verwerking van gegevens betreffende de gezondheid. Nederland heeft al eerder naar voren gebracht dat de verwerking van gegevens betreffende de gezondheid ook een aanvaardbare toepassing kent bij de uitvoering van andere verzekeringsovereenkomsten dan de ziektekostenverzekering. De Nederlandse tekst van artikel 81 geeft te veel onduidelijkheid over de vraag of, en zo ja, in hoeverre de sociale verzekeringswetgeving ook als algemene grondslag dient voor de verwerking van gezondheidsgegevens. En er zijn tal van andere terreinen waarop gezondheidsgegevens worden verwerkt in een context die maatschappelijk volstrekt aanvaardbaar is. Denk aan het onderwijs en jeugdzorg, het gevangeniswezen, maar ook een sportclub of een werkgever bij een aanstellingskeuring.

Artikel 82 betreft de verwerking van persoonsgegevens in de context van de arbeidsrelatie. Nederland kan de bevoegdheid tot het vaststellen van regels door de nationale wetgever ondersteunen. Het is wel zo, dat deze bepaling aanleiding geeft tot zorg over een mogelijk gebrek aan flexibiliteit. Net als in veel andere lidstaten zijn belangrijke delen van het arbeidsrecht neergelegd in collectieve arbeidsovereenkomsten, en in individuele arbeidsovereenkomsten of dienstverrichtingsovereenkomsten. En het is ook zo dat belangrijke delen van de sociale verzekeringswetgeving die een ruimere strekking heeft dan alleen de positie van werknemers, wel sterke samenhang vertoont met de sociale werknemersverzekeringen. Er zijn bovendien belangrijke relaties met de pensioen- en de belastingwetgeving. «Employment context» reikt dus, wat Nederland betreft, nogal ver. Nederland kan zich overigens voorstellen dat «Within the limits of this Regulation» niet uitsluit dat een hoger beschermingsniveau kan worden vastgesteld voor het verzamelen, gebruiken en verstrekken van persoonsgegevens in de context van de arbeidsverhouding, en dat de verordening dan – in het bijzonder voor de artikelen 26, 30 tot en met 33 en 40 tot en met 44 – fungeert als minimumniveau.

In artikel 83 worden voorwaarden voor de verwerking van gegevens voor historische, statistische en wetenschappelijke doeleinden geregeld. Nederland heeft herhaalde malen de noodzaak naar voren gebracht om in de artikelen 14, 15, 17, 19 en 21 dezelfde bijzondere bepalingen op te nemen voor de verwerking ten behoeve van statistische doeleinden als die thans in richtlijn 95/46/EG zijn opgenomen. De vraag is daarnaast of de rechtvaardigingsgronden voor deze verwerkingen niet onredelijk strikt zijn. Nederland vraagt wat rechtens is indien toestemming voor deze verwerkingen alleen na onredelijke inspanning te verkrijgen valt. De vraag is ook of de verantwoordelijke in staat mag worden gesteld zelf voor compenserende waarborgen zorg te dragen.

Artikel 84 bevat een bijzondere regeling van de toezichtsbevoegdheden tot verwerkingen van gegevens die onder een wettelijk geregeld beroepsgeheim vallen. Nederland vraagt of het bij dit artikel de bedoeling is dat de onderzoeksbevoegdheden van de toezichthouder de bevoegdheid moet of mag omvatten om op het beroepsgeheim een inbreuk te maken, als het belang van de bescherming van gegevens dat vereist. De vraag is of de toezichthouder openlegging van de dossiers van artsen, advocaten of notarissen mag verlangen.

Artikel 85 bevat een overgangsbepaling voor bestaande gegevensverwerkingen door kerkelijke en levensbeschouwelijke instellingen. Nederland wijst deze regeling in zijn geheel van de hand. Nederland stelt dat art. 17 van het VWEU de verhouding van het Unierecht tot de kerken en andere instellingen voldoende regelt. Verdergaande maatregelen zijn onnodige potentiële aantastingen van de vrijheid van godsdienst en de vrijheid van vereniging.

Hoofdstuk X bevat procedurele bepalingen. De artikelen 86 en 87 hebben betrekking op de voorwaarden voor de uitoefening van de bevoegdheden van de Commissie tot het vaststellen van gedelegeerde en uitvoeringshandelingen. Het voorzitterschap kondigt een fundamentele herziening van deze bepalingen aan en geeft geen gelegenheid tot discussie.

Hoofdstuk XI bevat slotbepalingen. Artikel 88 regelt de intrekking van richtlijn 95/46/EG. Nederland maakt daar geen interventies.

