Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 26 november 2015

Bijgaand treft u een afschrift aan van mijn brief van heden aan de Voorzitter van de Tweede Kamer der Staten-Generaal met betrekking tot de onderhandelingen in Brussel over de Algemene verordening gegevensbescherming en de richtlijn gegevensbescherming opsporing en vervolging.

De Minister van Veiligheid en Justitie, G.A. van der Steur

BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 26 november 2015

In het algemeen overleg van 7 maart 2012 (Kamerstukken II 2011/12, 32 761, nr. 27) heeft de toenmalige Staatsecretaris van Veiligheid en Justitie toegezegd u periodiek op de hoogte te houden van de stand van zaken over de onderhandelingen in Brussel over de Algemene verordening gegevensbescherming en de richtlijn gegevensbescherming opsporing en vervolging. In deze brief doe ik verslag van de onderhandelingen die in de maanden juli en september 2015 hebben plaatsgevonden. Omdat na het bereiken van een algemeen akkoord op de verordening de onderhandelingen naar de triloogfase zijn overgegaan, is het wat betreft de verordening het meest doelmatig een verslag te geven voor iedere afzonderlijk triloog in plaats van een strikt chronologische volgorde van alle vergaderingen aan te houden. Voor de richtlijn is het akkoord in de verslagperiode nog niet bereikt. De rapportage over dat dossier volgt het gebruikelijke patroon.

Algemene verordening gegevensverwerking

Algemeen

De trilogen betreffen vergaderingen tussen de meest betrokken leden van het Europees Parlement (EP), de Commissie en het Voorzitterschap van de Raad gericht op het bereiken van overeenstemming over een wettekst. Wat de Raad betreft vindt de voorbereiding van elke triloog plaats op basis van het politieke akkoord dat in de JBZ Raad van juni 2015 is bereikt. In een raadswerkgroep (op ambtelijk niveau met vertegenwoordigers uit de hoofdsteden) worden aan de hand van een notitie van het Raadssecretariaat onderhandelpunten besproken. Die punten worden vervolgens op een radengroep (op diplomatiek niveau met vertegenwoordigers van de Permanente Vertegenwoordigingen) nader bezien. Het gaat daarbij om vele tientallen punten per triloog. Deze rapportage concentreert zich daarom op de meer controversiële punten en de punten waarop Nederland een uitgesproken opvatting heeft. In zeer veel gevallen kan Nederland zich vinden in de voorstellen voor compromissen van het Voorzitterschap.

Nederland heeft als aankomend Raadsvoorzitter een aparte positie. Nederland moest zich in deze verslagperiode voorbereiden op de rol van «honest broker» die vooral verantwoordelijk is voor de voortgang van het proces. Tegelijk moest Nederland de punten van nationaal belang niet uit het oog verliezen. Nederland moest zich daarom in de afgelopen periode door middel van een intensivering van de toch al talrijke informele contacten met het Voorzitterschap en andere lidstaten richten op het verenigen van deze twee doelstellingen. Het onder de aandacht brengen van nationale standpunten langs informele weg blijkt onder deze omstandigheden soms effectiever dan het voortdurend vragen om het woord.

Het terugrapporteren uit de trilogen gebeurt door het Voorzitterschap, meestal aan een radengroep. Die rapportages zijn de basis voor de terugmelding in deze rapportage. De zogeheten politieke trilogen worden op uitnodiging van het Voorzitterschap door een waarnemer van het aankomend Voorzitterschap bijgewoond, in dit geval dus door een Nederlands vertegenwoordiger. Die vertegenwoordiger voert niet het woord, is geen lid van het team van het Voorzitterschap en wordt in zoverre ook niet bij het daadwerkelijke onderhandelen betrokken. Alle verantwoordelijkheid berust bij het fungerend Voorzitterschap. Aan technische trilogen voor het uitwerken van details neemt deze vertegenwoordiger geen deel. Voor zover bekend vinden op dit dossier geen technische trilogen plaats.

Trilogen

Triloog I (25 juni 2015)

Triloog I heeft nog onder het Voorzitterschap van Letland plaatsgevonden. Die triloog is de politieke start van deze fase van het wetgevingsproces. Daarvan heeft geen formele terugmelding plaatsgevonden. Mogelijk komt dit doordat die bespreking uitsluitend betrekking had op de agendering van de trilogen onder het Luxemburgse Voorzitterschap.

Triloog II (14 juli 2015)

Triloog II betreft Hoofdstuk V van de verordening (doorgifte van persoonsgegevens uit de EU naar derde landen) en enkele direct daarmee samenhangende bepalingen. Op 1 juli 2015 is daartoe document ST 9985/1/15 REV 1 besproken in een raadswerkgroep. De uitkomsten van dit beraad zijn nader besproken op 6 juli 2015 (document ST 10366/15). Op basis van de notitie van het Voorzitterschap heeft Nederland onderstaande standpunten ingenomen.

• • Nederland steunt het Voorzitterschap bij de keuze om toereikendheidsoordelen over het gegevensbeschermingsniveau van derde landen in een uitvoeringshandeling op grond van art. 291 VWEU op te nemen (artikel 41, lid 3). Het EP geeft de voorkeur aan een gedelegeerde handeling in de zin van art. 290 VWEU.

• • Nederland is voorstander van het vaststellen van overgangsrecht voor alle op het tijdstip van inwerkingtreding, respectievelijk gelding, van de verordening van kracht zijnde toerekendheidsoordelen en vergunningen van lidstaten of toezichthouders voor gegevensexport naar derde landen (artikel 41, lid 3a).

• • Nederland is geen voorstander van de wens van het EP om alle gegevensoverdrachten op grond van de wetgeving of rechterlijke uitspraken van derde landen gericht tot verantwoordelijken uit de private sector uitsluitend krachtens verdrag of toestemming van de toezichthouder mogelijk te maken, maar daarvoor ook andere gronden te benutten (artikel 43a).

• • Nederland is voorstander van het behoud van de in de Raad overeengekomen grond om gegevensdoorgifte naar derde landen in uitzonderingsgevallen toe te staan in een gerechtvaardigd belang van de betrokkene, onder het vaststellen van waarborgen (artikel 44, eerste lid, onder h).

Reeds op 17 juli 2015 rapporteert het Voorzitterschap in een radengroep met stuk ST 10680/15 terug uit de triloog. Op 28 juli 2015 wordt met stuk ST 11246/15 een voorlopige consensus op Hoofdstuk V verspreid. Nederland is met dit resultaat zeer ingenomen. Het blijkt dat Raad en EP beide compromisbereid zijn en de noodzaak onderschrijven de verordening zo snel mogelijk te willen afronden. Op de bovengenoemde punten is de volgende oplossing bereikt:

• • EP en Raad bereiken consensus over het rechtskarakter van een toereikendheidsoordeel. Dit wordt een uitvoeringshandeling, echter met een verplicht voorafgaand advies van de European Data Protection Board.

• • Het EP is bereid de overgangsrechtelijke voorziening te aanvaarden.

• • Overeenstemming wordt bereikt om in de verordening vast te leggen dat verplichte doorgiften op grond van buitenlands recht in beginsel alleen op grond van een verdrag tussen de EU of een lidstaat en een derde land, of op grond van een van de andere in de verordening geregelde rechtsgrondslagen mogen plaatsvinden.

