De Eerste Kamer heeft – conform een toezegging die de minister-president deed aan de heer Brinkman tijdens de Algemene Politieke Beschouwingen op 25 oktober 20111 – een afschrift van de brief van de staatssecretaris van Veiligheid en Justitie aan de Tweede Kamer van 27 oktober 2011 ontvangen, waarin onder meer wordt ingegaan op de meldplicht datalekken. Naar aanleiding van de ontvangen brief hebben de leden van de vaste commissie voor Veiligheid en Justitie2 nog een aantal vragen en opmerkingen die zijn opgenomen in de brief aan de staatssecretaris van Veiligheid en Justitie van 22 december 2011.

De staatssecretaris heeft op 16 januari 2012 gereageerd.

De commissie brengt bijgaand verslag uit van het gevoerde schriftelijk overleg.

De griffier van de vaste commissie voor Veiligheid en Justitie, Kim van Dooren

BRIEF AAN DE STAATSSECRETARIS VAN VEILIGHEID EN JUSTITIE

Den Haag, 22 december 2011

De leden van de vaste commissie voor Veiligheid & Justitie danken u hartelijk voor het toezenden van een afschrift van uw brief d.d. 27 oktober jl. aan de Tweede Kamer der Staten-Generaal.3 Een afschrift van deze brief is aan de Kamer gezonden naar aanleiding van de toezegging die de minister-president deed aan de heer Brinkman tijdens de Algemene Politieke Beschouwingen op 25 oktober jl.1 De minister-president zegde toe een brief aan de Tweede Kamer, waarin een toelichting zou worden gegeven op de uitwerking van de in het regeerakkoord vastgelegde meldplicht datalekken, ook aan de Eerste Kamer te zenden. Naar aanleiding van de ontvangen brief hebben de leden van de commissie nog een aantal vragen en opmerkingen.

In de brief aan de Tweede Kamer verwijst u naar de Notitie privacybeleid4 en geeft u aan dat u voornemens bent de meldplicht voor doorbrekingen van beveiligingsmaatregelen – ook wel de meldplicht datalekken genoemd – met voorrang in wetgeving op te nemen. «De andere voornemens uit de Notitie privacybeleid zullen daarom in een later stadium worden uitgevoerd», staat in de eerste paragraaf van de brief. De leden van commissie begrijpen het woordje «daarom» uit deze zin niet. Waarom kunnen de andere beleidsvoornemens niet worden uitgevoerd als er ook wetgeving wordt voorbereid met een meldplicht voor datalekken? Het komt deze leden voor dat in ieder geval een aantal beleidsvoornemens uit de genoemde notitie op voortvarende wijze zou moeten worden opgepakt. Zo zijn de ontwikkeling van een PIA (Privacy Impact Assessment) en de toepassing van het principe van «privacy by design» voordat een informatiesysteem wordt ontwikkeld, volgens deze leden zeer gewenst. Alleen al de verschillende debacles die zich hebben voorgedaan op het gebied van overheidsinformatisering, tonen de noodzaak daarvan aan. De commissie verzoekt u dan ook uit te leggen wat de reden is om de andere voornemens uit de Notitie privacybeleid pas in een later stadium uit te voeren. Tevens verzoekt de commissie u in ieder geval de ontwikkeling van een PIA voortvarend op te pakken en het principe «privacy by design» nader uit te werken en toe te (laten) passen bij de ontwikkeling van nieuwe informatiesystemen door overheids- en semioverheidsinstellingen.

De leden van de vaste commissie voor Veiligheid & Justitie zien met belangstelling – en bij voorkeur binnen zes weken – uw reactie tegemoet.

De voorzitter van de vaste commissie voor Veiligheid en Justitie, A. Broekers-Knol

BRIEF VAN DE STAATSSECRETARIS VAN VEILIGHEID EN JUSTITITIE

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 16 januari 2012

Ik zeg u dank voor uw brief van 22 december 2011, waarin u mij een aantal vragen stelt over mijn brief aan de Voorzitter van de Tweede Kamer der Staten-Generaal van 27 oktober 2011 (Kamerstukken II 2011/12, 32 761, nr. 4). Op de vragen en opmerkingen van de leden van de vaste commissie voor Veiligheid en Justitie reageer ik als volgt.

In de zomer van 2011 hebben zich twee ontwikkelingen voorgedaan die voor mij aanleiding zijn geweest mijn voornemens tot omzetting van de Notitie privacybeleid in wetsvoorstellen anders uit te voeren dan oorspronkelijk mijn bedoeling was.

