Aan de orde is de behandeling van:

het wetsvoorstel Regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens) (25892).

De heer De Jong (CDA):

Mijnheer de voorzitter! De CDA-fractie had bij het wetsvoorstel bescherming persoonsgegevens een groot aantal vragen, zoals ook uit het voorlopig verslag is gebleken. De memorie van antwoord van beide ministers geeft op veel van die vragen een uitvoerig antwoord. Toch wil de CDA-fractie nog een aantal zaken aan deze minister voorleggen. Niettemin, voor de beantwoording is mijn fractie de minister zeer erkentelijk.

De dimensies, waarbinnen de vragen uit deze Kamer zijn beantwoord, zijn bepaald adequaat te noemen, zodat het tijdsverloop tussen de ontvangst van de memorie van antwoord en de plenaire behandeling vandaag beperkt kon blijven. Jammer echter, dat het uitbrengen van de memorie van antwoord nog zo'n drie maanden heeft gevergd.

Het wetsvoorstel beoogt een richtlijn te implementeren van de Europese Unie. Met die drie maanden is de overschrijding van de implementatietermijn die op 23 oktober 1998 was verlopen, nog groter geworden. En dat terwijl al vanaf het begin duidelijk was dat de onderhavige regeling eind 1998 in het Staatsblad had moeten staan. De verklaring die de memorie van antwoord voor die vertraging aanwijst, acht de CDA-fractie weinig overtuigend. Zij neemt de verklaring maar voor kennisgeving aan, met de kanttekening dat met een strakkere, meer planmatige aanpak rondom het onderhavige wetsvoorstel, een infractieprocedure van de Europese Commissie tegen Nederland voorkomen had kunnen worden. Dat roept overigens wel de vraag op, hoe het inmiddels staat met de implementatie van de richtlijn in de andere lidstaten van de Europese Unie nadat de minister daarover informatie heeft verschaft bij zijn brief van 7 december 1999. Zijn er nog nieuwe ontwikkelingen te melden?

Zoals gezegd, waardering voor de inhoud van de memorie van antwoord, alsmede voor de aangekondigde voornemens zoals de inmiddels verschenen nota van wijzigingen bij wetsvoorstel 26410 (Wijziging van bepalingen met betrekking tot de verwerking van persoonsgegevens) en de actualisering van de informatie over het communicatie- en voorlichtingsplan rondom de invoering van het wetsvoorstel. De CDA-fractie vertrouwt erop dat bij wijze van spreken vanaf morgen de nodige capaciteit beschikbaar is voor communicatie en voorlichting op een kwalitatief hoog niveau. De fractie zou gaarne van de bewindslieden vernemen, welke capaciteit er juist op dat voor de burger, voor ondernemingen en voor instellingen zo belangrijke terrein beschikbaar is. Wij krijgen graag concrete en actuele informatie daarover.

De bewindslieden geven in de memorie van antwoord aan dat zij de CDA-fractie op enkele onderdelen niet kunnen volgen. Wellicht hadden wij meer inzicht moeten bieden in de achterliggende gedachte. De punten die hierbij aan de orde zijn, betreffen de vraag of men het privacyrecht ent op het bestuursrecht dan wel op het civiele recht. Het kabinet zegt: op beide. Het ging ons om de vraag of een overwegend publiekrechtelijke inslag, een publiekrechtelijke opzet dus, het meest geëigend is om relaties tussen burgers onderling en hun organisaties te regelen. Discussies, met name in Zweden, laten zien dat er ook andere benaderingen van de privacy mogelijk zijn met een meer civielrechtelijk repressief karakter. Ik verwijs in dat verband naar rapport 8/98, "An Abuse Model?" van de Swedish IT Law Observatory. In dat rapport werd de vraag ter discussie gesteld of privacywetgeving volgens een gebruiks- of volgens een misbruikmodel zou moeten worden opgezet. In het eerste geval geldt dat niets mag, tenzij het is toegestaan. In het tweede geval mag alles, tenzij het is verboden. Natuurlijk zijn dit oneliners die de lading niet volledig dekken, maar het is duidelijk dat de Europese richtlijn en dus ook onze wetgeving in essentie volgens het gebruiksmodel zijn opgezet. Het gaat op voorhand om het neutraliseren van gevaren die aan het verwerken van persoonsgegevens zouden kunnen zijn verbonden. Ik wijs in dit verband bij wijze van voorbeeld op artikel 31 van het wetsvoorstel over het voorafgaand onderzoek als extra controlemiddel en op de ruime uitwerking in onze wetgeving van artikel 20 van de Europese richtlijn betreffende het bijzondere risico, terwijl onder de werking van de huidige Wet persoonsregistraties van het bestaan van zulke risico's maar weinig is gebleken. In het misbruikmodel is het optreden van de wetgever op het onderhavige gebied eerder van repressieve aard. Dat model laat zich goed vertalen in civielrechtelijke termen.

Ik wijs er in dat verband op dat de Raad voor het openbaar bestuur er in zijn rapport "ICT en het recht om anoniem te zijn" van dit voorjaar voor pleit getroffenen bij schending van de privacy meer mogelijkheden te geven om via een privaatrechtelijke weg schadevergoeding te eisen. Uitgaand van enkele basisvereisten voor privacybescherming leidt een civielrechtelijke ordening volgens de Zweedse rapporteurs tot minder bureaucratie dan het gebruiksmodel. Het is duidelijk dat de Europese regelgeving een zuiver misbruikmodel niet toestaat. Dat neemt echter niet weg dat bij de voorziene evaluaties van de regelgeving, zowel op nationaal als op Europees niveau, gekeken zou kunnen worden of het onderhavige vraagstuk vanuit een andere invalshoek kan worden beoordeeld. Dat zou de vraag kunnen beantwoorden of een misbruikmodel wellicht tot betere resultaten leidt en meer aansluit bij de wijze waarop burgers en hun organisaties als regel hun verhoudingen ordenen. Deze gedachten leiden de CDA-fractie tot een tweetal vragen. Wil de minister bevorderen dat de verschillende modellen van wet- en regelgeving uitdrukkelijk worden betrokken bij zowel de Nederlandse als de Europese evaluatie? Is de minister bereid in Brussel aan te sturen op een andere oriëntatie van de privacyregulering als zou komen vast te staan dat een misbruikmodel de voorkeur verdient boven een gebruiksmodel? Mijn fractie krijgt gaarne een positief antwoord op deze vragen.

Ik denk dat inbreuken op de privacy, zoals wellicht het geval is met de RIVM-databank voor hielprikjes van pasgeborenen, minder snel zullen voorkomen wanneer men weet dat men met forse privaatrechtelijke vorderingen wordt geconfronteerd. Hetzelfde geldt misschien voor de internetserviceproviders. Vorige week heeft de Registratiekamer een rapport gepubliceerd rond de privacyschendingen van die dienstverleners.

Voorzitter! In de memorie van antwoord geeft het kabinet aan dat het rechtsgebied dat betrekking heeft op de bescherming van persoonsgegevens zijn wortels heeft deels in de Grondwet, deels in het civiele en deels in het bestuursrecht. In dat verband is het naar het oordeel van onze fractie van belang even stil te staan bij het eind mei van dit jaar gepubliceerde advies van de commissie-Franken over grondrechten in het digitale tijdperk. Natuurlijk heeft de CDA-fractie de brief van minister de Vries gezien: het regeringsstandpunt over het advies zal bij de begroting voor het jaar 2001 kenbaar gemaakt worden.

Desondanks wil mijn fractie vandaag aan de minister de vraag voorleggen welke consequenties het advies van de commissie-Franken heeft voor wetten die betrekking hebben op de bescherming en de verwerking van persoonsgegevens, in het bijzonder voor het aan de orde zijnde wetsvoorstel. Zou het om ingrijpende wijzigingen gaan? Dat is het ene aspect. Er is ook een ander aspect.

De commissie-Franken heeft onder meer een nieuwe tekst voorgesteld voor artikel 10 van de Grondwet. De bewoordingen van het tweede en het derde lid van dat artikel lijken geheel geënt te zijn op de Europese richtlijn. Bij de CDA-fractie riep dat de vraag op of aldus het gebruiksmodel, waarover ik het zojuist had, grondwettelijk wordt verankerd, zodat het misbruikmodel in strijd met de Grondwet zou zijn. Ik hoor gaarne de zienswijze van de minister op beide aspecten.

Voorzitter! Ik wil nog een heel ander punt noemen. Bij brief van 9 maart 2000 heeft de minister van Justitie de Tweede Kamer met een nota nader geïnformeerd over de toepassing van de artikelen 25 en 26 van richtlijn inzake het gegevensverkeer tussen de Europese Unie en derde landen. Het gaat daarbij dus om het Nederlandse beleid, gebaseerd op de artikelen 76, 77 en 78 van het wetsvoorstel. Ook in de memorie van antwoord staat daarover nog een opmerking in verband met artikel 76 van het wetsvoorstel. De CDA-fractie zou het zeer op prijs stellen wanneer de bewindsman helderheid verschaft over het gegevensverkeer met derde landen, dus buiten de Europese Unie

Wat is namelijk het geval? In artikel 76, eerste lid, van het wetsvoorstel, is in het midden gelaten wie primair bepaalt of een land buiten de Europese Unie een voldoende niveau van privacybescherming kent. In de memorie van toelichting valt vervolgens als uitleg te lezen dat de verantwoordelijke in de zin van het wetsvoorstel zelf bepaalt of het ontvangende land een passend beschermingsniveau biedt. In de nota bij de brief van 9 maart 2000 lijkt het erop dat gegevensverkeer bij gebreke van een officiële goedkeuring niet is toegestaan, tenzij een van de uitzonderingen van artikel 77 aan de orde is. Dat zou dan betekenen dat exportvergunningen moeten worden aangevraagd. Dat is niet in overeenstemming met de interpretatie in de memorie van toelichting en lijkt evenmin aan te sluiten bij de memorie van antwoord aan deze Kamer op blz. 14. Bovendien is dat nogal ongelukkig in het kader van het normale handelsverkeer, terwijl het ook administratief lastig is op de elektronische snelweg. Daarom is de expliciete vraag van onze fractie of het nu wel of niet de bedoeling is dat er met exportlicenties gewerkt gaat worden.

Een ander punt inzake het internationale gegevensverkeer betreft de wenselijkheid van harmonisatie van de regels rond politieregisters en de gegevensuitwisseling tussen deze registers. In het recente grote onderzoek onder leiding van prof. Tak van de Katholieke Universiteit Nijmegen naar de normering van bijzonder opsporingsmethoden in de landen van de Europese Unie zijn heel veel waardevolle inzichten naar voren gekomen. Maar de regulering van de bijzondere politieregisters is buiten het onderzoek gebleven. Vandaar dat wij daarover een paar vragen hebben.

Is de minister, gelet op het belang van adequate gegevensuitwisseling, zoals bij mensensmokkel en mensenhandel, bereid een vergelijkend onderzoek te laten doen naar de regulering van de politieregisters in de lidstaten van de Europese Unie? Wil de minister de resultaten daarvan aan deze Kamer meedelen en daarbij ook aangeven welke initiatieven hij zonodig wil nemen om tot harmonisatie te komen, bijvoorbeeld door heroverweging van de eigen regels of door een voorstel in de JBZ-raad?