Artikel 89 regelt de verhouding tot richtlijn 2002/58/EG, de zogeheten e-privacyrichtlijn die in Nederland geïmplementeerd is in de Telecommunicatiewet. Nederland, gesteund door vele lidstaten, ziet dit als een problematische bepaling. Nederland vraagt wat nu de verhouding wordt tussen de verordening en richtlijn 2002/58/EG. Onder de huidige richtlijn 95/46/EG zijn de verhoudingen duidelijk. Richtlijn 2002/58/EG en zijn voorganger zijn verbijzonderingen van en aanvullingen op richtlijn 95/46/EG. Maar de verordening is geen richtlijn. En nu regelt een rechtstreeks geldende verordening dat deze geen aanvullende verplichtingen bevat ten opzichte van een richtlijn. De vraag is wat dit betekent dit voor het geldende nationale recht. Nu is het zo dat naast de in de Telecommunicatiewet geïmplementeerde verplichtingen van richtlijn 2002/58/EG de Wet bescherming persoonsgegevens die richtlijn 95/46/EG implementeert onverkort blijft gelden. De tekst van artikel 89, lid 1, impliceert echter mogelijk dat dit nu niet meer zou kunnen. Als dit zo zou zijn, dan kan dat leiden dat tot een verlaging van het beschermingsniveau voor betrokkenen, bijvoorbeeld bij de bescherming van betrokkenen tegen de negatieve gevolgen van het gebruik van cookies. Nederland vraagt daarom gezamenlijk met veel andere lidstaten de Commissie nadrukkelijk naar de precieze betekenis van artikel 89, lid 1. Er werd door veel lidstaten aan herinnerd dat de keuze voor het instrument verordening primair de keuze van de Commissie is geweest, en dat dit met zich brengt dat de consequenties van keuze door de Commissie tevoren moeten worden doordacht. Het was teleurstellend dat op deze vraag niet werd geantwoord. Het voorzitterschap heeft de Commissie laten weten dat de raadswerkgroep met deze houding geen genoegen neemt.

De artikelen 90 en 91 bevatten een evaluatiebepaling en een implementietermijn. Op beide bepalingen wordt door veel lidstaten kritisch gereageerd. De praktijk bij het dataprotectiepakket leert dat de Commissie haar verplichting tot evaluatie van kaderbesluit 2008/977/JBZ niet uitvoert, maar zonder evaluatie van het geldende direct tot het indienen van eerder door de Raad afgewezen wetsvoorstellen overgaat. Nederland is met veel lidstaten bezorgd over de termijn van twee jaar die wordt gegund om een bijzonder omvangrijke en complexe wetgevingsoperatie uit te voeren, en de uitvoerings- en handhavingspraktijk voor te bereiden op de verordening. Nederland kan zich dan ook voorstellen dat die termijn wordt verlengd.

Hiermee is de artikelsgewijze behandeling in eerste termijn afgerond.

Friends of the Presidency 31 januari 2013

Op deze vergadering is informeel van gedachten gewisseld over de thema's geanonimiseerde en gepseudonimiseerde gegevens, de reikwijdtebepaling en de definitie van persoonsgegevens en de invloed van lopende technische ontwikkelingen op de verordening.

Nederland meent met vele andere lidstaten dat geanonimiseerde gegevens aan de werking van de verordening kunnen worden onttrokken en dat gepseudonimiseerde gegevens een zinvolle bijdrage kunnen leveren aan het verkleinen van risico's gemoeid met de verwerking van persoonsgegevens.

Wat de reikwijdtebepaling betreft, meent Nederland dat het gehele terrein van de nationale veiligheid buiten de reikwijdte moet blijven en dat de exceptie voor persoonlijk en huishoudelijk gebruik kan worden afgegrensd met het handelen in beroep of bedrijf in plaats van met het criterium «tegen vergoeding». Nederland maakt zich net als een aantal andere lidstaten zorgen over de afbakening tussen verordening en de richtlijn voor gegevensbescherming bij opsporing door politie en justitie. Bij ongewijzigd beleid leidt dit tot de toepassing van twee regimes in de politiepraktijk. Dat kan verstrekkende consequenties hebben voor de Wet politiegegevens en de ICT-praktijk bij de politie en de Koninklijke Marechaussee. Nederland volgt dit punt nauwlettend.

Bij de technische ontwikkeling is gesproken over de vraag of de artikelen 17 en 18 niet een opmaat moeten vormen naar een apart regime voor de bescherming van recht van gebruikers van sociale netwerksites. Nederland neigt ernaar te handhaven op basis van beginselen, maar deze rekening houdend met de context in te vullen. Tenslotte is gesproken over de nog onvoldoende duidelijke consequenties van cloudcomputing voor de privacy. Tot conclusies leidde dit debat niet.