• • Er blijft ruimte bestaan voor een uitzonderingsclausule, maar deze ruimte is uiterst beperkt, alleen te benutten indien andere gronden niet kunnen worden ingeroepen en de waarborgen zijn aanzienlijk uitgebreid.

• • Een Nederlands voorstel om ten aanzien van bepaalde verwerkingen van algemeen belang door de nationale wetgever de doorgifte van gegevens naar landen buiten de EER te beperken is aanvaard. Daarmee is uitvoering gegeven aan de motie-Elissen/Schouw (Kamerstukken II 2011/12, 32 761, nr. 13).

Rekening moet worden gehouden met heropening van de discussie over dit hoofdstuk als gevolg van de uitspraak van het Hof van Justitie van de Europese Unie van 6 oktober 2015 in de zaak C-362/15 Maximilian Schrems/Data Protection Commissioner.

Triloog III (16 september 2015)

Triloog III betreft de Hoofdstukken II (algemene beginselen) en III (rechten van de betrokkene) van de verordening. Op 23 juli 2015 is daartoe in een Friends of the Presidency document ST 10790/15 besproken dat betrekking heeft op Hoofdstuk II. Nederland heeft daarbij de volgende standpunten betrokken:

• • Het is van bijzonder belang dat het in de Raad bereikte compromis op artikel 6 (rechtsgrondslagen voor gegevensverwerking) zoveel mogelijk in stand blijft. De rechtvaardigingsgrond «gerechtvaardigd belang van de verantwoordelijke» zou, wat Nederland betreft zo min mogelijk moeten afwijken van de tekst van de huidige richtlijn.

• • Indien het in de Raad bereikte algemeen akkoord op artikel 6 in bespreking komt, zet Nederland zich in voor het behoud van het in de Raad bereikte compromis. Van dat compromis maakt een regeling die het mogelijk maakt om gegevens te gebruiken voor een doel dat onverenigbaar is met het doel waarvoor zij oorspronkelijk zijn verzameld deel uit (artikel 6, lid 4). Die regeling is omstreden, en heeft meermalen de aandacht van uw Kamer getrokken. Ik ben mij bewust van de motie-Elissen c.s. (Kamerstukken II 2011/12, 32 761, nr. 38). Die motie roept mij op zorg te dragen voor een regeling die uitsluitend de verwerking van gegevens voor een ander doel dan waarvoor ze zijn verzameld toelaat indien beide doeleinden wel verenigbaar zijn, zoals dat nu in de Wet bescherming persoonsgegevens is geregeld. Nederland heeft daarom al in een vroeg stadium voorgesteld in de verordening te regelen na welke afweging en onder welke omstandigheden gebruik van gegevens voor een ander doel wel gerechtvaardigd is. Wanneer na die toets blijkt dat het verwerken niet gerechtvaardigd is voor een tweede doel, dan moet de verwerking worden gestaakt (artikel 6, lid 3a). Dit voorstel bleek echter ook omstreden. De Raad heeft dit voorstel en het meer omstreden voorstel voor onverenigbare verwerkingen daarom gecombineerd. Schrapping van de omstreden bepaling acht Nederland, gegeven de motie, natuurlijk een winstpunt. Nederland verleent echter om tactische redenen niettemin steun aan het compromis. Doet Nederland dat niet, dan zullen andere lidstaten aanleiding zien de discussie te heropenen over het Nederlandse voorstel, waarvoor Nederland zich, geruggesteund door de motie, in de afgelopen jaren zeer voor heeft ingespannen. Aangezien het EP vooralsnog niet instemt met het meest omstreden deel van het compromis is deze discussie voorlopig nog niet afgerond.

• • Nederland blijft van mening dat bij het verlenen van toestemming door de betrokkene (artikel 7) tot de verwerking van zijn gegevens, die toestemming alleen uitdrukkelijk moet worden gegeven indien het bijzondere persoonsgegevens betreft.

Op 2 september 2015 heeft het Voorzitterschap een raadswerkgroep belegd, waarin document ST 11082/15 is besproken dat betrekking heeft op Hoofdstuk III. Nederland heeft daarbij de volgende standpunten ingenomen:

• • Nederland kan in beginsel akkoord gaan met het voorstel van het EP om in de verordening een regeling op nemen voor pictogrammen die op een eenvoudige manier een uitleg geven aan datasubjecten welk privacybeleid een verantwoordelijke voert (artikel 13a). Het voorstel is echter zeer gedetailleerd en er zijn indringende vragen over de juridische kwaliteit.

• • Wat de transparantieverplichtingen van verantwoordelijken (artikelen 14 en 14a) betreft, is Nederland voorstander van het behoud van de positie van de Raad. Die positie biedt een zeker evenwicht tussen verplichtingen enerzijds en het rekening houden met administratieve lasten voor het midden- en kleinbedrijf anderzijds. Het EP heeft voor de administratieve lasten van bedrijven minder begrip.

• • De voorstellen op de rechten van inzage (artikel 15), wissen en vergeten (artikel 17) en dataportabiliteit (artikel 18) geven geen aanleiding tot vraagpunten.

• • Wat het recht van bezwaar (artikel 19) betreft is Nederland bezorgd over de aanmerkelijke vergroting van de reikwijdte van dit recht die het EP bepleit. Wanneer tegen elke verwerking van persoonsgegevens, gebaseerd op «gerechtvaardigd belang van de verantwoordelijke» bezwaar kan worden gemaakt, heeft dit serieuze maatschappelijke consequenties. Algemene aanvaarde verwerkingen van persoonsgegevens, zoals cameratoezicht in gebouwen of het vragen van een naam van een bezoeker bij een receptie zouden daarmee ernstig gefrustreerd kunnen worden.

• • Op het profileren (artikel 20) is sprake van uiteenlopende visies van Raad en EP. De Raad legt de nadruk op de regeling van de rechtsgevolgen van de uitkomst van een profilering. Het EP legt de nadruk op het proces. Nederland is op dit onderwerp altijd flexibel geweest, zolang verantwoordelijken maar verplicht blijven betrokkenen te informeren over deze operaties. Uitbreiding van het recht op bezwaar tegen deze operaties is voor Nederland bespreekbaar.

Op 7 september 2015 wordt in een radengroep een tweede bespreking gewijd aan Hoofdstuk II (document ST 11245/15). Dit document bevat een articulering van de vraagpunten die op 23 juli 2015 zijn besproken. Nederland blijft bij de standpunten die eerder zijn ingenomen. Een aanvullende standpuntbepaling heeft Nederland ingenomen op de regeling voor de gevoelige gegevens (artikel 9).

• • Nederland was niet gelukkig met de restrictieve benadering die Raad en EP voor ogen hebben voor de verwerking van bijzondere persoonsgegevens. Veel verwerkingen van deze gegevens die maatschappelijk onomstreden zijn zullen na vaststelling van de verordening niet meer gebaseerd mogen worden op een algemene regeling in een Nederlandse wet, maar mogen alleen nog op grond van een specifieke wettelijke basis worden verwerkt. Daarbij geldt er voor de wetgever een verzwaarde motiveringsplicht. Nederland is daarom voorstander van een door het EP voorgestelde regeling in de verordening die in ieder geval verzekeraars het recht geeft om strafrechtelijke gegevens en gezondheidsgegevens te verwerken. Die regeling kent de huidige Nederlandse wetgeving ook. Het blijkt echter dat dit standpunt door weinig lidstaten wordt gedeeld. Dit standpunt wordt door veel lidstaten ervaren als een ernstige inbreuk op de privacy en een verlaging van het beschermingsniveau.

