25 892
Regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens)

nr. 92c
MEMORIE VAN ANTWOORD

1. Algemeen

Met genoegen hebben wij kennis genomen van het verslag dat de commissie voor Justitie van Uw Kamer heeft uitgebracht. In verband met de in richtlijn nr. 95/46/EG (hierna: de richtlijn) opgenomen implementatietermijn is het van belang dat dit wetsvoorstel op korte termijn in werking kan treden. Met het oog daarop is getracht de vragen van de verschillende fracties zo uitvoerig en adequaat mogelijk te beantwoorden. Wij hopen daarmee dat het wetsvoorstel genoegzaam is voorbereid voor de openbare behandeling door Uw Kamer. Bij de beantwoording van de vragen is de volgorde van de hoofdstukken uit het verslag gevolgd.

De leden van de CDA-fractie vragen naar een duidelijke verklaring voor de vertraging die bij de voorbereiding van het wetsvoorstel is opgetreden. De leden van GroenLinks willen eveneens weten waarom er betrekkelijk veel tijd is verstreken tussen het moment van publicatie van de richtlijn en het moment van indiening van dit wetsvoorstel bij de Tweede Kamer. De leden van de CDA-fractie willen daarnaast weten hoe het planningsproces sedert 1994 is verlopen en waarom over de eerste en de tweede nota van wijziging geen advies aan de Raad van State is gevraagd.

De ambtsvoorganger van de huidige Minister van Justitie heeft inderdaad het voornemen kenbaar gemaakt het wetsvoorstel voor 1 juni 1997 te zullen indienen. Dit is achteraf bezien niet mogelijk gebleken. Omdat wij gestreefd hebben naar een wetsvoorstel dat, binnen de grenzen van de richtlijn, aanvaardbaar is voor de betrokken maatschappelijke sectoren, hebben wij besloten voorrang te geven aan overleg met deze sectoren boven het streven naar zo snel mogelijke voortgang. Het idee achter dit overleg was dat wanneer in een vroeg stadium tot overeenstemming kon worden gekomen met een aantal belangrijke sectoren uit de samenleving, de parlementaire behandeling sneller zou kunnen verlopen. De vele en indringende reacties van verschillende bij de uitvoering van het wetsvoorstel betrokken organisaties en instanties noopten tot veelvuldig overleg met deze betrokkenen en tot een weloverwogen en uitvoerige toelichting op verschillende onderdelen van het wetsvoorstel. Dit overleg en het opstellen van een adequate toelichting hebben meer tijd in beslag genomen dan aanvankelijk werd voorzien. Uiteindelijk is het wetsvoorstel om advies aan de Raad van State gezonden op 8 juli 1997. Het advies is ontvangen op 15 oktober 1997, waarna het nader rapport is uitgebracht op 6 februari 1998. Het verslag van de Tweede Kamer is vastgesteld op 3 juni 1998. In augustus 1998 trad het huidige kabinet aan.

De eerste ondergetekende constateerde bij zijn aantreden dat er nog steeds een aantal bezwaren bestonden tegen het toen voorliggend wetsvoorstel van het vorige kabinet. Op 1 september 1998 hebben de voorzitters van VNO/NCW en de Consumentenbond in een gezamenlijke persconferentie hun bezwaren tegen het wetsvoorstel publiekelijk geuit. De eerste ondergetekende heeft daarop bij brief van 2 oktober 1998 een reactie op hun bezwaren gegeven, van welke brief ook afschrift aan de Eerste Kamer is gezonden. Vervolgens heeft een overleg met beide voorzitters van 21 oktober 1998 geleid tot een bijstelling van het wetsvoorstel. Deze bijstelling is neergelegd in de eerste nota van wijziging van 2 december 1998. Voor een deel ging het om puur technische wijzigingen, voor een ander deel om belangrijke vereenvoudigingen waarbij bepalingen uit het wetsvoorstel zijn geschrapt. Geen van beide soort wijzigingen waren aanleiding om de Raad van State nogmaals om advies te vragen, daargelaten dat inmiddels de implementatietermijn was overschreden en elke onnodige verdere vertraging moest worden vermeden. Overeenkomstige overwegingen golden voor de tweede nota van wijziging.

De leden van de fracties van het CDA en GroenLinks vragen naar de stand van zaken rond de inbreukprocedure door de Europese Commissie voor het Europese Hof van Justitie wegens het niet-tijdig implementeren van de richtlijn. Op grond van artikel 228 EG verdrag kan de Commissie een procedure aanhangig maken bij het Hof van Justitie van de Europese Gemeenschappen. De Commissie heeft aangekondigd een dergelijke procedure aanhangig te maken tegen Nederland, Duitsland, Frankrijk, Luxemburg en Ierland. Na de mededeling van dit feit is tot dusver van de Commissie niets vernomen. De leden van de CDA-fractie vragen voorts of er rechterlijke uitspraken bekend zijn in Nederland dan wel uitspraken van de Registratiekamer waarbij met succes een beroep is gedaan op de rechtstreekse gelding van de richtlijn. Dit is niet het geval. Wellicht speelt daarbij een rol dat de bestaande Wet persoonsregistraties (hierna: de Wpr) reeds in vergaande mate in overeenstemming is met de richtlijn. Dit ligt ook voor de hand omdat zowel de Wpr als de richtlijn zijn gebaseerd op het Verdrag inzake gegevensbescherming uit 1981 van de Raad van Europa. Daar komt bij dat de Europese Commissie bij de voorbereiding van het ontwerp van de richtlijn de reeds bestaande wettelijke regimes in de lidstaten inzake de bescherming van persoonsgegevens, voor zover aanwezig, mede in ogenschouw heeft genomen. Zo heeft ook de Wpr, naast de wetten van andere landen, zijn invloed gehad op de inhoud van de richtlijn.

De richtlijn biedt lidstaten een zekere bandbreedte bij de implementatie van de voorschiften in hun nationale wetgeving. De leden van de VVD-fractie vragen nog eens duidelijk te maken waar het wetsvoorstel uitgaat boven de minimum-vereisten van de richtlijn.

Uitgangspunt bij het opstellen van het onderhavige wetsvoorstel is geweest het zoveel mogelijk aan te sluiten bij de voorschriften van de richtlijn. Waar mogelijk en wenselijk is de tekst van het richtlijnvoorschrift overgenomen in het voorstel voor de Wet bescherming persoonsgegevens (hierna: de Wbp). Dit geldt met name ten aanzien van de begripsomschrijvingen en de algemene beginselen betreffende de kwaliteit van de gegevens en de grondslagen voor de gegevensverwerking (hoofdstukken 1 en 2, paragraaf 1 van de Wbp). In een aantal gevallen is echter van dit uitgangspunt afgeweken. Soms was het namelijk op grond van artikel 5 van de richtlijn noodzakelijk nadere voorwaarden te stellen waaronder de verwerking van persoonsgegevens rechtmatig is. In dergelijke gevallen is weliswaar afgeweken van de letterlijke tekst van het richtlijnvoorschrift echter valt deze afwijking aan te merken als een nadere voorwaarde, gesteld binnen de grenzen die de richtlijn stelt, dus binnen de bandbreedte.

Als voorbeeld kan worden gewezen op artikel 9, tweede lid, van het wetsvoorstel waarin factoren worden geschetst die een rol spelen bij de vraag of een verwerking van persoonsgegevens verenigbaar is met het doel waarvoor deze gegevens zijn verkregen. In dit voorschrift wordt artikel 6, eerste lid, onderdeel b, van de richtlijn geconcretiseerd. In een aantal gevallen geeft de richtlijn zelfs uitdrukkelijk opdracht aan de lidstaten tot het stellen van dergelijke nadere voorwaarden of het geven van preciseringen. Zo draagt artikel 8, vierde lid, van de richtlijn de lidstaten op om passende waarborgen te bieden indien zij gebruik maken van de bevoegdheid om bij nationale wet te voorzien in andere afwijkingen op het verbod om bijzondere gegevens te verwerken dan bedoeld in artikel 8, tweede lid, van de richtlijn. Daarbij dienen passende waarborgen te worden geboden. Een groot deel van de voorschriften van paragraaf 2 van hoofdstuk 2 van dit wetsvoorstel vormen daar een uitwerking van. De nadere regeling die in artikel 21, vierde lid, wordt gegeven ten aanzien van genetische gegevens is weliswaar niet direct in de richtlijnvoorschriften terug te vinden echter valt wel binnen de bandbreedte die bij de implementatie van de richtlijn geoorloofd is. Dergelijke afwijkende voorzieningen waren soms noodzakelijk om het acquis van de Wpr overeind te houden. Uitgangspunt bij het opstellen van de richtlijn was immers dat de onderlinge aanpassing van de wetgeving van de onderscheidene lidstaten als gevolg van de richtlijn niet mocht leiden tot een verzwakking van de reeds geboden nationale bescherming van de persoonlijke levenssfeer (overweging nr. 10 bij de richtlijn).

Desalniettemin heeft de harmonisatie als gevolg van de richtlijn wel geleid tot een verandering in het beschermingsniveau dat thans op grond van de Wpr ten aanzien van de verwerking van persoonsgegevens wordt geboden. Het onverkort overnemen van de huidige voorschriften in de Wbp zou in strijd zijn met de bandbreedte van de richtlijn. Een voorbeeld is de aanscherping van de informatieverplichting van de verantwoordelijke op grond van de artikelen 10 en 11 van de richtlijn. De informatieverplichting van de verantwoordelijke vervalt op grond van de Wpr indien hij kan aannemen dat de betrokkene redelijkerwijs op de hoogte kan zijn. In de Wbp daarentegen dient de verantwoordelijke de betrokkene te informeren ten zij deze daarvan reeds op de hoogte is. Het oorspronkelijke voorschrift van de Wpr kon niet worden overgenomen in de Wbp omdat dit buiten de bandbreedte zou vallen: een dergelijke afzwakking van de richtlijnvoorschriften gaat beneden de minimumgrens. Een ander voorbeeld is de introductie van een vorm van schuldaansprakelijkheid in dit wetsvoorstel (artikel 49, vierde lid) als gevolg van artikel 23, tweede lid, van de richtlijn. De risicoaansprakelijkheid op grond van artikel 9, eerste lid, van de Wpr is daarmee als uitgangspunt verlaten. Het onverkort overnemen van deze risicoaansprakelijkheid in de Wbp zou leiden tot een aanscherping die buiten de bandbreedte zou gaan, namelijk boven de maximumgrens zou komen. Het is niet toegestaan buiten het hierboven geschetste kader af te wijken van de voorschriften van de richtlijn. Daarmee zou immers buiten de toegestane bandbreedte van de richtlijn worden getreden.

De leden van D66 vragen om een overzicht van voor de ministeries van Justitie en Binnenlandse Zaken en Koninkrijksrelaties relevante EU-richtlijnen op basis waarvan wetgeving in de maak is, alsmede de voortgang die bij de voorbereiding daarvan wordt gemaakt. Wij verwijzen deze leden naar de overzichten die door de Staatssecretaris van Buitenlandse Zaken ieder kwartaal aan de Voorzitter van de Tweede Kamer worden toegezonden en waarvan een afschrift aan de Voorzitter van uw Kamer wordt gestuurd (kamerstukken II, 21 109). Deze kwartaaloverzichten bevatten een overzicht van de implementatie van EG-richtlijnen waarbij wordt aangegeven welk departement eerstverantwoordelijk is, hoe de betreffende richtlijn wordt omgezet, of de omzettingstermijn reeds verstreken is, of er een inbreukprocedure loopt en in welk stadium de omzetting verkeert.

De leden van D66 vragen tevens naar «het moment waarop zonder risico van een Europese infractieprocedure de desbetreffende wetsvoorstellen bij de Staten-Generaal aanhangig gemaakt dienen te worden». Het antwoord op deze vraag hangt af van de reden waarom de Commissie een inbreukprocedure start. Indien er sprake is van overschrijding van de implementatietermijn vastgesteld in de richtlijn is het risico van een inbreukprocedure kleiner naarmate een wetsvoorstel eerder bij de Staten-Generaal aanhangig gemaakt wordt. Is er sprake van een onjuiste omzetting van een richtlijn dan doet het moment waarop een wetsvoorstel aanhangig wordt gemaakt er niet toe. In dat geval wordt een inbreuk- procedure niet voorkomen door tijdige implementatie.

2. Reikwijdte van het wetsvoorstel

De leden van de CDA-fractie vragen of het uitgangspunt «persoonsgegevens zijn geheim tenzij» in de tegenwoordige informatiemaatschappij nog wel toereikend is. Zij citeren daarbij Schreuders die constateert dat persoonsgegevens openbaar zijn, tenzij... Daarom zou anonimiteit actief bewerkstelligd moeten worden.

