32 761 Verwerking en bescherming persoonsgegevens

Nr. 50 BRIEF VAN DE STAATSSECRETARIS VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 21 juni 2013

Hierbij bied ik u, mede namens de Minister van Economische Zaken, het rapport «Toetsing Europese Dataprotectieverordening»1 aan. Dit rapport is in onze opdracht opgesteld door Sira Consulting te Nieuwegein om een zo goed mogelijk beeld te krijgen van de administratieve lasten en nalevingskosten, gemoeid met het voorstel voor een Algemene verordening gegevensbescherming van de Europese Commissie2. In het algemeen overleg met de Vaste Commissie voor Veiligheid en Justitie over de JBZ Raad van 6 en 7 juni 2013, dat plaatsvond op 5 juni 2013, heb ik u spoedshalve reeds mondeling op de hoogte gebracht van de kern van dit rapport en er een allereerste reactie op gegeven.

De reden voor het doen opstellen van dit rapport is dat de berekening van de administratieve lasten en nalevingskosten die gevoegd is bij het oorspronkelijke voorstel van de Europese Commissie3 naar mijn oordeel onvoldoende inzicht geeft in de specifieke situatie van Nederland en de effecten op het Nederlands bedrijfsleven. De Commissie heeft helaas niet willen ingaan op verzoeken van Nederland en enkele andere lidstaten om cijfers te verstrekken op lidstaatniveau, zoveel mogelijk uitgesplitst voor iedere afzonderlijke verplichting.

Verder hecht ik eraan deze lasten en kosten inzichtelijk te maken volgens de methodiek die hier in Nederland gebruikelijk is bij de indiening van voorstellen van wet. Daarbij wordt gebruik gemaakt van het standaardkostenmodel.

De uitkomsten van het rapport zijn dat de verordening leidt tot administratieve lasten (rapportageverplichtingen aan de overheid) van € 1,4 mln. per jaar en tot nalevingskosten van € 1,12 mld. tot € 1,46 mld. per jaar voor het Nederlands bedrijfsleven. De thans geldende Wet bescherming persoonsgegevens levert € 1,7 mln. per jaar op aan administratieve lasten en € 72,5 mln. per jaar aan nalevingskosten op voor het Nederlands bedrijfsleven. De berekening is uitgevoerd op het oorspronkelijk voorstel voor een verordening, zoals dat door de Commissie op 25 januari 2012 is vastgesteld. Bij de berekening moet worden vermeld dat op onderdelen een berekening niet uitvoerbaar bleek, onder meer omdat de invulling van een aantal verplichtingen die in betrekkelijk algemene termen zijn gesteld thans nog niet met voldoende zekerheid is te bepalen. Dat zou kunnen leiden tot hogere lasten.

Wat betreft de administratieve lasten is er sprake van een lichte daling. Wat betreft de nalevingskosten is er evident sprake van een zeer sterke stijging. Hoewel ik de uitkomsten van deze berekening zeer serieus neem, verdienen de uitkomsten wel in een perspectief te worden geplaatst. Dat perspectief is bepalend voor wijze waarop ik voornemens ben de onderhandelingen over de verordening voort te zetten.

Allereerst moet erop worden gewezen dat de verordening naast lasten en kosten ook baten heeft. De Europese Commissie heeft berekend dat die baten voor de Europese Unie als geheel € 2,3 mld. per jaar bedragen. Die baten vloeien primair voort uit de instrumentkeuze. Een verordening verzekert gelijke regels voor alle actoren in de Europese Unie en maakt een einde aan de fragmentatie van regelgeving die voortvloeit uit implementatie- en interpretatieverschillen die onder de richtlijn belastend blijven voor het bedrijfsleven. Daarnaast verdwijnt de bestaande meldplicht voor verwerkingen uit de verordening. Ik heb niet de behoefte die berekening in twijfel te trekken, noch het bedrijfsleven de voordelen die voortvloeien uit de instrumentkeuze te ontzeggen.

Daarnaast voorziet de verordening over het geheel genomen in een zwaardere verantwoordelijkheid voor bedrijven, burgers en de overheid in hun hoedanigheid als verantwoordelijke voor de verwerking van persoonsgegevens. Van meet af aan was duidelijk dat die zwaardere verantwoordelijkheid betekent dat de kosten gemoeid met de beschermen van persoonsgegevens toenemen. Dat past ook tegen de achtergrond van het sterk toegenomen belang van ICT voor bedrijven, burgers en de overheid in vergelijking met 1995 toen de huidige EU-privacyrichtlijn4 tot stand kwam.

Verder is het zo dat in de JBZ Raad de aandacht voor het vraagstuk van de evenwichtige verdeling van lasten over de verschillende soorten bedrijven, en dan met name het midden- en kleinbedrijf nadrukkelijk op de agenda staat. Dat heeft, nadat geruime tijd is onderhandeld over het voorstel voor een verordening, geleid tot ingrijpende wijzigingen in de bestaande teksten. Dit proces is voorlopig nog niet afgerond.

Dit alles doet uiteraard niet af aan de ernst van de boodschap. Er zal een uiterste inspanning worden geleverd om de nalevingskosten zoveel als mogelijk is terug te dringen. Ik zal mij er in de onderhandelingen veel meer dan reeds is gebeurd op gaan richten dat de oplegging van verplichtingen aan verantwoordelijken alleen dan gerechtvaardigd is, wanneer het risico gemoeid met een concrete verwerking dat rechtvaardigt. Ik acht het daarnaast onvermijdelijk dat in de verordening op veel grotere schaal wordt voorzien in de mogelijkheden van gedeeltelijke, of zelfs algehele vrijstelling van verplichtingen voor het midden- en kleinbedrijf en zelfstandigen zonder personeel. Dat zal ik voor iedere afzonderlijke verplichting afzonderlijk beoordelen. Mijn eindoordeel over het onderhandelingsresultaat zal afhankelijk zijn van de vraag of een behoorlijk evenwicht in voldoende mate wordt bereikt. Ik heb de Europese Commissie en de Raad dit standpunt meegedeeld.

Het ontgaat mij uiteraard niet dat de bescherming van persoonsgegevens een grondrecht is. Dit grondrecht is, zoals bekend, niet absoluut, maar moet steeds worden afgewogen tegen andere betrokken belangen. Voor zover het betreft het bedrijfsleven, spelen economische belangen bij die afweging ook een rol. Ik hecht daar in het bijzonder aan, omdat ik van oordeel ben dat het recht ook een bijdrage kan en moet leveren aan economisch groeipotentieel. Het voorstel van de Commissie levert daaraan thans nog niet een voldoende bijdrage. Dat zal moeten veranderen.

De Staatssecretaris van Veiligheid en Justitie, F. Teeven


X Noot
1

Toetsing Europese Dataprotectieverordening, Sira Consulting, Nieuwegein, 31 mei 2013, ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer

X Noot
2

COM (2012) 11.

X Noot
3

SEC {2012} 72, Annex 9.

X Noot
4

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281).

Naar boven