Verder wordt in deze vergadering verslag gedaan van de resultaten van triloog II aan de hand van document ST 11246/15.

Op 11 september 2015 wordt in een radengroep een tweede bespreking gewijd aan Hoofdstuk III aan de hand van document ST 11696/15. Dit document bevat een articulering van de vraagpunten die op 2 september 2015 zijn besproken. Nederland blijft ook hier bij de eerder ingenomen standpunten. Er worden aan het Voorzitterschap nog enige suggesties gedaan en vragen gesteld op juridische en wetgevingstechnische punten.

Op 18 september 2015 wordt door het Voorzitterschap verslag gedaan in een radengroep van triloog III aan de hand van document ST 12196/15. In algemene zin zijn Raad en EP elkaar op veel punten tegemoetgekomen. Niet verrassend is dat er op een aantal zeer belangrijke punten in hoofdstuk II (beginsel dataminimalisatie, regeling verenigbaar gebruik, toestemming betrokkene, jeugdbescherming, bijzondere persoonsgegevens) een nadere gespreksronde nodig is. Nederland heeft daarvoor de volgende aanvullende standpuntbepaling gegeven.

• • Met betrekking tot artikel 6 (rechtvaardigingsgronden) is Nederland bereid te overwegen of vastlegging van het uitgangspunt dat de overheid in beginsel geen beroep kan doen op de grond «gerechtvaardigd belang van de betrokkene». Dat zou kunnen gebeuren in overweging 38, of in artikel 6, lid 1, onder f, van de verordening.

• • Nederland vindt het nog te vroeg om akkoord te gaan met schrapping van artikel 6, lid 4 (regeling voortzetting verwerking voor een onverenigbaar gebruiksdoel), zonder dat zeker is dat over artikel 6, lid 3a, consensus mogelijk is.

• • Nederland acht het mogelijk om het begrip «redelijke verwachting van bescherming van de persoonlijke levenssfeer» in artikel 6, of in een op dat artikel betrekking hebbende overweging op te nemen.

Een deel van hoofdstuk III is door tijdgebrek niet aan de orde geweest. Dat deel is behandeld in triloog IV.

Triloog IV (29 en 30 september 2015)

Triloog IV betreft het restant van Hoofdstuk III en Hoofdstuk IV van de verordening (verplichtingen van de verantwoordelijke). Verder zijn enige openstaande vraagstukken uit Hoofdstuk II aan de orde gesteld. Op 15 september 2015 wordt in een Raadswerkgroep gesproken over hoofdstuk IV aan de hand van document ST 11784/15. Nederland heeft de volgende standpunten ingenomen:

• • In algemene zin is dit is hoofdstuk altijd een van de centrale aandachtspunten voor Nederland geweest. Verplichtingen voor de verantwoordelijke leiden tot administratieve lasten en nalevingskosten voor het bedrijfsleven. Nederland weet dat dit onvermijdelijk is gelet op het belang dat met de verplichtingen wordt gediend, te weten de bescherming van de persoonlijke levenssfeer. Maar waar die lasten worden opgelegd moet dat volgens Nederland proportioneel zijn aan de grootte van het risico dat met de verplichting is gemoeid. Is met de verwerking een relatief hoog risico gemoeid, dan is een relatief zwaardere verplichting aanvaardbaar.

• • Nederland vond dat het politiek akkoord van juni 2015 dat evenwicht op een verantwoorde manier heeft aangebracht. Onder meer door Nederlandse voorstellen bevatten de artikelen 31 en 32 (regeling meldplicht datalekken) en 33 (verplichting privacy impact assessment) van dat akkoord tekstelementen die aan dat risico refereren. Daarbij kan worden gedacht aan het risico van identiteitsdiefstel, financiële schade, reputatieverlies en discriminatie.

• • Het stelt Nederland dan ook bijzonder teleur dat wordt voorgesteld deze elementen naar een overweging te verplaatsen. Nederland meent dat een essentieel punt van het politiek akkoord van de Raad niet vrijwel onmiddellijk na het bereiken daarvan moet worden opgegeven. Het EP heeft een eigen voorstel ontwikkeld voor de opname van risico-elementen in de verordening (artikel 32a). Het enkele bestaan van dit voorstel geeft daartoe geen aanleiding, al was het maar omdat het gesprek met het EP op dit punt nog niet is begonnen. Nederland zet de discussie daarover buiten de vergaderzaal voort met het Voorzitterschap, de Commissie en enkele andere lidstaten. Een eindpunt is nog niet bereikt.

• • Op de regeling voor de meldplicht datalekken (artikelen 31 en 32) blijft Nederland van oordeel dat niet ieder datalek bij de toezichthouder moet worden gemeld. Dit leidt tot overbelasting van de toezichthouder. De effecitiviteit van dat instrument wordt daardoor aangetast. De drempel moet volgens Nederland risico-georiënteerd zijn.

• • Op de regeling voor de functionaris voor de gegevensbescherming (artikelen 35, 36, 37) blijft Nederland van oordeel dat de nationale wetgevers moeten bepalen of een dergelijke functie verplicht moet worden ingevoerd bij bedrijven en de overheid. Het is duidelijk dat die verplichtstelling een van de belangrijkste punten voor het EP is.

Op 18 september 2015 vindt in een radengroep een nadere bespreking plaats over Hoofdstuk IV aan de hand van document ST 11784/15. De Nederlandse standpuntbepaling is hierboven weergegeven.

Op 24 september 2015 vindt een nieuwe bespreking plaats in een radengroep over Hoofdstuk IV aan de hand van document ST 12034/15. Dit document bevat een articulering van de vraagpunten die op 15 en 18 september 2015 zijn besproken.

• • Nederland herhaalt het eerder ingenomen standpunt dat ook de artikelen van de verordening elementen moeten bevatten die refereren aan de met een concrete verwerking gemoeide risico's. Voor dat standpunt is inmiddels enige steun vergaard van een klein aantal lidstaten. Een zeer grote lidstaat doet de suggestie deze elementen in een begripsbepaling op te nemen. Nederland kan dat voorstel als een goed alternatief ondersteunen. Er blijkt echter weinig steun voor deze standpunten.

• • Op de regeling voor de situaties waarin twee of meer verantwoordelijken één gegevensverwerking beheren (artikel 24) deelt Nederland het standpunt van het EP dat de betrokkene niet het slachtoffer moet worden van eventuele onduidelijkheid in de onderlinge verdeling van verantwoordelijkheden. De taakverdeling moet schriftelijk worden vastgelegd en openbaar worden gemaakt om te voorkomen dat de betrokkene niet in staat is zijn rechten effectief uit te oefenen. Het is echter ook zo dat wanneer verantwoordelijken een regeling treffen die aan de eisen voldoet en daarbij afspreken dat een van hen alle verzoeken van betrokkenen behandelt het niet effectief is wanneer de betrokkene toch het recht blijft houden zijn verzoeken tot alle verantwoordelijken te richten. Met dit verlangen van het EP is Nederland het niet eens.