In de eerste plaats nemen wij afstand van de stellingname dat het wetsvoorstel zou uitgaan van het beginsel «persoonsgegevens zijn geheim, tenzij». Persoonsgegevens kunnen worden gebruikt voor de doeleinden waarvoor zij oorspronkelijk zijn verzameld. Tevens kunnen zij worden gebruikt voor andere doeleinden wanneer die verenigbaar zijn met het oorspronkelijk doel. Een voorbeeld is de archivering van persoonsgegevens, of het gebruik voor statistische doeleinden met het oog op planning of beleidsvoering. In het algemeen zijn dit doeleinden die verenigbaar worden geacht met enig oorspronkelijk doel, zo blijkt onder meer uit artikel 9, derde lid. Het oorspronkelijk doel, dan wel het andere, daarmee verenigbare doel kunnen zeer wel een brede verspreiding van persoonsgegevens met zich meebrengen. Daarbij gaat het niet om een uitzondering, maar om de directe toepassing van één van de uitgangspunten van de wet. Geheimhouding, met overigens weer uitzonderingen, komt pas in beeld wanneer het gaat om geheimhouding uit hoofde van ambt, beroep of wettelijk voorschrift, omschreven in artikel 9, vierde lid. Zo zal een ambtenaar, die immers is onderworpen aan zijn ambtelijke geheimhoudingsplicht, niet persoonsgegevens voor verenigbare doelen kunnen verwerken tenzij zijn taakuitvoering of een wet hem daartoe verplicht. Een relevante wet in dit opzicht is de Wet openbaarheid van bestuur die de uitzonderingen omschrijft op de ambtelijke geheimhoudingsplicht.

Verspreiding van persoonsgegevens overeenkomstig het doel waarvoor de gegevens oorspronkelijk zijn vergaard of voor daarmee verenigbare doelen, moge onder omstandigheden ruim zijn, het impliceert desondanks een soms te knellende beperking. Dan komen weer de uitzonderingen in beeld als omschreven in artikel 43, bijvoorbeeld ten behoeve van de opsporing van strafbare feiten. Deze vinden hun regeling in het Wetboek van Strafvordering.

Desondanks delen wij de mening van deze leden dat de tegenwoordige informatietechnologische mogelijkheden om persoonsgegevens te misbruiken, noodzaken om te zien naar aanvullende mogelijkheden om een behoorlijke en zorgvuldige omgang met persoonsgegevens te waarborgen. Daarbij kan gedacht worden aan gedeeltelijke of algehele anonimisering, bijvoorbeeld door persoonsgegevens te ontdoen van identificerende kenmerken of door ze af te schermen voor bepaalde toepassingen of gebruikers. In deze lijn is bij amendement 22 van de Tweede Kamer artikel 13 van het wetsvoorstel aangevuld in die zin dat de voorgeschreven beveiligingsmaatregelen er mede op moeten zijn gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Daarmee is de wettelijke basis gegeven voor de toepassing van privacy enhancing technology (PET). Het komt ons voor dat dit soort regels aansluiten bij de zich ontwikkelende informatietechnologie. Daar komt bij dat de Tweede Kamer motie nr. 31 heeft aangenomen, waarin de regering wordt opgeroepen in haar eigen informatiesystemen ook dergelijke technologieën toe te passen. We hebben uit hun vragen de indruk dat deze leden deze ontwikkeling onderschrijven. Een belangrijke concrete invulling van PET vanwege de overheid bij de eigen verwerking van persoonsgegevens is inmiddels ondernomen in het kader van de interdepartementale PKI (Public Key Infrastructure) Taskforce. De Registratiekamer is hier nauw bij betrokken. De PKI Taskforce beoogt een betrouwbare infrastructuur te realiseren ten behoeve van digitale communciatie tussen de overheden en tussen de overheid en de samenleving. Deze infrastructuur zal de basis vormen voor onder andere een verbeterde digitale dienstverlening, het beschikbaar stellen van informatie en electronisch stemmen.

Deze leden menen dat de richtlijn en het wetsvoorstel in overwegende mate zijn opgezet vanuit een bestuursrechtelijke invalshoek. Zij menen dat daarmee is voorbijgegaan aan de mogelijkheden om het privacyrecht in te bedden in het civiele recht en in het bestuursrecht, waardoor uiteenlopende private partijen geen partij meer zijn in de discussies over de bescherming van hun persoonlijke levenssfeer. De privacybescherming zou daardoor teveel een status aparte krijgen en formeel prevaleren boven andere belangen. Deze leden zouden de voorkeur geven aan de totstandkoming van gedragscodes en «best practices». Zij vragen of niet ook de richtlijn had kunnen worden geïmplementeerd via algemene leveringsvoorwaarden van een bedrijf, in een CAO en dergelijke.

Het wetsvoorstel is, zoals uiteengezet in de memorie van toelichting, opgezet tegen de achtergrond dat enerzijds de richtlijn moest worden geïmplementeerd, anderzijds de wetenschappelijke evaluaties van de Wpr moesten worden verwerkt. Deze zijn uitvoerig in de memorie van toelichting besproken. Voor zover de evaluaties geen aanleiding gaven tot wijziging, is binnen de marges die de richtlijn toeliet, de Wpr in beginsel gehandhaafd. Deze dateert immers van eind 1988 en vormt dus een relatief recente vaststelling van de wetgever. Afgezien van de evaluaties en de richtlijn was er geen aanleiding af te wijken van het acquis van de Wpr. Het huidige kabinet onderschrijft deze keuze.

Ten opzichte van de Wpr is er in zoverre sprake van een minder bestuursrechtelijke aanpak in die zin dat de reglementsplicht voor de overheid is vervallen. Wat betreft de melding aan de Registratiekamer is daarmee de overheid op één lijn gesteld met het bedrijfsleven. Wij nemen aan dat de leden echter doelen op het uniforme regime van inhoudelijke normen dat geldt voor zowel overheid als bedrijfsleven waarbij vooral de notie van «noodzakelijk voor» verwijst naar onder meer artikel 8 van het EVRM welk verdrag ziet op de verhouding tussen overheid en burger. Ten opzichte van de Wpr kan de indruk ontstaan dat daarmee voor de private sector een aangescherpt regime zou gaan gelden.

Een eerder ontwerp van de richtlijn, opgesteld door de Europese Commissie, bevatte het voorstel een verschillend regime voor de publieke en de private sector in het leven te roepen. Een meerderheid van de lidstaten hebben deze benadering afgewezen enerzijds omdat het gevaar van inbreuken op de persoonlijke levenssfeer door de verwerking van persoonsgegevens in beide sectoren vergelijkbaar werd geacht, anderzijds omdat het begrip «noodzakelijk» voldoende flexibiliteit werd toegekend om in te spelen op de uiteenlopende noden van bedrijfsleven en overheid. Het gaat hierbij immers om een relatief begrip:«noodzakelijk» verwijst altijd naar «noodzakelijk voor». Het begrip krijgt zijn inhoud pas door de context waarin het wordt gebruikt. Daar de context in de private sector een andere is, dan in de publieke sector, krijgt het daardoor reeds een andere inkleuring. Daar komt bij dat vanuit de Nederlandse ervaring moest worden geconstateerd dat het onderscheid in inhoudelijke regimes voor overheid en bedrijfsleven in de Wpr niet tot aanwijsbare verschillen heeft geleid. Om de regelgeving niet onnodig ingewikkeld te maken heeft Nederland in het kader van de totstandkoming van de richtlijn ermee ingestemd dat de feitelijk bestaande uniformiteit in regimes, ook werd gecodificeerd.

Wellicht is vermeldenswaard dat het VNO/NCW in zijn brief van 25 maart 1998 bepleit om het begrip «necessary» (vertaald met «noodzakelijk» in de Nederlandse versie van de richtlijn) in artikel 7, onder f, van de richtlijn in het Nederlands voor de private sector te vertalen met «nodig» of «redelijkerwijs nodig». Daarin lag de gedachte besloten dat voor het bedrijfsleven een minder «bestuursrechtelijke» benadering passend zou zijn. Wij hebben aan dit verzoek geen gevolg gegeven. Het is Nederlands wetgevingsbeleid om bij de implementatie van Europese richtlijnen zo dicht mogelijk de tekst van de Europese regels te volgen en daaraan geen eigen interpretatie te geven. De herkomst van het begrip «noodzakelijk» ligt in artikel 8, tweede lid, EVRM. In de oorspronkelijke Nederlandse vertaling van het EVRM in het Traktatenblad van 1951 (154), is dit begrip vertaald met «nodig». In het licht van de daaropvolgende jurisprudentie van het Europese Hof voor de Rechten van de Mens (EHRM) is in de nieuwe vertaling van 1990 (Trb. 156) dit begrip vertaald met «noodzakelijk». De in de Europese en Nederlandse jurisprudentie daarmee verbonden begrippen als «proportionaliteit» en «subsidiariteit» zouden minder duidelijk tot hun recht komen wanneer nu weer zou worden teruggekeerd tot het oude begrip «nodig», laat staan «redelijkerwijs nodig». De Nederlandse burger zou in de Nederlandse wet verkeerd worden geïnformeerd over de strekking van de bepaling, waarvan in laatste instantie toch de betekenis wordt vastgesteld door het Hof van Justitie in Luxemburg. Deze pleegt in zijn jurisprudentie, waar het gaat om de interpretatie van grondrechten, die van het EHRM te volgen.

Het verschil in inhoudelijke normen tussen de publieke en private sector in de Wpr had in de bedoeling van de wetgever gestalte moeten krijgen via de uniforme procedure via de civiele rechter (artikel 34, zesde lid, van de Wpr). In de artikelen 45 en 46 van de Wbp is qua procedure gekozen voor een verschillend regime voor de publieke en private sector. Gaat het om de publieke sector dan is de administratieve rechtsgang van de Algemene wet bestuursrecht van toepassing. Verwacht mag worden dat de jurisprudentie in deze lijn aansluiting zal zoeken bij beginselen van behoorlijk bestuur. Gaat het om de private sector dan is de civiele rechter bevoegd. Verwacht mag worden dat diens jurisprudentie zich zal ontwikkelen volgens de algemene beginselen die zijn ontwikkeld in het kader van het leerstuk van de onrechtmatige daad. Het kan niet worden uitgesloten dat aldus, met behoud van het uniforme inhoudelijke regime van de richtlijn, de diversiteit van beide sectoren, via de procedure voor de verdere rechtsontwikkeling door de rechter, beter tot zijn recht zal komen dan onder de Wpr.

Wij delen niet de mening van deze leden dat door in het wetsvoorstel gemaakte keuze, private partijen in mindere mate zouden kunnen deelnemen aan discussies over hun belangen. Het wetsvoorstel bevat enkel algemene inhoudelijke normen die op het bovensectorale niveau de precisie van concrete gedragsvoorschriften ontberen. Welke verstrekking voortvloeit uit het doel van de gegevensverwerking, welk gebruik verenigbaar is met het oorspronkelijk doel etc. is vaak niet met een eenvoudig ja of nee te beantwoorden, maar behoeft sectorale invulling. Zo is in Nederland voor de sociale zekerheid, de politie, de justitiële documentatie, de bevolkingsboekhouding en de medische dossiers, sectorale regelgeving tot stand gebracht. Voor het bedrijfsleven is daarvan voorshands afgezien om tegemoet te komen aan het verlangen deze concretisering via zelfregulering tot stand te brengen. Deze zelfregulering kan ook de vorm van jurisprudentie aannemen. Een voorbeeld is de openbare uitspraak van de Reclame Code Commissie van 24 januari 2000 waarbij als strijdig met de Nederlandse Reclame Code werd geoordeeld een advertentie waarbij een bepaalde korting in het vooruitzicht werd gesteld, zonder de vermelding dat de volledige korting afhankelijk werd gesteld van de verstrekking van enige persoonsgegevens.

Slechts op het gebied van het arbeidsrecht is er in artikel 27, eerste lid, onder k, van de Wet op de ondernemingsraden de procedurele norm opgenomen dat de ondernemingsraad dient in te stemmen met regelingen over de registraties van, de omgang met en de bescherming van de persoonsgegevens van in de onderneming werkzame personen.

In het kader van de voorbereiding van de richtlijn is op Nederlands advies ervan afgezien dat organisaties van betrokkenen zouden moeten participeren in de voorbereiding van een gedragscode. Dit voorschrift in de Wpr bleek immers in de praktijk soms aan de totstandkoming van een gedragscode in de weg te staan. Dat laat onverlet dat de inschakeling van dergelijke vertegenwoordigende organisaties wenselijk is.

Evenmin delen wij de mening van deze leden dat privacybelangen een status aparte zouden hebben en daarmee formeel prevaleren boven andere belangen. De Wpr en straks de Wbp bevestigen wel een formele juridische relatie tussen gegevens en de persoon waarop de gegevens betrekking hebben. Deze relatie is er ook wanneer er geen inbreuk op de persoonlijke levenssfeer aan de orde is, bijvoorbeeld in het geval van een abonnementsregistraties van een tijdschrift. Persoonsgegevens zijn daarmee juridisch relevant geworden. Hiermee zijn de rechtsregels naar een hoger abstractieniveau getrokken.