Raadswerkgroep 12 en 13 februari 2013

In deze werkgroep wordt het thema «risico-georiënteerde benadering» verder uitgewerkt. Nederland hecht aan die benadering bijzonder veel belang. Het voorstel van de Europese Commissie is naar het oordeel van Nederland een te groot complex aan regels dat zonder voldoende onderscheid gelijkelijk geldt voor grote bedrijven, het midden- en kleinbedrijf, zelfstandigen, de overheid, en, niet te vergeten individuele burgers die incidenteel gegevens verwerken. Waar er een onderscheid wordt gemaakt, is dit dikwijls uitsluitend gebaseerd op bedrijfsgrootte (het criterium van 250 werknemers of meer) in plaats van op het risico, gemoeid met de concrete verwerking van gegevens. Nederland meent dat dat naarmate het risico hoger is, de oplegging van meer verplichtingen gerechtvaardigd is. Alleen op die manier kan op verantwoorde wijze worden omgegaan met de administratieve lasten en de nalevingskosten. Nederland toont zich evenals andere lidstaten teleurgesteld over het maar gedeeltelijk en selectief berekenen van de administratieve lasten en nalevingskosten door de Commissie. Nederland kondigt aan een eigen kleinschalig onderzoek naar de lasten uit te voeren. Dit onderzoek is nog niet gereed. Na afronding daarvan zal het aan beide Kamers worden aangeboden.

Concreet heeft Nederland nog de volgende punten naar voren gebracht. Het voorzitterschap stelt voor om in veel bepalingen «the nature, scope and purposes of the processing and the risks for the fundamental rights and freedoms of the data subjects» toe te voegen. Op onderdelen is dit aangevuld met «where proportionate in relation to the processing activities». Soms zijn er varianten, zoals «taking into account the characteristics, the type of data or the number of persons it concerns». Nederland meent dat deze tamelijk open formulering nog niet voldoende dekkend is om een integraal systeem van een risico-georiënteerde benadering op te bouwen. De formulering is wat té open, aangezien de risico's zelf niet worden benoemd. En dat lijkt Nederland wel mogelijk, omdat daar in de raadswerkgroepen van 2012 belangrijke voorzetten voor zijn gegeven. En uiteindelijk kan niet alles contextueel worden ingevuld, ook met het oog op de handhaafbaarheid. Als die niet goed wordt verzekerd, blijft er een risico op het onvoldoende handhaven van een grondrecht. Nederland mist een goede beschrijving van de onderlinge verhouding van de instrumenten die de verordening aanreikt, en die juist vanuit het oogpunt van beheersing van administratieve lasten en nalevingskosten van belang zijn.

Nederland meent dat de uitkomst van een Data Protection Impact Assessment (DPIA) bepalend moet zijn voor de vraag wat de omvang van de documentatieplicht is, of er bij een datalek een meldplicht moet worden opgelegd, of er misschien een hoger beveiligingsniveau moet zijn en of er een functionaris voor de gegevensbescherming moet worden aangesteld. De DPIA hanteert de maatstaf «high degree of risk». Er kunnen verwerkingen worden aangewezen in de verordening – of misschien een gedelegeerde handeling – die in elk geval als een verwerking met een «high degree of risk» worden aangemerkt. Wat een «high degree of risk» inhoudelijk is, valt ook te omschrijven: risico op identiteitsdiefstal, financiële schade, schending van beroepsgeheimen en nog enkele andere criteria.

Inzake artikel 22 (hoofdregels accountabilitybeginsel) stelt Nederland opnieuw dat de algemene formulering in lid 1, in combinatie met lid 2a, waar een andere norm wordt gehanteerd, namelijk «appropriate», een moeilijke combinatie. De bewijslast voor de toezichthouder wordt zodoende erg groot. En het lijkt ook niet nodig, gelet op de beschikbare alternatieven.

Nederland vindt dat artikel 23, lid 1, (hoofdregels privacy by design) ook in de nieuwe redactie in termen van juridisch bindende maatregelen een moeilijk afdwingbare en handhaafbare bepaling blijft. Nederland begrijpt de bedoeling van alle ingediende verbetervoorstellen wel, maar twijfel is nog niet weggenomen over de toegevoegde waarde.

Bij artikel 24 (hoofdregels gezamenlijke verantwoordelijkheid) stelt Nederland de vraag waarom er altijd sprake zou moeten zijn van een vorm van hoofdelijke aansprakelijkheid. Een goede risicoanalyse door de verantwoordelijk kan immers ook leiden tot de slotsom dat één van de verantwoordelijken de meest aangewezen verantwoordelijke is om de verplichtingen ten opzichte van betrokkene op zich te nemen en de risico's zoveel mogelijk te mitigeren. In de privacyverklaring moet dit dan natuurlijk wel duidelijk worden gemaakt.

Ten aanzien van artikel 25 (verplichting aanwijzing vertegenwoordiger in de EU indien verantwoordelijke buiten de EU is gevestigd) stelt Nederland, gesteund door vele lidstaten, dat het natuurlijk denkbaar is dat de uitkomst van een DPIA aangeeft dat het risico van een zodanige aard is dat een vertegenwoordiger in de Unie moet worden aangewezen. Echter, deze verplichting is nauwelijks handhaafbaar. Dat is ook onder het huidige recht al het geval.