• • Nederland blijft kritisch op de algemene verplichting alle datalekken bij de toezichthouder te melden.

In een radengroep die plaatsvond op 5 oktober 2015 is door het Voorzitterschap mondeling verslag gedaan van deze triloog. Stukken zijn toen niet verspreid. Het volgende is teruggemeld met betrekking tot Hoofdstuk II. Er is nog geen overeenstemming op artikel 6 (rechtvaardigingsgronden), terwijl artikel 9 (bijzondere persoonsgegevens nog niet besproken is. In Hoofdstuk III wordt nog nader gekeken naar de rechten op wissing en vergeten (artikel 17) en afscherming (artikel 17a). Er is nog geen overeenstemming op de artikelen 19 en 20. Met betrekking tot Hoofdstuk IV is nog sprake van verschillende visies op de manier waarop de risico's die aan een verwerking kleven tot uitdrukking gebracht mogen worden in de verschillende bepalingen van de richtlijn. Het EP houdt voorlopig vast aan een algemene meldplicht voor datalekken en aan de verplichting voor elk bedrijf of elke instelling een functionaris gegevensbescherming aan te stellen.

Slotbeschouwing

Hoewel er, behoudens Hoofdstuk V, nog op veel punten overeenstemming moet worden bereikt tussen EP en Raad is door de drie betrokken partijen duidelijk de politieke wil uitgesproken door te onderhandelen en een politiek akkoord uiterlijk dit jaar te bereiken. Ik acht de kans dat dit gaat lukken aannemelijk. Zekerheid kan ik echter niet geven. Dat betekent ook dat ik pas laat in dit jaar duidelijkheid krijg over hetgeen Nederland te doen staat onder het Voorzitterschap in januari 2016. Het is denkbaar dat die rol beperkt blijft tot administratieve en juridische eindcontroles en de verantwoordelijkheid voor de vertalingen van de eindtekst. Het is echter ook mogelijk dat de onderhandelingen onder mijn verantwoordelijkheid moeten worden voortgezet. Nederland steunt het Voorzitterschap waar dit maar mogelijk is, zonder overigens de specifieke Nederlandse belangen daarbij uit het oog te verliezen. Duidelijk is dat een eventueel akkoord op zijn vroegst pas laat in december van dit jaar kan worden gesloten.

Richtlijn gegevensbescherming opsporing en vervolging

Raadswerkgroep 2 en 3 juli 2015 (documenten ST10133/15 en ST10208/15)

In deze raadswerkgroep worden door het voorzitterschap enkele thema’s aan de orde gesteld. Deze onderwerpen betreffen het volgende:

Artikel 8 (Verwerking van bijzondere categorieën van persoonsgegevens)

Het voorzitterschap stelt voor om dit artikel uit te breiden met een bepaling die het mogelijk maakt om gevoelige persoonsgegevens, die door de betrokkene zelf openbaar zijn gemaakt, te kunnen verwerken. Nederland heeft grote aarzelingen bij een dergelijke bepaling, aangezien het voorstel onvoldoende waarborgen bevat. Een door een andere delegatie gedaan voorstel om die waarborgen alsnog op te nemen, kan de Nederlandse delegatie dan ook steunen.

– Pseudonimisering

Verder stelt het Voorzitterschap voor om, in navolging van de Verordening, het begrip pseudonimisering een plaats te geven in de richtlijn. De Nederlandse delegatie is hierover positief.

– De overdracht van gegevens aan private partijen in derde landen

Voor wat betreft de overdracht van persoonsgegevens aan verantwoordelijken in derde landen die onder de werkingssfeer van de verordening vallen geven veel delegaties, waaronder de Nederlandse, aan dat rechtstreekse verstrekking van bepaalde persoonsgegevens aan private partijen buiten de EU in bijzondere omstandigheden mogelijk moet zijn. Dit houdt verband met ontwikkelingen binnen de rechtshulp, waarbij vorderingen tot verstrekking van persoonsgegevens door de opsporingsautoriteiten rechtstreeks aan bedrijven in derde landen worden verstrekt (bijvoorbeeld bij vorderingen aan aanbieders van webdiensten). De Nederlandse delegatie heeft bepleit om een met voldoende waarborgen omklede regeling te creëren en werd hierin gesteund door andere lidstaten.

– De overdracht van gegevens aan andere personen of instanties

Voor wat betreft verstrekking van persoonsgegevens aan derden heeft de Nederlandse delegatie ingebracht dat de kwestie van de gegevensuitwisseling tussen bevoegde autoriteiten tot nu toe onvoldoende is gevoerd en complexer is dan in de ontwerprichtlijn wordt weerspiegeld. Daarbij wijst de Nederlandse delegatie op de complexe verhouding tussen richtlijn en verordening, het vraagstuk van de doelbinding dat in de richtlijn een belangrijke plaats inneemt, de verhouding tussen het begrip verwerking en het begrip verdere verwerking en de verhouding tussen verenigbare en onverenigbare doeleinden. De Nederlandse delegatie pleit voor meer duidelijkheid op dit punt. Daarbij heeft de Nederlandse delegatie waardering uitgesproken voor het aan de orde stellen van de regeling over verstrekking van persoonsgegevens van bevoegde autoriteiten aan verantwoordelijken die onder de verordening vallen. Evenals andere delegaties meent de Nederlandse delegatie dat het van groot belang is dat ook derden (niet zijnde bevoegde autoriteiten, bijvoorbeeld douane of belastingdienst) in bijzondere gevallen gegevens moeten kunnen ontvangen die onder de werkingssfeer van de richtlijn vallen. Het voorzitterschap vraagt of de delegaties de opvatting delen dat verdere verwerking door een bevoegde autoriteit alleen kan betekenen dat de persoonsgegevens worden verwerkt binnen de reikwijdte van de richtlijn. Op verdere verwerking voor een doel dat buiten de reikwijdte van de richtlijn valt is de verordening van toepassing. De Nederlandse delegatie heeft aangegeven deze opvatting te steunen.

Friends of the Presidency van 15 en 16 juli 2015 (document ST10440/15)

Aan de orde is de behandeling van de hoofdstukken III, IV, VI en VII van de conceptrichtlijn gegevensbescherming opsporing en vervolging. Het voorzitterschap heeft in dit document aanpassingen verwerkt op basis van de algemene oriëntatie over de algemene verordening gegevensbescherming, die de JBZ-Raad op 15 juni jl. heeft bereikt.

Artikel 10 (Modaliteiten voor de uitoefening van de rechten van de betrokkene)

De Nederlandse delegatie kan de inhoud van het artikel steunen, met uitzondering van de verplichting tot schriftelijke verstrekking van de informatie. Nederland stelt voor om de tweede zin van lid 2 te vervangen door: «The information shall be provided by any appropriate means, including in electronic form». Dit voorstel houdt verband met de bescherming van het system van de verklaring omtrent het gedrag (VOG) dat zou kunnen worden ondergraven als de betrokkene altijd recht heeft op een schriftelijke opgave van de gegevens die worden verwerkt.