Voorzitter! Uit de memorie van antwoord begrepen wij dat de nakoming van de aanmeldingsplicht ingevolge de Wet bescherming persoonsgegevens wordt vergemakkelijkt met een elektronisch formulier, dat op een gebruikersvriendelijke manier kan worden ingezet. Wij menen begrepen te hebben dat de genormeerde vrijstelling in dat elektronische formulier wordt geïntegreerd. Dat riep nog een interessante juridische vraag op, want de papieren versie van de aanmelding en de genormeerde vrijstelling worden bij algemene maatregel van bestuur vastgesteld. De vraag rijst dan wie verantwoordelijk is voor de elektronische versie ervan: de minister of de Registratiekamer.

De primaire opmerking van de CDA-fractie hierbij is dat het ons een groot genoegen zou doen, wanneer de bewindslieden kunnen bevestigen dat zowel het papieren als het elektronische formulier wordt ingericht in nauw overleg en zoveel mogelijk in directe afstemming met personen en instellingen die er straks mee moeten werken, ongeacht de vraag of het de minister is, de Registratiekamer of het College bescherming persoonsgegevens die het formulier uiteindelijk vaststelt. Zoals al in het voorlopig verslag door onze fractie is gezegd, hechten wij zeer aan een adequate praktijkoriëntatie.

Het is bekend dat onze fractie positief staat tegenover de ruimte die in het wetsvoorstel is gelaten aan eigen verantwoordelijkheid, die door de voorbereiding van sectorwetgeving, gedragscodes, functionarissen voor de gegevensbescherming en door de raad van advies bij het college gestalte kan krijgen. In dit verband is het van belang dat het college zichzelf goed weet te positioneren. Het is ook van belang dat het college in zijn praktisch functioneren helder laat zien ervan overtuigd te zijn dat niet alleen het college, maar veel personen en instellingen in de samenleving een effectieve en efficiënte bescherming en een veilige verwerking van persoonsgegevens belangrijk vinden.

Op de deskundigheid in dat opzicht heeft niemand een monopolie, ook het college niet, ook al beschikt het over een zeer grote expertise. Tegen die achtergrond heeft de CDA-fractie in het voorlopig verslag vragen gesteld over de toekomstige samenstelling van het college en zijn raad van advies. Het lijkt ons goed een en ander vandaag nog eens uitdrukkelijk te onderstrepen.

Mijnheer de voorzitter! Alvorens af te sluiten heeft de CDA-fractie een vraag vastgeknoopt aan artikel 16, tweede volzin, en artikel 23, eerste lid, sub a, van het wetsvoorstel. Ik giet deze vraag in de vorm van een concrete casus. Stel dat iemand zich schuldig maakt aan mishandeling van zijn of haar kinderen of van zijn of haar partner. Stel dat de politie meent dat verergering, escalatie of recidive voorkomen kan worden door een interventie van een externe hulpverlener. Stel ten slotte dat de dader, de verdachte dus, geen toestemming geeft de relevante gegevens aan de externe hulpverlener te verstrekken. De vraag is dan of in het licht van het wetsvoorstel de conclusie juist is dat gegevensverstrekking om erger of recidive te voorkomen beslist ongeoorloofd is. Andersom gesteld luidt de vraag: meent de minister van Justitie niet dat voor zulke situaties een opening gevonden moet of kan worden om het van kwaad tot erger te vermijden?

De CDA-fractie ziet de beantwoording van haar vragen en opmerkingen door de minister gaarne tegemoet.

Mevrouw De Wolff (GroenLinks):

Voorzitter! Met dit wetsvoorstel wordt beoogd regels te stellen in het spanningsveld tussen enerzijds de eerbiediging van de persoonlijke levenssfeer en anderzijds het belang van verwerking van persoonsgegevens. Deze verwerking vindt niet zelden, maar ook niet per se in het belang van die personen plaats. De achtergrond hiervan is de stormachtige groei van de technische mogelijkheden tot gegevensvergaring en -verwerking en de toenemende commerciële belangen bij gegevensvergaring.

Een orthodox denkende strafrechtjurist die voorheen altijd vond dat DNA-onderzoek ongeveer gelijkstaat aan de verplichting aan verdachten om mee te werken aan hun eigen veroordeling, zal bijvoorbeeld toch verbaasd zijn over de discussie die in de Verenigde Staten van Amerika is opgelaaid over de toepassing van de doodstraf. Uit DNA-onderzoek bleek dat de doodstraf een aantal keren was opgelegd, terwijl uiteindelijk geconstateerd moest worden dat dit ten onrechte was. Het is in mijn ogen altijd ten onrechte, maar ik bedoel te zeggen dat de verdachte het feit niet gepleegd kon hebben. Zo maken al die groeiende technologische mogelijkheden dat zekerheden niet altijd meer zekerheden zijn. Het feit dat de overheid een aantal belangrijke taken heeft uitbesteed aan de markt in de afgelopen tien, vijftien jaar, betekent een groei van het commerciële belang bij gegevensvergaring en gegevensverwerking. Ook dat heeft z'n voors en z'n tegens.

Ik heb mij bij de voorbereiding van dit wetsvoorstel afgevraagd hoe indertijd de discussie rond de WPR is verlopen. Wie denkt, inspiratie te putten uit hetgeen volksvertegenwoordigers van de voorlopers van GroenLinks in deze Kamer bij de WPR naar voren hebben gebracht, komt in die zin bedrogen uit dat die wet hier behandeld is bij afwezigheid van vijf van de negen fracties die toen in deze Kamer waren vertegenwoordigd. De voorzitter herinnert het zich misschien nog, omdat hij hier toen in een andere hoedanigheid aanwezig was. Waar de Kamer zich toen – in ieder geval grotendeels – onder druk gezet voelde door de noodzaak dat de WPR spoedig in werking zou treden, beheerst dat gevoel de Kamer nu kennelijk niet. Integendeel, als ik collega De Jong goed begrijp, is nu juist de klacht dat de wet niet met voldoende voortvarendheid aan de Kamer is voorgelegd. Het kan verkeren!

Duikend in die geschiedenis kwam ik uiteraard ook de staatscommissie-Koopmans tegen, die in 1972 is ingesteld en is gevraagd, te adviseren over nut en noodzaak van wetgeving op het terrein van persoonsregistratie. De staatscommissie-Koopmans noemde indertijd een viertal gevarenzones. Zij gaf overigens aan dat er voor de rest op het terrein van de bescherming van persoonsgegevens ook niet zo verschrikkelijk veel loos was. De vier gevarenzones die de commissie-Koopmans duidde, waren: (1) het verlies van context van persoonsgegevens, met name gevoelige gegevens, en zeker wanneer het gaat om veronderstellingen, (2) het zelfbeschikkingsrecht van de geregistreerden, (3) de overzienbaarheid van beslissingen aangaande de persoon en (4) de commerciële exploitatie van persoonsgegevens. Hoe abstract deze vier gevarenzones ook zijn geformuleerd, ik denk dat zij in essentie nog steeds actueel zijn. Ik wil die vier gevarenzones als uitgangspunt nemen voor de rest van mijn betoog.

Als het gaat om het gevaar van verlies van context van persoonsgegevens, zijn onder meer de voorgestelde artikelen 9, 10 en 11 van belang. Ik noem bijvoorbeeld het artikel over de doelbinding, de bewaartermijn en de bepaling omtrent de juistheid en de nauwkeurigheid van gegevens. Ook de bepalingen over gevoelige normen die zwaarder zijn, zijn in dit verband relevant.

Voorzitter! Ik constateer dat het belang bij het onbevoegd doorspelen van gegevens groot is, misschien zelfs wel groeiend. Een verzekeraar zal graag beschikken over de ziekteverzuimgegevens van de werkgevers die het ziekterisico hebben verzekerd. Een werkgever zal graag beschikken over gegevens over de gezondheid van werknemers. Uit een recent onderzoek van het College van toezicht van sociale verzekeringen blijkt dat 49% van de werkgevers wel eens de Wet op de medische keuringen overtreedt. Dat is in feite ook een privacywet. Dat wil zeggen dat zij informatie inwinnen op een wijze die niet door beugel kan. Er komen in deze wereld, de wereld van verzekeringen, steeds meer conglomeraten voor van belanghebbenden – om bij werkgevers en het ziekteverzuim te blijven – de verzekeraars, de Arbodiensten, eventueel pensioenverzekeraars en ziektekostenverzekeraars, voor wie het doorspelen van gegevens technisch gezien een sinecure is. Hoe kunnen wij voorkomen dat in dat soort gevallen de nieuwe wet stelselmatig zal worden overtreden, zoals ook de Wet op de medische keuringen vrijwel stelselmatig wordt overtreden? In hoeverre bestaat er niet een gevaar dat de eis van doel- binding verwatert? Als wij kijken naar de geschiedenis van het sofi-nummer in Nederland, dan zien wij dat ook daar de eis van doelbinding gaandeweg verwatert. Ik las recent dat nu ook kleuters die het basisonderwijs gaan betreden, worden voorzien van een sofi-nummer, wat natuurlijk oorspronkelijk nooit de bedoeling was. Ik neem aan dat daar nog een democratische legitimatie voor gevonden wordt. Wat ik bedoel te zeggen is dat het huidige doel van gegevensverwerking over een jaar enigszins verkleurd kan zijn. Hoe weet de persoon wiens gegevens zijn vergaard wat nog het doel is waarvoor indertijd de gegevens werden verstrekt?

De tweede gevarenzone die Koopmans indertijd duidde, was die van het zelfbeschikkingsrecht van de geregistreerde. Hier is onder meer artikel 8 van het wetsvoorstel van belang. Maar wat stelt dat recht van de geregistreerde in werkelijkheid voor wanneer je met een muisklik instemt met de kleine lettertjes van een internetprovider, zonder goed en wel te beseffen waar je voor tekent? Wat te denken van het oprukkend cameratoezicht in de private ruimte? Is het voldoende om ergens een sticker aan te plakken met de mededeling dat er camera's zijn om je ervan te vergewissen dat degene die de ruimte betreedt zich ondubbelzinnig akkoord verklaart met opname van zijn gedrag? In welk opzicht is deze nieuwe wet een betere bescherming van de persoon dan de vorige, de WPR?

De derde risicozone die Koopmans duidde, is de overzienbaarheid van beslissingen aangaande de eigen persoon. De technische mogelijkheden van gegevensverwerking zijn nauwelijks overzienbaar, zeker niet voor een argeloze geregistreerde. Die onoverzienbaarheid van de mogelijkheden kan op zichzelf al een bedreiging inhouden van de persoonlijke levenssfeer. Wie zich als frank en vrij surfende internet gebruiker gaat realiseren wat er allemaal kan worden vastgelegd over koopgedrag, interesses, aberraties en ziektes bekruipt een virtueel "look behind you"-gevoel. Alleen al het feit dat er zoiets zou kunnen bestaan als Echelon, alle ontkenningen ten spijt, kan tot gevoelens van onveiligheid leiden voor de mobiele beller. Dan komen er steeds meer samenwerkingsverbanden, vaak heel loffelijk, waarin privé-gegevens van personen rondgaan. Integraal veiligheidsbeleid, samenwerking werk en inkomen; het is allemaal zeer belangrijk, maar waar liggen de grenzen van privacybescherming? Gaan gegevens in dergelijke verbanden niet te veel een eigen leven leiden? Raakt de betrokkene het spoor niet bijster? Aan welke instantie heeft hij gegevens verstrekt en naar welke instantie gaan die gegevens toe? Hoe kan worden voorkomen dat gegevensverstrekkingen op basis van de ene wet, bijvoorbeeld een socialezekerheidswet, en gegevensverstrekkingen op basis van de Wet bescherming persoonsgegevens door elkaar heen gaan lopen? In hoeverre biedt het wetsvoorstel ook op dit punt meer waarborgen dan de oude WPR?