Voorheen waren er bepaalde beroepsgroepen met een geheimhoudingsplicht. De medische stand is hiervan het duidelijkste voorbeeld. Ook ambtenaren hadden een geheimhoudingsplicht, die zich mede uitstrekte tot persoonsgegevens die hun ter kennis waren gekomen. Deze regels zijn inmiddels aangevuld met regels over een behoorlijke en zorgvuldige omgang met persoonsgegevens, los van bepaalde beroepsgroepen en ongeacht wie deze gegevens onder zich heeft. Hiermee zijn niet de klassieke geheimhoudingsvoorschriften vervangen, maar zij komen in aanvulling daarop. De nieuwe regels voorzien ook niet in een algemene geheimhoudingsplicht, doch bevatten veeleer voorschriften tot het gebruik van de gegevens aannemende dat de verzameling en vastlegging ervan is gerechtvaardigd. De regels omtrent de verzameling, de vastlegging en het gebruik voorzien uitdrukkelijk in een afweging van het belang van betrokkenen tegen andere belangen. Daarmee geeft de wettekst zelf al aan dat privacybelangen niet ipso facto prevaleren.

Als laatste reactie op de opmerkingen van deze leden willen wij ingaan op de gedachte de regels van de richtlijn om te zetten en op te nemen in het civiele en het administratieve recht in plaats van daarvoor een afzonderlijke wet te maken. Het zou dan gaan om regels in het BW en in de Algemene Wet bestuursrecht. Om verschillende redenen wijzen wij deze gedachte af. Het recht inzake de bescherming van persoonsgegevens is met de richtlijn een aangelegenheid van de Europese Unie geworden. De verdere rechtsontwikkeling zal in hoofdzaak vanuit de instellingen van de Unie worden geïnitieerd. Het komt de toegankelijkheid van dit rechtsgebied ten goede indien de bovensectorale regels telkens in een enkele wet worden opgenomen. Zo is dit ook met de Wpr gebeurd. De evaluaties van deze wet hebben in dit opzicht geen contra-indicaties opgeleverd. Zo hebben ook alle landen van de Unie dit tot dusver gedaan. Het lijkt ons wenselijk in beginsel deze gedragslijn te volgen. Daarmee kan de indruk ontstaan dat zich geleidelijk een nieuw rechtsgebied vestigt inzake de bescherming van persoonsgegevens. Wij hebben geen aanleiding deze indruk te vermijden. Dit rechtsgebied zal dan blijken zijn wortels te hebben in deels de Grondwet, deels het civiele, deels het administratieve recht. In de zich ontwikkelende informatiemaatschappij lijkt ons een dergelijk nieuw rechtsgebied niet te zullen misstaan.

Verder kunnen wij deze leden niet volgen in hun voorkeur voor een directe materiële uitwerking van fair play normen in plaats van meer procedureel getinte preciseringen van proportionaliteits- en subsidiariteitsbeginselen. Wij menen dat juist deze twee beginselen veeleer een materiële norm bevatten dan een procedurele en ook de ruimte bieden om de belangen van de betrokkenen af te wegen tegen andere belangen in de desbetreffende sector.

Evenmin kunnen wij deze leden volgen in hun tegenstelling dat de richtlijn gegevensverkeer «in goede banen zou leiden» terwijl het wetsvoorstel barrières zou opwerpen. Het wetsvoorstel volgt nauwgezet de richtlijn, neemt het acquis van de Wpr over voor zover uit de evaluaties blijkt dat deze waardevol zijn gebleken en vult op enkele plaatsen de algemene normen van de richtlijn in, bijvoorbeeld op het punt van de gevoelige gegevens. De kansen van ICT-ontwikkelingen worden daardoor niet gefrustreerd, zoals deze leden menen. Integendeel, zij vormen een belangrijke bijdrage aan het vertrouwen van de consument en de burger in een zorgvuldig gebruik van de door hem in het kader van ICT-gebruik ter beschikking gestelde gegevens. Daarnaast willen wij erop wijzen dat de implementatie van de richtlijn in de Nederlandse wetgeving een voorwaarde is voor een uniforme interne markt binnen de EU waarbij geen belemmeringen voor het grensoverschrijdende gegevensverkeer binnen de Unie meer mogen worden opgeworpen om redenen van gegevensbescherming. Juist waar ICT-gebruik grensoverschrijdende handel kan faciliteren, is een dergelijk vertrouwen van de consument onontbeerlijk.

Deze leden menen dat gegevensverwerking in beginsel altijd een relatie heeft met belangen van betrokkenen of diens persoonlijke levenssfeer. Zij vragen of er ook samenhangen zijn waarbij dit niet of nauwelijks het geval is en zo ja, hoe daarmee rekening is gehouden in het wetsvoorstel. Wij wijzen erop dat noch in de titel van het wetsvoorstel, noch in de considerans enige verwijzing voorkomt naar de bescherming van de persoonlijke levenssfeer. Onder punt 4.5 van de memorie van toelichting (blz. 10 en 11) hebben wij uiteengezet dat ook andere grondrechten, bijvoorbeeld dat van non-discriminatie, in het geding kunnen zijn bij de bescherming van persoonsgegevens. Weliswaar vindt dit rechtsgebied zijn oorsprong in de bescherming van de privacy. Dit blijkt ook uit de opdracht in de Grondwet, die gelieerd is aan de privacy, alsmede aan de jurisprudentie van het Europese Hof voor de Rechten van de Mens die aanknoopt aan artikel 8 EVRM. Hierboven hebben wij het perspectief geschetst van een afzonderlijk rechtsgebied dat geleidelijk emancipeert op zijn oorsprong, niet alleen de persoonlijke levenssfeer beschermt, doch evenzeer andere grondrechten. Dit nieuwe perspectief komt ook tot uitdrukking in onder meer artikel 1 van de richtlijn, wanneer dit spreekt van «de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op de persoonlijke levenssfeer».

Natuurlijk zijn er situaties waarin de verwerking van persoonsgegevens geen enkele inbreuk maakt op de persoonlijke levenssfeer of op andere fundamentele rechten, bijvoorbeeld de klantenadministratie van een bedrijf dat op rekening verkoopt. Dit laat onverlet dat dergelijke persoonsgegevens toch op een manier kunnen worden gebruikt dat een dergelijke inbreuk wel aanwezig is. Wordt de klantenadministratie bijvoorbeeld verkocht aan een ander bedrijf, dat vervolgens de klanten via de telefoon zijn producten tracht te slijten, dan kan er wel degelijk sprake zijn van een inbreuk. Zij moeten dan ten minste de gelegenheid hebben daartegen bezwaar te kunnen maken.

De regels met betrekking tot persoonsgegevens in het algemeen beogen in beginsel te voorkomen dat inbreuk wordt gemaakt op de persoonlijke levenssfeer. Zij regelen, zou men kunnen zeggen, een gevaarzettende situatie. Wanneer de regels worden nageleefd, zal er in het algemeen geen inbreuk op de persoonlijke levenssfeer zijn. Anders ligt het met de gevoelige gegevens of daarmee op één lijn gestelde gegevens, zoals de strafrechtelijke (al deze gegevens worden overkoepelend aangeduid als «bijzondere gegevens»). Daarvan moet worden aangenomen dat de opslag en het gebruik ervan in de regel inbreukmakend zijn. De wettelijke precisering impliceert een dergelijk rechtsvermoeden. Dezelfde gedachte lag ten grondslag aan de eis van artikel 7 van de Wpr dat voor gevoelige gegevens na een overgangstijd een formeel-wettelijke basis vereist, welke voldoet aan de eisen van artikel 8, tweede lid, EVRM en artikel 10 van de Grondwet. Daarom zijn de bepalingen over bijzondere persoonsgegevens, die mede betrekking hebben op de gevoelige gegevens, ook veel gedetail- leerder uitgewerkt dan die met betrekking tot de overige gegevens. Deze komen veel meer in de richting van concrete gedragsvoorschriften welke tegemoet komen aan de voorzienbaarheidseis van het Europese Hof voor de Rechten van de Mens ten aanzien van wettelijke regelingen die inbreuken op de persoonlijke levenssfeer mogelijk maken. Dat rechtvaardigt ook het verbod van gegevensverwerking in artikel 16 buiten de wettelijk omschreven situaties. Dit is in wezen een herhaling van het verbod van artikel 8, eerste lid, EVRM, zoals dit ook in artikel 10 van de Grondwet is neergelegd.

Deze leden vragen vervolgens naar de juridische status van berichten. Zou het niet de voorkeur verdienen om transmissie geheel uit te sluiten van het verwerkingsbegrip (ook indien sprake is van tijdelijke opslag tijdens de transmissie). Het overnemen van deze suggestie stuit af op de definitie van het begrip «gegevensverwerking» in artikel 2, onderdeel b, van de richtlijn. Daar wordt tevens het «verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen» als voorbeeld van verwerken genoemd. Dit onderdeel van de definitie is daarom ook opgenomen in het wetsvoorstel. Deze keuze vloeit voort uit het uitgangspunt elke wijze van omgaan met persoonsgegevens te normeren. De normadressaat is de verantwoordelijke, degene die het doel en de middelen van de gegevensverwerking bepaalt. Wanneer een transporteur van gegevens, waaronder mogelijk persoonsgegevens, op de inhoud ervan geen invloed kan uitoefenen, hetzij feitelijk, hetzij omdat hij daartoe juridisch niet gemachtigd is, kan hij niet worden aangesproken op de naleving van de wettelijke normen, omdat hij niet doel en middelen van de gegevensverwerking bepaalt. Dat wil overigens niet zeggen dat hij niet gehouden de voorschriften inzake beveiliging na te komen. Ook is denkbaar dat enige aansprakelijkheid bij het transport van gegevens wettelijk is uitgesloten, zoals in hoofdstuk II, sectie 4, van het ontwerp van de richtlijn elektronische handel dat thans voorligt bij het Europees Parlement. De transporteur kan ook dan niet worden aangesproken als verantwoordelijke in de zin van het onderhavige wetsvoorstel. In de overige gevallen is hij wel aansprakelijk voor naleving van de regels naar de mate waarin hij zeggenschap heeft over de verwerking. Indien de zeggenschap uiteenloopt naar verschillende handelingen met de gegevens, differentieert zich ook dienovereenkomstig de aansprakelijkheid als verantwoordelijke voor de desbetreffende vormen van gegevensverwerking. Dat is bedoeld met «geschaalde» verantwoordelijkheid op de door deze leden aangehaalde bladzijden 59 en 60 van de memorie van toelichting. Wat de één doet en mag doen heeft meer betrekking op de buitenste schaal, terwijl wat een ander binnen dat kader mag doen met overigens dezelfde gegevens, kan worden geduid als een daarbinnen zich bevindende schaal. De feitelijke en juridische mogelijkheden om handelingen te verrichten met persoonsgegevens, bepalen de omvang van de aansprakelijkheid als verantwoordelijke voor die gegevens. Het onderscheid opslag of transport van die gegevens, met de variant opslag ter fine van transport, is daarbij niet relevant. Zoals deze leden opmerken kan dat leiden tot verrassingen, bijvoorbeeld ten aanzien van Internet. Voor zover dit niet leidt tot onwenselijke resultaten, lijkt dit ons een toe te juichen blijk van het techniek-onafhankelijke karakter van de voorgestelde regels. Voorts vragen de leden van de CDA-fractie of in de wetgevingsvoorbereiding voldoende zicht bestaat op technische mogelijkheden in relatie tot hetgeen als strafbaar moet worden gekwalificeerd. Het in wetsvoorstel 24 610 voorgestelde artikel 441c van het Wetboek van Strafrecht blijkt inderdaad meer problemen te geven dan aanvankelijk verwacht. Om die reden hebben wij het voornemen bij nota van wijziging die bepaling in dat wetsvoorstel te laten vervallen. De leden van de CDA-fractie vragen– in verband met de amendementen nr. 20 bij dit wetsvoorstel en nr. 5 bij het wetsvoorstel tot wijziging van bepalingen met betrekking tot de verwerking van persoonsgegevens (Kamerstukken II, 26 410) – om een heldere uiteenzetting van de rechtspositie van de functionaris voor de gegevensbescherming als bedoeld in artikel 62 van het wetsvoorstel.