Artikel 11 (Informatieverstrekking als de gegevens van de betrokkene zijn verkregen)

De Nederlandse delegatie plaatst kritische kanttekeningen bij dit artikel, aangezien een algemene verplichting om iedere betrokkene over de gegevensverwerking te infomeren te belastend is voor de politiepraktijk. Een dergelijke verplichting is niet goed uitvoerbaar, en interfereert overigens met het recht op kennisneming van de betrokkene. Het verdient de voorkeur te kiezen voor een algemene verplichting tot het publiceren (bijvoorbeeld op een website) van algemene informatie over de gegevensverwerking ten behoeve van opsporing en vervolging (de verantwoordelijke, contactdetails, rechten van de betrokkene etc.), waarbij de betrokkene vervolgens een volwaardig recht op kennisneming heeft van de gegevens die over hem worden verwerkt, zodat enerzijds een goed niveau van gegevensbescherming wordt geboden en anderzijds de regeling uitvoerbaar is voor de opsporingsdiensten. Andere lidstaten steunen Nederland hierin.

Artikel 11a (Informatieverstrekking als de gegevens niet van de betrokkene zijn verkregen)

Het voorzitterschap legt aan de delegaties de vraag voor of er behoefte is aan een afzonderlijke regeling voor de verstrekking van informatie aan de betrokkene als de gegevens niet van hem zijn verkregen (bijv. camerabeelden). Artikel 11 is van toepassing wanneer de gegevens met medeweten van de betrokkene zijn verkregen. De Nederlandse delegatie, gesteund door een aantal andere delegaties, meent dat dit onderscheid in de praktijk niet goed werkbaar is en voor onnodige lasten zorgt. Het is beter om voor één goede coherente regeling te zorgen.

Artikel 11b (Beperking van het recht op informatie)

Dit artikel bevat beperkingen op het recht van informatie. Een aantal delegaties stelt voor om meer beperkingen toe te voegen. De Nederlandse delegatie stelt voor om, als de afzonderlijke regeling van artikel 11a wordt gehandhaafd, als uitzonderingsgrond toe te voegen de situatie waarbij de betrokkene tijdens zijn of haar strafproces kennis krijgt van het feit dat over hem of haar politiegegevens zijn verwerkt.

Artikel 12 (Recht van toegang van de betrokkene)

De Nederlandse delegatie plaatst vraagtekens bij het recht van de betrokkene om een kopie van (al) zijn persoonsgegevens te verkrijgen en wordt hierin gesteund door veel lidstaten. Zo’n verplichting zou voor de bevoegde autoriteit tot onevenredig veel lasten kunnen leiden, bijvoorbeeld bij het aftappen van telecommunicatie.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 13 en 14.

Artikel 15 (Recht van rectificatie)

De Nederlandse delegatie steunt de kritiek van andere delegaties op de regeling van lid 1b («restriction of the processing of personal data»), omdat deze voorziet in een beperking om gegevens te verwerken wanneer de juistheid van gegevens door de betrokkene wordt betwist. Dit zal eenvoudig tot misbruik kunnen leiden. De Nederlandse delegatie stelt voor om te kiezen voor markering van de betreffende gegevens, totdat vaststaat of die gegevens al dan niet juist zijn.

Artikel 17 (Rechten van de betrokkene bij strafrechtelijke onderzoeken en procedures)

Nederland sluit zich aan bij andere delegaties die opmerken dat de reikwijdte van deze bepaling nog steeds niet helder is en daarom in de overwegingen verder moet worden toegelicht.

Artikel 18 (Verantwoordelijkheden van de voor de verwerking verantwoordelijke)

De Nederlandse delegatie heeft opgemerkt dat de bijbehorende overweging (37a) teveel is geënt op de Verordening gegevensbescherming en daardoor niet goed aansluit bij de voorgestelde bepaling.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 19, 20, 21 en 22.

Artikel 23 (Documentatie)

Samen met een andere delegatie heeft Nederland problemen met het begrip «activities» in het eerste lid, omdat het vrij vergaande plicht zou kunnen betekenen om alle gegevensverwerkingen te registeren, terwijl het artikel beoogt te komen tot vastlegging van de verschillende categorien van gegevensverwerkingen. Beter is dan wellicht een verwijzing naar het begrip «filing systems.»

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 24, 26, 27, 28, 29, 30, 32, 39, 40, 41 en 42.

Artikel 44 (Bevoegdheid)

De Nederlandse delegatie heeft opgemerkt dat een bevoegdheid van de gegevensbeschermingsautoriteit zich in voorkomende gevallen niet goed verhoudt met de taak van de onafhankelijke rechtspraak. Nederland wil die verhouding nader verduidelijkt zien en plaatst daarom een studievoorbehoud bij deze bepaling.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij artikel 45.

Artikel 46 (Bevoegdheden)

Een aantal delegaties, waaronder Nederlandse, is kritisch over het ongewijzigd overnemen van de bepalingen van de verordening over de bevoegdheden van de toezichthouder. In de speciale context van de richtlijn passen dergelijke verregaande onderzoeksbevoegdheden en dwangmiddelen minder goed omdat dat teveel kan interfereren met de regels die nationaal gelden voor de strafrechtelijke rechtshandhaving. Nederland wijst in dit verband op het kaderbesluit dataprotectie dat minder ver gaat omdat in artikel 25 een aantal «such as»-formuleringen voorkomen.

Artikel 48 (Wederzijdse bijstand)

De Nederlandse delegatie plaatst een studievoorbehoud op de leden 2b en 3c en op de termijn van een maand, in het tweede lid, voor nadere afstemming met de nationale toezichthoudende instantie.

Friends of the Presidency van 22 juli 2015 (documenten ST10603/15 en ST10607/15)

Tijdens deze bijeenkomst zijn onder meer voorstellen voor twee kernartikelen van de richtlijn aan de orde, te weten artikel 4 (Principles relating to personal data processing) en artikel 7 (Lawfulness of processing). Voorts ligt op tafel een nieuw artikel (36a) over verstrekking van persoonsgegevens aan private partijen.

Artikel 4 (Beginselen inzake de verwerking van persoonsgegevens)

Het voorgestelde nieuwe tweede lid van dit artikel, over de verdere verwerking voor andere doelen binnen de reikwijdte van de richtlijn, stuit op veel bezwaren van delegaties, waaronder de Nederlandse delegatie, omdat de verhouding tussen de voorgestelde regeling en de beginselen van het eerste lid in combinatie met de regeling van artikel 7/7a weinig helder is. De Nederlandse delegatie onderstreept het belang van sub b van het nieuwe tweede lid, namelijk dat gegevens enkel kunnen worden verwerkt met een deugdelijke wettelijke grondslag. Op vraag van het voorzitterschap of er behoefte is aan het derde lid van artikel 4, waarin ter verduidelijking een regeling is opgenomen voor gegevens die voor archiveringsdoeleinden worden verwerkt, antwoordt Nederland, met een aantal andere delegaties, ontkennend.

Artikel 7 (Rechtmatigheid van de verwerking)

Het voorzitterschap heeft het oorspronkelijke lid b («for compliance with a legal obligation to which the controller is subject») weer ingevoegd als voorwaarde wanneer gegevensverwerking is toegestaan. De Nederlandse delegatie geeft aan dat een dergelijke bepaling onnodig is (reeds geregeld in lid a). Openbaarmaking van gegevens (bijvoorbeeld in het kader van de WOB) is reeds geregeld in artikel 7a, lid 1.