Bij artikel 26 (verhouding verantwoordelijke en bewerker) stelt Nederland de vraag of er naast de zorgplicht van de bewerker niet meer moet worden geregeld. Er kan vrijwaringsclausule aan worden toegevoegd, of als alternatief een verplichting dit bij overeenkomst te regelen. Nederland ziet overigens graag expliciete ruimte om gezamenlijke verantwoordelijkheid ook bij nationale wet te kunnen vestigen in plaats van bij overeenkomst.

Bij artikel 28 (documentatieplicht) kan de verplichting voor de verantwoordelijke volgens Nederland beperkt blijven tot drie kernpunten: het contract met de verantwoordelijke, contracten met eventuele sub-bewerkers en zijn eigen beveiligings- en vertrouwelijkheidsverplichtingen.

De artikelen 29 tot en met 32 gaven Nederland geen aanleiding tot een interventie.

Aan artikel 33 hecht Nederland, mede gezien de motie van het lid Franken (Kamerstuk 31 051, D), veel belang. Nederland is van mening dat van de DPIA effectiever gebruik kan worden gemaakt dan de verordening voorschrijft. De uitkomsten van een DPIA kunnen bepalend zijn voor de vaststelling van de aanwezigheid en de aard van de risico’s en de daaraan verbonden verplichtingen van de verantwoordelijke. Nederland meent overigens dat niet in alle gevallen een DPIA gehouden hoeft te worden, Dat hoeft alleen bij een redelijk vermoeden van een hoog risico bij een bepaalde gegevensverwerking, tenzij de verordening zelf regelt dat voor bepaalde verwerkingen altijd een DPIA moet worden gehouden. Nederland kan akkoord gaan met artikel 33 lid 2, sub a, b, en d, maar herhaalt dat artikel 33, lid 2, sub c, (cameratoezicht) geen verwerking is die per definitie als hoog risico moet worden aangemerkt. Onder het geldende recht is er sprake van een aanvaardbaar risico. Teleurstellend is dat de voorstellen van Nederland over de functie van de DPIA geen noemenswaardige steun van andere lidstaten of van de Commissie ontvingen.

Wat artikel 34 (voorafgaande consultatie en toestemming toezichthouder) vraagt Nederland zich af wat het consulteren van de DPA toevoegt, indien de uitkomst van dit beraad of het uitblijven daarvan geen rechtsgevolg heeft. Voorafgaande raadpleging zorgt dan vooral voor administratieve lasten bij overheid en bedrijven en bestuurlijke lasten bij de toezichthouder. Verder moet om systematische redenen de wetgevingsadvisering worden geregeld in artikel 53. Die bevoegdheidmoet overigens beperkt blijven tot ontwerpwetgeving die voor het geheel of grotendeels betrekking heeft op gegevensverwerking en gegevensbescherming, en moet geen betrekking hebben op operationele activiteiten.

Artikel 35 geeft een gemengde basis voor de aanstelling van een functionaris voor de gegevensbescherming. Nederland is van mening dat als een functionaris naar aanleiding van de uitkomsten van een DPIA wordt aangesteld artikel 35, lid 1, sub b, kan worden geschrapt. De risicobenadering is ook voor dit artikel van groot belang.

De artikelen 36 tot en met 38 hebben geen aanleiding gegeven voor een interventie. Wel toont Nederland belangstelling ten opzichte van initiatieven van andere lidstaten de gedragscodes en privacycertificering verder uit te werken.

Ten aanzien van de verdere uitwerking van de risico-georiënteerde benadering in de artikelen 14 tot en met 20 maakt Nederland een algemeen studievoorbehoud.

Friends of the Presidency 14 februari 2013

Op deze vergadering wordt informeel van gedachten gewisseld over het thema «flexibiliteit voor gegevensverwerking in de publieke sector». De benaming van dit onderwerp is wat ongelukkig. Het suggereert ten onrechte dat voor de publieke sector met minder waarborgen zou kunnen worden volstaan. Dat is echter niet het geval. Het is overigens een zeer belangrijk vraagstuk. Veel lidstaten hebben aangegeven dat de keuze van de Commissie voor een verordening aanzienlijke consequenties heeft voor de structuur van hun nationale wetgeving, die in veel gevallen strengere voorschriften kent dan de verordening, zodat de verordening leidt tot een verlaging van de standaarden. Dat is voor die groep lidstaten – in elk geval in dit stadium van de onderhandelingen – niet aanvaardbaar. Er zijn lidstaten die een voorkeur hebben uitgesproken voor een richtlijn, of voor een beperking van de verordening tot de private sector.