Door de van overeenkomstige toepassing verklaring van artikel 21, vierde lid, van de Wet op de ondernemingsraden krijgt de functionaris voor de gegevensbescherming een gelijkwaardige bescherming als werknemers in een onderneming die lid zijn van een ondernemingsraad. Dit brengt onder meer het volgende met zich mee. Zijn dienstbetrekking kan niet worden beëindigd zonder voorafgaande toestemming van de kantonrechter. De kantonrechter verleent de toestemming slechts indien het hem aannemelijk voorkomt dat de beëindiging geen verband houdt met de werkzaamheden van de betrokken persoon als functionaris voor de gegevensbescherming in de onderneming. Dit voorschrift beoogt een waarborg te geven voor een onafhankelijk optreden voor de functionaris. De betrokkene kan wegens zijn functioneren niet worden benadeeld met betrekking tot promotiekansen of de verdeling van werk. De functionaris kan via de kantonrechter de nakoming van deze verplichtingen vorderen. De toestemming van de kantonrechter is niet vereist wanneer de betrokkene schriftelijk in de beëindiging heeft toegestemd, wanneer deze geschiedt wegens een dringende aan de werknemer onverwijld medegedeelde reden of bij beëindiging van de werkzaamheden van de onderneming. In het geval van bijvoorbeeld van een dringende reden kan de werkgever de kantonrechter verzoeken de dienstbetrekking op deze grond ontbonden te verklaren (artikel 670a van Boek 7 van het Burgerlijk Wetboek). Aan de dringende reden zullen extra zware eisen gesteld moeten worden ten einde te voorkomen dat deze procedure het ontslagverbod zou ontkrachten (MvA II bij de wet van 22 mei 1981, Stb. 416). De kantonrechter zal de dienstbetrekking niet ontbonden verklaren op grond van veranderingen in de omstandigheden als deze veranderde omstandigheden verband houden met de functie van de betrokkene op het gebied van de gegevensbescherming.

In het geval van een spanningsveld tussen de functionaris en de verantwoordelijke, bijvoorbeeld over de uitleg van de onderhavige wet, heeft de verantwoordelijke eenduidig het laatste woord. De functionaris kan niet worden afgeremd in zijn mogelijkheden tot onderzoek. De adviezen die hij als resultaat daarvan uitbrengt, zijn echter niet bindend. De verantwoordelijke heeft de vrijheid daarvan afwijkende beslissingen te nemen.

Deze leden vroegen verder naar de rechtsgevolgen van de totstandkoming van een gedragscode. De gedragscode is bedoeld als precisering van de wettelijke beginselen in concrete gedragsvoorschriften. Daarbij is niet relevant of de gedragscode wel of niet ter goedkeuring aan het College bescherming persoonsgegevens (hierna: het College) is aangeboden. Dit impliceert dat niet-nakoming van de gedragscode in veel gevallen zal kunnen worden aangemerkt als niet-naleving van de algemene wettelijke regels en dus in elk geval in zoverre als onrechtmatig moet worden beschouwd. Daarop zijn wel uitzonderingen. Indien bijvoorbeeld in afwijking van de gedragscode op grond van artikel 43 van de wet voor de opsporing van een ernstig strafbaar feit aan de politie persoonsgegevens zouden worden verstrekt, is deze bepaling een toereikende grond om uitzondering te maken op de algemene regels van de gedragscode. Aan een dergelijke verstrekking staat het ontbreken van een vergelijkbare bepaling in de gedragscode niet in de weg.

De leden van de CDA-fractie vragen om een reactie op de brief van 30 maart 1999 van de Commissie Privacy van de RCO over het concept-Vrijstellingsbesluit. In haar brief stelt het RCO voor om het Vrijstellingsbesluit toe te spitsen op een meldingsplicht die alleen geldt voor verwerkingen voor zover deze bijzondere risico's kunnen betekenen voor de rechten en vrijheden van de betrokkenen. Voor de invulling van het begrip «bijzondere risico's» wordt verwezen naar het gebruik van «specifieke risico's» in artikel 20, eerste lid, van de richtlijn. In de Wbp zijn de meeste risico's reeds geëlimineerd door te voorzien in een hoog beschermingsniveau voor gewone gegevensverwerkingen en een extra hoog beschermingsniveau voor de verwerking van bijzondere gegevens. De meldingsplicht zou daarbij moeten gelden voor een limitatief opgesomd aantal verwerkingen. Zo ontstaat een stelsel van genormeerde aanmeldingen in plaats van genormeerde vrijstellingen, aldus het RCO.

Het systeem dat het RCO voorstaat is in strijd met de richtlijn. In artikel 18 van de richtlijn is uitdrukkelijk bepaald dat lidstaten in hun regelgeving moeten voorzien in een systeem met als uitgangspunt het aanmelden van verwerkingen. Enkel ten aanzien van bepaalde categorieën verwerkingen waarbij, rekening houdend met de verwerkte gegevens, inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is, mag – onder voorwaarden – in een vrijstelling of een vereenvoudiging van de aanmeldingsplicht worden voorzien. Het beperken van de aanmeldingsplicht tot verwerkingen die een specifiek risico inhouden voor de persoonlijke levenssfeer van de betrokkene, is eveneens in strijd met de voorschriften van de richtlijn. Deze verwerkingen dienen immers – in afwijking van de reguliere aanmeldingsprocedure – overeenkomstig artikel 20 van de richtlijn te worden onderworpen aan een voorafgaand onderzoek door het College. De aanmeldingsprocedure richt zich op de overige verwerkingen met risico's voor de persoonlijke levenssfeer voor betrokkenen.

In het kader van de informatie- en communicatietechnologie vragen de leden van de VVD-fractie welke ontwikkelingen de bewindslieden bij de inzet van Privacy Enhancing Technology (PET) voorzien en of zij daarbij anticiperen op toekomstige vereenvoudigingen van de privacyregelgeving. Wij verwachten en hopen dat PET in toenemende mate zal kunnen bijdragen aan een zorgvuldige omgang met persoonsgegevens. De angst uit een verleden tijd dat computers alleen maar bedreigend zijn, is achterhaald. Computers en de daarmee verbonden technieken zijn op zichzelf neutraal en kunnen in dit opzicht evenzeer nuttig als schadelijk blijken te zijn. Overigens vloeit daaruit niet rechtstreeks voort dat PET zou kunnen bijdragen aan vereenvoudiging van de regelgeving. De regelgeving moet immers duidelijk maken wat wel en niet is toegestaan. Zonder een dergelijk richtsnoer is niet duidelijk wat technisch moet worden uitgesloten, dan wel gefaciliteerd. Nu met de richtlijn de verwerking van persoonsgegevens primair een aangelegenheid is geworden van Europees recht, dient de op zich toe te juichen vereenvoudiging waar dit mogelijk is, vorm te krijgen in Europese regelgeving.

Ingevolge artikel 33 van de richtlijn dient de Europese Commissie aan de Raad van Ministers en aan het Europees Parlement periodiek een evaluatie uit te brengen. De eerste wordt verwacht in oktober 2001. Het is niet uitgesloten dat op grond daarvan de Commissie voorstellen zal doen tot aanpassing van de richtlijn. Het lijkt ons wenselijk dat Nederland als deelnemer in het proces van eventuele aanpassing van de richtlijn, zo mogelijk naar vereenvoudigingen streeft. Wanneer evenwel de technologische ontwikkeling nadere regelgeving noodzakelijk maakt ter bescherming van de persoonlijke levenssfeer, dient deze regelgeving niet uitslui- tend uit een gezichtspunt van vereenvoudiging te worden tegengehouden.

De leden van de PvdA-fractie vragen vervolgens om de betekenis van artikel 15. In dit voorschrift wordt bepaald dat de verantwoordelijke de zorg heeft voor de naleving van een groot deel van de verplichtingen in paragraaf 1 van hoofdstuk 2. Waarom zijn daar de voorwaarden van paragraaf 2 van hoofdstuk 2 (de verwerking van gevoelige gegevens) niet ook bij opgenomen, zo vragen deze leden.

Artikel 15 vloeit voort uit artikel 6, tweede lid, van de richtlijn waarin een zorgverplichting aan de verantwoordelijke wordt opgelegd voor de in het eerste lid genoemde normen. De normen van paragraaf 1 van hoofdstuk 2 van het wetsvoorstel omvatten meer dan die van het eerste lid van artikel 6 van de richtlijn. Het zijn echter normen die het karakter hebben dat op bepaalde wijze met persoonsgegevens kan worden omgegaan. Een normadressaat ontbreekt in de zin dat niet altijd duidelijk is vastgelegd wie aanspreekbaar is voor de voorgeschreven omgang met de persoonsgegevens. Daarin beoogt artikel 15 te voorzien. Ten aanzien van artikel 9, tweede lid, en 11, tweede lid, zou dit strikt genomen overbodig zijn, omdat in die bepalingen de verantwoordelijke wel als normadressaat reeds wordt genoemd. De uitzondering in artikel 15 met betrekking tot de artikelen 13 en 14, eerste, derde en vierde lid, is echter opgenomen omdat deze laatste bepalingen voorschriften voor de verantwoordelijke geven die niet rechtstreeks de kwaliteit of toelaatbaarheid van de verwerking van persoonsgegevens betreffen in de zin van de afdelingen I en II van hoofdstuk II van de richtlijn.

De bepalingen over de bijzondere persoonsgegevens hebben een geheel andere structuur. Artikel 16 bevat het verbod dergelijke gegevens te verwerken. Dit verbod richt zich tot eenieder, bijvoorbeeld ook de bewerker. De artikelen 17 tot en met 23 bevatten uitzonderingen op dit verbod. Is een uitzondering van toepassing, dan is verwerking overeenkomstig paragraaf 1 toegestaan, in welke paragraaf de verantwoordelijke wordt genoemd als degene die instaat voor naleving van de normen.

De leden van de PvdA-fractie vragen in dit kader de verhouding tussen de verschillende voorwaarden voor gerechtvaardigde gegevensverwerking, zoals de algemene voorwaarden, de voorwaarden voor verenigbare «verdere verwerking» en de voorwaarden voor gevoelige gegevens nader te verduidelijken.

In paragraaf 1 van hoofdstuk 2 zijn de voorwaarden opgesomd waaraan iedere verwerking van persoonsgegevens moet voldoen, ongeacht de aard van de verwerkte gegevens. Paragraaf 2 van hetzelfde hoofdstuk stelt daarenboven nadere voorwaarden in het geval bijzondere gegevens worden verwerkt. Bij de verwerking van bijzondere gegevens dienen dus de voorschriften van zowel paragraaf 2 als paragraaf 1 van hoofdstuk 2 in acht te worden genomen.

Het uitgangspunt is dat bijzondere gegevens niet verwerkt mogen worden (artikel 16), tenzij een van de uitzonderingen voorzien in de artikelen 17–22 of 23 toepassing vindt. Als vaststaat dat de verwerking van de bijzondere gegevens toelaatbaar is, is deze vervolgens op dezelfde voet onderworpen aan paragraaf 1 als de verwerking van «gewone» gegevens. Dat betekent onder meer dat op grond van artikel 9 de gegevens niet mogen worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen. Dat wil echter niet zeggen dat gegevens niet voor andere doelen dan waarvoor ze verzameld zijn, mogen worden verwerkt. Van belang is dat deze andere doeleinden verenigbaar zijn met die waarvoor ze oorspronkelijk zijn verzameld.

Bij wijze van voorbeeld verwijzen de leden naar «de vaststelling, de uitoefening of de verdediging van een recht in rechte». Het betreft hier een in artikel 23, eerste lid, onderdeel c, neergelegde rechtvaardigingsgrond voor de verwerking van bijzondere gegevens ondanks het in artikel 16 neergelegde verbod. In dat geval biedt artikel 8, onder f, een grondslag voor rechtmatige verwerking.

Deze leden constateren voorts dat het huidig wetsvoorstel geen bescherming biedt tegen groepsgerichte vormen van risicoselectie, aangezien groepsprofielen, blijkens de reactie van eerste ondergetekende op vragen uit de Tweede Kamer, niet kunnen worden beschouwd als persoonsgegevens in de zin van de wet. Zij vragen om een nadere uitspraak over de interpretatie van het begrip persoonsgegeven (artikel 1, onderdeel a). Naar hun oordeel zou een persoonsgegeven mede moeten omvatten «elk gegeven dat wordt toegepast op een persoon». Wij blijven bij ons oordeel dat het wetsvoorstel, evenals als de richtlijn of de Wet persoonsregistraties, deze problematiek niet regelt. De definitie van «persoonsgegeven» in het wetsvoorstel en in de richtlijn laten een dergelijke interpretatie niet toe. Iets anders is wanneer bij een bepaalde persoon een postcode wordt gevoegd. Dan is dat gegeven een gegeven betreffende iemand en daarmee een persoonsgegeven in de zin van de wet. Meer in het algemeen kan het volgende worden gesteld. Indien op grond van postcodesegmentatie of anderszins, bijvoorbeeld op grond van statistisch onderzoek, uit een bepaald gegeven dat aan iemands naam is toegevoegd, bepaalde gevolgtrekkingen worden gemaakt, gaat het om een persoonsgegeven. Het gegeven leidt er immers toe dat iemand in het maatschappelijk verkeer de kans loopt anders te worden bejegend dan wanneer dit gegeven niet over hem bekend was. Indien aan het gegeven dat als resultaat van de postcodesegmentatie of van statistisch onderzoek aan een naam is toegevoegd, bepaalde gevolgtrekkingen worden verbon- den, kan de betrokkene op grond van artikel 42, vierde lid, verzoeken hem mee te delen welke methoden zijn gebruikt om daartoe te komen, aannemende dat ook overigens aan de voorwaarden van die bepaling is voldaan. Dit geldt niet indien het gaat om algemeen toegankelijke kennis. Zo is algemeen bekend dat een levensverzekeraar het overlijdensrisico op kortere termijn van een tachtigjarige hoger zal inschatten dan dat van een veertigjarige. De verzekeraar is niet gehouden desgevraagd daarover nadere uitleg te geven. Gaat het om minder voor de hand liggende verbanden bijvoorbeeld op grond van eigen ongepubliceerde statistische recherches, dan ligt een mededelingsverplichting op grond van artikel 42, vierde lid, eerder voor de hand.