De eerste ontwikkeling is dat in de samenleving ongerustheid is ontstaan over een ervaren gebrek aan mogelijkheden om opnames van beveiligingscamera's, die zijn geïnstalleerd door burgers en bedrijven, te benutten als ondersteunend middel bij de opsporing van strafbare feiten door de overheid. Het gaat daarbij in het bijzonder om de mogelijkheden dergelijke beelden onder voorwaarden ook aan het publiek te tonen. De Wet bescherming persoonsgegevens (Wbp) maakt dat weliswaar op dit moment niet geheel onmogelijk, maar stelt daaraan strikte eisen. Die eisen zijn thans zo zwaar dat ze onvoldoende aansluiten bij de inmiddels beschikbare technische mogelijkheden voor het verwerken van camerabeelden en de daaruit voortvloeiende wensen en verwachtingen van de samenleving om die mogelijkheden te kunnen benutten. In de Tweede Kamer is tijdens een algemeen overleg op 15 september 2011 door diverse leden de wens uitgesproken met spoed daarvoor een nadere regeling te treffen (Kamerstukken II 2011/12, 32 761, nr. 2). Bij de behandeling van de begroting van het ministerie van Veiligheid en Justitie heeft de Tweede Kamer terzake een motie aangenomen van de leden Elissen en Van Toorenburg (Kamerstukken II 2011/12, 33 000 VI, nr. 53). Ik voer deze motie met voorrang uit, omdat ik er veel belang aan hecht dat burgers en bedrijven die investeren in hun eigen veiligheid door de overheid worden ondersteund in plaats van te worden teleurgesteld. Breder gebruik van opnames van private beveiligingscamera’s is mogelijk met inachtneming van het geldende privacyrecht en met volledig behoud van het monopolie van opsporing en vervolging van strafbare feiten bij de overheid.

De tweede ontwikkeling is de DigiNotar-zaak. Hoewel het in deze zaak niet direct ging om een datalek dat leidde tot verlies of onrechtmatige verwerking van persoonsgegevens, is het duidelijk geworden dat de nalatigheid van DigiNotar om de doorbreking van de getroffen beveiligingsmaatregelen onmiddellijk te melden bij de overheid de problemen die voortvloeiden uit de doorbroken beveiliging heeft verergerd. Ook dit geval gaf aanleiding tot ongerustheid in de samenleving en heeft het vertrouwen in ICT, waarvan samenleving en overheid in steeds grotere mate afhankelijk zijn, aangetast. Ik zie daarin alle aanleiding een reeds in het regeerakkoord opgenomen voornemen tot opname van een meldplicht voor datalekken versneld ten uitvoer te leggen om dit probleem met spoed aan te pakken.

Ter uitvoering van motie-Franken (Kamerstukken I 2010/11, 31 051, D) zullen bij wetsvoorstellen die zijn gericht op de invoering van nieuwe grootschalige verwerkingen van persoonsgegevens door de overheid Privacy Impact Assessments (PIA's) worden opgesteld. Deze eis wordt opgenomen in het Integraal Afwegingskader voor wetgeving dat door alle ministeries moet worden toegepast. Het ligt in de bedoeling die PIA's ook mee te zenden aan adviesorganen en aan de Kamers, zodat er een toets op de inhoud daarvan kan worden verricht. De eerste ervaringen daarmee worden inmiddels opgedaan bij een wetsvoorstel tot regeling van de bewaartermijn van kentekengegevens. Er zullen naar verwachting de komende jaren meer PIA's worden opgesteld.

Wat de toepassing van Privacy by Design betreft, heb ik de Kamer er in het beleidsdebat op 17 mei 2011 op gewezen dat TNO onderzoek verricht naar de succes- en faalfactoren van de toepassing van dit beginsel in het ontwerp van systemen. Dit onderzoek is nog niet afgerond. Ik zag, en zie vooralsnog geen zinvolle taak voor de wetgever om terzake regelend op te treden.

Een nadere verkenning naar een regulering van het gebruik van camerabeelden door particuliere beveiligingsorganisaties heeft inmiddels geleid tot het opstellen van het hierboven reeds vermelde wetsvoorstel tot wijziging van de Wbp. Na de consultatie- en adviesronde over dit wetsvoorstel zal ik nader beoordelen of het zinvol is de in dat wetsvoorstel opgenomen regels nader uit te werken bij algemene maatregel van bestuur, of dat kan worden volstaan met het aanpassen van de vergunningvoorschriften voor particuliere beveiligingsorganisaties, of dat de privacygedragscode voor branche aanpassing verdient.

Een inventarisatie van de informatiehuishouding van de dienstonderdelen van het ministerie van Veiligheid en Justitie wordt thans op ambtelijk niveau uitgevoerd. Ik zal u te zijner tijd berichten wat de bevindingen daarvan zijn.

De staatssecretaris van Veiligheid en Justitie, F. Teeven