Nederland stelt dat de publieke sector een bijzondere plek heeft in het maatschappelijk bestel. De overheid moet niet alleen gegevensbescherming voor de burger garanderen, maar ook tal van andere grondrechten. De overheid moet hierin altijd afwegingen maken. Het recht op bescherming van persoonsgegevens is niet absoluut en kan op bepaalde gronden worden beperkt. Daarom is flexibiliteit voor de publieke sector van groot belang. Nederland kiest een pragmatische weg. Niet door de bescherming te verminderen, maar door de mogelijkheid voor meer maatwerk voor de publieke sector – steeds op een wettelijke grondslag – in te bouwen binnen de verordening, door de rechten van de betrokkene waar nodig duidelijker af te stemmen op de eigen aard van de verhouding tussen overheid en burger en door in enkele afzonderlijke bepalingen wijzigingen voor te stellen. De in deze vergaderingen ingenomen standpunten zijn in deze en in de voorgaande voortgangsrapportages reeds uitgebreid voor het voetlicht gebracht.

Raadswerkgroep 27 februari 2013

In deze vergadering is de artikelsgewijze behandeling van de ontwerprichtlijn gegevensbescherming opsporing en vervolging voortgezet.

Het nieuwe Ierse voorzitterschap geeft een korte stand van zaken over de onderhandelingen over de ontwerpverordening en stelt voor om te overwegen om in een gedeelte van de tekst over gezamenlijke onderwerpen te verwijzen naar de tekst in de verordening. Op deze manier is ook de consistentie gewaarborgd. De Commissie geeft aan dat aan de JDC inmiddels de vraag is voorgelegd of het mogelijk is om bij de hoofdstukken VI en VII de tekst van de verordening te gebruiken.

Het voorzitterschap ziet vier verschillende belangrijke vragen spelen op dit dossier. In de eerste plaats de vraag of een nieuw instrument op dit moment nodig is omdat het huidige kaderbesluit dataprotectie pas in 2008 is vastgesteld. In de tweede plaats de vraag of in de richtlijn minimumnormen zouden moeten worden opgenomen, naar het model van het huidige kaderbesluit. In de derde plaats de vraag of de richtlijn ook de verwerking van persoonsgegevens in de lidstaten dient te omvatten, anders dan het huidige kaderbesluit dat uitsluitend van toepassing is op persoonsgegevens die tussen de lidstaten worden uitgewisseld. In de vierde plaats de zorgen van de lidstaten over de artikelen 5 en 6 van de ontwerprichtlijn en de amendementen van het Europees parlement ter zake.

Nederland vraagt nadrukkelijk aandacht voor de afgrenzing tussen de richtlijn en de verordening. Het is belangrijk om dit element ook nader te bespreken en toe te voegen aan de lijst van het voorzitterschap. In Nederland heeft de politie namelijk twee taken, te weten handhaven van de openbare orde en het strafrechtelijk opsporen. Hoe verhouden deze beide taken zich tot beide instrumenten? Het voorzitterschap geeft aan het Nederlandse verzoek te steunen; dit zal nader moeten worden bekeken.

Bij artikel 18 (verantwoordelijkheden van de voor de verwerking verantwoordelijke) stelt Nederland dat de door de verantwoordelijke te treffen maatregelen controleerbaar moeten zijn en stelt daarom voor in het eerste lid toe te voegen de woorden: «ensure and demonstrate». Tevens stelt Nederland voor de tekst van het tweede lid aan te vullen met een nieuw onderdeel (e): «toegang van de gegevens voor geautoriseerde personen voor de uitoefening van haar taak», zodat de toegang tot de gegevens is voorbehouden aan personen die daartoe zijn geautoriseerd.

Bij artikel 19 (privacy by design and by default) stelt Nederland voor deze bepaling aan te passen langs de lijnen van het aangepaste artikel 23 van de verordening.

Artikel 20 heeft Nederland geen aanleiding gegeven tot een interventie.

Ten aanzien van artikel 21 (verwerker) is Nederland van mening dat een gegevensverwerking door een verwerker, anders dan in opdracht van de voor de verwerking verantwoordelijke, eigenlijk niet mogelijk zou moeten zijn. Dit lid moet ofwel worden geschrapt worden ofwel nader worden bestudeerd.

De artikelen 22 (verwerking onder gezag van de voor de verwerking verantwoordelijke en de verwerker), 23 (documentering), 24 (bijhouden van registratie) en 26 (voorafgaande raadpleging van de toezichthoudende autoriteit) hebben Nederland geen aanleiding gegeven tot een interventie.

Bij artikel 27 (beveiliging van de verwerking) bepleit Nederland nauwe aansluiting bij artikel 30 van de verordening.

Bij artikel 28 (notificatie van een inbreuk op gegevensbescherming aan de toezichthoudende autoritweit) is Nederland van mening dat het de voorkeur verdient te kiezen voor de term «without undue delay» in plaats van een concrete tijdstermijn. De voorgestelde termijn van 24 uur is in ieder geval veel te kort. Verder stelt Nederland NL voor om in het derde lid de onderdelen c te schrappen, omdat dit overlap vertoont met onderdeel e. Ook het vierde lid moet worden geschrapt, omdat dit tot een dubbele documentatie zal leiden.