Het vierde aandachtspunt was de commerciële exploitatie van persoonsgegevens. Daarbij is artikel 21 van het wetsvoorstel van belang dat op het eerste gezicht goede waarborgen biedt. Maar is daarvan ook sprake als bijvoorbeeld de toezichthouder op afstand staat, omdat er sprake is van zelfregulering? Is daarvan ook sprake als het object van gegevensvergaring niet altijd even alert is of totaal niet weet dat er van hem gegevens worden bijgehouden? Ik lees regelmatig dat de gemiddelde burger in honderden gegevensbestanden schijnt voor te komen. Ik zou er van mezelf hoogstens enkele tientallen kunnen opsommen, gegevensbestanden van verantwoordelijken waarvan ik het begrijp dat ze het belangrijk vinden om mijn gegevens bij te houden. Wat er verder met die gegevens gebeurt, ontgaat mij voor het grootste deel. Laat staan dat ik in staat ben om te controleren of de gegevensverwerking volgens de regels der kunst verloopt. Kortom, ook hier de vraag, in hoeverre de WBP betere waarborgen biedt dan de Wet persoonsregistraties.

Na deze vier gevarenzones, zoals Koopmans ze noemde, te hebben verkend in relatie tot het nieuwe wetsvoorstel wil ik nog een aantal opmerkingen maken over de vergelijking met de WPR en de mogelijkheden tot naleving van de nieuwe wet. De WPR schoot soms tekort. Geconstateerd is dat die wet niet heeft geleid tot een duidelijke inbedding van het privacyrecht in andere rechtsgebieden. Er is geen duidelijke impuls uitgegaan naar sectoren om eigen regelingen te treffen. Zo konden de sociale partners in de SER het in 1993 niet eens worden over een gezamenlijke code voor personeelsvolgsystemen. De privacyreglementen bij lagere overheden lieten aanvankelijk sterk te wensen over. In rechterlijke uitspraken blijkt het begrip privacy vaak niet die rol te spelen die het zou horen te spelen. In een aardig artikel van mevrouw De Vries, medewerker van de Registratiekamer, in het blad Sociaal Recht van enkele maanden trof ik een aantal uitspraken aan van rechters in arbeidszaken, waaruit blijkt dat zij zeer pragmatisch te werk gaan bij kwesties die tussen een werkgever en een werknemer kunnen spelen, bijvoorbeeld het afluisteren van een werknemer door een werkgever. De gegevens die daarbij naar voren komen, worden in feite voor lief genomen door de rechter, zonder dat deze zich afvraagt of die gegevens wel op deze manier vergaard hadden mogen worden.

In de memorie van antwoord schrijft de minister dat privacywetgeving eigenlijk gezien moet worden als een zich emanciperend meeromvattend terrein, dat niet alleen betrekking heeft op privacy, maar ook op tal van fundamentele rechten, waaronder het gelijkheidsbeginsel. Ik vind dat een interessante passage, maar als dat zo is, leidt dat tot de vraag om ook de overige wetgeving eens door te lichten op de noodzaak van actualisatie. Ik doel dan niet op de aanbeveling van de commissie-Franken tot aanpassing van artikel 10 van de Grondwet, maar denk bijvoorbeeld aan meer aandacht voor dit aspect in de regeling van bijzondere contracten.

De wet staat of valt met een goede naleving. Het tekortschieten van de WPR heeft ook gedeeltelijk te maken met het feit dat de Registratiekamer eigenlijk zelden gebruikmaakt van de sanctie-instrumenten die in deze wet zijn vervat. Het voorliggende wetsvoorstel introduceert nu een bestuurlijke boete. Op zichzelf is een bestuurlijke boete voor mij niet geheel zonder problemen. Ik verwijs daarbij onder andere naar een artikel van Corstens onlangs in het Nederlands Juristenblad, die het feit hekelt dat door introductie van de bestuurlijke boete bijna een monopolie op sanctietoepassing wordt gelegd bij een zelfstandig bestuursorgaan. In het kader van het voorliggende wetsvoorstel vind ik introductie van de bestuurlijke boete echter begrijpelijk.

Er rijzen wel een paar vragen. In principe is het College bescherming persoonsgegevens volledig autonoom in de wijze waarop naleving van deze wet gestalte wordt gegeven. Volgens de memorie van antwoord (blz. 22) verwacht de minister dat er geen beleidswijziging ten aanzien van de handhaving zal optreden, maar dat vind ik toch moeilijk te rijmen met de kritiek die allerwegen wordt gehoord op de WPR, namelijk dat naleving van die wet een ondergeschoven kindje is, en met het feit dat in de Tweede Kamer de bestuurlijke boete aan deze wet is toegevoegd. Zou er dan niet toch méér aandacht moeten zijn voor de sanctie als sluitstuk voor de naleving van de Wet bescherming persoonsgegevens? Het is overigens wel pikant, want de overheid zou ook zelf gestraft kunnen worden door middel van het opleggen van een boete, indien zij zich niet houdt aan de normen van de Wet bescherming persoonsgegevens.

Mijn volgende vraag betreft de voorlichting over deze wet. Wil deze effectief zijn, dan zal de burger hem moeten kennen. Er verandert weliswaar niet zoveel, maar er zitten toch belangrijke nieuwe elementen in de Wet bescherming persoonsgegevens. Deze wet zal dan ook staan of vallen met goede voorlichting, niet alleen over de verplichtingen, maar ook over de vrijstellingen en de sectorale regelgeving. Hoe ziet het voorlichtingsprogramma eruit?

Mijn laatste vraag gaat over de passage in de memorie van antwoord, dat het de bedoeling van de richtlijn is dat het WPR-acquis, zoals dat zo mooi wordt genoemd, in stand blijft. Met alle kritiek die daarop mogelijk is, dat acquis moet de bodem zijn van de nieuwe regelgeving, zo begrijp is. Toch meen ik dat een aantal bepalingen van de voorliggende wet dat acquis aantasten. Zo verschuift de risicoaansprakelijkheid van de verantwoor delijke naar een schuldaansprakelijkheid en komen er meer vrijstellingen. Hoe verdragen die wijzigingen zich met de opmerking van de minister over het WPR-acquis?

De heer Holdijk (SGP):

Voorzitter! Ik spreek mede namens de RPF/GPV-fractie.

Wanneer het voorliggende wetsvoorstel aan het slot van deze behandeling zou worden aangenomen betekent dit ingevolge artikel 81 van het voorstel dat de Wet persoonsregistratie zal worden ingetrokken. Dat is in zoverre een opmerkelijk feit dat deze toen volledig nieuwe wet op 27 december 1988 door de Eerste Kamer werd goedgekeurd en met ingang van 1 juli 1989 in werking is getreden. Zoals bekend, had het nu voorliggende voorstel ingevolge artikel 32 van de Europese richtlijn van 23 november 1998 uiterlijk op 24 oktober 1998 kracht van wet moeten hebben, terwijl het voorstel eerst op 14 februari 1998 werd ingediend. Ik ga op dat punt nu niet verder in,

De kortstondige werking van de Wet persoonsregistraties, uiteindelijk goed tien jaar, en de complete vervanging ervan door de Wet bescherming persoonsgegevens is waarschijnlijk kenmerkend voor de snelle veranderingen die onze samenleving als gevolg van de toenemende doorwerking van de informatietechnologie de laatste jaren heeft doorgemaakt. Steeds meer is sprake van een samenleving waarin het verwerken van informatie door overheid, bedrijfsleven of welzijnssectoren een dominante factor is geworden. Niet zonder reden wordt gesproken over een informatiesamenleving of een informatiemaatschappij. Dat betekent dat gegevens van ieder van ons in de vele verschillende rollen die wij dagelijks spelen, zowel op het werk als daarbuiten, als consument, werknemer, patiënt en anderszins, met of zonder onze toestemming of medeweten, voor steeds meer doeleinden worden verzameld, verwerkt en gebruikt. De gevoelens, maar ook de houding van burgers tegenover deze ontwikkeling is eigenlijk nog altijd ambivalent te noemen. Enerzijds willen zij de voordelen en het gemak dat ermee gepaard gaat en die ook in het vooruitzicht worden gesteld niet graag missen. Anderzijds vrezen zij dat een ongebreidelde verwerking van persoonsgegevens kan leiden tot een wereld waar iedereen van iedereen zijn gangen kan nagaan tot een soort Orwell-achtige samenleving. Vooral vanwege deze laatste gevoelens zal, hoewel de voorspellingen van het boek "1984" niet zijn uitgekomen, serieus moeten worden nagegaan hoe mensen het vertrouwen kunnen houden dat een dergelijk scenario zich ook nooit zal voordoen.

In dit verband is het de vraag hoe de nieuwe Wet bescherming persoonsregistraties primair moet worden beschouwd. De kernvraag lijkt ons te zijn of men deze wet nog een privacywet kan noemen. Vele en niet de eerste de beste, waaronder de Registratiekamer en het Rathenau-instituut, lijken dat wel te doen; zij zagen en zien de Wet persoonsregistraties in elk geval wel als een privacywet en de vraag is nu of de Wet bescherming persoonsgegevens dat ook nog in diezelfde mate is. Daarom noemde ik in het begin van mijn bijdrage het feit van de intrekking en de vervanging van de Wet persoonsregistraties. De stukken en met name de memorie van antwoord geven mijns inziens geen onomwonden positief of negatief antwoord op die vraag. Ik verduidelijk dat in het navolgende. Benadrukt wordt dat noch in de titel van het wetsvoorstel noch in de considerans enige verwijzing voorkomt naar de bescherming van de persoonlijke levenssfeer. Elders in de memorie wordt weer gesteld dat de regels met betrekking tot persoonsgegevens in het algemeen in beginsel beogen te voorkomen dat inbreuk wordt gemaakt op de persoonlijke levenssfeer. Wanneer de regels worden nageleefd, zal er in het algemeen geen inbreuk op de persoonlijke levenssfeer zijn. Met nadruk wordt ook gesteld dat privacybelangen geen status aparte hebben. De regels omtrent de verzameling, de vastlegging en het gebruik voorzien uitdrukkelijk in een afweging van het belang van betrokkene tegen andere belangen. En daarmee geeft de wettekst zelf al aan dat privacybelangen niet ipso facto prevaleren

Voorzitter! Dit klinkt, alles samengenomen, tamelijk relativerend wat betreft de bescherming van het privacybelang. De vraag van onze fracties is: is die indruk terecht. En kan de Wet bescherming persoonsgegevens wat deze invalshoek betreft de vergelijking met de Wet persoonsregistraties doorstaan? Ik meen dat mevrouw De Wolff eenzelfde of vergelijkbare vraag heeft gesteld.