De leden van de PvdA-fractie missen in de opsomming van handelingen die vallen onder het begrip verwerken van persoonsgegevens de hande- ling van het anonimiseren. Betekent dit dat door gegevens te anonimiseren de gehele wet kan worden omzeild, zo vragen zij. Het begrip «verwerken» omvat blijkens artikel 1, onder b, elke handeling met betrekking tot persoonsgegevens waarna enige voorbeelden worden genoemd. Het anonimiseren staat niet in de opsomming van voorbeelden maar is wel een dergelijke handeling en valt dus onder het begrip verwerken. Het is een vorm van vernietigen van persoonsgegevens althans in de gevallen dat de verwijdering van de naam ook tot gevolg heeft dat de betrokkene niet meer kan worden herleid. Alleen in dit laatste geval pleegt te worden gesproken van «anonimiseren». Er is daarom geen sprake van een omissie.

Voorts vragen deze leden naar de samenhang tussen de artikelen 4, eerste lid, en 76 van het wetsvoorstel. Artikel 4 bepaalt de reikwijdte van de wet. In beginsel is de rechtsmacht van een land en daarmee de toepasselijkheid van zijn wetgeving gebonden aan het territoir, waarbij dan bijzondere bepalingen gelden voor bijvoorbeeld schepen onder de vlag van dat land of vliegtuigen. In de informatiemaatschappij is de toepasselijkheid van dit uitgangspunt op immateriële zaken als persoonsgegevens niet zonder meer duidelijk. Hierin beoogt artikel 4 te voorzien waarbij principieel van de Wet persoonsregistraties wordt afgeweken. De Wet persoonsregistraties gaat uit van een bepaalbare locatie van een persoonsregistratie, als aanknopingspunt voor de toepasselijkheid van de wet, ongeacht de plaats van vestiging van de houder, waarna de artikelen 47 e.v. aanvullende bepalingen bevatten. Artikel 4, eerste lid, van het wetsvoorstel knoopt daarentegen aan bij de plaats van vestiging van de verantwoordelijke, ongeacht de plaats, indien deze al bepaalbaar zou zijn, van de verwerking van persoonsgegevens. Het begrip «vestiging» verwijst naar de jurisprudentie van het Europese Hof van Justitie over dit begrip dat ook in andere Europese regelgeving in deze betekenis voorkomt. Wij begrijpen de vraag van deze leden aldus dat zij onder een Nederlands bedrijf verstaan een bedrijf dat in Nederland is gevestigd. De Wbp is van toepassing omdat voor de toepassing van artikel 4, eerste lid, de plaats van gegevensverwerking irrelevant is. De toepasselijkheid van de wet impliceert dat ook artikel 76 van toepassing is in geval dat een bedrijf gegevens in een land buiten de EU laat verwerken. In aanvulling op de normen van de Wbp, dient dan dat bedrijf tevens na te gaan of dat land een passend beschermingsniveau biedt. Voor EU lidstaten is een dergelijke aanvullende toets niet nodig, omdat de richtlijn ervan uitgaat dat er binnen de EU, krachtens die richtlijn, een passend niveau is, zelfs indien de richtlijn mogelijkerwijs per lidstaat op onderdelen iets anders geïmplementeerd.

In het kader van artikel 41 vragen deze leden of gegevens die niet worden gebruikt voor het tot stand brengen van een directe relatie, buiten het recht van verzet vallen. Mag de verantwoordelijke de gegevens van betrokkenen na verzet nog steeds blijven gebruiken voor bijvoorbeeld statistische doeleinden?

Een verzet op grond van artikel 41 heeft betrekking op de verwerking van gegevens in verband met de totstandbrenging of de instandhouding van een directe relatie met de betrokkene. De ratio achter deze bepaling is dat de burger de gelegenheid heeft te voorkomen dat hem ongevraagd informatie wordt aangeboden op basis van een profiel van zijn persoon. Om het aanbieden van dergelijke informatie op een effectieve wijze te kunnen voorkomen moet de mogelijkheid van verzet verder reiken dan verzet tegen het verzenden van direct mail. Het verzet strekt zich uit tot alle verwerkingen die in de praktijk plegen te geschieden in het kader van direct marketing, met inbegrip van profilering en segmentering van doelgroepen in marketing databases met het oog op het kunnen benaderen van individuele personen.

Deze leden vragen of het gebruik van gegevens voor statistische doeleinden in het kader van direct marketing geoorloofd is na verzet van de betrokkene. Zolang de gegevens niet worden verwerkt met het oog op de totstandbrenging of de instandhouding van een directe relatie met de betrokkene, kan daartegen geen verzet worden aangetekend. Dit is bijvoorbeeld het geval indien een bedrijf persoonsgegevens verzamelt om statistieken op te stellen die een verband leggen tussen woonplaats en koopgedrag om zodoende het potentiële vestigingsgebied van afzetpunten in kaart te kunnen brengen. Uiteraard blijft een dergelijke verwerking onderworpen aan de overige regels van de Wbp.

Is, zo vragen de leden van de fractie van GroenLinks, de verkrijging van gegevens door middel van een detectivebureau te allen tijde in strijd met artikel 6 van het wetsvoorstel. Zo neen, onder welke omstandigheden zou een dergelijke vorm van gegevensverwerking als behoorlijk en zorgvuldig kunnen worden aangemerkt.

Blijkens artikel 1, onder 4, van de Wet op de economische delicten is de overtreding van artikel 2 van de Wet particuliere beveiligingsorganisaties en recherchebureaus strafbaar. De laatste bepaling verbiedt recherchewerkzaamheden te verrichten of aan te bieden zonder vergunning van de Minister van Justitie. Onder recherchewerkzaamheden wordt blijkens artikel 1, eerste lid, onder e, van die wet verstaan: het vergaren en analyseren van gegevens, daaronder begrepen persoonsgegevens. Recherchebureaus die een vergunning hebben handelen niet noodzakelijkerwijs in strijd met artikel 6 van het wetsvoorstel. Zij dienen zich in ieder geval aan de normen van de Wet bescherming persoonsgegevens te houden. Dit houdt in beginsel in dat zij de persoon over wie gegevens worden vergaard (in de zin van het wetsvoorstel: de betrokkene) informeren over die vergaring. Het is echter goed denkbaar dat in veel gevallen de informatieplicht wordt opgeheven in het licht van de rechten of vrijheden van anderen, bijvoorbeeld de opdrachtgever aan het recherchebureau. Hierin voorziet artikel 43, onder e, van het wetsvoorstel. Daarvoor is wel nodig dat de opdrachtgever een gerechtvaardigd belang heeft bij het vergaren van gegevens door het recherchebureau over de betrokkene. Hierbij speelt een rol wat volgens ongeschreven recht in het maatschappelijk verkeer betaamt. Dat is een criterium ontleend aan het leerstuk over onrechtmatige daad, neergelegd in artikel 3: 162 BW. Het wetsvoorstel bevat in dat opzicht geen nieuwe inhoudelijke regels voor recherchebureaus. Wel worden in bepaalde gevallen bijzondere eisen gesteld door de Wbp. Een voorbeeld daarvan is te vinden in artikel 31.

De leden van GroenLinks vragen vervolgens wat bij de huidige stand der techniek als passende beveiligingsmaatregelen in de zin van artikel 13 kunnen worden beschouwd.

Er kunnen geen algemene uitspraken worden gedaan over wat als een «passende beveiligingsmaatregel» kan worden beschouwd. Dit is namelijk afhankelijk van een aantal factoren. Het begrip «passend» duidt er op dat de maatregelen in overeenstemming dienen te zijn met de risico's die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. Met andere woorden de te nemen maatregelen moeten worden afgestemd op de risico's van onrechtmatige verwerking die zich in de betrokken organisatie voordoen, waarbij tevens rekening dient te worden gehouden met de stand van de techniek en de kosten om de betrokken maatregelen ten uitvoer te brengen. Dit criterium moet in het licht van de concrete omstandigheden worden ingevuld en is voor een deel dynamisch. Het vereiste niveau van bescherming is hoger naarmate er meer mogelijkheden voorhanden zijn om dat niveau te waarborgen. Naarmate de gegevens een gevoeliger karakter hebben, of gezien de context waarin ze gebruikt worden een groter risico voor de persoonlijke levenssfeer van betrokkenen inhouden, dienen zwaardere eisen aan de beveiliging van die gegevens te worden gesteld. In het algemeen kan worden gesteld dat indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd deze als «passend» moeten worden beschouwd, terwijl kosten die disproportioneel zijn aan de extra beveiliging die daardoor zou worden verkregen, niet worden vereist. Met zich ontwikkelende techniek zal periodiek een nieuwe afweging moeten worden gemaakt.

Deze afwegingen moeten ook worden gemaakt op grond van artikel 8 Wpr waarin sprake is van «de nodige voorzieningen van technische en organisatorische aard ter beveiliging van een persoonsregistratie». In 1994 heeft de Registratiekamer een rapport uitgebracht over de wijze waarop in de praktijk inhoud kan worden gegeven aan de beveiligingsplicht van de houder. Een nieuwe versie van dit rapport met het oog op de WBP is momenteel in voorbereiding. Daarnaast werkt de Registratiekamer samen met een aantal marktpartijen aan de ontwikkeling van een audit-aanpak voor een systematische controle op de naleving van artikel 13, waarbij zo veel mogelijk ruimte wordt gelaten voor zelfregulering en het waarmaken van eigen verantwoordelijkheid. Via een klankbordgroep zijn VNO/NCW en Consumentenbond bij dit project betrokken. Het streven van alle betrokken partijen is de resultaten van dit project in de loop van dit jaar beschikbaar te hebben.

Als de verantwoordelijke nalaat te zorgen voor een passend beveiligingsniveau, pleegt hij een onrechtmatige daad jegens de betrokkene en kan daarvoor door deze aansprakelijk worden gesteld. Dit kan leiden tot veroordeling en vergoeding van (im)materiële schade die de betrokkene heeft geleden. Daarnaast kan het College bestuursdwang toepassen.

De leden van de fractie van D66 vragen een reactie op een aantal berichten in de media over de verhouding van het voorliggende wetsvoorstel tot het terbeschikkingstellen van informatie door het OM over fraudezaken aan verzekeraars.

Op 30 maart 2000 is het nieuwe reglement van COMPAS, de geautomatiseerde gegevensverzameling van het OM, opnieuw vastgesteld en toegezonden aan de hoofdofficieren van justitie. De Registratiekamer is bij de voorbereiding van dit nieuwe reglement betrokken geweest. Eén dezer dagen zal het worden gepubliceerd in de Nederlands Staatscourant. Het reglement voorziet in artikel 9, onder 5, onder e, onder II, in verstrekking aan verzekeraars ten behoeve van het verhalen van schade op de dader van een strafbaar feit. Een dergelijke verstrekking vloeit voort uit de taak van het OM mede de belangen van het slachtoffer van een strafbaar feit te dienen en vindt na inwerkingtreding van het wetsvoorstel zijn grondslag in artikel 8, onder e (thans artikel 11, eerste lid, Wet persoonsregistraties: doel van de registratie, te weten de goede uitvoering van de taak van het OM).

3. Algemene normen en sectorale invulling, overzichtelijkheid en complexiteit

De leden van de CDA-fractie hadden vragen rond de samenhang in de wet- en regelgeving die de laatste tijd op het terrein van de informatietechnologie tot stand is gekomen dan wel thans wordt ontwikkeld. Hoe krijgt de burger nog voldoende houvast met betrekking tot de bescherming van zijn belangen en de uitoefening van zijn verplichting, zo vragen deze leden.

Het verwerken van gegevens vormt de kern van informatietechnologie, het verwerken van persoonsgegevens is daar veelal een essentieel onderdeel van. De voortgaande ontwikkelingen op het gebied van de informatie- en communicatietechnieken noodzaken tot zo mogelijk gelijk oplopende ontwikkelingen in het recht. In verband met de maatschappijbrede impact van de informatietechnologie is een uitgebreid netwerk van regels ter bescherming van de persoonlijke levenssfeer noodzakelijk. Uitgangspunt daarbij zijn de algemene voorschriften van het aan de orde zijnde wetsvoorstel, echter in sommige gevallen aangevuld dan wel uitgewerkt door meer specifieke wetgeving.

Net zo min als de ontwikkeling van de informatietechnologie kan worden tegengehouden, kan de ontwikkeling in de rechtsbescherming worden geremd. De regering streeft ernaar dat de ontwikkelingen zich voltrekken binnen een systeem waarin alle daarbij betrokken belangen en rechten in evenwicht zijn. Daarbij zullen we moeten wennen aan het ontstaan van een nieuw rechtsregime met een eigen aard. Ook het civiele recht en het strafrecht hebben zich gedurende eeuwen ontwikkeld en zijn neergelegd in een uitgebreid systeem van wettelijke voorschriften. Daarbij is het van belang op te merken dat ook in de andere landen binnen de Unie het privacyrecht op een zelfde eigen wijze ontwikkelt.