Bij artikel 29 heeft Nederland grote aarzelingen. De melding aan de betrokkene is niet wenselijk omdat deze dan op de hoogte kan raken van het opsporingsonderzoek. Uiteraard is de melding aan de nationale toezichthouder wel van belang.

Inzake de artikelen 30 (aanstelling van de functionaris voor gegevensbescherming), 31 (positie van de functionaris voor de gegevensbescherming) en 32 (taken van de functionaris voor de gegevensbescherming) heeft Nederland niet geïntervenieerd.

Friends of the Presidency 12 maart 2013

Op deze vergadering is opnieuw gesproken over het sanctieregime, de hoogte van de sancties en het gebrek aan procedurele en inhoudelijke waarborgen bij de sanctieoplegging. Nederland heeft zich in deze vergadering op dezelfde wijze uitgesproken als in de vergaderingen van 10, 30 en 31 januari 2013.

Verder is op deze vergadering nader van gedachten gewisseld over de status van geanonimiseerde en gepseudonimiseerde gegevens in de verordening. Het voorzitterschap suggereert om definities van deze gegevens op te nemen, zodat aan het gebruik daarvan rechtsgevolgen kunnen worden verbonden, zoals in het Duitse Bundesdatenschutzgesetz en het Telemediengesetz is gebeurd. Nederland heeft zich op dit onderdeel op dezelfde wijze uitgesproken als in de vergadering van 31 januari 2013.

Raadswerkgroep 13 en 14 maart 2013

Het voorzitterschap brengt de nieuwe rechten van de betrokkene opnieuw in bespreking op basis van een bijgewerkt voorstel.

Artikel 17 bevat het recht op het wissen van persoonsgegevens en het recht om te worden vergeten. Nederland wil nog altijd de bedoeling van dit recht voor de informatiemaatschappij ondersteunen, maar heeft net als veel andere lidstaten nog altijd grote twijfels over de gelding van dit recht buiten de sfeer van de informatiemaatschappij. Die beperkte betekenis komt tot dusverre onvoldoende tot uitdrukking in de tekst van de verordening. Nederland legt daarbij enkele uitgangpunten op tafel. Het recht om te worden vergeten kan als zodanig niet tegen de overheid worden uitgeoefend. Het recht is is ook niet passend in andere verhoudingen, zoals arbeidscontracten.

Artikel 17a bevat een van recht op het wissen van persoonsgegevens afgesplitst recht op het afschermen of blokkeren van persoonsgegevens. Dit recht moet nog verder worden doordacht. Het is in feite een regeling die geldt gedurende de periode dat het recht op correctie is ingeroepen, maar daaraan nog geen gevolg is gegeven. De vraag dan ook of het uit systematisch oogpunt wel op de goede plaats staat.

In artikel 17b wordt de overigens al geldende verplichting tot notificatie van ingewilligde verzoeken om wissen en correctie aan eenieder die de data heeft ontvangen geregeld. De vraag is of deze bepaling uitvoerbaar is wanneer de data op, bijvoorbeeld een sociale netwerksite, openbaar zijn gemaakt en vervolgens verder zijn verspreid. Vele lidstaten stellen die vraag.

In artikel 20 zijn de gevolgen geregeld van besluiten waaraan een vorm van profiliering ten grondslag ligt. Nederland kan zich vinden in de algemene lijn van de voorstellen van het voorzitterschap. Wel is Nederland, net als enige andere lidstaten, van oordeel dat de beperkingen voor gegevensverwerkingen in de sfeer van de direct marketing onredelijk ver gaan. Het is goed betrokkenen te eschermen tegen uitwassen van direct marketing, maar Nederland vindt niet dat het gebruik van persoonsgegevens voor dergelijk doeleinden niet principieel moet worden afgwezen wanneer de betrokkene zich daartegen niet verzet.

Het voorzitterschap begint thans met een tweede behandeling van de Hoofdstukken I (Algemene bepalingen) en II (Beginselen). Aangegeven wordt dat dit niet een tweede lezing is, maar een bespreking op basis van een eerste verwerking van de opmerkingen van alle lidstaten. Nederland geeft daarbij aan dat er, gezien een bestaand parlementair voorbehoud, niet kan worden voorgesorteerd op besluitvorming.

Nederland plaatst een studievoorbehoud bij artikel 1, derde lid. Het is volgens Nederland nog altijd niet duidelijk tot wie deze bepaling zich richt. Indien beoogd wordt de nationale wetgevers van de lidstaten een beperking op te leggen, dient dit te worden geëxpliciteerd. Daarna kan er een oordeel over worden gegeven.