Artikel 7a (Specifieke voorwaarden voor verwerking)

De Nederlandse delegatie verwelkomt het voorstel van het voorzitterschap om een heldere basis voor verstrekking van gegevens aan derden op te nemen, met het oog op de verdere verwerking van de gegevens door die derde, al moet de precieze tekst nog worden verduidelijkt. Daarbij stelt Nederland voor om «received from or made available by a competent authority» te schrappen.

Artikel 36a (Overdracht van gegevens aan particuliere partijen)

Het Voorzitterschap presenteert een voorstel voor de overdracht van gegevens aan particuliere instanties in een derde land. De Nederlandse delegatie steunt het voorstel op hoofdlijnen en stelt enkele beperkte aanpassingen voor. Het huidige voorstel is te strikt geformuleerd, vandaar de suggestie «exceptional» te vervangen door «specific». In de overwegingen zou dit als volgt toegelicht kunnen worden: «in specific individual cases, especially in cases where immediate action is required.» In onderdeel sub c verzoekt de Nederlandse delegatie om na transfers «or categories of transfers» toe te voegen. En vervang in lid 2 «in force» door «existing.» Door deze wijzigingen zou worden voorzien in voldoende waarborgen voor gegevensoverdracht aan private partijen in het buitenland.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij artikel 57.

Artikel 59 (Verhouding met reeds vastgestelde besluiten van de Unie inzake justitiële samenwerking in strafzaken en politiële samenwerking)

De Nederlandse delegatie geeft de voorkeur aan toepassing van uitsluitend de nieuwe richtlijn in plaats van continuering van bestaande EU-regelingen die afzonderlijke regels geven op deelterreinen. Als dat niet kan dan is het, met het oog op «guidance» voor de politiepraktijk, van groot belang dat in de overwegingen (op hoofdlijnen) aangegeven wordt welke EU-regelingen voorlopig ongewijzigd in stand blijven. Dit naar het model van het kaderbesluit dataprotectie.

Artikel 60 (Verhouding met reeds gesloten internationale overeenkomsten inzake justitiële samenwerking in strafzaken en politiële samenwerking)

De Nederlandse delegatie heeft geen specifieke (inhoudelijke) opmerkingen bij dit artikel.

Artikel 62 (Implementatie)

Verschillende delegaties, waaronder de Nederlandse, geven aan dat de implementatietermijn te kort is, mede gelet op de implicaties voor de praktijk.

Raadswerkgroep van 3 en 4 september. (document ST10963/15, document ST10964/15, zoals gecorrigeerd bij document ST10964/15 COR 1. Voorts is document ST11428/15 besproken)

Aan de orde zijn de hoofdstukken II, III, IV en VIII. In het algemeen heeft de Nederlandse delegatie aangegeven tevreden te zijn met de voortgang die het Voorzitterschap boekt en dat zij op hoofdlijnen kan instemmen met de inhoudelijke koers. Daarbij heeft de Nederlandse delegatie als aandachtspunt dat de richtlijn een goede regeling moet bevatten voor de verstrekking van politiegegevens aan derden die buiten de werking van de richtlijn vallen (bijvoorbeeld aan slachtoffers van misdrijven).

Artikel 4 (Beginselen inzake de verwerking van persoonsgegevens)

De Nederlandse delegatie is positief over het verrichte werk door het voorzitterschap over de principes van gegevensverwerking, maar geeft aan dat de systematiek voor wat betreft verstrekking voor doelen, die niet onder de reikwijdte van de RL vallen, verdere verheldering behoeft. Verder heeft Nederland, gesteund door enkele andere delegaties, enkele technische opmerkingen, namelijk om «further» te schrappen uit het eerste lid, sub b en «the same or another» in het tweede lid te vervangen door «a.» Het Voorzitterschap concludeert dat de voorgestelde aanpassingen van dit artikel nog vragen opwerpen. Hierover moet verder worden nagedacht.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij artikel 6.

Artikel 7 (Rechtmatigheid van de verwerking)

Voor de Nederlandse delegatie is de door het voorzitterschap voorgestelde tekst over de rechtmatigheid van gegevensverwerking aanvaardbaar.

Artikel 7a (Specifieke voorwaarden voor verwerking)

Het voorzitterschap legt aan de delegaties de vraag voor of zij, naar aanleiding van de discussie tijdens de vorige vergadering over de verdere verwerking van gegevens door derden, het eerste lid wensen te schrappen of de voorkeur geven aan verduidelijking in het tweede lid, zodat het als volgt komt te luiden: «Member States shall provide by law specific conditions under which competent authorities may transmit personal data to another recipient, including appropriate safeguards for the rights and freedoms of the data subject.» Een aanzienlijk aantal delegaties spreekt zich uit voor het schrappen van lid 1, terwijl de voorkeur van andere delegaties, waaronder de Nederlandse delegatie, ligt bij de nieuwe voorgestelde tekst. Volgens de Nederlandse delegatie is het nodig om een goede en duidelijke grondslag te hebben voor het verstrekken politiegegevens aan derden («recipients») die buiten de reikwijdte van de richtlijn vallen (zoals bijvoorbeeld aan slachtoffers van misdrijven). Het voorzitterschap concludeert uiteindelijk tot schrapping van het eerste lid.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 8 en 9.

Artikel 10 (Modaliteiten voor de uitoefening van de rechten van de betrokkene)

De Nederlandse delegatie is tevreden over de aangebrachte verbeteringen in de rechten van de betrokkene en de wijze waarop die rechten moeten worden uitgeoefend, en kan daarom de voorgestelde tekst steunen. Ten opzichte van een door enkele delegaties voorgestelde alternatieve procedure die erin voorziet dat het inzagerecht uitsluitend kan worden uitgeoefend door tussenkomst van de nationale toezichthoudende autoriteit kan Nederland flexibel zijn, aangezien deze aanpassing een optie voor de lidstaten blijft (en geen verplichting). Het voorzitterschap concludeert dat er mogelijkheid moet zijn voor flexibiliteit, gelet op de context van de richtlijn.

Artikel 10a (Informatie aan de betrokkene)

Naar aanleiding van de nieuwe tekst van artikel 10a over de informatievoorziening aan de betrokkene complimenteert de Nederlandse delegatie het voorzitterschap voor de aangebrachte verbeteringen. Wel stelt de Nederlandse delegatie voor om het eerste lid iets algemener te formuleren en de passage «if any» te schrappen, aangezien Nederland voorstander is van een verplichte «data protection officer.»

Mede gelet op de aangepaste artikelen 10 en 10a, heeft de Nederlandse delegatie geen opmerkingen bij artikel 12.

Artikel 13 (Beperking van het recht van toegang)

In het kader van de beperkingen op het recht van de betrokkene om te weten of er ten aanzien van hem gegevens worden verwerkt, wijzen enkele delegaties op het belang van een mogelijkheid om een gegevensverwerking richting de betrokkene «noch te bekennen, noch te bevestigen». Bij het eerste lid plaatst de Nederlandse delegatie een studievoorbehoud, omdat onduidelijk is of op basis van dit lid hele gegevenscategorieën uitgesloten kunnen worden en het recht op toegang tot de gegevensverwerking. De Nederlandse delegatie kan de aanpak van het voorzitterschap steunen wat betreft de verwijdering van het tweede lid, omdat rechterlijke toetsing in individuele gevallen mogelijk moet blijven.

Artikel 23 (Documentatie)

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 14, 15, 19, 20, 21 en 23.