Kenmerkend voor het privacyrecht is onder meer de informatieplicht van degenen die persoonsgegevens verwerken aan de daarbij betrokkenen opdat deze daarvan op de hoogte zijn. Betrokkenen wordt zodoende in de gelegenheid gesteld indien gewenst – actief te reageren op de verwerking van hun persoonsgegevens. Deze informatieplicht wordt in het onderhavige wetsvoorstel – overeenkomstig de richtlijn aangescherpt. Daarnaast ziet het College toe op de naleving van de regels. Het College zal kunnen bemiddelen indien de betrokkene in een geschil met een verantwoordelijke moeite heeft zijn positie te bepalen of indien het voor de verantwoordelijke onvoldoende duidelijk is aan welke verplichtingen hij heeft te voldoen.

Vervolgens vragen deze leden naar de verhouding tussen het wetsvoorstel en sectorale regelgeving. Hoofdstuk 5 van de memorie van toelichting op blz. 11 e.v. bevat een beschrijving van de verhouding tussen de algemene normen van het wetsvoorstel en de sectorale invulling daarvan, waarbij onder meer wordt verwezen naar de door hen genoemde Organisatiewet sociale verzekering. Waar de beginselen van de Wbp in een formele wet sectorale invulling krijgen in de vorm van een meer concreet gedragsvoorschrift, zijn zij inhoudelijk een precisering daarvan, hoewel zij juridisch-technisch gezien als lex specialis derogeren aan de lex generalis. Een dergelijke verhouding is er inhoudelijk ook bij zelfregulering: dat kan de beginselen uitwerken in concretere gedragsvoorschriften, hoewel een regeling beneden het niveau van een formele wet juridisch-technisch gezien niet kan derogeren aan de wet.

Deze leden stellen in het bijzonder de artikelen 12, tweede lid, en 21, tweede lid, van het wetsvoorstel aan de orde. Deze bepalingen bevatten geheimhoudingsverplichtingen die opzij kunnen worden gezet door andere wettelijke bepalingen. Dit is een gebruikelijke figuur. Artikel 2.5 van de Algemene Wet bestuursrecht bevat de ambtelijke geheimhoudingsplicht die geldt tenzij deze opzij wordt gezet door een wettelijk voorschrift. Indien bijvoorbeeld de Wet Nationale ombudsman of de Wet openbaarheid bestuur verplicht tot mededeling van gegevens, dan vindt de geheimhoudingsplicht daar zijn grens. In de Wbp is dit niet anders. Het verschil tussen artikel 12 en artikel 21 ligt daarin dat het eerste artikel zich onder meer richt tot de ondergeschikten van een verantwoordelijke, maar niet tot deze zelf, terwijl het tweede artikel zich mede tot de verantwoordelijke zelf richt. Verder wijzen wij op artikel 9, vierde lid, dat een gegevensverwerking, bijvoorbeeld een verstrekking van gegevens aan een derde, belet indien een geheimhoudingsplicht daaraan in de weg staat. In dat geval is het dus niet een wettelijk voorschrift dat tot mededeling verplicht, maar bijvoorbeeld een andere wettelijke regel die juist tot geheimhouding verplicht. Zonder een dergelijke geheimhoudingsverplichting kunnen persoonsgegevens gewoon verwerkt worden overeenkomstig de normen van artikel 8 en kan blijkens artikel 9 na verkrijging verdere verwerking plaatsvinden voor zover verenigbaar met het oorspronkelijk doel.

Overigens is in het algemene deel van de memorie van toelichting bij het wetsvoorstel tot wijziging van bepalingen met betrekking tot de verwerking van persoonsgegevens (Kamerstukken II 1998/99, 26 410) nader ingegaan op de verhouding tussen de Wbp en de sectorale wetgeving.

Vervolgens vragen deze leden om een commentaar op de waarschuwing in het Rechtsgeleerd Magazijn Themis van november 1999 van de hand van prof mr H. Franken, getiteld «Mandarijnenwetenschap» in verband met de ondoorzichtigheid van het samenstel van regels wanneer de beginselen van het wetsvoorstel in sectorale regelgeving en zelfregulering zullen zijn uitgewerkt. Wij zijn het met deze leden eens dat zolang aan de beginselen geen nadere concretisering is gegeven, deze weinig houvast bieden. Dan zal jurisprudentie de precieze betekenis in een concreet geval moeten vaststellen. Met de waarschuwing van Franken kunnen wij op hoofdlijnen instemmen. Er is inderdaad veel meer privacyrecht dan de bescherming van persoonsgegevens, bijvoorbeeld huisrecht, lichamelijke integriteit, onder meer beschermd via de zedelijkheidswetgeving, familieleven zoals onder meer uitgewerkt in het vreemdelingenrecht, en de communicatievrijheid die het aftappen door de overheid aan strikte regels bindt. Daarnaast dient de bescherming van persoonsgegevens niet alleen de informationele privacy, maar ook rechtgoederen als het non-discriminatiebeginsel en de vrijheid van meningsuiting. Wat betreft de in het slot van zijn bijdrage gesuggereerde bedrijfseffectentoets in verband met de speciale Nederlandse «toeters en bellen», wijzen wij erop dat het onderzoek van de Werkgroep-Kortmann heeft aangetoond dat het wetsvoorstel geen voorschriften bevat die als surplus op de richtlijn onnodig extra lasten op het Nederlandse bedrijfsleven zouden leggen. Waar sectorale regelgeving of zelfregulering een concreter beeld zouden geven van de effecten voor het bedrijfsleven, zijn wij echter met Franken eens, dat een bedrijfseffectentoets nuttig kan zijn.

4. Grondwettelijke aspecten

Het door de leden van de CDA-fractie genoemde artikel 3 van het wets- voorstel is gebaseerd op artikel 9 van de richtlijn. Hierin wordt bepaald dat de lidstaten voor de verwerking van persoonsgegevens moeten voorzien in de uitzonderingen op of afwijkingen van de bepalingen van de hoofdstukken II, IV en VI die nodig blijken om het recht op persoonlijke levenssfeer te verzoenen met de vrijheid van meningsuiting. Als uitgangspunt geldt dat de verwerking van persoonsgegevens voor genoemde doeleinden in beginsel onder het regime van de richtlijn valt. De lidstaten dienen nader te bezien in hoeverre uitzonderingen op dat regime noodzakelijk zijn met het oog op het waarborgen van de vrijheid van meningsuiting. Krachtens artikel 3 van het wetsvoorstel zijn ter uitwerking van de richtlijn belangrijke bepalingen betreffende de verwerking van persoonsgegevens van toepassing op de journalistiek. Dit betekent derhalve dat anders dan de leden van de CDA-fractie kennelijk veronderstellen de algehele uitzondering die thans geldt onder de Wpr onder de nieuwe wet niet in stand blijft.

De leden van de CDA-fractie zijn blijkens de door hen gestelde vraag er terecht van uitgegaan dat in de situatie waarin persoonsgegevens voor journalistieke, artistieke of literaire doeleinden worden verwerkt, sprake zal kunnen zijn van een botsing van grondrechten. Het algemene uitgangspunt bij de beoordeling van dergelijke botsingen is dat er tussen grondrechten geen rangorde bestaat. Dat is in overeenstemming met vaste jurisprudentie. De rechter pleegt binnen de algemene privaatrechtelijke kaders aan de hand van de omstandigheden van het concrete geval een afweging te maken tussen het belang dat gediend is met de vrijheid van meningsuiting en het belang van het recht op eerbiediging van de persoonlijke levenssfeer. Geen van beide rechten heeft in algemene zin voorrang. Dit is ook het uitgangspunt van het wetsvoorstel. De vraag van de leden van de CDA-fractie of uit het wetsvoorstel mag worden afgeleid dat de bescherming van de persoonlijke levenssfeer ondergeschikt is aan de vrijheid van drukpers, dient dan ook ontkennend te worden beantwoord.

Wel hebben wij overeenkomstig artikel 9 van de richtlijn afgewogen welke uitzonderingen met het oog op de vrijheid van meningsuiting moeten worden gecreëerd. Dit grondrecht is vastgelegd in artikel 7 Grondwet, artikel 10 EVRM en artikel 19 IVBPR en geldt ook voor journalisten die behoren tot hetgeen door de leden van de CDA-fractie is aangeduid met de roddel- en schandaalpers. Mede gelet op het belang van de vrijheid van meningsuiting voor het goed functioneren van de democratische samenleving hetgeen onder meer nadrukkelijk bevestiging vindt in de jurisprudentie van het Europees Hof voor de Rechten van de Mens menen wij dat de wetgever terughoudend dient te zijn met het stellen van beperkingen aan dit recht. Tegen deze achtergrond achten wij het ongewenst om de bepalingen van het wetsvoorstel onverkort van toepassing te laten zijn op journalistieke activiteiten. De beperkende voorschriften die voortvloeien uit de richtlijn zijn veelal een te vergaande belemmering voor dergelijke activiteiten. De in de richtlijn voorgeschreven meldings- en informatieverplichtingen zouden tot gevolg hebben dat de journalistieke vrijheid om gegevens te vergaren, te registreren en te analyseren als voorbereiding op eventuele publicaties, te zeer wordt beknot. Datzelfde geldt voor de uitoefening van het inzage- en correctierecht, het recht van verzet en de bevoegdheden van het College om bijvoorbeeld voorafgaand onderzoek te doen. De betreffende onderdelen van het wetsvoorstel zijn dan ook uitgezonderd.

Anderzijds zijn de bepalingen van het wetsvoorstel inzake aansprakelijkheid, sancties, beroep op de rechter, gedragscodes en beveiliging wel van toepassing. Voorts gelden voor de pers de algemene beginselen inzake gegevensverwerkingen zoals neergelegd in artikel 6 en 7 van de richtlijn. Deze beginselen geven algemene zorgvuldigheidsgrenzen die ook degene die de gegevens verwerkt voor de hiervoor bedoelde doeleinden in acht heeft te nemen. Deze bepalingen gelden nadrukkelijk ook voor journalisten die werkzaam zijn in de door de leden van de CDA-fractie genoemde branche. De binnen het kader van deze bepalingen te maken afwegingen zullen naar onze verwachting in belangrijke mate aansluiten bij de huidige jurisprudentie.

5. De verhouding tussen Wbp en Wpr

De leden van de CDA-fractie vragen in het licht van de ervaringen met de Wpr welke overwegingen ertoe hebben geleid zo dicht mogelijk daarbij aan te sluiten. Wij wijzen erop dat slechts in zoverre bij de Wpr is aangesloten als uit de beide wetenschappelijke evaluaties is gebleken dat dat wenselijk zou zijn. Deze overwegingen zijn niet ontleend aan artikel 100a, eerste in verband met het derde lid, van het EG-verdrag. De in deze bepalingen besloten opdracht om uit te gaan van een hoog niveau van consumentenbescherming, is gericht tot de Europese Commissie. De Commissie dient bij het ontwerpen van een voorstel voor een richtlijn van de Raad en het Europees Parlement uit te gaan van een hoog beschermingsniveau.

De keuze om aan te sluiten bij de Wpr berust enerzijds op politieke overwegingen van de regering en anderzijds op het uitgangspunt neergelegd in overweging 10 van de richtlijn. In deze overweging wordt bepaald dat de onderlinge aanpassing van de nationale wetgevingen niet tot een verzwakking van de bestaande bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau te waarborgen. In de eerste nota van wijziging zijn de op onderdelen afwijkende gezichtspunten van het nieuwe kabinet tot uitdrukking gebracht.

Deze leden vragen vervolgens op welke punten een eenvoudiger invulling van de richtlijn had kunnen plaatsvinden zodat de wet minder administratieve lasten zou hebben opgeleverd. Zij verwezen daarbij naar het rapport van de Werkgroep-Kortmann, die aan de Commissie administratieve lasten (Commissie-Slechte) in april 1999 advies heeft uitgebracht. Zij vragen uitdrukkelijk aandacht voor elk van de punten die in het rapport worden genoemd. Ook de leden van de VVD-fractie vragen om een reactie op het rapport van de Commissie administratieve lasten.

De Werkgroep-Kortmann heeft een onderzoek gedaan op welke punten voor het bedrijfsleven in het wetsvoorstel bepalingen zouden zijn opgenomen die meer administratieve lasten met zich brengen dan waartoe de richtlijn noodzaakt. Vervolgens heeft zij een voorlopig cijfermatig overzicht gegeven van mogelijke kosten, welk overzicht naar aanleiding van vijf posten kwam op een totaal van 900 miljoen. Geen van deze vijf posten vindt evenwel zijn oorsprong in een verondersteld surplus van het wetsvoorstel boven de richtlijn. Inderdaad heeft de discussie zich in hoofdzaak gericht op de post van 450 miljoen voor de functionaris. Tot deze kosten verplicht het wetsvoorstel niet. Het gaat om een vrijwillige voorziening die na overleg met en op verzoek van het bedrijfsleven door Nederland in Brussel is bedongen. Komt men daar nu van terug, dan belet niets het bedrijfsleven van deze voorziening geen gebruik te maken en de desbetreffende bepalingen tot een dode letter te doen verworden.