Nederland dankt het voorzitterschap voor de verbeteringen in de tekst in artikel 2 (materiële reikwijdte). Nederland stelt dat een verduidelijking van artikel 2, lid 2, sub a, mogelijk in een overweging kan worden opgenomen. Artikel 2, lid 2, sub d, kan Nederland in deze vorm steunen, wel verdient misbruik van gegevens in de context van sociale mediasites de nodige aandacht. Tenslotte vraagt Nederland wat voor effecten artikel 2, lid 2, sub e, en de daaruit voortvloeiende afgrenzing met de richtlijn gegevensbescherming bij opsporing en vervolging op de politie en de Koninlijke Marechaussee, in het bijzonder de taken van de politie op gebied van de handhaving van de openbare orde en de politietaken van bestuursrechtelijke aard. Daarom plaatst Nederland een studievoorbehoud op artikel 2, lid 2, onder e.

Bij artikel 4 (definities) vraagt Nederland aandacht voor een tiental kwesties over de precisering van deze begripsomschrijvingen. De omschrijving van gegevens betreffende de gezondheid wordt door Nederland aan de orde gesteld, omdat deze nu een aantal verwerkingen in de sfeer van volksgezondheidsmaatregelen lijkt uit te sluiten. Dit geeft aanleiding tot discussie, omdat andere lidstaten menen dat de definitie niet beperkt genoeg is. Nederland plaatst een studievoorbehoud bij de definitie van datalek.

Bij artikel 5 meent Nederland dat verantwoordelijkheid als zodanig geen beginsel is van gegevensbeschermingsrecht. Daarom moet dit niet als beginsel in artikel 5 worden opgenomen.

Deze tweede behandeling van de tekst wordt door het Voorzitterschap niet meer afgerond. Aan het slot van deze werkgroep geven enkele lidstaten uiting aan hun grote zorg over het hoge tempo van de onderhandelingen en de onmogelijkheid om de uiterst complexe en omvangrijke teksten behoorlijk te behandelen en voor te bespreken.

Raadswerkgroep 27 maart 2013

Op deze raadswerkgroep stelt het Voorzitterschap opnieuw de competentieregeling voor de toezichthouders aan de orde, waarbij de artikelen 51 (vestigingsplaatscriterium) en 73 (individueel klachtrecht) maatgevend zijn. Daarnaast wordt opnieuw gesproken over het consistentiemechanisme (hoofdstuk VII, afdeling 2).

Begonnen wordt met een toelichting door de Juridische Dienst van de Raad op de gecompliceerde verhouding tussen de taken van de EDPB en de Commissie.

Wat beteft de «main establishment rule» acht Nederland de bijgewerkte voorstellen nog voor verbetering vatbaar, met name voor multinationale ondernemingen. Uitgangspunt zou kunnen zijn dat de bevoegdheidsregeling voor toezichthouders aangrijpt bij de plaats waar beleidsbeslissingen worden genomen, of aansprakelijkheid wordt aanvaard. Nederland meent verder dat er een voorziening moet worden getroffen om eventuele onduidelijkheden die bij de toepassing van de regeling aan het licht treden te kunnen beslechten. Daarnaast zal er iets geregeld moeten worden voor de praktische consequenties van het gezamenlijk bevoegd zijn van meer toezichthouders en hun onderlinge verhoudingen. Nederland herhaalt bij het onderwerp consistentiemechanisme zijn eerdere pleidooi voor aanstelling van een lead authority. Verder is een brede taakopvatting van de EDPB op zichzelf genomen niet bezwaarlijk. Als de EDPB hanhavingsrichtsnoeren, beleidregels of andere documenten vaststelt, is dat alleen aanvaardbaar wanneer wordt voorzien in de verplichting tot het horen van organisaties van belanghebbenden.

Conclusies worden aan deze discussie niet verbonden.

Terugblik

De eerste helft van het Ierse voorzitterschap tekent zich door een grote intensivering van de onderhandelingen. Duur en frequentie van de vergaderingen zijn sterk toegenomen. Er zijn daardoor grote stappen vooruitgezet bij de behandeling van de verordening. Ik ben het voorzitterschap daar dankbaar voor. Aandachtspunt is ook voor Nederland dat de zorgvuldige voorbereiding van de onderhandelingen hierdoor ook onder grote druk is komen te staan. Wat de richtlijn betreft is het duidelijk dat er nog weinig voortgang is geboekt. Ik verwacht echter dat dit in de laatste twee maanden van het Ierse voorzitterschap zal veranderen.