Artikel 24 (Bijhouden van registratie)

De Nederlandse delegatie staat sympathiek tegenover deze (gewijzigde) bepaling over het «loggen» van de gegevensverwerking, waarbij deze bepaling door de Nederlandse delegatie zo wordt geïnterpreteerd dat de aanhef de verplichting tot logging bevat waaruit de gegevens van de twee onderdelen kunnen worden afgeleid. Via deze interpretatie zou de werklast voor de praktijk, waarop ook andere delegaties wijzen, worden beperkt.

Artikel 26 (Voorafgaande raadpleging van de toezichthoudende autoriteit)

De Nederlandse delegatie brengt naar voren dat de voorafgaande consultatie van de toezichthoudende autoriteit bij ingebruikneming van een nieuw systeem van gegevensverwerking wenselijk is, maar dat de toezichthoudende autoriteit niet verplicht zou moeten zijn om op ieder afzonderlijk geval te reageren. Op dit punt is een meer discretionaire bevoegdheid wenselijk. Een andere delegatie geeft de voorkeur aan het maken van een brede uitzondering op de verplichte voorafgaande consultatie, namelijk wanneer dit passend is.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij artikel 27.

Artikel 28 (Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit)

De Nederlandse delegatie kan op hoofdlijnen artikel 28 steunen, dat voorziet in een verplichting de betrokkene te notificeren bij een datalek, maar vraagt aandacht voor een eerder ingediend voorstel over het informeren van een andere lidstaat over een datalek, dat samen met een andere delegatie is opgesteld en waarvoor veel steun bestond.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 29 en 30.

Artikel 32 (Taken van de functionaris voor gegevensbescherming)

Dit artikel voorziet in het takenpakket van de «data protection officer». Nederland heeft een voorkeur voor de verplichte instelling van zo’n functionaris en geeft er daarom de voorkeur aan in de eerste regel van overweging 44 «may» te vervangen door «shall.» In de derde regel van dezelfde overweging moet «may» eveneens vervangen worden door «shall.»

Artikel 50 (Recht een klacht in te dienen bij een toezichthoudende autoriteit)

Dit artikel 50 is overgenomen van de concept-verordening. Verschillende delegaties, waaronder de Nederlandse, merken op dat de mogelijkheid van «forumshopping» moet worden voorkomen, en willen voorzien in één bevoegde toezichthouder. Daarbij zou uitgangspunt moeten zijn dat de toezichthouder van de lidstaat waar de verantwoordelijke voor de gegevensverwerking is gevestigd, bevoegd is. Dit sluit ook aan bij artikel 44 (Competence). Enkele delegaties zijn voorstander van een «doorzendplicht», wanneer een toezichthouder niet bevoegd is om de klacht te behandelen.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 51, 52 en 53.

Artikel 54 (Aansprakelijkheid en het recht op vergoeding)

De Nederlandse delegatie kan zich vinden in het doel van deze bepaling maar steunt de delegaties die de regeling in de leden 3 tot en met 5 te gedetailleerd vinden. Naar aanleiding hiervan geeft het voorzitterschap aan met een vereenvoudigde versie komen.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij artikel 55.

Friends of the Presidency over de Richtlijn gegevensbescherming opsporing en vervolging van 9 september 2015 (document ST11251/15 en ST11252/15)

Artikel 34 (Doorgiften op basis van een besluit waarbij het beschermingsniveau passend wordt verklaard)

De Nederlandse delegatie kan het voorstel over verstrekking van gegevens na een «adequacy decision» op hoofdlijnen steunen en stelt voor in te voegen in de aanhef van het tweede lid, na «exists»: «or the decision has not taken into account the data protection legislation applicable to the third country authorities competent for the purposes set out in Article 1(1)» en in datzelfde lid onder b na «third country»: «competent for the purposes set out in Article 1 (1)», zodat duidelijk is dat de «adequacy decision» moet zien op verwerking van gegevens binnen de reikwijdte van de richtlijn. Dat is nu nog onvoldoende duidelijk. Verder vraagt de Nederlandse delegatie zich af waarom een spoedprocedure niet is voorzien voor het derde lid, maar wel voor het vijfde lid. Voorstelbaar is dat er een spoedeisend belang is bij de toetsingsprocedure.

De Nederlandse delegatie heeft opmerkingen ingebracht bij artikel 35.

Artikel 36 (Afwijkingen)

De Nederlandse delegatie sluit zich aan bij de opmerkingen van een andere delegatie, dat de toepassing van artikel 36 als een terugvaloptie moet worden beschouwd en enkel zou geschikt is te gebruiken als verstrekking van gegevens aan derde landen niet onder artikelen 34 of 35 kan plaatsvinden, waarbij aandacht wordt gevraagd voor de benodigde rechtswaarborgen. In het belang van de rechtspositie van betrokkene dient het tweede lid behouden te blijven. Het moet mogelijk zijn om verstrekking van gegevens te weigeren als personen het risico lopen van vervolging op grond van geloof of politieke overtuigingen.

Artikel 36aa (Verstrekking aan private partijen)

De Nederlandse delegatie staat positief tegenover dit artikel en stelt de volgende technische wijzigingen voor: vervang in de aanhef «personal data» door «personal identification data» of «data to identify a person or a device». Voeg na «necessary» in het eerste lid sub a toe «in order to obtain in return personal data». En vervang in overweging 49b «remain exceptional and» door «should be limited to data to identify a person or a computer device when». Het doel van deze wijziging om nauwkeuriger af te bakenen wat verstrekking aan private partijen precies behelst.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 39, 40 en 41.

Artikel 42 (Instelling toezichthouder)

De Nederlandse delegatie sluit zich aan bij de opmerking van enkele delegaties, dat de voorgestelde regels over de samenstelling van de toezichthoudende autoriteit te gedetailleerd en te beperkend zijn en beter aan de lidstaten zelf kunnen worden overgelaten.

Artikel 44 (Bevoegdheid)

Het voorzitterschap presenteert twee opties ten aanzien van het toezicht op de rechterlijke autoriteiten die persoonsgegevens verwerken. Naar aanleiding van een voorstel van Nederland kiest een aanzienlijk aantal delegaties voor de tekst dat «Member States shall provide that the supervisory authority is not competent to supervise processing operations of courts or other judicial authorities when acting in their judicial capacity.» Het voorzitterschap concludeert dat dit voorstel kan worden opgenomen.

Artikel 45 (Taken)

De Nederlandse delegatie vraagt aan het voorzitterschap om verheldering van onderdeel h van het eerste lid, als er in een lidstaat verschillende toezichthoudende autoriteiten betrokken zijn is de vraag aan de orde wie in die situatie bevoegd is.

Artikel 46 (Bevoegdheden)

Enkele delegaties stellen voor om het artikel aan te passen, aangezien de bevoegdheden van de toezichthoudende autoriteit te gedetailleerd zijn geregeld. Dit zou aan de lidstaten moeten worden overgelaten. Ook de Nederlandse delegatie ziet de voordelen van een meer algemene opdracht aan de lidstaten dat elke toezichthouder voldoende bevoegdheden moet hebben, bijvoorbeeld een zin als «Each Member State shall provide by law that its supervisory authority shall have adequate corrective powers.»

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij artikel 47.