Wat betreft de overige posten kunnen wij het volgende vermelden. Er is een post van 202 miljoen opgevoerd voor informatieverplichtingen. De informatieverplichtingen jegens de betrokkenen en het recht van verzet zijn echter geen administratieve lasten in de zin van «Heerendiensten», doch zijn voorwaarden voor een «eerlijke en rechtmatige» verwerking in de zin van artikel 6, eerste lid, onder a, van de richtlijn. Het gaat derhalve om verplichtingen tegenover de betrokkenen in civielrechtelijke zin. Voor een deel gaat het om bestaande verplichtingen ingevolge artikel 28 van de Wpr. Voor zover het gaat om nieuwe of aangescherpte verplichtingen, vloeien deze rechtstreeks voort uit de richtlijn. Wat er zij van de omvang van de kosten, deze vloeien niet voort uit het wetsvoorstel.

Voor het recht van verzet is een post opgevoerd van 50 miljoen. Wat betreft de melding aan het College is een post opgevoerd van 157 miljoen. Het wetsvoorstel voegt op beide punten evenwel niets aan de richtlijn toe.

Tenslotte wordt een post van 45 miljoen voor juridisch advies opgevoerd. Daarvoor geldt dat het gaat om een post die niet door een andere opzet van het wetsvoorstel kan worden vermeden.

Wat betreft de melding aan het College wijzen wij nog op het aspect dat terecht wordt uitgegaan van enige kosten in verband met het bepalen van een nauwkeurig doel van gegevensverwerking, zoals onder de Wpr voor persoonsregistraties, zo rechtstreeks voortvloeiend uit de richtlijn onder de Wbp voor gegevensverwerking. Blijkens artikel 4, eerste lid, Wpr werd nog gedacht aan een enkel doel van een registratie. Artikel 27, eerste lid, van de Wbp is deels stringenter, deels ruimer dan de Wpr. Het is stringenter in de zin dat voor elke verwerking een doel moet worden vastgesteld, niet alleen voor de registratie. Het is ruimer omdat voor meerdere, samenhangende doeleinden gegevens kunnen worden verzameld en verder verwerkt. Daarbij is niet de eis gesteld dat de verschillende doeleinden zodanig met elkaar samenhangen dat is voldaan aan de eis van het verenigbaar gebruik in de zin van artikel 9 van het wetsvoorstel.

Het is in het recht alleszins gebruikelijk dat de doeleinden waartoe bepaalde juridisch relevante figuren zijn gegeven, bepalend zijn voor daaraan verbonden rechtsgevolgen. In het administratieve recht mogen bevoegdheden niet worden gebruikt voor andere doeleinden dan waarvoor ze zijn gegeven. Dit leerstuk staat bekend als «détournement de pouvoir» (artikel 3.3 Algemene Wet bestuursrecht). In het civiele recht is bepaald dat degene wie een bevoegdheid toekomt, deze niet kan inroe- pen, voor zover hij haar misbruikt (artikel 3.13 BW). Zonder voldoende belang komt niemand een rechtsvordering toe (artikel 3 303 BW). Een rechtspersoon pleegt voor een bepaald doel te worden opgericht en haar rechtshandelingen zijn vernietigbaar indien daardoor het doel wordt overschreden (artikel 2.7 BW). Telkens is een zeker doel bepalend voor de rechtmatigheid van een bepaalde juridische figuur. Nu de verhouding tussen een persoonsgegeven en de persoon waarop deze gegevens betrekking hebben, juridisch relevant wordt geacht, is ook de vraag gerezen hoe misbruik van persoonsgegevens kan worden tegengegaan. Misbruik is in dit verband het gebruik voor een ander doel, onverenigbaar met dat waarvoor deze oorspronkelijk zijn verzameld. Het recht inzake de bescherming van persoonsgegevens is wat betreft de doelbinding dus geenszins specifiek.

Voor zover deze doeleinden in algemene zin zijn te bepalen, gebeurt dit in het Vrijstellingsbesluit. De wet laat evenwel ruimte om ook voor daarbuiten gelegen gerechtvaardigde doelen persoonsgegevens te verwerken. Dergelijke verwerkingen zijn echter slechts toegelaten wanneer het gebruik kan worden gerelateerd aan een bepaald doel dat als juridisch relevant ijkpunt kenbaar dient te zijn. Het bepalen van één of meerdere doeleinden van een gegevensverwerking is dus geen administratieve last, doch in de eerste plaats een civielrechtelijke verplichting jegens de betrokkene zonder welke de verwerking van diens gegevens jegens hem onrechtmatig is. De melding van een dergelijke doelbepaling aan het College is daarvan slechts een afgeleide.

Het voorgaande neemt niet weg dat getracht is de nakoming van de aanmeldingsplicht zo eenvoudig mogelijk te maken. In het verlengde daarvan werkt de Registratiekamer aan de ontwikkeling van een diskette waarmee het aanmeldingsproces op efficiënte wijze kan worden ondersteund. Een prototype daarvan is inmiddels gereed. Het is de bedoeling om de uiteindelijke versie op ruime schaal beschikbaar te stellen. Het wordt ook mogelijk de inhoud van de diskette te downloaden van de website van het College. Houders die hun persoonsregistratie thans bij de Registratiekamer hebben aangemeld, zullen waar mogelijk gerichte informatie ontvangen over wat hun te doen staat.

6. Toezicht

De leden van de CDA-fractie vragen hoe de vernieuwing van het College gestalte zal krijgen onder meer in de procedure van de benoeming van voorzitter en leden, alsook de werkwijze van het College.

De benoeming van de voorzitter en de leden vindt plaats overeenkomstig artikel 53 en zal nader worden geregeld in de algemene maatregel van bestuur krachtens artikel 55, eerste lid. Bestaande rechtsposities krachtens de Wpr dienen daarbij uiteraard in acht te worden genomen. De richtlijn noch het wetsvoorstel beogen daarin verandering te brengen. Wat de werkwijze van het College betreft, deze dient krachtens artikel 56, derde lid, door het College in een bestuursreglement te worden vastgelegd. Het ligt in de rede de initiatieven van het College op dit punt af te wachten. Het bestuursreglement behoeft de goedkeuring van eerste ondergetekende.

Naar aanleiding van een vraag van de leden van de VVD-fractie kan worden gemeld dat de in voorbereiding zijnde kaderwetgeving voor zelfstandige bestuursorganen geen andere veranderingen in de positie van het College met zich zal brengen dan welke ook zullen gelden voor andere zelfstandige bestuurorganen. Wij hechten er aan in het kader van dit wetsvoorstel niet vooruit te lopen op de inhoud van deze wijzigingen.

Deze leden plaatsen tevens enkele opmerkingen ten aanzien van de zogenoemde «dubbelrol» van het College. De verschillende bevoegdheden die in de Wbp worden toegekend aan het College zijn een direct gevolg van hetgeen artikel 28 van de richtlijn bepaald ten aanzien van de bevoegdheden waarover de nationale toezichthoudende autoriteiten moeten beschikken. De richtlijn laat de lidstaten niet de vrijheid om de toezichthoudende autoriteiten geen adviesbevoegdheid toe te kennen. In artikel 56, derde lid, wordt bepaald dat het bestuursreglement van het College waarborgen dient te bevatten die een vermenging tegengaan van de toezichthoudende, adviserende en sanctionerende taak van het College. Dit bestuursreglement behoefte de goedkeuring van eerste ondergetekende. Bovendien staat het de wetgever vrij van het advies dat het College krachtens artikel 51, tweede lid, geeft, af te wijken.

Daarnaast vragen deze leden als ook de leden van de CDA-fractie of al zicht kan worden gegeven op de samenstelling van de in te stellen Raad van advies van het College. In de Memorie van Toelichting (blz. 180, vijfde regel) wordt opgemerkt dat er behoefte zal bestaan aan bijstand van een brede kring van deskundigen uit diverse maatschappelijke sectoren. In aansluiting daarop bepaalt artikel 53, vierde lid, dat de leden van de Raad van advies afkomstig zullen zijn uit onderscheiden sectoren van de maatschappij. Met het oog op de taak van de Raad, het adviseren van het College over algemene aspecten van de bescherming van persoonsgegevens, is het van belang dat de Raad een zekere afspiegeling vormt van de samenleving. Hoewel de exacte samenstelling van de Raad van advies op dit moment nog niet bepaald kan worden ligt het in de rede om in ieder geval de benoeming te overwegen van leden afkomstig uit de maatschappelijke organisaties die – in verband met hun betrokkenheid met het onderwerp – intensief met de voorbereiding van dit wetsvoorstel betrokken zijn geweest.

Met de Registratiekamer wordt overleg gevoerd over de mogelijkheid om vooruitlopend op de inwerkingtreding van de Wbp en het instellen van de Raad van advies als tijdelijke oplossing een forum in te stellen dat als een voorlopige Raad van advies zou kunnen functioneren. Dat forum zou ook betrokken kunnen worden bij de voorlichting en bij andere activiteiten in het kader van de invoering van de Wbp. Wij willen thans niet vooruitlopen op de uitkomsten van ons overleg met de Registratiekamer.

In hoeverre zal het College een actief beleid voeren ter voorkoming van wetsovertreding en gebruik maken van zijn bevoegdheid ambtshalve onderzoek in te stellen naar de naleving van de wet, zo vragen de leden van GroenLinks.

Daar het College zijn taken in onafhankelijkheid zal vervullen is het niet aan ons te bepalen welk beleid het College zal gaan voeren. Het ligt echter in de rede dat het College zal aansluiten bij het door de Registratiekamer ontwikkelde «vier-sporen-beleid», waarbij in onderling verband aandacht wordt besteed aan bewustwording, normontwikkeling, technologie en handhaving. Wat het vierde spoor betreft maakt de Registratiekamer ook thans regelmatig gebruik van de bevoegdheid om ambtshalve een onderzoek in te stellen. Daarbij kan het gaan om een onderzoek binnen één bepaalde organisatie, maar ook om een systematisch onderzoek binnen een complete sector. In voorkomende gevallen maakt zij daarbij ook gebruik van de mogelijkheid om de werking van geautomatiseerde systemen aan een audit te onderwerpen. Wij verwachten niet dat de toekenning van nieuwe bevoegdheden aan het College op het terrein van de handhaving in dit opzicht zal leiden tot beleidswijzigingen ten opzichte van de bestaande situatie.

7. Handhaving en handhaafbaarheid

In verband met de omstandigheid dat het wetsvoorstel de horizontale werking van grondrechten raakt van de artikelen 7, 10 en 13 van de Grondwet, vragen de leden van de CDA-fractie of een bondig overzicht van civielrechtelijke sancties die straks bij de uitvoering en toepassing van het wetsvoorstel van belang zijn voor de verschillende betrokken partijen, kan worden gegeven.

Wij wijzen er in de eerste plaats op dat het wetsvoorstel naast de door deze leden genoemde grondrechten ook het non-discriminatieverbod van artikel 1 van de Grondwet raakt. De civielrechtelijke sancties spelen in de verhouding tussen burgers onderling ingevolge artikel 46, dat verwijst naar het Wetboek van Burgerlijke Rechtsvordering. Ingevolge dat wetboek en het Burgerlijk Wetboek kan in kort geding een dreigende schending van rechten worden afgeweerd, kan middels een dwangsom beëindiging van een onrechtmatige situatie worden gevorderd en kan vergoeding van (im)materiële schade worden verlangd. Ook rechtspersonen die ingevolge hun doelstelling de naleving van deze wet kunnen verlangen, kunnen op grond van artikel 3:305a BW in rechte optreden, bijvoorbeeld de Consumentenbond.

Deze sancties vloeien alle voort uit het algemene formele burgerlijke recht. In de verhouding tussen overheid en burger is blijkens artikel 45 van het wetsvoorstel de Algemene Wet bestuursrecht van toepassing. Het algemene formele administratieve recht kent vergelijkbare sancties als het eerder genoemde formele burgerlijke recht.