Voorzitter! Bij de beantwoording van deze vragen ben ik zelf geneigd het vertrekpunt te nemen in het oorspronkelijke voorstel van de Europese Commissie voor een Europese richtlijn, gepubliceerd 5 november 1990, nog geen twee jaar na de inwerkingtreding van de Wet persoonsregistraties in Nederland. De doelstelling was tweeledig. Ten eerste strekte het voorstel tot bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Ten tweede had het als doel het vrije verkeer van persoonsgegevens binnen de Interne Markt te garanderen. Krachtens artikel 100A, eerste juncto derde lid, van het EG-verdrag diende de Commissie bij haar voorstellen voor harmonisering van regelgeving op het gebied van consumentenbescherming uit te gaan van een hoog beschermingsniveau. Inzet van het voorstel voor een richtlijn was dan ook te trachten geen afbreuk te doen aan het reeds bereikte niveau van bescherming van persoongegevens binnen de lidstaten. Voor Nederland was dit dus toen de Wet persoonsregistraties.

Over de Wet persoonsregistraties in relatie tot de Wet bescherming persoonsgegevens lees ik in de memorie van antwoord weinig meer dan dat binnen de marges die de richtlijn toelaat en voorzover uit beide wetenschappelijke evaluaties van de Wet persoonsregistraties wenselijk is gebleken, de Wet persoonsregistraties in beginsel is gehandhaafd. Zo'n mededeling, voorzitter, laat onzes inziens ruimte voor zowel een positieve als een negatieve conclusie ten aanzien van de bescherming van de privacy. Het niveau kan verbeteren, maar kan in de toekomst op onderdelen ook verslechterd zijn.

Over een ding zullen wij het vermoedelijk eens zijn, namelijk dat de urgentie om de privacy te beschermen toeneemt naarmate de technische mogelijkheden van de gegevensverwerking voortschrijden en de druk van de commercie toeneemt. Ik duid dan op de ontwikkeling van electronic commerce en het gebruik van internet. Is het geen teken aan de wand dat tijdens de laatste Europese top in Lissabon sterk de nadruk werd gelegd op de kansen die de nieuwe economische te bieden zou hebben? Het bedrijfsleven ziet voordelen in termen van marketing en bedrijfsvoering en men acht de noodzaak aanwezig deze voordelen optimaal te benutten. Persoonsgegevens spelen in steeds meer economische activiteiten een rol. Zij dienen niet alleen als ondersteuning van bedrijfsprocessen, persoonsgegevens op zich vertegenwoordigen ook economische waarde; ze kunnen verkocht worden, al dan niet direct. De vraag is dit laatste zo wenselijk is.

Maar wij moeten reëel blijven, ook de overheid onderzoekt en gebruikt de mogelijkheden van de nieuwe technieken voor een betere dienstverlening en voor controle-, handhavings- en opsporingsdoeleinden. De gegevensuitwisseling tussen overheden en semi-overheden neemt toe. Inmiddels zijn ook de interne bedrijfsprocessen bij de overheid in hoge mate afhankelijk van geautomatiseerde systemen, met persoonsgegevens als belangrijke informatiebron.

Voorzitter! Als het zo is dat de geschiedenis van het recht op een persoonlijke levenssfeer teruggaat tot de 19de eeuw – reeds in 1890 beschreven volgens mevrouw Marga Groothuis in Openbaar bestuur van oktober 1999 Warren en Braudling "the right to be left alone" – dan is er aan het begin van de 21ste eeuw zoveel temeer reden om het privacybelang krachtig te waarborgen. Nu is het een feit dat privacy meer aspecten kent dan louter en alleen de bescherming van persoonsgegevens. Mevrouw Groothuis noemt dit informationele privacy en onderscheidt daarnaast de ruimtelijke, de lichamelijke en de relationele privacy. Vanuit dit gegeven is het evenzeer een feit dat er veel meer privacyrecht is dan de bescherming van persoonsgegevens.

Hoewel de Registratiekamer in haar jaarverslag over 1999 – de regering deelt vermoedelijk deze opvatting – betoogt dat er ondanks verschillen een grote mate van continuïteit bestaat tussen de Wet persoonsregistraties en de Wet bescherming persoonsgegevens, omdat zij op dezelfde internationale basisbeginselen teruggaan, heeft het Rathenau-instituut in haar Bericht aan het parlement van augustus 1998, dat ons een week geleden weer eens onder de aandacht werd gebracht, op twee in haar ogen fundamentele onvolkomenheden gewezen in wat het instituut een nieuwe privacywet noemt.

De eerste onvolkomenheid die het onder de aandacht brengt, is het verschijnsel dat aangeduid wordt als "informatiestalking", het ongevraagd lastigvallen van mensen met informatie. Voor sommige mensen is dit een bron van ergernis, terwijl anderen er geen problemen mee hebben. Met behulp van de Wet bescherming persoonsgegevens zou de consument kunnen bepalen voor welk doel zijn gegevens al dan niet mogen worden gebruikt en zou hij verder toestemming moeten geven voor de verwerking ervan. Het is de vraag of dit realiseerbaar en wenselijk is. Ook dienen vraagtekens te worden geplaatst bij de praktische mogelijkheden om overtredingen op te sporen, laat staan aan te pakken, gezien de omvang van de verwerkingspraktijk. Gelet op die praktijk, waarin persoonsgegevens zo ongeveer de hele dag door worden verwerkt, zou de consument voortdurend en op grote schaal toestemming moeten geven. De conclusie van het Rathenau-instituut luidt dat de Wet bescherming persoonsgegevens contraproductief zal blijken te zijn. Deze wet is niet doeltreffend voor de consument en omslachtig voor de verwerkers. Ik wijs in dit verband ook nog op het vorige week door de Registratiekamer uitgebrachte rapport Klant in het web. In dit rapport wordt gewezen op een groot aantal onvolkomenheden in de naleving van de wet door verwerkers van persoonsgegevens.

Voorzitter! Het tweede probleem dat het Rathenau-instituut signaleert, is de risicoselectie. Werkgevers, kredietverstrekkers en vele anderen zouden met behulp van persoonsgegevens trachten risico's te voorzien en risicogroepen op te sporen. Indien deze risico's te groot worden gevonden, zou dat kunnen leiden tot uitsluiting van werk, financiële diensten en verzekeringen.

Aan de ene kant, in termen van efficiënte bedrijfsvoering, acht men deze ontwikkeling begrijpelijk. Wij doen dat met hen, maar aan de andere kant roept deze ontwikkeling ook vragen op over principes van gelijke behandeling en verdeling. Deze problemen worden steeds nijpender door de verdergaande privatisering van de collectieve regelingen. De conclusie is dat de Wet bescherming persoonsgegevens niet beschermt tegen de gevolgen van risicoselectie.

De slotconclusie luidt dat de regering met de Wet bescherming persoonsgegevens heeft gekozen voor een wijze van implementatie van de Europese richtlijn die niet inspeelt op twee belangrijke gevolgen van gegevensverwerking, namelijk informatiestalking en risicoselectie. Men bepleit de Wet bescherming persoonsgegevens voorlopig te beperken tot de inhoud van de richtlijn, de ontwikkelingen met betrekking tot persoonsgegevens bij te houden en later maatregelen te implementeren die meer inspelen op de huidige en toekomstige praktijk. Graag zullen onze fracties van de regering vernemen of zij de analyse, conclusies en aanbevelingen van het Rathenau-instituut op beide genoemde punten deelt of niet.

Voorzitter! Nog een derde privacyprobleem in het kader van de verwerking van persoonsgegevens zouden wij aan de regering voor willen leggen. Dit betreft al een oude kwestie die in deze Kamer reeds een rol speelde bij de behandeling van de Wet persoonsregistraties eind 1988. Op 27 december 1988 nam deze Kamer een motie van de heer Schuurman op stuk nr. 19095, nr. 36c inzake de bescherming van de persoonlijke levenssfeer in relatie tot erfelijkheidsonderzoek aan. Op de motie is een brief van 30 november 1999 op stuk nr. 19059, nr. 119 gevolgd. De vraag is thans op welke wijze de motie gestalte heeft gekregen in de Wet bescherming persoonsgegevens en of dat een afdoende wijze geacht mag worden. Het gaat hierbij om bovenpersoonlijke gegevens, om meer personen die dezelfde kenmerken dragen waarvan het genoom onbekend is. Deze bovenpersoonlijke gegevens zijn niettemin zeer privé. Ik besef dat deze vraag in het voorlopig verslag gepast zou hebben. Daarom zal ik het de minister niet euvel duiden wanneer hij tijdens deze behandeling geen compleet antwoord kan geven en zou willen toezeggen om de Kamer schriftelijk te informeren. Overigens is het door de wijziging van de agenda mogelijk gebleken, deze vraag al vroegtijdig aan het ministerie voor te leggen.

Voorzitter! Wij hebben in onze bijdrage aan de behandeling van dit wetsvoorstel sterk de nadruk gelegd op het privacyaspect, zo men wil het aspect van de informationele privacy. Wij deden dat omdat wij er niet te gemakkelijk van willen uitgaan dat er wel een juiste balans tussen de diverse conflicterende belangen en grondrechten is gevonden. Het verband vast te stellen tussen het gebruik van persoonsgegevens en de (aantasting van de) privacy is geen sinecure, alleen al omdat er geen consensus bestaat over de betekenis van het begrip. De betekenis die aan privacy wordt gegeven en het belang dat eraan wordt gehecht, verschillen van persoon tot persoon en van situatie tot situatie. Ook tussen generaties en tussen culturen bestaan grote verschillen wat dit betreft. De privacybeleving van begin jaren zeventig is ook niet dezelfde als die van het jaar 2000. Toch blijkt uit recent onderzoek zowel in Europa als in de Verenigde Staten dat mensen blijven hechten aan bescherming van hun persoonlijke gegevens, ook als zij in concrete situaties soms anders handelen. Ik doel daarmee op de ambivalentie die ik in het begin van mijn betoog al aanvoerde.

Voorzitter! Met grote belangstelling zullen wij uitzien naar een reactie van de regering op onze bijdrage.

De heer Schuyer (D66):

Mijnheer de voorzitter! De heer Hessing is wegens bijzondere omstandigheden helaas niet in staat hier vanavond te zijn. Daardoor ben ik plotseling geconfronteerd met een op zichzelf boeiend wetsontwerp, dat mij al langere tijd intrigeerde, maar waarvan ik de ins en outs niet volledig doorzie.

Voorzitter! Verleden week zijn in Griekenland honderdduizenden mensen in protest de straat opgegaan teneinde te bereiken dat op de identiteitsbewijzen ook in de toekomst gegevens over de godsdienst die men aanhangt, opgenomen blijven. Het is interessant te vernemen dat in een tijdsgewricht waarin de uitwisseling van persoonsgegevens een hoge vlucht heeft genomen en wetten van node zijn om de nodige bescherming te bieden, mensen zich druk maken over het weglaten van bepaalde persoonsgegevens in identiteitsbewijzen. Blijkbaar zijn sommige persoonsgegevens minder gevoelig dan andere.