Artikel 48 (Wederzijdse bijstand)

De Nederlandse delegatie handhaaft het studievoorbehoud en stelt voor om lid 3c te schrappen. In dit onderdeel wordt een gedetailleerd formulier voorgeschreven op grond waarvan toezichthouders in internationale gevallen moeten samenwerken. Enkele delegaties steunen Nederland hierin.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 49, 57, 58 en 59.

Artikel 60 (Verhouding richtlijn met bestaande internationale overeenkomsten)

Friends of the Presidency van 16 september 2015 (document ST11711/15)

Aan de orde waren deze keer nieuwe versies van de hoofdstukken I, II en VIII. Er werd gesproken over de verstrekking («transfer») van gegevens van (onder meer) de politie aan derden (die niet onder de richtlijn vallen) voor doeleinden die buiten de reikwijdte van de richtlijn vallen. Onder meer de Nederlandse delegatie is van mening dat daarvoor een goede bepaling moet worden gevonden.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij artikelen 1 en 2.

Artikel 3 (Definities)

De Nederlandse delegatie vraagt of een verwijzing naar «health» en «economic situation» in overweging 12a werkelijk noodzakelijk is. Deze begrippen zijn ontleend aan de verordening maar spelen in de richtlijn geen rol.

Artikel 4 (Beginselen van gegevensverwerking) en artikel 7a (Bijzondere voorwaarden)

Enkele delegaties menen dat de verstrekking van persoonsgegevens aan derden onder de reikwijdte van de verordening moet vallen. Andere delegaties, waaronder de Nederlandse, merken op dat op de verstrekking («transfer») van gegevens van de politie naar andere sectoren (die buiten de reikwijdte van de richtlijn vallen) niet de verordening van toepassing mag zijn. Het mag niet zo zijn dat op dezelfde gegevens de richtlijn en de verordening van toepassing zijn en dat de politie dan alsnog wordt geconfronteerd met verschillende privacyregimes. Op dit punt moet de richtlijn volgens deze delegaties worden verduidelijkt.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij artikelen 7–9 en evenmin bij de artikelen 50–54.

Friends of the Presidency van 21 en 22 september 2015 (documenten ST 11972/15 en ST11975/15)

Aan de orde zijn de nieuwe versies van de hoofdstukken II, III, VI en VIII. Onder meer de Nederlandse delegatie vraagt aandacht voor de verstrekking («transfer») van gegevens van (onder meer) de politie aan derden (die niet onder de richtlijn vallen) voor doeleinden die buiten de reikwijdte van de richtlijn vallen.

Artikel 4 (Beginselen inzake de verwerking van persoonsgegevens)

Een aantal delegaties, waaronder de Nederlandse delegatie, pleit voor een expliciete bepaling in de richtlijn die de rechtsbasis vormt voor de verstrekking («transfer») van gegevens van (onder meer) de politie aan derden (die niet onder de richtlijn vallen) voor doeleinden die buiten de reikwijdte van de richtlijn vallen. Het voorzitterschap geeft aan met een nieuwe tekst te komen.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 8, 9 en 10.

Artikel 10a (Informatie aan de betrokkene)

De Nederlandse delegatie stelt voor om het eerste lid van artikel 10a te verduidelijken, zodat beter naar voren komt dat dit een algemene informatieverplichting betreft. Dit zou kunnen door «the data subject» te vervangen door: «the data subjects». Een aantal delegaties steunt dit voorstel.

Artikel 12 (Recht van toegang van de betrokkene)

Naar aanleiding van een vraag van een delegatie over de verwijdering van onderdeel h, dat voorziet in informatie over eventuele rechtswaarborgen bij verstrekking van gegevens aan een derde land, geeft het voorzitterschap aan dat deze informatie al elders in de richtlijn is geregeld. Nederland tekent een studievoorbehoud aan, om een en ander na te gaan.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 13, 15, 15a, 42, 44, 45, 46, 50, 53 en 54.

COREPER van 24 september 2015 (document ST11972/15)

Tijdens COREPER II zijn de hoofdstukken 1, IV, V, VII, IX en X van de conceptrichtlijn gegevensbescherming opsporing en vervolging aan de orde geweest ter voorbereiding van een General Approach, te bereiken op de JBZ-Raad van 9 oktober a.s. Veel lidstaten steunden de aanpak van het voorzitterschap en onderstreepten het belang van voortgang en het bereiken van een spoedig akkoord op dit dossier. Enkele technische punten zullen nog afgehandeld worden tijdens de JBZ-Radengroep van 28 september a.s.

Radengroep van 28 september 2015 (document ST11975/15)

In deze werkgroep stelt het voorzitterschap een bepaling voor die voorziet in de mogelijkheid tot overdracht van gegevens aan derden voor doeleinden die buiten de reikwijdte van de richtlijn vallen. Hier bleek veel steun voor bij de delegaties.

Artikel 3 (Definities)

De Nederlandse delegatie geeft aan in onderdeel (8) nut en noodzaak van de toevoeging van het voorzitterschap in de bepaling «however, national authorities which may receive data in the framework of a particular inquiry shall not be regarded as recipients» niet goed in te kunnen zien, en vraagt om een nadere uitleg. Enkele andere delegaties sluiten zich hierbij aan.

Artikel 7a (Specifieke voorwaarden voor verwerking)

Enkele lidstaten hebben technische opmerkingen of vragen om verduidelijking van de bepaling over de rechtmatigheid van verdere gegevensverwerking voor andere doeleinden. Nederland is positief, maar plaatst een studievoorbehoud om het voorstel nader te bestuderen.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 10a, 15 en 20.

Artikel 24 (Bijhouden van registratie)

De Nederlandse delegatie dankt het Voorzitterschap voor de aangepaste tekst over het verplichte «loggen» van gegevens, die voldoet aan de eerder geuite wensen van Nederland.

Artikel 29 (Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene)

Samen met een andere delegatie heeft de Nederlandse delegatie een voorstel ingediend dat voorziet in melding van een datalek aan een andere lidstaat als de betreffende gegevens door die lidstaat zijn overgedragen. Nederland steunt het voorstel van een andere delegatie om «or to» toe te voegen aan de tekst, zodat de verplichting om datalekken te melden ook geldt als gegevens aan een andere lidstaat zijn gezonden. Dit voorstel wordt positief ontvangen door andere delegaties, dit zal in artikel 28 worden ingepast.

Artikel 46 (Bevoegdheden)

Ter vergadering wordt een voorstel verspreidt om het woord «effective» op drie plaatsen in dit artikel op te nemen om te borgen dat de bevoegdheden van te toezichthouder daadwerkelijk effectief zijn. Veel delegaties kunnen dit steunen. De daarbij behorende wijziging van overweging 57 wordt door een aantal delegaties, inclusief de Nederlandse delegatie, niet gesteund omdat die overweging duidt op een vergaande bevoegdheid voor de toezichthouder om de verstrekking van gegevens aan derde landen te blokkeren. Naar aanleiding hiervan trekt het voorzitterschap dit voorstel tot wijziging terug.

De Nederlandse delegatie heeft geen opmerkingen ingebracht bij de artikelen 50, 53 en 54.

Artikel 62 (Implementatie)

Bij de bespreking van dit artikel vraagt de Nederlandse delegatie, evenals andere delegaties, om verlenging van de implementatietermijn.

De Minister van Veiligheid en Justitie, G.A. van der Steur