De leden van de fracties van het CDA en D66 vragen vervolgens op welke wijze en op welke termijn de werking van de wet zal worden geëvalueerd en worden gemonitord. Het wetsvoorstel voorziet in artikel 80 een evaluatiebepaling. Het verplicht de Ministers van Justitie en Binnenlandse Zaken en Koninkrijksrelaties binnen vijf jaren na inwerkingtreding van de wet verslag uit te brengen aan de Staten-Generaal over de doeltreffendheid en de effecten van de wet. In de Tweede Kamer heeft de eerste ondergetekende toegezegd in samenhang met de meer algemene insteek van de Commissie administratieve lasten een nulmeting te doen, aan de hand waarvan de ontwikkeling van mogelijke administratieve lasten na de inwerkingtreding zo nauwkeurig mogelijk kan worden gemeten. Zie Handelingen II 1999/2000, blz. 1793–1795. In het kader van de rijksbrede operatie ter reductie van administratieve lasten van bestaande en van voorgenomen wet- en regelgeving (Kamerstukken II 1999/2000, 24 036, nr. 148) is bij het Ministerie van Justitie een project «Meten van administratieve lasten» opgezet waarin uitvoering aan deze toezegging zal worden gegeven. Nadat de nulmeting heeft plaatsgevonden, zal worden bezien hoe de verdere evaluatie ter hand zal worden genomen. Daarnaast draagt artikel 33 van de richtlijn de Europese Commissie op binnen drie jaren na de datum van de voorgeschreven implementatie een evaluatie uit te brengen aan de Raad van Ministers en het Europees Parlement.

8. Kosten

De vraag van de leden van de CDA-fractie over de kosten van het wets- voorstel hebben wij reeds beantwoord in hoofdstuk 5.

De leden van de VVD-fractie vragen naar het in het overleg met de Tweede Kamer toegezegde overzicht van de te verwachten kosten. Zij wezen daarbij ook op het rapport van de Commissie Administratieve lasten. Zij vroegen te preciseren welke kosten bovenminimaal zijn. Deze leden vroegen ook of al iets kan worden gezegd over mogelijk te verwachten baten die met de implementatie van het gewijzigde wetsvoorstel gemoeid zijn.

Het eindrapport van de Commissie administratieve lasten van 25 novem- ber 1999 komt niet terug op het rapport van de Werkgroep-Kortmann. Deze werkgroep deed in het bijzonder onderzoek naar de administratieve lasten ingevolge het voorliggend wetsvoorstel. Het onderzoek was toegespitst op het in kaart brengen van onnodige administratieve lasten. De werkgroep kwam tot lasten oplopend tot 900 miljoen gulden. Ruwweg de helft hiervan werd toegerekend aan de functionaris. Dergelijke kosten vloeien evenwel niet voort uit het wetsvoorstel, doch uit een eventueel besluit gebruik te maken van de mogelijkheid een functionaris aan te stellen in de zin van artikel 62 en volgende. De andere helft werd wel toegerekend aan verplichtingen, doch deze vloeien alle direct voort uit de richtlijn. Het wetsvoorstel kon daaraan niets veranderen. Voordat in 1994 de toenmalige regering, met instemming van de Tweede Kamer, in Brussel instemde met het ontwerp van de richtlijn, waren deze kosten al door verschillende onderzoekers in kaart gebracht. De memorie van toelichting gaat hier uitvoerig op in.

Daarbij is ook gewezen op de mogelijke baten. In het bijzonder wijzen wij echter nogmaals op het nut van een internationale regeling, in dit geval op het niveau van de Europese Unie. Een regeling van onderwerpen in de informatiemaatschappij die nauwelijks meer, zoals persoonsgegevens, aan enig territoir zijn toe te rekenen, dient naar ons oordeel bij voorkeur op bovennationaal niveau plaats te vinden. Het functioneren van de interne markt binnen de Unie en de verdere ontplooiing van elektronische handel in deze markt, is gebaat bij het vertrouwen van de consument in een deugdelijke bescherming van zijn persoonsgegevens. De omvang van deze baten zijn echter niet te begroten. De verwachtingen omtrent de ontplooiing van de hiermee verband houdende nieuwe, economische mogelijkheden lopen sterk uiteen.

9. Evaluaties

De leden van de PvdA-fractie vragen of het mechanisme van normstelling door middel van open normen en belangenafweging jurisprudentie kan genereren als het initiatief daartoe waarschijnlijk in onvoldoende mate zal uitgaan van de betrokkenen wegens gebrek aan informatie over hun situatie.

Essentieel bij het stellen van open normen is het toezicht op de naleving daarvan. Veel voorschriften stellen de verantwoordelijke immers voor een belangenafweging die hij in redelijkheid en met inachtneming van alle zorgvuldigheidsvereisten moet maken. De wijze waarop deze afweging uitvalt is afhankelijk van de concrete omstandigheden van het geval. Met toezicht wordt hier niet zozeer gedoeld op het toezicht dat het College en de functionarissen voor de gegevensbescherming zullen uitoefenen. Belangrijk is dat de betrokkene zelf deze afweging óók op haar rechtmatigheid kan toetsen. Meer nog dan onder de Wpr het geval was legt de Wbp het accent op het informeren van de betrokkene over de verwerking van zijn gegevens, door wie en voor welk doel. Al eerder is opgemerkt dat de informatieverplichtingen in gevolge de artikelen 33 en 34 van dit wetsvoorstel ten opzichte van de Wpr zijn aangescherpt. Daarnaast is de omschrijving van het begrip «verantwoordelijke» ten opzichte van het houderschapsbegrip in de Wpr verduidelijkt. Daarmee zal het voor de betrokkene eerder kenbaar zijn wie hij voor een bepaalde gegevensverwerking kan aanspreken. Tot slot krijgt de betrokkene ingevolge de Wbp meer mogelijkheden in handen om zich te verzetten tegen een gegevensverwerking. Hij kan bijvoorbeeld zijn bijzondere omstandigheden aanvoeren als reden om bepaalde gegevensverwerkingen te laten beëindigen door de verantwoordelijke.

Overigens wijzen wij erop dat de keuze voor open normen een onvermijdelijk gevolg is van de keuze om persoonsgegevens op een bovensectoraal te regelen. Een verdergaande concretisering van de normen, zonder daarbij voor verschillende sectoren van de samenleving tot verschillende normen te komen, is niet mogelijk gebleken. Het Verdrag inzake gegevensbescherming van de Raad van Europa uit 1981 heeft enige concretisering gekregen in de richtlijn van de Europese Unie. Verdergaande concretisering dient sectoraal te geschieden, hetzij via wetgeving, hetzij via zelfregulering.

Voorts willen deze leden uitleg over de opmerking in de memorie van toelichting bij dit wetsvoorstel dat «het wetsvoorstel op het punt van de materiële regelgeving bondig is». Hoe zou een niet-bondige wet eruit hebben gezien, zo vragen deze leden.

Het wetsvoorstel schetst in algemene termen de voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens. Deze voorwaarden schetsen een kader waaraan de beoordelingsvrijheid van de verantwoordelijke om persoonsgegevens te verwerken en op welke wijze, kan worden getoetst op haar rechtmatigheid. Een dergelijke open normering sluit aan bij de gedachte dat het verwerken van persoonsgegevens niet in alle gevallen een inbreuk op de persoonlijke levenssfeer hoeft te betekenen, althans voor zover het niet gaat om bijzondere persoonsgegevens als bedoeld in paragraaf 2 van hoofdstuk 2. Indien de verwerking plaatsvindt binnen de gestelde voorwaarden is van een inbreuk geen sprake.

Ten aanzien van de verwerking van gevoelige gegevens is gekozen voor meer concrete normen die voorschrijven wanneer, door welke verantwoordelijke en onder welke omstandigheden gevoelige gegevens mogen worden verwerkt. De wet gaat er in het voetspoor van de richtlijn van uit dat de verwerking van de bijzondere persoonsgegevens naar zijn aard een inbreuk op de persoonlijke levenssfeer van de betrokkene oplevert. Dat betekent dat de hierop betrekking hebbende regels moeten voldoen aan de eisen die het Europese Hof voor de Rechten van de Mens stelt aan de inbreuken op het recht op eerbiediging van het privé-leven, met name de voorzienbaarheidseis ingevolge artikel 8, tweede lid, EVRM.

Wij wijzen erop dat de materiële regelgeving voor de persoonsgegevens in het algemeen, is neergelegd in de artikelen 6 tot en met 11. Deze zes bepalingen kunnen naar ons oordeel als «bondig» worden aangemerkt ten opzichte van het totaal van de overige bepalingen van het wetsvoorstel.

10. Voorlichting

Meerdere fracties wijzen op het belang van een goede voorlichtingscampagne rond de invoering van dit wetsvoorstel. De leden van de fractie van D66 willen geïnformeerd worden over de stand van zaken in de voorlichtingscampagne.

In januari 1998 is een projectgroep Voorlichting Wbp gestart met de voorbereiding van een voorlichtingscampagne. Van deze projectgroep maken ambtenaren van de ministeries van Justitie en Binnenlandse Zaken, alsmede medewerkers van de Registratiekamer deel uit. Gekozen is voor een «twee-sporen-beleid», te weten een campagne richting de burgers als bij de verwerking van persoonsgegevens betrokkenen, alsmede een campagne richting de registratiehouders en gegevensverwerkers (de toekomstige verantwoordelijken).

In de voorlichtingscampagne ten aanzien van de burgers ligt de nadruk op het informeren van de burger over de invoering van dit nieuwe wetsvoorstel. Daarbij zal hij worden gewezen op de rechten die hij naar aanleiding van dit wetsvoorstel zal hebben, zoals het recht op verzet en het recht geïnformeerd te worden door verantwoordelijken over het doel van de verwerking van zijn persoonsgegevens en de identiteit van de verantwoordelijke. Hiermee wordt de burger in staat gesteld zelf te bepalen of hij van die rechten gebruik wil maken in verband met de bescherming van zijn persoonlijke levenssfeer. De burger wordt door radio- en tv-spots geattendeerd op de nieuwe wet en er zijn brochures bij postkantoren en bibliotheek verkrijgbaar waarin wordt ingegaan op de WBP. Met vragen kan de burger terecht bij de postbus 51- informatielijn en de Internetsites van de Registratiekamer en Justitie. De concepten van de brochure en de radiospots zijn inmiddels gereed. De campagne zal starten op de datum van inwerkingtreding van de WBP.

De voorlichtingscampagne voor de registratiehouders heeft tot doel de personen en organisaties die persoonsgegevens verwerken te informeren en bewust te maken van de veranderingen en de vereisten waaraan ze na inwerkingtreding van dit wetsvoorstel moeten voldoen. In deze voorlichting wordt direct aangesloten bij de informatiebehoeften en initiatieven van de brancheorganisaties. De voorlichting loopt deels via de koepelorganisaties in de verschillende branches en deels rechtstreeks vanuit de Registratiekamer en na inwerkingtreding van dit wetsvoorstel het College. Het is van belang dat de gegevensverwerkers tijdig worden geïnformeerd aangezien de wetswijzigingen gevolgen kunnen hebben voor de organisatie, bijvoorbeeld omdat automatiseringssystemen moeten worden aangepast. Op 28 april jl. heeft de Registratiekamer met het oog hierop een brief gestuurd naar de diverse koepelorganisaties met een aankondiging dat de Wbp door de Tweede Kamer is aanvaard. In deze brief is kort aangegeven waarom tijdige voorlichting belangrijk is en welke voorlichtingsmiddelen met het oog daarop zullen worden ontwikkeld. Uiteraard is in de brief in verband met de parlementaire behandeling in de Eerste Kamer een voorbehoud gemaakt ten aanzien van de definitieve tekst van de Wbp. De Registratiekamer zal de verschillende brancheorganisaties ondersteunen in hun voorlichtende activiteiten aan de achterban. Daar waar nodig zal zij organisaties actief benaderen en informeren over de inhoud en consequenties van dit wetsvoorstel voor hun organisatie. De Registratiekamer zal ook sectorale informatie over de WBP via hun Internetsite aanbieden.

Aan de Tweede Kamer is toegezegd dat er een Wbp handleiding zal worden gemaakt. Deze handleiding zal door het Ministerie van Justitie in samenspraak met het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties worden ontwikkeld. In antwoord van een vraag van de leden van de VVD-fractie bevestigen wij dat de handleiding een soort handvat zal zijn voor personen die persoonsgegevens verwerken om de Wbp in hun organisatie te implementeren. Deze handleiding moet tot stand komen met betrokkenheid van de diverse brancheorganisaties. Binnenkort zal de informatiebehoefte bij de onderscheidene brancheorganisaties worden gepeild alvorens een aanvang te maken met het opstellen van de handleiding. Het ligt in het voornemen deze zomer een eerste concept-handleiding gereed te hebben. De definitieve handleiding zal op de Internetsite van het ministerie van Justitie worden gezet. Op deze Internetsite zal eveneens worden verwezen naar de websites van de Raad van Europa en van de Europese Commisie(http://www.europa.eu.int/commm/dg15/en/media/ dataprot/wpdocs/index). Op deze websites zijn alle relevante ontwikkelingen op het gebied van privacy binnen de raad van Europa en binnen de EG te vinden. Tevens kennen deze websites hyperlinks naar de sites van de diverse nationale toezichthoudende instanties op het gebied van de privacy. Dit in antwoord op een vraag van de leden van de fractie van D66 op welke wijze het voor betrokkenen, nadat de voorlichtingscampagnes zijn beëindigd, mogelijk is op de hoogte te geraken van de relevante ontwikkelingen op het gebied van de privacy.