"Nederland gaat digitaal." Zo luidt de slogan die centraal staat in een aantal gebundelde initiatieven om het gebruik van informatie- en communicatietechnologie in Nederland te bevorderen. Op 27 april jongstleden is het gezamenlijk logo voor deze activiteiten onthuld door het puikje van het Nederlandse Kabinet. Iedereen kan naar het oordeel van het kabinet profiteren van de ontwikkeling van Nederland tot informatiesamenleving. En zo is het maar net. Er is geen enkele weg terug. ICT heeft definitief greep gekregen op de Nederlandse samenleving. Los van de vraag of en zo ja, op welke wijze de individuele burger daar op afzienbare termijn de vruchten van kan plukken, kan wel de vraag gesteld worden hoe het zit met de bescherming van gegevens, die juist door de razendsnelle ontwikkeling van de techniek steeds vloeibaarder lijken te worden en die zonder adequate bescherming overal en nergens terecht kunnen komen.

Het is dan ook niet voor niets dat aan de adviescommissie Modernisering Gemeentelijke Basis Administratie Persoonsgegevens onder meer de vraag is voorgelegd in hoeverre GBA-gegevens ook aan "hybride" organisaties kunnen worden verstrekt. Het gaat dan om organisaties die zowel publieke als private taken hebben. En verder ligt de vraag voor of het GBA met biometrische gegevens moet worden uitgebreid.

Dat alles raakt direct aan de bescherming van persoonsgegevens, waartoe het voorliggend wetsvoorstel dient. Het komt niet vaak voor dat de werking van regelgeving uit Brussel zich zo direct doet gevoelen tijdens het wetgevingsproces. Het voorliggende wetsvoorstel beoogt in de kern niet meer te zijn dan de vertaling van Europese regelgeving in Nederlandse wetgeving. Bij de behandeling van het wetsvoorstel is dan ook op verschillende momenten de vraag gesteld of en zo ja, in welke mate aan het gestelde in de richtlijn nog elementen zijn toegevoegd. Voorts is discussie ontstaan over de vertaling en interpretatie van tekstdelen en woorden uit de richtlijn zelf. Juist omdat getracht is zoveel mogelijk het spoor van de richtlijn te volgen, is op onderdelen toch een wettekst ontstaan, die de sporen van deze vertaalslag nadrukkelijk in zich draagt. Neem bijvoorbeeld het begrip "ondubbelzinnige toestemming". Dit begrip is terechtgekomen in artikel 8, terwijl daarentegen in artikel 23 over "uitdrukkelijke toestemming" wordt gesproken. Met enige goede wil kan aan beide begrippen nog wel een licht verschillende betekenis worden toegekend. Zo is een uitdrukkelijke toestemming steeds ondubbelzinnig, maar behoeft een ondubbelzinnige toestemming niet steeds uitdrukkelijk gedaan te zijn. Bij de vraag waarom deze verschillende begrippen eigenlijk zijn gebruikt, wordt verwezen naar de richtlijn: gepoogd is de richtlijn hier zo nauwkeurig mogelijk te volgen. Dat kan zijn, maar waarom zijn dan deze verschillende begrippen in de richtlijn terechtgekomen? Kan die achterliggende gedachtegang nog eens uit de doeken worden gedaan?

Zoals gezegd komt het niet vaak voor dat wij in Nederland zo indringend bezig zijn met een vertaalslag. Daar is overigens nog wel de nodige tijd voor genomen. Het voorstel van de richtlijn dateert al van geruime tijd geleden. De implementatietermijn is verstreken op 23 oktober 1998. Maar niet alleen over de tijd die genomen is kan kritisch worden gesproken. Ook de gevolgde weg heeft bij mijn fractie de wenkbrauwen doen fronsen. Het wetsvoorstel is onderweg "verrijkt" met een tweetal nota's van wijziging, die per saldo toch behoorlijk ingrijpend van aard zijn geweest. Een tussentijds advies van de Raad van State was hier zeker op zijn plaats geweest, maar waarschijnlijk heeft ook hier de tijdsdruk een rol gespeeld. Al met al kan de gevolgde weg geen schoonheidsprijs worden uitgereikt.

Maar goed, mijn fractie neemt dit alles voor lief, gelet op het belang van het onderwerp. En dat belang is gelegen in een zorgvuldige behandeling van de persoonsgegevens van burgers. Bij de opslag en het gebruik van persoonsgegevens moet de privacy van iedereen voldoende worden gewaarborgd. Dat is simpelweg de kern van hetgeen geregeld moet worden. Het heeft mijn fractie dan ook enigszins verbaasd dat er aan de overzijde zoveel aandacht is besteed aan de vraag of Nederland, gegeven de bandbreedte van de richtlijn, wel aan de benedengrens is gebleven. Ik citeer de heer Nicolaï op dit punt: "Wij vinden dat er niet meer moet worden geregeld dan wat minimaal moet." Deze benadering kan mijn fractie niet volgen. Zoals gezegd gaat het om een adequate en toereikende bescherming van persoonsgegevens. En of Nederland per saldo dan uitstijgt boven hetgeen de richtlijn vergt, kan hooguit de resultante zijn van een inhoudelijke discussie daarover. De toegevoegde waarde om de minimumvariant als uitgangspunt te hanteren, ontgaat ons toch een beetje. Hoe dan ook, als nu één wet te noemen is die van directe en grote betekenis is voor burgers, dan is het deze wet wel. Of je het nu wil of niet, iedereen heeft in deze maatschappij te maken met persoonsgegevens die in tal van bestanden zijn opgeborgen: "Ik ben geregistreerd, dus besta ik" zou een uitspraak kunnen zijn. De literatuur heeft er schitterende voorbeelden van wat er gebeurt als je niet geregistreerd bent. "Wijlen Mattia Pascal" was een prachtige verfilming van een boek van Pirandello, dat helemaal gaat over de vraag wat er gebeurt als je niet geregistreerd bent. Daar word je niet vrolijk van. Het is dan ook ronduit teleurstellend te noemen dat wat nu voorligt zo slecht toegankelijk is. Een goedwillende burger die aan de hand van de wettekst zelf of onverhoopt de memorie van toelichting probeert een beeld te krijgen van zijn rechten op dit vlak, zal al snel moedeloos afhaken. Deze kritiek is niet nieuw, maar dat neemt niet weg dat over dit aspect toch niet lichtvaardig kan worden heengestapt. Als ergens tussen droom en daad wetten in de weg staan, dan lijkt dat hier bij uitstek het geval te zijn. En zeker, de materie is ingewikkeld en een adequate bescherming vereist een complex samenstel van regels, maar dat neemt niet weg dat meer aandacht voor de praktische bruikbaarheid en dus simpelweg de leesbaarheid voor burgers hier niet had misstaan. Zoals van de zijde van de VVD-fractie in het voorlopig verslag terecht is opgemerkt, correleert de lengte van de memorie van toelichting – ruim 200 pagina's – met de ingewikkeldheid van de materie. En die ingewikkeldheid geldt uiteraard ook voor degenen die moeten werken met persoonsgegevens. De vraag die beantwoord moet worden, is niet alleen of hier in formeel-technische zin een accuraat geformuleerde wetsvoorstel voorligt – ik kom daar zo op terug – maar vooral ook of hier een bruikbaar wetsvoorstel aan de orde is. Bruikbaar voor burgers, "betrokkenen" in het wetsvoorstel, en bruikbaar voor diegenen die ambtshalve of beroepshalve gegevens verwerken. En dan is het oordeel niet onverdeeld positief. Voor de verwerkers van persoonsgegevens wordt een handleiding gemaakt. Dat is terecht. Mijn fractie stelt het op prijs wanneer de minister nog eens zijn visie op dit punt geeft en duidelijk maakt wat de laatste stand van zaken is met betrekking tot de voorlichting en de op te stellen handleiding.

In meer algemene zin is mijn fractie vervolgens vanuit wetstechnisch oogpunt ook bepaald niet gelukkig met het voorliggend wetsvoorstel. Het wetsvoorstel heeft het karakter van een kaderwet en uit dien hoofde wordt noodgedwongen gewerkt met open normen. Maar het begrip dat mijn fractie voor dit gegeven kan opbrengen, wordt welhaast weggespoeld door het wel zeer ruime gebruik van tal van open en vaak vage formuleringen, waarbij – enigszins gechargeerd gezegd – geheel aan de verbeelding van de lezers wordt overgelaten wat precies de inhoud kan zijn. Wat te denken van de volgende begrippen: "een vitaal belang van betrokkene", "een gewichtig belang van betrokkene", "een zwaarwegend geneeskundig belang van betrokkene", "passende waarborgen", "compenserende waarborgen", "redelijke tussenpozen" en "overzichten in begrijpelijke vorm". Voordat exact duidelijk wordt wat nu precies de inhoud is van deze begrippen, zal nog wel wat water naar de zee vloeien. Vandaar dat mijn fractie in het voorlopig verslag nadrukkelijk aandacht heeft gevraagd voor de kenbaarheid van de te ontwikkelen normen voor alle betrokkenen. Gegeven de trits Kaderwet, Sectorale wetgeving en jurisprudentie, rijst de vraag op welke wijze de burger zicht kan blijven houden op de versnipperde rechtsvinding op dit terrein. Anders gezegd, hoe denkt de regering, ook nadat de voorlichtingscampagnes zijn beëindigd, betrokkenen accuraat te kunnen voorlichten omtrent de actuele ontwikkelingen met betrekking tot de invulling van de normen, nu deze noodgedwongen niet in overzichtelijke vorm in de wet te vinden zijn?

Voor het CBP ligt een zware en verzwaarde taak te wachten. Zo heeft het College nadrukkelijk handhavingsbevoegdheden verkregen en is de mogelijkheid van een voorafgaand onderzoek geïntroduceerd. Het toekennen van bevoegdheden schept verplichtingen. Het CBP zal in staat gesteld moet worden de nieuwe taken adequaat op te pakken. De werkdruk die op het College afkomt, hangt voor een belangrijk deel af van de mate waarin de zelfregulering succesvol tot stand komt. En dan spelen onder meer kosten-batenanalyses een belangrijke rol. Om maar eens wat te noemen: de kosten voor de introductie van de functionaris worden geschat op zo'n 450 mln. Dat is nogal wat. Gelet op het feit dat de benoeming van de functionaris niet verplicht is, zou het wel eens zo kunnen zijn dat hiervan maar op bescheiden schaal gebruik wordt gemaakt. Het gevolg zou kunnen zijn dat het bureau voor de registratie meer als eerstelijnsorganisatie moet gaan optreden dan als tweedelijnsorganisatie. En dat heeft uiteraard weer consequenties voor de organisatie van het CBP. In ieder geval is nu moeilijk aan te geven wat er precies op het College af gaat komen en welke capaciteit daarvoor benodigd is. Hoe ziet de minister de toestroom van werkzaamheden en is het CBP daarvoor toegerust?

Er is discussie geweest over de reikwijdte van artikel 21, lid 4, en dan in relatie met DNA-gegevens ten behoeve van strafrechtelijk onderzoek. Dit artikellid geeft aan dat persoonsgegevens betreffende erfelijke eigenschappen slechts mogen worden verwerkt voorzover deze verwerking plaatsvindt met betrekking tot de betrokkene bij wie de betreffende gegevens zijn verkregen, tenzij een zwaarwegend geneeskundig belang prevaleert dan wel de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek en statistiek.