Reactie op de brief van het College bescherming persoonsgegevens van 4 maart 2013

1. Reactie op de rapporten van de EP-rapporteurs Albrecht en Droutsas

Ik heb in het algemeen overleg van 6 maart 2013 aangegeven dat ik in algemene zin een gemengd oordeel heb bij het rapport-Albrecht op het voorstel voor een verordening. Zo heb ik sterke bedenkingen bij de door de rapporteur voorgestane invulling van de rechtvaardigingsgrond «gerechtvaardigd belang». Een inhoudelijke invulling van dit begrip met regels acht ik niet alleen niet goed mogelijk, maar uit oogpunt van negatieve effecten op de economische waarde van gegevensbescherming beslist afkeurenswaardig. Onder omstandigheden zou een sectoraal georiënteerde invulling via richtsnoeren van de EDPB niet ondenkbaar zijn. Anderzijds acht ik de herstructurerering van de rechten van de betrokkene in het rapport zinvolle voorstellen.

Het rapport-Droutsas acht ik geen bijdrage aan de toch al relatief moeizame discussie rondom de richtlijn gegevensbescherming politie en justitie. Aanvaarding van dit rapport zou leiden tot een onevenwichtigheid tussen opsporingsbelang en belang van de bescherming van persoonsgegevens.

Voor het overige zie ik af van het geven van reacties op de amendementen van het EP. De enorme omvang van de amendering maakt dit praktisch onmogelijk.

2.1 Flexibiliteit publieke sector

Ik betreur het dat ook het Cbp er in de discussie over de verwerking van gegevens in de publieke sector blijkbaar van uitgaat dat dat de eigen aard van de verhouding tussen overheid en burger niet zou rechtvaardigen dat ook de regels voor gegevensbescherming worden toegesneden op de eigen aard van die verhouding. Ik heb hierboven bij de weergave van de discussies in de vergadering van 14 februari 2013 aangegeven hoe ik deze verhouding zie en welke consequenties ik daaraan voor de verordening verbind. Ik heb dit ook in mijn brief van 9 april 2013, Kamerstuk 33 169, H, aan de Voorzitter van de Eerste Kamer der Staten-Generaal verduidelijkt.

2.2 Begrip persoonsgegevens

Het opnemen van het criterium «singled out» bij het definiëren van persoonsgegevens is op ambtelijk niveau in de raadswerkgroep besproken. In zijn algemeenheid bestaat in de werkgroep terughoudendheid bij de gedachte een begripsbepaling die de afgelopen 15 jaar toch al veel bepalingsmoeilijkheden opleverde uit te breiden met dit element. Het lijkt bovendien dat de beoogde verhoging van het niveau van privacybescherming ook kan worden bereikt met een betere uitleg van het element «individualiseerbaar». De opvattingen van het Cbp over gespeudonimiseerde gegevens kan ik onderschijven.

2.3 Toestemming

Ik begrijp de voordelen die uit het hanteren van één definitie voor alle vormen van toestemming in de verordening volgen voor de handhavingspraktijk. Er zijn echter ook nadelen aan verbonden, omdat de eis van expliciete toestemming, onafhankelijk van de context van de verwerking, leidt tot onnodige administratieve lasten. Er bestaat in de Raad dan ook aarzeling ten aanzien van deze keuze.

2.4 EDPB en toezichthouders

Wat de financiële en facilitaire aspecten van het werk van de toezichthouders betreft, ben ik van oordeel dat lidstaten hun toezichthouder in staat moeten stellen hun taken op redelijke wijze te vervullen. Nederland doet dat. Daarbij moet ook rekening worden gehouden met de sterke druk op de budgetten en de dringende noodzaak de overheidsuitgaven te beheersen. Daarbij past niet een dwingend financieringsmodel zoals het Cbp dat voorstaat. Ik ben het overigens met het Cbp eens dat toezichthouders zelf hun taken moeten kunnen prioriteren. Dat hoort bij hun onafhankelijke positie.

2.5 Internationale doorgifte van persoonsgegevens

Ik ben mij ervan bewust dat het bij dit onderwerp om een bijzonder gevoelige materie gaat. Ik ben van mening dat de verordening in beginsel een zeer afgewogen, zij het gecompliceerd, samenstel van regels bevat voor de rechtvaardiging van de doorgifte van gegevens naar derde landen. Er zijn nog vragen te beantwoorden over de manier waarop kan worden omgegaan met doorgiften die voortvloeien uit eenzijdig geformuleerde verplichtingen opgelegd door de wetgeving of de rechter van een derde land. Ik stel het op prijs dat de Commissie dit probleem erkent en bereid is om daar met Nederland en de andere lidstaten verder aan te werken. Voor mij staat voorop dat een zo evenwichtig mogelijke regeling, waarbij zowel aan de belangen van betrokkenen, als aan de belangen van bedrijven voldoende recht wordt gedaan, het streefdoel is. Oplossingen om dit uitsluitend krachtens verdrag mogelijk te maken acht ik een onvoldoende oplossing.

2.6 Risk-based approach

Ik onderschrijf de visie van het Cbp over de risico-georiënteerde benadering graag. In de verslaglegging over het eerste kwartaal van 2013 kunt zien op welke wijze ik dit onder de aandacht heb gebracht.

De staatssecretaris van Veiligheid en Justitie, F. Teeven

Naar boven