Uit de behandeling van dit artikellid aan de overzijde valt op te maken dat de ontheffing van het verbod op de verwerking van erfelijke gegevens een bredere werking heeft dan deze aspecten en dat ook uit een oogpunt van strafvordering hier een ontheffing kan plaatsvinden. Als deze constate ring juist is, is de volgende vraag waarom dit aspect, gelet op het toenemend belang en de toenemende mogelijkheden van DNA-onderzoek, niet expliciet separaat is geregeld. Sterker nog, de tekst van het desbetreffende artikellid geeft in principe toch geen ruimte om het oogmerk van strafvordering aan te merken als ontheffingsgrond? Het artikellid noemt immers de gronden voor ontheffing limitatief op: zwaarwegende medische belangen, wetenschappelijk onderzoek en statistiek. Hieronder valt toch niet een strafrechtelijk onderzoek te brengen? Graag een reactie van de minister van Justitie op dit punt. Hoe verhoudt DNA-onderzoek zich nu precies in relatie tot dit artikellid? Het is goed hierover zoveel mogelijk duidelijkheid te verkrijgen.

Een punt dat tijdens de plenaire behandeling door mevrouw Halsema van GroenLinks naar voren is gebracht, heeft in het debat niet tot nadere duidelijkheid geleid. Dat betreft de informatievoorziening aan betrokkene. Als het gaat om persoonsgegevens die zijn verkregen bij de betrokkene, dan regelt artikel 33, lid 1, dat de betrokkene door de verantwoordelijke vóór het moment van verkrijging de nodige informatie verkrijgt over de doeleinden van de verwerking. Dat ziet er goed uit. Gaat het echter om gegevens die op andere wijze zijn verkregen en dus niet zijn verkregen bij de betrokkene, dan geldt plotseling een andere regime. Dan wordt betrokkene pas op de hoogte gesteld op het moment van vastlegging van hem betreffende gegevens of zelfs, wanneer de gegevens bestemd zijn om te worden verstrekt aan een derde, uiterlijk op het moment van de eerste verstrekking aan die derde. Kan de minister nog eens ingaan op deze naar onze mening ongelijke uitgangspositie?

Terecht stelde mevrouw Halsema dat juist wanneer de informatie niet van betrokkene zelf afkomstig is, er eerder reden is om hem onverwijld te informeren zoals dat in artikel 33 geregeld is. Waarom wordt dit onderscheid gemaakt en waarom wordt de mindere verplichting neergelegd in artikel 34?

Ik krijg nog graag een toelichting op artikel 42, lid 1. Daarin is vastgelegd dat niemand onderworpen kan worden aan een besluit, waaraan voor hem rechtsgevolgen zijn verbonden, indien dat besluit alleen wordt genomen op grond van een geautomatiseerde verwerking van persoonsgegevens, bestemd om een beeld te krijgen van bepaalde aspecten van zijn persoonlijkheid. Op zichzelf is dit een sympathieke regeling die onze steun kan hebben, maar over de gekozen vorm heb ik nog een vraag. Het klopt toch, strikt juridisch gezien, dat een besluit, redelijk digitaal, voor iemand rechtsgevolgen of geen rechtsgevolgen heeft? Meer smaken zijn er niet. Maar als een besluit voor iemand rechtsgevolgen heeft, dan is het een vreemde figuur om vervolgens te bepalen dat iemand daaraan niet gebonden is. Als iemand niet aan een besluit gebonden is, dan kan dat alleen maar het geval zijn, omdat dit besluit voor betrokkene geen rechtsgevolgen heeft. Gaarne een toelichting op dit punt.

Ook in artikel 63 komt een formulering voor die vragen oproept. Het gaat hier over de functionaris. Over hem wordt in lid 2 in stellende zin gemeld: "Hij ondervindt geen nadeel van de uitoefening van zijn taak." Dat is aldus geformuleerd hooguit een constatering, doch geen naleefbaar voorschrift. Het is immers zeer de vraag of de functionaris geen nadeel kan ondervinden van zijn optreden. Dat kan natuurlijk heel goed. Het feit dat in bezwerende bewoordingen is geformuleerd dat hij geen nadeel ondervindt, maakt nog niet dat dit onder alle omstandigheden ook waar is. Waarom is hier niet voor een verbodsformulering gekozen? Met het vervallen van een ontslagverbod is wettechnisch gezien toch een enigszins merkwaardige formulering naar voren getreden. Waarom is dus niet simpelweg vastgelegd dat het de verantwoordelijke of de organisatie die hem heeft benoemd verboden is de functionaris in een nadeliger positie te brengen, of woorden van gelijke strekking? Dan is tenminste een herkenbaar verbod aan de orde.

De commissie Grondrechten in het digitale tijdperk, onder voorzitterschap van prof. Franken, is recent met een belangwekkend rapport naar voren getreden. Als één van de fundamenten van het privacyrecht kwalificeert de commissie de verenigbaarheid van het gebruik van gegevens met het doel waarvoor de gegevens zijn verwerkt. Aanspraken op de kennisneming van de doeleinden van verwerking is dan ook een recht dat zeker zo belangrijk is als de aanspraak op kennisgeving van het gebruik dat van gegevens wordt gemaakt. De Commissie constateert dat dit fundament thans geen grondwettelijke verankering kent en beveelt aan hier werk van te maken. Hetzelfde geldt voor het recht op verwijdering van gegevens en, onder omstandigheden, het recht van verzet tegen sommige specifieke vormen van verwerking. De Commissie heeft daartoe een voorstel voor een nieuw artikel 10 opgesteld. In hoeverre deelt de bewindsman de conclusies van de Commissie op dit punt? Is hij bereid een grondwetsherziening als hier bedoeld in gang te zetten? Het is overigens interessant dat de grootst mogelijke meerderheid van de Commissie van oordeel is dat het wenselijk is het verbod van rechterlijke toetsing van de wet aan de Grondwet op te heffen, voorzover het de toetsing aan de grondrechten betreft die naar hun aard directe werking hebben. Deze meerderheid vindt dat een eventueel techniekonafhankelijke formulering van de grondrechten de behoefte aan rechterlijke toetsing alleen maar doet toenemen. Immers, aldus de Commissie, in dat geval zal de rechter meer dan anders geroepen kunnen zijn een bij de actuele stand der techniek passende uitleg van deze grondrechten te geven. Wellicht kan de bewindsman zijn licht over deze suggestie van de Commissie laten schijnen. Wij wachten zijn reactie met belangstelling af.

De heer Witteveen (PvdA):

Voorzitter! De Wet bescherming persoonsgegevens moet vele functies in zich verenigen. Niet alleen gaat het om uitvoering van de EU-richtlijn van 24 oktober 1995 – deze richtlijn had al in ons nationale recht geïmplementeerd moeten zijn – ook vervangt deze wet de Wet persoonsregistratie, levert deze een uitwerking van de Grondwet, artikel 10, de leden 2 en 3, en moet die het centrale document worden waarop sectorale privacywetgeving en zelfregulering worden afgestemd; dit alles in een snel veranderende maatschappelijke context. De ontwikkelingen gaan zo snel dat privacyregelgeving altijd achterloopt bij de feitelijke stand van zaken. Dat was al het geval toen men in de jaren zeventig de gegevens bestanden en hun koppeling als probleem definieerde. Dit is nog sterker het geval in een informatiemaatschappij, waarin internet en netwerken de boventoon voeren en geavanceerde technieken worden ontwikkeld om steeds verfijndere analyses te maken van grote hoeveelheden data.

In het verslag hebben wij al gesteld dat de voorliggende wet veel tijd heeft gekost en in haar werking tegenvalt, ondanks de goede bedoelingen. Wij twijfelen met name aan de beweging naar wat ik maar "zelfhandhaving door de betrokkenen" zal noemen. Hierbij wordt het nog meer dan thans afhankelijk van het initiatief, de wetskennis en de procedurele competentie van degene die meent in een privacybelang te zijn geschaad, of handhaving van de wet plaatsvindt.

Deze tendens naar meer zelfhandhaving en daarmee corresponderend meer zelfregulering door actoren die privacy beïnvloeden, is met de Europese richtlijn ingezet. Wij constateren dat deze plaatsvindt op een moment dat de maatschappij sneller verandert dan voorheen, zodat zij kwantitatief en kwalitatief meer een informatiemaatschappij wordt, terwijl de internationalisering doorzet en vele bedrijven transnationaal opereren.

Wij willen graag weten van de minister hoe in deze context van de informatiemaatschappij kan worden verwacht dat de betrokkene telkens op de hoogte is van activiteiten die zijn of haar privacy betreffen en daartegen effectief kan opkomen. Wij zien een negatief verband met de juridisering. Het is net zo moeilijk te weten waar en bij wie informatie over je is en wat daarmee gebeurt als het is om te weten welke rechtsregels op die activiteiten betrekking hebben en hoe die rechtsregels praktisch werken.

In de memorie van antwoord neemt de minister afstand van de stelling dat het wetsvoorstel uitgaat van het beginsel dat persoonsgegevens geheim zijn, tenzij... De leden van onze fractie hebben de indruk dat dit beginsel wel degelijk het vertrekpunt is van het wetsvoorstel. In het wetsvoorstel en de richtlijn wordt ervan uitgegaan dat de verwerking van persoonsgegevens moet worden gelegitimeerd. Daarom wordt de aandacht geconcentreerd op de voorwaarden voor de rechtmatigheid van verwerking van persoonsgegevens, dat wil zeggen op voorwaarden waaronder persoonsgegevens niet geheim zijn.

In onze optiek, en zo te zien ook die van het CDA, is het interessant om de mogelijkheid te onderzoeken van een wetsvoorstel dat is gebaseerd op het tegenovergestelde beginsel: persoonsgegevens zijn niet geheim, dus openbaar, tenzij_ Als wij zo realistisch zijn om tegen de achtergrond van de informatiemaatschappij uit te gaan van de openbaarheid, de beschikbaarheid, de grijpbaarheid, zo men wil, van persoonlijke informatie, komt de vraag op onder welke voorwaarden iemand een legitiem belang heeft om van die openbaarheid verschoond te blijven en zich te onttrekken aan de greep en de beheersing van anderen.

De vraag wordt dan tegen welke vormen en modaliteiten van gegevensverwerking bescherming moet worden geboden. In die benadering moet het wetsvoorstel gericht zijn op de omstandigheden waaronder de verwerking van gegevens onrechtmatig is. Dat kan vergaande consequenties hebben. De betrokkene hoeft voor de handhaving dan niet meer te beschikken over gedetailleerde juridische kennis over de in vele regelingen gestelde voorwaarden waaronder iemand inbreuk mag maken op de privacy, maar hij kan uitgaan van gegevensverwerkingen die een onrechtmatige daad opleveren, en het burgerlijk recht zou van toepassing worden.

Deze focus op onrechtmatige informatiedaden in plaats van op bevoegdheden en voorwaarden voor rechtmatigheid kan de bestuursrechtelijke signatuur van het voorstel wegnemen. De wetgeving kan dan wellicht eenvoudiger zijn. Met andere woorden, de zelfhandhaving kan kansrijker zijn bij omkering van het uitgangspunt. Graag horen wij de mening van de minister over deze gedachte, in het besef dat in de richtlijn wordt uitgegaan van een andere keuze. Hiermee kan wellicht op langere termijn een perspectief worden geopend.

Bij de handhaving van de wet wordt veel verwacht van zelfhandhaving en zelfregulering. Idealiter worden open normen door de afweging van belangen ingevuld. In de jurisprudentie kan een genormeerde praktijk gestalte krijgen. Dit fraaie scenario lijkt de leden van de PvdA-fractie rijkelijk optimistisch voor de juridisch niet-geschoolde betrokkenen, voor de privacyfunctionarissen ligt het anders.

In het sociaal-wetenschappelijke evaluatieonderzoek wordt geconstateerd dat van de betrokkenen bij privacybelangen door gebrek aan informatie over hun situatie weinig kan worden verwacht om naleving van de regels af te dwingen. In het verslag hebben wij in het licht van deze constatering gevraagd hoe te oordelen over de kans dat het mechanisme van normstelling door open normen en belangenafweging jurisprudentie zal genereren, als het initiatief hiertoe waarschijnlijk in onvoldoende mate uitgaat van de betrokkenen. Minimaal vereist is natuurlijk wetskennis, maar voor de strategie van zelfhandhaving zijn ook een goed inzicht in de eigen positie, een kritische instelling en handelingsbereidheid nodig. Men moet Jehring's "Kampf um's Recht" willen en durven aangaan.

De overheid heeft ons inziens bij de keuze voor een strategie van open normen, afweging van belangen, zelfregulering en zelfhandhaving de verantwoordelijkheid de mensen bij te staan die de openbare beschikking over hun gegevens als een soort natuurverschijnsel ondergaan. Is er dan niet voorzien in voorlichting, zo kan men zich afvragen. Zeker, de memorie van antwoord gaat daar zelfs nauwkeurig op in. Maar een brochure en radio- en tv-spots zijn volstrekt ontoereikende middelen. Er is meer nodig dan een handleiding voor brancheorganisaties en de in de informatiemaatschappij onvermijdelijke website. Minstens zo belangrijk is het bevorderen van de discussie en de normvorming binnen instellingen, organisaties en maatschappelijke velden waar men op een of andere manier privacygevoelig opereert. Daaraan kan de overheid wel degelijk iets bijdragen.

Een voorbeeld op een ander terrein is wellicht de werkwijze van de commissie Gelijke behandeling die niet alleen op klachten ingaat en adviezen uitbrengt, maar in toenemende mate ook probeert discussie binnen instellingen uit te lokken over de vraag wat gelijke behandeling in de praktijk betekent. Kan de Registratiekamer op een vergelijkbare wijze opereren?

Voorzitter! Ik wil nog een opmerking maken over de open normen en de jurisprudentiële ontwikkeling. Het wetsvoorstel schept een uniform regime van regels voor privaatrechtelijke en publiekrechtelijke verhoudingen, maar houdt nadrukkelijk de mogelijkheid open dat de regels in de rechtspraak een verschillende inkleuring krijgen in privaatrechtelijke en publiekrechtelijke context. Bij de materiële normen ligt dit inderdaad zeer voor de hand en is het enige – nou ja, enige – bezwaar gelegen in een verdere complicering van de rechtsnormen voor de burgers.

Wat de meer procedurele of formele bepalingen betreft, zoals de meldingsplicht en de rechtspositie van de betrokkenen, lijkt een uniforme uitleg ons echter meer op zijn plaats. Deelt de minister deze stellingname en zo ja, hoe denkt hij te kunnen bevorderen dat in de privaatrechtelijke en publiekrechtelijke rechtsgang een gelijke invulling wordt gegeven aan deze categorie van regels?

Voorzitter! Op een aantal vragen van onze fractie over de systematiek en de begrijpelijkheid hebben wij een verhelderende toelichting ontvangen. Wij komen daar niet op terug. Wel houden wij een vraag over artikel 76. Hoe moet het begrip "doorgeven naar een land buiten de EU" nu eigenlijk worden begrepen? Is de vestiging van de verantwoordelijke of de locatie van de gegevensverwerking bepalend voor het antwoord op de vraag of er sprake is van "een land buiten de EU"?

In de eerste interpretatie hoeft niet te worden getoetst of een land een passend beschermingsniveau biedt wanneer een bedrijf dat in Nederland is gevestigd zijn gegevens deels in het buitenland laat verwerken. In de tweede interpretatie is artikel 76 van toepassing zodra er gegevens van buiten het grondgebied van de EU komen. De woorden van artikel 76 lijken te suggereren dat de locatie van de gegevensverwerking doorslaggevend is, maar dat zou betekenen dat de interpretatieproblemen die met het nieuwe artikel 4 worden vermeden, via een achterdeur weer worden geïntroduceerd.

Immers, zoals de minister in de toelichting op artikel 4 zelf aangeeft, is op internet de exacte locatie van de gegevensverwerking vaak moeilijk te achterhalen. Hierbij hebben wij kortom te maken met een probleem van de nieuwe economie, van verwerking van gegevens in een virtuele sfeer die niet samenvalt met een of andere territoriale eenheid. Wij willen graag duidelijkheid krijgen over de betekenis van artikel 76. Is de aanpak territoriumgericht of niet?

Al studerend is bij onze fractie ook een nieuwe vraag opgekomen. Het gaat om de door ons zeer belangrijk gevonden extra bescherming van minderjarigen. Artikel 5 eist dat, indien de betrokkene minderjarig is, zijn wettelijk vertegenwoordiger in plaats van de betrokkene zelf toestemming geeft. Ook de heldere woorden van de wet roepen soms raadsels op. De betekenis van deze bepaling lijkt duidelijk, maar wij moeten dan wel weten hoe in de praktijk uitvoering kan worden gegeven aan deze bepaling. Moet de verwerker nagaan of betrokkene minderjarig is alvorens hij begint met de verwerking van diens gegevens? Zo ja, hoe moet de verwerker in de praktijk de leeftijd van de betrokkene vaststellen in de anonieme omgeving van het internet? Een beetje pientere minderjarige zal snel doorhebben dat hij moet aangeven meerderjarig te zijn om, in ruil voor leuke prijzen, zijn gegevens af te kunnen staan. En hoe moet in diezelfde anonieme omgeving worden vastgesteld of iemand daadwerkelijk de wettelijke vertegenwoordiger van een kind is en niet wederom datzelfde snuggere kind?

Als wij de antwoorden op deze vragen niet weten, wat stelt de extra bescherming van de minderjarige dan voor? Veronderstelt de wetgever niet eigenlijk dat de minderjarige al zo meerderjarig is om in te zien dat het verstandig is, niet zonder juridische bijstand op aantrekkelijk klinkende aanbiedingen in te gaan?

Voorzitter! Ik wil als laatste onderwerp ingaan op het belangrijke vraagstuk van de groepsprofielen die het resultaat zijn van op zich economisch en maatschappelijk nuttige dataminingtechnieken. Dit is een onderwerp dat in de vakpers volop in discussie is, getuige onder meer een recent nummer van het tijdschrift Privacy & Informatie. Datamining kan nuttig zijn voor marketingdoeleinden, kredietverlening en de epidemiologie. Zoals elke technologie kent ook datamining nadelen. In de privacydiscussie is een veel genoemd nadeel de mogelijkheid om uiteenlopende gegevens bijeen te brengen die op zich openbaar zijn of in een andere context door de betrokkenen zijn afgestaan om deze te anonimiseren en te bewerken, waarna een groepsprofiel betreffende risico's wordt opgesteld dat vervolgens weer op een bepaalde burger wordt toegepast. Concreter gezegd: het kan gaan om de weigering van een verzekering aan iemand die een statistisch risico inhoudt op basis van kenmerken van een groep die onder meer bepaald wordt door de postcode of het consumptiegedrag. De geanonimiseerde en bewerkte informatie kan moeilijk nog binnen de termen vallen van de persoonsgegevens die de wet centraal stelt en zo zou ook alle privacybescherming komen te vervallen. Die vrees werd aldus onder meer geuit door Vedder in het genoemde tijdschrift.

Maar ligt deze conclusie wel zo duidelijk? Wat betekent eigenlijk de term "persoonsgegevens"? Kunnen wij hieraan wellicht de interpretatie geven "elk gegeven dat wordt toegepast op een persoon"? In dat geval kan de bewerking van gegevens tot groepsprofielen in beeld komen zodra toepassing plaatsvindt op een identificeerbare betrokkene. In de memorie van antwoord zegt de minister dat dit niet kan vanwege de door de richtlijn gekozen terminologie. Ik vat het even kort samen. Overweging 29 van de richtlijn stelt echter dat bij bewerkte gegevens de lidstaten "moeten voorkomen dat de gegevens worden gebruikt voor het nemen van maatregelen of besluiten die tegen een bepaalde persoon zijn gericht". Als dat de bedoeling is, zou de voorgestelde uitleg van het begrip "persoonsgegeven" hieraan een goede uitwerking geven. Overigens is het van belang hierbij op te merken dat de memorie van antwoord aan de hand van het postcodevoorbeeld ook stelt dat sprake is van een persoonsgegeven "als iemand in het maatschappelijk verkeer de kans loopt anders te worden bejegend dan wanneer dit gegeven niet over hem bekend was". Daar gaat het inderdaad precies om. Ten behoeve van de praktijk lijkt het mij wenselijk op dit punt alle mogelijke misverstanden weg te nemen.

Als de Wet bescherming persoonsgegevens geen baat biedt, is trouwens nog een ander scenario denkbaar. De toepassing van gegevens uit een groepsprofiel op een bepaalde betrokkene zou discriminerend kunnen zijn, want het zou een ongelijke behandeling zijn in de zin van de Algemene wet gelijke behandeling. In dat geval zou in een juridische procedure de bescherming van de gelijkebehandelingswetgeving kunnen worden ingeroepen. Voor die wetgeving lijkt het mij niet uit te maken op welke wijze de discriminerende overweging is verkregen. De beschikbare jurisprudentie duidt erop dat van ongelijke behandeling sprake is in de context van het optreden jegens de persoon die ongelijk behandeld wordt, ongeacht het proces dat aan deze ongelijke behandeling is voorafgegaan. Zo zou het dus in de praktijk nog mee kunnen vallen.

Mijnheer de voorzitter! Onze opmerkingen, vragen en kanttekeningen hebben de strekking, de betekenis van de wet aan te scherpen en de praktische bruikbaarheid van de wet iets te vergroten, maar wij zullen aan de wet onze steun niet onthouden.

De heer Rosenthal (VVD):

Mijnheer de voorzitter! Ik wil allereerst mijn dank uitspreken voor de uitvoerige reactie op onze schriftelijke inbreng. De VVD-fractie vindt dat het gewijzigde wetsvoorstel een goed evenwicht kent tussen de bescherming van de persoonsgegevens enerzijds en het functionele gebruik van die persoonsgegevens anderzijds. De VVD-fractie is de mening toegedaan dat het wel van belang is om, ook wanneer het om dit wetsvoorstel gaat, dat evenwicht steeds goed in de gaten te houden. De geschiedenis van het wetsvoorstel en ook de context waarin het totstandkomt, brengen logischerwijze met zich dat de nadruk al gauw komt te liggen op wat in de memorie van antwoord de schaduwzijde van de informatiemaatschappij wordt genoemd. Daarmee dreigen voordat je er erg in hebt, de verworvenheden van die informatiemaatschappij veronachtzaamd te worden.

Wat de positieve kanten van de informatiemaatschappij en de ICT ook betreft, die zijn stellig niet beperkt tot de e-commerce, waar het vaak over gaat. Als je kijkt naar de ICT en de daarbij behorende persoonsgegevens en de benutting daarvan, dan heeft het toch ook het nodige te betekenen in de gezondheidszorg, het onderwijs, de criminaliteitsbestrijding en wat dies meer zij. En dat vergt dus telkens een afweging tussen die twee kanten: bescherming van persoonsgegevens en de beschikbaarheid ervan.

De bescherming van de persoonlijk levenssfeer is van eminente betekenis, maar, zoals de hier al vaak ten tonele gevoerde autoriteit op dit gebied Franken zegt, is die waarde niet te verabsoluteren. Het leven in het informatietijdperk kenmerkt zich nu eenmaal door de onontkoombare afhankelijkheden van andere personen, groepen en overheden. Zo zegt Franken het in een recent nummer van Themis: sommige risico's voor inbreuken zul je zelf moeten dragen. Wie bijvoorbeeld het internet op gaat en daar wel eens met anderen over praat, weet binnen de kortste keren dat sommige internetproviders zich niet voor niets "free access providers" noemen. Die zijn dus gratis. Hij weet dan ook dat die gratis internetproviders in ruil daarvoor de gegevens van hun klanten voor "e-commerce" gebruiken. Als het gaat om dit soort toestanden bij internetproviders die zich wel laten betalen, dan is er des temeer reden om stevig te investeren in de "privacy enhancing technology" die razendsnel terrein wint en waarmee goede effecten kunnen worden bereikt. Wij hebben de minister gevraagd om op die "privacy enhancing technology" in te gaan. Het is trouwens ook ruim aan de orde geweest in de Tweede Kamer, maar wij herhalen die vraag. Ik heb eens wat rondgevraagd onder wat studenten, dus de jongere generatie. Als je hoort wat zij in feite weten over deze materie, dan denk ik dat het heel nuttig zou zijn als de jongeren de ouderen op dat punt wat voorlichting en informatie verschaffen. Zij weten drommels goed hoe het met de "privacy enhancing technology" zit. Zij weten vaak ook heel erg goed wat wel en niet kan en wat er wel en niet met hun persoonsgegevens kan gebeuren.

De memorie van antwoord geeft in veel opzichten een toereikende reactie op de vragen die de VVD-fractie heeft gesteld. Wij zijn de minister daar erkentelijk voor. Ik noem het overzicht van de kosten die met het wetsvoorstel, met de invoering van het nieuwe regime, gemoeid zijn. Die kosten zijn een treffend voorbeeld van wat ooit de drijfveer voor de deregulering is geweest. Het gaat om de vaak verborgen kosten voor bedrijfsleven en particuliere organisaties van nieuwe wet- en regelgeving. Het roept meteen de vraag op naar de kosten-batenbalans van dit wetsvoorstel. Welke baten in de meest brede zin van het begrip zal de invoering van het nieuwe regime nu eigenlijk hebben? De werkgroep-Kortmann kwam op zo'n 900 mln. aan kosten. De commissie-Slechte deed er ook het hare bij. Bij de te verwachten baten noemt de minister in de memorie van antwoord het vertrouwen van de consument in een deugdelijke ontplooiing van informatietransacties. Wij zouden het op prijs stellen als de minister daar nog op ingaat en dat nader wil onderbouwen.

Naar aanleiding van de memorie van antwoord wil de VVD-fractie terugkomen op een vrij wezenlijk punt, te weten de verhouding tussen dit wetsvoorstel en de vereisten van de richtlijn. In de memorie van antwoord geeft de minister aan op welke punten het afwijken van de voorschriften van de richtlijn door middel van nadere voorwaarden binnen de bandbreedte van de richtlijn blijft. Dat overzicht in de memorie van antwoord betreft vooral een reeks voorbeelden. Daarmee is voor ons de systematiek niet echt duidelijk. Waar en waarom zijn bijvoorbeeld bovenminimale aanpassingen aan die richtlijn aan de orde? Het gaat ons dan natuurlijk vooral om de vraag hoe die aanpassingen uitpakken met het oog op, alweer, het nagestreefde evenwicht tussen het benutten van persoonsgegevens in functionele zin en aan de andere kant – het wetsvoorstel – het beschermen van die persoonsgegevens. Kan de minister ons duidelijk maken hoe de verschillende aanpassingen uitpakken voor de benutting aan de ene kant en de bescherming van de privacy aan de andere kant?

Ik haak nog even aan bij hetgeen door de heer Schuyer aan de orde is gesteld. Het komt de VVD-fractie wat gemakkelijk voor wanneer ten aanzien van de nadere regeling van artikel 21, vierde lid, dat gaat over de genetische gegevens, het overeind houden van het acquis van de Wet persoonsregistratie als het argument wordt gebruikt voor afwijkende voorzieningen. Is de minister het met ons eens dat de ontwikkelingen op dit gebied dermate snel gaan, dat verwijzing naar het acquis al snel aan vervlogen tijden doet denken? Ook kan zich in dit verband, even afgezien van de limitatieve opsomming die in dit desbetreffende artikel wordt gegeven, de vraag voordoen of die ontwikkelingen op het punt van genetische gegevensverwerking worden gedekt door specifieke wet- en regelgeving, met bijbehorende regelingen voor het gebruik en de bescherming van persoonsgegevens. Het is ons niet helemaal duidelijk geworden hoe wij daarmee moeten omgaan.

Communicatie en voorlichting over deze materie is van meet af aan voor de VVD-fractie een belangrijk punt geweest. Zoals het altijd gaat, komt de memorie van antwoord hierover pas te spreken nadat alle andere aspecten van het wetsvoorstel de revue zijn gepasseerd. Uiteraard is het goed dat voorlichting pas wordt behandeld wanneer duidelijk is waarover de voorlichting moet worden gegeven, maar de VVD-fractie blijft toch zitten met het punt dat het wetsvoorstel op vereenvoudiging is gericht, terwijl daar een aanzienlijke omvang aan stukken tegenover staat. Het is duidelijk dat er zeer veel werk aan de winkel zal zijn om tot heldere voorlichting te komen. Nu al klinkt her en der door, dat de in het wetsvoorstel gebezigde terminologie voor de burger vaak ondoorgrondelijk is. Daar komt bij dat internet, e-mailvoorzieningen en alles dat daaraan vast zit, ontzagwekkend snel hun eigen vocabulaire scheppen, dat de burger al snel veel vertrouwder in de oren klinkt dan de terminologie die de wetgever hanteert. Daar zit een behoorlijke kloof tussen.

Die kloof valt overigens op allerlei manieren te overbruggen. In dat opzicht spreekt het de VVD-fractie aan, dat bij de voorlichting een belangrijke rol wordt weggelegd voor de verschillende brancheorganisaties die wat dichter op de materie zitten, terwijl wij hier ook het College bescherming persoonsgegevens en natuurlijk de ministeries van Justitie en van Binnenlandse Zaken en Koninkrijksrelaties tegenkomen. Dat roept bij ons wel de vraag op, juist omdat het om eenduidige, heldere en eenvoudige voorlichting en communicatie gaat, hoe de precieze verantwoordelijkheden in het voorlichtingstraject op elkaar afgestemd zullen worden. Moeten wij uit de memorie van antwoord begrijpen dat de brancheorganisaties hun voorlichting in belangrijke mate los van het overheidsproject voorbereiden? Om in de beeldspraak van de minister over twee sporen te blijven: raken die sporen elkaar nu echt, zullen zaken echt geïntegreerd worden?

In onze schriftelijke inbreng hebben wij vragen gesteld over de positie van het College bescherming persoonsgegevens. Artikel 52, tweede lid, van het wetsvoorstel benadrukt de onafhankelijkheid van de taakvervulling van dit college. Gelet daarop springt de dubbelrol van het college in het oog, of zelfs de vergaande opeenstapeling van rollen die aan het college worden toegedacht. Artikel 28 van de Europese richtlijn – het zij erkend – geeft het college zowel een toezichthoudende als een adviserende taak. Maar daar bovenop komen dan nog vergaande sanctionerende bevoegdheden, omdat het college bestuursdwang en bestuurlijke boetes kan opleggen. Dat het college dan de waarborgen tegen vermenging van al deze bevoegdheden zelf in zijn bestuursreglement moet formuleren en vastleggen, biedt naar onze mening nauwelijks soelaas, want ook al gaat het bestuursreglement richting minister die daaraan zijn goedkeuring moet hechten, zo'n bestuursreglement gaat voor je het weet toch gauw een eigen leven leiden en zal voor je het weet intern gericht zijn.

In de memorie van antwoord bevestigt de minister dat het inderdaad zo is bepaald als wij dat voorlegden, maar hij gaat niet in op ons kernpunt, te weten het gevaar van vergaande functievermenging. Wij blijven dus eenvoudigweg met onze vragen op dit punt zitten. In feite verenigt het college zo ongeveer alle functies die in het gehele traject van regelontwerp tot en met bestraffing van regelovertreding besloten liggen. Het heeft een adviserende bevoegdheid, draagt volgens artikel 53, vierde lid, de leden van de raad van advies voor en kan volgens artikel 56, derde lid, een nadere regeling geven van die raad van advies. Wij begrijpen ook dat het een belangrijke rol speelt bij de voorlichting over de benutting en bescherming van de persoonsgegevens. Het college, het is ook al in een ander verband aan de orde gesteld, vult de vaak open normen van de wet in en geeft daar ook zijn interpretatie aan. Anders gezegd, het college spoort op, vervolgt, bestuurt en spreekt recht. Ook al zal van de uitspraken van het college beroep openstaan bij de bestuursrechter, al met al gaat het hier toch om een vergaande opeenstapeling van functies en bevoegdheden.

De VVD-fractie signaleert op dit punt dan twee knelpunten. Enerzijds legt de concentratie van bevoegdheden van het college wel een bijzonder zware verantwoordelijkheid bij dit zelfstandig bestuursorgaan om het beoogde evenwicht tussen benutting en bescherming van persoonsgegevens te helpen bewerkstelligen, anderzijds kan de vermenging van functies de in artikel 52 benadrukte onafhankelijkheid aantasten. Sterker nog, je zou je kunnen afvragen wat nog de materiële betekenis is van de onafhankelijkheid van het college als het eigenlijk zelf binnen het domein van de bescherming persoonsgegevens in wezen de verschillende functies van de trias politica in zich verenigt. Als het college in feite alle functievelden bestrijkt, roept dat toch de vraag op ten opzichte van welk orgaan het eigenlijk onafhankelijk is. Als het alleen onafhankelijkheid ten opzichte van zichzelf is, is dat een weinig florissant beeld. Wij vragen de minister ons alsnog duidelijk te maken hoe hij de onafhankelijkheid van het college en de functies die het zal vervullen nu precies vorm en inhoud wil geven. Wij zien uit naar zijn beantwoording.